INFORMATIVA SULLA PRIVACY

Questa informativa sulla privacy descrive quali dati personali vengono trattati quando gli utenti visitano questo sito web, effettuano ordini nel negozio online o utilizzano altre offerte online. Il trattamento avviene nel rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR) e delle rispettive normative nazionali sulla protezione dei dati applicabili nell'UE.

Il responsabile ai sensi del GDPR è:

Digital Wealth OÜ
Tartu mnt 25‑7
10117 Tallinn
Estonia
E‑Mail: help@napao.de
Web: https://napao.eu/ - https://napao.es/ - https://napao.ro/ - https://napao.de/

Questa informativa sulla privacy si applica a tutti i siti web e negozi online gestiti da Digital Wealth OÜ sotto i domini e sottodomini napao.de, napao.ro, napao.es nonché i loro sottodomini (ad esempio shop.napao.de, shop.napao.ro, shop.napao.es) e, se del caso, ulteriori domini specifici per paese o marchio, purché venga fatto riferimento a questa informativa sulla privacy.

I dati personali sono tutte le informazioni relative a una persona identificata o identificabile.
Il trattamento segue in particolare questi principi (Art. 5 GDPR): limitazione della finalità, minimizzazione dei dati, liceità, trasparenza, esattezza, limitazione della conservazione, integrità e riservatezza nonché responsabilità.

Le basi giuridiche sono in particolare l'art. 6, par. 1, lett. a GDPR (consenso), lett. b (esecuzione del contratto), lett. c (obbligo legale) e lett. f (interesse legittimo).

Quando si accede al sito web, il provider di hosting elabora automaticamente dati tecnici, ad esempio:

• Indirizzo IP
• Data e ora dell'accesso
• Pagine/URL visitate
• URL di riferimento
• Browser e sistema operativo utilizzati

Finalità: fornitura tecnica del sito web, sicurezza IT, analisi degli errori.
Base giuridica: Art. 6 comma 1 lett. f GDPR (interesse legittimo a un funzionamento sicuro e stabile).
Durata della conservazione: i dati di log vengono generalmente cancellati dopo breve tempo, salvo che non sia necessaria una conservazione più lunga per motivi di prova o sicurezza.

Quando si crea un account cliente o si effettua un ordine, vengono elaborati, tra gli altri, i seguenti dati:

• Dati anagrafici (nome, eventualmente azienda)
• Indirizzo di fatturazione e di consegna
• Indirizzo e-mail, eventualmente numero di telefono
• Dati di accesso (e-mail, hash della password)
• Informazioni sull'ordine, pagamento e spedizione
• Comunicazioni (ad es. richieste di supporto)

Finalità: gestione dell'account, elaborazione degli ordini, consegna, gestione dei pagamenti, fatturazione, assistenza clienti, adempimento degli obblighi di conservazione.
Base giuridica: art. 6 par. 1 lett. b GDPR (contratto/avvio del contratto), lett. c (obblighi legali) e lett. f (interesse legittimo all'organizzazione efficiente dei processi).

Durata della conservazione:

• Dati contrattuali e di fatturazione: di norma 7–10 anni secondo le disposizioni di legge
• Dati dell'account: fino alla cancellazione dell'account o finché sussistono obblighi legali

Il sito web utilizza cookie e tecnologie simili (ad es. Local Storage) per fornire funzionalità, analizzare l'utilizzo e, se necessario, mostrare marketing.​

Categorie di cookie:

• cookie tecnicamente necessari (ad es. carrello, login, lingua, sicurezza)
• cookie di funzionalità/preferenze
• cookie di statistica/analisi
• cookie di marketing/tracciamento

I cookie non necessari vengono impostati solo previo consenso tramite uno strumento di consenso (ad es. Pandectes GDPR Compliance). Il consenso può essere modificato o revocato in qualsiasi momento tramite il banner dei cookie o le «Impostazioni cookie».​

Base giuridica:

• cookie necessari: art. 6 par. 1 lett. f GDPR (interesse legittimo alla gestione del negozio)
• tutti gli altri cookie/tracker: art. 6 par. 1 lett. a GDPR (consenso)

Dettagli sui cookie utilizzati (nome, fornitore, scopo, durata di conservazione, categoria) sono disponibili nella politica sui cookie sul sito web.

