1. INTRODUZIONE
ESPACE ECOMMERCE FRANCE SARL (di seguito, “il Titolare” o “noi”) si impegna a proteggere la privacy e i dati personali degli utenti del proprio sito web www.justbob.it (di seguito, il “Sito”).
La presente Informativa sulla Privacy (di seguito, “Informativa”) illustra le finalita’, le modalita’, le basi giuridiche e la durata del trattamento dei dati personali raccolti attraverso il Sito. E’ redatta in conformita’ al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (di seguito, “GDPR”), al D.Lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”, di seguito “Codice Privacy”), come modificato dal D.Lgs. 10 agosto 2018, n. 101 di adeguamento alla normativa europea, alla Direttiva 2002/58/CE (“ePrivacy”) e alle relative norme di attuazione interne, nonche’ alle linee guida del Comitato europeo per la protezione dei dati (EDPB) e del Garante per la protezione dei dati personali.
La presente Informativa si riferisce esclusivamente al trattamento dei dati personali svolto attraverso il Sito e non si estende ad altri siti web di terzi ai quali l’utente possa accedere tramite link presenti sul Sito. Il Titolare declina ogni responsabilita’ per il trattamento dei dati personali effettuato da siti terzi, ai quali l’utente accede sotto la propria esclusiva responsabilita’. Per informazioni sui cookie e sugli altri strumenti di tracciamento utilizzati dal Sito, si rimanda alla Cookie Policy, che integra la presente Informativa.
Ai sensi dell’Art. 5 del GDPR, il trattamento dei dati personali avviene nel rispetto dei principi di liceita’, correttezza, trasparenza, limitazione della finalita’, minimizzazione dei dati, esattezza, limitazione della conservazione, integrita’ e riservatezza. Il Titolare e’ in grado di comprovare, ai sensi dell’Art. 5(2) GDPR (principio di responsabilizzazione o “accountability”), la conformita’ dei propri trattamenti ai principi del Regolamento.
L’utente e’ invitato a leggere con attenzione la presente Informativa prima di fornire qualunque dato personale al Sito. L’utilizzo del Sito, la registrazione di un account, l’inoltro di un ordine o l’invio di un messaggio tramite il form di contatto implicano la presa visione della presente Informativa.
2. TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento dei dati personali raccolti attraverso il Sito e’:
ESPACE ECOMMERCE FRANCE SARL
- Forma giuridica: Societe a Responsabilite Limitee (SARL)
- Sede legale: 16 rue Cuvier, 69006 Lyon (Francia)
- Partita IVA intracomunitaria: FR62920502598
- SIREN: 920 502 598
- SIRET: 920 502 598 00013
- Capitale sociale: 2.000 EUR
- Email: info@justbob.it
- Sito web: www.justbob.it
Considerata la natura e il volume dei dati trattati, e l’assenza di attivita’ di monitoraggio regolare e sistematico degli interessati su larga scala, il Titolare non e’ tenuto a designare un Responsabile della protezione dei dati ai sensi dell’Art. 37 del GDPR. Le richieste relative al trattamento dei dati personali, compreso l’esercizio dei diritti riconosciuti dagli articoli 15-22 del GDPR, possono essere inviate all’indirizzo email info@justbob.it, che rappresenta il canale preferenziale per il contatto con il Titolare in materia di protezione dei dati personali.
Il Titolare ai sensi del GDPR si qualifica come stabilimento unico in Francia: gli utenti italiani del Sito beneficiano comunque di tutte le tutele previste dal Codice Privacy italiano e possono rivolgersi al Garante per la protezione dei dati personali in qualita’ di autorita’ nazionale di riferimento (si veda la sezione 12.3 della presente Informativa).
3. DATI PERSONALI CHE RACCOGLIAMO
In funzione dell’interazione dell’utente con il Sito, il Titolare puo’ raccogliere le seguenti categorie di dati personali:
- a) Dati identificativi e di contatto: nome, cognome, indirizzo postale, indirizzo email, numero di telefono.
- b) Dati di fatturazione: indirizzo di fatturazione (se diverso da quello di spedizione), codice fiscale o partita IVA (nei casi in cui il cliente richieda la fatturazione).
- c) Dati della transazione: prodotti acquistati, importo, metodo di pagamento (dati mascherati), numero dell’ordine, storico degli acquisti.
- d) Dati dell’account utente: nome utente, password (memorizzata in forma crittografata mediante algoritmo di hashing sicuro), preferenze di account.
- e) Dati di navigazione: indirizzo IP (anonimizzato a fini analitici), tipo e versione del browser, sistema operativo, pagine visitate, data e ora di accesso, URL di provenienza. Questi dati sono raccolti automaticamente dai sistemi informatici del Sito (si veda la sezione 4).
- f) Dati di comunicazione: contenuto delle email o dei messaggi inviati tramite il form di contatto, storico delle comunicazioni intercorse con il servizio di assistenza clienti, eventuali allegati o riferimenti d’ordine utili alla lavorazione della richiesta.
