Privacy Policy
Ultimo aggiornamento: 5 giugno 2026
La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
1. Titolare del trattamento
Titolare del trattamento dei dati personali raccolti tramite il presente sito è MAGICLA S.R.L.S., con sede in Via Nuova Poggioreale 60/L, Centro Polifunzionale Torre 8, 80143 Napoli (NA), Italia e sede operativa in Via Vincenzo D’Annibale 1, 80129 Napoli (NA), Italia, C.F. / P.IVA 09637271215, iscritta al Registro Imprese di Napoli al n. REA NA 1046662. Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare il Titolare all’indirizzo info@vincarne.it (PEC: magiclasrls@pec.it).
2. Responsabile della protezione dei dati (DPO)
Il Titolare, considerate le dimensioni aziendali, la natura dei trattamenti e l’assenza dei presupposti di cui all’art. 37 GDPR, non ha proceduto alla nomina di un Responsabile della protezione dei dati (DPO). Per ogni questione in materia di privacy è possibile rivolgersi direttamente al Titolare scrivendo a info@vincarne.it.
3. Categorie di dati trattati
- Dati di navigazione: indirizzo IP (hashato con SHA-256), user-agent, pagine visitate, timestamp. Raccolti in forma aggregata esclusivamente in presenza di consenso ai cookie analitici.
- Dati forniti volontariamente tramite il form early access: nome, cognome, indirizzo e-mail, numero di telefono e preferenze marketing.
- Prove di consenso cookie: session_id pseudonimo, hash SHA-256 dell’IP, preferenze espresse, azione compiuta e timestamp (cfr. Cookie Policy).
- Dati del programma fedeltà VinCarne Club: nome, e-mail, storico punti, livello (tier), coupon generati e riscattati, codice referral, conteggio inviti completati.
- Hash del device fingerprint: ai fini di prevenzione abusi e anti-farming nel programma fedeltà.
- Dati relativi alla salute: informazioni su allergie e intolleranze alimentari fornite volontariamente dall’interessato in fase di prenotazione, ai sensi dell’art. 9 par. 1 GDPR. Trattati esclusivamente per garantire la sicurezza alimentare del cliente durante il servizio. Accesso ristretto allo staff di cucina e di sala; non utilizzati per finalità di marketing o profilazione.
4. Finalità e basi giuridiche
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Gestione registrazione early access e contatto con l’interessato | Consenso esplicito (art. 6.1.a GDPR) | Fino a revoca del consenso da parte dell’interessato |
| Invio di comunicazioni informative e di marketing relative al progetto VinCarne by Dixie | Consenso esplicito (art. 6.1.a GDPR) | Fino a revoca del consenso |
| Statistiche di navigazione aggregate | Consenso (art. 6.1.a GDPR) | 24 mesi |
| Sicurezza del sito e prevenzione di abusi | Legittimo interesse del Titolare (art. 6.1.f GDPR) | 12 mesi (log tecnici) |
| Conservazione della prova del consenso cookie | Obbligo legale (art. 6.1.c GDPR) in combinato disposto con l’art. 5 §2 GDPR (accountability) | 24 mesi |
| Gestione del programma fedeltà VinCarne Club (accumulo punti, livelli, coupon, leaderboard) | Esecuzione contrattuale — adesione ai Termini del programma (art. 6.1.b GDPR) | Durata dell’iscrizione al programma + 24 mesi |
| Sistema referral (generazione codice, conteggio inviti completati). Nota: i dati del soggetto invitato (referee) sono trattati esclusivamente dopo la sua registrazione volontaria sul sito; nessuna e-mail o comunicazione viene inviata automaticamente al referee dal sistema. Quando un utente si registra tramite un link referral, il sistema registra l’associazione con il Membro che ha condiviso il link: tale dato è raccolto al momento della registrazione volontaria dell’interessato (art. 13 GDPR) e non tramite comunicazione da parte di terzi, pertanto non si configura un trattamento ai sensi dell’art. 14 GDPR. | Esecuzione contrattuale (art. 6.1.b GDPR) | Durata dell’iscrizione al programma + 24 mesi |
| Gestione di allergie e intolleranze alimentari ai fini della sicurezza del cliente | Consenso esplicito ex art. 9.2.a GDPR + esecuzione del contratto ex art. 6.1.b GDPR | Fino a 24 mesi dalla data della prenotazione, poi anonimizzazione |
| Comunicazioni su servizi analoghi a quelli oggetto della prenotazione (eventi, degustazioni, novità del menu, anniversari del ristorante, novità della cantina) inviate al cliente che ha effettuato una prenotazione | Soft opt-in — art. 130 comma 4 D.Lgs. 196/2003 (Codice Privacy) | Fino a opposizione dell’interessato |
5. Responsabile del trattamento (art. 28 GDPR)
InTasca Srls, in qualità di fornitore dei servizi tecnici e digitali del sito, è designata quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, trattando i dati per conto del Titolare esclusivamente per le finalità connesse alla gestione e manutenzione del sito web.
