Informativa sulla privacy

Informativa Privacy

ART. 1: TITOLARE DEL TRATTAMENTO E CONTATTI

Titolare del trattamento: Kemy S.r.l.s. (P.IVA: 06062120875), con sede legale in Catania (CT), alla Via Giuseppe Patanè, n. 18, 95128, Italia.
Email privacy / esercizio diritti: amministrazione@kemy.srl
PEC: kemysrls@pec.it
Canali (diversi dal sito web: https://emyfoodlife.com/) ufficiali del Titolare:

https://kemy.srl/;
https://mealprepacademy.it/;
Instagram, Facebook, TikTok (profili ufficiali). I social network sono piattaforme terze: il trattamento dei messaggi diretti segue sia questa informativa sia le privacy policy dei rispettivi provider.

Il Titolare decide finalità e modalità del trattamento dei dati personali connessi ai servizi offerti: e-commerce di attrezzi di cucina, risorse gratuite, consulenza e vendita in privato con preventivo.

1.2 Data Protection Officer (DPO)

DPO nominato: non presente.
Se in futuro la società individuerà un Responsabile della Protezione dei Dati (DPO), i suoi dati verranno qui pubblicati.

Il punto di contatto per tutte le richieste privacy rimane: amministrazione@kemy.srl

Persone autorizzate al trattamento

Possono accedere ai dati, con istruzioni documentate ex art. 29 GDPR:

il Titolare;
i collaboratori e personale di supporto;
i consulenti, anche legali, di riferimento;
soggetti terzi nominati Responsabili esterni ex art. 28 (v. Art. 4).

Tutti sono vincolati a riservatezza.

ART. 2: DATI TRATTATI

Kemy S.r.l.s. tratta solo i dati necessari allo svolgimento dei servizi offerti (vendita in privato con preventivo, e-commerce di prodotti per la cucina, risorse gratuite, newsletter e attività di marketing), in conformità ai principi di minimizzazione, correttezza e trasparenza.

Dati di navigazione e log tecnici

Quando un utente visita i nostri siti web, sono automaticamente raccolti i seguenti dati, che sono necessari per il funzionamento del sito e che vengono trattati tramite cookie tecnici o strumenti equivalenti:

Indirizzo IP;
data/ora della visita;
user-agent del browser/dispositivo;
pagine visitate;
eventuali errori tecnici;
log di sicurezza e tentativi di accesso non autorizzati;
eventi tecnici registrati tramite Google Tag Manager.

A cosa servono:

sicurezza del sito;
prevenzione abusi/frodi;
funzionamento e manutenzione delle piattaforme;
statistiche aggregate (solo previo consenso, se analytics non tecnici).

Dati forniti dall’utente

Quando un utente compila un form sul sito o ci contatta tramite social o email, possiamo raccogliere:

nome e cognome;
email;
numero di telefono;
messaggio o richiesta inviata;
preferenze marketing (checkbox di consenso);
dati aziendali (per clienti business): denominazione, indirizzo, P.IVA/C.F., settore, ruolo, informazioni commerciali;

2.3 Dati relativi agli account su piattaforme esterne (Systeme.io)

Gli utenti possono creare un account su Systeme.io, dove sono registrati:

nome;
cognome;
email;
numero di telefono;
dati di fatturazione (C.F. o P.IVA);
storico acquisti;
log di accesso alla piattaforma.

Il fornitore della piattaforma può agire come Responsabile esterno o, per alcune funzioni, titolare autonomo (es. gestione pagamenti se integrata).

2.4 Dati necessari per acquisti/e-commerce

Per gli acquisti sul sito raccogliamo:

dati anagrafici e di contatto;
indirizzo di spedizione e fatturazione;
contenuto dell’ordine;
comunicazioni inviate per assistenza/resi.

I pagamenti sono gestiti da titolari autonomi: Stripe, PayPal, Klarna e circuiti carta di credito/debito. Non trattiamo e non memorizziamo i dati delle carte.

2.5 Dati relativi ai pagamenti (trattati dai gateway esterni)

I gateway di pagamento, come titolari autonomi, possono trattare:

dati identificativi;
email;
ultime cifre della carta;
indirizzo di fatturazione;
cronologia transazioni;
strumenti anti-frode.

Trattiamo solo gli esiti necessari (pagato/non pagato) per la consegna del servizio.

2.6 Newsletter, offerte e comunicazioni commerciali

Raccogliamo:

email;
nome (per personalizzare la comunicazione);
preferenze marketing (consenso);
cluster di interesse basati su: acquisti passati, tag provenienti da Meta Ads o form, aperture/click nelle email (profilazione semplice), interazione con i nostri contenuti social.

