Privacy Policy
Informativa sul trattamento dei dati personali (artt. 13-14 Reg. UE 2016/679 — GDPR)
Ultimo aggiornamento: 7 giugno 2026 · Versione: 1.0
La presente informativa descrive come Kosedicasa tratta i dati personali degli utenti e dei clienti del sito www.kosedicasa.it (di seguito il "Sito"), in conformità al Regolamento (UE) 2016/679 ("GDPR") e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy").
1. Titolare del trattamento
Il Titolare del trattamento è:
- Kosedicasa di Mancini Bruno
- Sede: Via Rio Purgatorio 12 — 01033 Civita Castellana (VT), Italia
- P.IVA: 01968610566
- REA: VT-152313
- Email: info@kosedicasa.it
Per ogni questione relativa al trattamento dei dati personali e per l'esercizio dei diritti previsti dal GDPR, l'interessato può scrivere a info@kosedicasa.it.
Responsabile della protezione dei dati (DPO): non è stato designato un DPO, in quanto il trattamento non rientra nelle ipotesi di nomina obbligatoria previste dall'art. 37 GDPR (il Titolare non è un'autorità pubblica, non effettua monitoraggio sistematico su larga scala, né tratta su larga scala categorie particolari di dati). Per ogni richiesta privacy ci si può rivolgere direttamente al Titolare ai recapiti sopra indicati.
2. Tipologie di dati trattati
A seconda dell'interazione con il Sito, il Titolare può trattare:
- Dati anagrafici e di contatto: nome, cognome, indirizzo di spedizione e di fatturazione, email, numero di telefono.
- Dati fiscali: codice fiscale, partita IVA, Codice Univoco SDI o PEC, ragione sociale e indirizzo (per clienti professionali/aziende).
- Dati relativi all'ordine: prodotti acquistati, importi, eventuali note del cliente.
- Dati di pagamento: dati della transazione gestiti tramite il fornitore Stripe (carta, PayPal, Satispay) o estremi del bonifico bancario. I dati completi della carta di pagamento non transitano né sono conservati sui sistemi del Titolare.
- Dati di account (in caso di registrazione facoltativa): email, password (conservata in forma cifrata/hash), storico ordini, indirizzi salvati.
- Dati di navigazione e statistici: raccolti tramite Google Analytics 4 (solo previo consenso), con indirizzo IP anonimizzato. Vedere la Cookie Policy.
- Dati delle richieste di assistenza: contenuto delle comunicazioni inviate tramite modulo di contatto, email o WhatsApp.
3. Finalità, basi giuridiche e periodi di conservazione
Il Titolare tratta i dati personali per le finalità indicate di seguito. Per ciascuna è precisata la base giuridica e il periodo di conservazione.
| # | Finalità del trattamento | Dati trattati | Base giuridica (GDPR) | Conservazione |
|---|---|---|---|---|
| 1 | Gestione ed esecuzione degli ordini (acquisto, conferma, consegna, gestione resi e garanzia) | Nome, indirizzo di spedizione e fatturazione, email, telefono, dettaglio ordine, note | Art. 6.1.b — esecuzione del contratto e misure precontrattuali | Per la durata del rapporto contrattuale; successivamente, a fini di prova ed esercizio/difesa di diritti, fino al termine di prescrizione ordinaria di 10 anni (art. 2946 c.c.) |
| 2 | Fatturazione e adempimenti fiscali/contabili (incl. fatturazione elettronica via SDI) | P.IVA, Codice Fiscale, Codice Univoco SDI/PEC, ragione sociale, indirizzo, dati fattura | Art. 6.1.c — adempimento di obblighi di legge (normativa fiscale e IVA) | 10 anni dall'ultima registrazione (art. 2220 c.c. e art. 22 D.P.R. 600/1973) |
| 3 | Gestione dei pagamenti | Dati della transazione (via Stripe); IBAN per bonifico | Art. 6.1.b (esecuzione del contratto) e Art. 6.1.c (obblighi contabili/antiriciclaggio) | Durata della transazione + eventuali contestazioni/chargeback; i dati contabili connessi seguono il termine di 10 anni (riga 2) |
| 4 | Spedizione e consegna | Nome, indirizzo di consegna, telefono, email (per avvisi e tracking del corriere) | Art. 6.1.b — esecuzione del contratto | Limitatamente alla spedizione; i dati confluiscono nella documentazione d'ordine (riga 1) |
| 5 | Gestione dell'account cliente (registrazione facoltativa) | Email, password (hash), dati anagrafici, storico ordini, indirizzi salvati | Art. 6.1.b — gestione del servizio richiesto dall'utente (account facoltativo, attivato dall'interessato) | Fino alla richiesta di cancellazione dell'account o a inattività prolungata (criterio fissato dal Titolare: cancellazione dopo 36 mesi di inattività). I documenti fiscali restano comunque conservati 10 anni |
