Informativa sulla Privacy
Ultimo aggiornamento: 1 marzo 2026 — v1.1.0
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
gyn.dev Srl
Sede legale: Via Vincenzo Monti, 32 - 20123 Milano MI
Partita IVA: 13658260966
Email: info@mep.red
Email privacy: privacy@mep.red
2. Ambito di applicazione
La presente informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 ("GDPR") e si applica a tutti i soggetti che interagiscono con la piattaforma MEP ("Servizio"), accessibile tramite i domini admin.mep.red, v.mep.red e www.mep.red.
La presente informativa riguarda tre categorie di interessati:
- Utenti registrati: gestori di locali e operatori che accedono alla dashboard amministrativa.
- Visitatori pubblici: clienti dei locali o utenti generici che consultano i contenuti pubblici (menu, liste bevande) tramite QR code, link web o iframe.
- Visitatori del sito istituzionale: utenti che navigano il sito
www.mep.red.
3. Dati personali raccolti
3.1 Utenti registrati (gestori e operatori)
Al momento della registrazione e durante l'utilizzo del Servizio, raccogliamo:
| Dato | Obbligatorio | Finalità |
|---|---|---|
| Sì | Accesso al Servizio, comunicazioni di servizio | |
| Nome e Cognome | Sì | Identificazione nell'interfaccia |
| Telefono | No | Contatto opzionale |
| Foto profilo | No | Personalizzazione interfaccia |
| Lingua preferita | Sì | Personalizzazione interfaccia |
| Fuso orario | Sì | Visualizzazione corretta di date e orari |
| Credenziali di accesso (password) | Sì | Autenticazione (gestita da sistema dedicato, non accessibile alla piattaforma) |
| Ultimo accesso | Automatico | Sicurezza dell'account |
| Dati di navigazione nell'area admin | Automatico | Analisi e miglioramento del Servizio |
3.2 Dati delle organizzazioni (locali)
I gestori possono inserire dati relativi al proprio locale:
- Nome, tipologia e descrizione del locale
- Logo e immagini
- Indirizzo, paese e regione
- Sito web
- Partita IVA / Codice Fiscale del locale
Tali dati possono costituire dati personali nel caso di ditte individuali.
3.3 Visitatori pubblici (utenti non registrati)
Quando un visitatore accede a una pagina pubblica del Servizio (menu, lista bevande), vengono raccolti automaticamente i seguenti dati tecnici:
- Indirizzo IP
- User Agent (tipo di browser e sistema operativo)
- Lingua del browser
- URL di provenienza (referer)
- Data e ora dell'accesso
Il visitatore pubblico non è tenuto a registrarsi e non fornisce consapevolmente dati personali. I dati sopra elencati sono raccolti automaticamente dal sistema per le finalità indicate alla sezione 4.
3.4 Visitatori del sito istituzionale
Il sito www.mep.red non raccoglie dati personali e non utilizza cookie. Il sito raccoglie dati di navigazione anonimi e aggregati (pagine visitate, referrer, tipo di dispositivo) al solo fine di migliorare il servizio. Questi dati non sono riconducibili a persone fisiche identificabili e non vengono utilizzati per profilazione.
3.5 Dati di pagamento
I dati di pagamento (numero carta di credito, data di scadenza, CVV) sono raccolti e gestiti esclusivamente da Stripe, Inc., nostro fornitore di servizi di pagamento. Tali dati non vengono mai trasmessi né archiviati sui nostri sistemi. Per informazioni sul trattamento dei dati da parte di Stripe, si rimanda alla relativa informativa privacy.
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica | Categorie di interessati |
|---|---|---|
| Erogazione del Servizio (registrazione, gestione account, funzionalità della piattaforma) | Esecuzione del contratto (art. 6.1.b GDPR) | Utenti registrati |
| Gestione dei pagamenti e fatturazione | Esecuzione del contratto (art. 6.1.b GDPR) e obblighi di legge (art. 6.1.c GDPR) | Utenti registrati |
| Comunicazioni di servizio (avvisi tecnici, modifiche contrattuali, scadenze) | Esecuzione del contratto (art. 6.1.b GDPR) | Utenti registrati |
| Analisi dell'utilizzo della dashboard per miglioramento e ottimizzazione del Servizio | Legittimo interesse del Titolare (art. 6.1.f GDPR) | Utenti registrati |
| Sicurezza informatica, prevenzione di abusi e debug | Legittimo interesse del Titolare (art. 6.1.f GDPR) | Utenti registrati, Visitatori pubblici |
| Registrazione degli accessi alle pagine pubbliche per statistiche aggregate e sicurezza | Legittimo interesse del Titolare (art. 6.1.f GDPR) | Visitatori pubblici |
| Adempimento di obblighi di legge, risposte a richieste dell'autorità | Obbligo legale (art. 6.1.c GDPR) | Tutti |
Con riferimento ai trattamenti fondati sul legittimo interesse, l'utente registrato ha diritto di opporsi in qualsiasi momento secondo le modalità indicate alla sezione 9.
5. Modalità del trattamento
I dati personali sono trattati con strumenti elettronici e sono protetti con misure tecniche e organizzative adeguate a garantirne la sicurezza e la riservatezza, in conformità con l'art. 32 del GDPR.
