Informativa sulla Privacy

Ultimo aggiornamento: 17 maggio 2026 · Versione v 2026.05.17.01 · Lingua ufficiale: italiano

La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito, «GDPR») e del D.Lgs. 30 giugno 2003, n. 196 («Codice Privacy») come modificato dal D.Lgs. 101/2018, e descrive come il Titolare tratta i dati personali raccolti tramite il sito santamonicagenova.it e in occasione delle attività del ristorante Santamonica.

La versione in italiano è quella ufficiale e prevale in caso di discordanza con eventuali traduzioni di cortesia in altre lingue.

1. Chi tratta i tuoi dati (Titolare del trattamento)

In breve: il titolare è la società che gestisce il ristorante Santamonica. Tutte le richieste in materia di privacy si inviano a privacy@santamonicagenova.it.

Il Titolare del trattamento è:

Il Giuliano di Andrea Giachino e C. S.a.s. (di seguito anche «il Titolare»)
Sede legale: Lungomare Lombardo 27, 16145 Genova (GE), Italia
P.IVA e Codice Fiscale: 02395420991
PEC: ilgiulianosas@legalmail.it
Email dedicata alla privacy: privacy@santamonicagenova.it

Il Titolare non ha nominato un Responsabile della protezione dei dati (DPO) in quanto, in considerazione dell'oggetto e della portata delle attività svolte, non ricorrono i presupposti previsti dall'art. 37 GDPR. L'indirizzo email indicato sopra resta in ogni momento il punto di contatto in materia di privacy.

2. In sintesi

In breve: raccogliamo solo i dati che ci servono per prenotare il tuo tavolo, gestire le tue eventuali allergie (con consenso separato), inviarti la newsletter se la chiedi, e vendere i voucher regalo. Non profiliamo, non vendiamo i tuoi dati a terzi, non li usiamo per pubblicità mirata. Puoi cancellarti, accedere ai tuoi dati o opporti al trattamento in qualunque momento.

Questa informativa è scritta in linguaggio chiaro come richiesto dall'art. 12 GDPR. Ogni sezione inizia con una sintesi e prosegue con i dettagli tecnici per chi desidera approfondire. Se qualcosa non ti è chiaro, scrivici: cercheremo di spiegartelo nel modo più semplice possibile.

3. Quali dati raccogliamo

In breve: raccogliamo solo dati che fornisci tu stesso (prenotazione, newsletter, voucher) oppure dati tecnici minimi che il tuo browser invia automaticamente. Le allergie, se le dichiari, sono trattate come categoria particolare con consenso esplicito.

Categoria di dati	Esempi	Origine
Identificativi e contatti	Nome, telefono, email	Fornito dall'interessato (form prenotazione, voucher, newsletter)
Dati di prenotazione	Data, ora, numero di persone, occasione, richieste particolari	Fornito dall'interessato
Allergie e intolleranze alimentari	Indicazioni testuali fornite nel campo dedicato del form	Fornito dall'interessato — categoria particolare ex art. 9 GDPR, trattata solo con consenso esplicito separato
Dati relativi ai voucher regalo	Nome dell'acquirente, nome ed email del destinatario, importo, eventuale dedica, codice voucher, stato (attivo/riscattato)	Fornito dall'acquirente in fase di acquisto
Dati di pagamento	Importo della transazione, identificativi tecnici del pagamento	Generati da Stripe; il Titolare non riceve né memorizza i dati della carta
Dati tecnici e di navigazione	Indirizzo IP, user agent, pagine visitate, timestamp, statistiche aggregate	Raccolti automaticamente da Cloudflare per sicurezza della rete e analytics privacy-first (senza cookie)
Audit log dei consensi	Timestamp, lingua, fonte e tipologia di consenso in chiaro; email e indirizzo IP esclusivamente sotto forma di hash crittografico HMAC-SHA-256	Generato lato server al momento del rilascio del consenso (newsletter, allergie) per consentire al Titolare di dimostrare il consenso ai sensi dell'art. 7 GDPR

Non raccogliamo dati di geolocalizzazione precisa, non utilizziamo Google Analytics né Facebook Pixel né strumenti analoghi di profilazione comportamentale.

