Nouba Group S.r.l.
Sede Legale: Via Privata Bastia 5, 20139 Milano (MI)
P. IVA: 11590150964
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi dell’art. 13 del Regolamento UE 2016/679 (GDPR)
Sito e-commerce – Vendita al dettaglio di prodotti cosmetici
1. Titolare del trattamento
Nouba Group S.r.l.
Via privata Bastia, 5 – 20139 Milano (MI)
C.F./P.IVA: 11590150964
Per esercitare i diritti di cui all’art. 15 ss. GDPR o per qualsiasi richiesta relativa al trattamento dei propri dati personali, l’interessato può contattare il Titolare ai seguenti recapiti:
2. Categorie di interessati
La presente informativa si rivolge alle seguenti categorie di persone fisiche i cui dati personali vengono trattati dal Titolare nell’ambito del sito e-commerce:
Visitatori del sito web (navigazione, cookie).
Utenti registrati: persone fisiche che creano un account personale sul sito.
Acquirenti in modalità ospite (guest checkout): persone fisiche che effettuano acquisti senza registrazione.
Destinatari di comunicazioni commerciali: persone fisiche che hanno fornito il consenso al marketing diretto.
3. Dati trattati, finalità e basi giuridiche
Il Titolare tratta i dati personali dell’interessato per le finalità di seguito descritte, ciascuna sorretta da specifica base giuridica ai sensi dell’art. 6 GDPR.
3.1 Esecuzione del contratto di vendita online
Dati trattati: dati anagrafici e di contatto (nome, cognome, indirizzo di spedizione/fatturazione, indirizzo e-mail, numero di telefono), dati di pagamento (gestiti direttamente da provider certificati PCI-DSS), storico degli ordini.
Base giuridica: art. 6, par. 1, lett. b) GDPR – esecuzione di un contratto di cui l’interessato è parte o esecuzione di misure precontrattuali.
Applicabile a: utenti registrati e acquirenti guest.
3.2 Adempimento di obblighi di legge
Dati trattati: dati fiscali e contabili (fatturazione elettronica ai sensi del D.P.R. 633/1972 e del D.Lgs. 127/2015), documentazione relativa alla sicurezza dei prodotti cosmetici (Reg. CE 1223/2009), obblighi antiriciclaggio ove applicabili.
Base giuridica: art. 6, par. 1, lett. c) GDPR – adempimento di un obbligo legale.
3.3 Gestione account utente
Dati trattati: dati di registrazione (e-mail, password, preferenze), liste dei desideri, indirizzi salvati.
Base giuridica: art. 6, par. 1, lett. b) GDPR – esecuzione del contratto di fornitura del servizio account.
Applicabile a: soli utenti registrati.
3.4 Gestione del servizio clienti e reclami
Dati trattati: dati identificativi, contenuto delle comunicazioni, dati relativi all’ordine oggetto di reclamo o richiesta.
Base giuridica: art. 6, par. 1, lett. b) GDPR (gestione post-contrattuale) e art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare alla gestione dei reclami e alla tutela legale).
3.5 Sicurezza del sito, prevenzione delle frodi e log tecnici
Dati trattati: indirizzi IP, log di accesso, dati di navigazione tecnici, cookie tecnici e di sessione.
Base giuridica: art. 6, par. 1, lett. f) GDPR – legittimo interesse del Titolare alla sicurezza dei sistemi informativi e alla prevenzione di attività fraudolente, difesa in giudizio.
3.6 Marketing diretto e comunicazioni promozionali
Il Titolare, previo espresso consenso dell’interessato, tratta i dati di contatto per l’invio di comunicazioni commerciali, newsletter, offerte promozionali e aggiornamenti sui prodotti cosmetici del catalogo Nouba.
Dati trattati: nome, cognome, indirizzo e-mail.
