Privacy Policy
Come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali in conformità al Regolamento (UE) 2016/679 (GDPR).
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
Sociallibreria Srl
Foolyx è una piattaforma SaaS (Software as a Service) per la gestione intelligente della ristorazione, sviluppata e gestita da Sociallibreria Srl.
2. Dati Personali Raccolti
Foolyx raccoglie e tratta le seguenti categorie di dati personali, in funzione del ruolo dell'utente e delle funzionalità utilizzate:
2.1 Dati dell'Account Utente
- Nome e cognome
- Indirizzo email
- Numero di telefono
- Password (conservata in forma crittografata con hashing)
- Avatar/immagine profilo
- Preferenza lingua
- Data e ora dell'ultimo accesso
2.2 Dati dell'Azienda
- Ragione sociale, Partita IVA, Codice Fiscale
- Codice SDI e PEC
- Indirizzo sede legale (via, CAP, città, provincia)
- Email e telefono aziendali
- Logo aziendale
- Dati del rappresentante legale (nome, cognome, codice fiscale, documento di identità)
- Piano di abbonamento e dati di fatturazione
2.3 Dati dei Collaboratori/Dipendenti
- Dati anagrafici: nome, cognome, codice fiscale, data e luogo di nascita, nazionalità
- Dati di contatto: indirizzo, email, telefono
- Dati contrattuali: tipo contratto, data assunzione, mansione, livello, CCNL, ore settimanali
- Dati retributivi: stipendio lordo, buoni pasto, IBAN
- Dati di presenza: timbrature (entrata/uscita), ore lavorate, straordinari, ferie, permessi, malattia
- Buste paga: importi lordi/netti, trattenute INPS, IRPEF, addizionali
- TFR e CUD/Certificazione Unica
2.4 Dati dei Clienti del Ristorante
- Nome, cognome, email, telefono (per prenotazioni)
- Storico prenotazioni
- Eventuali note inserite dal ristoratore
2.5 Dati Finanziari e Contabili
- Fatture di acquisto (XML e PDF), importi, stato pagamento
- Vendite giornaliere, scontrini (con eventuale OCR)
- Spese operative e relative ricevute
- Movimenti bancari (importati da CSV/PDF)
- Coordinate bancarie (IBAN) di fornitori e collaboratori
2.6 Dati dei Fornitori
- Ragione sociale, P.IVA, Codice Fiscale, SDI, PEC
- Contatti e indirizzo
- Coordinate bancarie (IBAN)
- Listini prezzi fornitori (prodotti, prezzi unitari, unità di misura)
- Condizioni di pagamento e rating
2.7 Dati Tecnici e di Navigazione
- Indirizzo IP
- User Agent del browser
- Dati di sessione
- Log di audit (azioni eseguite nella piattaforma)
Email obbligatoria: l'indirizzo email del collaboratore è un dato obbligatorio, necessario per l'accesso al sistema e per l'invio delle comunicazioni di servizio (buste paga, CUD, comunicazioni aziendali). Senza un indirizzo email valido non è possibile creare un account collaboratore.
2.3.1 Dati GPS per Timbratura Presenze
Foolyx utilizza la geolocalizzazione (GPS) del dispositivo del collaboratore al momento della timbratura delle presenze, al fine di verificare che la timbratura avvenga entro il raggio autorizzato della sede del punto vendita.
- Il rilevamento GPS avviene esclusivamente al momento della timbratura (entrata e uscita) e non comporta un tracciamento continuo della posizione.
- I dati GPS sono conservati esclusivamente per il tempo necessario alla verifica della timbratura.
- Base giuridica: art. 6(1)(f) GDPR (legittimo interesse), in conformità con lo Statuto dei Lavoratori (L. 300/1970) e il D.Lgs. 151/2015.