Il Titolare raccoglie esclusivamente i dati personali strettamente necessari al corretto funzionamento del Sito, all’erogazione dei servizi richiesti e all’adempimento degli obblighi di legge, in piena aderenza al principio di minimizzazione di cui all’Art. 5(1)(c) del GDPR. La raccolta di dati ulteriori rispetto a quelli elencati, ove si rendesse necessaria per finalita’ specifiche, sara’ oggetto di apposita informativa e, quando richiesto dalla legge, di specifico consenso.
Il Titolare non richiede all’utente, ne’ tratta, dati che non siano strumentali alle finalita’ indicate nella sezione 6. In particolare, il Titolare non richiede informazioni relative alla condizione lavorativa, al reddito, a situazioni familiari o personali dell’interessato, se non nei limiti strettamente necessari al corretto adempimento contrattuale (ad esempio, l’indirizzo di consegna).
4. DATI DI NAVIGAZIONE
I sistemi informatici e le procedure software utilizzati per il funzionamento del Sito raccolgono automaticamente, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione e’ implicita nell’uso dei protocolli di comunicazione di Internet. Tali dati includono:
- Indirizzi IP (anonimizzati a fini analitici)
- Tipo e versione del browser
- Sistema operativo
- Pagine visitate e percorso di navigazione
- Data e ora di ciascuna richiesta al server
- URL di provenienza (la pagina dalla quale l’utente ha raggiunto il Sito)
- Provider di servizi Internet (ISP)
Questi dati sono utilizzati con l’unica finalita’ di garantire il corretto funzionamento del Sito e la sicurezza del sistema, ad esempio per rilevare accessi non autorizzati, tentativi di intrusione, attacchi informatici di tipo brute-force, DDoS o altre minacce alla disponibilita’ e integrita’ del servizio. Il trattamento e’ funzionale alla manutenzione ordinaria dell’infrastruttura e all’analisi statistica aggregata del traffico al fine di ottimizzare il funzionamento tecnico del Sito.
La base giuridica del trattamento e’ l’interesse legittimo del Titolare (Art. 6(1)(f) GDPR) a garantire la sicurezza della rete e delle informazioni, in linea con i considerando 49 del GDPR. Tale interesse legittimo e’ stato oggetto di specifica valutazione di bilanciamento con i diritti e le liberta’ degli interessati (Legitimate Interest Assessment), che ha evidenziato la proporzionalita’ del trattamento rispetto allo scopo perseguito.
I dati di navigazione sono conservati nei log del server per un periodo massimo di 12 mesi e successivamente eliminati in modo automatico, salvo la necessita’ di conservarli per periodi superiori nell’ambito di accertamenti da parte delle autorita’ competenti in caso di incidenti di sicurezza o di indagini giudiziarie (ad esempio, in seguito a richiesta motivata dell’autorita’ giudiziaria ai sensi dell’Art. 256 c.p.p.).
5. DATI FORNITI VOLONTARIAMENTE DALL’UTENTE
L’utente puo’ fornire dati personali in forma volontaria nei seguenti casi:
- a) Registrazione dell’account: Al momento della creazione di un account sul Sito sono richiesti nome, cognome, indirizzo email e password. Tali dati sono necessari per la creazione e la gestione dell’account (base giuridica: Art. 6(1)(b) GDPR, esecuzione del contratto). Il rifiuto di fornirli impedisce la registrazione e l’accesso alle funzionalita’ riservate agli utenti registrati.
- b) Realizzazione di ordini: Per evadere un ordine sono necessari nome, cognome, indirizzo di spedizione, indirizzo email e numero di telefono. Tali dati sono indispensabili per l’esecuzione del contratto di compravendita (base giuridica: Art. 6(1)(b) GDPR). Il trattamento dei pagamenti e’ gestito da fornitori di servizi di pagamento esterni autorizzati e in ambiente conforme agli standard PCI DSS: il Titolare non conserva ne’ ha accesso ai dati completi delle carte di pagamento.
- c) Form di contatto ed email: L’invio volontario di email o la compilazione del form di contatto comporta la raccolta dell’indirizzo email del mittente e di qualunque altro dato personale contenuto nel messaggio, al solo fine di rispondere alla richiesta (base giuridica: Art. 6(1)(b) GDPR).
- d) Iscrizione alla newsletter: L’utente puo’ iscriversi volontariamente alla newsletter fornendo il proprio indirizzo email. La base giuridica del trattamento varia a seconda della fattispecie:
- Per nuovi iscritti senza un precedente rapporto commerciale con il Titolare: consenso esplicito ai sensi dell’Art. 6(1)(a) GDPR, revocabile in qualsiasi momento tramite il link di cancellazione presente in ogni comunicazione o scrivendo a info@justbob.it.
