(Redatta ai sensi del Regolamento (UE) 2016/679 “GDPR”)
Il trattamento dei dati personali connessi all’utilizzo della piattaforma denominata “Tableplan” è effettuato da:
Epsoft Srl
Via Marco Sgobba 2/C – 70011 Alberobello (BA), Italia
Email di contatto per le tematiche privacy: info@epsoftitalia.it
Epsoft Srl determina le finalità e i mezzi del trattamento ai sensi dell’art. 4, punto 7, del GDPR.
Il trattamento dei dati personali avviene nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e proporzionalità.
Le principali attività di trattamento e i relativi fondamenti giuridici sono dettagliati nella seguente tabella:
| Attività di trattamento | Finalità | Base giuridica | Categorie di dati trattati |
|---|---|---|---|
| Creazione e gestione degli account utente | Registrazione, autenticazione, gestione profili e autorizzazioni | Art. 6, par. 1, lett. b) GDPR | Dati identificativi, recapiti, password cifrate, dati organizzativi |
| Onboarding organizzazioni e fornitori | Costituzione anagrafiche, gestione identità aziendale | Art. 6, par. 1, lett. b) GDPR | Dati societari, contatti, materiali caricati, categorie attività |
| Gestione e pianificazione eventi | Creazione eventi, gestione date, note e materiali | Art. 6, par. 1, lett. b) GDPR | Titolo evento, descrizione, immagini, documenti, numero invitati |
| Gestione invitati e comunicazioni | Liste ospiti, invito, RSVP, preferenze e assegnazioni tavoli | Art. 6, par. 1, lett. b) e lett. f) GDPR | Dati identificativi, recapiti, note operative |
| Trattamento dati particolari (allergie/intolleranze) | Adeguata gestione esigenze alimentari | Art. 9, par. 2, lett. a) GDPR – consenso esplicito dell’interessato | Dati relativi alla salute |
| Comunicazioni interne e con fornitori | Gestione scambi informativi, allegati, preventivi | Art. 6, par. 1, lett. b) GDPR | Testi messaggi, documenti, importi |
| Archiviazione documenti | Conservazione file rilevanti ai fini organizzativi | Art. 6, par. 1, lett. b) e f) GDPR | File, metadati, riferimenti evento/utente |
| Gestione articoli e listini fornitori | Gestione cataloghi, disponibilità, prezzi | Art. 6, par. 1, lett. b) GDPR | Dati anagrafici articoli, listini, prezzi |
| Accesso e sicurezza (OTP, audit) | Gestione sicurezza credenziali e accessi | Art. 6, par. 1, lett. c) e f) GDPR | Token, email, log tecnici |
| Analisi e monitoraggio della Piattaforma | Ottimizzazione funzionalità e stabilità del sistema | Art. 6, par. 1, lett. f) GDPR | Dati di utilizzo, metriche applicative |
Gli utenti che inseriscono dati riguardanti terzi (es. invitati) sono tenuti, ai sensi degli artt. 13 e 14 GDPR, a informarli previamente e, ove richiesto, a raccoglierne il consenso.
Gli organizzatori possono inserire dati personali di soggetti terzi (“Invitati”), inclusi dati appartenenti a categorie particolari.
L’organizzatore riveste il ruolo di Titolare autonomo dei dati degli Invitati.
Epsoft Srl agisce in qualità di Responsabile del trattamento ai sensi dell’art. 28 GDPR, trattando tali dati esclusivamente per finalità tecnico-operative.
dati identificativi (nome, cognome);
recapiti (email, eventuale telefono);
informazioni organizzative;
assegnazioni ai tavoli;
dati relativi alla salute (allergie o intolleranze), solo previa acquisizione del consenso esplicito dell’interessato.
I dati degli Invitati sono oggetto di trattamenti limitati, controllati e temporalmente circoscritti, con accessi consentiti esclusivamente a soggetti preventivamente autorizzati all’interno dell’organizzazione.
La Piattaforma consente l'autenticazione mediante servizi esterni quali Google, Apple e Facebook.
Tali servizi trasmettono a Tableplan esclusivamente le informazioni necessarie all'autenticazione:
nome e cognome;
indirizzo email;
identificativo univoco generato dal provider;
immagine del profilo (se autorizzata).
