1. Il Titolare del trattamento
I dati personali raccolti tramite questo sito sono trattati da:
- Cesare Vergari s.r.l. - Società Agricola
- Sede legale
- Via Cutrofiano, 167, 73040 Supersano, Italy
- P. IVA
- 04219010750
- REA
- LE - 274749
- PEC
- cesare.vergari@open.legalmail.it
- SDI
- 0000000
- info@agricolavergari.it
- Telefono
- +390833631359
di seguito indicata come «noi». Per qualsiasi questione riguardante i vostri dati personali potete scrivere ai recapiti sopra riportati o utilizzare la pagina contatti.
2. Oggetto dell'informativa
La presente informativa spiega come vengono trattati i dati personali quando navigate su questo sito, create un account, effettuate un ordine, prenotate una degustazione o ci scrivete — in conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 e successive modifiche. La società identificata nella sezione 1 è il titolare del trattamento. L'informativa non copre i siti di terzi raggiungibili tramite i link presenti nelle nostre pagine.
3. Quali dati raccogliamo
Raccogliamo solo i dati necessari a far funzionare il negozio e le esperienze di degustazione del frantoio:
- Dati dell'account — indirizzo email, nome, numero di telefono, Paese di residenza, indirizzi di fatturazione e spedizione salvati, lingua preferita e password (conservata solo in forma di hash).
- Dati di accesso social — se scegliete di accedere con Google, Apple o Facebook, riceviamo dal fornitore il vostro nome e indirizzo email; non vediamo mai la vostra password.
- Dati degli ordini — i prodotti acquistati, gli importi, gli indirizzi di consegna e fatturazione e, se richiedete la fattura, i dati di fatturazione forniti come codice fiscale, partita IVA o codice destinatario SDI.
- Dati di prenotazioni e richieste — nome, recapiti e contenuto dei messaggi o delle richieste di degustazione che ci inviate.
- Registrazioni di accettazione — quando accettate i Termini e condizioni registriamo la versione accettata, data e ora, indirizzo IP, identificativo del browser e lingua, come prova dell'accettazione.
- Dati di sicurezza e prevenzione delle frodi — quando ti registri, accedi o ti disconnetti (compresi i tentativi di accesso non riusciti), effettui un ordine o completi un pagamento, registriamo data e ora dell’evento, il tuo indirizzo IP, l’identificativo del tuo browser (user agent) e la lingua dell’interfaccia in uso. Gli stessi dettagli vengono registrati quando una richiesta viene rifiutata dalle nostre misure di protezione — ad esempio quando vengono superati i limiti di richieste indicati nella sezione 4 o quando scatta una regola di prevenzione delle frodi. Per gli ordini pagati riceviamo e conserviamo inoltre, dal nostro fornitore dei pagamenti, il paese di emissione della carta e la valutazione del rischio di frode del pagamento effettuata da Stripe Radar.
- Dati tecnici — log del server (indirizzo IP, pagine richieste, marcature temporali) e i cookie tecnici descritti nella sezione 11.
4. Finalità e basi giuridiche
I vostri dati sono trattati:
- per concludere ed eseguire il contratto — gestione di ordini, pagamenti, consegne, fatturazione su richiesta, prenotazioni di degustazioni e area personale (art. 6, par. 1, lett. b GDPR);
- per adempiere a obblighi di legge, come le norme fiscali e contabili e, ove applicabili, le disposizioni antiriciclaggio (art. 6, par. 1, lett. c GDPR);
- nel nostro legittimo interesse a mantenere sicuro il negozio e prevenire le frodi (art. 6(1)(f) GDPR): i dati di sicurezza e prevenzione delle frodi descritti nella sezione 3 vengono analizzati per proteggere gli account e la piattaforma — ad esempio per riconoscere schemi di accesso o di ordine non plausibili come troppe discrepanze di posizione, per mantenere liste di blocco interne di caratteristiche associate a frodi accertate, per applicare limiti orari per connessione al numero di richieste accettate dai nostri moduli pubblici, e per applicare controlli aggiuntivi alla registrazione o al checkout quando un simile schema è stato rilevato. La stessa base copre i log tecnici e l’accertamento o la difesa di diritti in sede legale. Puoi opporti a questo trattamento in qualsiasi momento (sezione 10);
- sulla base del consenso solo dove lo chiediamo espressamente. Oggi il sito invia esclusivamente messaggi transazionali — conferme d'ordine, risposte alle prenotazioni, avvisi sull'account — e non svolge alcuna attività di marketing né di profilazione.
