1) Titolare del trattamento
Il titolare del trattamento dei dati personali è “Il Sogno Società Cooperativa Sociale Onlus”, con sede in Viale dell’Artigianato, 13 – 28845 Domodossola (VB), Italia (di seguito, il “Titolare”). I recapiti sono indicati nelle pagine ufficiali del sito (es. sezione “Contatti”) e, ove disponibile, tramite PEC.
2) Riferimenti normativi
I trattamenti sono effettuati nel rispetto del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018 (“Codice Privacy”) e della normativa applicabile in materia di comunicazioni elettroniche e privacy (incluso l’art. 130 Codice Privacy e le Linee guida del Garante).
3) DPO – Responsabile della Protezione dei Dati
Il Titolare ha nominato il Responsabile della Protezione dei Dati (DPO) nella persona della Sig.ra Antonella Ghini, contattabile tramite i canali dedicati indicati sul sito e, in ogni caso, attraverso i recapiti del Titolare, specificando “All’attenzione del DPO”.
4) Tipologie di dati trattati
- Dati di navigazione: indirizzi IP, identificativi di dispositivo, timestamp, URI/URL richiesti, user-agent, referrer, log di sicurezza.
- Dati comunicati dall’utente: dati anagrafici e di contatto (nome, cognome, e-mail, telefono), indirizzi di spedizione e fatturazione, contenuti dei messaggi inviati tramite form o e-mail, preferenze di comunicazione.
- Dati di account e-commerce: credenziali (in forma non reversibile ove applicabile), storico ordini, carrello, wishlist.
- Dati transazionali: informazioni relative a pagamenti e incassi; i dati di carta sono trattati dai prestatori di servizi di pagamento abilitati, in qualità di autonomi titolari o responsabili, secondo i rispettivi standard di sicurezza.
- Cookie e tecnologie similari: secondo quanto descritto nella Cookie Policy.
5) Finalità, basi giuridiche, dati trattati, necessità e conservazione
| Finalità | Base giuridica | Dati trattati | Necessità | Conservazione |
|---|---|---|---|---|
| Funzionamento del sito, hosting, sicurezza IT e prevenzione abusi | Interesse legittimo del Titolare (art. 6.1.f) e adempimenti di sicurezza (art. 32) | Log di navigazione, IP, identificativi tecnici | Necessari | Di regola 6–12 mesi; estesi in caso di eventi di sicurezza |
| Gestione account e area riservata e-commerce | Contratto/misure precontrattuali (art. 6.1.b) | Dati di registrazione, credenziali (hash), preferenze, storico | Necessari per erogare il servizio richiesto | Per tutta la durata dell’account e, in caso di inattività prolungata, secondo policy interne; log di sicurezza 6–12 mesi |
| Acquisto di prodotti/servizi, evasione ordini, assistenza post-vendita | Contratto (art. 6.1.b) e obblighi legali (art. 6.1.c) | Dati identificativi, contatti, indirizzi di spedizione/fatturazione, dettagli ordine | Necessari | Documenti amministrativo-contabili fino a 10 anni; ticket assistenza fino a 24 mesi |
| Pagamenti online e gestione incassi | Contratto (art. 6.1.b) e obblighi legali (art. 6.1.c) | Dati transazionali; strumenti di pagamento gestiti da PSP | Necessari | Secondo obblighi contabili/fiscali e policy dei PSP |
| Spedizione e logistica | Contratto (art. 6.1.b) | Nome, contatti, indirizzo di consegna, riferimenti ordine | Necessari | Tempo necessario alla consegna e gestione resi; poi archiviazione amministrativa |
| Gestione richieste di contatto e supporto | Misure precontrattuali/contratto (art. 6.1.b) e/o interesse legittimo (art. 6.1.f) | Dati di contatto, contenuto delle richieste | Necessari per rispondere | Fino a 24 mesi dal riscontro, salvo esigenze di tutela |
| Newsletter e comunicazioni promozionali/istituzionali | Consenso (art. 6.1.a); per soft-spam su prodotti/servizi analoghi: art. 130, co. 4 Codice Privacy con opt-out | E-mail, nome/cognome se forniti, preferenze | Facoltativi | Fino a revoca/opt-out; comunque non oltre 24 mesi di inattività |
| Statistiche e analytics non anonimizzati tramite cookie/SDK | Consenso tramite banner/CMP (art. 6.1.a) | Eventi di navigazione, identificativi online, IP mascherati ove possibile | Facoltativi | Secondo Cookie Policy (es. 14–26 mesi) |
| Prevenzione frodi, tutela in giudizio, gestione del contenzioso | Interesse legittimo del Titolare (art. 6.1.f) | Dati strettamente necessari alla verifica e difesa | Necessari in caso di eventi | Per la durata del procedimento e fino a prescrizione dei diritti |
6) Modalità del trattamento e sicurezza
I dati sono trattati con strumenti cartacei, informatici e telematici nel rispetto dei principi di cui all’art. 5 GDPR e del principio di privacy by design/by default (art. 25). Sono adottate misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR (segmentazione degli accessi e dei ruoli, autenticazione forte ove applicabile, registrazione log, backup, cifratura o pseudonimizzazione quando proporzionate, procedure di gestione incidenti).
