INFORMATIVA PRIVACY E COOKIE POLICY
Versione: 1.0
Data ultimo aggiornamento: 08/10/2025
Ambito di applicazione: presente informativa si applica al sito web e ai servizi online di GlamAURA (il “Sito/Servizi”).
1) Titolare del trattamento e contatti
Titolare del trattamento: GlamAURA, Via Mosè Bianchi 60, 20037 Paderno Dugnano (MI), P.IVA 11879150966.
E-mail per la privacy (richieste diritti/abusi): privacy@glamaura.it
PEC (per comunicazioni formali): glamaura@pec.it
Telefono (facoltativo): +39 ____________
Data Protection Officer (DPO): non nominato. In caso di nomina futura, i relativi contatti saranno pubblicati e resi disponibili.
2) Tipologie di dati e fonti
Tipologie di dati trattati – Dati anagrafici e di contatto: nome, cognome, indirizzo, e-mail, telefono.
– Dati contrattuali/di acquisto e fatturazione: prodotti/servizi acquistati, importi, metodo di pagamento, indirizzi di spedizione/fatturazione (i dati di carta sono trattati solo dai gateway di pagamento).
– Dati di navigazione e identificatori online: indirizzo IP, timestamp, user-agent, identificatori cookie/SDK, log tecnici, eventi di navigazione (pagine viste, click, carrello, ordini).
– Preferenze e consensi: scelte registrate tramite il sistema di gestione del consenso (CMP), iscrizione/disiscrizione newsletter.
– Dati provenienti da terzi: social/login, marketplace integrati, piattaforme di pagamento e di advertising/analytics.
Fonti dei dati
I dati sono conferiti direttamente dall’interessato (moduli, acquisti, registrazioni) oppure raccolti automaticamente durante l’uso del Sito/Servizi (log, cookie/SDK). Alcuni dati possono provenire da terze parti (es. social login, gateway di pagamento, marketplace/partner).
3) Finalità, basi giuridiche, categorie di dati, tempi di conservazione
La tabella seguente espone in forma granulare le finalità perseguite.
| # | Finalità | Base giuridica | Categorie di dati | Conservazione | Natura del conferimento / Note |
| 3.1 | Erogazione del Sito/Servizi, amministrazione tecnica, sicurezza, prevenzione abusi/frodi | Legittimo interesse (art. 6.1.f GDPR) | Log tecnici, IP, user‑agent, identificatori | 12 mesi (fino a 24 per esigenze di sicurezza) | Dati necessari. Bilanciamento effettuato: misure proporzionate e minimizzazione |
| 3.2 | Gestione ordini/contratto, assistenza clienti, consegna | Contratto/misure precontrattuali (art. 6.1.b) | Dati anagrafici, contatto, acquisti, spedizione | Durata del rapporto + 10 anni per obblighi civilistici/fiscali | Necessari all’esecuzione del contratto |
| 3.3 | Fatturazione e adempimenti di legge | Obbligo legale (art. 6.1.c) | Dati di fatturazione | 10 anni | Obbligatori per legge |
| 3.4 | Riscontro a richieste di contatto/informazioni | Misure precontrattuali (6.1.b) e/o Legittimo interesse (6.1.f) | Dati di contatto, contenuto della richiesta | 24 mesi | Dati necessari per riscontrare la richiesta |
| 3.5 | Newsletter e comunicazioni promozionali generiche | Consenso (art. 6.1.a) con double opt‑in | E‑mail, preferenze | Fino a revoca + 24 mesi log del consenso | Facoltativo; disiscrizione sempre possibile |
| 3.6 | Soft spam a clienti su prodotti/servizi analoghi | Legittimo interesse (art. 6.1.f) e art. 130, c.4 Codice Privacy | E‑mail clienti, storico acquisti | 24 mesi dall’ultimo contatto/comunicazione | Diritto di opposizione immediato via unsubscribe |
| 3.7 | Profilazione marketing (segmentazione per interessi/abitudini) | Consenso (art. 6.1.a) | Identificatori cookie/SDK, eventi navigazione (pagine viste, carrello, acquisti), categorie di interesse | 12 mesi (profilazione); 6 mesi per cookie non tecnici (v. §10) | Facoltativo. Nessuna decisione unicamente automatizzata con effetti giuridici (art. 22); diritto di opposizione/revoca |
| 3.8 | Indagini di soddisfazione/sondaggi | Legittimo interesse (6.1.f) o Consenso (6.1.a) se non clienti | Contatti, esiti survey | 12 mesi | Facoltativo; opposizione sempre possibile |
| 3.9 | Tutela in giudizio e gestione del contenzioso | Legittimo interesse (6.1.f) | Dati strettamente necessari | Per il tempo necessario alla difesa | Necessari per l’esercizio/ difesa di un diritto |
Prova del consenso. I consensi (es. newsletter, cookie/marketing) sono registrati con log CMP (timestamp, scelta, versione dell’informativa) e conservati per 6 mesi, riproponendo il banner almeno ogni 6 mesi o in caso di modifiche sostanziali.
