Privacy Policy

DRAFT — requires legal review before publishing

> This document is a working draft. It must be reviewed and approved by a qualified Italian/EU legal advisor before it is published on the Pellovia store. All [PLACEHOLDER: ...] values must be completed, and the identity of the Titolare del trattamento, the list of processors/recipients (Shopify, payment provider, carrier), the retention periods, and any transfers outside the EEA must be confirmed against the live setup before go-live.


Note interne (non pubblicare)

  • Titolare del trattamento: l'identità e i contatti del Titolare vanno confermati e inseriti al posto dei placeholder. Devono coincidere con la ragione sociale, la P.IVA e la sede legale usate alla cassa e nelle altre pagine legali (spedizioni, resi, termini).
  • DPO: la nomina di un Responsabile della protezione dei dati (DPO) non è obbligatoria per un negozio di questo tipo. Inserire i contatti solo se un DPO viene effettivamente nominato; altrimenti rimuovere la sezione, non lasciare il placeholder.
  • Responsabili del trattamento (art. 28 GDPR): i nomi reali di Shopify, del fornitore di pagamento e del corriere vanno inseriti al posto dei placeholder, e per ciascuno deve esistere un accordo sul trattamento dei dati (DPA). Verificare eventuali trasferimenti extra-UE e le relative garanzie (SCC / adeguatezza).
  • Cookie: questa informativa rinvia alla Cookie Policy per cookie, analytics e strumenti di marketing. Non duplicare qui l'elenco dei cookie; tenerlo nella Cookie Policy e mantenere i due documenti coerenti.
  • Retention: i periodi di conservazione indicati (10 anni fiscali, ecc.) sono standard di riferimento e vanno confermati dal commercialista/legale.
  • Coerenza: valuta EUR, prezzi IVA inclusa, mercato Italia + UE — allineare a checkout/checkout-configuration.md e legal/shipping-policy.md.

Informativa sulla privacy

_Versione italiana (mercato primario)_

Ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (Codice Privacy), questa informativa spiega quali dati personali trattiamo quando visiti il sito Pellovia o effettui un ordine, per quali finalità, su quali basi giuridiche, con chi li condividiamo e quali diritti puoi esercitare.

In breve

  • Trattiamo i tuoi dati solo per le finalità indicate qui sotto: gestire il tuo ordine, il tuo account, le comunicazioni di marketing (se acconsenti) e gli obblighi di legge.
  • Non vendiamo i tuoi dati personali.
  • Il marketing via e-mail richiede il tuo consenso esplicito: la casella alla cassa non è mai preselezionata e puoi disiscriverti in qualsiasi momento.
  • Puoi accedere, correggere, cancellare, limitare, opporti e portare con te i tuoi dati, e proporre reclamo al Garante.
  • Per cookie, analytics e strumenti simili vedi la [Cookie Policy](#) — [PLACEHOLDER: inserire link alla Cookie Policy].

Titolare del trattamento

Il Titolare del trattamento è:

  • Ragione sociale: [PLACEHOLDER: Ragione sociale]
  • Partita IVA: [PLACEHOLDER: Partita IVA]
  • Sede legale: [PLACEHOLDER: Sede legale]
  • E-mail (privacy): [PLACEHOLDER: email — es. privacy@pellovia.com]
  • PEC: [PLACEHOLDER: PEC]

Responsabile della protezione dei dati (DPO): [PLACEHOLDER: DPO se nominato]. La nomina di un DPO non è obbligatoria per questa attività; se non è nominato, il riferimento per le richieste privacy resta l'indirizzo e-mail del Titolare sopra indicato.

Quali dati trattiamo

Trattiamo solo i dati necessari alle finalità indicate. A seconda di come usi il sito, possiamo trattare le seguenti categorie:

Categoria Esempi di dati Origine
Dati dell'ordine prodotti acquistati, importo, data, numero d'ordine, cronologia acquisti forniti da te alla cassa
Dati dell'account (se crei un account) nome, cognome, e-mail, password (in forma cifrata), preferenze, indirizzi salvati forniti da te
Dati di pagamento esito della transazione, ultime cifre/tipo di carta, identificativo del pagamento dal fornitore di pagamento — non conserviamo i dati completi della carta
Dati di spedizione nome, indirizzo di consegna e fatturazione, telefono, e-mail forniti da te; condivisi con il corriere
Dati di marketing consenso e stato dell'iscrizione, aperture/click delle e-mail, preferenze il tuo consenso e l'interazione con le nostre e-mail
Dati di analytics e navigazione pagine viste, dispositivo, browser, indirizzo IP, identificativi tecnici raccolti automaticamente, secondo la Cookie Policy
Cookie e tecnologie simili cookie tecnici, statistici, di marketing vedi la Cookie Policy
Comunicazioni di assistenza messaggi che ci invii, contenuto della richiesta forniti da te

Non raccogliamo intenzionalmente categorie particolari di dati (art. 9 GDPR). Ti invitiamo a non inviarci dati sensibili nelle comunicazioni di assistenza.

