Privacy Policy

Gentile interessato,

di seguito troverai tutte le indicazioni utili a comprendere le finalità e modalità di trattamento dei tuoi dati personali (di seguito i “Dati”) oltre ad ogni altra informazione prevista dal Regolamento (UE) 2016/679 c.d. “General Data Protection Regulation” (di seguito “GDPR”) e della normativa italiana, in particolare il D. Lgs. 196/2003 così come novellato dal D. Lgs 101/2018 e ss. mm. e ii., in materia di protezione dei dati personali.

1. Titolare del trattamento

Il Titolare del trattamento dei dati (di seguito il “Titolare”) è Extra Milano S.r.l, nella persona del suo legale rappresentante pro tempore in carica, codice fiscale e partita iva 10329040967, con sede in Milano, Via Manzoni 45, e-mail  info@extraitalia.com,  pec extramilano@pec.extramilano.it, sito internet https://extra.milano.it/ .

2. Oggetto, finalità e base giuridica del trattamento

2.1. Il trattamento avrà ad oggetto Dati forniti volontariamente dall’interessato o altrimenti legittimamente acquisiti dal Titolare nello svolgimento della propria attività, direttamente e/o per il tramite di terzi all’uopo incaricati, secondo le seguenti modalità:

(a) Dati di navigazione raccolti a seguito di accesso e/o utilizzo da parte dell’interessato del sito internet e/o delle applicazioni del Titolare, nel loro normale esercizio, quali i dati personali la cui trasmissione è implicita nell’uso di cookies e protocolli di comunicazione di internet (indirizzo IP, tipo di browser e parametri del dispositivo utilizzato per connettersi al sito, nome dell’internet service provider, data e orario di visita, pagina web di provenienza del visitatore e di uscita, eccetera), che verranno trattati al fine di monitorare il funzionamento tecnico e le prestazioni del sito internet, ricavare informazioni statistiche anonime sull’uso che ne viene fatto (ad es. quanto al numero di accessi), sviluppare e migliorarne i servizi, nonché, ove necessario, accertare responsabilità in caso di violazioni legali o reati informatici ai danni del Titolare (si rimanda anche all’informativa cookies presente nel sito internet). La base giuridica del trattamento di tali dati è da ravvisarsi nel perseguimento del legittimo interesse del Titolare ai sensi dell’articolo 6, comma 1, lettera f), del GDPR.

(b) Dati raccolti tramite il modulo di contatto (nome e cognome, recapito telefonico, indirizzo e-mail), liberamente trasmessi dall’interessato attraverso il sito internet, che verranno trattati al fine di identificare potenziali clienti ed interessati e rispondere alle richieste informative ed istanze da questi avanzate. La base giuridica del trattamento di tali dati è da ravvisarsi nel consenso espresso dall’interessato per la soddisfazione di proprie richieste ai sensi dell’articolo 6, comma 1, lettera a), del GDPR e/o nell’esecuzione di contratti o misure precontrattuali relative all’interessato ai sensi dell’articolo 6, comma 1, lettera b), GDPR.

(c) Dati raccolti tramite registrazione all’area riservata e creazione di un account (nome e cognome, indirizzo di residenza o sede, recapito telefonico, indirizzo e-mail, credenziali, indirizzo di consegna, cronologia degli ordini, dati delle transazioni, altre eventuali informazioni necessarie alla prestazione dei servizi), che verranno trattati per permettere all’interessato di accedere ai servizi riservati agli utenti registrati, concludere gli acquisti di prodotti e adempiere agli obblighi contrattuali, legali ed amministrativi da essi derivanti. La base giuridica del trattamento di tali dati è da ravvisarsi nel consenso espresso dall’interessato per la soddisfazione di proprie richieste ai sensi dell’articolo 6, comma 1, lettera a), del GDPR e/o nell’esecuzione di contratti o misure precontrattuali relative all’interessato ai sensi dell’articolo 6, comma 1, lettera b), GDPR.

(d) Dati raccolti tramite iscrizione alla newsletter e/o l’autorizzazione di attività promozionali (indirizzo e-mail), che verranno trattati solo previo specifico e distinto consenso da parte dell’interessato al fine di trasmettergli news e materiale informativo-promozionale relativo al Titolare o ai prodotti e servizi offerti per il tramite del sito internet, secondo le modalità meglio indicate nel successivo articolo 3 della presente informativa. La base giuridica del trattamento di tali dati è da ravvisarsi nel consenso espresso dal soggetto interessato ai sensi dell’articolo 6, comma 1, lettera a), GDPR.