Le comunicazioni sono inviate tramite MailerLite.

2.7 Dati generati da attività di profilazione semplice

Effettuiamo attività di profilazione semplice, limitata e non invasiva attraverso:

storico acquisti;
categorie dei prodotti acquistati;
click nelle email;
dati derivanti da Meta Pixel (previo consenso).

La suddetta attività di profilazione semplice serve a:

segmentare gli utenti in gruppi;
inviare email più pertinenti;
mostrare contenuti/annunci coerenti con i tuoi interessi;
migliorare l’esperienza di acquisto.

Non comporta decisioni automatizzate aventi effetti giuridici o similmente significativi (art. 22 GDPR).

2.8 Recensioni

Possiamo raccogliere:

nome;
email;
testo della recensione;
foto (solo previo consenso scritto);
profilo social (se condiviso per interviste);
recensioni su Trustpilot (dati gestiti da titolare autonomo).

2.9 Dati provenienti da Meta Ads e altre inserzioni

Quando un utente si iscrive tramite una Lead Ads o compila un form sponsorizzato, possiamo raccogliere:

nome e cognome;
email;
numero di telefono;
interessi selezionati;
dati dichiarati nel form;
sorgente dell’inserzione.

Questi dati provengono direttamente dall’utente, anche se raccolti tramite piattaforma terza.

2.10 Dati relativi ai minori

I nostri servizi possono essere fruiti anche da minori.
Il trattamento avviene:

con consenso del genitore/tutore per acquisti;
con meccanismi di rimozione rapida su richiesta del genitore;
con limitazioni nelle attività di marketing rivolte ai minori.

Una sezione dedicata è presente all’Art. 10.

2.11 Altri strumenti e servizi usati

Durante l’uso del sito possono essere trattati dati tramite:

Google Analytics 4 (solo previo consenso);
Meta Pixel (solo previo consenso);
Hotjar (solo previo consenso);
Google Tag Manager;
YouTube;
BunnyCDN;
Manychat;
Dropbox;
Google Workspace.

2.12 Dati tecnici e di sicurezza

Per garantire, il più possibile, la sicurezza dei dati compiamo le seguenti operazioni:

log di sistema;
log accesso account;
backup periodici;
trattiamo i dati necessari a rilevare anomalie o attacchi;
ricerchiamo informazioni sulla configurazione dei dispositivi autorizzati;
ricaviamo identificativi tecnici (ID contenuti nei cookie tecnici).

ART. 3: FINALITÀ DEL TRATTAMENTO, BASI GIURIDICHE E NATURA DEL CONFERIMENTO

Trattiamo i dati personali esclusivamente per le finalità descritte qui sotto.
Per ogni finalità indichiamo:

Base giuridica;
Dati trattati;
Natura del conferimento (necessario/facoltativo);
Conseguenze del mancato conferimento;
Periodo di conservazione;
Categorie di destinatari.

3.1 Tabella completa

A) Gestione dei contatti e riscontro alle richieste dell’utente

Elemento	Descrizione
Finalità	Rispondere a richieste di informazioni, preventivi, assistenza, supporto tecnico, richieste social/WhatsApp.
Base giuridica	Art. 6(1)(b) GDPR – esecuzione di misure precontrattuali richieste dall’utente.
Dati trattati	Nome, cognome, email, telefono, messaggio, dati aziendali (se B2B), log di sistema Manychat/CRM.
Conferimento	Necessario per ricevere risposta.
Conseguenze mancato conferimento	Impossibilità di fornire assistenza.
Conservazione	Fino a evasione + verifiche periodiche ogni 12 mesi.
Destinatari	Hosting, email provider, CRM/automation (Manychat), consulenti autorizzati.

B) Vendita di prodotti per la cucina

Elemento	Descrizione
Finalità	Gestione ordine, pagamento, fatturazione, spedizione, supporto cliente.
Base giuridica	Art. 6(1)(b) GDPR – contratto; Art. 6(1)(c) – obblighi legali contabili/fiscali.
Dati trattati	Dati anagrafici, contatto, indirizzo, dati fatturazione (P.IVA/C.F.), storico ordini.
Conferimento	Necessario.
Conseguenze mancato conferimento	Impossibilità di acquistare.
Conservazione	Dati contabili 10 anni; dati account fino a cancellazione; log accesso 24 mesi.
Destinatari	Systeme.io (account), Google Workspace, GLS (corriere), commercialista, consulenti.

