LGPD — Legge brasiliana sulla protezione dei dati
Ultimo aggiornamento: 2026-05-05
Questo documento spiega come EtiquetaChef rispetta la Legge brasiliana n. 13.709/2018 (LGPD). Trovi qui il titolare, il responsabile della protezione dei dati (DPO), le basi giuridiche, le categorie di dati, i subprocessor, la conservazione, il trasferimento internazionale e come esercitare i tuoi diritti come interessato.
1. Chi è il titolare
Il titolare dei dati personali trattati da EtiquetaChef è il marchio EtiquetaChef, responsabile delle decisioni di trattamento, dell’infrastruttura tecnica e dell’assistenza agli interessati. Contatto generale: help@etiquetachef.com.
2. Responsabile della Protezione dei Dati (DPO)
Il responsabile della protezione dei dati personali (DPO), ai sensi dell’art. 41 della LGPD, è Jonas R G Filho. Il canale diretto con il DPO è help@etiquetachef.com (oggetto [DPO]). Maggiori dettagli su identità, responsabilità e SLA nella pagina del DPO.
3. Basi giuridiche (Art. 7 LGPD)
Trattiamo dati personali solo nelle ipotesi legali previste dall’art. 7. Le principali per EtiquetaChef sono:
- Esecuzione del contratto (V): Applicata ai dati strettamente operativi necessari per fornire il servizio: registrazione utente e tenant, prodotti, etichette, stampe, fatturazione.
- Legittimo interesse (IX): Applicato alla telemetria di prodotto aggregata, prevenzione frodi e sicurezza della piattaforma — sempre con valutazione di proporzionalità e rispetto dei diritti dell’interessato.
- Consenso (I): Applicato a cookie non essenziali e telemetria facoltativa. L’interessato può accettare o rifiutare; il rifiuto non impedisce l’uso del servizio.
- Adempimento di un obbligo legale (II): Applicato quando una legge, un regolamento o un ordine giudiziario richiede di conservare o condividere informazioni.
4. Categorie di dati trattati
EtiquetaChef tratta le seguenti categorie di dati personali. Non trattiamo dati dei clienti finali dei ristoranti; l’app è uno strumento interno della cucina.
| Categoria | Finalità | Base giuridica |
|---|---|---|
| Identificazione utente (e-mail, nome, lingua) | Creare e mantenere l’account; recapitare comunicazioni operative. | Esecuzione del contratto (V) |
| Dati di autenticazione (Firebase Auth, hash delle password gestiti da Google) | Login sicuro e recupero dell’accesso. | Esecuzione del contratto (V) |
| Dati operativi (prodotti, etichette, regole di scadenza, storico stampe) | Funzionamento del servizio di etichettatura. | Esecuzione del contratto (V) |
| Dati di fatturazione (piano, abbonamento, ricevute via Stripe) | Addebitare l’abbonamento, emettere ricevute, calcolare i rimborsi MBG. | Esecuzione del contratto (V) |
| Telemetria d’uso (eventi UI, schermate visitate) | Miglioramento del prodotto e rilevamento di bug. | Legittimo interesse (IX) / Consenso (I) per la telemetria facoltativa |
| Log di audit | Sicurezza, prevenzione frodi e adempimenti di legge. | Legittimo interesse (IX) / Adempimento di obbligo legale (II) |
| Numero di telefono (OTP via SMS, quando applicabile) | Autenticazione con codice unico inviato tramite Twilio. | Esecuzione del contratto (V) |
5. Diritti dell’interessato (Art. 18 LGPD)
La LGPD garantisce all’interessato i seguenti diritti, esercitabili in qualsiasi momento:
- Conferma del trattamento: Confermare se sono trattati dati personali che ti riguardano.
- Accesso ai dati: Ottenere una copia dei tuoi dati tramite il callable exportUserData nell’app, in formato strutturato (JSON/ZIP).
- Rettifica dei dati: Rettificare dati incompleti, inesatti o non aggiornati nell’app o tramite richiesta al DPO.
- Anonimizzazione, blocco o cancellazione: Cancellare definitivamente l’account tramite il callable deleteUserAccount — soft-delete di 30 giorni e cancellazione finale.
- Portabilità: Ricevere i tuoi dati in formato interoperabile (export JSON/CSV/ZIP) per il trasferimento a un altro fornitore.