4) Natura del conferimento
Il conferimento dei dati per le finalità contrattuali/legali (voci 3.2–3.3) è obbligatorio/necessario; in mancanza non è possibile erogare i Servizi o evadere gli ordini. Il conferimento per finalità di marketing e profilazione (voci 3.5–3.7) è facoltativo e l’eventuale mancato consenso non pregiudica l’uso del Sito/Servizi.
5) Destinatari, responsabili del trattamento e trasferimenti extra‑UE
Categorie di destinatari/Responsabili (art. 28 GDPR)
– Hosting/Cloud e manutenzione IT;
– Piattaforme CRM/e‑mailing;
– Gateway di pagamento (titolari autonomi per i dati di carta);
– Piattaforme di analytics e advertising;
– Logistica e spedizionieri;
– Consulenti (fiscali/legali) e autorità legittimate per legge.
Elenco aggiornato dei fornitori/Responsabili con indicazione di ruolo, paese di trattamento e basi di trasferimento è disponibile alla pagina: https://www.glamaura.it/privacy/fornitori (URL di cortesia; sostituire con link effettivo).
Trasferimenti verso Paesi terzi (artt. 45–49 GDPR)
Quando i dati sono trasferiti fuori dallo Spazio Economico Europeo: – si applicano Decisioni di adeguatezza della Commissione UE ove disponibili (es. EU‑US Data Privacy Framework per i fornitori statunitensi certificati); – in alternativa si adottano le Clausole Contrattuali Standard (Decisione 2021/914/UE) con TIA (valutazione d’impatto sul trasferimento) e misure supplementari (es. cifratura end‑to‑end, minimizzazione, access controls).
6) Diritti dell’interessato
Gli interessati possono esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità, e opposizione (artt. 15–22 GDPR). Per la portabilità, i dati saranno forniti in formato strutturato e interoperabile quando trattati su base contrattuale o consenso.
Come esercitare i diritti: inviare richiesta a privacy@glamaura.it o PEC a glamaura@pec.it. Il Titolare risponde entro 30 giorni (prorogabili nei casi complessi). Ogni comunicazione di marketing contiene il link “disiscriviti” per l’opt‑out immediato.
Reclamo all’Autorità: è sempre possibile proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
7) Minori
Il Sito/Servizi non sono rivolti a minori di 14 anni. Per gli under 14, eventuali trattamenti avverranno solo con consenso del titolare della responsabilità genitoriale (art. 2‑quinquies Codice Privacy).
8) Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate tra cui: crittografia in transito e, ove possibile, a riposo; pseudonimizzazione per analytics; segregazione degli ambienti; backup; controlli di accesso basati su ruoli (RBAC) e autenticazione a più fattori (MFA); logging e monitoraggio; principio del minimo privilegio; policy di conservazione e hardening dei sistemi.
9) Data breach
In caso di violazione dei dati personali, valuteremo l’evento e, se ricorrono i presupposti, effettueremo notifica al Garante e, quando richiesto, comunicazione agli interessati ai sensi degli artt. 33–34 GDPR.
10) Aggiornamenti dell’informativa
Questa informativa potrà essere aggiornata. In caso di modifiche sostanziali (es. nuove finalità o nuovi destinatari), informeremo gli utenti e, se del caso, richiederemo un nuovo consenso. È indicata in alto la data di ultimo aggiornamento e il numero di versione.
COOKIE POLICY
11) Che cosa sono cookie e tecnologie simili
Il Sito utilizza cookie e tecnologie similari (pixel, local storage, SDK) per finalità tecniche e, previo consenso, per statistiche e marketing/profilazione.
12) Sistema di gestione del consenso (CMP) e banner
Utilizziamo un CMP conforme (es. IAB TCF v2.2 o equivalente) che garantisce: – Parità di evidenza tra “Accetta tutto” e “Rifiuta tutto”; presenza del comando “Continua senza accettare”.
– La chiusura tramite “X” non comporta il consenso: equivale a proseguire senza accettare.
– Blocco preventivo dei cookie non tecnici fino al rilascio del consenso.
– Granularità delle scelte per finalità e per terza parte; revoca/modifica in qualunque momento dal link “Impostazioni cookie” sempre presente nel footer.
– Prova del consenso (log CMP) conservata per 6 mesi; riproposizione del banner almeno ogni 6 mesi o in caso di cambiamenti rilevanti.
13) Categorie di cookie e basi giuridiche
- Cookie tecnici/strettamente necessari: servono a far funzionare il Sito (es. bilanciamento carico, autenticazione, preferenze essenziali). Base giuridica: necessità di erogare il servizio/legittimo interesse.