C) Pagamenti

Elemento	Descrizione
Finalità	Gestione dei pagamenti tramite Stripe, PayPal, Klarna, carte.
Base giuridica	Art. 6(1)(b) GDPR – contratto.
Dati trattati	Esito pagamento, ID transazione, ultime 3 cifre della carta.
Conferimento	Necessario.
Conseguenze mancato conferimento	Impossibilità di completare l’acquisto.
Conservazione	10 anni per finalità fiscali; dati carta non trattati dal Titolare.
Destinatari	Stripe, PayPal, Klarna (titolari autonomi).

D) Spedizioni e gestione resi

Elemento	Descrizione
Finalità	Preparazione consegna, spedizione, gestione resi e garanzie.
Base giuridica	Art. 6(1)(b) GDPR – contratto.
Dati trattati	Nome, cognome, indirizzo, email, telefono.
Conferimento	Necessario.
Conseguenze	Impossibile spedire i prodotti.
Conservazione	Tempo necessario alla gestione + 24 mesi.
Destinatari	GLS (responsabile), consulenti logistici.

E) Newsletter, offerte commerciali, campagne marketing

Elemento	Descrizione
Finalità	Invio newsletter, comunicazioni promozionali, offerte.
Base giuridica	Art. 6(1)(a) GDPR – consenso esplicito (checkbox/form/ADS).
Dati trattati	Email, nome, preferenze, tag da Meta Ads, interazioni.
Conferimento	Facoltativo.
Conseguenze	Nessun impatto sui servizi; niente email promozionali.
Conservazione	Fino a revoca + 24 mesi dall’ultima interazione.
Destinatari	MailerLite (responsabile), Meta, Google (se cookie marketing attivi).

F) Marketing differenziato clienti – non clienti

Elemento	Descrizione
Finalità	Inviare ai clienti offerte dedicate, sconti personalizzati.
Base giuridica	Consenso (art. 6(1)(a)); NO soft-spam.
Dati trattati	Storico acquisti, interazioni email, categorie prodotto acquistate.
Conferimento	Facoltativo.
Conseguenze	Il cliente non riceverà sconti o promozioni dedicate.
Conservazione	24 mesi; rinnovo del consenso richiesto dopo 24 mesi di inattività.
Destinatari	MailerLite.

G) Profilazione semplice e tracciamenti email

Elemento	Descrizione
Finalità	Segmentazione utenti in base ad acquisti, interesse, click, apertura email; invio comunicazioni pertinenti.
Base giuridica	Art. 6(1)(a) GDPR – consenso.
Dati trattati	Tag, cluster, storico acquisti, aperture/click email, eventi Systeme.io, Meta Pixel.
Conferimento	Facoltativo.
Conseguenze	Comunicazioni meno pertinenti.
Conservazione	12 mesi dalla raccolta.
Destinatari	MailerLite, Meta, Google (se analytics attivi).

Non esistono decisioni automatizzate con effetti giuridici (art. 22 GDPR).

H) Meta Pixel, Google Analytics, Hotjar

Elemento	Descrizione
Finalità	Analisi traffico, performance, remarketing, misurazione campagne.
Base giuridica	Art. 6(1)(a) GDPR – consenso tramite cookie banner.
Dati trattati	IP anonimizzato (se previsto), pagine visitate, ID dispositivo, interazioni.
Conferimento	Facoltativo.
Conseguenze	Navigazione invariata, ma senza personalizzazione/metriche.
Conservazione	Secondo durata cookie (es. GA4: 14 mesi).
Destinatari	Google LLC, Meta Platforms, Hotjar, BunnyCDN.

I) Recensioni e pubblicazione di contenuti

Elemento	Descrizione
Finalità	Pubblicare recensioni, testimonianze, foto/video.
Base giuridica	Art. 6(1)(a) – consenso scritto dell’interessato.
Dati trattati	Nome, foto, profilo social, testo recensione.
Conferimento	Facoltativo.
Conseguenze	Nessuna pubblicazione della recensione nominativa.
Conservazione	Fino a revoca.
Destinatari	Trustpilot (titolare autonomo), sito web, social.

L) Sicurezza informatica, prevenzione abusi/frodi

Elemento	Descrizione
Finalità	Protezione sistemi, rilevazione accessi anomali, gestione incidenti, log sicurezza.
Base giuridica	Art. 6(1)(f) – legittimo interesse del Titolare.
Dati trattati	IP, log, eventi GTM, device info, log account.
Conferimento	Necessario per usare il sito.
Conseguenze	Impossibilità di erogare il servizio in modo sicuro.
Conservazione	24 mesi.
Destinatari	Hosting, CDN (Bunny CDN), fornitori IT.