2.5.1 Analisi Scontrini tramite IA
Le immagini degli scontrini caricate sulla piattaforma vengono analizzate tramite intelligenza artificiale (Google Gemini) per estrarre automaticamente articoli venduti, prezzi, sconti applicati e aliquote IVA. Le immagini sono conservate su server nell'Unione Europea e non vengono condivise con terzi. Base giuridica: art. 6(1)(b) e 6(1)(f) GDPR.
2.5.1a OCR Scontrini — Dati Aggiuntivi
Oltre ai dati principali, il servizio OCR estrae automaticamente ora dello scontrino e numero tavolo quando disponibili. Questi dati, di natura non personale, sono utilizzati per la gestione operativa e la prevenzione di scontrini duplicati.
2.5.2 Notifiche Finanziarie Automatiche
Foolyx invia notifiche automatiche via email agli amministratori in caso di differenze tra la chiusura di cassa e gli scontrini registrati. Le notifiche contengono importi e dettagli per categoria. Base giuridica: art. 6(1)(f) GDPR.
2.5.3 Notifiche Push
Foolyx utilizza notifiche push del browser per comunicazioni di servizio in tempo reale. Dati raccolti: endpoint del dispositivo, chiavi di autenticazione. L'utente può disattivarle in qualsiasi momento. Base giuridica: art. 6(1)(a) GDPR (consenso).
2.5.4 Dashboard Analytics
I dati visualizzati nella dashboard sono aggregati e anonimizzati e non contengono dati personali dei clienti del ristorante. L'accesso è riservato all'amministratore e agli utenti autorizzati.
2.5.5 Foolyx Prediction — Analisi Predittiva IA
Modulo che consente all'utente di porre domande sui dati aziendali, ricevendo analisi generate tramite IA (Anthropic Claude). I dati personali dei collaboratori trasmessi sono limitati a: nome, cognome, mansione, stipendio lordo e tipo di contratto. Non vengono trasmessi codici fiscali, IBAN, indirizzi o documenti di identità. Anthropic non utilizza i dati per l'addestramento dei propri modelli.
2.5.6 AIFoolyx — Assistente Virtuale
Chatbot integrato nella piattaforma (Anthropic Claude). Le conversazioni non vengono conservate in modo permanente. Anthropic non utilizza i dati per l'addestramento dei propri modelli.
2.5.7 Gestione Magazzino e Spreco (Spreco Zero)
Dati delle sessioni di lavoro, attribuzione operatore sui movimenti di magazzino, note di giustificazione per mancanze inventariali. Base giuridica: art. 6(1)(b) e 6(1)(f) GDPR.
2.5.8 Gestione Scadenze Prodotti
Date di acquisto e scadenza dei prodotti, decisioni operative (buttare o riutilizzare) con attribuzione dell'operatore. Base giuridica: art. 6(1)(b) GDPR.
2.5.9 Riconciliazione Automatica Banca
Abbinamento automatico dei movimenti bancari con fatture fornitori e spese aziendali tramite tre livelli di matching. I movimenti bancari rimangono esclusivamente nella piattaforma e non vengono trasmessi a terze parti.
2.5.10 Portale Agente Fornitore
Portale dedicato agli agenti dei fornitori. L'agente può visualizzare i dati commerciali del ristorante limitatamente al rapporto fornitore-cliente. I listini PDF vengono analizzati tramite IA (Google Gemini). I file sono conservati fino a 12 mesi dalla cessazione del rapporto.
2.5.11 Email Marketing Automatiche
Foolyx invia comunicazioni via email relative all'utilizzo della piattaforma: email di engagement, suggerimenti funzionalità, offerte promozionali e comunicazioni di winback. Le email vengono inviate sulla base del legittimo interesse (art. 6(1)(f) GDPR) per gli utenti registrati. È possibile disiscriversi in qualsiasi momento tramite il link presente in ogni email o dalle impostazioni del profilo.
2.5.12 Reminder Prenotazioni
Il sistema invia automaticamente email di promemoria ai clienti del ristorante il giorno prima della prenotazione, con link per confermare o cancellare. I dati dei clienti (nome, email, telefono) sono trattati per conto del ristorante in qualità di responsabile del trattamento. Base giuridica: art. 6(1)(b) GDPR.