- Sede legale: Via Nuova Poggioreale, Torre 7 snc — 80143 Napoli (NA)
- PEC: intascasrls@pec.it
- C.F. / P.IVA: 11039821217
- REA: NA — 1150116
Il rapporto è formalizzato da apposito Accordo sul trattamento dei dati ai sensi dell’art. 28 GDPR.
6. Ulteriori destinatari dei dati
I dati personali potranno essere comunicati ai seguenti ulteriori soggetti, nominati anch’essi quali Responsabili del trattamento ex art. 28 GDPR:
- Hetzner Online GmbH — fornitore di hosting VPS (Germania, UE)
- Cloudflare Inc. — servizi CDN, WAF e DNS (Stati Uniti, con Clausole Contrattuali Standard)
- Resend Inc.— fornitore del servizio di recapito delle e-mail transazionali (conferme di registrazione, conferme di prenotazione, magic link di accesso) e delle e-mail di marketing inviate previo consenso dell’interessato (Stati Uniti, con Clausole Contrattuali Standard approvate dalla Commissione Europea)
- Google Ireland Ltd(Mountain View, USA per Google LLC) — provider LLM per il Maitre Digitale tramite la Gemini API (cfr. sez. 9.5 per il dettaglio del trattamento). Il trasferimento verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard (SCC) e, ove applicabile, del quadro di adeguatezza
- Groq Inc.(Mountain View, USA) — provider LLM di fallback per il Maitre Digitale (cfr. sez. 9.5 per il dettaglio del trattamento). Il trasferimento verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard (SCC).
- Consulenti, commercialisti e professionisti incaricati dal Titolare, nei limiti strettamente necessari all’adempimento degli obblighi di legge
I dati personali possono inoltre essere comunicati ai seguenti soggetti, che agiscono in qualità di titolari autonomidel trattamento, esclusivamente previo consenso dell’interessato per finalità di marketing:
- Meta Platforms Ireland Ltd(Facebook/Instagram Pixel, contenuti Instagram incorporati tramite embed) — dati trasmessi solo previo consenso marketing; i contenuti embed vengono caricati solo su interazione dell’utente
- Meta Platforms Ireland Ltd (Meta Conversions API — CAPI)— trasmissione server-side di dati identificativi hashati (email SHA-256, telefono, nome, cognome, città, paese), indirizzo IP, user-agent, cookie _fbp/_fbc, per finalità di misurazione campagne e ottimizzazione inserzioni. Meta agisce in qualità di contitolare del trattamento (art. 26 GDPR). Trasferimento USA sotto Clausole Contrattuali Standard
- Google Ireland Ltd(Google Ads) — dati trasmessi solo previo consenso marketing
- TikTok Technology Ltd(TikTok Pixel) — dati trasmessi solo previo consenso marketing
7. Trasferimenti extra-UE
Alcuni dei fornitori sopra indicati — in particolare Cloudflare Inc. e Resend Inc. — hanno sede negli Stati Uniti d’America. Le e-mail transazionali e di marketing inviate ai membri sono recapitate tramite l’API di Resend Inc., che opera in qualità di Responsabile del trattamento ex art. 28 GDPR. Il trasferimento dei dati verso tali Paesi avviene sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione UE 2021/914 e, ove applicabile, sulla base dell’adesione dei fornitori all’EU-US Data Privacy Framework. L’interessato può richiedere al Titolare copia delle garanzie adottate scrivendo a info@vincarne.it.
