Informativa sulla privacy
Informativa sul trattamento dei dati personali
ex artt. 13–14 Reg. UE 2016/679 (GDPR)
1. Titolare del trattamento
Keto Bar di Bastianelli Mirco, con sede in Via A. Serpieri 27/A, 47921 Rimini (RN), Italia — P.IVA 04585240403 — e-mail: info@ketobar.it (di seguito, "Titolare").
2. Categorie di dati personali trattati
Il Titolare può trattare, a seconda del servizio o della funzionalità utilizzata, le seguenti categorie di dati personali:
a) Dati di navigazione e tecnici
Indirizzi IP, identificativi di sessione, dati del browser e del dispositivo, log tecnici, informazioni di accesso, cookie e strumenti di tracciamento.
b) Dati anagrafici e di contatto
Nome, cognome, indirizzo e-mail, numero di telefono, indirizzo postale completo (via, numero civico, CAP, città, provincia, nazione).
c) Dati relativi all'acquisto e alla consegna
Prodotti ordinati, contenuto del carrello, cronologia degli ordini, indirizzo di spedizione e di fatturazione, eventuali note all'ordine, informazioni relative a resi, rimborsi e reclami.
d) Dati di pagamento
Dati necessari alla gestione delle transazioni, inclusi quelli immessi tramite provider terzi o sistemi di checkout rapido (ShopPay, PayPal, Google Pay). Ove il pagamento avvenga tramite provider terzi, il Titolare non tratta integralmente i dati completi dello strumento di pagamento, ma riceve i soli dati necessari alla conferma dell'operazione.
e) Dati per fatturazione e acquisti B2B
Denominazione o ragione sociale, partita IVA, codice fiscale, codice SDI, PEC, indirizzo di fatturazione e ogni altro dato necessario all'emissione di documenti fiscali.
f) Dati per richieste commerciali, franchising e affiliazione
Nome, cognome, indirizzo e-mail, numero di telefono, città di interesse, nome dell'attività commerciale e ogni ulteriore informazione volontariamente comunicata tramite i moduli "Apri il tuo KetoBar", "Franchising Svizzera" e "Diventa Rivenditore".
g) Dati relativi alla "KetoStory"
Nome, cognome, numero di telefono, titolo e contenuto del racconto inviato tramite Google Moduli e ogni ulteriore dato volontariamente inserito. Il contenuto potrà includere dati di categoria particolare ai sensi dell'art. 9 GDPR (es. dati relativi alla salute).
3. Finalità e basi giuridiche — trattamenti senza consenso
3.1 Funzionamento, sicurezza e stabilità del sito
Finalità: garantire il corretto funzionamento del portale, la sicurezza e la stabilità della piattaforma, la gestione di sessioni tecniche e funzioni essenziali di checkout.
Base giuridica: art. 6, par. 1, lett. b) GDPR (erogazione del servizio richiesto); art. 6, par. 1, lett. f) GDPR (legittimo interesse alla sicurezza e funzionalità del sito).
3.2 Gestione ordini, vendita online, spedizione e assistenza clienti
Finalità: ricevere e processare l'ordine; concludere ed eseguire il contratto di vendita; gestire il checkout anche come ospite; organizzare spedizione, consegna, resi, rimborsi, reclami e assistenza post-vendita; prevenire frodi e contestazioni.
Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione del contratto o misure precontrattuali); per gli adempimenti fiscali e amministrativi: art. 6, par. 1, lett. c) GDPR (obbligo legale).
3.3 Gestione dei pagamenti e checkout rapido
Finalità: consentire il pagamento dell'ordine tramite i metodi disponibili; gestire checkout rapido e wallet digitali; ricevere conferma dell'avvenuto pagamento; gestire verifiche antifrode, storni e contestazioni.
Base giuridica: art. 6, par. 1, lett. b) GDPR; art. 6, par. 1, lett. f) GDPR per la prevenzione delle frodi.
Strumenti: ShopPay, PayPal (PayPal (Europe) S.à r.l. et Cie S.C.A.), Google Pay (Google Ireland Limited).
I trattamenti effettuati dai provider terzi sono soggetti anche ai rispettivi termini e informative.
3.4 Fatturazione, adempimenti fiscali e gestione acquisti B2B
Finalità: emettere fatture e documenti fiscali; gestire richieste con partita IVA o dati aziendali; adempiere agli obblighi fiscali, amministrativi e contabili.
Base giuridica: art. 6, par. 1, lett. c) GDPR (obbligo legale); art. 6, par. 1, lett. b) GDPR (esecuzione del contratto).
