Termini di sicurezza
SEZIONE 1 – CHI SIAMO E COME CONTATTARCI
1.1 Titolare del Trattamento
La informiamo che, ai sensi dell’art. 13 del Regolamento UE 2016/679 (General Data Protection Regulation – RGPD) e della normativa nazionale in materia di protezione dei dati personali, il Titolare del trattamento è:
[Nome della Società]
Sede legale: [indirizzo completo]
Partita IVA: [numero]
REA: [numero]
1.2 Responsabile della Protezione dei Dati
Il Titolare ha provveduto alla nomina di un Responsabile della Protezione dei Dati (RPD/DPO) che può essere contattato per tutte le questioni relative al trattamento dei dati personali e all’esercizio dei diritti derivanti dalla normativa applicabile.
Contatti del DPO:
Email: [indirizzo email DPO]
PEC: [indirizzo PEC DPO]
Telefono: [numero telefono DPO]
Indirizzo: [indirizzo postale DPO]
1.3 Sedi e ambito di applicazione
La presente informativa si applica al trattamento dei dati personali effettuato dal Titolare attraverso il sito web [dominio.it] e i domini correlati, nonché attraverso i canali di comunicazione utilizzati per l’interazione con la clientela.
SEZIONE 2 – DATI DI NAVIGAZIONE E LOG FILES
2.1 Informazioni raccolte automaticamente
I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione Internet.
Vengono raccolte le seguenti informazioni:
indirizzo IP del dispositivo utilizzato per la connessione;
tipo di browser e sue caratteristiche;
sistema operativo utilizzato;
data e ora della visita;
pagine visitate e tempo di permanenza;
sito web di provenienza (referrer);
dimensione dei file trasferiti;
stato della risposta del server.
2.2 Finalità e base giuridica
Questi dati vengono utilizzati esclusivamente per:
garantire il corretto funzionamento del sito web;
ottimizzare l’esperienza di navigazione;
ricavare informazioni statistiche anonime sull’utilizzo dei servizi;
assicurare la sicurezza della piattaforma e prevenire abusi.
La base giuridica del trattamento è il legittimo interesse del Titolare ai sensi dell’art. 6, par. 1, lett. f) RGPD.
2.3 Periodo di conservazione
I dati di navigazione vengono conservati per un periodo massimo di 12 mesi, salvo necessità di accertamento di reati da parte dell’autorità giudiziaria.
SEZIONE 3 – COOKIE E TECNOLOGIE SIMILARI
3.1 Definizione e funzione dei cookie
I cookie sono piccoli file di testo che i siti web visitati dall’utente inviano al suo terminale (computer, tablet, smartphone), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.
I cookie possono essere:
di sessione: vengono cancellati automaticamente alla chiusura del browser;
persistenti: rimangono memorizzati sul dispositivo fino al termine del loro periodo di validità o fino alla loro rimozione da parte dell’utente.
3.2 Cookie di prima parte e di terza parte
Cookie di prima parte: sono gestiti direttamente dal Titolare e vengono utilizzati per finalità tecniche e funzionali.
Cookie di terza parte: sono gestiti da soggetti terzi (fornitori di servizi, piattaforme pubblicitarie, social network) e vengono utilizzati per finalità analitiche e di marketing.
3.3 Elenco dettagliato dei cookie utilizzati
| Cookie | Tipologia | Finalità | Durata | Fornitore |
|---|---|---|---|---|
| Cookie strettamente necessari | ||||
| session_id | Tecnico | Identificativo di sessione utente | Sessione | Prima parte |
| cart_hash | Tecnico | Gestione del carrello acquisti | 2 settimane | Prima parte |
| csrf_token | Tecnico | Protezione da attacchi informatici | Sessione | Prima parte |
| cookie_consent | Tecnico | Memorizzazione preferenze cookie | 12 mesi | Prima parte |
| Cookie di funzionalità | ||||
| user_lang | Funzionale | Memorizzazione lingua preferita | 12 mesi | Prima parte |
| user_currency | Funzionale | Memorizzazione valuta preferita | 12 mesi | Prima parte |
| Cookie analitici | ||||
| _ga | Analitico | Distinzione utenti Google Analytics | 24 mesi | |
| _gid | Analitico | Distinzione utenti Google Analytics | 24 ore | |
| _gat | Analitico | Limitazione frequenza richieste | 1 minuto | |
| Cookie di marketing | ||||
| _fbp | Marketing | Pubblicità su piattaforme Meta | 3 mesi | Meta |
| _gcl_au | Marketing | Conversioni Google Ads | 3 mesi | |
| _pin_unauth | Marketing | Pubblicità su Pinterest | 1 anno |
3.4 Gestione del consenso e modalità di controllo
Il sito utilizza un sistema di gestione del consenso (Consent Management Platform) conforme alle linee guida del Garante Privacy e dello European Interactive Digital Advertising Alliance (EDAA).