- Cookie funzionali non indispensabili: migliorano l’esperienza ma non sono essenziali. Base giuridica: consenso.
- Cookie analytics: se first‑party o configurati con anonimizzazione IP e senza combinazioni/ID advertising, sono equiparati ai tecnici; altrimenti richiedono consenso.
- Cookie di marketing/profilazione: creano profili per inviare pubblicità mirata. Base giuridica: consenso.
14) Tabella dei cookie/tecnologie (esempio da completare)
La tabella è fornita a scopo esemplificativo. Compilare/aggiornare con i cookie effettivamente in uso.
| Nome | Fornitore/Dominio | Finalità | Tipo | Durata | Terza parte | Link informativa del terzo |
| __cf_bm | Cloudflare | Protezione/sicurezza | Tecnico | 30 minuti | Sì | https://www.cloudflare.com/privacypolicy/ |
| _ga | Statistiche visite (GA4, IP masking) | Analytics | 2 anni | Sì | https://policies.google.com/privacy | |
| _gid | Statistiche aggregate | Analytics | 24 ore | Sì | https://policies.google.com/privacy | |
| _fbp | Meta | Advertising comportamentale | Marketing | 3 mesi | Sì | https://www.facebook.com/policy.php |
| glamaura_session | glamaura.it | Session management | Tecnico | Sessione | No | — |
Nota: indicare anche eventuali pixel, local storage e SDK (per app), con finalità, durata e link informativa.
15) Gestione delle preferenze
Le preferenze possono essere gestite in qualsiasi momento tramite il link “Impostazioni cookie” nel footer. È possibile revocare il consenso già prestato o modificarlo per singola finalità/terza parte. Il consenso può essere sincronizzato tra web/app (se presenti) tramite identificatore pseudonimo.
16) Trasferimenti e terze parti
Per gli strumenti che comportano trasferimenti di dati verso Paesi terzi (es. USA – Google, Meta, TikTok): – se il fornitore è certificato al Data Privacy Framework (DPF) per lo specifico “programma”, il trasferimento avviene ai sensi dell’art. 45 GDPR (decisione di adeguatezza);
– diversamente, si usano le Clausole Contrattuali Standard (SCC 2021/914/UE) con TIA e misure supplementari (cifratura, minimizzazione, access controls).
Rinvio all’Elenco fornitori (§5) per il dettaglio aggiornato.
17) Come disabilitare i cookie dal browser
È possibile impostare il browser per rifiutare o cancellare i cookie. Le istruzioni sono disponibili nelle sezioni di help dei principali browser (Chrome, Firefox, Safari, Edge). La disabilitazione dei cookie tecnici potrebbe compromettere alcune funzionalità del Sito.
Informazioni ulteriori e definizioni
- Profilazione: trattamenti automatizzati dei dati personali per analizzare o prevedere preferenze e interessi; non sono adottate decisioni unicamente automatizzate che producano effetti giuridici significativi (art. 22 GDPR).
- Log dei consensi: registri generati dal CMP contenenti scelta, timestamp, versione dell’informativa e identificatore dell’utente/consenso.
Allegato A – Policy di conservazione (estratto)
| Categoria | Periodo | Note |
| Log tecnici sicurezza | 12 mesi (fino a 24) | Estensione motivata da esigenze di security incident management |
| Dossier contrattuale/fiscale | 10 anni | Obbligo normativo |
| Ticket/contatti | 24 mesi | Necessità organizzative e tutela |
| Dati marketing (newsletter) | Fino a revoca + 24 mesi log consenso | Opt‑out sempre disponibile |
| Segmenti di profilazione | 12 mesi | Rinnovo consenso allo scadere |
| Log CMP (consenso cookie) | 6 mesi | Riproposizione banner almeno ogni 6 mesi |
Allegato B – Elenco fornitori/Responsabili (template)
| Fornitore | Servizio | Ruolo | Paese | Meccanismo trasferimento | DPA/Accordo | Finalità |
| Cloud Hosting XYZ | IaaS/PaaS | Responsabile | UE | — | DPA del fornitore | Hosting/Sicurezza |
| Google LLC | Analytics/Tag | Terza parte | USA | DPF o SCC+TIA | DPA (link) | Analytics/Marketing |
| Meta Platforms | ADV | Terza parte | USA | DPF o SCC+TIA | DPA (link) | Advertising |
| Mailer‑Service | E‑mailing | Responsabile | UE/SEE | — | DPA (link) | Newsletter |
Compilare e mantenere aggiornata la tabella con link ai relativi accordi sul trattamento (DPA) e policy.
Titolare del trattamento
GlamAURA
Via Mosè Bianchi 60, 20037 Paderno Dugnano (MI)
P.IVA 11879150966
Contatti privacy: privacy@glamaura.it – glamaura@pec.it
