1. Titolare del trattamento
Brigata by ZBLTS Team — P.IVA IT03329820603 — Italia
Email di contatto per la privacy: [email protected]
2. Ruoli: chi è titolare di cosa
Brigata è un software gestionale per cucine professionali usato da organizzazioni (ristoranti, hotel, pizzerie — di seguito "l'Organizzazione").
- Per i dati dell'account dell'Organizzazione (registrazione, fatturazione, contatti) il Titolare è Brigata.
- Per i dati dei membri della squadra inseriti nell'app (nomi, foto, turni, presenze, tariffe orarie), il Titolare è l'Organizzazione (il datore di lavoro), mentre Brigata agisce come Responsabile del trattamento ex art. 28 GDPR, secondo l'accordo (DPA) contenuto nei Termini di servizio.
3. Dati trattati
| Categoria | Dati | Finalità |
|---|---|---|
| Account | Nome, password (conservata solo come hash PBKDF2-SHA256), ruolo, organizzazione di appartenenza | Autenticazione e funzionamento del servizio |
| Foto profilo | Immagine caricata volontariamente dal membro | Identificazione visiva nella squadra |
| Turni e presenze | Date, orari di inizio/fine turno, note, riepiloghi mensili | Organizzazione del lavoro e adempimenti del datore di lavoro |
| Dati economici | Tariffe orarie, costo lavoro, incassi dichiarati, prezzi ingredienti | Calcoli gestionali; visibili nell'app solo al ruolo Chef |
| Documenti fotografati | Foto di fatture/bolle fornitori caricate dallo Chef | Estrazione automatica dei prezzi tramite AI |
| Notifiche push | Endpoint di sottoscrizione push del browser | Invio di notifiche operative (es. assegnazione turno), solo previo consenso del browser |
| Dati tecnici | Cookie di sessione, log di sicurezza | Funzionamento e sicurezza del servizio |
4. Basi giuridiche
Esecuzione del contratto (art. 6.1.b GDPR) per il funzionamento del servizio; obblighi legali (art. 6.1.c) per i dati fiscali e di fatturazione; legittimo interesse (art. 6.1.f) per la sicurezza. Per i dati dei membri trattati per conto dell'Organizzazione, le basi giuridiche sono individuate dall'Organizzazione in qualità di Titolare/datore di lavoro.
5. Cookie
Brigata usa esclusivamente cookie tecnici: un cookie di sessione (brigata_sess, HttpOnly, Secure) necessario all'autenticazione. Nessun cookie di profilazione, nessun tracciamento, nessuna pubblicità: per questo non è richiesto alcun banner di consenso.
6. Sub-responsabili e destinatari
| Fornitore | Servizio | Garanzie |
|---|---|---|
| Cloudflare, Inc. | Hosting, database, archiviazione immagini, elaborazione AI | DPA con Clausole Contrattuali Standard (SCC); certificazioni ISO 27001 |
| Stripe, Inc. | Pagamenti e fatturazione | PCI-DSS livello 1; DPA con SCC. Brigata non conserva i dati delle carte |
| Servizi push del browser (Google, Mozilla, Apple) | Recapito delle notifiche push | Il contenuto delle notifiche è cifrato end-to-end (RFC 8291) |
Le foto delle fatture elaborate con AI vengono processate su infrastruttura Cloudflare e non vengono utilizzate per addestrare modelli.
7. Conservazione
I dati sono conservati finché l'account dell'Organizzazione è attivo. Alla cessazione del contratto, i dati vengono cancellati entro 60 giorni, fatta salva la conservazione dei dati di fatturazione per gli obblighi di legge (10 anni) e l'eventuale esportazione richiesta dall'Organizzazione (es. registri presenze). I registri di turni e presenze possono essere esportati in CSV in ogni momento dallo Chef.
8. Diritti degli interessati
Gli interessati possono esercitare i diritti di cui agli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) scrivendo a [email protected]. I membri di una squadra possono rivolgersi anche direttamente alla propria Organizzazione, in qualità di Titolare. Resta salvo il diritto di reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
9. Sicurezza
Connessioni esclusivamente HTTPS (dominio .app con HSTS preloaded), password conservate solo come hash con salt (PBKDF2-SHA256), isolamento dei dati per organizzazione a livello di query, controllo degli accessi basato sui ruoli (i dati economici non vengono mai trasmessi ai ruoli non autorizzati), notifiche push cifrate.