Informativa Privacy Menu (Visitatori)

La presente informativa è dedicata in via esclusiva al Visitatore, ovvero alla persona fisica che, inquadrando un codice QR esposto presso un esercizio della ristorazione aderente al servizio sestosenso, accede al menu digitale ospitato sul dominio sestosenso.menu o sui relativi sottodomini al solo scopo di consultarne i contenuti.

Si precisa che la presente informativa non si applica al Cliente, ovvero al ristoratore o all'esercente che sottoscrive il servizio sestosenso e ne è destinatario commerciale: per il trattamento dei dati personali del Cliente in qualità di sottoscrittore del servizio si rinvia all'apposita informativa pubblicata alla pagina /privacy-clienti.

L'attività di consultazione del menu digitale da parte del Visitatore avviene in forma integralmente anonima: non è richiesta alcuna registrazione, alcun accesso autenticato, alcuna creazione di profilo utente, né alcuna comunicazione di dati personali identificativi o di contatto.

Titolare del trattamento dei dati personali, ai sensi dell'articolo 4, numero 7), del GDPR, è:

Andrea Pinaroli, persona fisica esercente attività imprenditoriale in forma di ditta individuale, P.IVA in regime forfettario, che eroga il servizio con il nome commerciale «sestosenso», con sede dell'attività in Via Giacomo Barzellotti, 15, 00136 Roma (RM), Italia, codice fiscale PNRNDR03H28H501T, partita IVA IT17297081006, indirizzo di posta elettronica certificata andrea.pinaroli@pec.fiscozen.it, indirizzo di posta elettronica dedicato alle questioni di protezione dei dati personali privacy@sestosenso.menu.

Il Titolare non ha designato un Responsabile della protezione dei dati ai sensi dell'articolo 37 del GDPR, non ricorrendone i presupposti normativi. Per ogni quesito relativo al trattamento dei propri dati personali, l'Interessato può rivolgersi al Titolare ai recapiti sopra indicati.

Ai fini dell'esercizio dei diritti di cui agli articoli 15-22 del GDPR e di ogni altra richiesta in materia di protezione dei dati personali, il canale ordinariamente dedicato al Visitatore è l'indirizzo di posta elettronica privacy@sestosenso.menu, atteso che il Visitatore non è di norma munito di indirizzo di posta elettronica certificata. L'indirizzo PEC andrea.pinaroli@pec.fiscozen.it costituisce canale residuale, riservato in via esclusiva alle comunicazioni provenienti da altri indirizzi PEC, conformemente alla configurazione del servizio PEC del Titolare e alla prassi di settore in materia di Posta Elettronica Certificata di cui al D.P.R. 11 febbraio 2005, n. 68, ed è ordinariamente utilizzato per le comunicazioni di natura formale con la clientela B2B del Titolare.

Si dichiara espressamente, in ossequio al principio di trasparenza di cui all'articolo 5, paragrafo 1, lettera a), del GDPR, che durante la visualizzazione del menu digitale il Titolare non raccoglie alcun dato personale del Visitatore a livello applicativo.

In particolare, e a titolo non esaustivo:

• non è prevista alcuna procedura di autenticazione né di registrazione del Visitatore, il quale accede al menu in modalità integralmente anonima mediante la sola scansione del codice QR;
• non sono installati cookie analitici di terze parti, né strumenti di analytics di prima o terza parte (a titolo esemplificativo: Google Analytics, Adobe Analytics, Matomo, Plausible, PostHog) sul lato Visitatore;
• non sono installati pixel di tracciamento né strumenti di marketing di terze parti (a titolo esemplificativo: Meta Pixel, Google Ads, LinkedIn Insight Tag, TikTok Pixel) sul lato Visitatore;
• non è effettuata, a livello applicativo, alcuna registrazione dell'indirizzo IP del Visitatore né alcun log applicativo correlato alla sua sessione di consultazione;
• non sono raccolti dati di geolocalizzazione, fatta eccezione per l'eventuale informazione geografica desumibile a livello infrastrutturale dall'indirizzo IP, su cui si veda infra il paragrafo 6.