2.5.13 Upload Massivo Fatture (ZIP)
La funzione di upload ZIP consente il caricamento massivo di fatture in formato XML/P7M. I file vengono estratti, validati e processati automaticamente. Protezioni anti-abuso: limite 100MB, massimo 500 file, solo formati XML/P7M accettati. I file temporanei vengono eliminati immediatamente dopo l'elaborazione.
2.5.14 Applicazione Mobile (iOS/Android)
Foolyx è disponibile come applicazione mobile per iOS e Android tramite tecnologia Capacitor. L'app non raccoglie dati aggiuntivi rispetto alla versione web. Non vengono utilizzate notifiche push native. L'app accede alla fotocamera del dispositivo solo per la funzione di scansione scontrini, previo consenso dell'utente.
2.5.15 Controllo Automatico Prezzi Fornitori
Il sistema confronta automaticamente i prezzi indicati nelle fatture di acquisto con il listino prezzi del fornitore. In caso di variazioni superiori al 3%, viene generato un alert automatico. Questa elaborazione avviene sulla base giuridica dell'Art. 6(1)(b) e 6(1)(f) GDPR (esecuzione contrattuale e legittimo interesse per il controllo dei costi).
2.5.16 Elaborazione Documenti F24 tramite IA
I documenti F24 caricati in formato PDF vengono elaborati da Google Gemini AI per identificare e suddividere automaticamente i singoli modelli per mese e scadenza. I dati contenuti (codici fiscali, importi tributari, scadenze) vengono estratti e salvati nel sistema.
2.8 Font Tipografici Esterni (Google Fonts)
Le pagine pubbliche utilizzano font caricati da Google Fonts. Al momento della visita vengono trasmessi a Google l'indirizzo IP e lo User Agent del browser. Base giuridica: art. 6(1)(f) GDPR.
3. Finalità del Trattamento
I dati personali sono trattati per le seguenti finalità:
| Finalità | Base Giuridica |
|---|---|
| Erogazione del servizio Foolyx | Art. 6(1)(b) — Esecuzione del contratto |
| Gestione account e autenticazione | Art. 6(1)(b) — Esecuzione del contratto |
| Gestione collaboratori, buste paga, TFR, CUD | Art. 6(1)(c) — Obbligo legale |
| Fatturazione elettronica e integrazione SDI | Art. 6(1)(c) — Obbligo legale |
| Gestione pagamenti e abbonamenti (Stripe) | Art. 6(1)(b) — Esecuzione del contratto |
| Analisi dati e statistiche aggregate | Art. 6(1)(f) — Legittimo interesse |
| Foolyx Prediction (analisi predittiva IA) | Art. 6(1)(b) e 6(1)(f) |
| AIFoolyx (assistente virtuale) | Art. 6(1)(b) — Esecuzione del contratto |
| Sicurezza, audit log e prevenzione abusi | Art. 6(1)(f) — Legittimo interesse |
| Comunicazioni di servizio e notifiche | Art. 6(1)(b) — Esecuzione del contratto |
4. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
5. Condivisione e Destinatari dei Dati
I dati personali possono essere comunicati a:
Stripe, Inc.
Privacy PolicyElaborazione pagamenti e gestione abbonamenti. Stripe agisce come Responsabile del trattamento ed è conforme al GDPR.
Anthropic, PBC
Privacy PolicyElaborazione analisi IA (Foolyx Prediction, AIFoolyx). I dati sono trasmessi via API sicura (HTTPS). Anthropic non utilizza i dati per addestrare i propri modelli.
Google, LLC (Gemini AI)
Privacy PolicyAnalisi automatica di documenti: estratti conto bancari, buste paga (OCR), CUD, listini fornitori, documenti fiscali F24. Google non utilizza i dati inviati via API per l'addestramento dei propri modelli.