Per i pop-up per la raccolta di indirizzi e-mail o altri dati (ad esempio l'app Pop-Converter) vengono elaborati i dati inseriti nel modulo (ad esempio e-mail, nome, lingua, eventuali consensi al marketing).
Finalità: acquisizione lead, newsletter, offerte di sconto o campagne.
Base giuridica: consenso (art. 6 comma 1 lett. a GDPR) o art. 6 comma 1 lett. b GDPR, se i dati sono necessari direttamente per un contratto.

Per fornire i contenuti in più lingue viene utilizzata un'app di traduzione/internazionalizzazione (ad es. Shopify „Translate & Adapt“ o simili). Possono essere utilizzati cookie o tecnologie simili per memorizzare la lingua selezionata.​

Questi cookie linguistici sono generalmente tecnicamente necessari per visualizzare i contenuti nella lingua scelta.
Base giuridica: Art. 6 comma 1 lett. f GDPR (interesse legittimo a un sito web multilingue e user-friendly); nella misura in cui superano il necessario, eventualmente Art. 6 comma 1 lett. a GDPR.

Il negozio è gestito con Shopify. Il fornitore per i clienti UE/SEE è:

Shopify International Ltd.
2nd Floor, Victoria Buildings, 1‑2 Haddington Road
Dublino 4, D04 XN32, Irlanda

Shopify elabora dati dei clienti, ordini, pagamenti e dati di utilizzo come responsabile del trattamento e in parte come titolare autonomo (ad esempio per obblighi legali propri). I dati possono essere trasmessi a società Shopify al di fuori dell’UE/SEE; in tal caso vengono utilizzate, tra l’altro, clausole contrattuali standard per garantire un adeguato livello di protezione.​

Base giuridica: Art. 6 par. 1 lett. b GDPR (esecuzione del contratto) e Art. 6 par. 1 lett. f GDPR (interesse legittimo a un sistema di negozio professionale).
Ulteriori informazioni: https://www.shopify.com/legal/privacy

Per i pagamenti vengono utilizzati fornitori di servizi di pagamento (ad esempio Shopify Payments, Stripe e eventualmente altri fornitori a seconda del metodo di pagamento scelto). Vengono elaborati, tra gli altri:

• Nome, indirizzo di fatturazione e di consegna
• Indirizzo e-mail
• Dati di pagamento (ad esempio dati della carta, IBAN, token)
• Dati di transazione (importo, valuta, data, stato)
• Indirizzo IP, informazioni sul dispositivo e sul browser

Finalità: gestione dei pagamenti, prevenzione delle frodi, adempimento degli obblighi legali dei fornitori di servizi di pagamento (ad esempio antiriciclaggio, normativa di vigilanza).
Base giuridica: art. 6 par. 1 lett. b GDPR, art. 6 par. 1 lett. c GDPR e art. 6 par. 1 lett. f GDPR.

I fornitori di servizi di pagamento agiscono talvolta come responsabili autonomi. I dettagli sono disponibili nelle loro informative sulla privacy (ad esempio Stripe: https://stripe.com/privacy).

Dopo il consenso possono essere utilizzati strumenti di analisi e marketing, ad esempio:

• Google Analytics (analisi dell'utilizzo)
• Google Ads / Remarketing (pubblicità, retargeting)

Il fornitore è generalmente Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda. Vengono trattati, tra gli altri, indirizzo IP, dati del dispositivo e del browser, dati di utilizzo e di evento (visualizzazioni di pagina, clic, durata della permanenza, conversioni). Possono verificarsi trasferimenti verso paesi terzi (ad esempio USA).​

Base giuridica: consenso (art. 6 par. 1 lett. a GDPR), fornito tramite il banner dei cookie. Il consenso può essere revocato in qualsiasi momento.

Dettagli: informazioni sulla privacy di Google (https://policies.google.com/privacy) e politica sui cookie.

Per la newsletter vengono elaborati l'indirizzo e-mail e, se del caso, nome/preferenze. Iscrizione con procedura di doppio consenso (Double-Opt-In).