3.5 Gestione richieste franchising e apertura nuovi punti vendita
Finalità: rispondere alla richiesta; valutare l'interesse all'apertura di un nuovo punto vendita o all'affiliazione; avviare eventuali interlocuzioni precontrattuali.
Base giuridica: art. 6, par. 1, lett. b) GDPR (misure precontrattuali adottate su richiesta dell'interessato).
3.6 Gestione richieste "Diventa Rivenditore"
Finalità: valutare la candidatura o la richiesta commerciale; ricontattare l'interessato; avviare eventuali interlocuzioni precontrattuali o commerciali.
Base giuridica: art. 6, par. 1, lett. b) GDPR (misure precontrattuali); art. 6, par. 1, lett. f) GDPR (legittimo interesse alla gestione delle richieste commerciali).
4. Finalità e basi giuridiche - trattamenti basati su consenso
Previo consenso libero, specifico, informato e inequivocabile dell'interessato (art. 4, n. 11 e art. 7 GDPR), i dati potranno essere trattati per le seguenti finalità. Il consenso è revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento precedente alla revoca.
4.1 Cookie statistici e di marketing non tecnici
Finalità: raccolta di dati statistici sull'utilizzo del sito; profilazione per la visualizzazione di contenuti pubblicitari personalizzati. Il consenso è prestato tramite il banner cookie ed è revocabile in qualsiasi momento dal pannello "Preferenze" del sito.
Base giuridica: art. 6, par. 1, lett. a) GDPR. Per ulteriori dettagli si rimanda alla Cookie Policy.
4.2 Newsletter e comunicazioni promozionali
Finalità: invio di comunicazioni informative, promozionali e commerciali via e-mail relative a novità, offerte, prodotti e iniziative KetoBar.
Base giuridica: art. 6, par. 1, lett. a) GDPR; art. 130 D.Lgs. 196/2003 per le comunicazioni promozionali elettroniche.
Strumenti: Shopify E-mail
Il consenso è revocabile in qualsiasi momento tramite il link di disiscrizione presente in ogni comunicazione o scrivendo a info@ketobar.it. Il mancato conferimento non pregiudica la fruizione del sito né l'acquisto.
4.3 Invio e pubblicazione della "KetoStory"
I dati forniti tramite Google Moduli sono trattati per finalità distinte, ciascuna subordinata a consenso autonomo e separato:
a. Consenso 1 - ricezione e valutazione: ricevere il contenuto inviato, verificarne la compatibilità editoriale, contattare l'autore per chiarimenti. Base giuridica: art. 6, par. 1, lett. a) GDPR.
b. Consenso 2 - pubblicazione sul sito: pubblicare la KetoStory nella sezione dedicata del portale, rendendola accessibile agli utenti. La revoca di questo consenso comporta la rimozione del contenuto. Base giuridica: art. 6, par. 1, lett. a) GDPR.
c. Consenso 3 (ove applicabile) — dati relativi alla salute: qualora il contenuto includa dati di categoria particolare ex art. 9 GDPR (es. dati sulla salute), il trattamento e l'eventuale pubblicazione richiedono consenso esplicito e separato. In assenza di tale consenso, i dati sanitari non potranno essere trattati né pubblicati. Base giuridica: art. 9, par. 2, lett. a) GDPR.
5. Modalità del trattamento
I dati sono trattati con strumenti elettronici e informatici, nel rispetto dei principi di cui all'art. 5 GDPR e con adozione delle misure tecniche e organizzative appropriate ai sensi dell'art. 32 GDPR. Il trattamento è effettuato da personale espressamente autorizzato dal Titolare, vincolato da obblighi di riservatezza, o da soggetti terzi debitamente nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR.
6. Destinatari e categorie di destinatari
I dati personali possono essere comunicati o resi accessibili, nei limiti strettamente necessari alle finalità indicate, alle seguenti categorie di destinatari:
— Personale interno autorizzato dal Titolare;
— Shopify Inc. (gestore della piattaforma e-commerce), nominato Responsabile del trattamento ex art. 28 GDPR;
— Provider di pagamento: ShopPay (Shopify), PayPal (Europe) S.à r.l. et Cie S.C.A., Google Ireland Limited (Google Pay).