L’utente può:
accettare o rifiutare le diverse categorie di cookie attraverso il banner visualizzato al primo accesso;
modificare le proprie preferenze in qualsiasi momento cliccando sul link “Gestione cookie” presente nel footer del sito;
revocare il consenso precedentemente prestato con la stessa facilità con cui è stato accordato;
cancellare i cookie già installati agendo sulle impostazioni del proprio browser.
3.5 Conseguenze della disabilitazione dei cookie
La disabilitazione dei cookie tecnici, essenziali per il funzionamento del sito, potrebbe compromettere l’utilizzo delle funzionalità di navigazione, l’accesso all’area riservata e la gestione del carrello acquisti.
La disabilitazione dei cookie analitici e di marketing non pregiudica la fruizione del sito, ma limita la capacità del Titolare di migliorare l’esperienza d’uso e di offrire contenuti pubblicitari personalizzati.
SEZIONE 4 – TRATTAMENTO DEI DATI PER LA GESTIONE DELLE RICHIESTE E DEI CONTATTI
4.1 Modulo di contatto ed email
Quando l’utente ci contatta attraverso il modulo di contatto presente sul sito o inviando una email agli indirizzi indicati, vengono raccolti:
nome e cognome;
indirizzo email;
numero di telefono (se fornito);
contenuto del messaggio;
data e ora della richiesta.
Questi dati vengono utilizzati esclusivamente per:
rispondere alle richieste dell’utente;
fornire le informazioni richieste;
gestire eventuali segnalazioni o reclami.
La base giuridica del trattamento è:
per richieste relative a ordini o rapporti contrattuali: esecuzione del contratto (art. 6.1.b RGPD);
per richieste generiche: legittimo interesse del Titolare a fornire riscontro (art. 6.1.f RGPD).
I dati vengono conservati per il tempo necessario alla gestione della richiesta e comunque non oltre 24 mesi dall’ultimo contatto.
4.2 Contatto tramite WhatsApp Business
4.2.1 Descrizione del servizio
Il Titolare mette a disposizione degli utenti la possibilità di contattare il servizio clienti attraverso l’applicazione di messaggistica WhatsApp, nella versione Business.
4.2.2 Dati trattati
Quando l’utente avvia una conversazione tramite WhatsApp, il Titolare acquisisce:
il numero di telefono utilizzato dall’utente su WhatsApp;
il nome e cognome associati all’account (se disponibili);
il contenuto delle conversazioni;
eventuali ulteriori dati forniti volontariamente dall’utente (numero ordine, indirizzo email, ecc.).
4.2.3 Finalità e base giuridica
Per richieste relative a ordini esistenti o altri rapporti contrattuali: il trattamento è necessario all’esecuzione del contratto (art. 6.1.b RGPD).
Per richieste di carattere generale (informazioni su prodotti, disponibilità, caratteristiche): il trattamento si basa sul legittimo interesse del Titolare a fornire risposte rapide ed efficienti (art. 6.1.f RGPD).
4.2.4 Trasferimenti internazionali
WhatsApp Ireland Limited è il fornitore del servizio per l’area europea. La società madre Meta Platforms Inc. ha sede negli Stati Uniti. Per i trasferimenti di dati verso gli Stati Uniti, Meta Platforms Inc. ha aderito al Data Privacy Framework UE-USA, che garantisce un livello di protezione dei dati adeguato sulla base di una decisione di adeguatezza della Commissione Europea.
4.2.5 Informativa completa
Per maggiori informazioni sul trattamento dei dati da parte di WhatsApp, l’utente è invitato a consultare l’informativa sulla privacy del servizio, disponibile sul sito ufficiale di WhatsApp.
SEZIONE 5 – REGISTRAZIONE, ACCOUNT CLIENTE E ACQUISTI
5.1 Creazione dell’account cliente
Per effettuare acquisti sul nostro sito è necessario registrarsi e creare un account cliente. In fase di registrazione vengono richiesti:
Dati obbligatori:
nome e cognome;
indirizzo email;
password (memorizzata in forma criptata mediante algoritmo di hashing).
Dati facoltativi:
numero di telefono;
data di nascita (per offerte personalizzate);
preferenze enologiche (tipologie di vino preferite, regioni di interesse).
5.2 Acquisto di prodotti
In occasione dell’acquisto, vengono ulteriormente trattati:
indirizzo di spedizione;
indirizzo di fatturazione (se diverso);
codice fiscale/partita IVA per fatturazione;
prodotti acquistati, quantità e prezzo;
metodo di pagamento scelto;
eventuali note per la consegna.