Provider di hosting cloud
Archiviazione dei dati su server situati nell'Unione Europea.
Provider SDI
Trasmissione e ricezione fatture elettroniche su configurazione dell'utente.
Autorità competenti
Quando richiesto dalla legge o da provvedimenti dell'autorità giudiziaria.
I dati personali NON sono venduti a terzi e NON sono utilizzati per profilazione commerciale esterna alla piattaforma.
6. Trasferimento dei Dati Extra-UE
I dati sono conservati su server situati nell'Unione Europea. In caso di utilizzo di servizi di terze parti che comportino il trasferimento di dati al di fuori dell'UE (es. Stripe, Anthropic, Google), il trasferimento avviene in conformità con le garanzie previste dal GDPR, incluse le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o il EU-US Data Privacy Framework.
7. Diritti dell'Interessato
Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:
Accesso
Ottenere la conferma che sia o meno in corso un trattamento di dati personali e, in tal caso, ottenerne l'accesso.
Rettifica
Ottenere la rettifica dei dati inesatti o l'integrazione dei dati incompleti.
Cancellazione
Ottenere la cancellazione dei dati personali (diritto all'oblio), salvo obblighi di legge.
Limitazione
Ottenere la limitazione del trattamento nei casi previsti dalla legge.
Portabilità
Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
Opposizione
Opporsi al trattamento dei dati basato sul legittimo interesse del Titolare.
Per esercitare i propri diritti, scrivere a GDPR-foolyx@sociallibreria.com o utilizzare il modulo di cancellazione dati integrato nella piattaforma.
L'interessato ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
8. Misure di Sicurezza
Foolyx adotta misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali:
Crittografia password
Algoritmo bcrypt con hashing
Comunicazioni sicure
HTTPS/TLS su tutti i canali
Controllo accessi
RBAC con Spatie Laravel Permission
Audit logging
Tracciamento completo con IP e user agent
Soft delete
Prevenzione cancellazione accidentale
Backup periodici
Backup automatico giornaliero
Multi-tenant
Isolamento completo dati per azienda
Protezione CSRF
Token su tutti i form
Integrità file
Verifica tramite hash SHA-256
9. Privacy by Design e by Default
In conformità con l'art. 25 del GDPR, Foolyx è progettato secondo i principi di Privacy by Design e Privacy by Default:
- Minimizzazione dei dati: raccogliamo solo i dati strettamente necessari per l'erogazione del servizio.
- Pseudonimizzazione: utilizziamo UUID come identificativi primari al posto di dati personali sequenziali.
- Accesso limitato: i collaboratori vedono solo i dati pertinenti al proprio ruolo.
- Cancellazione strutturata: ogni azienda può richiedere la cancellazione completa dei propri dati.
- Separazione dei dati: l'architettura multi-tenant garantisce che i dati di un'azienda non siano mai accessibili da un'altra.
- Trasparenza: i log di audit consentono di sapere chi ha fatto cosa e quando.
11. Ruolo del Cliente come Titolare del Trattamento
Per i dati dei collaboratori, clienti del ristorante e fornitori inseriti nella piattaforma, l'azienda cliente agisce come Titolare autonomo del trattamento, mentre Sociallibreria Srl agisce come Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 del GDPR.
L'azienda cliente è responsabile di:
- Informare i propri collaboratori e clienti del trattamento dei dati tramite Foolyx
- Ottenere le necessarie basi giuridiche per il trattamento
- Gestire le richieste di esercizio dei diritti dei propri interessati
- Utilizzare il modulo di cancellazione dati integrato per rispondere alle richieste
12. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate tramite notifica sulla piattaforma e/o via email. L'uso continuato del servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.
Contatti per la Privacy
Per qualsiasi domanda relativa al trattamento dei dati personali:
Email: GDPR-foolyx@sociallibreria.com
PEC: sociallibreria@pec.it
Indirizzo: Sociallibreria Srl — P.IVA 03426220129