M) Adempimenti legali, fiscali, contabili e tutela giudiziaria

Elemento	Descrizione
Finalità	Assolvere obblighi di legge e tutelare i diritti del Titolare in sede giudiziaria.
Base giuridica	Art. 6(1)(c) – obbligo legale; Art. 6(1)(f) – legittimo interesse.
Dati trattati	Fatture, ricevute, corrispondenza, documenti fiscali, log, ordini.
Conferimento	Necessario.
Conseguenze	Impossibile concludere contratti.
Conservazione	10 anni.
Destinatari	Commercialista, consulenti legali, autorità.

ART. 4: DESTINATARI E RESPONSABILI DEL TRATTAMENTO

Preliminarmente, si afferma che non vendiamo dati personali e non effettuiamo diffusione al pubblico.

4.1 Categorie di destinatari

I dati possono essere comunicati alle seguenti categorie di soggetti:

Fornitori IT e hosting: Provider hosting e server dei siti web, CDN (Bunny CDN), Sistemi di sicurezza e backup. Il loro Ruolo è quello di Responsabili del trattamento ex art. 28 GDPR;
Piattaforme per email marketing e automazioni: MailerLite (invio newsletter, automazioni email, segmentazioni), ManyChat (automazioni chat / social DM). Il loro Ruolo è quello di Responsabili del trattamento: essi registrano aperture/click e gestiscono segmentazioni solo se hanno ottenuto consenso;
Piattaforma per account: io (per la gestione degli account degli utenti, fatturazione). Il suo Ruolo è quello di Responsabile esterno.
Strumenti di marketing e analisi: Meta Platforms (Facebook/Instagram Ads, Meta Pixel), Google LLC (Google Analytics GA4, Google Tag Manager, Drive, Meet, Workspace), Hotjar (mappe di calore, registrazione sessioni). Il loro Ruolo è il seguente:
i cookie/tracciatori sono Titolari autonomi del Trattamento;
Workspace/Drive/Meet sono Responsabili del Trattamento (secondo contratto DPA ufficiale Google). Per questi strumenti i dati possono essere trasferiti extra-UE: vedi Art. 5;
Pagamenti online: i dati di pagamento vengono trattati direttamente dai provider Stripe, PayPal, Klarna, nonché da circuiti di carta di credito/debito. Il loro Ruolo è quello di Titolari autonomi del Trattamento. Noi non trattiamo né conserviamo i dati della carta.
Logistica e spedizioni: GLS (corriere). Il suo Ruolo è quello di Responsabile esterno. GLS riceve i dati necessari a spedire e gestire resi (nome, indirizzo, telefono).
Consulenti e professionisti: Commercialista/studio fiscale, Consulenti legali, Collaboratori autorizzati interni. Il loro Ruolo è il seguente:
Se elaborano dati solo su nostra istruzione, essi sono Responsabili del Trattamento;
Se agiscono per obblighi di legge, essi sono Titolari autonomi del Trattamento;
Autorità competenti: autorità fiscali, giudiziarie, forze dell’ordine. Il loro Ruolo è quello di Titolari autonomi per obblighi di legge.

4.2 Persone autorizzate al trattamento (art. 29 GDPR)

All’interno di Kemy S.r.l.s. possono accedere ai dati, secondo istruzioni documentate:

il Titolare del trattamento;
i collaboratori coinvolti nelle attività e-commerce, assistenza, corsi, social;
i legali ed i professionisti incaricati.

Tutti i soggetti richiamati sono vincolati a riservatezza e apposite policy interne.

4.3 Elenco completo dei Responsabili

L’elenco aggiornato e completo dei responsabili del trattamento è disponibile su richiesta inviando email a: amministrazione@kemy.srl

ART. 5: TRASFERIMENTI EXTRA-UE

I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo (“SEE”) quando necessario per l’utilizzo di servizi digitali forniti da aziende con sede extra-UE (es. Stati Uniti). Kemy S.r.l.s. effettua tali trasferimenti solo verso Paesi che garantiscono un livello di protezione conforme al GDPR, adottando una o più delle seguenti basi giuridiche.

5.1 Basi per il trasferimento dei dati

A) Decisione di adeguatezza – Data Privacy Framework (DPF)

Per alcuni servizi statunitensi che hanno aderito al DPF UE-USA, il trasferimento avviene sulla base della decisione di adeguatezza della Commissione Europea (luglio 2023). Esempi: Google LLC (per alcuni servizi), MailerLite, Meta Platforms Inc. nei limiti in cui risultino certificati al DPF.