Il modello adottato da sestosenso è dunque, sul lato Visitatore, un modello privacy-by-design e privacy-by-default ai sensi dell'articolo 25 del GDPR: il sistema è progettato per non raccogliere dati personali del Visitatore, e non per raccoglierne il minor numero possibile.

Ai sensi e per gli effetti dell'articolo 13, paragrafo 2, lettera e), del GDPR, si dichiara espressamente che il Visitatore non è tenuto a conferire alcun dato personale per la consultazione del menu digitale: il conferimento è in radice assente e non comporta alcuna conseguenza in capo all'Interessato in caso di mancata interazione con le funzioni opzionali del Servizio (ad esempio la selezione della lingua del menu).

L'unico cookie HTTP installato sul dispositivo del Visitatore in occasione della consultazione del menu è il cookie tecnico denominato lang_{slug-ristorante}, ove {slug-ristorante} è l'identificativo testuale del singolo ristorante (ad esempio: lang_ristorante-da-mario).

Le caratteristiche del cookie sono le seguenti:

• denominazione: lang_{slug-ristorante};
• tipologia: cookie HTTP di prima parte (first-party);
• finalità: memorizzazione della preferenza di lingua espressa dal Visitatore in occasione della consultazione, al fine di ripristinare automaticamente tale preferenza nelle visite successive;
• durata: dodici (12) mesi dalla data di impostazione;
• attributo SameSite: Lax;
• base giuridica: articolo 122, comma 1, del Codice Privacy, in quanto cookie tecnico strettamente necessario all'erogazione del servizio richiesto dall'Interessato (memorizzazione di una preferenza utente), in combinato disposto con l'articolo 6, paragrafo 1, lettera f), del GDPR (legittimo interesse del Titolare a garantire la continuità dell'esperienza linguistica).

Il cookie in questione, in quanto tecnico ai sensi delle Linee Guida del Garante per la protezione dei dati personali «cookie e altri strumenti di tracciamento» del 10 giugno 2021 (Documento web n. 9677876), non richiede il preventivo consenso del Visitatore. Il Visitatore può comunque disabilitare il cookie attraverso le impostazioni del proprio browser, fermo restando che, in tal caso, la preferenza di lingua non sarà ricordata tra una visita e l'altra.

Conseguentemente, in adempimento all'art. 122 del D.Lgs. 196/2003, la pagina del menu non mostra alcun banner di consenso ai cookie; l'informativa è resa accessibile tramite link permanente nel footer.

Per ragioni di compatibilità con versioni precedenti dell'applicazione, l'interfaccia del menu digitale può scrivere nella memoria locale del browser del Visitatore le chiavi tecniche cart_{nome-pubblico-ristorante} e versions_{nome-pubblico-ristorante}. Tali chiavi sono retaggio di funzionalità di ordinazione e selezione di varianti rimosse dal Servizio; non sono interrogate né lette dall'applicazione corrente, non vengono trasmesse a server del Titolare, e non contengono dati personali. Il loro azzeramento — manuale o tramite le impostazioni del browser — non pregiudica in alcun modo la fruizione del menu.

Il Titolare ha ritenuto opportuno menzionare espressamente l'esistenza di tali chiavi residuali, in luogo del silenzio, per garantire al Visitatore una piena conoscenza di ciò che, dal punto di vista tecnico, è presente nel suo browser durante e dopo la consultazione del menu. Il Visitatore può rimuovere tali chiavi in qualunque momento attraverso le impostazioni di gestione dei dati di navigazione del proprio browser.

