ORDEE Termini di Servizio, Informativa Privacy, Cookie Policy e Data Processing Agreement Versione coordinata e corretta sotto il profilo documentale per un servizio SaaS destinato a ristoranti, bar, club e attività di ristorazione

Avvertenza operativa

Il presente documento rafforza la conformità documentale ai principali requisiti privacy e contrattuali applicabili al servizio, ma la piena compliance dipende anche dalla concreta implementazione tecnica e organizzativa del progetto. Prima della pubblicazione è necessario verificare l’effettiva configurazione di cookie/SDK, i tempi di retention realmente applicati, i flussi di trasferimento extra SEE, l’elenco aggiornato dei sub-responsabili e l’eventuale nomina di un DPO. Le sezioni che seguono coordinano in modo coerente i ruoli di titolare e responsabile del trattamento, distinguendo il trattamento dei dati necessari alla gestione del rapporto commerciale con Ordee dal trattamento dei dati che il Cliente carica nel software per le proprie finalità.

Aggiornamento del testo: 16 aprile 2026 | Dati fornitore: Francesco Chiarelli, P. IVA 17611321005, Roma (RM), 00131, Italia, info@ordee.it

Indice

• Sezione I – Termini di Servizio
• Sezione II – Informativa Privacy ex artt. 13 e 14 GDPR
• Sezione III – Cookie Policy e strumenti di tracciamento
• Sezione IV – Data Processing Agreement ai sensi dell’art. 28 GDPR
• Appendice A – Misure tecniche e organizzative minime
• Appendice B – Elenco dei sub-responsabili autorizzati

1. Identificazione del fornitore

I presenti Termini di Servizio disciplinano l’accesso e l’utilizzo del sito web ordee.it e dell’applicazione mobile “Ordee” (di seguito, congiuntamente, il “Servizio”), di titolarità di Francesco Chiarelli, titolare di partita IVA 17611321005, con sede legale in Roma (RM), 00131, Italia, e-mail di contatto info@ordee.it (di seguito, il “Fornitore” o “Ordee”).

2. Ambito soggettivo e natura professionale del Servizio

Il Servizio è concepito come piattaforma software in cloud rivolta a ristoranti, bar, club, attività di ristorazione e, in generale, operatori economici che utilizzano il Servizio per finalità professionali, imprenditoriali o organizzative. L’utente che conclude il contratto dichiara di agire nell’esercizio della propria attività professionale o imprenditoriale, ovvero di essere debitamente autorizzato a vincolare l’ente o l’impresa per conto della quale richiede l’attivazione del Servizio.

3. Accettazione dei Termini

La registrazione, l’accesso, la navigazione e l’utilizzo del Servizio comportano la presa visione e l’accettazione dei presenti Termini, dell’Informativa Privacy, della Cookie Policy e, ove applicabile, del Data Processing Agreement incluso nel presente documento. In caso di separato ordine commerciale, offerta o modulo di attivazione, tali documenti si integrano reciprocamente; in caso di contrasto prevalgono, nell’ordine, l’ordine commerciale sottoscritto, il DPA per gli aspetti privacy da responsabile, i presenti Termini e l’Informativa Privacy per i trattamenti effettuati da Ordee quale titolare.

4. Definizioni essenziali

Ai fini del presente contratto: “Cliente” indica il soggetto professionale che sottoscrive il Servizio; “Utenti Autorizzati” indica dipendenti, collaboratori o incaricati del Cliente autorizzati ad accedere al Servizio; “Dati del Cliente” indica dati, contenuti, documenti e informazioni caricati o generati dal Cliente tramite la piattaforma; “Piattaforma” indica il complesso dell’infrastruttura cloud, del sito e dell’app mobile; “Fornitori Terzi” indica soggetti che forniscono servizi tecnici, di hosting, invio e-mail, pagamento o sicurezza funzionali all’erogazione del Servizio.

5. Oggetto del Servizio

Ordee fornisce una soluzione SaaS che consente la gestione di dati aziendali, operativi e amministrativi dell’attività del Cliente, con funzionalità che possono includere, a titolo esemplificativo, la gestione dell’account, la gestione di clienti, ordini e operazioni interne, l’uso di strumenti software in cloud e l’accesso via sito web o applicazione mobile. L’app mobile costituisce interfaccia operativa verso l’infrastruttura cloud del Servizio.

6. Attivazione dell’account e credenziali

L’accesso al Servizio richiede la creazione di un account attivo. Il Cliente si impegna a fornire dati veritieri, esatti, aggiornati e completi, a custodire con diligenza le credenziali di accesso e a limitare l’uso dell’account ai soli Utenti Autorizzati. Il Cliente è responsabile delle attività svolte mediante i propri account, salvo provi l’uso abusivo da parte di terzi non imputabile a difetto di custodia o organizzazione interna.

7. Utenti Autorizzati e istruzioni interne

Il Cliente è tenuto a definire internamente i profili autorizzativi degli utenti che operano sulla piattaforma e a impartire loro istruzioni idonee circa l’uso corretto del Servizio, la gestione delle credenziali, l’eventuale

caricamento di dati personali e il rispetto della normativa applicabile. Il Cliente rimane responsabile dell’operato dei propri Utenti Autorizzati nell’ambito del Servizio.

8. Piani, abbonamenti, fatturazione e pagamenti

L’accesso al Servizio è subordinato, salvo eventuale periodo promozionale o prova, alla sottoscrizione di un piano di abbonamento. I piani commerciali possono essere mensili, trimestrali, semestrali, annuali o personalizzati. I corrispettivi, la periodicità di fatturazione, le funzionalità incluse e le eventuali limitazioni quantitative sono indicati nel sito o nell’offerta commerciale applicabile al Cliente. I pagamenti sono gestiti mediante fornitori specializzati, tra cui Stripe, secondo le condizioni proprie del relativo prestatore di pagamento.

