GDPR · Art. 13/14

Come trattiamo i tuoi dati.

Ultimo aggiornamento · 06 mag 2026

Questa informativa si applica a tablario.com e al portale ristorante. L'informativa privacy specifica per ogni ristorante — quella che i chiamanti sentono al telefono — è su tablario.com/datenschutz/<restaurant-id>.

Titolare

Chi tratta i tuoi dati

Staqmind UG (haftungsbeschränkt)
Saalfelder Strasse 11 · 51103 Colonia · Germania
Rappresentata da
Mirko Rossbach, Montassar Zaroui

Titolare ai sensi del GDPR è Staqmind UG. Non è stato nominato un DPO — le condizioni del § 38 BDSG non sono soddisfatte.

Raccolta e basi giuridiche

Cosa raccogliamo — e perché

Log del server

Ogni accesso al nostro sito genera automaticamente informazioni sul nostro server web:

Campi raccolti
Indirizzo IP (anonimizzato) · data/ora · URL richiesto · stato HTTP · referrer · user agent
Base giuridica
Art. 6(1)(f) GDPR (legittimo interesse: sicurezza operativa, analisi errori)
Conservazione
7 giorni

Richieste demo / form contatti

Per le richieste tramite form raccogliamo nome, email e facoltativamente telefono/nome ristorante.

Base giuridica
Art. 6(1)(b) GDPR (misure precontrattuali)
Conservazione
12 mesi dopo la gestione

Dati account (portale ristorante)

Per l'esecuzione del contratto archiviamo i dati anagrafici del ristorante e le informazioni di pagamento (Stripe).

Base giuridica
Art. 6(1)(b) GDPR (esecuzione del contratto)
Conservazione
Fino a 30 giorni dopo la fine del contratto; fatture 10 anni (§ 147 AO)

Chiamate AI al telefono (trattamento dati)

Tablario tratta i dati dei chiamanti per conto del ristorante (numero di telefono, audio, trascrizione, dettagli prenotazione). Tablario è responsabile del trattamento ai sensi dell'Art. 28 GDPR; il titolare è il rispettivo ristorante. L'audio delle chiamate non viene conservato, ma trattato esclusivamente in modo transitorio per la trascrizione in tempo reale. Viene conservata solo la trascrizione testuale, che di default viene anonimizzata dopo 30 giorni.

Base giuridica
Art. 6(1)(b) GDPR (esecuzione del contratto del ristorante verso l'ospite); Art. 6(1)(a) GDPR (consenso tramite l'informativa AI all'inizio della chiamata)
Conservazione
Audio: non conservato · trascrizioni: di default 30 giorni, poi anonimizzate

Demo vocale dal vivo (tablario.com/demo)

I visitatori che richiedono la demo vocale gratuita forniscono email, numero di telefono e lingua UI. Inviamo un'email di conferma (double opt-in); la demo parte solo dopo aver cliccato il link. Audio e trascrizioni demo NON vengono conservati — il trattamento avviene solo in tempo reale. Per identità verificata (email o telefono), sono disponibili 3 minuti al giorno.

Base giuridica
Art. 6(1)(a) GDPR (consenso). Il consenso è volontario e revocabile in qualsiasi momento (link di cancellazione in ogni email di conferma).
Conservazione
Lead non confermati: max. 24 ore, poi cancellati. Lead confermati: 30 giorni, poi anonimizzati (hash mantenuto per applicare la quota). Audio + trascrizione demo: non conservati.
Cookie e tracking

Cosa gira nel browser

Usiamo cookie strettamente necessari (cookie di sessione, protezione CSRF) e, per le analytics web, Plausible Analytics — senza cookie, senza dati personali, senza tracking cross-site (nessun consenso richiesto). Per misurare la nostra pubblicità utilizziamo inoltre il monitoraggio delle conversioni di Google Ads: registra le registrazioni provenienti dai nostri annunci e imposta un cookie (_gcl_aw) — solo previo tuo consenso tramite il nostro banner dei cookie. Se rifiuti o non effettui alcuna scelta, non viene impostato alcun cookie di Google e nessun dato viene trasmesso a Google. Tramite Google Consent Mode v2 vengono impostati solo i segnali necessari alla misurazione delle conversioni (ad_storage, ad_user_data); non avviene alcun remarketing (ad_personalization resta disattivato). Il trattamento è effettuato da Google (anche negli USA) sulla base del tuo consenso (art. 6, par. 1, lett. a GDPR; art. 25, par. 1 TDDDG). Puoi revocare il consenso in qualsiasi momento con effetto futuro eliminando i cookie nel browser. Trasferimento dati criptato via SSL/TLS.

Sub-responsabili

Chi altro è coinvolto

Utilizziamo i seguenti fornitori di servizi per l'erogazione dei nostri servizi. Con tutti loro è in essere un contratto di responsabile del trattamento (Art. 28 GDPR). L'elaborazione vocale AI avviene nell'UE. Il trasferimento verso gli USA avviene solo per i servizi appositamente contrassegnati ed esclusivamente sulla base dell'EU-US Data Privacy Framework (DPF) o delle Clausole Contrattuali Standard (SCC).