L'infrastruttura tecnica di sestosenso si avvale di fornitori di servizi di hosting di livello professionale, segnatamente Vercel Inc. (per il frontend) e Render Services, Inc. (per il backend). Tali fornitori, in qualità di Responsabili del trattamento ai sensi dell'articolo 28 del GDPR, possono mantenere, a livello infrastrutturale e per esclusive finalità di sicurezza, diagnostica tecnica e prevenzione di abusi (ad esempio: mitigazione di attacchi DDoS, identificazione di traffico anomalo, conformità agli obblighi di legge), log tecnici minimi comprensivi dei seguenti elementi:

• indirizzo IP del dispositivo da cui proviene la richiesta;
• stringa di user-agent del browser;
• data e ora (timestamp) della richiesta;
• URL richiesto e codice di risposta HTTP.

Il periodo di conservazione di tali log infrastrutturali è di trenta (30) giorni secondo le politiche standard dei rispettivi Responsabili (Vercel Inc. e Render Services, Inc.), salvo eventuali esigenze di estensione per finalità di accertamento, esercizio o difesa di un diritto in sede giudiziaria, ovvero per ottemperare a obblighi di legge o a richieste dell'Autorità giudiziaria.

La base giuridica del trattamento è l'articolo 6, paragrafo 1, lettera f), del GDPR (legittimo interesse del Titolare e del Responsabile a garantire la sicurezza del servizio e l'integrità dell'infrastruttura). Il Titolare non accede in via ordinaria a tali log e li consulta esclusivamente in caso di necessità diagnostica o di sicurezza. Test di bilanciamento (sintesi): l'interesse del Titolare e dei Responsabili è proporzionato e necessario alla mitigazione di attacchi informatici e alla diagnostica del Servizio; i dati di log sono di natura tecnica (indirizzo IP, user-agent, timestamp, URL), non sono utilizzati per finalità di marketing, commerciali o di profilazione, e sono conservati per il tempo strettamente necessario (cfr. retention 30 giorni); l'impatto sul Visitatore è minimo, atteso che il Titolare non vi accede ordinariamente e che il Visitatore conserva i diritti di cui agli artt. 15-22 del GDPR.

6.1 Trasferimenti extra-SEE

Trasferimenti extra-SEE. Vercel Inc. e Render Services, Inc. hanno sede negli Stati Uniti d'America. Per tale trasferimento il Titolare e i Responsabili adottano congiuntamente due strumenti di garanzia ai sensi del Capo V del GDPR: (i) la Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023 (EU-US Data Privacy Framework), confermata in sede giurisdizionale dal Tribunale dell'Unione europea con sentenza del 3 settembre 2025, causa T-553/23 (Latombe c. Commissione) (sentenza non definitiva: il ricorrente ha proposto impugnazione dinanzi alla Corte di Giustizia il 31 ottobre 2025; alla data di emissione della presente informativa la Decisione 2023/1795 resta in vigore); e (ii) in via sussidiaria, le Clausole Contrattuali Standard di cui alla Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021. Copia delle garanzie adottate è disponibile su richiesta scritta all'indirizzo del Titolare (vedi sezione 2).

Si precisa che i contenuti del menu digitale visualizzato dal Visitatore (denominazioni dei piatti, descrizioni, prezzi, immagini, allergeni, ingredienti) sono di esclusiva titolarità e responsabilità del singolo ristoratore (Cliente) che ha sottoscritto il servizio sestosenso. Il Titolare si limita ad ospitare tecnicamente tali contenuti.

Eventuali richieste di modifica, rettifica, integrazione o rimozione di contenuti del menu devono pertanto essere indirizzate direttamente al ristorante presso cui il Visitatore si trova. Il Titolare non è competente a intervenire sui contenuti editoriali del menu.

Premesso che, come illustrato al paragrafo 3, il Titolare non raccoglie dati personali del Visitatore a livello applicativo durante la consultazione del menu, l'esercizio dei diritti di seguito elencati risulta, di fatto, limitato all'ambito dei pochi dati eventualmente trattati a livello infrastrutturale dai Responsabili del trattamento (paragrafo 6).