9. Periodo di prova

Eventuali periodi di prova gratuiti possono essere concessi su richiesta, a discrezione del Fornitore e secondo le condizioni di volta in volta comunicate. Salvo diversa previsione scritta, decorso il periodo di prova il Servizio potrà essere sospeso o limitato fino all’attivazione di un piano a pagamento, senza che ciò comporti obbligo di conservazione illimitata dei dati di test o di prova.

10. Durata, rinnovo e disdetta

Il contratto ha durata pari al periodo di abbonamento acquistato e produce effetti dalla data di attivazione del Servizio. Se il piano prevede rinnovo automatico, tale circostanza deve essere resa chiaramente visibile al momento dell’acquisto; in difetto, l’abbonamento cessa alla scadenza naturale del periodo pagato. La disdetta o richiesta di mancato rinnovo produce effetto dalla prima scadenza utile, salvo quanto diversamente previsto da norme inderogabili o specifiche offerte commerciali. Restano dovuti i corrispettivi maturati fino alla cessazione del rapporto.

11. Uso consentito e divieti

Il Cliente si obbliga a utilizzare il Servizio in modo lecito, corretto e conforme alla sua destinazione. È vietato, tra l’altro: aggirare o compromettere le misure di sicurezza; utilizzare il Servizio per finalità illecite, fraudolente o lesive di diritti altrui; caricare malware o codice dannoso; effettuare reverse engineering nei limiti non consentiti dalla legge; usare il Servizio per inviare comunicazioni non richieste; caricare dati manifestamente eccedenti, illeciti o privi di base giuridica. Qualora il Cliente tratti, tramite Ordee, categorie particolari di dati o dati relativi a condanne penali e reati, egli dichiara di averne titolo e di aver adottato le misure supplementari eventualmente richieste dalla normativa applicabile.

12. Proprietà dei dati e licenza d’uso a favore di Ordee

Il Cliente conserva la titolarità e la disponibilità giuridica dei Dati del Cliente caricati nel Servizio. Per il solo tempo necessario all’erogazione del Servizio, il Cliente concede a Ordee una licenza non esclusiva, non trasferibile e limitata all’uso tecnico dei Dati del Cliente per finalità di hosting, memorizzazione, sincronizzazione, backup, assistenza tecnica, sicurezza, prevenzione abusi e ogni altra attività strettamente necessaria a eseguire il contratto e le istruzioni lecite del Cliente.

13. Ruoli privacy nella gestione dei dati

Le parti prendono atto che Ordee agisce quale titolare del trattamento per i dati necessari alla registrazione, gestione contrattuale, fatturazione, sicurezza del servizio, log tecnici, comunicazioni amministrative e marketing diretto, nei limiti consentiti dalla legge. Per contro, quando il Cliente utilizza il Servizio per caricare, consultare, organizzare o trattare dati personali di propri clienti, dipendenti, collaboratori o altri interessati ai fini delle proprie autonome finalità professionali, il Cliente opera quale titolare del trattamento e Ordee quale responsabile del trattamento, secondo quanto previsto nella Sezione IV del presente documento.

14. Disponibilità del Servizio, manutenzione e aggiornamenti

Il Servizio è fornito con diligenza professionale e secondo standard ragionevoli di settore. Ordee può eseguire interventi di manutenzione ordinaria e straordinaria, aggiornamenti correttivi, evolutivi o di sicurezza, nonché sospendere temporaneamente il Servizio per cause tecniche, esigenze di continuità operativa, vulnerabilità o eventi di forza maggiore. Salvo urgenza, Ordee si adopera per programmare gli interventi che possano incidere in modo apprezzabile sulla fruizione del Servizio.

15. Supporto, sicurezza e backup

Ordee adotta misure tecniche e organizzative adeguate a proteggere il Servizio da accessi non autorizzati, perdita, alterazione o divulgazione indebita dei dati, secondo un criterio di proporzionalità e stato dell’arte. Il Servizio può includere sistemi di autenticazione, logging, monitoraggio, cifratura dei flussi, segregazione logica, backup e controlli di accesso. Salvo diverso accordo scritto, il Servizio non integra un contratto di disaster recovery o business continuity con livelli di servizio garantiti. Il Cliente resta tenuto a conservare, ove necessario per i propri obblighi normativi o operativi, copie ed esportazioni dei dati ritenute essenziali per la continuità della propria attività.

16. Portabilità, esportazione e cessazione del rapporto

Nei limiti tecnicamente disponibili e secondo il piano contrattuale applicabile, il Cliente può richiedere l’esportazione dei Dati del Cliente in formato interoperabile o comunemente utilizzato. Dopo la cessazione del rapporto, Ordee può mantenere i dati per il tempo strettamente necessario alla chiusura tecnica del servizio, alla gestione di contestazioni, alla tutela dei propri diritti e all’adempimento di obblighi legali, fiscali o di sicurezza; per i dati trattati da Ordee quale responsabile del trattamento si applica inoltre quanto previsto dal DPA.

17. Sospensione o risoluzione

Ordee può sospendere o disattivare, anche senza preavviso nei casi urgenti, l’accesso al Servizio in presenza di mancato pagamento, uso illecito o abusivo, violazione dei presenti Termini, compromissione della sicurezza, ordini dell’autorità o rischi concreti per l’integrità del Servizio o per diritti di terzi. Resta ferma la facoltà di risolvere il contratto ai sensi dell’art. 1456 c.c., ove ne ricorrano i presupposti, mediante comunicazione scritta. In caso di sospensione, Ordee può subordinare la riattivazione all’eliminazione della causa che l’ha determinata.