B) Clausole Contrattuali Standard (SCC) + misure supplementari

Quando il fornitore non rientra nel Data Privacy Framework, utilizziamo le SCC adottate dalla Commissione Europea, integrate da:

cifratura in transito e a riposo;
pseudonimizzazione (laddove possibile);
minimizzazione;
controllo degli accessi;
policy interne e limitazioni contrattuali del fornitore;
2FA sugli account;
sistemi di monitoraggio e log.

Queste garanzie sono applicate per: Streamyard, Dropbox, ManyChat, Hotjar.

C) Art. 49 GDPR – deroghe (solo in via residuale)

Utilizzate solo quando indispensabile e mai in modo sistematico.

5.2 Valutazioni d’impatto e Transfer Impact Assessment (TIA)

Per ciascun trasferimento extra-UE verso fornitori che non rientrano nel DPF, Kemy S.r.l.s. effettua una Transfer Impact Assessment (TIA) per valutare:

il quadro normativo del Paese terzo;
il livello di rischio per i diritti degli interessati;
le misure tecniche e organizzative di mitigazione;
la necessità del trasferimento in relazione al servizio.

Una sintesi del TIA o una copia delle SCC può essere richiesta all’indirizzo: amministrazione@kemy.srl

5.3 Fornitori che possono comportare trasferimenti extra-UE

Di seguito i principali servizi utilizzati:

Fornitore	Paese	Base del trasferimento
Google LLC (Analytics, Workspace, Tag Manager)	USA	DPF + SCC
Meta Platforms Inc. (Facebook/Instagram Ads, Pixel)	USA	DPF (parziale) + SCC
MailerLite	USA/UE	DPF/SCC
ManyChat	USA	SCC
Streamyard	USA	SCC
Dropbox	USA	SCC
Hotjar	UE/extra-UE	SCC
Stripe	USA/UE	SCC (titolare autonomo)
PayPal	USA/UE	SCC (titolare autonomo)
Klarna	UE	Non extra-UE
BunnyCDN	vari	SCC se extra-UE
Trustpilot	UE	Non extra-UE

Nota importante:
per tutti gli strumenti di marketing (Meta, GA4, Hotjar), nessun dato non tecnico viene trasferito senza consenso esplicito dell’utente tramite cookie banner.

5.4 Conservazione dei dati presso fornitori extra-UE

I fornitori extra-UE trattano i dati solo per:

erogare i servizi a Kemy S.r.l.s.;
garantire sicurezza, affidabilità e backup;
rispettare la normativa locale.

Sono vietate:

forme di rivendita dei dati;
uso per finalità proprie non compatibili con l’accordo;
addestramento dei modelli IA, se non autorizzato.

5.5 Diritti degli utenti in caso di trasferimenti extra-UE

Gli utenti mantengono tutti i diritti del GDPR anche quando i dati vengono trattati negli Stati Uniti o in altri Paesi terzi.

In caso di reclami, oltre al Garante, è possibile rivolgersi al Data Protection Review Court (DPF) per i fornitori certificati.

ART. 6: TEMPI DI CONSERVAZIONE DEI DATI

Conserviamo i dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, nel rispetto degli artt. 5(1)(e) e 13 GDPR, nonché delle normative civilistiche, fiscali e commerciali. Quando non è possibile indicare un termine fisso, utilizziamo criteri chiari e verificabili (periodicità di verifica, ultima interazione, necessità contrattuale o legale).

