Privacy Policy

INFORMATIVA SULLA PRIVACY

Sito internet wedely.com e applicazione mobile Wedely
Ultimo aggiornamento: 29 aprile 2026

1. Identità del titolare del trattamento

La presente informativa si applica ai trattamenti di dati personali effettuati da:

Wedely S.à r.l.
Società a responsabilità limitata di diritto lussemburghese
Sede legale: 5, rue Aldringen, L-1118 Luxembourg
RCS Luxembourg: B233559
Partita IVA intracomunitaria: LU31754380

Responsabile della protezione dei dati: privacy@wedely.com

2. Quadro normativo

Il trattamento dei dati personali da parte di Wedely è disciplinato da:

• il Regolamento (UE) 2016/679 del 27 aprile 2016 (« GDPR ») ;
• la legge lussemburghese del 1° agosto 2018 di organizzazione della Commissione nazionale per la protezione dei dati e del regime generale di protezione dei dati;
• la legge modificata del 30 maggio 2005 sulle comunicazioni elettroniche (relativa ai cookie e altri identificatori);
• le linee guida e raccomandazioni dell'autorità di controllo lussemburghese e del Comitato europeo per la protezione dei dati (EDPB).

3. Dati trattati e finalità

Wedely tratta i tuoi dati personali esclusivamente nella misura necessaria alle finalità indicate. I dati che trattiamo provengono da:

• Te stesso/a: quando crei un account, effettui un ordine, lasci una recensione, contatti l'assistenza o scegli di accedere tramite un servizio di login esterno (Google, Apple);
• Il tuo dispositivo: quando utilizzi il sito o l'app raccogliamo automaticamente alcune informazioni tecniche (indirizzo IP, tipo di dispositivo, browser, sistema operativo, parametri di connessione, identificatori anonimi);
• Servizi terzi che hai esplicitamente collegato al tuo account: quando scegli di registrarti o accedere tramite un account social, riceviamo dal fornitore esterno solo le informazioni minime necessarie all'autenticazione (nome ed e-mail). Non recuperiamo né conserviamo eventuali altre informazioni che il fornitore potrebbe rendere disponibili (come foto profilo, contatti, contenuti condivisi).

Di seguito le categorie di dati trattati con relative finalità, basi giuridiche e periodi di conservazione:

Il nostro sito può contenere link a siti terzi. La presente informativa si applica esclusivamente ai dati trattati da Wedely; ti invitiamo a consultare le informative di tali siti terzi.

4. Destinatari e sub-responsabili

Per le finalità sopra indicate, i tuoi dati possono essere comunicati:

Per l'esecuzione del contratto e la consegna del tuo ordine:

• Ristorante partner incaricato della preparazione: riceve tramite il proprio sistema di stampa il contenuto dell'ordine, il tuo nome, l'indirizzo di consegna, il numero di telefono, eventuali istruzioni di accesso (citofono) e le note che hai inserito — informazioni necessarie a preparare correttamente l'ordine e a contattarti in caso di necessità.
• Corriere indipendente incaricato della consegna: riceve il tuo nome, l'indirizzo di consegna (testuale), il numero di telefono, eventuali istruzioni di accesso e il contenuto dell'ordine, nella misura strettamente necessaria a recapitare correttamente la spedizione.

A prestatori tecnici che agiscono in qualità di sub-responsabili:

• LeaseWeb Deutschland GmbH (Francoforte, Germania — UE) — hosting principale e infrastruttura tecnica del sito wedely.com;
• Amazon Web Services (AWS, UE) — servizi accessori di storage cloud (ad esempio per immagini e file);
• Google LLC e Google Ireland Ltd. — servizi bureautique (Google Workspace), cartografia (Google Maps Platform), misurazione del pubblico (Google Analytics 4) e autenticazione (Google Sign-In);
• Apple Inc. (Stati Uniti) — autenticazione tramite « Sign in with Apple » (sito e app mobile) e, limitatamente all'app mobile, misurazione di attribuzione delle installazioni provenienti dall'App Store;
• Stripe Payments Europe Ltd. (Irlanda / Stati Uniti) — fornitore di servizi di pagamento certificato PCI-DSS, agisce come titolare autonomo per le funzioni di prevenzione delle frodi;
• Brevo (ex Sendinblue, Francia) — invio di e-mail transazionali e newsletter;
• Twilio Inc. (Stati Uniti) — invio di SMS di notifica;
• Meta Platforms Ireland Ltd. (Facebook, Stati Uniti) e Microsoft Ireland Operations Ltd. (Bing Ads, Stati Uniti) — servizi di pubblicità online, attivati esclusivamente con il tuo consenso preventivo ai cookie marketing;
• Hotjar Ltd. / Contentsquare (Stati Uniti / UE) — strumenti di analisi dell'esperienza utente, attivati esclusivamente con il tuo consenso preventivo ai cookie funzionali.
• OpenAI Ireland Ltd. (Irlanda / Stati Uniti) — fornisce il modello di linguaggio che alimenta l'assistente conversazionale di assistenza clienti (vedi sezione 9). I dati che gli inviamo sono pseudonimizzati a monte tramite la sostituzione di nome, cognome, telefono, indirizzo civico, citofono e note di consegna con segnaposto opachi: l'assistente lavora dunque su un contesto privo di identificativi diretti. OpenAI agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR sulla base del Data Processing Addendum firmato con Wedely, non utilizza i dati API per addestrare i propri modelli e applica una conservazione tecnica massima di 30 giorni a fini di prevenzione abusi.

L'elenco aggiornato dei sub-responsabili e dei rispettivi accordi DPA è disponibile su richiesta a privacy@wedely.com. A destinatari per finalità legali:

• Amministrazione delle contribuzioni lussemburghese (DAC7 — Direttiva (UE) 2021/514);
• Autorità giudiziarie o amministrative, su richiesta legalmente fondata.

5. Trasferimenti al di fuori dell'Unione europea

Alcuni dei nostri prestatori tecnici sono stabiliti o possono trattare i tuoi dati in paesi terzi rispetto all'Unione europea, in particolare negli Stati Uniti (Google, Apple, Stripe, Twilio, Meta, Microsoft, Hotjar/Contentsquare). In questo caso, il trasferimento è disciplinato:

• dalla decisione di adeguatezza EU-US Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023), quando il destinatario è validamente certificato;
• oppure dalle clausole contrattuali tipo adottate con la Decisione di esecuzione (UE) 2021/914, integrate eventualmente da misure supplementari conformemente alla giurisprudenza Schrems II e alle Raccomandazioni 01/2020 EDPB.

6. Cookie e tecnologie di tracciamento

Alla tua prima visita, un banner ti informa della presenza di cookie e ti consente di rifiutare, accettare o personalizzare la tua scelta. I cookie strettamente necessari sono installati senza consenso; i cookie funzionali, di misurazione del pubblico non esentata e marketing sono installati esclusivamente con il tuo consenso preventivo.

Puoi modificare in qualsiasi momento le tue preferenze sulla pagina wedely.com/cookies_consent. L'elenco dettagliato dei cookie è disponibile nella nostra Informativa sui cookie.

7. I tuoi diritti

Conformemente agli articoli da 15 a 22 del GDPR, hai i seguenti diritti:

• Diritto di accesso ai tuoi dati e di ottenerne copia;
• Diritto di rettifica dei dati inesatti o incompleti;
• Diritto alla cancellazione dei tuoi dati nei casi previsti dall'articolo 17 GDPR;
• Diritto alla limitazione del trattamento;
• Diritto alla portabilità dei tuoi dati in un formato strutturato e leggibile da macchina;
• Diritto di opposizione al trattamento, in particolare per finalità di marketing diretto;
• Diritto di revocare in qualsiasi momento il tuo consenso, senza che ciò pregiudichi la liceità dei trattamenti precedenti;
• Diritto di non essere oggetto di una decisione esclusivamente automatizzata che produca effetti giuridici nei tuoi confronti o ti riguardi in modo significativo.