(e) Ogni altro dato altrimenti legittimamente acquisito dal Titolare nello svolgimento della propria attività, in qualsiasi forma e su qualsiasi supporto, tra cui, a titolo esemplificativo, messaggi, richieste informative, preventivi, proposte negoziali, contratti, documenti ad essi inerenti, materiale informativo, corrispondenza, trasmissioni internet e via software, apparecchiature e altri beni di proprietà e/o disponibilità delle parti, comunicazioni verbali, eccetera. La base giuridica nel perseguimento del legittimo interesse del Titolare ai sensi dell’articolo 6, comma 1, lettera f), del GDPR, e/o nel consenso espresso dall’interessato per la soddisfazione di proprie richieste ai sensi dell’articolo 6, comma 1, lettera a), del GDPR e/o nell’esecuzione di contratti o misure precontrattuali relative all’interessato ai sensi dell’articolo 6, comma 1, lettera b), GDPR.

2.2. I Dati potranno essere trattati anche per lo svolgimento di attività strumentali o accessorie ai servizi resi dal Titolare (ad es. gestione dei pagamenti, verifiche, assistenza, ecc.), il conferimento e l’esecuzione di eventuali incarichi di responsabile ai sensi dell’art. 28 GDPR, nonché l’adempimento di eventuali obblighi di legge, nazionale e/o europea, e provvedimenti di Pubbliche Autorità.

2.3. Salvo specifica necessità e consenso da parte dell’interessato, il Titolare non tratterà dati particolari di alcuna persona fisica ai sensi dell’art. 9 del GDPR (es. i dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).

2.4. Se non diversamente specificato, tutti i Dati richiesti nell’uso del sito internet e/o delle applicazioni devono intendersi necessari alla fruizione del relativo servizio, onde l’interessato avrà piena libertà di decidere se fornirli o meno, ma in caso negativo resterà precluso ogni contatto anche solo di tipo informativo e/o l’accesso e/o la disponibilità del servizio medesimo.

2.5. Anche l’utilizzo di Cookies, o di altri strumenti di tracciamento, da parte del sito internet e/o delle applicazioni del Titolare, nonché di terzi titolari dei servizi utilizzati da tali applicazioni, avrà la finalità di rendere fruibile il servizio e svolgere le ulteriori attività descritte nel presente documento e nell’informativa Cookies, salvo non diversamente specificato.

3. Finalità secondarie del trattamento

3.1. In caso di specifico e separato consenso da parte dell’interessato, e fino ad eventuale revoca del medesimo, i Dati potranno essere trattati per effettuare attività di newsletter, promozione commerciale, comunicazione pubblicitaria, ricerche di mercato, sondaggi, elaborazioni statistiche, rilevazione del grado di soddisfazione della clientela e altre attività di marketing in senso lato.

3.2. Il consenso per finalità promozionali si intende comprensivo di trattamenti ad opera della Società e/o di terzi all’uopo incaricati, effettuabili sia tramite operatore telefonico o altri mezzi non elettronici, non telematici o non supportati da meccanismi e/o procedure automatiche, elettroniche o telematiche, sia a mezzo internet, posta elettronica, fax, sms, mms e sistemi automatici senza intervento di operatori e similari, incluse piattaforme elettroniche.

3.3. In caso di conferimento di Dati relativi all’utenza telefonica da parte dell’interessato, il trattamento per finalità promozionali potrà essere effettuato anche se l’utenza risultasse iscritta presso il Registro Pubblico delle Opposizioni, trattandosi di fonte concessa volontariamente e non tratta dagli elenchi telefonici pubblici, fermo restando i diritti di opposizione al trattamento e revoca del consenso.

3.4. Ai sensi dell’art. 13, comma 2, lettera f) GDPR, si precisa altresì che il consenso per finalità promozionali si intende comprensivo di attività di profilazione individuale o aggregata, anche in forma automatica, volte all’analisi delle abitudini, degli interessi e dei comportamenti d’acquisto dell’interessato, al fine di migliorare l’offerta commerciale ed inviare offerte e promozioni di vendita in linea con le sue preferenze, fermo restando che tale trattamento verrà svolto con misure appropriate a tutelare i diritti, le libertà e i legittimi interessi dell’interessato, consentendogli di ottenere l’intervento umano da parte del Titolare, di esprimere le proprie opinioni e valutazioni in merito, e di contestare le decisioni assunte.