18. Proprietà intellettuale

Software, codice, interfacce, database, marchi, loghi, layout, documentazione e ogni altro elemento del Servizio restano di esclusiva titolarità di Ordee o dei rispettivi licenzianti. Il Cliente ottiene unicamente un diritto d’uso limitato, non esclusivo, non sublicenziabile e revocabile nei limiti del contratto, per la durata del rapporto e per le sole finalità inerenti alla fruizione del Servizio.

19. Riservatezza

Ciascuna parte si impegna a mantenere riservate le informazioni confidenziali apprese nell’esecuzione del rapporto contrattuale e a non divulgarle a terzi se non nella misura necessaria all’esecuzione del contratto, per obbligo di legge o per ordine dell’autorità competente. Non sono considerate confidenziali le informazioni già pubbliche, già legittimamente conosciute dalla parte ricevente o acquisite da terzi senza violazione di obblighi di riservatezza.

20. Limitazione di responsabilità

Salvo dolo o colpa grave, violazione di obblighi inderogabili di legge e fatti per i quali la responsabilità non possa essere esclusa o limitata, Ordee non risponde di danni indiretti, lucro cessante, perdita di opportunità commerciali, danni da fermo attività, perdita di profitti, perdita di reputazione o danni derivanti da uso

improprio del Servizio, condotte del Cliente o di terzi, indisponibilità di fornitori esterni, guasti di connettività o eventi di forza maggiore. Nei limiti consentiti dalla legge, la responsabilità complessiva di Ordee, per ciascun anno contrattuale, non potrà eccedere un importo pari ai corrispettivi effettivamente pagati dal Cliente nei dodici mesi precedenti l’evento da cui deriva la responsabilità.

21. Modifiche dei Termini

Ordee può aggiornare i presenti Termini per esigenze normative, tecniche, organizzative, di sicurezza o evoluzione del Servizio. Le modifiche saranno rese disponibili con congruo preavviso mediante pubblicazione sul sito, comunicazione in-app o e-mail, salvo gli aggiornamenti richiesti da norme imperative o da ragioni urgenti di sicurezza. La prosecuzione dell’uso del Servizio dopo l’entrata in vigore delle modifiche costituisce accettazione delle stesse, salvo il diritto del Cliente di cessare il rapporto secondo le modalità contrattuali applicabili.

22. Legge applicabile e foro competente

Il contratto è regolato dalla legge italiana. Per ogni controversia relativa a validità, interpretazione, esecuzione o cessazione del rapporto, è competente in via esclusiva il Foro di Roma, salvo l’eventuale applicazione di norme inderogabili che prevedano una diversa competenza. Qualora il contraente rivesta, in concreto, la qualità di consumatore ai sensi della normativa vigente, restano ferme le tutele inderogabili previste a suo favore.

23. Clausola finale di coordinamento

La presente Sezione I deve essere letta congiuntamente alla Sezione II (Informativa Privacy), alla Sezione III (Cookie Policy) e alla Sezione IV (Data Processing Agreement). Le previsioni privacy e protezione dati integrano e specificano gli obblighi delle parti con riferimento ai trattamenti di dati personali effettuati nell’ambito del Servizio.

Tabella di coordinamento dei ruoli privacy

La seguente tabella sintetizza la ripartizione dei ruoli per evitare ambiguità tra trattamenti effettuati da Ordee per finalità proprie e trattamenti svolti per conto del Cliente. Scenario di trattamento Ruolo di Ordee Ruolo del Cliente Registrazione account, fatturazione, gestione amministrativa del rapporto, sicurezza della piattaforma, log tecnici e comunicazioni di servizio Titolare del trattamento Interessato / contraente o referente del contraente Dati caricati dal Cliente nel gestionale per finalità proprie (clienti finali, prenotazioni, ordini, anagrafiche, personale, note operative, documenti) Responsabile del trattamento Titolare del trattamento Pagamenti del canone tramite provider esterno Titolare per i dati strettamente necessari alla gestione del rapporto; il provider di pagamento opera secondo le proprie condizioni e ruoli privacy Interessato / contraente Analisi statistiche o marketing diretto effettuati da Ordee per finalità proprie Titolare del trattamento Interessato

1. Titolare del trattamento

Il titolare del trattamento dei dati personali di cui alla presente informativa è Francesco Chiarelli, P. IVA 17611321005, con sede legale in Roma (RM), 00131, Italia, e-mail info@ordee.it (di seguito, il “Titolare” o “Ordee”). Qualora in futuro sia nominato un Responsabile della protezione dei dati (DPO), i relativi riferimenti saranno pubblicati in questa informativa e resi facilmente accessibili agli interessati.

2. Ambito di applicazione dell’informativa

La presente informativa riguarda i trattamenti di dati personali effettuati da Ordee quale titolare in relazione al sito web, all’app mobile, alla registrazione dell’account, alla gestione del rapporto precontrattuale e contrattuale, alla fatturazione, all’assistenza tecnica, alla sicurezza della piattaforma, ai log tecnici, alle comunicazioni di servizio, alle richieste di contatto e, ove ricorra idonea base giuridica, alle comunicazioni commerciali. Per i dati personali che il Cliente immette nel software per finalità proprie, Ordee opera invece quale responsabile del trattamento ai sensi della Sezione IV.

3. Categorie di interessati

I dati trattati possono riferirsi alle seguenti categorie di interessati: potenziali clienti che richiedono informazioni o demo del Servizio; clienti persone fisiche; referenti, amministratori, dipendenti o collaboratori dei clienti persone giuridiche; utenti autorizzati dal Cliente ad accedere al Servizio; visitatori del sito e dell’app; soggetti che interagiscono con le comunicazioni e-mail inviate da Ordee; eventuali soggetti indicati nei documenti amministrativi e di fatturazione.