- Per clienti gia’ esistenti del Sito, relativamente a prodotti analoghi a quelli precedentemente acquistati: ai sensi dell’Art. 130, comma 4, del D.Lgs. 196/2003 (cosiddetto “soft opt-in”), come modificato dalla Legge 31 dicembre 2017, n. 205, il Titolare puo’ inviare comunicazioni commerciali via email senza necessita’ di un consenso preventivo specifico, purche’ l’indirizzo email sia stato raccolto nel contesto di un precedente acquisto, l’interessato sia stato adeguatamente informato di tale possibilita’ e non vi si sia opposto. In ogni comunicazione l’interessato trova un meccanismo di opposizione semplice e gratuito (link di cancellazione).
Il servizio di invio email e’ gestito da Brevo SAS (gia’ Sendinblue), che opera come responsabile del trattamento ai sensi dell’Art. 28 del GDPR.
- e) Prevenzione delle frodi e difesa dei diritti: Tutti i dati personali raccolti potranno essere trattati, quando necessario, per prevenire frodi, per proteggersi da condotte contrarie alle condizioni d’uso del Sito e per la difesa dei diritti del Titolare in sede giudiziaria o extragiudiziaria (base giuridica: Art. 6(1)(f) GDPR, interesse legittimo). In tali casi l’interessato mantiene il proprio diritto di opposizione ai sensi dell’Art. 21 del GDPR.
6. FINALITA’ E BASI GIURIDICHE DEL TRATTAMENTO
I dati personali raccolti attraverso il Sito sono trattati per le seguenti finalita’, ciascuna con la propria base giuridica specifica:
| Finalita’ | Base giuridica (Art. 6 GDPR) | Dati trattati |
|---|---|---|
| Gestione ed esecuzione degli ordini (inclusa spedizione e consegna) | Art. 6(1)(b), esecuzione del contratto | Nome, cognome, indirizzo di spedizione, email, telefono, dati dell’ordine |
| Creazione e gestione dell’account utente | Art. 6(1)(b), esecuzione del contratto | Nome, email, password (hash), preferenze |
| Adempimento di obblighi fiscali, contabili e di conservazione documentale | Art. 6(1)(c), obbligo legale (Art. 2220 c.c.; D.P.R. 600/1973, Art. 22; D.P.R. 633/1972, Art. 39) | Nome, indirizzo di fatturazione, dati della transazione, codice fiscale / partita IVA |
| Assistenza clienti e supporto post-vendita | Art. 6(1)(b), esecuzione del contratto | Nome, email, storico delle comunicazioni |
| Invio di comunicazioni commerciali (newsletter) a nuovi iscritti | Art. 6(1)(a), consenso | Indirizzo email |
| Invio di comunicazioni commerciali a clienti esistenti relative a prodotti analoghi | Art. 130, comma 4, D.Lgs. 196/2003 (soft opt-in) | Indirizzo email, storico acquisti |
| Monitoraggio tecnico del rendimento del Sito (Google Analytics 4, anonimizzato) | Art. 6(1)(f), interesse legittimo alla manutenzione e al miglioramento tecnico del servizio | Dati di navigazione anonimizzati (IP troncato), nessun identificativo personale |
| Sicurezza del Sito e prevenzione delle frodi | Art. 6(1)(f), interesse legittimo | IP, log di accesso, dati del dispositivo |
| Difesa dei diritti in sede giudiziaria o extragiudiziaria | Art. 6(1)(f), interesse legittimo | Tutti i dati strettamente necessari per la difesa |
Nota sull’interesse legittimo: Quando la base giuridica del trattamento e’ l’interesse legittimo del Titolare, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, ai sensi dell’Art. 21 del GDPR. Il Titolare si asterra’ dal trattamento dei dati, salvo dimostri l’esistenza di motivi legittimi cogenti per procedere che prevalgano sugli interessi, sui diritti e sulle liberta’ dell’interessato, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Per esercitare il diritto di opposizione l’interessato puo’ scrivere a info@justbob.it.
Nota sul consenso: Il consenso prestato per l’invio di comunicazioni commerciali e per qualunque altro trattamento basato sull’Art. 6(1)(a) GDPR puo’ essere revocato in qualsiasi momento e con la stessa facilita’ con cui e’ stato prestato, senza che cio’ pregiudichi la liceita’ del trattamento effettuato prima della revoca (Art. 7(3) GDPR). La revoca del consenso non ha effetti retroattivi sui trattamenti gia’ eseguiti.
Conferimento dei dati e conseguenze del mancato conferimento: Il conferimento dei dati necessari all’esecuzione del contratto (ordini, account) e all’adempimento di obblighi di legge (fatturazione, conservazione fiscale) e’ obbligatorio: il mancato conferimento impedisce al Titolare di dare seguito alla richiesta dell’interessato. Il conferimento dei dati per le finalita’ di marketing (newsletter) e’ invece facoltativo e non pregiudica in alcun modo la possibilita’ di utilizzare il Sito e i servizi.