3.5. Resta inteso che, oltre a quanto specificato nel successivo articolo 10, l’interessato ha facoltà di esercitare gratuitamente i seguenti diritti: (a) revocare in qualsiasi momento il consenso al trattamento per finalità promozionali; (b) opporsi all’invio di comunicazioni attraverso modalità automatizzate di contatto e/o tradizionali; (c) limitare le comunicazioni promozionali a quelle effettuate con modalità tradizionali di contatto, o tramite gli specifici mezzi selettivi che l’interessato intenderà indicare.

3.6. Si precisa che la prestazione del consenso per attività promozionali e pubblicitarie è del tutto facoltativa e non necessaria per la fruizione dei servizi forniti dal sito internet e dalle applicazioni del Titolare.

4. Modalità di trattamento dei Dati

4.1. Per trattamento dei Dati si intende qualsiasi operazione effettuata su di essi da parte del Titolare e/o degli altri soggetti incaricati, con o senza l’ausilio di processi automatizzati, quali la loro raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione, trasmissione, diffusione, messa a disposizione, raffronto, interconnessione, limitazione, cancellazione e distruzione.

4.2. Il trattamento dei Dati verrà effettuato mediante strumenti manuali, informatici e/o telematici, su supporti che possono essere di natura cartacea, elettronica e/o magnetica, con logiche strettamente correlate alle finalità sopra evidenziate e, in ogni caso, nel rispetto di misure tecniche ed organizzative prescritte dalla normativa di riferimento, volte ad assicurare la riservatezza, l’integrità e la disponibilità dei Dati, nonché ad evitare danni quali, ad es. perdite di dati, limitazioni dei diritti, discriminazioni, furti o usurpazioni d’identità, o qualsiasi altro danno economico o sociale significativo.

5. Ambito di comunicazione e diffusione dei dati

5.1. Per il perseguimento delle finalità sopra descritte, il Titolare si riserva la facoltà di comunicare i Dati a soggetti appartenenti alle seguenti categorie: (a) amministratori e legali rappresentanti societari; (b) responsabili e sub-responsabili del trattamento; (c) personale dipendente ed incaricati di specifiche attività di trattamento dei dati ai sensi dell’articolo 2-quaterdecies del decreto legislativo n. 196/2003; (d) amministratori di sistema e tecnici addetti all’organizzazione, conservazione, protezione e/o manutenzione dei supporti informatici; (e) fornitori di servizi di acquisizione, confronto ed elaborazione dei dati; (f) fornitori di attività di archiviazione e data-entry; (g)  fornitori di servizi di provider e di gestione di sistemi informativi e reti di telecomunicazioni;  (h) fornitori di servizi di pagamento, bancari e finanziari; (i) fornitori di servizi di immagazzino, preparazione, consegna e tracking delle spedizioni; (l) fornitori di servizi di mail marketing, campagne promozionali e pubblicitarie; (m) venditori operanti per il tramite del sito internet e delle applicazioni del Titolare; (n) consulenti incaricati di attività di assistenza legale, contabile, amministrativa, tributaria, di controllo, revisione e certificazione delle attività della Società; (o) amministrazioni pubbliche, tributarie, giudiziarie e/o ogni altra eventuale autorità od ente destinatario per legge del trattamento.

5.2. I soggetti sopra indicati opereranno in autonomia come distinti Titolari del trattamento, ovvero come responsabili o incaricati di singoli trattamenti, ed il loro elenco, costantemente aggiornato, è conservato presso gli archivi societari e consultabile a richiesta.

5.3. Le comunicazioni a terzi avverranno entro limiti di stretta necessità e tra persone nei confronti delle quali saranno estesi i medesimi obblighi di sicurezza e riservatezza di cui alla presente informativa.

5.4. Sono in ogni caso fatte salve eventuali comunicazioni a terzi che dovessero risultare dovute in forza di provvedimenti delle Autorità Pubbliche od obblighi previsti dalla legge, da regolamenti e/o dalla normativa nazionale e comunitaria, ivi compresi quelli di prevenzione e repressione di qualsiasi attività illecita connessa allo svolgimento di trattative commerciali, alla stipulazione ed esecuzione di rapporti contrattuali, e all’accesso al sito internet o altri beni di proprietà e/o disponibilità del Titolare.