Wedely può utilizzare strumenti automatizzati per migliorare il servizio (ad esempio per suggerirti ristoranti rilevanti, instradare il tuo ordine al corriere più vicino, prevenire frodi e abusi). Non prendiamo decisioni esclusivamente automatizzate che producano effetti giuridici significativi nei tuoi confronti: ogni decisione che incide sui tuoi diritti contrattuali (ad esempio sospensione dell'account o rifiuto di un ordine) è oggetto di intervento umano.

Per esercitare i tuoi diritti, contatta il nostro DPO all'indirizzo privacy@wedely.com indicando il tuo nome, l'indirizzo e-mail associato al tuo account Wedely e il diritto che intendi esercitare. La tua richiesta sarà evasa entro un mese dalla verifica della tua identità, prorogabile di due mesi per richieste complesse (art. 12.3 GDPR). Potremmo richiedere informazioni aggiuntive per confermare la tua identità a fini di sicurezza.

Se ritieni che i tuoi diritti non siano rispettati, puoi presentare un reclamo alla Commission nationale pour la protection des données (CNPD): https://cnpd.public.lu, 15 boulevard du Jazz, L-4370 Belvaux.

8. Marketing diretto

Hai il diritto di opporti in qualsiasi momento al trattamento dei tuoi dati a fini di marketing diretto, inclusa l'eventuale profilazione finalizzata al marketing. Puoi farlo:

• cliccando il link « Disiscrivi » presente in fondo a ogni e-mail commerciale che ricevi;
• aggiornando le tue preferenze nelle impostazioni del tuo account Wedely;
• scrivendo a privacy@wedely.com.

L'opposizione al marketing diretto è gratuita e produce effetto immediato. Continuerai a ricevere le sole comunicazioni di servizio strettamente necessarie all'esecuzione degli ordini (conferme, notifiche di consegna, fatture).

8.1. Profilazione e personalizzazione

Per offrirti un'esperienza utile e rilevante, Wedely effettua questi livelli di trattamento:

• Personalizzazione del sito e dell'app: utilizziamo il tuo storico ordini e le tue interazioni per suggerirti ristoranti rilevanti e per migliorare l'esperienza di navigazione (base giuridica: interesse legittimo);
• Segmentazione delle comunicazioni: se hai dato il consenso alla newsletter, possiamo inviarti offerte selezionate sulla base dei tuoi interessi e abitudini d'ordine (base giuridica: consenso);
• Tracciamento pubblicitario cross-site: se hai accettato i cookie marketing, i nostri partner pubblicitari (Meta, Google Ads, Microsoft Bing Ads) e gli identificatori pubblicitari mobili (IDFA/AAID) ci permettono di misurare l'efficacia delle nostre campagne e di mostrarti annunci pertinenti su altri siti e applicazioni che visiti (base giuridica: consenso ai cookie marketing).

Cosa NON facciamo: non operiamo decisioni automatizzate ad alto rischio (ad esempio score sociali, score creditizi, esclusione automatica dell'account, valutazioni discriminatorie). Ogni decisione che incide sui tuoi diritti contrattuali è sempre oggetto di revisione umana.

Hai il diritto di opporti in qualsiasi momento alla profilazione finalizzata al marketing diretto, con le stesse modalità descritte sopra (link disiscrivi nelle e-mail, impostazioni account, e-mail al DPO).

9. Comunicazioni di assistenza (chatbot e chat)

Wedely mette a tua disposizione alcuni strumenti di assistenza accessibili dal sito e dall'app:

• Assistente conversazionale (chatbot) basato su intelligenza artificiale. Quando contatti l'assistenza dal sito o dall'app, le tue domande sono elaborate da un modello linguistico fornito da OpenAI Ireland Ltd. (modello attualmente in uso: GPT della famiglia o-mini, soggetto ad aggiornamenti). Per ridurre l'esposizione dei tuoi dati personali, prima dell'invio al modello applichiamo una pseudonimizzazione automatica: nome, cognome, numero di telefono, indirizzo civico, nome citofono e note di consegna sono sostituiti da segnaposto opachi (ad esempio <<NOME>>, <<TELEFONO>>); il vero valore viene reinserito solo nella risposta che leggi tu, lato Wedely. L'assistente riceve quindi soltanto le informazioni operative necessarie a risponderti (codice ordine, ristorante, status di consegna, distanza del corriere, importi, ecc.) ma non gli identificativi diretti di chi sei. Il chatbot fornisce informazioni e non assume decisioni con effetti giuridici nei tuoi confronti ai sensi dell'art. 22 GDPR: rimborsi, annullamenti e modifiche d'ordine sono sempre gestiti da personale umano. Puoi chiedere in qualsiasi momento di parlare con un operatore digitando «umano» o usando il modulo della pagina contatti.
• Messaggi liberi collegati a un ordine. Per segnalare un problema o richiedere assistenza puoi inviare un breve messaggio libero (massimo 256 caratteri) collegato a un ordine specifico. Il messaggio è conservato insieme all'ordine per fini di tracciabilità e gestione delle eventuali controversie e può essere letto dal nostro personale di assistenza.
• Chat con il corriere durante la consegna. Dal momento in cui un corriere prende in carico il tuo ordine e fino alla consegna, può comunicare con te tramite una chat in-app limitata all'esecuzione della consegna. La chat resta consultabile per un breve periodo dopo l'ordine per la gestione di eventuali contestazioni e non è elaborata da sistemi di intelligenza artificiale.

Base giuridica del chatbot AI. Esecuzione del contratto e misure precontrattuali (art. 6.1.b GDPR) per le richieste collegate a un ordine in corso, e nostro legittimo interesse (art. 6.1.f GDPR) a fornire assistenza scalabile e a contenere i tempi di risposta, bilanciato con la pseudonimizzazione automatica e con la possibilità di passare in qualsiasi momento a un operatore umano. Trasferimenti. Se OpenAI elabora i dati al di fuori dello Spazio economico europeo, il trasferimento è coperto dal Data Privacy Framework e/o dalle clausole contrattuali tipo (SCC) previste dall'art. 46 GDPR. Conservazione. Le conversazioni con il chatbot sono conservate nei nostri sistemi insieme all'ordine di riferimento per la durata della relativa retention; OpenAI conserva i dati API per un massimo di 30 giorni a soli fini di prevenzione abusi e non li utilizza per addestrare i propri modelli. Distinzione con la sezione 11. L'integrazione opzionale con assistenti AI esterni (Model Context Protocol) descritta alla sezione 11 è un canale separato che attivi tu collegando un connettore al tuo assistente AI personale: non riceve né legge il contenuto delle conversazioni di assistenza descritte qui.

10. Sicurezza

Wedely adotta misure tecniche e organizzative adeguate per garantire la sicurezza dei tuoi dati: cifratura delle comunicazioni in transito, gestione rigorosa degli accessi, backup regolari, registrazione delle attività, sensibilizzazione del personale e test di sicurezza periodici.

Misure di sicurezza e prevenzione delle frodi. Per proteggere il servizio dagli abusi e dagli accessi automatizzati, Wedely applica controlli tecnici (CAPTCHA più stringente, limite SMS di verifica, verifica supplementare) la cui intensità varia in base a indicatori statistici di rischio — tra cui la geolocalizzazione approssimativa dell'IP, usata come segnale di rischio e non come dato anagrafico relativo alla nazionalità. Base giuridica: art. 6.1.f GDPR (legittimo interesse alla prevenzione delle frodi). Questi controlli non costituiscono decisione automatizzata ai sensi dell'art. 22 GDPR; in caso di blocco automatico garantiamo l'intervento di un operatore umano scrivendo a info@wedely.com. Puoi opporti al trattamento ai sensi dell'art. 21 GDPR a privacy@wedely.com. I criteri di rischio si basano su dati statistici di abuso e non sulla nazionalità in quanto tale.

11. Integrazione con assistenti AI (Model Context Protocol)

Wedely offre un'integrazione opzionale con assistenti AI di terze parti tramite il Model Context Protocol (MCP). L'integrazione è strettamente opt-in e si attiva solo se colleghi esplicitamente Wedely come connettore personalizzato all'interno del tuo assistente AI.