7. RESPONSABILI DEL TRATTAMENTO
Per l’erogazione dei nostri servizi, i dati personali possono essere trattati dai seguenti responsabili del trattamento, con i quali il Titolare ha sottoscritto i relativi accordi di trattamento dei dati (Data Processing Agreement, DPA) ai sensi dell’Art. 28 del GDPR:
| Responsabile | Servizio | Sede |
|---|---|---|
| Planetel S.p.A. | Hosting del Sito e manutenzione dei server | Via Mattei, 10, 24060 Brusaporto (BG), Italia (UE) |
| Brevo SAS (gia’ Sendinblue) | Invio di comunicazioni transazionali relative agli ordini e della newsletter | 7 rue de Madrid, 75008 Paris, Francia (UE) |
| Google LLC | Monitoraggio tecnico anonimizzato del rendimento del Sito (Google Analytics 4) | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (aderente all’EU-US Data Privacy Framework) |
Il trattamento dei pagamenti e’ gestito da fornitori di servizi di pagamento esterni autorizzati, che operano come titolari autonomi del trattamento o come responsabili in relazione alle specifiche fasi del trattamento, applicando le proprie politiche sulla privacy e misure di sicurezza conformi agli standard PCI DSS. Il Titolare non memorizza ne’ ha accesso diretto ai dati completi di pagamento (numeri di carta, CVV, codici di sicurezza): riceve unicamente le informazioni di esito della transazione necessarie alla gestione dell’ordine.
I responsabili del trattamento sono selezionati dal Titolare tra soggetti che offrono garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato (Art. 28(1) GDPR). Ciascun responsabile e’ vincolato da un contratto scritto (Data Processing Agreement) che disciplina in modo specifico natura, durata, finalita’ e categorie di dati trattati, obblighi di riservatezza, misure di sicurezza, gestione dei sub-responsabili, cooperazione per l’esercizio dei diritti dell’interessato e per la notifica di eventuali violazioni.
L’elenco completo e aggiornato dei responsabili del trattamento, compresi eventuali sub-responsabili nominati dai responsabili principali, e’ disponibile su richiesta scrivendo a info@justbob.it.
8. COMUNICAZIONE DI DATI A TERZI
Il Titolare non vende, non cede e non affitta dati personali a terzi.
I dati personali potranno essere comunicati alle seguenti categorie di destinatari, esclusivamente per le finalita’ indicate nella presente Informativa:
- a) Responsabili del trattamento (Art. 28 GDPR): soggetti terzi che trattano dati personali per conto del Titolare, in forza di un accordo di trattamento dei dati. Si veda la sezione 7 per il dettaglio.
- b) Professionisti e consulenti: studi e professionisti che prestano al Titolare assistenza contabile, amministrativa, legale, fiscale, finanziaria o di recupero crediti, che operano come responsabili del trattamento o come titolari autonomi, a seconda dei casi.
- c) Autorita’ pubbliche: organi, autorita’ o istituzioni alle quali sia obbligatorio comunicare dati personali in forza di disposizioni di legge o di richieste motivate delle autorita’ competenti (ad esempio, autorita’ giudiziaria, forze di polizia, autorita’ fiscali).
- d) Personale autorizzato: dipendenti e collaboratori del Titolare espressamente autorizzati al trattamento dei dati personali ai sensi dell’Art. 29 del GDPR, sottoposti a specifiche istruzioni e a obblighi di riservatezza.
I dati personali non saranno diffusi pubblicamente.
9. TRASFERIMENTI INTERNAZIONALI DI DATI
Alcuni responsabili del trattamento possono trattare dati personali al di fuori dello Spazio Economico Europeo (SEE). In particolare:
| Responsabile | Paese | Garanzia applicata |
|---|---|---|
| Google LLC (Google Analytics 4) | Stati Uniti | Aderente all’EU-US Data Privacy Framework (DPF), oggetto della Decisione di esecuzione (UE) 2023/1795 della Commissione europea del 10 luglio 2023 sull’adeguatezza del livello di protezione dei dati personali. La certificazione DPF di Google LLC puo’ essere verificata sul registro pubblico www.dataprivacyframework.gov. Oltre al DPF, il Titolare ha attivato l’anonimizzazione dell’indirizzo IP (IP masking) per minimizzare i dati personali trasferiti. |
| Brevo SAS | Francia (UE) | Server ubicati nell’Unione europea (data center in Francia). Non vi sono trasferimenti di dati fuori dallo SEE. |
| Planetel S.p.A. | Italia (UE) | Server ubicati nell’Unione europea. Non vi sono trasferimenti di dati fuori dallo SEE. |
In caso di invalidazione o di modifica dell’EU-US Data Privacy Framework, il Titolare adottera’ le garanzie necessarie, in particolare le Clausole Contrattuali Tipo approvate dalla Commissione europea ai sensi della Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, integrate, ove opportuno, da misure supplementari di natura tecnica (ad esempio, cifratura end-to-end, pseudonimizzazione, anonimizzazione degli identificativi) e contrattuale, per assicurare un livello di protezione adeguato dei dati personali.