5.5. Salvo diverso obbligo di legge, dell’eventuale necessità di rivelazione dei Dati a terzi ulteriori rispetto a quelli elencati nell’articolo 5.1., sarà dato avviso all’interessato, con indicazione delle relative motivazioni.

6. Conservazione e trasferimento dei dati

6.1. I Dati saranno conservati in formato elettronico e/o cartaceo, su server e/o in archivi fisici ubicati presso la sede del Titolare, ovvero su supporti ubicati all’interno del territorio nazionale e/o su server forniti da provider di servizi operanti all’interno e/o all’esterno dell’Unione Europea.

6.4. Il Titolare si avvale in particolare dei servizi di server provider forniti da Nexcess, operante al di fuori dell’Unione Europea, assicurandosi che le condizioni contrattuali ed operative in essere con tale fornitore rimangano conformi al GDPR ed agli altri provvedimenti eventualmente applicabili, tra cui la decisione della Commissione Europea in data 10 luglio 2023 in merito al cosiddetto EU-US Data Privacy Framework. Per ogni ulteriore informazione l’interessato è tenuto a visionare il sito internet www.nexcess.net.

6.5. Resta inteso più in generale che l’eventuale trasferimento di dati all’esterno dell’Unione Europea avverrà assicurandosi che l’adeguatezza del Paese terzo o dell’organizzazione ricevente sia riconosciuta tramite decisione della Commissione europea, ai sensi dell’articolo 45 GDPR, ovvero che il titolare o il responsabile del trattamento garantiscano diritti azionabili e mezzi di ricorso effettivi per gli interessati, ai sensi dell’articolo 46 GDPR.

7. Dati relativi ai pagamenti

7.1. I pagamenti all’interno del sito internet verranno effettuati a mezzo della piattaforma Stripe, che consente di effettuare pagamenti online mediante bancomat, carta ricaricabile o carta di credito.

7.2. Stripe è certificato come provider di servizi conforme allo standard PCI, livello 1, ed implementa le migliori garanzia di sicurezza e riservatezza dei dati inseriti ai fini dei pagamenti, tra cui il 3D Secure, oltre a prevenire attività fraudolente e sospette collaborando con Global Partners Networks e Credit Card Networks.

7.3. Ai fini dell’esecuzione dei pagamenti non è necessaria la creazione di un account Stripe, e per ogni transazione eseguita verrà inviata una e-mail di conferma all’indirizzo all’uopo fornito dall’interessato, addebitando il relativo importo sul conto corrente connesso alla carta utilizzata.

7.4. Stripe tratterà i Dati acquisiti ai fini della gestione dei pagamenti in qualità di autonomo Titolare del relativo trattamento, restando inteso che Extra Milano S.r.l. non conserverà i dati e le coordinate di pagamento su propri server.

7.5. Per ogni ulteriore informazione l’interessato è tenuto a visionare il sito internet www.stripe.com.

8. Misure di sicurezza

8.1. A garanzia della riservatezza dei dati personali e prevenzione da perdite, usi illeciti ed accessi non autorizzati, il Titolare dichiara di aver implementato un modello di ricevimento e gestione dei Dati conforme agli articoli 32 e ss. del GDPR, per quanto applicabili, dotato delle seguenti misure tecniche ed organizzative: pseudonimizzazione e crittografia dei dati; credenziali di accesso ai sistemi informatici; misure di tracciamento; anti-virus ed altri strumenti di protezione software e hardware; funzioni di back up; esecuzione annuale di penetration test e vulnerability assessment dei sistemi informatici, conservazione dell’eventuale materiale cartaceo in contenitori con chiusura di sicurezza.

8.2. Il Titolare comunicherà senza ingiustificato ritardo all’interessato qualsiasi violazione o rischio di violazione concernente i Dati di cui venisse a conoscenza, collaborando con il medesimo al fine di darne notificazione alle autorità di controllo competenti e limitarne per quanto possibile le conseguenze dannose.

9. Durata del trattamento

9.1. I Dati saranno trattati sino alla cessazione, per qualsiasi ragione, del rapporto informativo, promozionale e/o contrattuale instaurato con l’interessato, e verranno cancellati entro e non oltre due anni da tale cessazione, fatto salvo l’adempimento di diversi obblighi contrattuali e/o di doveri di legge o amministrativi, tra cui quelli di conservazione delle scritture contabili ai sensi dell’art. 2220 del codice civile.