4. Categorie di dati personali trattati

Il Titolare può trattare: dati identificativi e di contatto (nome, cognome, ragione sociale, e-mail, telefono, ruolo); credenziali e dati di autenticazione; dati amministrativi, fiscali e di fatturazione; dati relativi all’abbonamento e ai pagamenti; dati tecnici di navigazione e di utilizzo del sito o dell’app; indirizzo IP, identificativi di dispositivo, log di accesso, dati diagnostici, crash report, eventi di sicurezza, metadati di sessione; contenuti delle richieste di supporto o contatto; preferenze di marketing e consensi eventualmente prestati. In relazione all’app mobile, possono inoltre essere trattati identificativi tecnici e informazioni sul dispositivo nei limiti necessari al funzionamento, alla sicurezza e alla gestione dell’applicazione.

5. Provenienza dei dati

I dati sono raccolti, di regola, direttamente presso l’interessato o tramite il Cliente per conto del quale l’interessato opera. Taluni dati tecnici sono raccolti automaticamente durante l’uso del sito o dell’app. I dati di pagamento possono essere acquisiti tramite i provider di pagamento per quanto necessario alla verifica dell’avvenuto pagamento, alla riconciliazione amministrativa e alla gestione del rapporto contrattuale, fermo restando che il trattamento dei dati di pagamento da parte del provider avviene secondo le sue proprie informative e condizioni.

6. Finalità del trattamento e basi giuridiche

I dati personali sono trattati per le finalità di seguito indicate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione. Finalità Base giuridica Osservazioni Registrazione dell’account, attivazione del Servizio, autenticazione e gestione degli accessi Esecuzione di misure precontrattuali o del contratto (art. 6, par. 1, lett. b GDPR) Il conferimento è necessario per creare e gestire l’account.

Erogazione del Servizio, supporto tecnico, gestione ticket e comunicazioni operative Esecuzione del contratto (art. 6, par. 1, lett. b GDPR) Comprende notifiche strettamente funzionali all’uso della piattaforma. Fatturazione, contabilità, adempimenti fiscali, gestione pagamenti e contestazioni Adempimento di obblighi legali (art. 6, par. 1, lett. c GDPR) e, se del caso, esecuzione del contratto I dati sono conservati anche secondo i termini imposti dalla normativa civilistica e fiscale. Prevenzione frodi, sicurezza, monitoraggio accessi, log, difesa in giudizio e tutela dei diritti del Titolare Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR) e, ove necessario, obbligo legale Il trattamento è limitato a quanto necessario e proporzionato alla sicurezza e alla tutela del servizio. Invio di comunicazioni commerciali, newsletter, promozioni o materiale informativo Consenso dell’interessato (art. 6, par. 1, lett. a GDPR), salvo ipotesi di soft spam nei limiti di legge Il consenso è sempre revocabile senza pregiudicare la liceità del trattamento già effettuato. Analisi aggregate sull’uso del Servizio, miglioramento delle performance e sviluppo del prodotto Legittimo interesse del Titolare oppure consenso, a seconda dello strumento utilizzato e del grado di intrusività L’uso di cookie o tracker non tecnici sul sito avviene secondo la Sezione III.

7. Natura del conferimento dei dati e conseguenze del mancato conferimento

Il conferimento dei dati contrassegnati come necessari in fase di registrazione o di esecuzione del rapporto contrattuale è obbligatorio per poter instaurare e gestire il rapporto con Ordee. Il mancato conferimento di tali dati comporta l’impossibilità di creare l’account, attivare il Servizio o dare seguito alla richiesta dell’interessato. Il conferimento dei dati per finalità di marketing è invece facoltativo; il mancato conferimento o la revoca del consenso non incidono sulla fruizione del Servizio principale.

8. Destinatari dei dati

I dati possono essere comunicati a soggetti che operano, a seconda dei casi, quali responsabili del trattamento, autonomi titolari o persone autorizzate al trattamento. Rientrano in tale categoria, a titolo esemplificativo: fornitori di hosting, cloud e database; fornitori di servizi e-mail e notifiche; consulenti legali, fiscali e amministrativi; provider di pagamento; soggetti che forniscono servizi di sicurezza, monitoraggio o assistenza; autorità pubbliche, enti o organismi cui la comunicazione sia dovuta per legge o ordine dell’autorità. L’elenco aggiornato dei responsabili del trattamento nominati da Ordee può essere richiesto ai recapiti del Titolare.

9. Trasferimenti di dati verso Paesi extra SEE

Qualora taluni fornitori o subfornitori trattino dati personali in Paesi non appartenenti allo Spazio Economico Europeo, il Titolare assicura che il trasferimento avvenga nel rispetto del Capo V del GDPR, mediante decisione di adeguatezza, clausole contrattuali standard, misure supplementari ove necessarie o altre garanzie idonee previste dalla normativa vigente. Le informazioni essenziali sulle garanzie adottate possono essere richieste al Titolare, nei limiti consentiti dalla legge e dagli obblighi di riservatezza applicabili.

10. Periodi di conservazione

I dati personali sono conservati per un periodo non superiore a quello necessario al perseguimento delle finalità per cui sono raccolti, fatti salvi gli obblighi di legge, l’eventuale necessità di difendere un diritto in sede giudiziaria e le esigenze tecniche di sicurezza, backup e continuità operativa. I periodi sotto indicati possono essere estesi nei limiti strettamente necessari in presenza di contenzioso, audit, verifiche o richieste dell’autorità. Categoria di dati / finalità Periodo indicativo di conservazione

Dati anagrafici, di contatto e contrattuali del Cliente Per tutta la durata del rapporto contrattuale e, successivamente, per il periodo necessario a tutelare i diritti del Titolare e ad adempiere agli obblighi di legge. Dati amministrativi, contabili e fiscali Fino a 10 anni dalla cessazione del rapporto o per il diverso termine imposto dalla legge. Ticket di supporto, richieste di assistenza e corrispondenza operativa Di regola fino a 24 mesi dalla chiusura della richiesta, salvo necessità di ulteriore conservazione per contestazioni o esigenze documentali. Log tecnici, eventi di sicurezza, accessi e dati diagnostici Per il tempo strettamente necessario alle finalità di sicurezza, audit, troubleshooting e prevenzione abusi; indicativamente da 6 a 24 mesi, salva diversa esigenza tecnica o obbligo di legge. Dati utilizzati per marketing Fino a revoca del consenso e comunque entro un termine congruo definito dal Titolare secondo criteri di pertinenza e aggiornamento periodico delle liste. Backup Secondo finestre di retention tecniche coerenti con continuità operativa, sicurezza e ripristino; allo spirare dei tempi tecnici, i dati vengono sovrascritti o cancellati.

