Informativa sulla Privacy — TrackEAT
Ultimo aggiornamento: 19 maggio 2026
La presente informativa descrive come TrackEAT tratta i dati personali degli utenti dell'applicazione, ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 e successive modifiche ("Codice Privacy").
1. Titolare del trattamento
Il Titolare del trattamento è:
- Nome: Pierpaolo Criscenzo
- Sede: Agrigento (AG), Italia
- Email: privacy@trackeat.eu
- P.IVA: 03171840840
Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi scrivere a privacy@trackeat.eu.
2. Responsabile della Protezione dei Dati (DPO)
Allo stato attuale il Titolare non è obbligato alla nomina di un DPO ai sensi dell'art. 37 GDPR, in quanto non rientra nelle ipotesi tassative previste. Il punto di contatto privacy è il Titolare stesso all'indirizzo privacy@trackeat.eu.
3. Tipologie di dati trattati
TrackEAT tratta tre categorie di dati:
3.1 Dati personali "comuni"
- Nome, cognome, email del personale operativo che utilizza l'app (consulenti HACCP, ristoratori, OSA, staff)
- Ruolo aziendale dichiarato in fase di onboarding
- Token di notifica push del dispositivo mobile
- Log tecnici di utilizzo (timestamp, identificativo dispositivo, errori applicativi)
3.2 Dati aziendali
- Ragione sociale, partita IVA, indirizzo dei fornitori e dei locali gestiti
- Dati identificativi degli alimenti (lotto, scadenza, produttore, allergeni)
- Dati relativi a Documenti Di Trasporto (DDT) e fatture acquisite via fotocamera o canale SDI
3.3 Dati fiscali e credenziali di accesso a sistemi terzi
- Credenziali di accesso al Sistema di Interscambio (SDI) per la ricezione/emissione di fatture elettroniche
- Credenziali e/o delega di accesso al Cassetto Fiscale dell'Agenzia delle Entrate (a titolo esemplificativo: credenziali Entratel/Fisconline, SPID/CIE, o delega conferita a un intermediario abilitato), trattate esclusivamente per eseguire l'import automatico delle fatture e dei documenti fiscali dell'Utente
- Identificativo del cassetto fiscale e dati di Soggetti IVA terzi (fornitori) presenti nelle fatture e nei DDT importati: ragione sociale, partita IVA, codice fiscale, indirizzo
- Contenuto delle fatture elettroniche e dei DDT importati (numero, data, importi, righe, fornitore)
- Anagrafiche fornitori a fini di tracciabilità HACCP
Le credenziali di accesso a SDI e al Cassetto Fiscale sono cifrate a riposo (pgcrypto a chiave server — vedi sezione 8), non sono mai mostrate in chiaro all'Utente né ad altri, non sono mai scritte nei log applicativi, sono utilizzate unicamente dalle funzioni server che eseguono l'import che l'Utente ha esplicitamente attivato e possono essere revocate in qualsiasi momento disattivando il modulo, con conseguente cancellazione delle stesse (vedi sezione 5).
I dati sub 3.3 sono trattati solo se l'utente attiva esplicitamente il modulo SDI/Fatturazione o l'import automatico dal Cassetto Fiscale e accetta il relativo Accordo per il Trattamento dei Dati (Art. 28 GDPR), che lo qualifica come Titolare e TrackEAT come Responsabile esterno del trattamento per i dati fiscali dei suoi fornitori. L'accesso al Cassetto Fiscale avviene su mandato esplicito dell'Utente e nei soli limiti necessari all'import; TrackEAT non compie alcuna operazione dispositiva sul cassetto fiscale dell'Utente.