Una nota sui voucher regalo. Quando acquisti un voucher per un'altra persona, ci fornisci alcuni dati che la riguardano (nome, email, eventuale dedica). La persona destinataria riceverà questa informativa, in forma sintetica e tramite link, contestualmente all'email di consegna del voucher, ai sensi dell'art. 14 GDPR. Ti chiediamo di assicurarti, prima dell'acquisto, che la persona sia informata e d'accordo con il fatto che ci comunichi i suoi dati.

4. Perché li trattiamo e con quale base giuridica

In breve: ogni dato che raccogliamo ha una finalità precisa e una base giuridica esplicita (esecuzione di un contratto, consenso, obbligo di legge, legittimo interesse).

Finalità	Base giuridica	Dati interessati
Gestire la tua prenotazione (conferma, modifica, contatto in caso di necessità)	Art. 6(1)(b) GDPR — esecuzione di misure precontrattuali e del contratto di ristorazione	Identificativi, contatti, dati di prenotazione
Tenere conto di allergie e intolleranze in cucina	Art. 9(2)(a) GDPR — consenso esplicito, raccolto con checkbox dedicata e separata da quella della prenotazione	Allergie/intolleranze dichiarate
Inviarti la newsletter con eventi, menu stagionali, iniziative	Art. 6(1)(a) GDPR — consenso, con doppia conferma (double opt-in) e disiscrizione in un click	Email, nome, lingua, fonte di iscrizione
Dimostrare la validità dei consensi ricevuti	Art. 7 GDPR — onere della prova del consenso; art. 2947 c.c.	Audit log `consents.json` in forma HMAC
Vendere e gestire i voucher regalo (incasso, emissione, riscatto)	Art. 6(1)(b) GDPR — contratto	Dati acquirente e destinatario, importo, codice
Adempimenti fiscali e contabili sulle vendite	Art. 6(1)(c) GDPR — obbligo di legge; DPR 600/1973; art. 2220 c.c.	Dati transazione e fatturazione
Garantire la sicurezza del sito e prevenire abusi	Art. 6(1)(f) GDPR — legittimo interesse del Titolare alla sicurezza dei sistemi informatici	IP, log di accesso, statistiche aggregate Cloudflare
Rispondere alle richieste di esercizio dei diritti (DSAR) e adempiere all'obbligo di riscontro	Art. 6(1)(c) GDPR — obbligo legale derivante dagli artt. 12 e 15-22 GDPR; art. 6(1)(f) per la conservazione difensiva del registro DSAR	Email, oggetto della richiesta, esito
Difendere o far valere un diritto in sede giudiziaria	Art. 6(1)(f) — legittimo interesse; art. 9(2)(f) per categorie particolari	Per il tempo strettamente necessario

Nessuna delle finalità sopra elencate comporta processi decisionali automatizzati o profilazione di cui all'art. 22 GDPR.

5. Come li proteggiamo (misure di sicurezza)

In breve: traffico cifrato HTTPS, hash crittografici per gli audit, autenticazione a due fattori sugli strumenti di gestione, accesso limitato alle sole persone autorizzate.

Le misure tecniche e organizzative adottate ai sensi dell'art. 32 GDPR includono, in sintesi:

cifratura del traffico tra browser e server (HTTPS/TLS) imposta in modo permanente (HSTS) sul dominio santamonicagenova.it;
hashing HMAC-SHA-256 con salt custodito lato server per i log dei consensi (newsletter e allergie): l'email e l'IP non sono mai memorizzati in chiaro nell'audit log;
autenticazione a due fattori (2FA) obbligatoria su tutti gli strumenti di gestione (Google, Stripe, Cloudflare, GitHub);
token di accesso al repository in modalità fine-grained, con permessi minimi e scadenza periodica;
policy di sicurezza HTTP (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy) configurate a livello di server;
aggiornamento regolare delle dipendenze software e monitoraggio delle vulnerabilità;
backup periodico dei dati operativi e procedura documentata di risposta alle violazioni di sicurezza (data breach) con notifica al Garante entro 72 ore nei casi previsti dall'art. 33 GDPR.

6. Per quanto tempo li conserviamo

In breve: conserviamo ogni dato solo per il tempo strettamente necessario alla finalità, oppure per il tempo imposto dalla legge (10 anni per i dati fiscali). Le allergie sono cancellate entro 48 ore dopo la prenotazione.