Scopo: invio di informazioni su prodotti, promozioni e l'azienda.
Base giuridica: consenso (Art. 6 par. 1 lett. a GDPR).

Disiscrizione tramite link in ogni e-mail della newsletter o contattandoci

Quando si utilizza un programma di affiliazione/partner, vengono elaborati, tra l'altro:

• ID affiliato, parametri della campagna, momento del clic
• Dati di ordine e di fatturato (ad esempio numero d'ordine, valore del carrello, paese)
• Informazioni sui cookie/tracciamento

Scopo: attribuzione delle vendite ai partner, calcolo delle commissioni.
Base giuridica: Art. 6 par. 1 lett. f GDPR (interesse legittimo). Se vengono utilizzati cookie/tracker, è necessaria inoltre il consenso ai sensi dell'Art. 6 par. 1 lett. a GDPR.

In caso di contatto tramite modulo, e-mail o altri canali, i dati forniti vengono elaborati (ad esempio nome, e-mail, Contenuto del messaggio).

Scopo: gestione della richiesta, supporto.
Base giuridica: Art. 6 par. 1 lett. b GDPR (contratto/avvio) o Art. 6 par. 1 lett. f GDPR (interesse legittimo al supporto).

Per la protezione di moduli e servizi può essere utilizzato hCaptcha di Intuition Machines, Inc. Vengono elaborati, tra gli altri, indirizzo IP, informazioni su browser/dispositivo, interazioni con mouse/tastiera e altri dati tecnici per riconoscere i bot. I dati possono essere trasferiti in paesi terzi (ad es. USA), hCaptcha utilizza propri cookie/meccanismi di tracciamento.

Finalità: protezione da abusi, spam, attacchi tecnici.
Base giuridica: art. 6 par. 1 lett. f GDPR (interesse legittimo); qualora sia richiesto un opt-in tramite banner cookie, art. 6 par. 1 lett. a GDPR.

Ulteriori informazioni: https://www.hcaptcha.com/privacy

A seconda del procedimento, i dati vengono trasmessi alle seguenti categorie di destinatari:

• Fornitori di hosting, IT e servizi cloud
• Fornitori di servizi di pagamento e banche
• Fornitori di servizi logistici e di spedizione
• Fornitori di servizi di analisi e marketing (previo consenso)
• Partner affiliati e di tracciamento (previo consenso)
• Consulenti legali e fiscali, autorità, tribunali (nell’ambito di obblighi/applicazione della legge)

Tutti i fornitori sono contrattualmente obbligati a rispettare la protezione dei dati.

Quando i dati vengono trasmessi a destinatari in paesi terzi (al di fuori dell'UE/SEE), ciò avviene fondamentalmente solo in caso di:

• decisione di adeguatezza della Commissione UE oppure
• utilizzo di clausole contrattuali standard e misure di protezione supplementari.​

Informazioni sui meccanismi specifici si trovano nelle informative sulla privacy dei fornitori terzi (ad es. Shopify, Google, fornitori di servizi di pagamento).

I dati personali vengono conservati solo per il tempo necessario agli scopi previsti o come richiesto da obblighi legali. Scadenze tipiche:

• Dati contrattuali e di fatturazione: di norma 7–10 anni
• Dati del conto: fino alla cancellazione del conto o alla scadenza di tutti gli obblighi
• Dati della newsletter: fino alla cancellazione; dati di prova più a lungo
• Dati di protocollo/sicurezza: periodi brevi, se non rilevanti per la sicurezza
• Cookie/Tracking: a seconda dello strumento – vedi politica sui cookie

Gli interessati hanno, ai sensi del GDPR, tra gli altri, i seguenti diritti:

• Diritto di accesso (Art. 15)
• Rettifica (Art. 16)
• Cancellazione (Art. 17)
• Limitazione del trattamento (Art. 18)
• Portabilità dei dati (Art. 20)
• Opposizione al trattamento basato sull'Art. 6 comma 1 lettera f del GDPR (Art. 21)
• Revoca del consenso con effetto per il futuro (Art. 7 comma 3)

Per esercitare questi diritti è sufficiente inviare un messaggio ai recapiti sopra indicati.