TikTok Technology Ltd(TikTok Pixel) potrebbe trasferire dati verso gli Stati Uniti e, potenzialmente, verso la Repubblica Popolare Cinese tramite la società capogruppo ByteDance Ltd. Tali trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e delle misure supplementari adottate da TikTok, tra cui la cifratura in transito e a riposo e le valutazioni d’impatto sul trasferimento (Transfer Impact Assessment). Il trattamento è subordinato al previo consenso dell’interessato per finalità di marketing.
8. Diritti dell’interessato
Ai sensi degli artt. 15-22 GDPR, l’interessato ha in qualsiasi momento il diritto di: (i) accedere ai propri dati personali e ottenerne copia; (ii) chiederne la rettifica o l’integrazione; (iii) ottenerne la cancellazione (diritto all’oblio); (iv) chiedere la limitazione del trattamento; (v) opporsi al trattamento per motivi legittimi; (vi)ricevere i propri dati in formato strutturato e di uso comune (portabilità); (vii)revocare in qualsiasi momento il consenso precedentemente prestato, senza pregiudicare la liceità del trattamento effettuato sino a quel momento; (viii) proporre reclamo al Garante per la protezione dei dati personali (www.gpdp.it) qualora ritenga che il trattamento violi il GDPR. Per esercitare tali diritti è sufficiente inviare una richiesta a info@vincarne.it; il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni.
Diritto di opposizione al marketing diretto (art. 21, comma 2, GDPR). In qualsiasi momento, e senza necessità di fornire motivazioni, l’interessato può opporsi al trattamento dei propri dati per finalità di marketing diretto. In tal caso i dati non saranno più trattati per tali finalità. L’opposizione può essere esercitata tramite il link di disiscrizione presente in ogni comunicazione, oppure scrivendo a info@vincarne.it.
Comunicazioni su servizi analoghi (art. 130 comma 4 D.Lgs. 196/2003). Quando l’interessato effettua una prenotazione presso il ristorante, l’indirizzo e-mail comunicato in tale occasione potrà essere utilizzato dal Titolare per inviare comunicazioni relative a servizi analoghi a quello prenotato (in particolare: eventi, degustazioni, novità del menu, anniversari del ristorante, novità della cantina). Tale trattamento si fonda sulla deroga di cui all’art. 130 comma 4 del Codice Privacy e non richiede un consenso ulteriore, fermo restando il diritto dell’interessato di opporsi in qualsiasi momento, in modo agevole e gratuito, tramite il link di disiscrizione presente in ogni comunicazione, oppure scrivendo a info@vincarne.it. L’opposizione non pregiudica la facoltà del Titolare di inviare comunicazioni esclusivamente transazionali (conferma prenotazione, modifiche di servizio, ricevute, comunicazioni tecniche). L’interessato è informato di tale trattamento già al momento della raccolta dei dati nella pagina di prenotazione, ai sensi dell’art. 13 GDPR.
9. Maitre Digitale — Trattamento dati AI
9.1 Descrizione del servizio e natura del trattamento
Il sito vincarne.it mette a disposizione un assistente digitale denominato “Maitre Digitale” (o “Il maitre di VinCarne”), accessibile tramite il widget di chat posizionato nelle pagine del sito e tramite la pagina dedicata /maitre. Il servizio consente agli utenti di ricevere suggerimenti personalizzati sulla composizione della cena, sulla scelta dei tagli di carne, degli abbinamenti enologici e delle portate disponibili nel menu.
