Informativa sulla protezione dei dati

 Introduzione

Con la presente informativa desideriamo spiegarti quali tipi di dati personali (di seguito, “dati”) trattiamo, per quali finalità e in quale misura. L’informativa si applica a tutti i trattamenti di dati personali da noi effettuati: nell’erogazione dei nostri servizi, sui nostri siti web, nelle app mobili e nelle presenze online esterne (ad es. profili social o la nostra piattaforma di consegna per servizi di ristorazione), di seguito “offerta online”.

Ti segnaliamo che alcuni trattamenti possono avvenire anche al di fuori dell’Unione Europea e quindi al di fuori del campo di applicazione del GDPR; su ciò non abbiamo influenza. Possono derivarne rischi per la protezione dei dati (ad es. difficoltà a far valere i diritti ai sensi del GDPR). Ci impegniamo comunque a garantire il miglior livello di protezione possibile.

I termini utilizzati non sono specifici di genere.

Indice sintetico

  • Titolare & contatti DPO • Panoramica dei trattamenti • Basi giuridiche • Misure di sicurezza • Diritti degli interessati • Comunicazione e trasferimento dati • Cookie • Servizi commerciali (account cliente) • Servizi gastronomici • Marketplace e-commerce • Contatti • Messenger • Riunioni online • Sondaggi • Hosting • Selezione del personale • Servizi cloud • Comunicazioni promozionali • Newsletter • Concorsi • Online marketing • Synerise • Google Analytics 4 • Google Tag Manager • Hotjar • Presenze social • Social plug-in • Facebook Pixel • YouTube • Google Maps • reCAPTCHA • Cancellazione dei dati • Modifiche • Autorità competente • Definizioni.

Titolare & contatti del responsabile della protezione dei dati (DPO)

FCF Holding GmbH, Hohenzollernring 31-35, 50672 Colonia, Germania

Rappresentanti legali: Dr. Johannes Steegmann, Jan Fischer

E-mail: datenschutz@eathappygroup.com | Tel.: +49 221 6699360

Impressum: https://eathappygroup.com/fcf-holding-gmbh/impressum/

Contatto DPO

ap-Datenschutz GmbH – Dr. iur. Andreas Pinheiro LL.M., Hohenstaufenring 8, 50674 Colonia

Tel.: +49 221 99989030 | Fax: +49 221 42327859 | E-mail: info@ap-datenschutz.de | https://ap-datenschutz.de

Panoramica dei trattamenti

Tipologie di dati trattati

  • Dati identificativi (es. nome, indirizzo) • Dati dei candidati • Dati di contenuto (testi, foto, video) • Dati di contatto (e-mail, telefono) • Dati meta/comunicazione (IP, info dispositivo) • Dati d’uso (pagine viste, tempi di accesso) • Dati di localizzazione • Dati contrattuali • Dati di pagamento.

Categorie particolari: dati sulla salute (ad es. allergie nell’ambito di ordini di cibo).

Categorie di interessati

  • Dipendenti e candidati • Partner commerciali e contrattuali • Interessati • Partner di comunicazione • Clienti • Utenti (visitatori del sito/servizi online) • Partecipanti a concorsi.

Finalità del trattamento

  • Fornitura dell’offerta online e usabilità • Valutazione visite/azioni • Selezione del personale • Procedure organizzative • Cross-device tracking • Direct marketing • Gestione concorsi • Feedback • Marketing basato su interessi/comportamenti • Richieste di contatto e comunicazione • Misurazione conversioni • Profilazione • Remarketing • Misurazione audience • Sicurezza • Tracking • Esecuzione contrattuale e assistenza • Gestione e risposta alle richieste • Creazione di audience.

Basi giuridiche

  • Consenso (art. 6(1)(a) GDPR) • Esecuzione del contratto e misure precontrattuali (art. 6(1)(b)) • Obbligo legale (art. 6(1)(c)) • Legittimo interesse (art. 6(1)(f)) – ad es. sicurezza IT • Selezione del personale ai sensi dell’art. 88 GDPR in combinato disposto con § 26 BDSG • Ulteriori norme nazionali tedesche (BDSG) applicabili, incluse disposizioni su categorie particolari, altri scopi e decisioni automatizzate.

Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio, in linea con lo stato dell’arte, i costi di attuazione e la natura/portata/finalità del trattamento. Tra queste: controllo accessi fisici/elettronici, gestione autorizzazioni, logging, separazione dei dati, procedure per i diritti degli interessati e per la risposta agli incidenti.

Riduzione IP (IP-masking) ove possibile. Connessioni protette tramite SSL/TLS (https).

Diritti degli interessati

  • Accesso • Rettifica o cancellazione • Limitazione • Opposizione • Portabilità. Se hai dato il consenso, puoi revocarlo in qualsiasi momento (la liceità fino alla revoca resta valida). Richieste a: datenschutz@fcf-holding.com o all’indirizzo indicato sopra. Puoi richiedere la cancellazione (fatte salve le conservazioni obbligatorie). Hai diritto a reclamo presso l’autorità competente (elenco: https://www.bfdi.bund.de/…).

Comunicazione e trasferimento di dati personali

Possiamo comunicare dati a soggetti terzi (es. istituti di pagamento, fornitori IT, provider di contenuti). Stipuliamo accordi conformi all’art. 28 GDPR con i responsabili del trattamento. Trasferimenti intra-gruppo/organizzazione per finalità amministrative (legittimo interesse) o per l’adempimento contrattuale.

Uso dei cookie

Utilizziamo cookie necessari e – previo consenso – cookie statistici/marketing/personalizzazione. Puoi configurare il browser per rifiutare cookie di terze parti o tutti i cookie (alcune funzioni potrebbero non essere disponibili). Se disponi di un account, i cookie possono riconoscerti nelle visite successive.

Categorie

  • Temporanei (sessione) • Permanenti • First/Third-party • Necessari • Statistica/Marketing/Personalizzazione (tracking).

Base giuridica

Per i cookie non strettamente necessari, richiediamo il tuo CONSENSO (revocabile). I cookie necessari si basano sul nostro legittimo interesse alla funzionalità dell’offerta online.

Esempi di cookie utilizzati (estratto)

Google (NID, _ga/_gid/_gat, _gcl_au, DSID, IDE), Facebook (_fbp, ecc.), Hotjar (_hj*), reCAPTCHA (rc::c), Borlabs-cookie. Dettagli e durate sono indicati nel banner cookie del sito.

Servizi commerciali e gestione account cliente

Trattiamo i dati dei partner contrattuali per l’adempimento degli obblighi, tutela dei diritti e organizzazione aziendale. Base giuridica: art. 6(1)(b) GDPR. Possiamo comunicare dati a terzi nei limiti di legge (telecomunicazioni, trasporto, subfornitori, banche, consulenti, autorità fiscali). I responsabili del trattamento sono vincolati da accordi art. 28 GDPR. Conservazione: in genere 4 anni (garanzia), documenti fiscali 10 anni (art. 6(1)(c)).

Servizi gastronomici

Trattiamo i dati dei visitatori per preparare e consegnare alimenti/bevande e per l’addebito. Eventuali dati relativi alla salute (es. allergie) sono trattati per tutelare gli interessi sanitari, sulla base del consenso.

Uso di marketplace online per e-commerce

Trattiamo i dati dei clienti per selezione/acquisto/ordine, pagamento e consegna/erogazione. Base giuridica: art. 6(1)(b). Sulle piattaforme di terzi valgono anche le loro informative (misurazione audience/marketing su legittimo interesse con misure di anonimizzazione).

Servizi impiegati: Lieferando, SimplyDelivery (vedi rispettive privacy policy).

Contatti

Nel contattarci (moduli, e-mail, telefono, social), trattiamo i dati necessari a rispondere e per eventuali misure richieste. Base giuridica: art. 6(1)(b) e legittimo interesse.

Comunicazione via Messenger

Possibile crittografia end-to-end dei contenuti; i fornitori possono trattare metadati. Base giuridica: consenso ove richiesto; altrimenti art. 6(1)(b)/(f). Puoi revocare il consenso o opporti in qualsiasi momento. Canali: Facebook Messenger, Microsoft Teams/Skype (vedi policy dei fornitori).