Base giuridica: art. 6, par. 1, lett. f) GDPR – interesse legittimo (soft spam), o meglio art. 130, co. 4, D.Lgs. 196/2003: il Titolare può inviare comunicazioni di marketing relative a prodotti analoghi a quelli già acquistati, a condizione che l’interessato non si sia opposto e che in ogni comunicazione sia indicata la possibilità di opposizione.
l’interessato può disiscriversi da newsletter in qualsiasi momento, senza pregiudizio per la liceità del trattamento svolto prima della revoca, tramite: (i) link di disiscrizione in calce a ogni comunicazione; (ii) richiesta diretta al Titolare ai recapiti di cui all’art. 1.
3.7 Profilazione e personalizzazione dell’esperienza d’acquisto
Il Titolare, previo espresso consenso dell’interessato (distinto dal consenso al marketing generico), effettua attività di profilazione consistente nell’analisi delle abitudini d’acquisto, delle preferenze e dei comportamenti di navigazione al fine di:
personalizzare i contenuti del sito e le raccomandazioni di prodotto (es. “prodotti correlati”, “potrebbe interessarti”);
segmentare le comunicazioni commerciali in base a caratteristiche e preferenze dell’interessato;
ottimizzare le offerte commerciali in funzione del profilo di acquisto storico.
La profilazione può comportare l’utilizzo di processi automatizzati. Il Titolare non adotta decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici o incidano significativamente sull’interessato (art. 22 GDPR). Qualora tale circostanza dovesse modificarsi, il Titolare aggiornerà la presente informativa e acquisirà il consenso esplicito.
Base giuridica: art. 6, par. 1, lett. a) GDPR – consenso libero, specifico, informato e inequivocabile (art. 4 GDPR), acquisito separatamente rispetto al consenso al marketing.
Revoca: identica alle modalità indicate al par. 3.6.
3.8 Adempimenti in materia di sicurezza dei prodotti cosmetici
In conformità al Regolamento CE 1223/2009, il Titolare raccoglie e conserva le segnalazioni di effetti indesiderati gravi (EIG) comunicate dagli acquirenti, ai fini della cosmetovigilanza e della comunicazione alle autorità competenti.
Dati trattati: dati identificativi del segnalante, descrizione dell’effetto indesiderato, prodotto coinvolto.
Base giuridica: art. 6, par. 1, lett. c) GDPR – obbligo legale (art. 23 Reg. CE 1223/2009).
4. Riepilogo dei trattamenti e dei tempi di conservazione
5. Modalità di trattamento e misure di sicurezza
Il trattamento è effettuato con strumenti elettronici e, ove necessario, cartacei, adottando misure tecniche e organizzative adeguate al rischio ai sensi dell’art. 32 GDPR, tra cui:
trasmissione dati tramite protocollo HTTPS/TLS;
cifratura dei dati di pagamento (outsourcing a provider PCI-DSS);
accesso ai dati limitato al personale autorizzato in base al principio del “need-to-know”;
procedure periodiche di backup e disaster recovery;
6. Destinatari e categorie di destinatari dei dati
I dati personali possono essere comunicati alle seguenti categorie di destinatari, ciascuno operante in qualità di responsabile del trattamento (art. 28 GDPR) o di titolare autonomo, secondo i rispettivi ruoli:
Provider di servizi di pagamento: soggetti fornitori indicati in CGV certificati PCI-DSS, che operano come titolari autonomi per il trattamento dei dati di pagamento.
Corrieri e spedizionieri: soggetti incaricati della logistica e della consegna degli ordini (dati anagrafici e di indirizzo di consegna).
Fornitori di servizi di e-mail marketing e CRM: piattaforme di invio newsletter e gestione delle comunicazioni commerciali, qualora adottate, nominati responsabili del trattamento.
Fornitori di servizi cloud e hosting: provider dell’infrastruttura tecnologica del sito, nominati responsabili del trattamento con garanzie adeguate (art. 46 GDPR se extra-UE).
Piattaforme di analisi web e advertising: solo con consenso dell’interessato per cookie di profilazione/marketing (v. Cookie Policy separata).