Il Titolare monitora costantemente l’evoluzione del quadro normativo in materia di trasferimenti internazionali di dati, compresi gli eventuali sviluppi giurisprudenziali relativi alla validita’ del DPF, e si impegna ad aggiornare la presente Informativa e, se necessario, le basi giuridiche dei trasferimenti.
Per ulteriori informazioni sulle garanzie applicate ai trasferimenti internazionali di dati, compresi copia o riferimento alle Clausole Contrattuali Tipo eventualmente in uso, l’interessato puo’ scrivere a info@justbob.it.
10. METODI E SICUREZZA DEL TRATTAMENTO
I dati personali sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalita’ indicate nella presente Informativa e, in ogni caso, in modo tale da garantirne la sicurezza e l’integrita’.
Ai sensi dell’Art. 32 del GDPR, il Titolare applica misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, tra cui:
- Cifratura delle comunicazioni tramite protocollo HTTPS (TLS 1.2/1.3) su tutto il Sito
- Memorizzazione delle password mediante algoritmi di hashing sicuro (bcrypt/scrypt)
- Restrizione dell’accesso ai dati personali al solo personale espressamente autorizzato, con credenziali individuali
- Copie di sicurezza (backup) giornalieri e settimanali dei sistemi e dei database, conservate in forma cifrata
- Monitoraggio dei log di accesso per la rilevazione di tentativi di accesso non autorizzato
- Aggiornamento periodico del CMS, dei plugin e del software utilizzato
- Infrastruttura di hosting conforme agli standard di sicurezza dichiarati dal fornitore
Processi decisionali automatizzati ed elaborazione di profili: il Titolare non effettua processi decisionali automatizzati ne’ attivita’ di elaborazione di profili che producano effetti giuridici o incidano in modo analogamente significativo sull’interessato, ai sensi dell’Art. 22 del GDPR.
Violazione dei dati personali (data breach): il Titolare ha adottato una procedura interna per la gestione delle violazioni dei dati personali, che disciplina le modalita’ di rilevazione, analisi, classificazione del rischio, notificazione e comunicazione, nonche’ di aggiornamento del registro interno delle violazioni. In caso di violazione dei dati personali suscettibile di presentare un rischio per i diritti e le liberta’ delle persone fisiche, il Titolare notifichera’ l’autorita’ di controllo competente entro 72 ore dalla scoperta ai sensi dell’Art. 33 del GDPR e, qualora la violazione presenti un rischio elevato, comunichera’ l’evento agli interessati senza ingiustificato ritardo ai sensi dell’Art. 34 del GDPR. Nell’ambito del meccanismo one-stop-shop, l’autorita’ competente a ricevere la notifica e’ l’autorita’ capofila, fatta salva la cooperazione con le autorita’ nazionali interessate, inclusa, per gli utenti italiani, il Garante per la protezione dei dati personali.
Qualora la violazione comporti un rischio elevato per i diritti e le liberta’ degli interessati, la comunicazione agli interessati avverra’ tramite email all’indirizzo comunicato dall’utente al Titolare, descrivendo in linguaggio semplice e chiaro la natura della violazione, le probabili conseguenze, le misure adottate o proposte per porvi rimedio e per attenuarne i possibili effetti, nonche’ i dati di contatto per ottenere ulteriori informazioni.
11. PERIODI DI CONSERVAZIONE DEI DATI
I dati personali sono conservati per il tempo strettamente necessario a realizzare le finalita’ per le quali sono stati raccolti e, in ogni caso, nel rispetto dei seguenti periodi:
| Finalita’ | Periodo di conservazione | Base giuridica |
|---|---|---|
| Gestione ordini e documentazione contabile/fiscale | 10 anni dall’ultima registrazione | Art. 2220 c.c.; D.P.R. 600/1973 (accertamento imposte sui redditi, Art. 22); D.P.R. 633/1972 (IVA, Art. 39) |
| Dati dell’account utente | Fino alla richiesta di cancellazione da parte dell’utente, oltre 10 anni per prescrizione ordinaria | Art. 6(1)(b) GDPR; Art. 2946 c.c. |
| Assistenza clienti | 3 anni dall’ultima comunicazione | Art. 6(1)(b) GDPR; ragionevolezza in relazione alla prescrizione ordinaria |
| Comunicazioni commerciali (newsletter) | Fino alla revoca del consenso o all’opposizione dell’interessato | Art. 6(1)(a) GDPR; Art. 21(3) GDPR; Art. 130 D.Lgs. 196/2003 |
| Monitoraggio tecnico del Sito (Google Analytics 4, anonimizzato) | 14 mesi massimo (configurazione difensiva GA4) | Art. 6(1)(f) GDPR, interesse legittimo |
| Dati di navigazione (log del server) | 12 mesi | Art. 6(1)(f) GDPR, interesse legittimo alla sicurezza del sistema |
| Dati relativi all’esercizio dei diritti dell’interessato | 3 anni dall’ultima richiesta | Art. 6(1)(c) GDPR; principio di accountability (Art. 5(2) GDPR) |
Trascorsi i periodi indicati, i dati personali saranno eliminati in modo sicuro o anonimizzati in modo irreversibile, fatti salvi gli obblighi di legge che richiedano la conservazione per periodi superiori (ad esempio, obblighi fiscali, antiriciclaggio, tutela giurisdizionale).