Categoria	Periodo di conservazione	Riferimento
Email iscritta alla newsletter (Brevo)	Fino alla revoca del consenso (link «disiscrizione»)	Art. 6(1)(a) GDPR
Audit log consenso newsletter	24 mesi dopo la revoca	Art. 7 GDPR · art. 2947 c.c.
Allergie e intolleranze	Massimo 48 ore dopo la data della prenotazione, dopodiché cancellate	Art. 9(2)(a) GDPR · principio di minimizzazione
Audit log consenso allergie	24 mesi dopo la prenotazione (solo in forma hash)	Art. 9(2)(a) · art. 7 GDPR
Dati delle prenotazioni (form)	Fino a 12 mesi dalla data della prenotazione	Art. 5(1)(e) GDPR — limitazione della conservazione
Voucher attivi non ancora riscattati	Fino alla data di scadenza (12 mesi dall'acquisto) + 5 anni	Art. 6(1)(c) · DPR 600/1973
Voucher riscattati o rimborsati	10 anni dal riscatto	Art. 2220 c.c. — scritture contabili
Transazioni Stripe	10 anni (gestiti direttamente da Stripe)	Obblighi fiscali — non cancellabili anche su richiesta
Email transazionali (conferme automatiche)	Fino a 24 mesi	Art. 6(1)(b) GDPR
Log tecnici di traffico Cloudflare	7 giorni	Art. 6(1)(f) — sicurezza dei sistemi
Registro richieste di esercizio diritti (DSAR)	5 anni dalla risposta	Art. 12 GDPR · esigenze di difesa
Registro violazioni di sicurezza (data breach)	10 anni dall'evento	Art. 33(5) GDPR — obbligo di documentazione

Al termine dei periodi indicati i dati sono cancellati o resi anonimi in modo irreversibile, salvo quando una norma imperativa imponga la prosecuzione della conservazione.

7. A chi possiamo comunicarli (destinatari)

In breve: i tuoi dati sono accessibili solo a fornitori tecnici scelti per la loro affidabilità e nominati responsabili del trattamento ai sensi dell'art. 28 GDPR. Non li vendiamo a nessuno.

Per fornire i servizi descritti il Titolare si avvale dei seguenti fornitori, nominati responsabili del trattamento ex art. 28 GDPR oppure operanti come titolari autonomi nei limiti delle rispettive informative:

Fornitore	Servizio	Sede
Cloudflare, Inc.	Hosting del sito (Pages), proxy applicativo (Functions, Workers), instradamento email (Email Routing), web analytics privacy-first senza cookie	Stati Uniti (con filiali UE)
Stripe Payments Europe Limited (con sub-responsabile Stripe, Inc.)	Processo dei pagamenti per i voucher regalo	Dublino (Irlanda) + Stati Uniti
Sendinblue SAS («Brevo»)	Invio della newsletter e delle email transazionali; gestione iscrizioni con doppio opt-in	Francia (UE)
DeepL SE	Traduzione automatica del menu (testi non personali)	Germania (UE)
Formspree, Inc.	Instradamento dei messaggi inviati tramite i form del sito	Stati Uniti
Google Ireland Limited / Google LLC	Mappa di Google Maps incorporata; aggregazione recensioni pubbliche tramite Places API (nessun dato personale degli utenti del sito viene inviato)	Irlanda / Stati Uniti
GitHub, Inc. (Microsoft Corporation)	Versionamento del codice sorgente e archiviazione dei file di audit log (in forma hash)	Stati Uniti
Consulente fiscale del Titolare	Adempimenti contabili e fiscali	Italia
Autorità pubbliche	Comunicazione su richiesta motivata di autorità giudiziarie, fiscali, di pubblica sicurezza	Italia

La libreria vanilla-cookieconsent utilizzata per il banner cookie è eseguita esclusivamente nel tuo browser e non invia dati a terzi.

I tuoi dati non sono mai venduti, ceduti per finalità di marketing di terzi, né utilizzati per profilazione pubblicitaria su altre piattaforme.

8. Trasferimenti fuori dall'Unione Europea

In breve: alcuni fornitori hanno server negli Stati Uniti. In quei casi il trasferimento avviene sulla base del Data Privacy Framework UE-USA, integrato — ove necessario — da Clausole Contrattuali Standard. Monitoriamo l'evoluzione giurisprudenziale e normativa europea in materia.