Il conferimento dei dati indicati come obbligatori in fase di registrazione, checkout o prenotazione è necessario per dar seguito alla richiesta; senza di essi l'account, l'ordine o la prenotazione non possono essere gestiti.
5. Pagamenti
I pagamenti sono gestiti da Stripe, fornitore indipendente certificato PCI DSS. La fase di pagamento avviene sulle pagine sicure di Stripe, alle quali si applica la cookie policy di Stripe — su questo sito non viene mai impostato alcun cookie di pagamento. I dati della tua carta viaggiano cifrati dal tuo browser a Stripe e non raggiungono mai i nostri server; riceviamo solo un riferimento del pagamento, l’esito e l’importo. Stripe applica inoltre a ogni pagamento il proprio sistema di prevenzione delle frodi (Stripe Radar); ne riceviamo la valutazione del rischio e il paese di emissione della carta, e li utilizziamo esclusivamente per decidere se accettare un ordine (sezione 4). Stripe tratta i tuoi dati come titolare autonomo, come descritto nella sua informativa privacy.
6. Destinatari e dove risiedono i dati
Il sito è ospitato su infrastruttura Google Cloud — applicazione, database e archiviazione dei file — in base a un accordo di trattamento dei dati con Google, con i dati ospitati nell'Unione Europea; i documenti sensibili (copie delle fatture, certificati di accettazione) sono conservati cifrati in un bucket privato. Per il resto, i dati sono condivisi solo con i soggetti necessari a dar seguito alle vostre richieste: il corriere che consegna l'ordine (nome, indirizzo, telefono), il fornitore dei pagamenti (sezione 5), il nostro servizio email per i messaggi transazionali e consulenti professionali o autorità pubbliche ove la legge lo richieda. Non vendiamo mai dati personali.
La mappa nella pagina contatti carica le proprie tessere da OpenStreetMap e il proprio software da una CDN pubblica: quando quella pagina viene visualizzata, tali servizi vedono il vostro indirizzo IP, come qualsiasi sito che visitate.
7. Trasferimenti al di fuori dell'Unione Europea
Quando un fornitore tratta alcuni dati al di fuori dell'Unione Europea (ad esempio alcuni servizi di Stripe o Google), il trasferimento si fonda sulle garanzie del Capo V del GDPR — una decisione di adeguatezza come l'EU–US Data Privacy Framework, oppure le Clausole Contrattuali Standard.
8. Per quanto tempo conserviamo i dati
Conserviamo i dati personali solo per il tempo richiesto da ciascuna finalità:
- Dati dell'account: finché l'account esiste.
- Ordini, dati per la richiesta di fattura e registrazioni di accettazione delle condizioni: fino a cinque anni dall'ordine — o, se avevate un account, dalla sua cancellazione — per esigenze di prevenzione delle frodi, antiriciclaggio e verifica e per accertare o difendere diritti in sede legale; successivamente vengono cancellati o resi irreversibilmente anonimi.
- Richieste di prenotazione e messaggi: fino a due anni dall'ultimo scambio.
- Registrazioni di sicurezza e prevenzione delle frodi — accessi, disconnessioni, tentativi di accesso non riusciti e i dettagli tecnici acquisiti con le azioni sui tuoi ordini: fino a dodici mesi, dopodiché vengono eliminati; i dettagli tecnici collegati ai record degli ordini vengono azzerati quando l’ordine stesso viene anonimizzato. Se una registrazione fa parte di un caso di frode accertata, può essere conservata per il tempo necessario a gestire il caso ed eventuali azioni legali.