6.1 Tabella di conservazione per finalità

Finalità del trattamento	Categorie di dati	Base giuridica	Durata di conservazione
Gestione richieste tramite form di contatto/email/DM social	Dati di contatto, contenuto della richiesta	Contratto o misure precontrattuali (art. 6(1)(b))	Fino a evasione + 12 mesi (per controlli organizzativi)
Creazione e gestione account su Systeme.io	Nome, cognome, email, telefono, dati di fatturazione.	Contratto (art. 6(1)(b))	Per tutta la durata dell’account + 24 mesi dall’ultima attività
Acquisto prodotti (e-commerce)	Dati identificativi, contatti, acquisti, indirizzo spedizione	Contratto (art. 6(1)(b))	Per tutta la durata del rapporto + 24 mesi in caso di contestazioni
Fatturazione e obblighi amministrativi/fiscali	Dati identificativi, pagamento, fatturazione	Obbligo legale (art. 6(1)(c))	10 anni (obbligo di legge)
Pagamenti (Stripe, PayPal, Klarna)	Dati transazione	Titolari autonomi	Secondo loro policy
Newsletters, comunicazioni commerciali, offerte	Nome, email, preferenze	Consenso (art. 6(1)(a))	Fino a revoca + massimo 24 mesi dall’ultima interazione
Comunicazioni marketing verso clienti (soft marketing)	Email cliente, storico acquisti	Legittimo interesse (art. 6(1)(f)) e art. 130(4) Codice Privacy	Fino a opt-out + 24 mesi dall’ultima interazione
Profilazione semplice (cluster acquisti/click)	Storico interazioni email, click, acquisti	Consenso (art. 6(1)(a))	12 mesi, poi anonimizzazione
Analytics e statistiche (GA4)	Dati navigazione, metriche sito	Consenso (art. 6(1)(a))	14 mesi (impostazione GA4)
Cookie tecnici	Log tecnici, preferenze CMP	Legittimo interesse / Necessità tecnica	Durata del cookie (vedi Cookie Policy)
Cookie non tecnici (marketing/analytics)	ID online, cookie, Pixel	Consenso (art. 6(1)(a))	Secondo durata specifica del cookie (vedi Cookie Policy)
Registrazione accessi e log sicurezza	IP, timestamp, device, tentativi accesso	Legittimo interesse (art. 6(1)(f))	6–12 mesi (a seconda del log)
Recensioni (nome/foto)	Nome, foto, testo recensione	Consenso (art. 6(1)(a))	Fino a revoca del consenso
Gestione contenziosi e tutela giudiziaria	dati necessari	Legittimo interesse (art. 6(1)(f))	Per il tempo necessario alla difesa dei diritti

6.2 Criteri aggiuntivi

Quando non è possibile stabilire un termine preciso, la conservazione avviene secondo i seguenti criteri:

tempo necessario alla gestione del rapporto con l’utente;
obblighi legali in materia fiscale, civilistica e commerciale;
necessità di tutelare il Titolare in caso di controversie;
periodiche verifiche interne (almeno annuali) sulle finalità e sulle basi giuridiche.

6.3 Cancellazione o anonimizzazione

Al termine dei periodi indicati, i dati vengono cancellati, oppure pseudonimizzati o anonimizzati, quando utili a fini statistici o di miglioramento dei servizi.

ART. 7: COOKIE ED ALTRI TRACCIATORI

Sul sito utilizziamo cookie e tecnologie simili (pixel, script, local storage) per garantire il corretto funzionamento della piattaforma, comprendere l’utilizzo dei servizi e, previa prestazione del consenso, svolgere attività di analisi e marketing. Una descrizione completa, l’elenco dettagliato di cookie e tracciatori con durata e terze parti, è disponibile nella Cookie Policy dedicata e nel banner di gestione preferenze (CMP), accessibile in ogni momento tramite il link “Preferenze Cookie” presente nel footer.

7.1 Funzionamento del Cookie Banner (CMP)

Il banner è configurato secondo i principi di “equal prominence” stabiliti dal Garante:

Pulsanti “Accetta tutti”, “Rifiuta tutti” e “Personalizza” sul medesimo livello e con pari evidenza;
Nessun cookie non tecnico viene installato prima del consenso;
Chiusura del banner tramite “X” equivale alla mancata prestazione di alcun consenso;
Il consenso è granulare per categorie (es. analytics, marketing);
Il rifiuto o la revoca sono sempre possibili attraverso il link “Preferenze Cookie”.

Registro dei consensi (per 12–24 mesi):

timestamp del consenso;
versione del banner/policy;
categorie accettate o rifiutate;
device/browser.

In caso di modifica sostanziale dei partner o delle finalità, verrà richiesto un nuovo consenso.

7.2 Come modificare o revocare il consenso

L’utente può:

cliccare su “Preferenze Cookie” nel footer del sito;
modificare selettivamente le categorie attive;
revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.

Art.8: PROFILAZIONE E DECISIONI AUTOMATIZZATE

8.1 Profilazione semplice

Svolgiamo attività di profilazione non invasiva, basata unicamente su:

storico degli acquisti (prodotti, quantità, valore);
interazioni con le email (aperture, click, link cliccati);
preferenze indicate dall’utente nei form.

La profilazione è utilizzata esclusivamente per:

inviare contenuti più pertinenti agli interessi dell’utente;
proporre offerte e comunicazioni personalizzate;
segmentare gli utenti in gruppi.

La profilazione avviene previo Consenso esplicito (art. 6(1)(a) GDPR) dell’utente, dallo stesso prestato tramite checkbox nei form del sito e tramite form nelle ADS Meta; L’utente può revocare il consenso in qualsiasi momento.

Il consenso è facoltativo.
La mancata prestazione non incide sull’uso del sito né sull’acquisto dei prodotti/servizi.