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (Art. 6 GDPR) |
|---|---|
| Erogazione del servizio HACCP (registrazione temperature, pulizie, scadenze, etichette) | Obbligo legale (lett. c — Reg. CE 178/2002, D.Lgs. 193/2007) |
| Gestione anagrafiche fornitori, magazzino e tracciabilità lotti | Esecuzione del contratto con l'utente (lett. b) |
| Importazione documenti fiscali da SDI / OCR DDT | Esecuzione del contratto (lett. b) — solo se modulo attivato |
| Import automatico di fatture e documenti dal Cassetto Fiscale dell'Agenzia delle Entrate | Esecuzione del contratto (lett. b), su mandato esplicito dell'Utente — solo se modulo attivato |
| Notifiche push operative (scadenze, allarmi temperatura) | Esecuzione del contratto (lett. b) |
| Comunicazioni di marketing e newsletter (al momento non attive) | Consenso (lett. a) — sarà richiesto separatamente |
| Statistiche di utilizzo aggregate, in forma anonimizzata | Legittimo interesse del Titolare (lett. f) |
| Adempimento obblighi fiscali e contabili | Obbligo legale (lett. c) |
5. Conservazione dei dati
| Categoria | Periodo |
|---|---|
| Dati HACCP (eventi temperatura, pulizie, etichette, ricette) | Minimo 5 anni dalla data di scadenza dell'alimento di riferimento (linee guida ASL + D.Lgs. 81/08), prorogabili fino a 10 anni in caso di contestazioni in corso |
| Dati fiscali (fatture, DDT, registrazioni contabili) | 10 anni (art. 2220 c.c., art. 22 DPR 600/73) |
| Credenziali di accesso a SDI / Cassetto Fiscale | Per la sola durata di attivazione del modulo; cancellate entro 30 giorni dalla disattivazione o dalla revoca da parte dell'Utente |
| Account utente e log tecnici | Per la durata del contratto + 24 mesi |
| Dati di marketing | Fino a revoca del consenso o, in mancanza, 24 mesi dall'ultimo contatto |
Trascorsi i termini, i dati vengono cancellati o anonimizzati in modo irreversibile.
6. Soggetti destinatari (sub-processor)
I tuoi dati possono essere trattati per conto del Titolare dai seguenti soggetti, in qualità di Responsabili del trattamento ex Art. 28 GDPR:
| Sub-processor | Servizio | Localizzazione dati |
|---|---|---|
| Supabase Inc. (San Francisco, USA) | Hosting database, autenticazione, edge functions, storage file | Datacenter UE (Stoccolma, Svezia) — AWS eu-north-1 |
| Cloudflare Inc. (San Francisco, USA) | DNS, CDN, email routing, hosting landing page | Anycast globale; dati in transito con preferenza UE |
| Google LLC (Mountain View, USA) — _Gemini API_ | Riconoscimento OCR/AI di DDT e fatture (solo se l'utente attiva modulo AI) | Datacenter UE/USA |
| Apple Inc. / Google LLC | Notifiche push (APNs / FCM) — solo token, non payload | Globale |
| Acube S.r.l. (Italia) | Gateway SDI per fatturazione elettronica (solo se modulo attivato) | Italia |
| freetsa.org (Germania) | Timestamp RFC3161 per la catena di hash anti-manomissione degli eventi HACCP | Germania |
All'attivazione del modulo di import automatico dal Cassetto Fiscale, l'eventuale intermediario o gateway tecnico incaricato dell'accesso ai sistemi dell'Agenzia delle Entrate sarà nominato Responsabile del trattamento ex Art. 28 GDPR e aggiunto al presente elenco, con comunicazione preventiva agli Utenti che attivano il modulo.
L'elenco completo e aggiornato è disponibile su richiesta a privacy@trackeat.eu.
7. Trasferimenti extra-UE
Nessun dato è trasferito stabilmente al di fuori dell'Unione Europea. I sub-processor con sede legale extra-UE (Supabase, Cloudflare, Google) operano su infrastrutture localizzate in UE per i dati TrackEAT e applicano le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE) come ulteriore garanzia. È previsto, al raggiungimento di soglie operative significative, il passaggio a infrastruttura europea proprietaria.