Nessun accesso al tuo account Wedely. L'integrazione non legge nome, e-mail, telefono, indirizzi salvati, metodi di pagamento, storico ordini o qualsiasi dato del tuo profilo Wedely. Ogni sessione di ordinazione AI è anonima dal nostro punto di vista, identificata solo da un token casuale opaco generato per il singolo tentativo di ordine.

Cosa riceviamo via MCP. L'assistente AI ci invia esclusivamente i dati operativi necessari a costruire l'ordine, ovvero quelli che hai digitato tu stesso nella conversazione: indirizzo di consegna (e relative coordinate geocodificate), contenuto del carrello, orario di consegna scelto, un token di sessione casuale e un identificatore anonimo della piattaforma AI utilizzata.

Cosa restituiamo. In risposta alle chiamate dell'assistente AI, Wedely fornisce solo informazioni pubbliche (nomi e indirizzi dei ristoranti, menu, prezzi, orari, opzioni di consegna). Nessun dato personale di alcun utente è mai incluso nelle risposte MCP.

Conservazione. La sessione temporanea AI viene conservata per un massimo di 2 ore di inattività, dopo le quali scade automaticamente; le sessioni scadute sono eliminate entro 24 ore. Se confermi l'ordine su wedely.com, l'ordine viene creato sul tuo account secondo la sezione 3 della presente informativa. Se nessun ordine viene confermato, sessione e contenuto sono eliminati alla scadenza e non diventano mai parte di un account utente.

Titolari separati e trasferimenti internazionali. Il fornitore dell'assistente AI è un titolare del trattamento autonomo per la conversazione che intrattieni con il suo strumento. Wedely e il fornitore dell'assistente AI non sono contitolari né legati da un rapporto art. 28 GDPR. Quando il fornitore opera al di fuori dello Spazio economico europeo, i dati che digiti nell'assistente AI sono trattati secondo la sua privacy policy e i suoi meccanismi di trasferimento (DPF, clausole contrattuali tipo). Wedely non trasferisce i tuoi dati personali al fornitore dell'assistente AI.

Base giuridica. Misure precontrattuali su tua richiesta (art. 6.1.b GDPR) unite al consenso esplicito (art. 6.1.a GDPR), prestato collegando il connettore MCP. Puoi revocare il consenso in qualsiasi momento rimuovendo il connettore dalle impostazioni del tuo assistente AI. Nessun processo decisionale automatizzato ex art. 22 GDPR: gli ordini sono sempre confermati manualmente da te su wedely.com.

12. Contenuti generati o ritoccati con intelligenza artificiale

Alcune immagini illustrative pubblicate sul sito e sull'app — in particolare le foto dei piatti e delle categorie di cucina — possono essere generate o ritoccate con strumenti di intelligenza artificiale. Queste immagini hanno finalità puramente illustrative: rappresentano un'idea visiva del piatto e non costituiscono una fotografia esatta del prodotto consegnato, che può differire per impiattamento, porzionamento, ingredienti o presentazione.

Controllo umano. Tutte le immagini generate o ritoccate con AI passano per una revisione editoriale umana da parte del team Wedely (o del ristorante/negozio partner) prima di essere pubblicate.

Nessun dato personale dei clienti. Per produrre queste immagini Wedely invia ai propri fornitori AI esclusivamente la descrizione testuale del piatto, prodotto, della cucina o negozio e della scena fotografica. Nessun dato personale dei clienti viene comunicato e non viene rappresentato alcun volto o persona reale.

13. Modifiche alla presente informativa

Wedely può modificare la presente informativa per riflettere un'evoluzione normativa, tecnica o organizzativa. Qualsiasi modifica sostanziale è portata a tua conoscenza tramite avviso sul sito o per e-mail.

14. Contatto

Per qualsiasi domanda relativa alla presente informativa:

• E-mail: privacy@wedely.com
• Indirizzo postale: Wedely S.à r.l. — DPO, 5, rue Aldringen, L-1118 Luxembourg