| 6 | Riscontro a richieste di contatto e assistenza (modulo contatti, email, WhatsApp) | Nome, email, telefono/numero WhatsApp, contenuto della richiesta | Art. 6.1.b (riscontro a richiesta pre/post-contrattuale) o Art. 6.1.f — legittimo interesse a rispondere alle richieste ricevute | Tempo necessario a gestire la richiesta; di norma fino a 24 mesi dall'ultimo contatto, salvo richieste connesse a un ordine o alla garanzia (conservate con la relativa pratica) |
| 7 | Sicurezza del Sito, prevenzione frodi e tutela legale | Log tecnici, dati antifrode (incl. cookie tecnici Stripe al checkout) | Art. 6.1.f — legittimo interesse del Titolare a garantire la sicurezza, prevenire frodi e tutelare i propri diritti | Periodo limitato a quanto necessario per la finalità, e comunque entro i termini per l'esercizio/difesa di diritti |
| 8 | Statistiche di utilizzo del Sito (Google Analytics 4 — ID G-1HPSJTJJSR) | Dati di navigazione, identificatori statistici, IP anonimizzato, pagine/eventi | Art. 6.1.a — consenso dell'interessato (e art. 122 Codice Privacy) | Cookie fino a 2 anni; dati a livello utente/evento in GA4 secondo la retention impostata (max 14 mesi) |
Legittimo interesse (art. 13.1.d): dove il trattamento si fonda sul legittimo interesse (righe 6 e 7), l'interesse perseguito dal Titolare è, rispettivamente, rispondere efficacemente alle richieste degli utenti e garantire la sicurezza del Sito, prevenire frodi e tutelare i propri diritti in sede giudiziaria. L'interessato può opporsi a tali trattamenti ai sensi dell'art. 21 GDPR (vedere § 7).
Marketing / newsletter: allo stato il Titolare non svolge attività di newsletter o marketing diretto e non utilizza cookie di profilazione o marketing (nessun pixel Meta, Pinterest, TikTok, Google Ads). Qualora tali trattamenti fossero attivati in futuro, saranno basati sul consenso (art. 6.1.a) e l'informativa verrà aggiornata in anticipo.
4. Natura del conferimento e conseguenze del rifiuto
- Il conferimento dei dati indicati alle righe 1-4 (ordine, fatturazione, pagamento, spedizione) è necessario per concludere ed eseguire il contratto di acquisto ed emettere la fattura: il rifiuto impedisce di completare l'acquisto.
- Il conferimento dei dati per l'account cliente (riga 5) e per le richieste di assistenza (riga 6) è facoltativo, ma la mancata comunicazione impedisce di usufruire del relativo servizio.
- I dati per le statistiche (riga 8) sono trattati solo previo consenso, sempre facoltativo e revocabile: il diniego non pregiudica la navigazione e l'acquisto.
5. Destinatari dei dati e responsabili del trattamento
Per le finalità sopra indicate, i dati possono essere comunicati a soggetti terzi che agiscono come responsabili del trattamento (nominati ex art. 28 GDPR) o, in alcuni casi, come titolari autonomi. Le principali categorie di destinatari sono:
| Destinatario | Ruolo / finalità | Localizzazione |
|---|---|---|
| Stripe, Inc. / Stripe Payments Europe Ltd. | Gestione dei pagamenti elettronici (responsabile e/o titolare autonomo per i dati di pagamento) | USA / UE |
| GLS (corriere principale) ed eventualmente BRT, DHL, SDA | Spedizione e consegna degli ordini (responsabili e/o titolari autonomi per la consegna) | UE/Italia |
| Google LLC / Google Ireland Ltd. | Statistiche di utilizzo del Sito (Google Analytics 4) | USA / UE |
| Vercel, Inc. | Hosting e distribuzione del Sito (frontend) | USA |
| Medusa Cloud (fornitore dell'infrastruttura backend dell'e-commerce) | Infrastruttura applicativa / gestione dati dell'e-commerce | [da confermare] |
| Meta Platforms (solo se l'utente usa il canale WhatsApp) | Canale di assistenza messaggistica | USA |
| Commercialista / consulenti | Adempimenti fiscali e contabili | Italia/UE |
| Autorità competenti (es. Agenzia delle Entrate, Autorità giudiziaria, forze dell'ordine) | Adempimenti di legge e tutela dei diritti | Italia/UE |
I responsabili esterni sono vincolati da appositi accordi sul trattamento dei dati (DPA) ex art. 28 GDPR. L'elenco aggiornato e nominativo dei responsabili è disponibile su richiesta scrivendo a info@kosedicasa.it.
