INFORMATIVA PRIVACY – COPERTO (coperto.co e servizi correlati)
Ultimo aggiornamento: 13/02/2026
La presente informativa descrive come Openbase S.R.L. tratta i dati personali in relazione a:
(a) l’uso del sito coperto.co;
(b) la piattaforma/servizi “Coperto” erogati a ristoranti e operatori hospitality (“Clienti”);
(c) i canali integrati (es. WhatsApp Business Platform, telefono/voce) quando attivati dai Clienti.
L’informativa è resa ai sensi degli artt. 13–14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 (“Codice Privacy”), come modificato.
1. Titolare del trattamento e contatti
Titolare del trattamento (per i trattamenti di cui è titolare, vedi §2):
Openbase S.R.L.
Sede legale: Via Borgo Bassano, 25 – 35013 Cittadella (PD) – Italia
P.IVA: 05763920286
Email privacy: privacy@coperto.co
Openbase non ha nominato un DPO. Se nominato, i contatti verranno aggiornati in questa pagina.
2. Ruoli privacy: Openbase e Cliente (ristorante)
Coperto è un software utilizzato dai Clienti per gestire comunicazioni (es. WhatsApp, telefono) e richieste dei loro clienti finali (“Utenti finali”).
2.1 Quando Openbase è Titolare
Openbase agisce come Titolare per i dati trattati per: gestione del sito coperto.co (richieste, sicurezza, log); gestione account dei Clienti e accesso alla dashboard; fatturazione e adempimenti; sicurezza e prevenzione abusi; assistenza e supporto; sviluppo e miglioramento del servizio (nei limiti indicati al §8).
2.2 Quando Openbase è Responsabile (per conto del ristorante)
Per i dati degli Utenti finali trattati attraverso Coperto per conto del ristorante, Openbase opera di norma come Responsabile del trattamento ai sensi dell’art. 28 GDPR, sulla base di un accordo (DPA) con il Cliente.
In tali casi: il ristorante determina finalità e basi giuridiche ed è responsabile di fornire agli Utenti finali una propria informativa e, ove necessario, raccogliere i consensi; Openbase tratta i dati solo per erogare il servizio e secondo le istruzioni del Cliente, oltre che per esigenze di sicurezza e integrità dei sistemi.
3. Quali dati trattiamo
3.1 Visitatori del sito coperto.co
- Dati tecnici: indirizzo IP, user agent, log di accesso, identificativi di sessione, dati di sicurezza (es. eventi antifrode/rate limiting).
- Dati forniti dall’utente: se ci contatti (form/email), nome, email, contenuto del messaggio e dati necessari a gestire la richiesta.
3.2 Clienti (ristoratori) e utenti dashboard
- Dati account: nome, cognome, email, telefono, ruolo/permessi, credenziali e identificativi di accesso.
- Dati aziendali: ragione sociale, sede, P.IVA/CF (se forniti), dati di fatturazione, configurazioni operative (orari, regole prenotazioni, impostazioni canali).
- Dati di utilizzo: log di accesso, eventi di audit trail, operazioni svolte in dashboard, log di errore.
3.3 Utenti finali del ristorante (per conto del ristorante)
Se il Cliente attiva canali e funzionalità, possono essere trattati: identificativi di contatto (numero telefono/WhatsApp, nome profilo canale, lingua, ID tecnici); contenuti (messaggi, allegati/media, metadati); dati prenotazioni/ordini.
Voce: se il Cliente attiva il canale voce, le chiamate possono essere registrate e trascritte per finalità operative e di qualità del servizio; tali funzionalità sono attive di default salvo disattivazione da parte del Cliente tramite dashboard.
Categorie particolari di dati (art. 9 GDPR): se un Utente finale comunica allergie o informazioni assimilabili a dati sulla salute, tali dati sono trattati dal ristorante con idonea base giuridica; Openbase li tratta per conto del ristorante solo se inviati dall’utente e necessari alla richiesta.
4. Finalità e basi giuridiche (Openbase come Titolare)
- 4.1 Erogazione del sito e gestione richieste — art. 6(1)(b) e/o 6(1)(f).
- 4.2 Erogazione piattaforma ai Clienti — art. 6(1)(b).
- 4.3 Fatturazione e obblighi di legge — art. 6(1)(c).
- 4.4 Sicurezza e prevenzione abusi — art. 6(1)(f).