Nota sul termine decennale fiscale italiano: la normativa italiana fissa in dieci anni il periodo di conservazione delle scritture contabili, delle fatture, della corrispondenza commerciale e dei documenti giustificativi delle operazioni aziendali (Art. 2220 c.c.), allineato al termine di prescrizione ordinaria dei diritti (Art. 2946 c.c.). Tale periodo prevale sugli eventuali termini piu’ brevi previsti da altre normative nazionali, in ragione della residenza italiana degli utenti del Sito e della natura delle operazioni effettuate.
Criteri di determinazione dei periodi di conservazione: per le finalita’ per le quali non e’ indicato un termine preciso, il Titolare determina il periodo di conservazione dei dati in base a: (i) durata della relazione contrattuale o pre-contrattuale con l’interessato; (ii) eventuali obblighi di legge, regolamentari o di conservazione imposti alle parti contraenti; (iii) termini di prescrizione applicabili alle azioni esercitabili contro il Titolare; (iv) raccomandazioni del Garante o dell’EDPB in materia di minimizzazione della conservazione.
12. DIRITTI DELL’INTERESSATO
Ai sensi degli articoli 15-22 del GDPR, l’interessato ha i seguenti diritti nei confronti del Titolare:
| Diritto | Descrizione | Articolo GDPR |
|---|---|---|
| Accesso | Ottenere conferma che sia o meno in corso un trattamento dei propri dati personali e, in tal caso, accedere ai dati stessi e alle informazioni relative al trattamento | Art. 15 |
| Rettifica | Chiedere la correzione di dati personali inesatti o l’integrazione di dati incompleti | Art. 16 |
| Cancellazione (diritto all’oblio) | Chiedere la cancellazione dei propri dati personali quando non sono piu’ necessari per le finalita’ per cui sono stati raccolti, in caso di revoca del consenso, in caso di opposizione, in caso di trattamento illecito o per adempiere a un obbligo legale | Art. 17 |
| Limitazione del trattamento | Chiedere la sospensione temporanea del trattamento in determinate circostanze (contestazione dell’esattezza, trattamento illecito, necessita’ dei dati per difesa in giudizio, pendenza di opposizione) | Art. 18 |
| Portabilita’ | Ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli ad altro titolare, quando il trattamento e’ basato sul consenso o sull’esecuzione di un contratto ed e’ effettuato con mezzi automatizzati | Art. 20 |
| Opposizione | Opporsi al trattamento dei propri dati per motivi connessi alla propria situazione particolare, in particolare quando la base giuridica e’ l’interesse legittimo. Per il marketing diretto il diritto di opposizione e’ assoluto e incondizionato | Art. 21 |
| Revoca del consenso | Revocare in qualsiasi momento il consenso prestato, con la stessa facilita’ con cui e’ stato prestato, senza che cio’ pregiudichi la liceita’ del trattamento anteriore alla revoca | Art. 7(3) |
| Non essere sottoposto a decisioni automatizzate | Non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici o incida in modo analogamente significativo sull’interessato | Art. 22 |
12.1 Come esercitare i diritti
L’interessato puo’ esercitare uno o piu’ di questi diritti inviando una richiesta al Titolare attraverso i seguenti canali:
- Email: info@justbob.it
- Posta ordinaria: ESPACE ECOMMERCE FRANCE SARL, 16 rue Cuvier, 69006 Lyon, Francia
La richiesta dovra’ contenere nome e cognome, indirizzo email associato all’eventuale account e una descrizione chiara del diritto che si intende esercitare. Il Titolare potra’ richiedere documentazione idonea a verificare l’identita’ dell’interessato al solo fine di prevenire accessi non autorizzati ai dati di terzi, ai sensi dell’Art. 12(6) del GDPR. I documenti di identita’ richiesti a tale scopo saranno conservati per il tempo strettamente necessario alla verifica e quindi eliminati, salvo diverse disposizioni di legge.
