Informativa sulla privacy

Principi e accountability

Il trattamento è improntato ai principi di cui all’art. 5 GDPR (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità/riservatezza, accountability). Il Titolare adotta un approccio risk‑based e documenta le scelte di conformità (art. 24).

Titolare, contatti e (eventuale) DPO

BENMAR GROUP DI CORTIELLO ANNA — Viale delle Industrie 35, 80147 Napoli (NA)
Email: info@annac.it — Tel.: +39 329 722 5766
[DPO: non nominato salvo aggiornamenti; ove nominato, i contatti saranno resi disponibili sul sito].

Categorie di dati

  • Identificativi/comunicazioni: anagrafica, recapiti, contenuti di assistenza (anche WhatsApp Business).

  • Commerciali/contrattuali: indirizzi di spedizione/fatturazione, storico ordini, preferenze.

  • Pagamenti: token e metadati gestiti dai provider (il Titolare non conserva i dati integrali di carta).

  • Tecnici/online: log, IP, user‑agent, identificativi cookie/SDK, eventi di consenso.

  • Marketing e profilazione (previo consenso): segmentazioni RFM, cronologie navigazione/acquisto, carrelli.

  • Categorie particolari (art. 9): non trattate intenzionalmente; eventuali riferimenti sensibili inviati dall’utente in modo spontaneo sono minimizzati o oscurati.

Finalità e basi giuridiche (art. 6)

  • Esecuzione del contratto: gestione ordini, pagamenti, consegne, resi, assistenza (art. 6.1.b).

  • Obblighi di legge: contabilità/fisco, compliance pagamenti (art. 6.1.c).

  • Interesse legittimo: sicurezza IT, prevenzione frodi, ottimizzazione del customer care (art. 6.1.f), con bilanciamento degli interessi.

  • Marketing email/SMS: consenso (art. 6.1.a); soft‑spam per prodotti analoghi ex art. 130, co. 4, Codice Privacy, con opt‑out agevole.

  • Profilazione: consenso (artt. 6.1.a e 22); logiche di base e significatività sono rese conoscibili su richiesta.

  • Analytics: se con IP anonimizzato e senza tracciamenti cross‑site, possibile interesse legittimo; diversamente, consenso.

Modalità, misure e governance (art. 32)

Trattamenti digitali e, ove necessario, cartacei, con segregazione degli accessi (need‑to‑know), autenticazione forte per pannelli amministrativi, crittografia in transito e, se applicabile, a riposo, backup e business continuity, logging degli accessi privilegiati, vulnerability management, politiche di data retention e di minimizzazione. Il personale e i fornitori sono istruiti e vincolati da NDA e impegni di riservatezza.

Destinatari e ruoli (artt. 28–29)

  • Responsabili del trattamento: hosting/e‑commerce, CRM, piattaforme email/SMS, CMP cookie, servizi antifrode.

  • Autonomi titolari: Klarna, PayPal, circuiti carta; corrieri (finalità di consegna).

  • Autorità e consulenti (legali/contabili/IT) nei limiti di legge.
    Gli accordi con i Responsabili recepiscono SCC ove richiesto, istruzioni documentate e misure tecniche adeguate. L’elenco aggiornato dei principali Responsabili è disponibile su richiesta.

Trasferimenti extra‑SEE (artt. 44–49)

Qualora i dati siano esportati verso paesi terzi, si applicano Clausole Contrattuali Standard e si svolge una Transfer Impact Assessment post‑Schrems II, con misure supplementari tecniche/organizzative ove necessario. È possibile l’uso di edge/regional routing se supportato dai fornitori.

Conservazione (art. 5, lett. e)

  • Fatture e documenti contabili: 10 anni.

  • Account: fino a richiesta di cancellazione o 24 mesi di inattività.

  • Marketing: fino a revoca o 24 mesi senza interazioni.

  • Profilazione: max 12 mesi dall’ultimo evento rilevante.

  • Log di sicurezza: 6–24 mesi secondo rischio e necessità probatoria.

  • Ticket assistenza: max 24 mesi.

Diritti dell’interessato (artt. 15–22) e reclamo

Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (inclusa opposizione ex art. 21 a marketing/profilazione), revoca del consenso. Le richieste vanno inviate a privacy@annac.it (o info@annac.it); risposta entro 30 giorni (prorogabili). Reclamo al Garante per la protezione dei dati personali.

Minori

Il servizio non è destinato a minori di 14 anni; per utenti <14 anni è richiesto il consenso del titolare della responsabilità genitoriale. Eventuali dati rilevati saranno tempestivamente cancellati.

DPIA e data breach

DPIA: non ricorrono tipicamente trattamenti a rischio elevato (art. 35); in caso di estensioni (es. profilazione avanzata su larga scala) sarà eseguita valutazione d’impatto.
Data breach (artt. 33–34): notifica al Garante entro 72 ore quando richiesto; comunicazione agli interessati se l’evento presenta elevato rischio per diritti e libertà.

© 2025 Anna C. Boutique — Tutti i diritti riservati.