Ai sensi dell’art. 50 del Regolamento (UE) 2024/1689 (“AI Act”), il Titolare informa espressamente che il Maitre Digitale è un sistema basato su intelligenza artificiale. Le risposte sono generate in modo automatico e non provengono da un operatore umano. L’utente che utilizza il servizio di chat interagisce con un sistema AI generativo.
9.2 Dati personali trattati
- Testo dei messaggi: il contenuto dei messaggi inviati dall’utente durante la conversazione.
- Cronologia della conversazione: le ultime sessioni di scambio di messaggi necessarie al mantenimento del contesto della sessione (massimo 10 messaggi in memoria per sessione).
- Identificatore di sessione: un codice univoco generato casualmente (UUID) per correlare i messaggi all’interno della stessa sessione di chat. La sessione ha durata massima di 24 ore, dopo di che viene eliminata automaticamente dal sistema tramite job schedulato.
- Hash del device fingerprint: un valore pseudonimizzato derivato da caratteristiche tecniche del dispositivo dell’utente (non riconducibile direttamente all’identità del singolo), utilizzato esclusivamente per finalità di moderazione e prevenzione abusi (tabella
device_bans, conservazione massima 1 ora in caso di sospensione temporanea). - Dati tecnici del log di conversazione: provider AI utilizzato (es. Groq), numero di token elaborati, latenza della risposta. Tali dati sono conservati nella tabella
sommelier_conversationsa fini di monitoraggio della qualità del servizio.
9.3 Finalità del trattamento
I dati sopra indicati sono trattati esclusivamente per le seguenti finalità:
- Erogazione del servizio di assistenza alla composizione della cena, selezione dei vini e orientamento sul menu.
- Mantenimento della coerenza del contesto durante la sessione di chat.
- Prevenzione di abusi e moderazione dei contenuti (es. messaggi con linguaggio inappropriato o richieste fuori ambito), tramite un sistema di escalation progressiva.
- Monitoraggio tecnico della qualità del servizio AI (latenza, disponibilità del provider, numero di token).
I dati delle conversazioni nonsono utilizzati per finalità di marketing, profilazione commerciale, creazione di audience pubblicitarie, né per addestrare o affinare modelli AI di proprietà del Titolare.
9.4 Base giuridica
La base giuridica del trattamento è l’art. 6.1.b del GDPR (“esecuzione di un contratto di cui l’interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso”): l’utente che avvia la chat richiede volontariamente l’erogazione del servizio digitale di assistenza, e il trattamento dei dati è necessario per fornire tale servizio.
Il trattamento del device fingerprint hash per finalità di sicurezza e prevenzione abusi è fondato sull’art. 6.1.f del GDPR (legittimo interesse del Titolare), coerentemente con quanto previsto dal Considerando 49 GDPR.
9.5 Sub-responsabili del trattamento: Google (Gemini API) e Groq Inc.
Il testo dei messaggi inviati dall’utente è trasmesso, ai fini della generazione della risposta AI, ai provider di inferenza AI nominati quali sub-responsabili del trattamento da InTasca S.r.l.s. ai sensi dell’art. 28 GDPR. Il provider primario è Google (Gemini API), con modello Gemini 2.5 Flash; in caso di indisponibilità il sistema ricorre, quale fallback, a Groq Inc., con sede negli Stati Uniti d’America, che esegue il modello open source Llama 3.1 8B Instant (sviluppato da Meta AI) sulla propria infrastruttura.
I provider dichiarano di trattare i dati per conto del cliente esclusivamente per l’erogazione del servizio API e non per addestrare propri modelli. Il trasferimento verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914/UE e, ove applicabile, del quadro di adeguatezza. L’interessato può richiedere copia delle garanzie adottate scrivendo a info@vincarne.it.
Qualora nessun provider AI sia disponibile, il sistema non genera risposte e mostra all’utente un messaggio di servizio temporaneamente non disponibile, senza trasmissione del testo a provider esterni.