8. Sicurezza tecnica e organizzativa
TrackEAT applica le seguenti misure di sicurezza:
- Cifratura at-rest: database SQLCipher sui dispositivi mobile; pgcrypto per colonne sensibili lato server
- Credenziali di sistemi fiscali terzi (SDI, Cassetto Fiscale dell'Agenzia delle Entrate): cifrate con pgcrypto a chiave server, mai esposte all'app client, mai scritte nei log applicativi; l'accesso è ristretto alle sole funzioni server che eseguono l'import attivato dall'Utente
- Cifratura in transito: tutte le comunicazioni avvengono via TLS 1.3 (HTTPS)
- Multi-tenancy isolato: ogni cliente ha i propri dati segregati a livello di Postgres Row-Level Security; un utente non può mai vedere dati di un altro tenant, neanche per errore
- Catena di hash + timestamp RFC3161: gli eventi HACCP rilevanti (temperature, etichette, scadenze) sono concatenati in una catena crittografica di hash SHA-256 e ancorati settimanalmente a un timestamp temporalmente attendibile (FreeTSA), che certifica l'integrità e la non manomissione dei dati anche in caso di accesso al DB
- Autenticazione: JWT a scadenza breve (1h) con refresh rotation; opzionale autenticazione biometrica
- Backup: backup giornalieri automatici delle ultime 7 giornate (Supabase)
- Audit log: tutte le operazioni di scrittura sono tracciate con identificativo utente e timestamp
9. Diritti dell'interessato (Art. 15-22 GDPR)
In qualità di interessato hai diritto di:
- Accesso ai tuoi dati e copia (Art. 15)
- Rettifica dei dati inesatti (Art. 16)
- Cancellazione ("diritto all'oblio", Art. 17), nei limiti degli obblighi conservativi previsti dalla legge (es. fatture per 10 anni)
- Limitazione del trattamento (Art. 18)
- Portabilità dei dati in formato strutturato e leggibile (Art. 20) — TrackEAT ti fornisce export JSON/CSV
- Opposizione al trattamento basato su legittimo interesse (Art. 21)
- Revoca del consenso quando il trattamento si fonda sul consenso (Art. 7.3)
- Reclamo all'autorità di controllo (Garante per la Protezione dei Dati Personali, www.garanteprivacy.it, urp@gpdp.it)
Per esercitare i tuoi diritti scrivi a privacy@trackeat.eu. Risponderemo entro 30 giorni dalla ricezione, prorogabili fino a 90 giorni in caso di richieste complesse (Art. 12.3 GDPR).
10. Cookie e tracker
L'applicazione mobile TrackEAT non utilizza cookie pubblicitari né tracker di terze parti e non effettua profilazione individuale. Oltre ai dati tecnici locali indispensabili al funzionamento (sessione di autenticazione, preferenze utente), l'app raccoglie dati di utilizzo pseudonimizzati — quali funzioni vengono aperte, errori riscontrati e tempi di esecuzione — associati all'organizzazione (tenant) e non al singolo individuo, al fine di garantire, mantenere e migliorare il servizio fornito (base giuridica: esecuzione del contratto e legittimo interesse, Art. 6.1.b/f GDPR). Tali dati sono conservati per un massimo di 180 giorni e la raccolta è disattivabile in qualsiasi momento da Impostazioni → Diagnostica.
Il sito vetrina trackeat.eu utilizza cookie tecnici di Cloudflare necessari alla sicurezza e alle prestazioni e non presenta cookie di profilazione. Per misurare in forma aggregata l'efficacia del percorso di prenotazione (funnel), il sito registra eventi anonimi associati a un identificativo casuale di sessione (memorizzato nella sessione del browser, non un cookie persistente né di profilazione), privo di dati personali e non utilizzato per finalità pubblicitarie o di tracciamento cross-site; tali eventi sono conservati per un massimo di 180 giorni (base giuridica: legittimo interesse, Art. 6.1.f GDPR).
11. Modifiche all'informativa
TrackEAT si riserva di aggiornare la presente informativa per adeguarla a modifiche normative o all'evoluzione del servizio. La data dell'ultimo aggiornamento è indicata in cima al documento. Le modifiche sostanziali saranno comunicate via email all'indirizzo dichiarato in fase di registrazione e/o tramite avviso all'avvio dell'applicazione. La versione vigente è sempre disponibile all'indirizzo https://trackeat.eu/privacy.
In caso di dubbio prevale la versione italiana di questa informativa.
Per chiarimenti: privacy@trackeat.eu.