Alcuni dei fornitori sopra elencati (Cloudflare, Stripe, Google, GitHub) hanno sede o operano server negli Stati Uniti e risultano certificati al EU-U.S. Data Privacy Framework. Per altri fornitori statunitensi (in particolare Formspree), la verifica della certificazione DPF è in corso e, nelle more, il trasferimento avviene sulla base di Clausole Contrattuali Standard. Il trasferimento dei dati al di fuori dello Spazio Economico Europeo avviene quindi nel rispetto degli artt. 44 e seguenti del GDPR, attraverso una combinazione di:

adesione del fornitore al EU-U.S. Data Privacy Framework (decisione di adeguatezza della Commissione europea del 10 luglio 2023);
Clausole Contrattuali Standard approvate dalla Commissione (decisione di esecuzione (UE) 2021/914) integrate nei contratti con i fornitori;
misure tecniche supplementari (cifratura, pseudonimizzazione, minimizzazione) ove applicabili.

Il Titolare verifica annualmente l'effettiva persistenza della certificazione DPF dei propri fornitori statunitensi tramite il registro pubblico dataprivacyframework.gov e si riserva di adottare misure ulteriori in caso di pronuncia giurisprudenziale o intervento normativo che modifichi il quadro attuale.

Puoi ottenere copia delle garanzie contrattuali in essere scrivendo a privacy@santamonicagenova.it.

9. I tuoi diritti

In breve: puoi accedere ai tuoi dati, correggerli, cancellarli, limitarne l'uso, riceverli in formato portabile, opporti al trattamento, revocare il consenso e presentare reclamo al Garante. Nessun costo, salvo richieste manifestamente abusive.

In qualità di interessato puoi esercitare in qualunque momento i seguenti diritti previsti dagli artt. 15-21 GDPR:

diritto di accesso (art. 15): ottenere conferma del trattamento e una copia dei tuoi dati;
diritto di rettifica (art. 16): correggere dati inesatti o integrarli se incompleti;
diritto alla cancellazione o «all'oblio» (art. 17): chiedere la cancellazione, salvo quando ostino obblighi di legge (es. obblighi fiscali decennali);
diritto di limitazione (art. 18): chiedere la sospensione del trattamento mentre verifichiamo o contestiamo qualcosa;
diritto alla portabilità (art. 20): ricevere i dati che ci hai fornito in formato strutturato e leggibile, o trasmetterli a un altro titolare;
diritto di opposizione (art. 21): opporsi al trattamento fondato sul legittimo interesse o, in qualunque momento e senza necessità di motivazione, al marketing diretto;
diritto di revocare il consenso in qualunque momento (art. 7 § 3), senza pregiudizio per la liceità del trattamento precedente alla revoca;
diritto di presentare reclamo all'autorità di controllo (art. 77 GDPR — vedi § successivo).

Decisioni automatizzate (art. 22 GDPR). A fini di trasparenza, segnaliamo che il Titolare non effettua processi decisionali interamente automatizzati né profilazione produttivi di effetti giuridici o significativamente incidenti sulla persona. Il diritto di cui all'art. 22 GDPR non trova pertanto applicazione in concreto.

10. Come esercitarli

In breve: scrivici a privacy@santamonicagenova.it. Rispondiamo entro un mese (estendibile fino a tre nei casi complessi). Se non sei soddisfatto puoi rivolgerti al Garante italiano o all'autorità del tuo Paese.

Per esercitare i tuoi diritti puoi:

scrivere a privacy@santamonicagenova.it (canale ordinario);
oppure inviare una PEC a ilgiulianosas@legalmail.it;
oppure scriverci all'indirizzo postale della sede legale indicato al § 1.

Per consentirci di gestire la richiesta in modo accurato e sicuro, indica nel messaggio: il diritto che intendi esercitare, una descrizione sintetica della richiesta, e — solo se necessario per identificarti senza ambiguità — informazioni utili a collegarti al trattamento (es. la data di una prenotazione, il codice di un voucher). In caso di dubbio sull'identità potremo chiederti elementi ulteriori, ai sensi dell'art. 12(6) GDPR.