I provider operano quali titolari autonomi del trattamento dei dati trasmessi.
I fornitori possono attivare volontariamente un profilo pubblico.
In tal caso, le informazioni fornite e rese pubbliche dal fornitore sono accessibili a qualunque utente.
Il fornitore mantiene in ogni momento il pieno controllo sulla pubblicazione, modifica e rimozione dei dati resi pubblici.
La Piattaforma utilizza PostHog, ospitato integralmente su infrastrutture situate nell’Unione Europea, per finalità di analisi dell’utilizzo e miglioramento della qualità del servizio.
registrazione delle interazioni (session replay);
analisi dei percorsi di navigazione;
rilevazione errori tecnici e performance.
Sono automaticamente esclusi e oscurati:
password;
dati relativi alla salute;
dati degli Invitati;
contenuti sensibili immessi nei campi di testo.
Il trattamento avviene ai sensi dell’art. 6, par. 1, lett. f) GDPR; l’utente può esercitare il diritto di opposizione.
La Piattaforma utilizza le API di Google Maps per fornire funzionalità cartografiche.
L’utilizzo delle mappe comporta la trasmissione a Google di dati quali:
indirizzo IP;
dati tecnici del dispositivo;
coordinate utilizzate nella ricerca.
Google opera quale titolare autonomo.
I dati personali trattati provengono da:
utenti che operano sulla Piattaforma;
organizzatori che inseriscono dati relativi a terzi;
sistemi automatici di generazione log e metriche applicative.
Il trattamento avviene prevalentemente con strumenti elettronici e telematici.
Sono adottate misure tecniche e organizzative adeguate tra cui:
cifratura delle password (bcrypt);
trasmissione protetta (HTTPS/TLS);
sistemi di autenticazione a token;
controlli di accesso basati su ruoli (RBAC);
audit delle operazioni rilevanti;
storage sicuro su AWS S3 in UE;
segregazione ambienti di sviluppo e produzione.
Non si effettuano trattamenti basati su decisioni automatizzate ai sensi dell’art. 22 GDPR.
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti:
Account e organizzazioni: fino alla chiusura dell’account + 24 mesi
Dati relativi agli eventi: durata evento + 36 mesi
Documenti e corrispondenza: 10 anni
Log tecnici e OTP: 12 mesi
Dati sanitari: esclusivamente per la durata dell’evento
Analytics: massimo 14 mesi in forma aggregata
Al termine, i dati vengono cancellati o anonimizzati.
Possono accedere ai dati esclusivamente:
personale autorizzato del Titolare;
fornitori infrastrutturali (VPS HostingFrancia – UE);
fornitori di servizi email;
consulenti esterni nell’ambito di specifici incarichi;
tecnici e sviluppatori designati quali Responsabili del trattamento ai sensi dell’art. 28 GDPR.
I suddetti soggetti trattano i dati entro i limiti delle finalità loro affidate.
Il trattamento avviene prevalentemente all’interno dell’Unione Europea.
PostHog è ospitato esclusivamente su infrastrutture UE.
Non sono effettuati trasferimenti verso Paesi terzi privi di una decisione di adeguatezza.
Il Titolare adotta misure tecniche e organizzative idonee a garantire la sicurezza dei dati, tra cui:
crittografia dei dati in transito;
hashing delle password;
segregazione degli accessi;
firewall applicativi;
sistemi di monitoraggio H24;
backup periodici;
masking dei dati sensibili nelle session replay.
Gli interessati possono esercitare i diritti previsti dagli artt. 15–22 GDPR inviando una comunicazione info@epsoftitalia.it.
Tali diritti comprendono:
accesso;
rettifica;
cancellazione;
limitazione;
opposizione;
portabilità dei dati;
revoca del consenso ove applicabile.
Gli interessati hanno inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.
La Piattaforma utilizza:
cookie tecnici necessari;
strumenti analitici basati su PostHog (UE);
cookie collegati alle API Google Maps.
Un banner informativo permette la gestione granulare delle preferenze.
La presente informativa può essere soggetta a revisioni. In caso di modifiche sostanziali, gli utenti verranno informati con comunicazione idonea.
