Informativa sulla Privacy — TrackEAT

Ultimo aggiornamento: 19 maggio 2026

La presente informativa descrive come TrackEAT tratta i dati personali degli utenti dell'applicazione, ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 e successive modifiche ("Codice Privacy").


1. Titolare del trattamento

Il Titolare del trattamento è:

Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi scrivere a privacy@trackeat.eu.

2. Responsabile della Protezione dei Dati (DPO)

Allo stato attuale il Titolare non è obbligato alla nomina di un DPO ai sensi dell'art. 37 GDPR, in quanto non rientra nelle ipotesi tassative previste. Il punto di contatto privacy è il Titolare stesso all'indirizzo privacy@trackeat.eu.

3. Tipologie di dati trattati

TrackEAT tratta tre categorie di dati:

3.1 Dati personali "comuni"

3.2 Dati aziendali

3.3 Dati fiscali e credenziali di accesso a sistemi terzi

Le credenziali di accesso a SDI e al Cassetto Fiscale sono cifrate a riposo (pgcrypto a chiave server — vedi sezione 8), non sono mai mostrate in chiaro all'Utente né ad altri, non sono mai scritte nei log applicativi, sono utilizzate unicamente dalle funzioni server che eseguono l'import che l'Utente ha esplicitamente attivato e possono essere revocate in qualsiasi momento disattivando il modulo, con conseguente cancellazione delle stesse (vedi sezione 5).

I dati sub 3.3 sono trattati solo se l'utente attiva esplicitamente il modulo SDI/Fatturazione o l'import automatico dal Cassetto Fiscale e accetta il relativo Accordo per il Trattamento dei Dati (Art. 28 GDPR), che lo qualifica come Titolare e TrackEAT come Responsabile esterno del trattamento per i dati fiscali dei suoi fornitori. L'accesso al Cassetto Fiscale avviene su mandato esplicito dell'Utente e nei soli limiti necessari all'import; TrackEAT non compie alcuna operazione dispositiva sul cassetto fiscale dell'Utente.

4. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica (Art. 6 GDPR)
Erogazione del servizio HACCP (registrazione temperature, pulizie, scadenze, etichette)Obbligo legale (lett. c — Reg. CE 178/2002, D.Lgs. 193/2007)
Gestione anagrafiche fornitori, magazzino e tracciabilità lottiEsecuzione del contratto con l'utente (lett. b)
Importazione documenti fiscali da SDI / OCR DDTEsecuzione del contratto (lett. b) — solo se modulo attivato
Import automatico di fatture e documenti dal Cassetto Fiscale dell'Agenzia delle EntrateEsecuzione del contratto (lett. b), su mandato esplicito dell'Utente — solo se modulo attivato
Notifiche push operative (scadenze, allarmi temperatura)Esecuzione del contratto (lett. b)
Comunicazioni di marketing e newsletter (al momento non attive)Consenso (lett. a) — sarà richiesto separatamente
Statistiche di utilizzo aggregate, in forma anonimizzataLegittimo interesse del Titolare (lett. f)
Adempimento obblighi fiscali e contabiliObbligo legale (lett. c)

5. Conservazione dei dati

CategoriaPeriodo
Dati HACCP (eventi temperatura, pulizie, etichette, ricette)Minimo 5 anni dalla data di scadenza dell'alimento di riferimento (linee guida ASL + D.Lgs. 81/08), prorogabili fino a 10 anni in caso di contestazioni in corso
Dati fiscali (fatture, DDT, registrazioni contabili)10 anni (art. 2220 c.c., art. 22 DPR 600/73)
Credenziali di accesso a SDI / Cassetto FiscalePer la sola durata di attivazione del modulo; cancellate entro 30 giorni dalla disattivazione o dalla revoca da parte dell'Utente
Account utente e log tecniciPer la durata del contratto + 24 mesi
Dati di marketingFino a revoca del consenso o, in mancanza, 24 mesi dall'ultimo contatto

Trascorsi i termini, i dati vengono cancellati o anonimizzati in modo irreversibile.