— Shopify E-mail, nominato Responsabile del trattamento ai sensi dell'art. 28 GDPR;
— Google Ireland Limited (Google Moduli - raccolta KetoStory);
— Corrieri e operatori logistici incaricati della consegna (FedEx)
— Fornitori di servizi di hosting e gestione tecnica del sito: Shopify Inc.; Aruba REG
— Consulenti fiscali, amministrativi, legali e tecnici del Titolare;
— Autorità pubbliche, nei casi previsti dalla legge.
7. Trasferimenti verso paesi terzi
Alcuni dei fornitori di servizi di cui si avvale il Titolare hanno sede o trattano dati al di fuori dell'Unione Europea. In tali casi, i trasferimenti avvengono nel rispetto delle seguenti garanzie:
— Shopify Inc. (Canada): il trasferimento verso il Canada è ammesso in forza della Decisione di adeguatezza della Commissione europea del 20 dicembre 2001 (C(2001) 4539 fin). Per i trattamenti effettuati da Shopify Inc. o dalle sue sub-processor stabilite negli Stati Uniti d'America, il trasferimento è garantito mediante le Clausole Contrattuali Tipo adottate con Decisione di esecuzione della Commissione europea n. 2021/914/UE del 4 giugno 2021.
— ShopPay
— Shopify E-mail
8. Periodi di conservazione
I dati sono conservati per il tempo strettamente necessario alle finalità per le quali sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR):
|
Categoria di dati / Trattamento |
Periodo di conservazione |
|
Dati di navigazione e log tecnici |
Max 30 giorni (sicurezza operativa); log accesso fino a 12 mesi |
|
Cookie statistici / Google Analytics |
730 giorni |
|
Ordini, acquisti, pagamenti, fatturazione |
10 anni dalla conclusione dell'operazione (obblighi fiscali art. 2220 c.c.) |
|
Customer care, resi, reclami, assistenza |
24 mesi dalla chiusura della pratica |
|
Newsletter e marketing |
Fino a revoca del consenso; max 24 mesi dall'ultima interazione significativa |
|
Franchising / apertura punto vendita |
12 mesi dalla raccolta, salvo prosecuzione delle trattative |
|
Diventa Rivenditore |
12 mesi dalla raccolta, salvo prosecuzione delle trattative commerciali |
|
KetoStory non pubblicata |
12 mesi dalla valutazione, poi cancellazione |
|
KetoStory pubblicata |
Fino a revoca del consenso alla pubblicazione o richiesta di rimozione |
|
Log consenso (cookie, newsletter, privacy) |
Tempo necessario a documentare la liceità del trattamento (≥ 3 anni) |
9. Diritti dell'interessato
In relazione ai propri dati personali, ai sensi degli artt. 15–22 GDPR l'interessato ha il diritto di:
— Accesso (art. 15 GDPR): ottenere conferma dell'esistenza del trattamento e accedere ai dati che lo riguardano;
— Rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti o incompleti;
— Cancellazione — diritto all'oblio (art. 17 GDPR): ottenere la cancellazione dei dati, ricorrendo le condizioni previste dalla norma;
— Limitazione (art. 18 GDPR): ottenere la limitazione del trattamento nelle ipotesi previste;
— Portabilità (art. 20 GDPR): ricevere in formato strutturato e leggibile da dispositivo automatico i dati forniti su base contrattuale o consensuale, e trasmetterli ad altro titolare;
— Opposizione (art. 21 GDPR): opporsi al trattamento per motivi legittimi ovvero al trattamento per finalità di marketing diretto, in qualsiasi momento e senza onere di motivazione per quest'ultima ipotesi;
— Revoca del consenso (art. 7, par. 3 GDPR): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente alla revoca;
— Non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non subire decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici significativi, salvo le eccezioni di legge.
Per esercitare i propri diritti, l'interessato può inviare richiesta scritta al Titolare all'indirizzo e-mail info@ketobar.it, indicando nell'oggetto: "Esercizio diritti GDPR".
10. Reclamo all'Autorità di controllo
L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del Regolamento ha il diritto di proporre reclamo al Garante per la protezione dei dati personali (sito: www.garanteprivacy.it; sede: Piazza Venezia 11, 00187 Roma; e-mail: garante@gpdp.it) ovvero all'autorità di controllo dello Stato membro UE in cui risiede o lavora abitualmente, o del luogo in cui si è verificata la presunta violazione (art. 77 GDPR).
11. Aggiornamenti
La presente informativa è soggetta a periodica revisione in ragione di modifiche normative, tecnologiche o operative. In caso di modifiche sostanziali, il Titolare ne darà idonea comunicazione agli interessati. La versione aggiornata è sempre disponibile nel footer del sito.