Risponderemo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta, ai sensi dell'art. 12(3) GDPR. Tale termine può essere prorogato di ulteriori due mesi, ove necessario, tenuto conto della complessità o del numero delle richieste; in tal caso ti informeremo della proroga e dei motivi entro il primo mese. L'esercizio dei diritti è gratuito; in caso di richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, ci riserviamo, ai sensi dell'art. 12(5) GDPR, di addebitare un contributo ragionevole o di rifiutare l'evasione, motivando la decisione.

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo all'autorità di controllo competente:

per i residenti in Italia, al Garante per la protezione dei dati personali — Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it;
per i residenti in Francia, alla CNIL — www.cnil.fr;
per i residenti nel Regno Unito, all'ICO — ico.org.uk;
per residenti in altri Stati membri, all'autorità di controllo del proprio Paese o del luogo di lavoro abituale (art. 77 GDPR).

11. Minori

In breve: i servizi del sito non sono pensati per minori di 14 anni. Al di sotto di questa soglia il consenso al trattamento dei dati deve essere prestato da chi esercita la responsabilità genitoriale.

Ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003, in Italia il minore può prestare validamente il consenso al trattamento dei propri dati in relazione ai servizi della società dell'informazione al compimento del quattordicesimo anno di età. Al di sotto di tale soglia il consenso deve essere prestato da chi esercita la responsabilità genitoriale.

Le versioni dell'informativa in altre lingue, una volta pubblicate, faranno riferimento alle soglie nazionali corrispondenti (15 anni in Francia, 13 anni nel Regno Unito).

Se vieni a conoscenza del fatto che un minore al di sotto della soglia applicabile ci ha fornito dati senza il consenso parentale, ti invitiamo a segnalarcelo: provvederemo prontamente alla cancellazione.

12. Cookie e tecnologie simili

In breve: usiamo pochissimi cookie, tutti descritti nella Cookie Policy dedicata. Puoi rivedere o ritirare il consenso in qualunque momento dal pannello «Gestisci preferenze».

Il sito utilizza esclusivamente cookie tecnici necessari al funzionamento e — previo consenso espresso tramite il banner — eventuali cookie non strettamente tecnici (es. quelli impostati da Stripe nella pagina di checkout o da Google Maps nella mappa incorporata). Non utilizziamo cookie analitici di profilazione: la web analytics adottata (Cloudflare Web Analytics) funziona senza impostare cookie nel browser.

Per il dettaglio aggiornato dei cookie utilizzati, della loro durata e delle modalità di gestione delle preferenze, consulta la Cookie Policy.

13. Modifiche all'informativa

In breve: aggiorniamo questa pagina quando cambiano le pratiche o la normativa. Le modifiche sostanziali sono comunicate via banner sul sito e — se sei iscritto alla newsletter — via email.

Il Titolare si riserva di aggiornare la presente informativa per riflettere modifiche normative, dei servizi offerti o dell'organizzazione interna. Le modifiche meramente formali (correzioni redazionali, riformulazioni che non incidono sul significato) sono pubblicate senza preavviso. Le modifiche sostanziali (nuove finalità, nuovi destinatari, nuove basi giuridiche, modifiche significative dei tempi di conservazione) sono segnalate per almeno 30 giorni tramite avviso ben visibile sulla home del sito e, se sei iscritto alla newsletter, tramite comunicazione via email.

La data riportata in apertura («Ultimo aggiornamento») e la sigla di versione consentono di identificare in modo univoco l'edizione vigente. Lo storico delle versioni è disponibile su richiesta scrivendo a privacy@santamonicagenova.it.

Storico delle versioni

v 2026.05.17.01 — 17 maggio 2026: Integrazione del banner di consenso cookie (vanilla-cookieconsent v3.1.0, bundle locale) eseguita nel rilascio operativo F0.9 del ROADMAP v.08. Nessuna modifica sostanziale al testo dell'informativa.
v 2026.05.16.02 — 16 maggio 2026: Revisione interna iterativa pre-revisione legale: correzione termini di riscontro DSAR (1 mese + 2 di proroga); rimozione di art. 12 come «base giuridica»; integrazione informativa al destinatario di voucher ex art. 14 GDPR; precisazioni su audit log HMAC; allineamento sezione minori; aggiornamento riferimenti trasferimenti USA al quadro DPF; lessico «sub-responsabile» (art. 28 GDPR).
v 2026.05.16.01 — 16 maggio 2026: Prima stesura DIY conforme a GDPR e Codice Privacy.