Il presente documento costituisce la dichiarazione sulla privacy e protezione dei dati personali (di seguito "Privacy Policy") applicabile al sito web e-commerce shop.myriamb.it, operativo tramite il dominio shop.myriamb.it. Lo scopo di questa policy è informare gli utenti del sito (di seguito "Interessati") in modo completo, trasparente e conforme alle disposizioni del Regolamento Generale sulla Protezione dei Dati 2016/679 (di seguito "GDPR"). La presente dichiarazione dettaglia quali categorie di dati personali vengono raccolte e trattate attraverso il sito, le finalità e le basi giuridiche per tali trattamenti, le modalità di conservazione, le misure di sicurezza adottate e i diritti riconosciuti agli Interessati.

Titolare del Trattamento e Responsabile della Protezione dei Dati

Ai sensi dell'articolo 4, punto 7, del GDPR, il "Titolare del Trattamento" è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Per quanto concerne il sito shop.myriamb.it, il Titolare del Trattamento è:

Myriam Bottazzi P.IVA: 09549430586 Indirizzo: Via degli Ausoni 7 Email: myriam@myriamb.it

L'Interessato può rivolgersi al Titolare del Trattamento per esercitare i diritti previsti dal GDPR o per qualunque altra informazione inerente al trattamento dei propri dati personali. Inoltre, se lo shop myriamb.it dovesse nominare un Responsabile della Protezione dei Dati (RPD o DPO), i relativi contatti sarebbero indicati in questa sezione. Il Titolare del Trattamento si assume la piena responsabilità per le attività di trattamento descritte nella presente policy e assicura di conformarsi a tutte le prescrizioni del GDPR, tra cui l'obbligo di implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato alla protezione dei dati personali 6.

Basi Giuridiche e Finalità del Trattamento dei Dati Personali

Il trattamento dei dati personali viene effettuato dal Titolare del Trattamento sulla base di specifiche basi giuridiche previste dal GDPR. È fondamentale identificare la base giuridica appropriata per ciascuna operazione di trattamento al fine di garantirne la legittimità 3. Le principali basi giuridiche applicabili al sito shop.myriamb.it sono illustrate di seguito.

La base giuridica più significativa per le operazioni di acquisto è l'"adempimento di un contratto" o la necessità di adottare misure precontrattuali. L'articolo 6, paragrafo 1, lettera b), del GDPR stabilisce che il trattamento è lecito se "è necessario per l'esecuzione di un contratto a cui è parte la persona interessata o per l'applicazione di misure precontrattuali ad richiesta di quest'ultima" 94865. Questa base giuridica si applica in modo diretto e primario alle informazioni necessarie per la conclusione e l'esecuzione di un ordine di prodotti sul nostro negozio online. Ad esempio, il trattamento dei dati anagrafici, dell'indirizzo di spedizione e di fatturazione, e delle informazioni di contatto è strettamente indispensabile per la gestione dell'ordine, la consegna dei beni e l'emissione della fattura, ovvero per l'adempimento degli obblighi contrattuali 1263. Pertanto, per tutte le finalità strettamente connesse all'acquisto, il trattamento è basato sull'articolo 6(1)(b) GDPR.

Un'altra possibile base giuridica è l'"interesse legittimo". L'articolo 6, paragrafo 1, lettera f), del GDPR consente il trattamento dei dati personali se "il trattamento è necessario per il perseguimento delle finalità prevalenti di interesse legittimo perseguite dal titolare del trattamento o da terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali della persona interessata protetti dalla normativa sulla protezione dei dati" 46. Questa base giuridica può essere utilizzata per attività successive alla conclusione dell'ordine, come l'invio di comunicazioni commerciali su nuovi prodotti o offerte speciali. Tuttavia, il suo uso richiede una valutazione casuale e documentata dell'interesse legittimo del Titolare del Trattamento, confrontandolo con i diritti e le libertà fondamentali dell'Interessato, che includono il diritto a non essere soggetto a processi di profilazione automatizzata e a ricevere comunicazioni commerciali indesiderate 11453. Sebbene l'EDPB promuova pratiche user-friendly nel settore dell'e-commerce, la sua attenzione si sta concentrando su modelli di business coerenti con questi principi 4.

Infine, la base giuridica del "consenso" è fondamentale per qualsiasi trattamento non strettamente necessario all'esecuzione del contratto. L'articolo 6, paragrafo 1, lettera a), del GDPR definisce il consenso come qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile, attraverso la quale l'interessato, mediante un'indicazione affermativa e disattivata di default, acconsente al trattamento di dati personali che lo riguardano 17. Un esempio tipico è l'iscrizione alla nostra newsletter. Per tale finalità, chiederemo esplicitamente il consenso prima di procedere con il trattamento dei dati. Il consenso può essere revocato in ogni momento con la stessa facilità con cui è stato prestato, senza alcuna conseguenza per la validità del trattamento effettuato prima della revoca 19.

La tabella seguente riassume le finalità del trattamento, le relative basi giuridiche e le categorie di dati coinvolte.