- Voci della lista di blocco antifrode — le caratteristiche (come un indirizzo email o postale) dei tentativi rifiutati per frode: per il tempo in cui restano necessarie a proteggere il negozio da frodi ripetute; vengono riesaminate periodicamente e rimosse quando non più giustificate.
- Log tecnici: fino a novanta giorni, salvo che un incidente richieda un'indagine più lunga.
Le fatture emesse tramite il sito sono copie di cortesia fornite per vostro riferimento; gli originali fiscali sono emessi e conservati dal Venditore al di fuori del sito, secondo le norme tributarie applicabili.
9. Cancellazione dell'account
Potete cancellare il vostro account in autonomia, in qualsiasi momento, dalla sezione Privacy e dati della vostra area personale. Poiché la cancellazione non può essere annullata, vi verrà chiesto di effettuare nuovamente l'accesso e di digitare una frase di conferma generata casualmente; gli account con ordini ancora in corso devono attendere che questi siano conclusi. Potete inoltre richiedere la cancellazione scrivendo ai recapiti indicati nella sezione 1 dall'email registrata sull'account. In entrambi i casi l'account viene disattivato senza ritardo e i dati del profilo — indirizzi, numero di telefono, collegamento all'accesso social, sessioni attive — vengono rimossi; le registrazioni di ordini, fatturazione e accettazioni sono spostate in un archivio ad accesso ristretto e conservate fino a cinque anni come descritto nella sezione 8, accessibili solo per le finalità di legge lì elencate, dopodiché vengono cancellate o rese anonime.
10. I vostri diritti
Potete esercitare in qualsiasi momento i diritti di cui agli artt. 15–22 GDPR — accesso, rettifica, cancellazione, limitazione, portabilità e opposizione (anche al trattamento basato sul legittimo interesse) — scrivendo ai recapiti indicati nella sezione 1; rispondiamo entro un mese. Se ritenete che i vostri dati siano trattati in modo illecito, potete proporre reclamo all'autorità di controllo italiana, il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), o all'autorità del vostro Paese di residenza.
11. Cookie
Questo sito utilizza esclusivamente cookie tecnici: il cookie di sessione (accesso e carrello), il cookie di sicurezza CSRF, il cookie della lingua e preferenze locali del browser come il tema chiaro o scuro e la chiusura dell'avviso sui cookie. Sono strettamente necessari o puramente funzionali, non richiedono consenso secondo le linee guida del Garante per la protezione dei dati personali e non viene mai impostato alcun cookie pubblicitario, di analisi o di profilazione. Per questo l'avviso sui cookie mostrato alla prima visita è puramente informativo — non c'è nulla da accettare o rifiutare. Bloccare i cookie nel browser può impedire il funzionamento di accesso e checkout.
12. Sicurezza
I dati viaggiano su connessioni cifrate (HTTPS) e sono conservati su infrastrutture con accessi limitati e registrati. Le password sono sottoposte a hash, i documenti sensibili sono cifrati a riposo, l'accesso del personale è limitato a quanto richiesto da ciascun ruolo e gli account possono essere protetti con l'autenticazione a due fattori.
13. Minori e decisioni automatizzate
Il negozio è destinato a persone adulte: ordinando dichiari di avere almeno diciotto anni, e non raccogliamo consapevolmente dati di minori. Non viene effettuata alcuna profilazione a fini di marketing. I dati di sicurezza possono essere analizzati a fini di prevenzione delle frodi come descritto nella sezione 4; se una registrazione o un ordine dovesse essere rifiutato a seguito di tale controllo, puoi sempre contattarci ai recapiti della sezione 1 per far riesaminare la decisione da una persona.
14. Modifiche alla presente informativa
Potremmo aggiornare la presente informativa — ad esempio quando cambiano la legge, i nostri fornitori o le funzionalità del sito. Ogni versione è numerata e conservata, e la versione corrente con la relativa data di pubblicazione è sempre indicata in questa pagina; le modifiche significative vengono evidenziate sul sito o, ove opportuno, comunicate via email.