11. Diritti degli interessati

Gli interessati possono esercitare, nei casi previsti, i diritti di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione, portabilità dei dati e revoca del consenso, nonché il diritto di non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, ove ricorrano i presupposti di legge. Le richieste possono essere inviate all’indirizzo info@ordee.it. Il Titolare riscontra le istanze nei termini previsti dal GDPR, previa verifica dell’identità del richiedente e fatti salvi i limiti di legge.

12. Reclamo all’autorità di controllo

L’interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali o di adire le competenti sedi giudiziarie, secondo quanto previsto dalla normativa vigente, qualora ritenga che il trattamento dei suoi dati personali avvenga in violazione del GDPR o della disciplina nazionale applicabile.

13. Comunicazioni commerciali e revoca del consenso

Ove il Titolare effettui attività di marketing diretto sulla base del consenso, l’interessato può revocare tale consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca. La revoca può essere esercitata mediante il link di disiscrizione presente nelle comunicazioni commerciali o contattando il Titolare ai recapiti sopra indicati.

14. Decisioni automatizzate e profilazione

Salvo quanto eventualmente reso noto con specifica informativa supplementare, il Titolare non adotta processi decisionali integralmente automatizzati produttivi di effetti giuridici o analogamente significativi sull’interessato ai sensi dell’art. 22 GDPR. Eventuali trattamenti di analytics, statistica o miglioramento del servizio sono effettuati, di regola, in forma aggregata o con misure di minimizzazione adeguate; ove sia necessario un consenso specifico, questo sarà richiesto con modalità separate e documentabili.

15. Minori

Il Servizio non è destinato a minori di anni 18 e non viene intenzionalmente offerto a soggetti che non agiscano in ambito professionale o organizzativo. Qualora il Titolare venga a conoscenza dell’acquisizione inconsapevole di dati di minori in violazione della normativa applicabile, adotterà le misure ragionevoli per cancellarli o anonimizzarli senza ritardo.

16. Sicurezza del trattamento

Il Titolare adotta misure tecniche e organizzative adeguate, calibrate sulla natura dei dati, sul contesto del trattamento e sui rischi per i diritti e le libertà delle persone fisiche. Tali misure possono comprendere, tra l’altro, cifratura dei canali di comunicazione, autenticazione protetta, gestione profilata degli accessi, logging, monitoraggio, backup, segregazione ambienti e procedure di gestione incidenti. Le misure sono riesaminate periodicamente e aggiornate ove necessario.

17. Aggiornamenti dell’informativa

La presente informativa può essere modificata o integrata per adeguarla a evoluzioni normative, tecniche, organizzative o funzionali del Servizio. In caso di modifiche rilevanti, il Titolare ne darà adeguata comunicazione mediante il sito, l’app, l’area riservata o altri canali idonei.

Matrice sintetica dei trattamenti

Trattamento Ruolo privacy di Ordee Base giuridica prevalente Canale Registrazione account e accesso al gestionale Titolare Contratto / misure precontrattuali Sito e app Supporto tecnico e assistenza Titolare Contratto E-mail / ticket / area riservata Sicurezza, log, prevenzione frodi Titolare Legittimo interesse / obblighi di sicurezza Infrastruttura cloud Dati caricati dal Cliente nel gestionale per proprie finalità Responsabile Istruzioni del Cliente titolare Piattaforma SaaS Cookie e tracker non tecnici del sito Titolare Consenso Sito web

1. Cosa sono cookie e strumenti analoghi

I cookie sono piccoli file di testo che i siti web possono memorizzare sul dispositivo dell’utente per consentire il funzionamento del sito, ricordare preferenze, analizzare l’uso del servizio o, nei casi consentiti, svolgere attività di misurazione o marketing. Strumenti analoghi possono operare anche mediante SDK, local storage, pixel, identificativi pubblicitari o tecnologie equivalenti, specie nell’ambiente mobile.

2. Ambito della presente policy

La presente Sezione III disciplina i cookie e gli altri strumenti di tracciamento eventualmente utilizzati dal sito ordee.it e, nei limiti applicabili, gli strumenti analoghi eventualmente presenti nell’app mobile. I soli cookie o strumenti tecnici strettamente necessari al funzionamento del sito o all’erogazione di un servizio richiesto dall’utente possono essere utilizzati senza consenso, fermo l’obbligo di fornire un’informativa adeguata. Ogni cookie o tracker non tecnico è attivato solo previo consenso, secondo le regole di seguito indicate.

3. Categorie di strumenti utilizzati

Ordee può utilizzare, o rendere disponibili tramite fornitori terzi, le seguenti categorie di strumenti di memorizzazione o tracciamento: (i) strumenti tecnici o strettamente necessari; (ii) strumenti funzionali, ove presenti, per ricordare impostazioni non essenziali richieste dall’utente; (iii) strumenti analytics di prima o terza parte, utilizzabili senza consenso solo se correttamente configurati con misure di minimizzazione e in modo da non consentire il tracciamento esteso dell’utente; (iv) strumenti di profilazione, marketing o remarketing, installati solo previo consenso libero, specifico, informato e inequivoco.