8.2 Tecnologie utilizzate

La profilazione avviene tramite:

MailerLite (invio newsletter e analisi aperture/click);
Meta Pixel (solo se l’utente presta consenso marketing);
Google Analytics 4 (solo previa accettazione cookie analytics);
Hotjar (mappe e comportamento interfaccia, solo con consenso);
io (non usato a fini di profilazione commerciale senza consenso).

La profilazione è limitata, non produce categorie sensibili né comporta effetti significativi per l’utente.

8.3 Decisioni automatizzate ex art. 22 GDPR

Non adottiamo decisioni basate unicamente sul trattamento automatizzato che producano effetti giuridici o incidano significativamente sulla persona, ai sensi dell’art. 22 GDPR.

Qualsiasi raccomandazione di contenuti o offerte personalizzate:

non limita i diritti dell’utente;
non comporta obblighi né impatti sostanziali;
può essere disattivata revocando il consenso.

8.4 Periodo di conservazione dei dati di profilazione

I dati utilizzati per la profilazione vengono conservati per:

12 mesi dall’ultima interazione (linee guida EDPB + best practice marketing);
successivamente anonimizzati o cancellati, salvo diverso obbligo di legge.

8.5 Diritto di opposizione

L’utente può:

revocare il consenso al marketing e alla profilazione tramite link “unsubscribe” presente in ogni email;
scrivere a amministrazione@kemy.srl;
disattivare i cookie di marketing dal pannello “Preferenze Cookie”.

La revoca è immediata e non pregiudica la liceità del trattamento precedente.

ART. 9: DIRITTI DELL’INTERESSATO E MODALITA’ DI ESERCIZIO

Gli utenti (interessati) possono esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15–22 GDPR e dal Codice Privacy.
I diritti sono gratuiti e vengono gestiti entro 30 giorni dalla richiesta (prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione motivata).

9.1 Quali diritti possono essere esercitati

– Diritto di accesso (art. 15), per ottenere:

conferma che sia o meno in corso un trattamento dei tuoi dati;
copia dei dati trattati;
informazioni su finalità, categorie, destinatari, tempi di conservazione e diritti;

– Diritto di rettifica (art. 16), per chiedere la correzione dei dati inesatti o l’integrazione di quelli incompleti;

– Diritto alla cancellazione (art. 17), per chiedere che i dati siano cancellati quando:

non siano più necessari alle finalità raccolte;
l’interessato revochi il consenso;
l’interessato si opponga al trattamento;
i dati siano trattati illecitamente;
vi sia un obbligo legale di cancellazione.

La cancellazione potrebbe essere negata quando sussistono obblighi di legge (es. conservazione fiscale 10 anni);

– Diritto alla limitazione del trattamento (art. 18), quando:

l’interessato contesti l’esattezza dei dati;
l’interessato si opponga al trattamento (in attesa di valutazione);
il trattamento sia illecito ma l’interessato non voglia la cancellazione;
i dati servono per la difesa in giudizio;

– Diritto alla portabilità dei dati (art. 20): se il trattamento si basi su contratto o consenso, l’interessato può ottenere i dati in formato strutturato, interoperabile, oppure chiederne la trasmissione diretta a un altro titolare, se tecnicamente possibile.

– Diritto di opposizione (art. 21):

al trattamento basato su legittimo interesse (es. sicurezza, organizzazione interna), indicando le ragioni legate alla situazione particolare dell’interessato;
in qualsiasi momento, senza motivazione, al marketing diretto e alla profilazione collegata al marketing.

In caso di opposizione al marketing, l’attività cessa immediatamente;

– Diritto di revoca del consenso (art. 7) in ogni momento, senza che ciò pregiudichi la liceità del trattamento precedente.

– Diritto di proporre reclamo al Garante (art. 77)

Se l’interessato ritenga che i suoi diritti siano stati violati, può presentare reclamo all’autorità di controllo:

Garante per la Protezione dei Dati Personali
Sito: https://www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it

Resta salva la possibilità di adire l’autorità giudiziaria (art. 79 GDPR).

9.2 Modalità di esercizio dei diritti

L’interessato può esercitare i propri diritti inviando una richiesta all’email privacy (Titolare): amministrazione@kemy.srl

In caso di richiesta relativa a dati trattati tramite servizi terzi (Stripe, PayPal, Meta, Google, Systeme.io ecc.), collaboreremo con tali soggetti per fornire un riscontro completo.

9.3 Identificazione del richiedente

Per tutelare la sicurezza dei dati, il Titolare potrebbe richiedere informazioni aggiuntive per verificare l’identità del richiedente, quando necessario, ex art. 12(6) GDPR.

