Informativa sulla privacy
INFORMATIVA SULLA PRIVACY
Sito web: https://www.trufflesandtreasures.com
Ultimo aggiornamento: 25 aprile 2026
Articolo 1. Titolare del trattamento e dati di contatto
1.1. Il Titolare del trattamento dei dati personali raccolti attraverso il sito web https://www.trufflesandtreasures.com (di seguito, il "Sito") e i servizi ad esso collegati è Truffles and Treasures di Beatrice Bicocchi, azienda agricola con sede legale in Via delle Chiaviche 1/3, 42048, RE, Italia (di seguito, il "Titolare").
1.2. Per qualsiasi richiesta relativa al trattamento dei propri dati personali, l'interessato può contattare il Titolare mediante posta elettronica all'indirizzo info@trufflesandtreasures.com, oppure a mezzo posta ordinaria all'indirizzo sopra indicato.
1.3. La presente Informativa sulla Privacy è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, "GDPR" o "Regolamento"), nonché del D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come novellato dal D.Lgs. 10 agosto 2018, n. 101.
Articolo 2. Ambito di applicazione
2.1. La presente Informativa descrive le modalità di raccolta, utilizzo, comunicazione e conservazione dei dati personali degli utenti che visitano il Sito, effettuano acquisti, creano un account, interagiscono con i servizi offerti dal Titolare o comunicano con quest'ultimo attraverso qualsiasi canale (di seguito, collettivamente, gli "Interessati").
2.2. In caso di conflitto tra le disposizioni contenute nei Termini e Condizioni Generali di Vendita e la presente Informativa, quest'ultima prevarrà limitatamente alle questioni inerenti alla raccolta, al trattamento e alla comunicazione dei dati personali.
2.3. Il Sito è ospitato sull'infrastruttura tecnologica di Shopify Inc. (di seguito, "Shopify"), la quale riveste il ruolo di Responsabile del trattamento ai sensi dell'art. 28 del GDPR per le operazioni di trattamento effettuate per conto del Titolare nell'ambito della piattaforma di commercio elettronico.
Articolo 3. Categorie di dati personali raccolti
3.1. Nell'ambito dell'operatività del Sito e della prestazione dei propri servizi, il Titolare può raccogliere e trattare le seguenti categorie di dati personali:
Dati identificativi e di contatto: nome, cognome, indirizzo postale, indirizzo di fatturazione, indirizzo di spedizione, indirizzo e-mail e numero di telefono, forniti dall'Interessato al momento della registrazione dell'account, della compilazione di moduli di contatto o dell'inoltro di un ordine.
Dati relativi alle transazioni: informazioni concernenti i Prodotti acquistati, la cronologia degli ordini, le modalità di pagamento selezionate, i dettagli delle transazioni completate, gli importi corrisposti, lo stato delle spedizioni, le richieste di reso e rimborso, nonché qualsiasi altra informazione generata in connessione con l'esecuzione del contratto di vendita.
Dati finanziari e di pagamento: i dati relativi alle carte di credito, alle carte di debito e ad altri strumenti di pagamento utilizzati per completare le transazioni sul Sito sono raccolti e trattati direttamente dai fornitori di servizi di pagamento terzi integrati nella piattaforma Shopify, i quali operano in qualità di Titolari autonomi del trattamento, nel rispetto degli standard PCI DSS. Il Titolare non raccoglie, conserva né accede ai dati completi degli strumenti di pagamento degli Interessati.
Dati dell'account: nome utente, password (in forma criptata), preferenze, impostazioni personalizzate e cronologia delle interazioni con il Sito, qualora l'Interessato proceda alla creazione di un account personale.
Dati relativi alla navigazione e informazioni tecniche: indirizzo IP, tipo di browser e relativa versione, sistema operativo, identificativi univoci del dispositivo, dati di geolocalizzazione approssimativa, pagine visitate, durata della sessione, sorgente del traffico, informazioni sul fuso orario e sulla lingua del dispositivo. Tali dati possono essere raccolti automaticamente mediante l'uso di cookie e tecnologie di tracciamento analoghe, secondo quanto specificato nella Cookie Policy disponibile sul Sito.