4. Banner cookie e impostazioni di default

Al primo accesso, il sito rende disponibile un banner o meccanismo equivalente che consente all’utente di accettare, rifiutare o personalizzare l’uso dei cookie non tecnici. Le impostazioni iniziali devono essere configurate secondo il principio di privacy by default, in modo che, in assenza di una scelta positiva dell’utente, siano attivi soltanto i cookie tecnici e gli eventuali analytics equiparabili ai tecnici alle condizioni previste dalla normativa. La chiusura del banner senza esprimere consenso mantiene le impostazioni di default e non autorizza l’installazione di cookie di profilazione o di altri strumenti di tracciamento non tecnici.

5. Consenso e sue caratteristiche

Il consenso, quando necessario, è raccolto mediante una azione positiva inequivoca dell’utente, separata dai Termini di Servizio e documentabile. Non costituiscono consenso valido il semplice proseguimento della navigazione, lo scroll della pagina o meccanismi analoghi non idonei a esprimere una volontà libera, specifica e consapevole. La scelta dell’utente è memorizzata per evitare la riproposizione indebita del banner, salvo mutamenti rilevanti dei trattamenti, cancellazione dei cookie o decorso del termine di ripresentazione previsto dalla disciplina applicabile.

6. Analytics e misurazione

Gli strumenti analytics, quando utilizzati, devono essere configurati in modo coerente con i principi di minimizzazione, limitazione delle finalità e privacy by design. Qualora gli analytics di terza parte non siano configurati con misure idonee a ridurne significativamente il potere identificativo e a impedire la combinazione dei dati con altre informazioni, essi sono trattati come strumenti non tecnici e richiedono il consenso preventivo dell’utente.

7. Gestione delle preferenze

L’utente può in ogni momento modificare o revocare le preferenze sui cookie attraverso l’apposito link “Gestisci cookie” o strumento equivalente reso disponibile nel sito, nonché intervenendo sulle impostazioni del browser o del dispositivo. La revoca del consenso non pregiudica la liceità dei trattamenti svolti prima della revoca.

8. Cookie e strumenti di terze parti

L’utilizzo del sito può implicare l’interazione con fornitori terzi per servizi di pagamento, sicurezza, hosting, invio e-mail o analytics. Qualora tali soggetti installino propri cookie o strumenti di tracciamento in qualità di autonomi titolari, Ordee rende disponibili, per quanto ragionevolmente possibile, il rinvio alle rispettive informative e ai relativi strumenti di gestione delle preferenze. Resta inteso che l’effettivo catalogo dei cookie dipende dalla configurazione tecnica attiva al momento della consultazione del sito.

9. Elenco aggiornato degli strumenti

Per garantire trasparenza e accuratezza, l’elenco specifico dei cookie, degli identificativi, dei provider, delle finalità, delle basi giuridiche e delle durate di conservazione deve essere mantenuto aggiornato all’interno della piattaforma di gestione del consenso (CMP), del pannello cookie o in un’appendice tecnica periodicamente revisionata. La tabella seguente costituisce il perimetro minimo che il Titolare si impegna a mantenere allineato all’effettiva implementazione tecnica. Categoria Esempi / provider Finalità Base giuridica Durata Cookie tecnici di sessione e autenticazione Ordee / infrastruttura applicativa / provider auth Consentire login, sicurezza sessione, bilanciamento, continuità operativa Necessità tecnica / art. 122 Codice Privacy e art. 6, par. 1, lett. b o f GDPR Sessione o termine tecnico strettamente necessario Cookie tecnici di pagamento e antifrode Provider di pagamento (es. Stripe) nel contesto del checkout Gestione sicura del pagamento e prevenzione frodi Necessità di erogare il servizio richiesto Secondo il tempo tecnico previsto dal provider Analytics minimizzati o di prima parte Strumenti di misurazione configurati in modalità privacy-preserving Statistiche aggregate, performance del sito, debugging Legittimo interesse o esenzione dal consenso solo se ricorrono i presupposti normativi Per il periodo minimo necessario alla statistica Analytics / tracker non minimizzati di terza parte Eventuali servizi di web analytics non equiparabili ai tecnici Misurazione, reportistica, ottimizzazione Consenso Secondo configurazione tecnica e preferenza dell’utente Profilazione / marketing Eventuali pixel, remarketing o advertising tools Pubblicità comportamentale, audience, remarketing Consenso Secondo configurazione tecnica e preferenza dell’utente

10. Browser e dispositivo

L’utente può gestire i cookie anche tramite le impostazioni del browser o del dispositivo, cancellando i cookie già installati o bloccandone l’installazione futura. La disattivazione dei cookie tecnici può, tuttavia, compromettere la corretta fruizione del sito o di alcune sue funzionalità.

11. App mobile e SDK

Per l’app mobile, eventuali SDK di crash reporting, sicurezza, autenticazione o analytics devono essere configurati coerentemente con la presente policy, con la privacy label resa disponibile sul relativo store e con le preferenze espresse dall’utente quando richiesto dalla normativa applicabile. Gli identificativi raccolti tramite SDK sono trattati secondo principi di minimizzazione, necessità e trasparenza.

12. Aggiornamenti

La presente Cookie Policy può essere modificata per adeguarla a mutamenti normativi, indicazioni dell’autorità, aggiornamenti tecnici del sito o sostituzione dei fornitori. La versione aggiornata è resa disponibile nel sito con data di ultimo aggiornamento chiaramente indicata.

1. Parti e qualificazione del rapporto

La presente Sezione IV disciplina il trattamento dei dati personali che il Cliente immette, memorizza, organizza o rende altrimenti trattabili mediante il Servizio per finalità proprie e autonome. In tale ambito il Cliente agisce quale titolare del trattamento e Ordee / Francesco Chiarelli agisce quale responsabile del trattamento. La presente Sezione IV non si applica ai trattamenti che Ordee svolge quale titolare per finalità proprie, descritti nella Sezione II.