- 4.5 Supporto tecnico — art. 6(1)(b) e/o 6(1)(f).
- 4.6 Miglioramento del servizio — art. 6(1)(f).
5. Trattamenti per conto del ristorante (Openbase come Responsabile)
Per gli Utenti finali, Openbase tratta i dati solo per erogare le funzionalità richieste dal ristorante, fornire supporto tecnico, garantire sicurezza e integrità dei sistemi. Finalità e basi giuridiche verso l’Utente finale sono determinate dal ristorante.
6. Canali integrati (WhatsApp, voce) e policy di consenso
6.1 WhatsApp Business Platform (Cloud API)
Coperto può integrare WhatsApp Business Platform (Cloud API) di Meta. Possono transitare tramite sistemi Meta: numeri di telefono, contenuti dei messaggi e metadati (es. consegna).
Opt-in/permesso di contatto: i Clienti possono contattare persone su WhatsApp solo se l’utente ha fornito il proprio numero e ha dato opt-in a ricevere messaggi o chiamate, dove richiesto; la raccolta e gestione dell’opt-in è in capo al Cliente (ristorante).
Per alcune funzionalità (incluse eventuali chiamate avviate tramite WhatsApp), le policy WhatsApp possono richiedere un opt-in separato; la gestione e conservazione della prova di opt-in resta in capo al Cliente (ristorante).
6.2 Canali voce / telecomunicazioni
Se attivati dal Cliente, Coperto può gestire chiamate e funzionalità correlate (es. inoltri, registrazione, trascrizione). Se il Cliente attiva il canale voce, le chiamate possono essere registrate e trascritte per finalità operative e di qualità del servizio; tali funzionalità sono attive di default salvo disattivazione da parte del Cliente tramite dashboard. I provider trattano i dati secondo i propri ruoli.
7. Destinatari dei dati
Personale autorizzato di Openbase; fornitori infrastrutturali/tecnici (hosting, database, logging/monitoring, email, helpdesk, telco, WhatsApp, AI), nominati ove necessario come responsabili/sub-responsabili ex art. 28 GDPR. Meta (WhatsApp) è coinvolta quando il canale è attivo.
8. AI: uso dei dati e garanzie
Coperto può usare servizi di AI (via API) per risposte operative, estrazioni dati e automazioni. Openbase non utilizza i contenuti conversazionali dei singoli ristoranti per addestrare modelli AI general purpose condivisi tra clienti. Analisi per miglioramento su dati aggregati/minimizzati/pseudonimizzati dove possibile. Knowledge base segregate per tenant.
9. Trasferimenti extra SEE
Eventuali trasferimenti avvengono nel rispetto degli artt. 44 ss. GDPR (decisioni di adeguatezza/SCC/misure supplementari).
10. Conservazione dei dati (retention)
- Contatti/demo: 24 mesi.
- Account Clienti: durata contratto + dati fiscali 10 anni.
- Log tecnici standard: 90 giorni.
- Log di sicurezza (accessi/auth): fino a 12 mesi.
- Backup: fino a 30 giorni.
- Allergie/intolleranze: fino a 7 giorni dalla prenotazione (salvo necessità/obblighi).
- Utenti finali (default se non configurato diversamente): conversazioni 24 mesi; audio 30 giorni; trascrizioni 90 giorni.
Al termine, cancellazione o anonimizzazione irreversibile.
11. Sicurezza
Misure adeguate ex art. 32 GDPR (controllo accessi, segregazione multi-tenant, TLS, logging/monitoraggio, backup, incident response, least privilege).
12. Diritti degli interessati
Diritti ex artt. 15–22 GDPR.
12.1 Openbase Titolare:
Scrivere a privacy@coperto.co
12.2 Utenti finali:
Contattare il ristorante; Openbase assiste il Cliente secondo DPA. Per info Utenti finali: https://www.coperto.co/guest-privacy
12.3 Reclamo:
Garante Privacy.
Richieste di cancellazione dati (Meta/WhatsApp): https://www.coperto.co/data-deletion
13. Cookie (solo tecnici)
Uso di soli cookie tecnici necessari al funzionamento e alla sicurezza; nessun tracking non essenziale. Se introdotti strumenti analytics/marketing, informativa aggiornata e, ove richiesto, banner di consenso.
14. Modifiche
Aggiornamenti pubblicati su questa pagina con data di ultimo aggiornamento.