Tipologie di Dati Raccolti e loro Utilizzo nel Processo di Acquisto

Shop.myriamb.it raccoglie e tratta diverse categorie di dati personali esclusivamente attraverso il proprio sito web. La raccolta è limitata a quanto strettamente necessario per le finalità descritte nella presente policy, in linea con il principio di minimizzazione dei dati 24. Durante il processo di acquisto, vengono raccolte le seguenti informazioni:

Dati Identificativi e di Contatto: Vengono raccolti nome, cognome e indirizzo email. Questi dati sono fondamentali per la gestione del rapporto commerciale, per poter contattare l'utente in caso di problemi relativi all'ordine e per inviare notifiche sull'avanzamento dello stesso. La base giuridica per questo trattamento è l'adempimento del contratto (Art. 6(1)(b) GDPR).

Dati di Fatturazione e Spedizione: Vengono richiesti un indirizzo di fatturazione e uno o più indirizzi di spedizione completi. Questi dati sono indispensabili per l'esecuzione del contratto di vendita, poiché permettono di emettere la fattura e di consegnare i prodotti ordinati all'utente. Senza tali informazioni, la conclusione e l'esecuzione dell'ordine non sarebbero possibili. Anche per questi dati, la base giuridica è l'adempimento del contratto (Art. 6(1)(b) GDPR).

Informazioni di Pagamento: Una delle considerazioni più critiche e importanti riguarda la gestione dei dati di pagamento. Shop.myriamb.it adotta una pratica di sicurezza avanzata e non raccoglie né memorizza alcun dato sensibile relativo al metodo di pagamento, come il numero completo della carta di credito, la scadenza o il codice di sicurezza (CVV/CVC). Tutte le transazioni finanziarie avvengono tramite un sistema di pagamento sicuro e certificato, integrato nel nostro sito tramite un gateway di pagamento di terze parti. I dati di pagamento vengono inseriti direttamente nell'ambiente protetto e criptato di questo fornitore e non transitano mai attraverso i server di shop.myriamb.it. Questa architettura riduce drasticamente la responsabilità del Titolare del Trattamento e i rischi associati a violazioni dei dati, in conformità con regolamenti stringenti come la Direttiva sui Servizi di Pagamento (PSD2) e le sue interazioni con il GDPR 134761. Il trattamento di tali dati da parte del provider del gateway di pagamento segue la propria informativa sulla privacy, a cui si rimanda.

È importante notare che l'attenzione dell'European Data Protection Board (EDPB) sulle pratiche di e-commerce, in particolare sul requisito della creazione di account utente, indica una tendenza normativa verso maggiore trasparenza e opzioni per l'utente 2101628. Sebbene il modello di acquisto "senza registrazione" sia preferibile, se un account utente fosse comunque richiesto, dovrebbe essere giustificato con un forte interesse legittimo e dovrebbe sempre essere offerta un'opzione alternativa per completare l'acquisto senza iscriversi 17. La dichiarazione dovrebbe essere esplicita su questo punto.

Comunicazione dei Dati e Trasferimenti Internazionali

I dati personali raccolti tramite shop.myriamb.it potrebbero essere comunicati a diversi categorie di destinatari, esclusivamente per le finalità sopra indicate e nel rispetto delle normative vigenti. La comunicazione dei dati avviene solo a soggetti che agiscono in qualità di autonomi titolari del trattamento o in qualità di responsabili del trattamento designati dal Titolare, garantendo sempre adeguate garanzie per la tutela dei dati. I destinatari dei dati sono i seguenti:

• Società del Gruppo e Affiliati: In caso di esistenza, possono ricevere i dati per finalità di coordinamento amministrativo e commerciale interno.
• Fornitori di Servizi Tecnici: Hosting del sito web, sviluppatori, professionisti IT per la manutenzione e il funzionamento tecnico del negozio online.
• Corrieri e Società di Logistica: I dati di contatto e di spedizione vengono condivisi con le società di trasporto incaricate della consegna dei prodotti all'indirizzo dell'utente.
• Istituti di Credito e Provider di Servizi di Pagamento: Come specificato nella sezione precedente, i dati di pagamento vengono trasmessi al nostro partner tecnologico per la gestione della transazione.
• Consulenti Professionali: Avvocati e commercialisti per adempimenti fiscali, contabili e obblighi legali. Ad esempio, per l'emissione della fattura e la tenuta della contabilità, che deve essere mantenuta per periodi stabiliti dalla legge italiana (es. 10 anni) 60.
• Autorità Pubbliche: I dati potranno essere comunicati a enti governativi o autorità pubbliche qualora ciò sia imposto da un obbligo legale previsto dal diritto dell'Unione o degli Stati membri (base giuridica: Art. 6(1)(c) GDPR) 11.