Videoconferenze e meeting online

Usiamo piattaforme di terzi (es. Microsoft Teams, Skype, TeamViewer). Si trattano dati dei partecipanti (registrazione/contatto, audio/video, chat, screen sharing). Base giuridica: consenso, art. 6(1)(b) o legittimo interesse; accordi art. 28 GDPR con i fornitori.

Sondaggi e questionari

In genere anonimi; trattamento personale solo per la messa a disposizione tecnica o con consenso. Base giuridica: art. 6(1)(a); per misurazioni di reach: art. 6(1)(f). Servizio: Microsoft Forms (Pro).

Fornitura dell’offerta online e web hosting

Utilizziamo servizi di hosting (infrastruttura, piattaforme, storage, sicurezza, manutenzione). Si trattano IP e tutti gli input effettuati nell’offerta online. Log di accesso per sicurezza (es. DDoS) e stabilità. Legittimo interesse (sicurezza/proprio IT). Servizi: Flying Circus; SimplyDelivery (logistica).

Selezione del personale (candidature)

Dati necessari: indicati nell’annuncio o nel form (dati personali, contatti, qualifiche, documenti). Possibili categorie particolari ove richieste dalla legge.

Invio tramite form online (trasmissione cifrata al nostro HR Hub su MS Dynamics in UE), via e-mail (attenzione: e-mail non sempre cifrate end-to-end) o posta.

Basi giuridiche: art. 88 GDPR + §26 BDSG; per categorie particolari §26(3) BDSG in combinato con §22 BDSG.

Conservazione: in caso di assunzione, ulteriore trattamento; in caso negativo, cancellazione di norma entro 4 mesi dal termine; ritiro candidatura: entro 6 mesi. Pool talenti su consenso, max 3 anni o fino a revoca.

Servizi cloud

Usiamo servizi cloud/SaaS (archiviazione, calendari, e-mail, fogli/presentazioni, condivisione contenuti, pubblicazione web, chat e audio/video). Possono essere trattati dati personali e metadati per sicurezza/ottimizzazione. I provider possono usare cookie per analisi web o memorizzare preferenze. Accordi art. 28 GDPR, metadati anonimizzati; base: legittimo interesse e, ove richiesto, consenso.

Servizi: Apple iCloud, Google Cloud, Microsoft Cloud (con Clausole Contrattuali Standard per trasferimenti extra-UE).

Comunicazioni promozionali via e-mail, posta, fax o telefono

Trattiamo dati per comunicazioni promozionali nel rispetto della legge. Base: legittimo interesse (art. 6(1)(f)); ove non possibile, consenso (art. 6(1)(a)). Revoca/opt-out sempre possibile. Dati per prova del consenso conservabili fino a 3 anni (limitatamente a tale scopo).

Newsletter

Iscrizione con double opt-in (conferma entro 24 ore). Dati: e-mail (obbligatoria) e nome (per saluto). Base: art. 6(1)(a). Invio tramite Synerise; analisi di apertura/click tramite web-beacon. Puoi opporti al tracciamento o disattivare il caricamento immagini nel client e-mail. Disiscrizione sempre possibile.

Concorsi e competizioni

Trattiamo i dati dei partecipanti quanto necessario per erogazione, svolgimento e gestione; raccolta su base di consenso, esecuzione su base contrattuale (art. 6(1)(b)). Possibile pubblicazione di nomi/pseudonimi; opposizione possibile. Conservazione in genere 6 mesi dopo la fine; dei vincitori fino a 3 anni (garanzia).

Online marketing

Creiamo profili utente (cookie o tecnologie simili) per mostrare contenuti/annunci pertinenti e misurare l’efficacia. In genere si usano pseudonimi (non memorizziamo dati in chiaro come e-mail/nome). IP con IP-masking. Durata tipica cookie: fino a 24 mesi salvo diversa indicazione.

Synerise

Usato (su consenso) per analisi del sito e invio/analisi newsletter. Viene assegnato un ID cliente casuale. Dati newsletter conservati su server UE e cancellati dopo la disiscrizione. Basi: legittimo interesse (art. 6(1)(f)) e consenso (art. 6(1)(a)). Termini/Privacy: synerise.com/legal/.