Il Titolare puo’ richiedere all’interessato, quando necessario, ulteriori informazioni utili a confermare l’identita’ della persona che esercita i diritti, senza con cio’ aggravare in modo eccessivo l’esercizio degli stessi. Qualora il Titolare non sia in grado di identificare l’interessato sulla base delle informazioni ricevute, ne dara’ pronta comunicazione e, ai sensi dell’Art. 11(2) del GDPR, potra’ rifiutare di dare seguito alla richiesta, salva la possibilita’ per l’interessato di fornire informazioni supplementari ai fini dell’identificazione.
12.2 Tempi di risposta
Il Titolare risponde alle richieste dell’interessato entro un (1) mese dalla loro ricezione. Tale termine puo’ essere prorogato di ulteriori due (2) mesi (per un massimo complessivo di tre mesi), tenuto conto della complessita’ e del numero delle richieste pervenute, con comunicazione motivata inviata all’interessato entro il primo mese (Art. 12(3) GDPR).
La risposta alla richiesta e’ gratuita, salvo il caso di richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, per le quali il Titolare potra’ addebitare un contributo spese ragionevole o rifiutare di dare seguito (Art. 12(5) GDPR).
12.3 Reclamo all’autorita’ di controllo
Qualora l’interessato ritenga che il trattamento dei propri dati personali violi la normativa vigente, ha diritto di proporre reclamo all’autorita’ di controllo competente. Trattandosi di titolare con stabilimento principale in Francia, opera il meccanismo di cooperazione europeo dello “sportello unico” (one-stop-shop) di cui all’Art. 60 del GDPR: l’autorita’ di controllo capofila (lead supervisory authority) ai sensi dell’Art. 56 del GDPR e’ la CNIL (Commission nationale de l’informatique et des libertes), mentre l’autorita’ nazionale competente per l’utente italiano e’ il Garante per la protezione dei dati personali. L’interessato puo’ proporre reclamo indifferentemente a una delle due autorita’, oltre che all’autorita’ del proprio Stato membro di residenza, di lavoro o del luogo in cui si e’ verificata la presunta violazione (Art. 77 GDPR).
Garante per la protezione dei dati personali (Italia)
Autorita’ nazionale dell’interessato italiano
- Sede: Piazza Venezia 11, 00187 Roma
- Sito web: www.garanteprivacy.it
- Centralino: +39 06 696771
- Fax: +39 06 69677.3785
- Email protocollo: protocollo@gpdp.it
- Email URP (Ufficio Relazioni con il Pubblico): urp@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Modulistica reclamo: https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali/reclamo
Commission nationale de l’informatique et des libertes (CNIL, Francia)
Autorita’ di controllo capofila (lead supervisory authority) ai sensi dell’Art. 56 del GDPR
- Sede: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia
- Sito web: www.cnil.fr
- Telefono: +33 (0)1 53 73 22 22
L’interessato che risieda in uno Stato membro dell’Unione europea diverso dall’Italia puo’ altresi’ proporre reclamo all’autorita’ di controllo del proprio paese di residenza abituale.
In aggiunta al reclamo amministrativo, l’interessato ha il diritto di proporre un ricorso giurisdizionale effettivo nei confronti dell’autorita’ di controllo (Art. 78 GDPR) e nei confronti del Titolare (Art. 79 GDPR) davanti all’autorita’ giudiziaria competente, inclusi i giudici italiani in forza del foro del consumatore, come specificato nella sezione 15 della presente Informativa. Il ricorso giurisdizionale puo’ essere proposto in alternativa o in aggiunta al reclamo amministrativo e ha per oggetto la tutela effettiva dei diritti riconosciuti dal GDPR, compreso il diritto al risarcimento del danno ai sensi dell’Art. 82 del Regolamento.
13. MINORI
Il Sito www.justbob.it e’ riservato esclusivamente a persone maggiorenni (18 anni compiuti). Il Titolare non raccoglie ne’ tratta consapevolmente dati personali di minori di 18 anni. Qualora il Titolare venisse a conoscenza di avere trattato dati personali di un minore di 18 anni, tali dati saranno immediatamente cancellati, salvi gli obblighi di conservazione previsti dalla legge.
Ai sensi dell’Art. 2-quinquies del D.Lgs. 196/2003, introdotto dal D.Lgs. 101/2018 in attuazione dell’Art. 8, paragrafo 1, del GDPR, in Italia l’eta’ minima per esprimere un consenso valido al trattamento dei dati personali in relazione all’offerta diretta di servizi della societa’ dell’informazione e’ di 14 anni. Tale soglia normativa resta irrilevante nel caso del Sito www.justbob.it, poiche’ l’accesso al Sito e’ comunque consentito ai soli utenti di eta’ pari o superiore a 18 anni.
Se un genitore o tutore ritenesse che un minore di 18 anni abbia fornito dati personali al Titolare, puo’ scrivere a info@justbob.it richiedendo la cancellazione. Il Titolare dara’ seguito alla richiesta senza ingiustificato ritardo, adottando tutte le misure ragionevoli per verificare la titolarita’ della responsabilita’ genitoriale o tutoriale del richiedente e rispettando i diritti degli altri interessati eventualmente coinvolti.