Finalità, basi giuridiche e conservazione

Finalità Base giuridica (GDPR) Conservazione
Gestire ed evadere il tuo ordine (contratto di vendita, spedizione, assistenza post-vendita, resi) Esecuzione del contratto — art. 6(1)(b) per la durata del rapporto e finché necessario alla gestione di resi/garanzie
Adempimenti fiscali e contabili (fatture, registri IVA) Obbligo legale — art. 6(1)(c) 10 anni dalla transazione (obblighi civilistici e fiscali) — [PLACEHOLDER: confermare con il commercialista]
Gestire il tuo account cliente Esecuzione del contratto / consenso — art. 6(1)(b)/(a) finché l'account resta attivo; cancellato su richiesta
Inviarti comunicazioni di marketing via e-mail Consenso — art. 6(1)(a) fino alla revoca del consenso (disiscrizione)
Prevenzione frodi e sicurezza dei pagamenti Legittimo interesse — art. 6(1)(f) il tempo necessario alla verifica, poi cancellazione/anonimizzazione
Migliorare il sito con statistiche di navigazione (analytics) Consenso (per cookie non tecnici) o legittimo interesse (statistiche aggregate/anonime) — vedi Cookie Policy secondo la Cookie Policy
Difendere o far valere un diritto in sede legale Legittimo interesse — art. 6(1)(f) fino al termine di prescrizione applicabile

Dove la base è il legittimo interesse, abbiamo valutato che il trattamento non comprima i tuoi diritti e libertà; puoi comunque opporti (vedi sotto). Dove la base è il consenso, puoi revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

A chi comunichiamo i dati (responsabili e destinatari)

Non vendiamo i tuoi dati. Li comunichiamo solo ai soggetti che ci aiutano a fornirti il servizio, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR e vincolati da un accordo sul trattamento dei dati:

  • Piattaforma e hosting del negozio — [PLACEHOLDER: Shopify] (gestione del sito, del carrello e dell'ordine).
  • Fornitore di pagamento — [PLACEHOLDER: fornitore di pagamento] (elaborazione sicura del pagamento; tratta i dati della carta come titolare/contitolare autonomo per gli obblighi antifrode e PCI-DSS).
  • Corriere / spedizioniere — [PLACEHOLDER: corriere] (consegna del pacco: riceve i soli dati necessari alla consegna).
  • Strumenti di e-mail e marketing — [PLACEHOLDER: fornitore e-mail/marketing] (invio delle e-mail transazionali e, previo consenso, di marketing).
  • Consulenti e fornitori — commercialista, consulenti legali/IT, ove necessario per obblighi di legge o per il servizio.
  • Autorità — pubbliche autorità, quando richiesto dalla legge.

L'elenco aggiornato dei responsabili del trattamento è disponibile su richiesta scrivendo al Titolare.

Trasferimenti di dati fuori dall'UE/SEE

I dati sono trattati di norma nell'Unione Europea / Spazio Economico Europeo. Alcuni fornitori (es. la piattaforma del negozio o strumenti di analytics/marketing) potrebbero trattare dati al di fuori del SEE. In tal caso il trasferimento avviene solo verso paesi con decisione di adeguatezza della Commissione europea oppure sulla base di garanzie adeguate ai sensi degli artt. 44-49 GDPR (in particolare le Clausole Contrattuali Standard). [PLACEHOLDER: confermare i paesi di destinazione e le garanzie in essere per Shopify, il fornitore di pagamento e gli strumenti di marketing.]

Cookie e tecnologie di tracciamento

Il sito usa cookie e tecnologie simili. I cookie tecnici sono necessari al funzionamento; i cookie statistici e di marketing sono installati solo con il tuo consenso, prestato tramite il banner. Puoi gestire o revocare le tue scelte in qualsiasi momento. Tutti i dettagli — tipologie, finalità, durata e terze parti — sono nella Cookie Policy: [PLACEHOLDER: inserire link alla Cookie Policy]. Questa sezione è redatta in coerenza con la normativa ePrivacy e le Linee guida cookie del Garante.

Come proteggiamo i dati

Adottiamo misure tecniche e organizzative adeguate al rischio: connessioni cifrate (HTTPS), accesso limitato al personale autorizzato, fornitori selezionati con obblighi contrattuali di sicurezza. I dati della carta di pagamento sono gestiti dal fornitore di pagamento in ambiente conforme allo standard PCI-DSS; noi non li conserviamo.

