Legale

Informativa sulla Privacy

Data di entrata in vigore: 01 / 01 / 2026 Ultimo aggiornamento: 16 / 05 / 2026

Questa traduzione è fornita a scopo puramente informativo; in caso di discrepanza prevale la versione inglese. Si consiglia di consultare un legale.

1.Chi siamo

FoodWeb AI Ltd ("ROA", "noi", "ci") è il titolare del trattamento dei dati personali elaborati tramite l'applicazione e il sito web di ROA (roaapp.ai).

  • Sede legale: 2 Castle Close, London SW19 5NH, Regno Unito
  • Numero societario: 16018953 (Inghilterra e Galles)
  • Numero IVA: 482681365
  • Contatto per questioni di privacy: privacy@roaapp.ai
  • Rappresentante nell'UE (Art. 27 GDPR): Arnav Agarwal, privacy@roaapp.ai.
  • Rappresentante nel Regno Unito: non richiesto — FoodWeb AI Ltd è stabilita nel Regno Unito.
  • Responsabile della protezione dei dati: non nominato (valutazione ai sensi dell'articolo 37 conservata in archivio).

2.Ambito di applicazione

La presente informativa descrive come trattiamo i dati personali degli utenti di ROA (titolari di account, membri di cucine), dei visitatori di roaapp.ai e degli utenti che interagiscono con noi via e-mail o messaggistica in-app.

3.Quali dati raccogliamo e perché

Identità dell'account
Esempi
E-mail, nome, foto profilo, identificatori OAuth di Apple / Google
Fonte
Tu (registrazione), il tuo provider OAuth
Finalità
Creare e gestire il tuo account
Base giuridica
Contratto — Art. 6(1)(b)
Profilo cucina / azienda
Esempi
Nome della cucina, indirizzo, orari di apertura, social, sito web, tipo
Fonte
Tu
Finalità
Fornire il servizio
Base giuridica
Contratto
Membro e ruolo
Esempi
A quali cucine appartieni e il tuo ruolo
Fonte
Tu / proprietario della cucina
Finalità
Controllo degli accessi
Base giuridica
Contratto
Dati di contenuto
Esempi
Ricette, chat, fatture, menu, informazioni sui fornitori, documenti analizzati e file caricati
Fonte
Tu e il tuo team
Finalità
Fornire le funzionalità del prodotto
Base giuridica
Contratto
Dati di fatturazione
Esempi
ID cliente Stripe, indirizzo di fatturazione, storico fatture. I dati della carta di pagamento sono gestiti da Stripe, non da noi.
Fonte
Tu, tramite Stripe Checkout
Finalità
Abbonamenti e registrazioni fiscali
Base giuridica
Contratto; obbligo legale (fiscalità)
Dati del dispositivo
Esempi
ID dispositivo, nome, piattaforma, versione dell'app, impronta del dispositivo, token push
Fonte
Il tuo dispositivo
Finalità
Limiti dispositivi, notifiche push, sicurezza account
Base giuridica
Contratto; legittimo interesse (sicurezza)
Dati tecnici e di utilizzo
Esempi
Indirizzo IP, user-agent, segnalazioni di errori, tracce di performance; sul web, session replay opzionale previo consenso
Fonte
Il tuo dispositivo, i nostri server
Finalità
Stabilità, sicurezza, prevenzione degli abusi
Base giuridica
Legittimo interesse; consenso per telemetria non essenziale
Supporto / feedback
Esempi
Ciò che ci scrivi, screenshot opzionali, la tua e-mail
Fonte
Tu
Finalità
Assistenza clienti
Base giuridica
Contratto; legittimo interesse
Comunicazioni
Esempi
E-mail di autenticazione, inviti, notifiche transazionali
Fonte
Tu / il tuo team
Finalità
Operatività del servizio
Base giuridica
Contratto

Dati di categoria speciale (articolo 9). Il contenuto che carichi (ricette, chat, note dietetiche) potrebbe rivelare informazioni su diete religiose, allergie o salute. Non te li chiediamo direttamente e non li utilizziamo per la profilazione. Caricando contenuti, accetti che li archivieremo ed elaboreremo come parte del servizio.