7) Destinatari e categorie di destinatari
I dati possono essere trattati da personale autorizzato dal Titolare e comunicati a soggetti che agiscono in qualità di Responsabili del trattamento (art. 28 GDPR) o di autonomi titolari. A titolo esemplificativo:
- Hosting e manutenzione: IONOS (fornitore di servizi di hosting/Cloud e manutenzione del sito).
- Invio newsletter e gestione liste: Mailchimp (piattaforma di e-mail marketing).
- Prestatori di servizi di pagamento (PSP): soggetti abilitati alla gestione dei pagamenti online.
- Corrieri e operatori logistici: per la consegna e la gestione dei resi.
- Consulenti e professionisti: consulenti IT, contabili, fiscali e legali; soggetti legittimati per legge o per ordine dell’Autorità.
L’elenco aggiornato dei Responsabili è disponibile su richiesta.
8) Trasferimenti extra-SEE
Il Titolare privilegia trattamenti su infrastrutture ubicate nello Spazio Economico Europeo (ad es. IONOS con data center in UE). Alcuni fornitori potrebbero tuttavia comportare trasferimenti verso paesi extra-SEE (ad es. la piattaforma di e-mail marketing Mailchimp). In tali casi, i trasferimenti avvengono nel rispetto degli artt. 44–49 GDPR, sulla base di Clausole Contrattuali Standard della Commissione Europea e, se del caso, di misure supplementari. Informazioni sulla base del trasferimento e copia delle garanzie sono ottenibili contattando il Titolare.
9) Cookie e tecnologie similari
Per le categorie di cookie utilizzati (tecnici, preferenze, statistici, marketing), le relative finalità, basi giuridiche, tempi di conservazione e la gestione dei consensi tramite apposito banner/CMP conforme, si rinvia alla Cookie Policy del sito. È sempre possibile modificare le preferenze o revocare i consensi tramite l’apposita funzione.
10) Fonte dei dati
I dati sono raccolti presso l’interessato; eventuali dati provenienti da terzi (ad es. sistemi di pagamento o piattaforme di comunicazione) sono trattati nei limiti delle finalità descritte e nel rispetto dell’art. 14 GDPR.
11) Diritti degli interessati
Gli interessati possono esercitare, nei limiti di legge, i diritti di cui agli artt. 15–22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, nonché revoca del consenso prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Resta fermo il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
12) Minori
I servizi sono destinati a persone che abbiano l’età minima prevista per il consenso ai servizi della società dell’informazione. Per l’ordinamento italiano, il consenso dei minori di anni 14 richiede l’autorizzazione di chi esercita la responsabilità genitoriale.
13) Decisioni automatizzate e profilazione
Il Titolare non adotta processi decisionali interamente automatizzati ai sensi dell’art. 22 GDPR. Eventuali attività di profilazione (es. segmentazione delle liste newsletter) avverranno solo previo consenso specifico e con diritto di opposizione in ogni momento.
14) Modalità di esercizio dei diritti e contatti
Le richieste possono essere inviate ai recapiti del Titolare indicati nelle pagine ufficiali del sito, specificando nell’oggetto “Richiesta privacy – GDPR”. Il Titolare risponderà, di regola, entro un mese (art. 12 GDPR). È possibile indirizzare le richieste anche “all’attenzione del DPO”.
15) Aggiornamenti
Il Titolare potrà modificare o aggiornare la presente informativa in qualsiasi momento; le modifiche saranno pubblicate su questa pagina. In caso di cambiamenti rilevanti, potranno essere effettuate comunicazioni specifiche.
Ultimo aggiornamento: 6 ottobre 2025 – Versione: 1.0