Consulenti legali e revisori: professionisti tenuti al segreto professionale, per finalità di consulenza e verifica.
Autorità pubbliche: Agenzia delle Entrate, autorità giudiziarie o amministrative, nei casi previsti dalla legge.
Il Titolare non vende né cede a titolo oneroso i dati personali degli interessati a terzi per finalità di marketing proprio di terzi.
7. Trasferimento dei dati verso Paesi terzi
Qualora l’utilizzo di fornitori di servizi comporti il trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE), il Titolare garantisce che tale trasferimento avvenga nel rispetto delle condizioni di cui agli artt. 44 ss. GDPR, e in particolare mediante:
decisione di adeguatezza della Commissione europea (es. Data Privacy Framework UE-USA, ove applicabile);
clausole contrattuali tipo (Standard Contractual Clauses) approvate dalla Commissione europea;
altre garanzie adeguate ai sensi dell’art. 46 GDPR.
8. Diritti dell’interessato
Ai sensi degli artt. 15-22 GDPR, l’interessato ha il diritto di:
Accesso (art. 15): ottenere conferma dell’esistenza di trattamenti e copia dei dati personali trattati.
Rettifica (art. 16): ottenere la correzione di dati inesatti o l’integrazione di dati incompleti.
Cancellazione (“diritto all’oblio”, art. 17): ottenere la cancellazione dei dati nei casi previsti dalla norma, nei limiti degli obblighi di conservazione legale.
Limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nelle ipotesi previste dalla norma.
Portabilità (art. 20): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti, ove il trattamento sia basato su consenso o contratto ed effettuato con strumenti automatizzati.
Opposizione (art. 21): opporsi, in qualsiasi momento, al trattamento basato su legittimo interesse (art. 6, par. 1, lett. f) GDPR), incluse le attività di profilazione su tale base.
Revoca del consenso: revocare in qualsiasi momento il consenso prestato per marketing e/o profilazione, senza pregiudizio della liceità del trattamento anteriore.
Reclamo all’Autorità di controllo (art. 77): proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Le richieste di esercizio dei diritti devono essere indirizzate al Titolare ai recapiti di cui all’art. 1. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta, salvo proroga di ulteriori 60 giorni per casi complessi (art. 12, par. 3, GDPR), con comunicazione entro il medesimo termine iniziale.
9. Cookie e tecnologie di tracciamento
Il sito utilizza cookie e tecnologie analoghe. Il trattamento dei dati effettuato tramite cookie è disciplinato dall’apposita Cookie Policy, disponibile nella sezione dedicata del sito, che costituisce parte integrante della presente informativa.
10. Categorie particolari di dati – Allergie e reazioni avverse
Il Titolare non raccoglie sistematicamente dati relativi alla salute degli interessati. Tuttavia, nell’ambito del servizio di cosmetovigilanza (art. 23 Reg. CE 1223/2009) e della gestione di reclami per reazioni avverse, è possibile che vengano trattati dati relativi alla salute (categoria particolare ai sensi dell’art. 9 GDPR).
In tali casi, il trattamento è effettuato sulla base dell’art. 9, par. 2, lett. c) GDPR (interessi vitali) o dell’art. 9, par. 2, lett. g) GDPR (interesse pubblico rilevante ai sensi del diritto dell’Unione o degli Stati membri), nel rispetto delle garanzie previste dal D.Lgs. 196/2003.
11. Minori
I servizi e-commerce del Titolare sono rivolti esclusivamente a soggetti di età pari o superiore a 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora dati relativi a minori vengano inavvertitamente trattati, il Titolare provvederà alla loro cancellazione immediata su segnalazione.
12. Aggiornamenti dell’informativa
Il Titolare si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento, in ragione di modifiche normative, evoluzioni tecnologiche o mutamenti delle modalità di trattamento. Le modifiche saranno pubblicate sul sito con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali che incidano sui diritti degli interessati, il Titolare invierà specifica comunicazione via e-mail agli utenti registrati.