Esiste il diritto di presentare un reclamo a un'autorità di controllo della protezione dei dati, in particolare nello Stato membro dell'UE del proprio luogo di residenza abituale, luogo di lavoro o del presunto illecito (Art. 77 GDPR).

Vengono adottate misure tecniche e organizzative per proteggere i dati da perdita, distruzione, accesso non autorizzato o manipolazione (ad esempio restrizioni di accesso, crittografia, monitoraggio della sicurezza). Il sito web utilizza la crittografia TLS/SSL (riconoscibile da "https://" e dal simbolo del lucchetto nel browser).

Il trattamento dei dati personali è principalmente regolato dal GDPR e dalla normativa estone sulla protezione dei dati. Per gli utenti di altri Stati membri dell'UE si applicano inoltre le rispettive normative nazionali sulla protezione dei dati e le competenze delle autorità di controllo.

• Germania
  Le autorità competenti sono le rispettive autorità regionali per la protezione dei dati; una panoramica è disponibile su https://www.datenschutzkonferenz-online.de. Per il direct marketing e le newsletter rispettiamo inoltre la legge contro la concorrenza sleale (UWG).
• Austria
  L’autorità competente è l’Autorità Austriaca per la Protezione dei Dati (www.dsb.gv.at). Per la comunicazione elettronica e i cookie consideriamo inoltre le normative nazionali sulle telecomunicazioni e sul commercio elettronico.
• Spagna
  L’autorità competente è l’Agencia Española de Protección de Datos (AEPD, www.aepd.es). Per i servizi online si applicano inoltre le disposizioni della legge sui servizi della società dell’informazione e sul commercio elettronico (LSSI).
• Italia
  L’autorità competente è il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it). Il direct marketing elettronico avviene secondo le disposizioni italiane sul consenso e sulle possibilità di opt-out.
• Francia
  L’autorità competente è la Commission Nationale de l’Informatique et des Libertés (CNIL, www.cnil.fr). Consideriamo in particolare le linee guida pubblicate dalla CNIL su cookie e tracciamento online.
• Belgio
  L’autorità competente è la Gegevensbeschermingsautoriteit / Autorité de protection des données (www.gegevensbeschermingsautoriteit.be). Allineiamo le impostazioni di cookie e tracciamento alle linee guida belghe.
• Paesi Bassi
  L’autorità competente è l’Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl). Per cookie e marketing online consideriamo le disposizioni olandesi su consenso e trasparenza.
• Portogallo
  L’autorità competente è la Comissão Nacional de Proteção de Dados (CNPD, www.cnpd.pt). Le informative sulla privacy e i testi di consenso sono forniti in lingua portoghese quando ci rivolgiamo a utenti portoghesi.
• Romania
  L’autorità competente è l’Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP, www.dataprotection.ro). Le informazioni rilevanti sono offerte in lingua rumena per gli utenti rumeni.
• Ungheria
  L’autorità competente è la Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH, www.naih.hu). Il trattamento dei dati personali avviene in conformità con le norme ungheresi di attuazione del GDPR.
• Repubblica Ceca
  L’autorità competente è l’Úřad pro ochranu osobních údajů (www.uoou.cz). La protezione dei dati online e l’uso dei cookie sono conformi alle norme ceche sulla privacy e sul commercio elettronico.
• Slovacchia
  L’autorità competente è l’Úrad na ochranu osobných údajov Slovenskej republiky (www.dataprotection.gov.sk). Rispettiamo le normative slovacche sul trattamento dei dati personali e sulla comunicazione elettronica.
• Slovenia
  L’autorità competente è l’Informacijski pooblaščenec (www.ip-rs.si). Nell’uso di cookie e strumenti di marketing ci orientiamo alle linee guida slovene sul consenso.

Questa informativa sulla privacy può essere modificata in caso di cambiamenti nelle condizioni legali, nei servizi utilizzati o nei processi interni. Vale sempre la versione attuale pubblicata sul sito web. In caso di modifiche sostanziali, può essere fornita un'informazione separata (ad esempio banner, avviso nel negozio).

Manteniamo questa informativa sulla privacy il più aggiornata e corretta possibile. Tuttavia, può capitare che alcune informazioni siano incomplete o non più del tutto aggiornate. Se noti qualcosa, faccelo sapere brevemente in modo che possiamo correggerlo.