I tuoi diritti

In qualsiasi momento, e gratuitamente, puoi esercitare i seguenti diritti (artt. 15-22 GDPR):

  • Accesso — sapere se trattiamo i tuoi dati e riceverne copia.
  • Rettifica — correggere dati inesatti o incompleti.
  • Cancellazione ("diritto all'oblio") — chiedere l'eliminazione dei dati, nei limiti degli obblighi di legge.
  • Limitazione — chiedere la sospensione del trattamento in determinati casi.
  • Portabilità — ricevere i dati in formato strutturato e leggibile da dispositivo automatico, o farli trasmettere a un altro titolare.
  • Opposizione — opporti al trattamento fondato sul legittimo interesse, e in ogni momento al marketing diretto.
  • Revoca del consenso — ritirare un consenso già prestato, senza effetto retroattivo.

Per esercitare questi diritti scrivi a [PLACEHOLDER: email — es. privacy@pellovia.com] (o alla PEC [PLACEHOLDER: PEC]). Rispondiamo entro un mese, prorogabile fino a tre mesi per richieste complesse, dandotene comunicazione.

Reclamo al Garante

Se ritieni che il trattamento dei tuoi dati violi la normativa, puoi proporre reclamo all'autorità di controllo: il Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — [www.garanteprivacy.it](https://www.garanteprivacy.it)), fatta salva ogni altra azione in sede amministrativa o giudiziale.

Dati di minori

Il sito e i prodotti sono rivolti a un pubblico adulto. Non raccogliamo consapevolmente dati di minori di 14 anni. Se ritieni che un minore ci abbia fornito dati, contattaci e provvederemo a cancellarli.

Modifiche a questa informativa

Possiamo aggiornare questa informativa per adeguarla alla normativa o al servizio. La versione pubblicata sul sito è quella vigente; in caso di modifiche sostanziali te ne daremo avviso. Verifica sempre la data di ultimo aggiornamento.

Contatti

  • [PLACEHOLDER: Ragione sociale] — P. IVA [PLACEHOLDER: Partita IVA]
  • Sede legale: [PLACEHOLDER: Sede legale]
  • Privacy: [PLACEHOLDER: email — es. privacy@pellovia.com] — PEC: [PLACEHOLDER: PEC]

_Ultimo aggiornamento: [PLACEHOLDER: data]._



Privacy Policy

_English version_

Under Regulation (EU) 2016/679 (GDPR) and Italian data protection law (Legislative Decree 196/2003 as amended by Legislative Decree 101/2018), this policy explains which personal data we process when you visit the Pellovia site or place an order, for what purposes, on what legal bases, who we share it with, and the rights you can exercise.

At a glance

  • We process your data only for the purposes set out below: handling your order, your account, marketing (if you consent), and legal obligations.
  • We do not sell your personal data.
  • Email marketing requires your explicit consent: the checkout box is never pre-ticked, and you can unsubscribe at any time.
  • You can access, rectify, erase, restrict, object to and port your data, and lodge a complaint with the Garante.
  • For cookies, analytics and similar tools, see the [Cookie Policy](#) — [PLACEHOLDER: insert link to the Cookie Policy].

Data controller

The data controller is:

  • Company legal name: [PLACEHOLDER: Ragione sociale]
  • VAT number (Partita IVA): [PLACEHOLDER: Partita IVA]
  • Registered address: [PLACEHOLDER: Sede legale]
  • Email (privacy): [PLACEHOLDER: email — es. privacy@pellovia.com]
  • Certified email (PEC): [PLACEHOLDER: PEC]

Data Protection Officer (DPO): [PLACEHOLDER: DPO se nominato]. Appointing a DPO is not mandatory for this business; if none is appointed, the contact point for privacy requests remains the controller's email above.

What data we process

We process only the data needed for the purposes below. Depending on how you use the site, this may include:

Category Examples Source
Order data products purchased, amount, date, order number, purchase history provided by you at checkout
Account data (if you create an account) first and last name, email, password (encrypted), preferences, saved addresses provided by you
Payment data transaction outcome, last digits/card type, payment identifier from the payment provider — we do not store full card details
Shipping data name, delivery and billing address, phone, email provided by you; shared with the carrier
Marketing data consent and subscription status, email opens/clicks, preferences your consent and interaction with our emails
Analytics and browsing data pages viewed, device, browser, IP address, technical identifiers collected automatically, per the Cookie Policy
Cookies and similar technologies technical, statistical, marketing cookies see the Cookie Policy
Support communications messages you send us, content of your request provided by you

We do not intentionally collect special categories of data (Art. 9 GDPR). Please do not send us sensitive data in support messages.