2. Oggetto, durata, natura e finalità del trattamento

Ordee tratta i dati personali per conto del Cliente al solo fine di mettere a disposizione il Servizio SaaS, ospitare e rendere accessibili i dati, eseguire operazioni tecniche di memorizzazione, organizzazione, consultazione, backup, manutenzione, supporto, sicurezza, trasmissione e ogni altra attività strettamente necessaria a erogare il Servizio in conformità al contratto e alle istruzioni lecite del Cliente. Il trattamento dura per l’intera vigenza del rapporto contrattuale e, successivamente, per il limitato periodo tecnico necessario alla restituzione, cancellazione o anonimizzazione dei dati, salvi obblighi di legge o esigenze di sicurezza documentate.

3. Categorie di interessati e tipi di dati

Le categorie di interessati e i tipi di dati dipendono dall’uso che il Cliente effettua del Servizio. Il Cliente si impegna a utilizzare la piattaforma in modo conforme alla normativa e a non trattare tramite Ordee dati eccedenti o privi di base giuridica. A titolo esemplificativo, il trattamento può riguardare clienti finali del Cliente, prenotanti, dipendenti, collaboratori, fornitori, partner commerciali o altri soggetti i cui dati siano inseriti nel gestionale per finalità organizzative, commerciali o amministrative del Cliente. Elemento Descrizione Categorie di interessati Clienti finali del Cliente, utenti del locale, dipendenti, collaboratori, fornitori, referenti commerciali o altri soggetti inseriti dal Cliente nel gestionale. Categorie di dati Dati identificativi, di contatto, dati organizzativi e operativi, dati relativi a ordini, prenotazioni, note interne, documenti amministrativi o altre informazioni inserite dal Cliente. Operazioni di trattamento Raccolta, registrazione, organizzazione, conservazione, consultazione, estrazione, trasmissione, cancellazione, anonimizzazione, backup, sicurezza e supporto tecnico. Finalità Erogazione del Servizio SaaS e adempimento delle istruzioni documentate del Cliente.

4. Istruzioni documentate del Cliente

Ordee tratta i dati personali soltanto su istruzione documentata del Cliente, salvo che il trattamento sia imposto dal diritto dell’Unione o nazionale cui il responsabile è soggetto; in tal caso Ordee informa il Cliente prima del trattamento, salvo che la legge vieti tale informazione per rilevanti motivi di interesse pubblico. Le istruzioni risultano dal contratto, dalla configurazione del Servizio, dai ticket di supporto, dalle richieste inviate tramite canali aziendali e da ulteriori atti scritti delle parti. Ordee informa senza ritardo il Cliente qualora, a suo giudizio ragionevole, un’istruzione violi il GDPR o altra disciplina applicabile in materia di protezione dei dati.

5. Persone autorizzate al trattamento e riservatezza

Ordee garantisce che le persone autorizzate a trattare dati personali per conto del Cliente siano vincolate da obblighi di riservatezza o soggette a un adeguato obbligo legale di confidenzialità, ricevano istruzioni idonee e accedano ai dati solo nella misura necessaria allo svolgimento delle mansioni loro attribuite.

6. Misure tecniche e organizzative

Ordee adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Le misure minime applicabili sono descritte nell’Appendice A e comprendono, in via non esaustiva, controllo accessi, autenticazione, logging, backup, gestione vulnerabilità, cifratura dei flussi, segregazione logica e procedure di gestione incidenti.

7. Assistenza al Cliente

Tenuto conto della natura del trattamento e delle informazioni a disposizione di Ordee, il responsabile assiste il Cliente con misure tecniche e organizzative adeguate, per quanto ragionevolmente possibile, nel dare seguito alle richieste di esercizio dei diritti degli interessati, nell’effettuare valutazioni di impatto, nella gestione delle richieste dell’autorità, nell’adempimento degli obblighi di sicurezza e, se del caso, nelle consultazioni preventive previste dagli artt. 35 e 36 GDPR.

8. Data breach

Ordee informa il Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che riguardi i dati trattati per conto del Cliente. La comunicazione contiene, nella misura disponibile al momento, una descrizione della natura della violazione, delle categorie di dati e interessati coinvolti, delle probabili conseguenze e delle misure adottate o proposte per porvi rimedio e attenuarne i possibili effetti negativi. Ordee coopera, nei limiti ragionevoli, con il Cliente per supportarlo nelle valutazioni e negli eventuali adempimenti di notifica verso autorità e interessati.

9. Sub-responsabili

Il Cliente autorizza in via generale Ordee a ricorrere a sub-responsabili che forniscano garanzie adeguate in materia di protezione dei dati. L’elenco dei sub-responsabili inizialmente autorizzati è riportato nell’Appendice B. Ordee si impegna a imporre ai sub-responsabili, mediante contratto o altro atto giuridicamente vincolante, obblighi sostanzialmente equivalenti a quelli previsti dal presente DPA. In caso di aggiunta o sostituzione di sub-responsabili che possa incidere in modo non trascurabile sul trattamento, Ordee ne dà informazione al Cliente con mezzi idonei, riconoscendogli un termine ragionevole per formulare eventuali obiezioni motivate relative alla protezione dei dati.

10. Trasferimenti extra SEE nel rapporto di nomina

Qualora l’esecuzione del Servizio comporti trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, Ordee assicura che tali trasferimenti avvengano nel rispetto del Capo V del GDPR, mediante decisione di adeguatezza, clausole contrattuali standard o altra base di legittimazione applicabile, integrata da misure supplementari ove necessarie. Su richiesta ragionevole, Ordee fornisce al Cliente le informazioni essenziali sulle garanzie adottate, nei limiti consentiti da obblighi di riservatezza e sicurezza.