Web tracking – Google Analytics 4

GA4 (Google Ireland) con IP anonimizzata; usa cookie/script/pixel per raccogliere eventi (scroll, tempi, ricariche), dati di posizione e dispositivo. Analisi con intelligenza artificiale; log visitatori cancellati automaticamente dopo 14 mesi. Opt-out con componente aggiuntivo del browser (tools.google.com/dlpage/gaoptout). Trasferimenti extra-UE coperti da Clausole Contrattuali Standard. Base: consenso tramite banner cookie (art. 6(1)(a)).

Uso di Google Tag Manager

GTM gestisce i tag; non imposta cookie né raccoglie dati personali, ma può attivare altri tag che li raccolgono. Disattivazioni a livello di dominio/cookie restano efficaci per tutti i tag. Base: consenso (art. 6(1)(a)).

Hotjar (analisi)

Raccoglie in forma anonima mappe di calore, click e scroll; dati personali visualizzati sono oscurati. Opt-out possibile (hotjar.com/opt-out) o header Do Not Track. Basi: legittimo interesse (ottimizzazione) e consenso per cookie.

Presenze sui social network

Gestiamo profili per comunicare e informare; i dati possono essere trattati fuori UE. Le piattaforme usano dati per ricerche di mercato e pubblicità (profilazione; cookie; cross-device). Consulta le informative dei singoli gestori. Vedi anche le nostre pagine dedicate (Instagram/Facebook).

Social plug-in

Plugin di Facebook, Instagram, Xing, LinkedIn, TikTok con soluzione a due clic: finché non attivi il pulsante, non vengono trasmessi dati. Dopo l’attivazione, il provider può creare profili d’uso (anche per utenti non loggati). Base: legittimo interesse (art. 6(1)(f)).

Facebook Pixel, Custom Audiences e Conversion

Usiamo Facebook Pixel per mostrare annunci basati sugli interessi e misurare le conversioni. Facebook può associare la visita al tuo account o trattare identificatori anche se non hai un account. Base: consenso (art. 6(1)(a)). Opt-out nelle impostazioni Facebook Ads e sui siti NAI/YourOnlineChoices o rifiutando i cookie analitici nel banner.

PLUGIN: YouTube

Video incorporati in modalità privacy avanzata: i dati vengono trasmessi solo alla riproduzione. Se sei loggato a Google, i dati possono essere associati al tuo account. Base: consenso (art. 6(1)(a)); trasferimenti extra-UE con Clausole Contrattuali Standard.

PLUGIN: Integrazione di Google Maps

Mostriamo mappe interattive; alla visualizzazione Google riceve dati di utilizzo e può associare al tuo account. Base: consenso (art. 6(1)(a)); trasferimenti extra-UE con Clausole Contrattuali Standard.

Google reCAPTCHA

Utilizzato per distinguere persone e bot (può trattare l’IP). Base: consenso (art. 6(1)(a)); trasferimenti extra-UE con Clausole Contrattuali Standard.

Cancellazione dei dati

Cancelliamo i dati secondo legge quando viene revocato il consenso o viene meno la base giuridica (ad es. scopo esaurito). Se la cancellazione non è possibile per obblighi legali o esigenze di tutela di diritti, limitiamo il trattamento (blocco).

Modifiche e aggiornamenti dell’informativa

Ti invitiamo a consultare periodicamente questo documento. Lo aggiorneremo quando cambiano i trattamenti. Se servono azioni da parte tua (es. nuovo consenso), ti informeremo. Gli indirizzi indicati possono variare nel tempo.

Autorità di controllo competente

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Helga Block, Postfach 20 04 44, 40102 Düsseldorf; Kavalleriestraße 2-4, 40213 Düsseldorf; Tel.: +49 211 384240 | Fax: +49 211 3842410 | E-mail: poststelle@ldi.nrw.de | https://www.ldi.nrw.de

Definizioni (estratto)

  • Valutazione azioni/Conversion tracking • Cross-device tracking • IP-masking • Marketing basato su interessi • Misurazione conversioni • Dati personali • Profilazione • Misurazione audience • Remarketing • Tracking • Titolare • Trattamento • Creazione delle audience.

Le definizioni complete sono quelle previste dall’art. 4 GDPR.