5.3 Finalità del trattamento
I dati raccolti in fase di registrazione e in occasione degli acquisti sono trattati per le seguenti finalità:
a) Esecuzione del contratto di compravendita:
gestione e evasione degli ordini;
spedizione dei prodotti;
fatturazione;
gestione di resi, reclami e garanzie;
assistenza post-vendita.
b) Adempimento di obblighi legali:
conservazione dei documenti fiscali e contabili;
adempimenti previsti dalla normativa sul commercio elettronico;
comunicazioni alle autorità competenti ove previsto dalla legge.
c) Legittimo interesse del Titolare:
prevenzione e contrasto delle frodi;
sicurezza dei sistemi informatici;
miglioramento dei servizi offerti.
5.4 Periodo di conservazione
Dati dell’account: fino alla richiesta di cancellazione da parte dell’utente. In caso di inattività prolungata (3 anni dall’ultimo accesso), il Titolare potrà contattare l’utente per verificare la volontà di mantenere attivo l’account, procedendo in mancanza di riscontro alla disattivazione.
Dati degli ordini e delle transazioni: 10 anni dalla data dell’operazione, per adempiere agli obblighi fiscali e contabili.
Dati di pagamento: non vengono conservati dal Titolare. I dettagli completi della carta di credito non sono accessibili al Titolare, essendo gestiti esclusivamente dal fornitore del servizio di pagamento.
SEZIONE 6 – NEWSLETTER E ATTIVITÀ PROMOZIONALI
6.1 Iscrizione alla newsletter
Il Titolare offre agli utenti la possibilità di iscriversi a una newsletter periodica contenente informazioni su:
nuove etichette e annate;
promozioni e offerte speciali;
eventi di degustazione e wine tasting;
news dal mondo enologico;
approfondimenti e consigli.
6.2 Procedura di iscrizione (Double Opt-in)
L’iscrizione alla newsletter avviene mediante procedura double opt-in:
Fase 1: l’utente inserisce il proprio indirizzo email nell’apposito form e clicca sul pulsante di iscrizione.
Fase 2: l’utente riceve un’email di conferma all’indirizzo fornito, contenente un link di attivazione.
Fase 3: cliccando sul link di attivazione, l’utente conferma definitivamente la propria iscrizione.
Questa procedura garantisce che nessun utente possa essere iscritto a propria insaputa e che l’iscrizione sia effettivamente voluta dal titolare dell’indirizzo email.
6.3 Dati trattati
Obbligatorio: indirizzo email.
Facoltativi: nome, cognome, preferenze enologiche, regione di residenza.
6.4 Base giuridica
Il trattamento per finalità di invio della newsletter è basato sul consenso espresso dell’utente, ai sensi dell’art. 6, par. 1, lett. a) RGPD.
6.5 Diritto di revoca
L’utente ha il diritto di revocare il proprio consenso in qualsiasi momento, in modo semplice e gratuito, attraverso:
il link di disiscrizione presente in ogni comunicazione newsletter;
la richiesta diretta al Titolare tramite email o modulo di contatto;
la modifica delle preferenze di comunicazione nell’area riservata dell’account.
A seguito della revoca, l’indirizzo email dell’utente viene immediatamente rimosso dalla lista di distribuzione.
6.6 Comunicazioni commerciali relative a prodotti analoghi
Ai sensi dell’art. 130, comma 4, del D.Lgs. 196/2003 e successive modificazioni, il Titolare potrà utilizzare l’indirizzo email fornito dall’utente in occasione di un acquisto per l’invio diretto di comunicazioni commerciali relative a prodotti o servizi analoghi a quelli oggetto della vendita.
Tale trattamento non richiede il consenso espresso dell’utente. L’utente ha comunque il diritto di opporsi a tale trattamento in qualsiasi momento, in modo semplice e gratuito, sia al momento della raccolta dei dati sia in occasione di successive comunicazioni.
SEZIONE 7 – COMUNICAZIONE E DIFFUSIONE DEI DATI
7.1 Destinatari dei dati personali
I dati personali degli utenti possono essere comunicati a:
a) Soggetti interni autorizzati al trattamento
Dipendenti e collaboratori del Titolare che, operando sotto la sua diretta autorità e istruzioni, sono stati specificamente autorizzati al trattamento e hanno ricevuto adeguate istruzioni operative.
b) Responsabili del trattamento esterni
Soggetti esterni che forniscono al Titolare servizi strumentali alle finalità sopra indicate, quali:
fornitori di servizi di hosting e infrastruttura IT;
sviluppatori e manutentori del sito web;
piattaforme di e-commerce e gestione ordini;
istituti bancari e fornitori di servizi di pagamento (PayPal, Stripe, Nexi, ecc.);
corrieri e vettori per la spedizione dei prodotti;
società specializzate nell’invio di comunicazioni promozionali;
società di consulenza e professionisti (commercialisti, avvocati);
call center e servizi di assistenza clienti.