6. Soggetti destinatari (sub-processor)

I tuoi dati possono essere trattati per conto del Titolare dai seguenti soggetti, in qualità di Responsabili del trattamento ex Art. 28 GDPR:

Sub-processorServizioLocalizzazione dati
Supabase Inc. (San Francisco, USA)Hosting database, autenticazione, edge functions, storage fileDatacenter UE (Stoccolma, Svezia) — AWS eu-north-1
Cloudflare Inc. (San Francisco, USA)DNS, CDN, email routing, hosting landing pageAnycast globale; dati in transito con preferenza UE
Google LLC (Mountain View, USA) — _Gemini API_Riconoscimento OCR/AI di DDT e fatture (solo se l'utente attiva modulo AI)Datacenter UE/USA
Apple Inc. / Google LLCNotifiche push (APNs / FCM) — solo token, non payloadGlobale
Acube S.r.l. (Italia)Gateway SDI per fatturazione elettronica (solo se modulo attivato)Italia
freetsa.org (Germania)Timestamp RFC3161 per la catena di hash anti-manomissione degli eventi HACCPGermania

All'attivazione del modulo di import automatico dal Cassetto Fiscale, l'eventuale intermediario o gateway tecnico incaricato dell'accesso ai sistemi dell'Agenzia delle Entrate sarà nominato Responsabile del trattamento ex Art. 28 GDPR e aggiunto al presente elenco, con comunicazione preventiva agli Utenti che attivano il modulo.

L'elenco completo e aggiornato è disponibile su richiesta a privacy@trackeat.eu.

7. Trasferimenti extra-UE

Nessun dato è trasferito stabilmente al di fuori dell'Unione Europea. I sub-processor con sede legale extra-UE (Supabase, Cloudflare, Google) operano su infrastrutture localizzate in UE per i dati TrackEAT e applicano le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE) come ulteriore garanzia. È previsto, al raggiungimento di soglie operative significative, il passaggio a infrastruttura europea proprietaria.

8. Sicurezza tecnica e organizzativa

TrackEAT applica le seguenti misure di sicurezza:

9. Diritti dell'interessato (Art. 15-22 GDPR)

In qualità di interessato hai diritto di:

Per esercitare i tuoi diritti scrivi a privacy@trackeat.eu. Risponderemo entro 30 giorni dalla ricezione, prorogabili fino a 90 giorni in caso di richieste complesse (Art. 12.3 GDPR).

10. Cookie e tracker

L'applicazione mobile TrackEAT non utilizza cookie pubblicitari né tracker di terze parti e non effettua profilazione individuale. Oltre ai dati tecnici locali indispensabili al funzionamento (sessione di autenticazione, preferenze utente), l'app raccoglie dati di utilizzo pseudonimizzati — quali funzioni vengono aperte, errori riscontrati e tempi di esecuzione — associati all'organizzazione (tenant) e non al singolo individuo, al fine di garantire, mantenere e migliorare il servizio fornito (base giuridica: esecuzione del contratto e legittimo interesse, Art. 6.1.b/f GDPR). Tali dati sono conservati per un massimo di 180 giorni e la raccolta è disattivabile in qualsiasi momento da Impostazioni → Diagnostica.

Il sito vetrina trackeat.eu utilizza cookie tecnici di Cloudflare necessari alla sicurezza e alle prestazioni e non presenta cookie di profilazione. Per misurare in forma aggregata l'efficacia del percorso di prenotazione (funnel), il sito registra eventi anonimi associati a un identificativo casuale di sessione (memorizzato nella sessione del browser, non un cookie persistente né di profilazione), privo di dati personali e non utilizzato per finalità pubblicitarie o di tracciamento cross-site; tali eventi sono conservati per un massimo di 180 giorni (base giuridica: legittimo interesse, Art. 6.1.f GDPR).

11. Modifiche all'informativa

TrackEAT si riserva di aggiornare la presente informativa per adeguarla a modifiche normative o all'evoluzione del servizio. La data dell'ultimo aggiornamento è indicata in cima al documento. Le modifiche sostanziali saranno comunicate via email all'indirizzo dichiarato in fase di registrazione e/o tramite avviso all'avvio dell'applicazione. La versione vigente è sempre disponibile all'indirizzo https://trackeat.eu/privacy.


In caso di dubbio prevale la versione italiana di questa informativa.

Per chiarimenti: privacy@trackeat.eu.