6. Destinatari e sub-responsabili del trattamento
Per l'erogazione del Servizio, il Titolare si avvale dei seguenti fornitori che trattano dati personali in qualità di Responsabili del trattamento (art. 28 GDPR):
| Fornitore | Funzione | Dati trattati | Localizzazione |
|---|---|---|---|
| PostHog, Inc. | Analisi dell'utilizzo della dashboard admin | Identificativo utente, email, nome, eventi di navigazione | Unione Europea (eu.i.posthog.com) |
| Google Cloud Platform (Google LLC) | Archiviazione immagini caricate dai gestori | File immagini | Unione Europea (europe-west4) |
| Stripe, Inc. | Elaborazione pagamenti | Dati di pagamento, email, nome | Unione Europea / Stati Uniti (cfr. DPA Stripe) |
Tutti i sub-responsabili sono vincolati da accordi sul trattamento dei dati (Data Processing Agreement) conformi all'art. 28 GDPR.
I dati personali non vengono comunicati a terzi per finalità diverse da quelle sopra indicate, salvo obbligo di legge.
7. Trasferimento dei dati al di fuori dell'UE
I dati personali sono conservati su server ubicati nell'Unione Europea (Google Cloud Platform, regione europe-west4).
Nel caso in cui uno dei sub-responsabili indicati alla sezione 6 tratti dati in paesi al di fuori dello Spazio Economico Europeo (SEE), tale trasferimento avviene sulla base di garanzie adeguate ai sensi degli artt. 46-49 del GDPR, quali decisioni di adeguatezza della Commissione Europea o Clausole Contrattuali Standard (SCC).
8. Tempi di conservazione
Il Titolare conserva i dati personali per il tempo strettamente necessario al conseguimento delle finalità per cui sono raccolti, nel rispetto del principio di minimizzazione. Al termine del periodo di conservazione in forma identificativa, i dati vengono anonimizzati e conservati in forma aggregata per finalità statistiche e di miglioramento del Servizio.
| Categoria di dati | Conservazione in forma identificativa | Successivamente |
|---|---|---|
| Profilo utente registrato | Per tutta la durata del contratto e fino a 10 anni dalla cessazione | Anonimizzazione |
| Dati dell'organizzazione (locale) | Per tutta la durata del contratto e fino a 10 anni dalla cessazione | Aggregazione statistica |
| Dati di accesso alle pagine pubbliche (IP, User Agent) | 90 giorni | Anonimizzazione e aggregazione |
| Telemetria dispositivi | 90 giorni | Aggregazione metriche tecniche |
| Registro delle operazioni (audit log) | 24 mesi | Anonimizzazione |
| Dati di analisi (PostHog) | Secondo la policy di retention di PostHog | — |
| Immagini caricate | Fino a cancellazione da parte dell'utente o termine del contratto + 30 giorni | Cancellazione definitiva |
| Credenziali di accesso | Fino alla cancellazione dell'account + 30 giorni | Cancellazione definitiva |
| Dati di fatturazione | 10 anni dalla registrazione contabile (art. 2220 c.c.) | Conservazione obbligatoria |
I dati potranno essere conservati per un periodo superiore in caso di contenzioso o su richiesta dell'autorità competente.
9. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha il diritto di:
- Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati.
- Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge.
- Limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze.
- Portabilità (art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporsi al trattamento fondato sul legittimo interesse del Titolare, inclusa l'analisi dell'utilizzo del Servizio (PostHog). In tal caso, l'utente può disattivare la raccolta di dati analitici direttamente dalla dashboard amministrativa.
- Revoca del consenso: ove il trattamento sia basato sul consenso, l'interessato può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Per esercitare i propri diritti, l'interessato può contattare il Titolare all'indirizzo: privacy@mep.red.
Il Titolare si impegna a rispondere entro 30 giorni dalla ricezione della richiesta.
10. Diritto di reclamo
L'interessato ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma
www.garanteprivacy.it
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
11. Cookie e tecnologie simili
11.1 Dashboard amministrativa (admin.mep.red)
La dashboard utilizza le seguenti tecnologie:
| Tecnologia | Tipo | Finalità | Durata |
|---|---|---|---|
| Cookie di sessione (autenticazione) | Tecnico, strettamente necessario | Mantenimento della sessione di accesso | Durata della sessione |
| Cookie PostHog | Analitico | Analisi dell'utilizzo del Servizio | Variabile |
I cookie di autenticazione sono strettamente necessari per il funzionamento del Servizio e non richiedono consenso.
I cookie analitici (PostHog) sono utilizzati sulla base del legittimo interesse del Titolare. L'utente può disattivare la raccolta analitica in qualsiasi momento tramite l'apposita funzione nella dashboard.
11.2 Pagine pubbliche (v.mep.red)
Le pagine pubbliche non utilizzano cookie. Viene salvata unicamente la preferenza di lingua nel localStorage del browser dell'utente, al solo fine di ricordare la lingua selezionata nelle visite successive. Questo dato non è un dato personale e non viene trasmesso ai nostri server.
11.3 Sito istituzionale (www.mep.red)
Il sito istituzionale non utilizza cookie né alcuna tecnologia di tracciamento persistente. Vengono raccolti dati di navigazione anonimi e aggregati (pagine visitate, referrer, tipo di dispositivo) in memoria di sessione, al solo fine di migliorare il servizio. Questi dati non sono riconducibili a persone fisiche identificabili, non vengono salvati nel browser e vengono persi alla chiusura della pagina.
12. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email.
Documento generato in data 1 marzo 2026.