Dati di comunicazione: il contenuto, la data e l'ora delle comunicazioni scambiate tra l'Interessato e il Titolare, ivi comprese le richieste di assistenza, i reclami e le eventuali segnalazioni trasmesse per posta elettronica o attraverso i moduli di contatto presenti sul Sito.
3.2. Il Titolare non raccoglie intenzionalmente categorie particolari di dati personali (c.d. "dati sensibili") ai sensi dell'art. 9 del GDPR, quali dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale dell'Interessato. Qualora l'Interessato comunichi volontariamente informazioni rientranti in tali categorie (ad esempio, informazioni su allergie o intolleranze alimentari inserite nelle note dell'ordine), il trattamento sarà limitato alla sola finalità di esecuzione del contratto e alla tutela della sicurezza del consumatore.
Articolo 4. Fonti di raccolta dei dati personali
4.1. Il Titolare raccoglie i dati personali degli Interessati dalle seguenti fonti:
Direttamente dall'Interessato: quando l'utente crea un account sul Sito, effettua un ordine, compila un modulo di contatto, si iscrive alla newsletter, comunica con il Titolare via e-mail o interagisce in altro modo con i servizi offerti.
In modo automatico tramite il Sito: attraverso l'uso di cookie, pixel di tracciamento, web beacon e tecnologie analoghe implementate nel Sito, secondo le modalità e le finalità indicate nella Cookie Policy. La piattaforma Shopify può altresì raccogliere automaticamente dati tecnici e di navigazione nell'ambito delle proprie funzionalità.
Da fornitori di servizi terzi: il Titolare può ricevere dati personali dai propri partner tecnologici e fornitori di servizi, inclusi i processori di pagamento, i servizi di spedizione e logistica, i fornitori di servizi di analisi web e i gestori di campagne pubblicitarie, nella misura in cui ciò sia necessario per l'esecuzione del contratto o per il perseguimento di un legittimo interesse del Titolare.
Articolo 5. Finalità e basi giuridiche del trattamento
5.1. Il Titolare tratta i dati personali degli Interessati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 del GDPR:
Esecuzione del contratto e gestione degli ordini (art. 6, par. 1, lett. b) del GDPR): i dati personali sono trattati nella misura necessaria alla conclusione e all'esecuzione del contratto di vendita a distanza, ivi comprese l'elaborazione degli ordini, la gestione dei pagamenti, la predisposizione e la spedizione dei Prodotti, la gestione dei resi e dei rimborsi, l'amministrazione dell'account dell'Interessato, la comunicazione di informazioni sullo stato dell'ordine e la fornitura del servizio di assistenza clienti. Senza il conferimento dei dati necessari a tali operazioni, il Titolare non sarà in grado di dar corso all'ordine né di eseguire il contratto.
Adempimento di obblighi legali (art. 6, par. 1, lett. c) del GDPR): il trattamento dei dati personali è altresì necessario per ottemperare agli obblighi previsti dalla normativa vigente in materia fiscale, tributaria, contabile e amministrativa, ivi inclusi gli obblighi derivanti dal D.P.R. 26 ottobre 1972, n. 633 (Disciplina dell'IVA), dal D.Lgs. 21 novembre 2014, n. 175 in materia di semplificazione fiscale, nonché dalla normativa applicabile alla vendita a distanza di prodotti alimentari e alla sicurezza alimentare.