FornitoreFinalitàSedeBase per paesi terzi
Amazon Web Services EMEA SARLCloud hosting, compute, database, CDN, autenticazione (Cognito), inferenza del modello linguistico AI (Claude tramite AWS Bedrock), orchestrazione dei media self-hosted (LiveKit)eu-central-1 · Francoforte
Telnyx Ireland LimitedRouting telefonia, numeri, invio SMSUE · dati conservati in Germania
Soniox, Inc.Riconoscimento vocale (speech-to-text) della telefonia AIRegione UESCC / DPF (società statunitense, trattamento all'endpoint UE)
ElevenLabs, Inc.Sintesi vocale (text-to-speech) — riceve esclusivamente il testo della risposta pronunciata (incluso il nome dell'ospite), nessun numero di telefono/identificativoUSASCC / DPF + DPA
Resend, Inc.Invio di email transazionaliUSADPF / SCC
Stripe Payments Europe Ltd.Elaborazione dei pagamenti del corrispettivo del FornitoreDublino, Irlanda (UE/USA)DPF / SCC
Sentry (Functional Software, Inc.)Tracciamento tecnico degli erroriUSADPF / SCC
Plausible AnalyticsAnalytics web (senza cookie)UE
Google Ireland Ltd. / Google LLCMonitoraggio conversioni Google Ads (solo con consenso)USAConsenso; DPF

Soniox ed ElevenLabs trattano i dati esclusivamente nell'ambito dell'assistenza telefonica basata su AI per conto dei nostri clienti ristoranti. L'inferenza del modello linguistico AI (Claude) avviene tramite AWS Bedrock nell'UE; l'orchestrazione dei media (LiveKit) è gestita da noi stessi su AWS nell'UE.

Periodi di conservazione

Per quanto teniamo le cose

Log del server
7 giorni
Richieste di contatto
12 mesi dopo la gestione
Fatture
10 anni · § 147 AO
Corrispondenza commerciale
6 anni · § 257 HGB
Audio chiamate
Non conservato (solo trattamento in tempo reale)
Trascrizioni chiamate
30 giorni di default · poi anonimizzate
Lead demo (email/telefono)
Non confermati: max. 24 h · Confermati: 30 giorni, poi anonimizzati · Audio/trascrizione demo: non conservati
I tuoi diritti

A cosa hai diritto

Hai diritto di accesso (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), limitazione (Art. 18), portabilità dei dati (Art. 20) e opposizione (Art. 21 GDPR). Contattaci a:

datenschutz@tablario.com

Diritto di reclamo

Hai diritto di presentare reclamo a un'autorità di controllo. La nostra autorità competente è:

Commissario per la protezione dei dati della Renania Settentrionale-Vestfalia (LDI NRW)
Kavalleriestr. 2-4 · 40213 Düsseldorf
www.ldi.nrw.de
Decisioni automatizzate

Decisione di prenotazione automatizzata con garanzie

Non avviene alcuna profilazione (Art. 4 n. 4 GDPR). L'accettazione o il rifiuto automatizzato di una prenotazione da parte dell'assistente AI avviene ai fini della conclusione del contratto (Art. 22 par. 2 lett. a GDPR) — con le garanzie dell'Art. 22 par. 3: chi chiama può richiedere in qualsiasi momento l'intervento di una persona (inoltro al numero del personale), esprimere il proprio punto di vista e contestare la decisione; il ristorante mantiene il pieno controllo sulle regole di prenotazione e può modificare manualmente le prenotazioni.

Sicurezza dei dati

Misure tecniche e organizzative

Adottiamo misure adeguate ai sensi dell'Art. 32 GDPR:

  • Crittografia SSL/TLS per tutti i trasferimenti di dati
  • Sede server UE · AWS Francoforte (eu-central-1)
  • Crittografia a riposo · Aurora PostgreSQL, S3, Secrets Manager · KMS
  • Controllo accessi su base need-to-know
  • MFA obbligatoria sugli account piattaforma · auth adattiva (Cognito Threat Protection)
  • Web Application Firewall (AWS WAF) con rate limiting e filtri reputazionali
  • Aggiornamenti di sicurezza regolari e scansione container
  • Nessun dato di pagamento conservato sui nostri server
Incidenti di sicurezza

Cosa succede in caso di violazione dati

Ci impegniamo a rilevare, indagare e segnalare le violazioni di dati personali senza ingiustificato ritardo. Per violazioni notificabili ai sensi dell'Art. 33 GDPR notifichiamo l'autorità di controllo entro 72 ore. Quando violazioni ad alto rischio coinvolgono gli interessati li informiamo senza ritardo (Art. 34 GDPR). I clienti ristoranti ricevono inoltre una notifica come responsabili.

Rilevamento
Monitoring e alert (AWS GuardDuty, Sentry, log WAF)
Notifica autorità
Entro 72 h · Art. 33 GDPR
Info agli interessati
Senza ritardo se alto rischio · Art. 34 GDPR
Notifica clienti
Obbligo di notifica DPA verso i ristoranti · Art. 33(2) GDPR
Aggiornamenti

Modifiche a questa informativa

Aggiorniamo questa informativa ogni volta che i nostri servizi o i requisiti legali cambiano. La versione corrente è sempre disponibile qui.

Risposta entro 1 giorno lavorativo
Nei giorni feriali, tra le 9 e le 18 (CET)
Conforme al GDPR
Server in Germania · nessuna vendita di dati
Made in Germany
Supporto dei fondatori direttamente da Colonia
Disdetta mensile
Nessun contratto, nessun costo di attivazione

Domande a cui non abbiamo risposto?

Mandaci un messaggio — rispondiamo entro un giorno lavorativo.