Sebbene il Titolare del Trattamento cerchi di limitare le comunicazioni a fornitori basati nello Spazio Economico Europeo (SEE), potrebbe rendersi necessario trasferire i dati personali a paesi al di fuori dello SEE, dove i livelli di protezione dei dati potrebbero essere differenti da quelli previsti dal GDPR. In questi casi, il Titolare del Trattamento adotterà tutte le misure necessarie per garantire che i dati personali godano di un livello di protezione adeguato. Ciò avverrà attraverso l'adozione di strumenti standardizzati approvati dalla Commissione Europea, come le Clauses Contrattuali Standard (SCCs) 26, o facendo affidamento su altre deroghe previste dal GDPR, come il consenso dell'interessato o la necessità per la conclusione del contratto. Sarà fatto ogni sforzo per garantire che il destinatario del trasferimento soddisfi i requisiti di adeguata protezione dei dati.

Periodo di Conservazione dei Dati e Sicurezza

I dati personali raccolti tramite shop.myriamb.it verranno conservati per il periodo di tempo strettamente necessario alle finalità per le quali sono stati trattati, conformemente all'articolo 5, comma 1, lettera e), del GDPR. La durata della conservazione dipende dalla natura dei dati e dalle finalità del trattamento.

Per i dati personali raccolti nell'ambito di un contratto di acquisto (nome, indirizzo, dettagli dell'ordine), il periodo di conservazione è vincolato dagli obblighi fiscali e civilistici. In Italia, la legislazione fiscale impone di conservare documenti contabili e correlati per un periodo di dieci anni dalla fine dell'esercizio in cui sono stati redatti 60. Pertanto, i dati relativi a un ordine saranno conservati per tale durata per rispondere a eventuali obblighi tributari e di audit.

I dati utilizzati per finalità di marketing diretto (es. indirizzo email per la newsletter), qualora l'interessato abbia prestato il consenso, verranno conservati fino alla revoca di tale consenso. Non appena l'utente revoca il consenso, i suoi dati verranno immediatamente rimossi dalle nostre liste di contatto.

In merito alla sicurezza dei dati, shop.myriamb.it ha adottato un insieme di misure tecniche e organizzative appropriate per tutelare i dati personali da accessi non autorizzati, da utilizzi illegittimi o negligenti, da distruzione accidentale o da alterazione non consentita. Le misure implementate includono, a titolo esemplificativo:

• L'utilizzo di protocolli di crittografia SSL/TLS (Secure Sockets Layer/Transport Layer Security) per la protezione dei dati trasmessi tra il browser dell'utente e il nostro server, garantendo che il sito sia raggiungibile esclusivamente tramite connessione sicura HTTPS.
• L'integrazione con sistemi di pagamento sicuri e certificati per la gestione delle transazioni finanziarie, evitando così la raccolta diretta di dati sensibili di pagamento 6.
• L'implementazione di firewall e sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) per proteggere i nostri server da tentativi di accesso non autorizzati.
• Procedure di accesso ai sistemi basate sul principio del minimo privilegio, garantendo che solo il personale autorizzato possa accedere ai dati personali strettamente necessari per l'espletamento dei propri compiti.
• Formazione continua del personale sulle buone pratiche di protezione dei dati.

Queste misure mirano a garantire un livello di sicurezza adeguato, come richiesto dal GDPR, e a mitigare i rischi di incidenti di sicurezza 6.

Diritti degli Interessati e Modalità di Esercizio

L'Interessato gode di un ventaglio di diritti in relazione al trattamento dei propri dati personali, come previsto dal GDPR. Il Titolare del Trattamento garantisce la possibilità di esercitare tali diritti in modo semplice e gratuito.

L'Interessato ha il diritto di ottenere dal Titolare del Trattamento la conferma dell'esistenza o meno di dati personali che lo riguardano e, di essi, la loro consultazione, anche attraverso un'informazione controllata, aggiornata e intelligibile, nonché la loro integrazione o modifica 19.

L'Interessato ha il diritto di ottenere la cancellazione (diritto all'oblio) dei propri dati personali senza ingiustificato ritardo quando ricorrono determinate condizioni, come la mancanza di ulteriore necessità dei dati rispetto alle finalità per cui sono stati raccolti 19.

L'Interessato ha il diritto di ottenere la limitazione del trattamento quando ricorrono determinate condizioni, come la verifica della datazza esatta dei dati da parte dell'interessato 19.

L'Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e di trasmetterli a un altro titolare del trattamento senza impedimenti da parte del titolare cui sono stati forniti 19.

L'Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, effettuato a titolo di interesse legittimo (art. 6, par. 1, lett. f)) 19. Il Titolare del Trattamento cesserà il trattamento dei dati salvo provare l'esistenza di motivi cogenti e legittimi per procedere che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato, o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Ove il trattamento si basi sul consenso, l'Interessato ha il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca 19.

Per esercitare uno qualsiasi dei diritti sopra elencati, l'Interessato può inviare una richiesta scritta al Titolare del Trattamento ai recapiti indicati nella sezione "Titolare del Trattamento". La richiesta non comporterà alcun onere, salvo i costi amministrativi di eventuale copia dei dati.

Inoltre, qualora l'Interessato ritenga che il trattamento dei dati personali che lo riguardano violi il GDPR, ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, l'autorità di controllo nazionale, secondo la normativa italiana 19.