Legittimo interesse del Titolare (art. 6, par. 1, lett. f) del GDPR): determinati trattamenti sono effettuati sulla base del legittimo interesse del Titolare, previamente valutato mediante un bilanciamento con i diritti e le libertà fondamentali dell'Interessato. Rientrano in tale categoria le attività dirette a: prevenire frodi e condotte illecite nell'utilizzo del Sito; garantire la sicurezza della piattaforma e dell'infrastruttura informatica; analizzare i dati di navigazione aggregati allo scopo di migliorare l'esperienza utente, ottimizzare le prestazioni del Sito e perfezionare l'offerta commerciale; gestire eventuali contenziosi o procedimenti legali; esercitare o difendere un diritto in sede giudiziaria o extragiudiziaria.
Consenso dell'Interessato (art. 6, par. 1, lett. a) del GDPR): per l'invio di comunicazioni commerciali, promozionali e di marketing, ivi incluse newsletter, offerte personalizzate e informazioni su nuovi prodotti o servizi, il Titolare si avvarrà del consenso esplicito, libero, specifico e informato dell'Interessato. Il consenso può essere revocato in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento fondato sul consenso prestato prima della revoca. La revoca può essere esercitata mediante l'apposito link di cancellazione presente in ogni comunicazione di marketing o contattando il Titolare ai recapiti indicati all'Articolo 1.
Articolo 6. Destinatari e comunicazione dei dati personali
6.1. Nell'ambito delle finalità sopra indicate, il Titolare può comunicare i dati personali degli Interessati alle seguenti categorie di destinatari, i quali operano in qualità di Responsabili del trattamento ai sensi dell'art. 28 del GDPR, ovvero di Titolari autonomi ove ne ricorrano i presupposti:
Shopify Inc.: in qualità di fornitore della piattaforma di commercio elettronico, Shopify riceve e tratta i dati personali necessari alla gestione tecnica del Sito, all'elaborazione degli ordini, alla gestione dei pagamenti e al funzionamento dell'infrastruttura cloud. Per maggiori informazioni sulle modalità con cui Shopify tratta i dati personali, si rimanda all'Informativa sulla Privacy dei consumatori di Shopify, consultabile all'indirizzo https://www.shopify.com/legal/privacy.
Fornitori di servizi di pagamento: i processori di pagamento integrati nel Sito (quali Shopify Payments, PayPal, Stripe e altri gateway eventualmente attivati) trattano i dati finanziari e di pagamento degli Interessati in qualità di Titolari autonomi del trattamento, nell'ambito delle rispettive informative sulla privacy.
Corrieri e servizi di spedizione: i dati necessari alla consegna dei Prodotti (nominativo, indirizzo di spedizione, numero di telefono) sono comunicati ai vettori incaricati della logistica e del trasporto.
Fornitori di servizi tecnici e informatici: soggetti che forniscono servizi di hosting, manutenzione, assistenza tecnica, gestione delle e-mail transazionali e backup dei dati.
Consulenti e professionisti: commercialisti, consulenti fiscali, legali e altri professionisti incaricati dal Titolare per l'assolvimento di obblighi di legge o per la tutela dei propri diritti.
Autorità pubbliche e organi giudiziari: i dati personali possono essere comunicati ad autorità amministrative, fiscali, giudiziarie o di pubblica sicurezza, ove ciò sia richiesto per l'adempimento di un obbligo legale o per la tutela dei diritti del Titolare in sede giudiziaria.
6.2. Il Titolare non vende, cede a titolo oneroso né diffonde i dati personali degli Interessati a soggetti terzi per finalità di marketing autonomo di tali soggetti, salvo che l'Interessato non abbia prestato il proprio consenso esplicito in tal senso.
Articolo 7. Trasferimento dei dati personali al di fuori dello Spazio Economico Europeo
7.1. Alcuni dei fornitori di servizi del Titolare, tra cui Shopify Inc., possono essere stabiliti o operare in paesi situati al di fuori dello Spazio Economico Europeo (SEE). In tali circostanze, il trasferimento dei dati personali avviene nel rispetto delle garanzie previste dal Capo V del GDPR (articoli da 44 a 49).