Ciò premesso, in ottemperanza al principio di trasparenza, si riportano i diritti riconosciuti all'Interessato dal GDPR:

• diritto di accesso (art. 15 GDPR), ovvero diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali e, in caso affermativo, di ottenere l'accesso a tali dati e alle relative informazioni;
• diritto di rettifica (art. 16 GDPR), ovvero diritto di ottenere la rettifica dei dati inesatti o l'integrazione di quelli incompleti;
• diritto alla cancellazione, c.d. «diritto all'oblio» (art. 17 GDPR);
• diritto di limitazione del trattamento (art. 18 GDPR);
• diritto alla portabilità dei dati (art. 20 GDPR), limitatamente ai trattamenti automatizzati fondati sul consenso o sull'esecuzione di un contratto;
• diritto di opposizione (art. 21 GDPR), in particolare per i trattamenti fondati sul legittimo interesse;
• diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato (art. 22 GDPR).

L'esercizio dei suddetti diritti è gratuito e può essere effettuato mediante comunicazione scritta inviata al Titolare ai recapiti indicati al precedente paragrafo 2. Il Titolare fornisce riscontro all'Interessato senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta, ai sensi dell'articolo 12, paragrafo 3, del GDPR.

Poiché alcuna finalità di trattamento del Visitatore è fondata sul consenso ai sensi dell'art. 6, paragrafo 1, lettera a), del GDPR, non si applica al Visitatore il diritto di revoca del consenso ex art. 7, paragrafo 3, del GDPR. Resta in ogni caso impregiudicato il diritto di opposizione ex art. 21 del GDPR per i trattamenti fondati sul legittimo interesse del Titolare (cfr. paragrafo 6).

Il Titolare non effettua decisioni interamente automatizzate, comprese quelle basate su profilazione, che producano effetti giuridici nei confronti del Visitatore o che incidano in modo analogo significativo sulla sua persona, ai sensi dell'articolo 22 del GDPR.

L'Interessato che ritenga che il trattamento dei propri dati personali sia avvenuto in violazione del GDPR ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, ai sensi dell'articolo 77 del GDPR, ai seguenti recapiti:

• indirizzo: Garante per la protezione dei dati personali, Piazza Venezia n. 11, 00187 Roma;
• posta elettronica ordinaria: protocollo@gpdp.it;
• posta elettronica certificata: protocollo@pec.gpdp.it;
• telefono (centralino): +39 06 696771.

Resta impregiudicato il diritto dell'Interessato di proporre ricorso giurisdizionale ai sensi dell'articolo 79 del GDPR.

Per ogni informazione di dettaglio in ordine ai cookie e agli analoghi strumenti di tracciamento eventualmente installati sul dispositivo del Visitatore, ivi compresi quelli pianificati e non ancora attivi alla data di pubblicazione della presente informativa, si rinvia integralmente alla Cookie Policy disponibile alla pagina /cookie del sito sestosenso.menu.

La presente informativa è stata redatta in data 12 maggio 2026 e costituisce la versione attualmente in vigore.

Il Titolare si riserva il diritto di apportare in qualunque momento modifiche o integrazioni alla presente informativa, anche al fine di adeguarla alle eventuali modificazioni della normativa applicabile o degli orientamenti giurisprudenziali e delle Autorità di controllo. Le modifiche saranno pubblicate sul sito alla medesima pagina /privacy-menu e ne sarà data evidenza mediante aggiornamento del numero di versione e della data di pubblicazione. Poiché il Visitatore accede al menu digitale in forma anonima e non dispone di un account presso il Titolare, non è prevista una notifica individuale degli aggiornamenti: la pubblicazione della versione aggiornata sulla presente pagina, con indicazione della nuova data, costituisce strumento di informazione idoneo nei confronti dei Visitatori. Le modifiche sostanzialmente sfavorevoli per il Visitatore — ad esempio relative a nuove finalità di trattamento, a nuovi destinatari dei dati o a nuovi trasferimenti extra-SEE — saranno comunque evidenziate con apposita avvertenza in apertura della pagina per un congruo periodo dalla pubblicazione, e gli strumenti di tracciamento eventualmente soggetti a consenso non saranno installati prima della raccolta di tale consenso secondo le modalità descritte nella Cookie Policy.