Tali soggetti sono nominati Responsabili del trattamento ai sensi dell’art. 28 RGPD mediante apposito contratto o atto giuridico equivalente.
c) Autorità pubbliche
Forze di polizia, autorità giudiziarie e amministrative, per l’adempimento di obblighi previsti dalla legge, da regolamenti o dalla normativa comunitaria, ovvero per la difesa di un diritto in sede giudiziaria.
7.2 Trasferimenti di dati verso paesi extra-UE
Alcuni dei fornitori di servizi utilizzati dal Titolare potrebbero trasferire i dati personali verso paesi situati al di fuori dello Spazio Economico Europeo.
In tali casi, il trasferimento avviene esclusivamente:
verso paesi per i quali la Commissione Europea ha adottato una decisione di adeguatezza ai sensi dell’art. 45 RGPD;
in assenza di tale decisione, sulla base di garanzie adeguate quali le clausole contrattuali standard approvate dalla Commissione Europea ai sensi dell’art. 46 RGPD;
nelle altre ipotesi previste dall’art. 49 RGPD (consenso esplicito, esecuzione di un contratto, motivi di interesse pubblico).
7.3 Trattamento dei dati per finalità di marketing da parte di terzi
Il Titolare non cede i dati personali degli utenti a terzi per loro autonome finalità di marketing diretto senza il preventivo consenso esplicito dell’interessato.
SEZIONE 8 – MISURE DI SICUREZZA
Il Titolare ha implementato e mantiene misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell’art. 32 RGPD.
8.1 Misure tecniche
Cifratura delle comunicazioni: utilizzo del protocollo HTTPS con certificato SSL/TLS per tutte le comunicazioni tra il browser dell’utente e il server.
Cifratura dei dati memorizzati: le password degli utenti sono memorizzate mediante algoritmi di hashing sicuri (bcrypt, Argon2). I dati sensibili sono protetti mediante cifratura.
Protezione degli accessi: sistemi di autenticazione forte per l’accesso amministrativo, policy di password complesse, blocco degli accessi dopo tentativi falliti.
Firewall e sistemi di prevenzione delle intrusioni: protezione perimetrale della rete, monitoraggio continuo dei tentativi di accesso non autorizzato.
Backup e disaster recovery: procedure di backup giornaliere dei database, conservazione delle copie di sicurezza in ambienti protetti e geograficamente distinti.
8.2 Misure organizzative
Autorizzazione al trattamento: solo il personale espressamente autorizzato e adeguatamente formato ha accesso ai dati personali, limitatamente a quanto necessario per lo svolgimento delle proprie mansioni.
Formazione: attività di formazione periodica del personale in materia di protezione dei dati personali e sicurezza informatica.
Audit e monitoraggio: verifiche periodiche della conformità alle policy di sicurezza e alla normativa applicabile.
Gestione delle violazioni: procedure interne per la gestione e la notifica delle violazioni dei dati personali (data breach), in conformità agli artt. 33 e 34 RGPD.
8.3 Limitazioni
Nessuna misura di sicurezza può garantire una protezione assoluta contro tutti i rischi. Il Titolare si impegna comunque a mantenere le misure adottate costantemente aggiornate e proporzionate all’evoluzione tecnologica e alla natura dei dati trattati.
SEZIONE 9 – DIRITTI DELL’INTERESSATO
9.1 Elenco dei diritti
Ai sensi degli artt. 15-22 RGPD, l’utente ha il diritto di:
a) Accesso (art. 15 RGPD)
Ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ricevere:
le finalità del trattamento;
le categorie di dati personali trattati;
i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati;
il periodo di conservazione previsto o, se non possibile, i criteri utilizzati per determinarlo;
l’esistenza del diritto di rettifica, cancellazione, limitazione e opposizione;
il diritto di proporre reclamo all’Autorità Garante;
una copia dei dati personali trattati.
b) Rettifica (art. 16 RGPD)
Ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano e l’integrazione di quelli incompleti.
c) Cancellazione (diritto all’oblio – art. 17 RGPD)
Ottenere la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, nei seguenti casi:
i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti;
l’interessato revoca il consenso e non sussiste altro fondamento giuridico;
l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente;
i dati sono stati trattati illecitamente;
i dati devono essere cancellati per adempiere un obbligo legale.