7.2. In particolare, il Titolare si avvale dei seguenti meccanismi di trasferimento lecito: decisioni di adeguatezza adottate dalla Commissione Europea ai sensi dell'art. 45 del GDPR, ove il paese destinatario sia stato riconosciuto come in grado di garantire un livello adeguato di protezione dei dati; clausole contrattuali tipo (Standard Contractual Clauses, "SCC") adottate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c) del GDPR, nell'ultima versione approvata con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021; ulteriori garanzie supplementari, ove necessarie in esito alla valutazione dell'impatto del trasferimento (Transfer Impact Assessment) condotta dal Titolare.
7.3. L'Interessato può richiedere copia delle garanzie adottate per i trasferimenti internazionali dei propri dati personali contattando il Titolare ai recapiti di cui all'Articolo 1.
Articolo 8. Periodo di conservazione dei dati personali
8.1. I dati personali degli Interessati sono conservati dal Titolare per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti, nel rispetto del principio di limitazione della conservazione sancito dall'art. 5, par. 1, lett. e) del GDPR.
8.2. I criteri utilizzati per determinare il periodo di conservazione sono i seguenti:
Dati relativi all'esecuzione del contratto: conservati per tutta la durata del rapporto contrattuale e per un periodo successivo pari a dieci (10) anni dalla conclusione del contratto, in conformità agli obblighi di conservazione della documentazione contabile e fiscale previsti dall'art. 2220 del Codice Civile italiano e dall'art. 22 del D.P.R. 600/1973.
Dati relativi alla gestione dell'account: conservati fino alla cancellazione dell'account da parte dell'Interessato, salvo che la conservazione ulteriore non risulti necessaria per l'adempimento di obblighi legali o per la difesa dei diritti del Titolare.
Dati trattati sulla base del consenso: conservati fino alla revoca del consenso da parte dell'Interessato. A seguito della revoca, il Titolare cesserà il trattamento per la finalità specifica cui il consenso si riferiva, fermo restando il diritto di conservare i dati per l'adempimento di obblighi di legge o per la tutela in sede giudiziaria.
Dati di navigazione e cookie: conservati secondo le tempistiche indicate nella Cookie Policy del Sito.
8.3. Alla scadenza del periodo di conservazione applicabile, i dati personali saranno cancellati o resi anonimi in modo irreversibile, salvo che la conservazione ulteriore non sia giustificata da un obbligo legale, da un legittimo interesse del Titolare di carattere prevalente o dalla necessità di esercitare o difendere un diritto in sede giudiziaria.
Articolo 9. Diritti dell'Interessato
9.1. Ai sensi degli articoli da 15 a 22 del GDPR, l'Interessato ha il diritto di:
Diritto di accesso (art. 15 del GDPR): ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, ottenere l'accesso ai dati stessi e alle informazioni relative alle finalità, alle categorie di dati, ai destinatari, al periodo di conservazione, all'esistenza del diritto di rettifica, cancellazione, limitazione e opposizione, nonché al diritto di proporre reclamo a un'autorità di controllo.
Diritto di rettifica (art. 16 del GDPR): ottenere la correzione dei dati personali inesatti o l'integrazione dei dati incompleti che lo riguardano.
Diritto alla cancellazione (art. 17 del GDPR): ottenere la cancellazione dei propri dati personali quando ricorra una delle condizioni previste dal GDPR, salvo che il trattamento risulti necessario per l'adempimento di un obbligo legale, per l'esercizio o la difesa di un diritto in sede giudiziaria o per ulteriori motivi di interesse pubblico.
Diritto di limitazione del trattamento (art. 18 del GDPR): ottenere la limitazione del trattamento nelle ipotesi previste dal Regolamento, con la conseguenza che i dati saranno unicamente conservati senza essere sottoposti ad ulteriori operazioni di trattamento, salvo il consenso dell'Interessato.
Diritto alla portabilità dei dati (art. 20 del GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti al Titolare, nonché trasmettere tali dati a un altro titolare del trattamento senza impedimenti, laddove il trattamento si basi sul consenso o sull'esecuzione di un contratto e sia effettuato con mezzi automatizzati.