Cosa NON raccogliamo:

  • Numeri di carta di pagamento (li gestisce direttamente Stripe).
  • Dati di tracciamento a fini pubblicitari.
  • Dati biometrici.

4.Fonti

La maggior parte dei dati proviene direttamente da te quando ti registri e utilizzi il servizio. Alcuni provengono dal tuo team. Altri provengono da terze parti quando le utilizzi per accedere (Apple, Google).

5.Per quanto tempo li conserviamo

  • Account attivi: per tutta la durata dell'account.
  • Account eliminati: eliminati definitivamente dalla produzione entro 30 giorni; i backup vengono eliminati entro 30–35 giorni.
  • Fatture Stripe: conservate per almeno 10 anni per conformità fiscale.
  • Log del server: 30–90 giorni.
  • Telemetria Sentry: 30–90 giorni, in base alle impostazioni del progetto Sentry.

6.Con chi li condividiamo (sub-responsabili)

Principali sub-responsabili: Supabase (database, autenticazione), Google Cloud (hosting, archiviazione file, inferenza IA tramite Vertex AI), Stripe (pagamenti), Sentry (monitoraggio errori), MailerSend (e-mail transazionale), Notion (ticket di supporto), Neo4j Aura (grafo degli ingredienti), Expo (push mobile). Notifichiamo agli utenti le modifiche significative prima che entrino in vigore.

7.Trasferimenti internazionali

ROA opera con residenza dei dati esclusivamente nell'UE: infrastruttura principale in europe-west1 (Belgio), Sentry nella regione UE (de.sentry.io), MailerSend elabora nell'UE, inferenza Vertex AI limitata alle regioni UE. Quando i dati vengono trasferiti al di fuori dello SEE / Regno Unito, ci avvaliamo del Data Privacy Framework UE → USA ove il destinatario sia certificato, e/o delle Clausole Contrattuali Standard della Commissione europea (2021/914) e, per i trasferimenti dal Regno Unito, dell'Addendum Internazionale per il Trasferimento di Dati del Regno Unito.

8.I tuoi diritti

  • Accesso ai dati personali che deteniamo su di te (Art. 15).
  • Rettifica dei dati inesatti (Art. 16).
  • Cancellazione dei tuoi dati (Art. 17). In autonomia tramite Impostazioni → Account.
  • Limitazione o opposizione al trattamento (Art. 18, 21).
  • Portabilità dei dati (Art. 20).
  • Revoca del consenso in qualsiasi momento, ove il trattamento si basi sul consenso.
  • Presentare un reclamo presso la tua autorità di controllo. La nostra autorità di controllo principale è l'ICO del Regno Unito, ico.org.uk.

Rispondiamo entro un mese (prorogabile a tre per le richieste complesse, con preavviso).

9.Decisioni automatizzate

Utilizziamo modelli di IA (Google Gemini e Anthropic Claude tramite Google Vertex AI) per analizzare documenti e ricette caricati. Questi modelli non prendono decisioni che producano effetti giuridici o significativamente analoghi su di te ai sensi dell'Art. 22.

10.Sicurezza

TLS in transito, cifratura del disco a riposo, sicurezza a livello di riga nel database, accesso con privilegi minimi da parte del personale di ROA, certificazioni dei fornitori (SOC 2 / ISO 27001 ove applicabile).

11.Minori

ROA non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati personali da persone di età inferiore ai 16 anni.

12.Modifiche alla presente informativa

Pubblichiamo qui le modifiche significative e, ove opportuno, ti informiamo nell'app o via e-mail almeno 30 giorni prima della loro entrata in vigore.

13.Contatti

privacy@roaapp.ai — ci impegniamo a rispondere entro 5 giorni lavorativi.