ART. 10: MINORI

10.1 Accesso dei minori ai servizi

Alcuni servizi offerti dal Titolare (es. acquisto di prodotti, iscrizione a community) possono essere utilizzati anche da soggetti che non abbiano ancora compiuto gli anni 18.

Il Titolare adotta misure ragionevoli per verificare la liceità del trattamento, nel rispetto degli artt. 8 GDPR e 2-quinquies del Codice Privacy.

10.2 Minori di anni 14

Per i servizi della società dell’informazione offerti direttamente a un minore con età inferiore a 14 anni, il trattamento dei dati personali è lecito solo con il consenso del titolare della responsabilità genitoriale.

Il Titolare potrà quindi:

richiedere la conferma del rapporto di responsabilità genitoriale;
richiedere un recapito del genitore/tutore per conferma del consenso;
sospendere o limitare l’account fino alla ricezione del consenso.

10.3 Minori tra 14 e 18 anni

i minori di età compresa tra 14 e 18 anni:

possono usufruire autonomamente dei servizi che non comportano rischi elevati;
per attività che comportano trattamenti particolari (es. pagamenti, contenuti personalizzati, profilazione) il Titolare può richiedere un consenso del genitore/tutore quando necessario.

10.4 Acquisti e pagamenti effettuati da minori

Nei casi in cui un minore effettui un ordine e comunichi dati personali al fine di completare un acquisto:

il Titolare considera necessario che il pagamento sia effettuato da un maggiorenne (genitore/tutore) o comunque da un soggetto debitamente autorizzato;
il Titolare potrà richiedere conferma dell’età dell’acquirente o del consenso del genitore/tutore, quando appropriato.

10.5 Revoca del consenso e rimozione dei dati dei minori

Il genitore/tutore può:

revocare il consenso in qualsiasi momento;
richiedere la cancellazione immediata di dati personali del minore;
richiedere la rimozione da materiali registrati quando il minore è riconoscibile, nei limiti tecnici e contrattuali.

Richieste: amministrazione@kemy.srl

10.6 Sicurezza dei minori

Il Titolare adotta misure tecniche e organizzative aggiuntive per la protezione dei dati dei minori, tra cui:

limitazione dell’accesso ai dati al solo personale autorizzato (collaboratori e legali);
minimizzazione dei dati richiesti;
misure di sicurezza (2FA, dispositivi protetti, backup, policy interne).

ART. 11: MISURE DI SICUREZZA, AGGIORNAMENTI E VERSIONE DELL’INFORMATIVA

11.1 Misure di sicurezza tecniche e organizzative

Il Titolare adotta misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 GDPR, proporzionate ai rischi del trattamento e costantemente aggiornate.
Si indicano, di seguito, a titolo meramente esemplificativo e non esaustivo, alcune delle misure tecniche ed organizzative adottate.

Misure tecniche:

sistemi e dispositivi protetti da password/PIN complessi;
autenticazione a due fattori (2FA) su account, email e piattaforme utilizzate;
aggiornamenti periodici dei software e dei sistemi operativi;
antivirus e sistemi antimalware attivi;
connessioni cifrate (HTTPS / TLS);
backup periodici off-site e/o cifrati;
minimizzazione dei dati negli strumenti e ambienti operativi;
controllo e gestione dei log di accesso.

Misure organizzative:

accesso ai dati limitato a personale autorizzato: titolare, collaboratori interni ed esterni, legali e consulenti;
accordi di riservatezza e istruzioni vincolanti per i collaboratori;
processi di revisione periodica e cancellazione dei dati non più necessari;
valutazioni d’impatto e TIA (Transfer Impact Assessment), ove richiesto per i trasferimenti extra-UE;
gestione degli incidenti di sicurezza e procedure di data breach conformi agli artt. 33–34 GDPR.

11.2 Aggiornamenti dell’informativa

Il Titolare si riserva di modificare o aggiornare la presente informativa in qualsiasi momento, quando:

cambia la normativa applicabile;
cambiano i trattamenti effettuati o i fornitori;
vengono introdotti nuovi servizi o funzionalità;
vi sono modifiche organizzative rilevanti.

In caso di modifiche rilevanti che impattino sui diritti dell’interessato (es. nuove finalità, nuove basi giuridiche, nuovi destinatari o trasferimenti fuori UE):

l’utente verrà informato tramite avviso sul sito, email o banner;
se richiesto dalla legge, verrà richiesto un nuovo consenso.

La versione sempre aggiornata è disponibile sul sito.

11.3 Decorrenza e versione

Versione:0
Data ultimo aggiornamento:11.2025