I dati non sono diffusi né ceduti a terzi per finalità di marketing.
6. Trasferimento dei dati verso Paesi terzi (USA)
Alcuni fornitori di cui il Titolare si avvale hanno sede negli Stati Uniti d'America o vi trattano dati. Tali trasferimenti avvengono sulla base della decisione di adeguatezza della Commissione europea relativa al EU-US Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023, ai sensi dell'art. 45 GDPR), in quanto i fornitori interessati hanno aderito e risultano certificati al Data Privacy Framework. La certificazione è verificabile sull'elenco ufficiale all'indirizzo www.dataprivacyframework.gov.
Qualora un fornitore non risultasse (o cessasse di risultare) certificato al Data Privacy Framework, il relativo trasferimento è disciplinato dalle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea (art. 46.2.c GDPR), eventualmente integrate da misure supplementari, oppure dalle ulteriori garanzie previste dagli artt. 46-49 GDPR.
I fornitori statunitensi attualmente utilizzati e le relative finalità sono:
| Fornitore | Finalità | Garanzia per il trasferimento |
|---|---|---|
| Google LLC (USA) | Statistiche di traffico (Google Analytics 4) | EU-US Data Privacy Framework (certificata) |
| Stripe, Inc. (USA) | Gestione dei pagamenti elettronici | EU-US Data Privacy Framework (certificata) |
| Vercel, Inc. (USA) | Hosting e distribuzione del Sito | EU-US Data Privacy Framework (certificata) |
L'interessato ha diritto di ottenere copia delle garanzie adottate scrivendo a info@kosedicasa.it.
Nota: il quadro giuridico dei trasferimenti UE-USA è in evoluzione. La validità della decisione di adeguatezza relativa al Data Privacy Framework è stata confermata dal Tribunale dell'Unione europea (sentenza del 3 settembre 2025, causa T-553/23) ed è attualmente oggetto di impugnazione dinanzi alla Corte di Giustizia. Il Titolare monitora gli sviluppi e aggiornerà l'informativa di conseguenza.
7. Diritti dell'interessato
In qualità di interessato, l'utente ha diritto, nei limiti e alle condizioni previste dagli artt. 15-22 GDPR, di:
- Accesso (art. 15) — ottenere conferma e copia dei dati trattati;
- Rettifica (art. 16) — correggere dati inesatti o incompleti;
- Cancellazione / oblio (art. 17) — ottenere la cancellazione dei dati, salvi gli obblighi di conservazione (es. fiscali);
- Limitazione (art. 18) — limitare il trattamento in determinati casi;
- Portabilità (art. 20) — ricevere i dati in formato strutturato e di uso comune e trasmetterli ad altro titolare;
- Opposizione (art. 21) — opporsi al trattamento fondato sul legittimo interesse;
- Revoca del consenso (art. 7.3) — revocare in qualsiasi momento il consenso prestato (es. per le statistiche/analytics), senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Come esercitare i diritti: è sufficiente inviare una richiesta a info@kosedicasa.it, indicando il diritto che si intende esercitare. Il Titolare risponde entro 1 mese dalla richiesta (art. 12 GDPR), prorogabile di ulteriori due mesi in casi di particolare complessità. L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive.
8. Reclamo all'autorità di controllo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei propri dati violi il GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali:
- Garante per la protezione dei dati personali — Piazza Venezia 11, 00187 Roma
- Sito: www.garanteprivacy.it
9. Processo decisionale automatizzato e profilazione
Il Titolare non effettua processi decisionali automatizzati, inclusa la profilazione, ai sensi dell'art. 22 GDPR. I dati statistici raccolti tramite Google Analytics 4 sono utilizzati in forma aggregata per finalità statistiche e non per profilare i singoli utenti.
10. Modalità di trattamento e sicurezza
I dati sono trattati con strumenti elettronici e misure tecniche e organizzative adeguate (art. 32 GDPR) a garantirne riservatezza, integrità e disponibilità, e a prevenire accessi non autorizzati, perdita o distruzione.
11. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa. In caso di nuove finalità di trattamento, l'interessato sarà informato preventivamente (art. 13.3 GDPR). La versione aggiornata, con relativa data, è sempre disponibile su questa pagina.