9.6 Conservazione dei dati
| Dato | Tabella | Conservazione |
|---|---|---|
| Sessione di chat e messaggi in sessione | sommelier_sessions | 24 ore — cancellazione automatica tramite job schedulato |
| Log tecnico della conversazione (provider, token, latenza) | sommelier_conversations | Conservati per monitoraggio qualità del servizio; soggetti alla politica di retention generale del Titolare (max 24 mesi) |
| Hash device fingerprint per moderazione | device_bans | Massimo 1 ora (sospensione temporanea), poi eliminazione automatica |
9.7 Processi decisionali automatizzati — art. 22 GDPR
Il Maitre Digitale non adotta decisioni automatizzate che producano effetti giuridici o che incidano in modo analogo significativamente sull’interessato ai sensi dell’art. 22 del GDPR. Le risposte generate dall’AI costituiscono esclusivamente suggerimenti gastronomici non vincolanti. Il sistema non esegue profilazione commerciale, non determina prezzi individualizzati, non produce score creditizi o valutazioni giuridicamente rilevanti.
L’unica decisione automatizzata presente riguarda la moderazione temporaneadell’accesso al servizio di chat in caso di comportamento abusivo reiterato (sospensione massima di 1 ora per device fingerprint). Tale misura non produce effetti giuridici sull’interessato e non riguarda il rapporto contrattuale principale con il ristorante.
9.8 Classificazione di rischio AI Act
Il Maitre Digitale è classificato come sistema AI a rischio minimoai sensi del Regolamento (UE) 2024/1689 (AI Act). Il sistema non rientra nelle categorie di AI ad alto rischio di cui all’Allegato III del Regolamento, né utilizza dati biometrici, né esegue scoring sociale, né è destinato a finalità di contrasto, sicurezza pubblica o decisioni in materia di occupazione o istruzione.
9.9 Diritto di non utilizzo del servizio AI
L’utilizzo del Maitre Digitale è del tutto facoltativo. L’utente che non desidera interagire con il sistema AI può semplicemente non avviare la chat o chiudere il widget senza alcuna conseguenza sul proprio accesso al sito o al programma fedeltà VinCarne Club. Non è prevista alcuna penalizzazione per il mancato utilizzo del servizio.
L’utente che ha avviato una sessione può richiedere la cancellazione dei dati della propria sessione scrivendo a info@vincarne.it. In ogni caso, i dati di sessione sono eliminati automaticamente entro 24 ore.
10. Processi decisionali automatizzati (artt. 13.2.f e 22 GDPR) — Programma Fedeltà
Il sistema di gamification del programma VinCarne Club assegna punti e livelli (Bronze, Silver, Gold) in modo deterministico sulla base di soglie predefinite. Non sono presenti processi decisionali automatizzati che producano effetti giuridici o significativi sull’interessato ai sensi dell’art. 22 GDPR. L’assegnazione dei benefici avviene automaticamente al raggiungimento delle soglie, senza elementi di discrezionalità o aleatorietà. Per i processi decisionali automatizzati connessi al Maitre Digitale, si rinvia alla sezione 9.7 della presente informativa.
11. Natura del conferimento
Il conferimento dei dati è facoltativo. Il mancato conferimento impedisce l’accesso ai servizi che lo richiedono (es. registrazione early access, programma fedeltà). L’utilizzo del Maitre Digitale è sempre facoltativo; si rinvia alla sezione 9.9 per maggiori dettagli.
12. Data breach
In caso di violazione dei dati personali, il Titolare provvederà alla notifica al Garante entro 72 ore (art. 33 GDPR) e, ove necessario, comunicazione agli interessati (art. 34 GDPR).
13. Misure di sicurezza
TLS 1.2+ su tutti gli endpoint, hash SHA-256 per IP e device fingerprint, backup giornalieri cifrati, accesso ai database con autenticazione forte, accesso all’area amministrativa protetto da autenticazione a due fattori. Le sessioni del Maitre Digitale sono cifrate in transito e cancellate automaticamente dopo 24 ore.
Vedi anche la nostra Cookie Policy.