- Cancellazione dei dati trattati con consenso: Richiedere la cancellazione dei dati trattati sulla base del consenso (es. telemetria facoltativa).
- Informazione sulla condivisione: Sapere con quali enti pubblici e privati il titolare condivide i tuoi dati.
- Informazione sulla possibilità di non prestare il consenso: Ricevere informazione chiara sulla possibilità di non prestare il consenso e sulle relative conseguenze.
- Revoca del consenso: Revocare il consenso prestato in precedenza, in qualsiasi momento, con manifestazione espressa.
Puoi esercitare tutti i diritti direttamente nell’app, nella sezione "Account e Privacy" (rotta /privacy), o scrivendo a help@etiquetachef.com (oggetto [DPO]).
6. Subprocessor (Operatori — Art. 39)
I seguenti operatori trattano dati personali per nostro conto, sotto contratto e con istruzioni specifiche. Ciascuno è responsabile della sicurezza della propria infrastruttura.
| Operatore | Finalità | Dati trattati | Server |
|---|---|---|---|
| Google Firebase (Firestore, RTDB, Auth, Storage, Functions, Hosting) | Database, autenticazione, hosting ed esecuzione del backend. | Identificazione, dati operativi, fatturazione, auth, log. | Firestore + Storage + Functions: southamerica-east1 (Brasile); RTDB: us-central1 (USA). |
| SendGrid (Twilio) | Invio di e-mail transazionali (benvenuto, recupero, ricevute). | E-mail, nome, contenuto delle e-mail transazionali. | Stati Uniti. |
| PostHog Cloud US | Analytics di prodotto e funnel di conversione. | Eventi UI aggregati, identificativo anonimo, lingua, dispositivo. | Stati Uniti. |
| Twilio | Invio SMS per autenticazione con codice unico (OTP). | Numero di telefono, codice OTP generato. | Stati Uniti. |
| Anthropic (uso facoltativo di IA) | Funzionalità IA facoltative (suggerimenti di etichette, classificazione). | Solo quando l’utente attiva la funzione; testo inviato alla funzione. | Stati Uniti. |
| Stripe | Elaborazione pagamenti e gestione abbonamenti. | Identificativi di fatturazione, dati carta (tokenizzati; mai conservati da noi). | Stati Uniti / globale. |
7. Trasferimento internazionale dei dati (Art. 33)
Parte dei dati è trattata su server al di fuori del Brasile — RTDB in us-central1 (Stati Uniti), oltre agli operatori SendGrid, PostHog, Twilio, Anthropic e Stripe che operano negli Stati Uniti. L’adeguatezza è garantita tramite le Clausole Contrattuali Tipo (Standard Contractual Clauses — SCC) sottoscritte con Google e gli altri operatori, ai sensi dell’art. 33, II della LGPD. Firestore, Storage e Functions restano in southamerica-east1 (Brasile).
8. Conservazione dei dati
Applichiamo le seguenti finestre di conservazione:
- Account utente cancellato dall’interessato: soft-delete di 30 giorni prima della cancellazione definitiva. L’interessato può annullare la cancellazione in questa finestra.
- Tenant (esercizio) contrassegnato come cancellato: 90 giorni in stato DELETED prima della rimozione fisica, per onorare obblighi fiscali e contrattuali residui.
- Log di audit: fino a 12 mesi, salvo obblighi legali di conservazione più lunghi.
- Backup: ciclo di 30 giorni; i dati cancellati vengono rimossi anche nei backup successivi.
9. Come esercitare i tuoi diritti
Il canale preferenziale è la sezione "Account e Privacy" nell’app (rotta /privacy), con export e cancellazione self-service. In alternativa, scrivi a help@etiquetachef.com (oggetto [DPO]).
SLA di risposta: fino a 15 giorni lavorativi dalla ricezione della richiesta, in linea con le raccomandazioni dell’ANPD.
10. Autorità nazionale brasiliana (ANPD)
Se ritieni che i tuoi diritti non siano stati rispettati, puoi presentare reclamo all’Autoridade Nacional de Proteção de Dados (ANPD), tramite il canale ufficiale all’indirizzo www.gov.br/anpd. L’ANPD è l’organismo competente per la vigilanza sull’osservanza della LGPD in Brasile.