Purposes, legal bases and retention

Purpose Legal basis (GDPR) Retention
Handle and fulfil your order (sale, shipping, after-sales, returns) Performance of a contract — Art. 6(1)(b) for the duration of the relationship and as long as needed for returns/warranties
Tax and accounting obligations (invoices, VAT records) Legal obligation — Art. 6(1)(c) 10 years from the transaction (civil and tax law) — [PLACEHOLDER: confirm with the accountant]
Manage your customer account Contract / consent — Art. 6(1)(b)/(a) while the account is active; deleted on request
Send you email marketing Consent — Art. 6(1)(a) until you withdraw consent (unsubscribe)
Fraud prevention and payment security Legitimate interest — Art. 6(1)(f) as long as needed to verify, then deleted/anonymised
Improve the site with browsing statistics (analytics) Consent (non-technical cookies) or legitimate interest (aggregated/anonymous stats) — see Cookie Policy per the Cookie Policy
Establish, exercise or defend a legal claim Legitimate interest — Art. 6(1)(f) until the applicable limitation period ends

Where the basis is legitimate interest, we have assessed that the processing does not override your rights and freedoms; you may still object (see below). Where the basis is consent, you can withdraw it at any time, without affecting the lawfulness of processing carried out before withdrawal.

Who we share data with (processors and recipients)

We do not sell your data. We share it only with parties that help us provide the service, appointed as data processors under Art. 28 GDPR and bound by a data processing agreement:

  • Store platform and hosting — [PLACEHOLDER: Shopify] (running the site, cart and order).
  • Payment provider — [PLACEHOLDER: payment provider] (secure payment processing; handles card data as an independent controller for anti-fraud and PCI-DSS obligations).
  • Carrier / shipping partner — [PLACEHOLDER: carrier] (parcel delivery: receives only the data needed to deliver).
  • Email and marketing tools — [PLACEHOLDER: email/marketing provider] (transactional emails and, with your consent, marketing).
  • Advisers and suppliers — accountant, legal/IT advisers, where needed for legal obligations or the service.
  • Authorities — public authorities, where required by law.

An up-to-date list of processors is available on request by writing to the controller.

Data transfers outside the EU/EEA

Data is normally processed within the European Union / European Economic Area. Some providers (e.g. the store platform or analytics/marketing tools) may process data outside the EEA. Where this happens, transfers take place only to countries with a European Commission adequacy decision or under appropriate safeguards pursuant to Arts. 44-49 GDPR (in particular the Standard Contractual Clauses). [PLACEHOLDER: confirm destination countries and the safeguards in place for Shopify, the payment provider and marketing tools.]

Cookies and tracking technologies

The site uses cookies and similar technologies. Technical cookies are necessary for it to work; statistical and marketing cookies are set only with your consent, given via the banner. You can manage or withdraw your choices at any time. Full details — types, purposes, duration and third parties — are in the Cookie Policy: [PLACEHOLDER: insert link to the Cookie Policy]. This section is drafted in line with the ePrivacy rules and the Garante's cookie guidelines.

How we protect your data

We apply technical and organisational measures appropriate to the risk: encrypted connections (HTTPS), access limited to authorised staff, and selected providers under contractual security obligations. Card data is handled by the payment provider in a PCI-DSS compliant environment; we do not store it.

Your rights

At any time, free of charge, you can exercise the following rights (Arts. 15-22 GDPR):

  • Access — know whether we process your data and receive a copy.
  • Rectification — correct inaccurate or incomplete data.
  • Erasure ("right to be forgotten") — request deletion, subject to legal obligations.
  • Restriction — request that processing be paused in certain cases.
  • Portability — receive your data in a structured, machine-readable format, or have it sent to another controller.
  • Objection — object to processing based on legitimate interest, and at any time to direct marketing.
  • Withdrawal of consent — withdraw a consent you have given, with no retroactive effect.

To exercise these rights, write to [PLACEHOLDER: email — es. privacy@pellovia.com] (or the PEC [PLACEHOLDER: PEC]). We respond within one month, extendable up to three months for complex requests, and we will tell you if we need the extra time.

Complaint to the Garante

If you believe the processing of your data breaches the rules, you can lodge a complaint with the supervisory authority: the Italian Data Protection Authority, the Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Rome — [www.garanteprivacy.it](https://www.garanteprivacy.it)), without prejudice to any other administrative or judicial remedy.

Children's data

The site and products are intended for an adult audience. We do not knowingly collect data from children under 14. If you believe a child has provided us data, contact us and we will delete it.

Changes to this policy

We may update this policy to reflect changes in the law or our service. The version published on the site is the one in force; for material changes we will give notice. Always check the last-updated date.

Contact

  • [PLACEHOLDER: Ragione sociale] — VAT no. (Partita IVA) [PLACEHOLDER: Partita IVA]
  • Registered address: [PLACEHOLDER: Sede legale]
  • Privacy: [PLACEHOLDER: email — es. privacy@pellovia.com] — PEC: [PLACEHOLDER: PEC]

_Last updated: [PLACEHOLDER: data]._