11. Audit e dimostrazione della conformità

Ordee mette a disposizione del Cliente le informazioni ragionevolmente necessarie a dimostrare il rispetto degli obblighi del presente DPA. Il Cliente può effettuare audit documentali o richiedere chiarimenti scritti con frequenza ragionevole. Eventuali audit in loco o verifiche tecniche più invasive devono essere concordati con congruo preavviso, svolti in orari lavorativi, senza compromettere la sicurezza o la continuità del Servizio e nel rispetto di obblighi di riservatezza verso altri clienti, segreti industriali e misure di sicurezza. I costi

straordinari derivanti da audit richiesti dal Cliente possono essere addebitati in misura ragionevole, previa comunicazione.

12. Restituzione, cancellazione e anonimizzazione

Alla cessazione del rapporto, e salva diversa istruzione lecita del Cliente, Ordee cancella o rende anonimi i dati personali trattati per conto del Cliente e ne elimina le copie esistenti, salvo che la conservazione sia imposta dal diritto dell’Unione o nazionale oppure risulti tecnicamente necessaria per il tempo strettamente indispensabile alla chiusura dei backup o alla sicurezza del sistema. Se tecnicamente previsto dal Servizio, Ordee consente al Cliente di esportare i dati prima della cancellazione definitiva. In assenza di diversa pattuizione, il termine ordinario per la cancellazione o anonimizzazione operativa è di 60 giorni dalla cessazione del Servizio, fatti salvi i limiti sopra indicati.

13. Responsabilità e coordinamento con il contratto principale

Ciascuna parte risponde degli obblighi posti a suo carico dalla normativa privacy in relazione al ruolo concretamente ricoperto. Resta inteso che il Cliente è l’unico responsabile della liceità delle finalità perseguite mediante il Servizio, della correttezza delle istruzioni impartite, della base giuridica sottostante ai trattamenti effettuati tramite Ordee e dell’esattezza dei dati inseriti. Per quanto non espressamente disciplinato nel presente DPA, restano ferme le previsioni del contratto principale, purché compatibili con la disciplina inderogabile in materia di protezione dei dati personali.

14. Contatti privacy relativi al rapporto di nomina

Le comunicazioni del Cliente relative alla presente nomina a responsabile, comprese richieste di supporto privacy, contestazioni, esercizio di diritti o segnalazioni di sicurezza, possono essere inviate ai recapiti indicati nella Sezione II, ferma la facoltà delle parti di concordare canali dedicati per la gestione operativa delle richieste in materia di protezione dei dati.

Le misure sotto indicate rappresentano il perimetro minimo che Ordee dichiara di applicare o di impegnarsi ad applicare in modo coerente con l’evoluzione tecnica del Servizio. Esse devono essere riesaminate periodicamente e adattate al rischio effettivo. Area Misure minime Controllo degli accessi Credenziali individuali, principi di need-to-know e least privilege, disattivazione accessi non più necessari, segmentazione dei ruoli amministrativi. Autenticazione Protezione delle credenziali, politiche di password robuste, possibilità di autenticazione rafforzata ove disponibile, gestione sicura delle sessioni. Trasmissione dati Uso di canali cifrati HTTPS/TLS e protezione dei collegamenti tra client, API e infrastruttura cloud. Sicurezza infrastrutturale Hardening dei sistemi, aggiornamento software, patch management, monitoraggio vulnerabilità e procedure di remediation. Logging e monitoraggio Registrazione degli eventi rilevanti di sicurezza, accesso e funzionamento, con monitoraggio proporzionato e conservazione controllata dei log. Backup e ripristino Esecuzione di backup periodici, test ragionevoli di ripristino e retention tecnica coerente con continuità operativa e minimizzazione. Gestione incidenti Procedure interne per rilevazione, contenimento, analisi e gestione degli incidenti di sicurezza e delle violazioni dei dati personali. Riservatezza del personale Impegni di confidenzialità, istruzioni interne, limitazione degli accessi e formazione adeguata al ruolo. Sviluppo e cambiamento Gestione controllata degli ambienti e dei cambiamenti, separazione logica ove possibile tra ambienti di sviluppo, test e produzione. Subfornitori Selezione di soggetti che forniscano garanzie adeguate, contrattualizzazione privacy, verifica periodica e controllo dei flussi internazionali.

L’elenco seguente rappresenta i sub-responsabili autorizzati sulla base delle informazioni desumibili dalla documentazione fornita. Prima della pubblicazione definitiva del documento, l’elenco va verificato e aggiornato in funzione dell’architettura effettivamente in uso. Fornitore Servizio reso Ruolo previsto nel DPA Note di verifica Supabase Database, backend cloud e servizi tecnici connessi all’infrastruttura applicativa Sub-responsabile Verificare localizzazione dei dati, SCC/garanzie e retention tecnica. Vercel Hosting applicativo, delivery e servizi infrastrutturali Sub-responsabile Verificare le funzionalità effettivamente attive e gli eventuali log/analytics. Resend Invio di e-mail transazionali e notifiche di servizio Sub-responsabile, se tratta dati del Cliente per conto di quest’ultimo Verificare contenuto delle notifiche, metadata trattati e flussi internazionali. Stripe Gestione pagamenti del canone e antifrode Di regola fuori dal DPA Cliente-Ordee per i pagamenti del canone; da qualificare separatamente Includerlo nel DPA solo se tratta effettivamente dati del Cliente per suo conto.

Nota conclusiva

Il presente testo è strutturato per essere pubblicato o utilizzato come base contrattuale in modo coordinato. Tuttavia, la tutela effettiva dipende dall’allineamento tra documento, configurazione tecnica, organizzazione interna, registro dei trattamenti, sistemi di consenso, misure di sicurezza, app store privacy labels e rapporti contrattuali con i fornitori terzi.

Torna alla Home