9.2. In particolare, dell’eventuale scadenza dell’account personale sarà data preventiva comunicazione all’interessato, a seguito della quale, in mancanza di indicazioni diverse, ne sarà disposta l’eliminazione con cancellazione di tutti i dati connessi alle condizioni di cui al precedente articolo 9.1.

9.3. I dati conferiti per eventuali finalità promozionali e pubblicitarie verranno conservati fino all’eventuale annullamento dell’iscrizione alla newsletter o comunque al ritiro del relativo consenso, liberamente esercitabile in qualsiasi momento attraverso il link contenuto in calce a ogni messaggio inviato.

9.4. Resta inteso che in caso di richiesta di anticipata cancellazione dei dati personali da parte dell’interessato, in esercizio dei diritti a questi spettanti come meglio indicati nel successivo articolo 10, verrà conseguentemente meno la possibilità di proseguire i rapporti informativi, promozionali e/o contrattuali in corso, fermo restando la liceità dei trattamenti sino a quel momento effettuati.

10. Diritti dell’Interessato

10.1. L’interessato ha facoltà di esercitare i seguenti diritti:

(a) ottenere conferma che sia o meno in corso un trattamento di Dati che lo riguardano, con indicazione delle finalità del trattamento, delle categorie di dati trattati, dei destinatari che vi hanno avuto accesso, del periodo di conservazione, dei processi decisionali automatizzati eventualmente praticati, dei diritti esercitabili, nonché di tutte le ulteriori informazioni meglio precisate all’articolo 15 del GDPR;

(b) far rettificare, integrare e/o aggiornare i Dati senza ingiustificato ritardo, ai sensi dell’articolo 16 del GDPR;

(c)  far cancellare i Dati senza ingiustificato ritardo ai sensi dell’articolo 17 del GDPR, ovvero farne limitare o cessare il trattamento ai sensi dell’articolo 18 del GDPR, dandone comunicazione a tutti i destinatari che vi abbiano avuto accesso, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato per il Titolare;

(d)  ottenere la consegna dei Dati, o la trasmissione ad altro titolare del trattamento, in un formato strutturato di uso comune e leggibile da dispositivo automatico ai sensi dell’articolo 20 del GDPR;

(e) opporsi al trattamento dei Dati ai sensi dell’articolo 21 del GDPR;

(f) revocare in ogni momento il consenso al trattamento dei Dati, senza pregiudizio per la liceità del trattamento effettuato sino a tale revoca;

(g) proporre ricorso avanti al Tribunale competente ai sensi dell’art. 152 del Decreto Legislativo n. 196/2003, ovvero reclamo al Garante per la protezione dei dati personali ai sensi dell’articolo 77 del GDPR e degli articoli da 140-bis a 143 del Decreto Legislativo n. 196/2003, seguendo le procedure e le indicazioni contenute sul sito web ufficiale www.garanteprivacy.it.

10.2. Nel caso di trattamenti dei Dati per finalità promozionali, l’interessato ha il diritto di opporsi in ogni momento a qualsiasi trattamento ai sensi dell’articolo 21 del GDPR.

10.3. L’esercizio dei diritti sopra indicati potrà essere effettuato gratuitamente e senza vincoli di forma, con l’intesa che il Titolare vi procederà senza ritardo e comunque entro un mese dal ricevimento della relativa richiesta, salvo maggior termine che si rendesse incolpevolmente necessario, di cui verrà data preventiva comunicazione.

10.4. Per esercitare i diritti sopra indicati o inoltrare qualsiasi altra richiesta in relazione al trattamento dei Dati l’interessato può inoltrare comunicazione scritta alla sede di Extra Milano S.r.l. (Via Manzoni 45, 20121 Milano) o e-mail all’indirizzo privacy@extraitalia.it specificando nome, cognome, indirizzo e-mail, oggetto della richiesta e indirizzo a cui deve essere inviata, ed allegando, se richiesto, copia di un documento d’identità.

11. Modifiche al trattamento

11.1. Il Titolare si riserva il diritto di apportare modifiche alle presenti modalità di trattamento dei Dati, in qualunque momento, dandone informazione agli interessati mediante pubblicazione sul sito internet e/o sulle applicazioni in uso, che l’interessato è tenuto costantemente a consultare.

11.2. Qualora le modifiche interessino trattamenti la cui base giuridica è il consenso, il Titolare provvederà, ove necessario, a raccogliere nuovamente tale consenso presso l’interessato.