Il Titolare adotta altresi’ misure tecniche e organizzative volte a scoraggiare l’accesso al Sito da parte di minori, ivi incluse la presenza di avvisi sull’eta’ minima richiesta, la dichiarazione dei requisiti di eta’ nelle fasi di registrazione e di checkout e il monitoraggio di eventuali pattern di accesso riconducibili a utenti minorenni.
14. MODIFICHE DELLA PRESENTE INFORMATIVA
Il Titolare si riserva il diritto di modificare o aggiornare la presente Informativa sulla Privacy in qualsiasi momento, al fine di adeguarla a novita’ legislative, orientamenti giurisprudenziali, decisioni delle autorita’ di controllo o buone pratiche del settore.
Eventuali modifiche sostanziali saranno portate a conoscenza degli utenti tramite avviso pubblicato sul Sito, con congruo preavviso prima dell’entrata in vigore delle nuove disposizioni, e, nei casi previsti dalla legge, tramite comunicazione diretta via email agli utenti registrati.
Si raccomanda all’utente di consultare periodicamente la presente Informativa. La data di “Ultimo aggiornamento” indicata in testa al documento consente di verificare quando e’ stata effettuata l’ultima modifica.
Nel caso in cui le modifiche comportino variazioni della finalita’ o della base giuridica del trattamento, il Titolare richiedera’ nuovamente il consenso dell’interessato, quando richiesto dalla normativa applicabile. Fino a quando un eventuale nuovo consenso non sia espressamente fornito, il Titolare continuera’ a trattare i dati sulla base del consenso precedentemente prestato, limitatamente alle finalita’ originariamente indicate.
15. LEGISLAZIONE APPLICABILE E FORO COMPETENTE
La presente Informativa sulla Privacy e’ disciplinata dalla legge italiana, in particolare dal GDPR, dal Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e dalle altre disposizioni nazionali applicabili, fatte salve le disposizioni imperative piu’ favorevoli al consumatore previste dalla legge del paese di sua residenza abituale, ai sensi dell’Art. 6 del Regolamento (CE) 593/2008 (“Roma I”).
Per qualsiasi controversia derivante dall’interpretazione o dall’applicazione della presente Informativa sara’ competente il foro del consumatore, individuato nel luogo di residenza o di domicilio elettivo del consumatore stesso, ai sensi del Regolamento (UE) 1215/2012 (“Bruxelles I bis”), articoli 17-19, e dell’Art. 66-bis del Codice del Consumo (D.Lgs. 206/2005). Resta in ogni caso salvo il diritto dell’interessato di proporre ricorso giurisdizionale ai sensi degli articoli 78 e 79 del GDPR.
L’utente consumatore puo’ altresi’ ricorrere agli strumenti di risoluzione alternativa delle controversie (ADR) previsti dalla normativa italiana ed europea. A tal fine, la Commissione europea rende disponibile il portale europeo di risoluzione extragiudiziale dei consumatori accessibile all’indirizzo https://consumer-redress.ec.europa.eu/, ai sensi del Regolamento (UE) 2024/3228 che ha abrogato il Regolamento (UE) n. 524/2013 con effetto dal 20 luglio 2025. L’uso di tali strumenti e’ facoltativo e non preclude il diritto di adire l’autorita’ giudiziaria competente.
16. CONTATTI
Per qualsiasi domanda, richiesta o comunicazione relativa alla presente Informativa sulla Privacy o al trattamento dei dati personali, l’interessato puo’ contattare il Titolare attraverso i seguenti canali:
ESPACE ECOMMERCE FRANCE SARL
- Indirizzo: 16 rue Cuvier, 69006 Lyon, Francia
- Email: info@justbob.it
- Sito web: www.justbob.it
Il canale preferenziale per l’esercizio dei diritti dell’interessato e per ogni comunicazione relativa al trattamento dei dati personali e’ l’indirizzo email info@justbob.it. Il servizio di assistenza del Sito e’ attivo dal lunedi’ al venerdi’, dalle 10:00 alle 17:00 (ora dell’Europa centrale), esclusi i giorni festivi.
Le richieste dell’interessato sono gestite in ordine cronologico di arrivo. In caso di richieste complesse o di particolare rilevanza, il Titolare si riserva la facolta’ di contattare l’interessato per chiedere precisazioni, al solo fine di fornire una risposta piu’ mirata e puntuale.
Per maggiore chiarezza e trasparenza, si ricorda che la presente Informativa e’ integrata dalla Cookie Policy e dalle Condizioni Generali di Vendita del Sito, documenti tutti consultabili nelle rispettive sezioni di www.justbob.it. La lettura congiunta di tutti questi documenti consente all’utente di avere un quadro completo dei propri diritti e obblighi in qualita’ di interessato e di consumatore.