Diritto di opposizione (art. 21 del GDPR): opporsi in qualsiasi momento al trattamento dei propri dati personali fondato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare. In caso di opposizione, il Titolare si asterrà dal trattare ulteriormente i dati, a meno che non dimostri l'esistenza di motivi legittimi cogenti che prevalgono sugli interessi, i diritti e le libertà dell'Interessato, ovvero per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritto di opposizione al marketing diretto: l'Interessato ha il diritto di opporsi in qualsiasi momento e senza necessità di motivazione al trattamento dei propri dati personali per finalità di marketing diretto, inclusa la profilazione nella misura in cui sia connessa a tale marketing. A seguito dell'esercizio di tale diritto, i dati personali non saranno più trattati per le suddette finalità.
Diritto di revoca del consenso: qualora il trattamento sia fondato sul consenso, l'Interessato ha il diritto di revocarlo in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca.
9.2. L'Interessato può esercitare i diritti sopra elencati inviando una richiesta al Titolare mediante posta elettronica all'indirizzo info@trufflesandtreasures.com o mediante comunicazione scritta alla sede legale. Il Titolare fornirà riscontro alla richiesta senza ingiustificato ritardo e comunque entro trenta (30) giorni dal ricevimento, salvo proroga di ulteriori sessanta (60) giorni in ragione della complessità o del numero delle richieste, nel qual caso l'Interessato sarà informato della proroga e dei motivi del ritardo entro trenta (30) giorni dalla richiesta iniziale, in conformità all'art. 12, par. 3, del GDPR.
9.3. Prima di dar corso a una richiesta di esercizio dei diritti, il Titolare potrebbe dover verificare l'identità dell'Interessato richiedendo la produzione di un documento di riconoscimento in corso di validità, al fine di prevenire accessi non autorizzati ai dati personali.
Articolo 10. Diritto di reclamo all'Autorità di controllo
10.1. Fatti salvi tutti i diritti riconosciuti dagli articoli precedenti, l'Interessato che ritenga che il trattamento dei propri dati personali sia effettuato in violazione del GDPR ha il diritto di proporre reclamo all'autorità di controllo competente ai sensi dell'art. 77 del GDPR.
10.2. Per gli Interessati che risiedono o hanno domicilio in Italia, l'autorità di controllo competente è il Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, 00187 Roma, Italia; sito web: https://www.garanteprivacy.it; e-mail: garante@gpdp.it; PEC: protocollo@pec.gpdp.it.
10.3. Per gli Interessati residenti in un altro Stato membro dell'Unione Europea o dello Spazio Economico Europeo, il reclamo può essere proposto all'autorità di controllo dello Stato membro di residenza abituale, del luogo di lavoro o del luogo in cui si è verificata la presunta violazione. L'elenco delle autorità di controllo europee è consultabile all'indirizzo https://edpb.europa.eu/about-edpb/about-edpb/members_it.
Articolo 11. Dati dei minori
11.1. Il Sito e i servizi offerti dal Titolare non sono destinati a persone di età inferiore ai diciotto (18) anni. Il Titolare non raccoglie intenzionalmente dati personali relativi a minori. Qualora il Titolare venga a conoscenza di aver inavvertitamente raccolto dati personali di un soggetto minore senza il consenso di chi ne esercita la responsabilità genitoriale, provvederà alla loro tempestiva cancellazione.
11.2. Il genitore o il tutore legale di un minore che abbia fornito dati personali al Titolare senza la necessaria autorizzazione è invitato a contattare il Titolare ai recapiti indicati all'Articolo 1 per richiederne la cancellazione.
Articolo 12. Sicurezza dei dati personali
12.1. Il Titolare adotta misure tecniche e organizzative appropriate al fine di garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 del GDPR. Le misure adottate comprendono, ove appropriato: la cifratura dei dati in transito mediante protocollo SSL/TLS; la gestione dei diritti di accesso ai sistemi informativi con politiche di autenticazione e autorizzazione; la protezione dell'infrastruttura tecnologica tramite le garanzie di sicurezza offerte dalla piattaforma Shopify; procedure di backup periodico dei dati.
12.2. Il Titolare si impegna a rivalutare periodicamente l'adeguatezza delle misure di sicurezza adottate, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli Interessati. Nessuna misura di sicurezza può tuttavia garantire una protezione assoluta; pertanto, il Titolare declina ogni responsabilità per violazioni di sicurezza derivanti da attacchi informatici che superino le misure ragionevolmente adottate, fatti salvi gli obblighi di notifica al Garante e di comunicazione all'Interessato previsti dagli articoli 33 e 34 del GDPR.
Articolo 13. Cookie e tecnologie di tracciamento
13.1. Il Sito utilizza cookie e tecnologie analoghe per finalità tecniche, analitiche e, previo consenso dell'Interessato, di profilazione. Le tipologie di cookie utilizzati, le relative finalità, le basi giuridiche del trattamento, le modalità di gestione del consenso e le istruzioni per la disattivazione dei cookie sono illustrate in dettaglio nella Cookie Policy, consultabile in una sezione dedicata del Sito.
13.2. L'Interessato può gestire le proprie preferenze in materia di cookie attraverso il banner di gestione dei cookie visualizzato al primo accesso al Sito, nonché in qualsiasi momento successivo attraverso le impostazioni del proprio browser o mediante il link dedicato presente nel footer del Sito.
Articolo 14. Processi decisionali automatizzati e profilazione
14.1. Il Titolare non adotta processi decisionali interamente automatizzati, inclusa la profilazione, che producano effetti giuridici nei confronti dell'Interessato o che incidano in modo analogo significativamente sulla sua persona, ai sensi dell'art. 22 del GDPR.
14.2. Qualora in futuro il Titolare intendesse implementare sistemi di profilazione o processi decisionali automatizzati, ne darà preventiva comunicazione agli Interessati mediante aggiornamento della presente Informativa, garantendo il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione.
Articolo 15. Rapporto con Shopify
15.1. I dati personali raccolti tramite il Sito sono trasmessi e trattati da Shopify Inc. nell'ambito della fornitura dei servizi di piattaforma di commercio elettronico. Shopify opera in qualità di Responsabile del trattamento per le operazioni eseguite per conto del Titolare; per determinate funzionalità avanzate, ivi comprese le analisi aggregate e i servizi di pagamento, Shopify può altresì operare in qualità di Titolare autonomo del trattamento.
15.2. Per informazioni dettagliate sulle modalità con cui Shopify tratta i dati personali e sui diritti che l'Interessato può esercitare nei confronti di Shopify, si rinvia all'Informativa sulla Privacy dei consumatori di Shopify, disponibile all'indirizzo https://www.shopify.com/legal/privacy. L'Interessato può altresì esercitare i propri diritti nei confronti di Shopify attraverso il portale dedicato all'indirizzo https://privacy.shopify.com.
Articolo 16. Modifiche alla presente Informativa
16.1. Il Titolare si riserva il diritto di modificare, aggiornare o integrare la presente Informativa in qualsiasi momento, al fine di adeguarla a eventuali modifiche normative, a nuove pronunce delle autorità di controllo o a mutamenti nelle modalità e nelle finalità del trattamento. La versione aggiornata sarà pubblicata sul Sito con l'indicazione della data dell'"Ultimo aggiornamento" e, ove le modifiche riguardino trattamenti fondati sul consenso dell'Interessato, ne sarà data comunicazione mediante mezzi adeguati, quali l'invio di una e-mail informativa.
16.2. Si invita l'Interessato a consultare periodicamente la presente Informativa per prendere visione delle eventuali modifiche apportate.
La presente Informativa sulla Privacy è stata redatta e pubblicata in data 25 aprile 2026.