Informativa sul trattamento dei dati personali

Resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito «GDPR») e del D.Lgs. 30 giugno 2003 n. 196 come modificato dal D.Lgs. 101/2018 («Codice Privacy»). Ultima revisione: 25 maggio 2026.

1.1 Titolare del trattamento

Il Titolare del trattamento è Grimory di Ndreca Arieta, con sede legale in Via San Clemente 52, 24036 Ponte San Pietro (BG), P.IVA 04569030168, in persona del legale rappresentante pro tempore. L'Utente può rivolgersi al Titolare per esercitare i propri diritti scrivendo all'indirizzo PEC n.arieta@pec.it ovvero all'indirizzo email info@thegrimory.com.

1.2 Tipologie di dati trattati

Nell'ambito della navigazione e dell'utilizzo dei servizi offerti tramite il sito, il Titolare può trattare le seguenti categorie di dati personali:

  • Dati identificativi e di contatto forniti dall'Utente al momento della registrazione dell'account o dell'effettuazione di un ordine: nome, cognome, indirizzo di residenza/spedizione/fatturazione, codice fiscale (ove richiesto per fatturazione), indirizzo email, numero di telefono;
  • Dati relativi agli ordini effettuati: prodotti acquistati, importi, modalità di pagamento, eventuali resi e reclami;
  • Dati di pagamento gestiti tramite gateway terzi (es. Stripe, PayPal, Klarna, Scalapay): il Titolare non conserva i dati completi delle carte di credito, che vengono trattati direttamente dai provider di pagamento in qualità di titolari autonomi;
  • Dati di navigazione raccolti automaticamente dai sistemi informatici preposti al funzionamento del sito (indirizzi IP, log di sistema, identificativi di dispositivo, pagine visitate, durata della visita): tali dati hanno natura tecnica e statistica e sono trattati in forma aggregata salvo i casi in cui consentano un'identificazione indiretta dell'Utente;
  • Dati raccolti tramite cookie e tecnologie analoghe, secondo quanto specificato nella Cookie Policy;
  • Dati conferiti volontariamente dall'Utente tramite form di contatto, iscrizione alla newsletter, partecipazione a programmi fedeltà o concorsi promozionali.

1.3 Finalità del trattamento e basi giuridiche

I dati personali raccolti sono trattati per le finalità di seguito specificate, ciascuna corredata della relativa base giuridica ai sensi dell'art. 6 GDPR:

a) Esecuzione del contratto di vendita e adempimenti correlati

Trattamento dei dati anagrafici, di contatto, di pagamento e relativi all'ordine, finalizzato all'evasione dell'ordine, alla spedizione, alla gestione di resi, reclami e garanzia legale di conformità, all'assistenza post-vendita, alla gestione dell'account Utente. Base giuridica: art. 6, par. 1, lett. b) GDPR — esecuzione di un contratto di cui l'interessato è parte.

b) Adempimenti fiscali, contabili e legali

Trattamento dei dati di fatturazione e degli ordini ai fini dell'emissione della fattura elettronica tramite Sistema di Interscambio (SdI), tenuta delle scritture contabili obbligatorie, comunicazioni periodiche IVA, conservazione documentale. Base giuridica: art. 6, par. 1, lett. c) GDPR — adempimento di un obbligo legale.

c) Comunicazioni di servizio

Invio di comunicazioni email relative allo stato dell'ordine, alla spedizione, alla consegna, alla conferma di pagamento, ad eventuali variazioni dei Termini e Condizioni o della presente informativa. Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione del contratto) e lett. f) GDPR (legittimo interesse del Titolare alla corretta gestione del rapporto).

d) Marketing diretto su prodotti analoghi (soft spam)

Invio di comunicazioni promozionali via email relative a prodotti o servizi analoghi a quelli già acquistati dall'Utente, ai sensi dell'art. 130, comma 4, Codice Privacy. L'Utente può opporsi a tale trattamento in qualsiasi momento, anche tramite link di disiscrizione presente in ogni comunicazione. Base giuridica: art. 6, par. 1, lett. f) GDPR — legittimo interesse del Titolare.

e) Newsletter e marketing diretto (subordinati a consenso)

Invio di newsletter, comunicazioni promozionali, offerte commerciali, contenuti editoriali e inviti ad eventi tramite email, SMS, notifiche push o canali di messaggistica. Base giuridica: art. 6, par. 1, lett. a) GDPR — consenso espresso dell'interessato, revocabile in qualsiasi momento senza pregiudizio della liceità del trattamento effettuato prima della revoca.

f) Profilazione (subordinata a consenso)

Analisi delle abitudini di consumo, dei prodotti visualizzati e acquistati, della frequenza di acquisto, al fine di proporre contenuti, prodotti e offerte personalizzate. La profilazione può comportare la combinazione di dati di navigazione, dati di acquisto e dati derivanti da cookie. Base giuridica: art. 6, par. 1, lett. a) GDPR — consenso espresso, revocabile in ogni momento.

g) Difesa di diritti in sede giudiziaria e stragiudiziale

Trattamento finalizzato all'accertamento, esercizio o difesa di un diritto in sede giudiziaria, alla prevenzione di frodi, alla gestione di controversie con clienti o terzi. Base giuridica: art. 6, par. 1, lett. f) GDPR — legittimo interesse del Titolare.

1.4 Natura del conferimento

Il conferimento dei dati per le finalità di cui ai punti a), b), c) è necessario per l'esecuzione del contratto e per l'adempimento degli obblighi di legge: il mancato conferimento comporta l'impossibilità di portare a termine l'ordine. Il conferimento per le finalità di cui ai punti d), e), f) è facoltativo: il rifiuto non pregiudica la fruizione dei servizi essenziali.

1.5 Destinatari e categorie di destinatari

I dati personali possono essere comunicati, nei limiti strettamente necessari al perseguimento delle finalità sopra indicate, ai seguenti soggetti:

  • Personale autorizzato del Titolare, formalmente designato e istruito ai sensi dell'art. 29 GDPR e dell'art. 2-quaterdecies Codice Privacy;
  • Fornitori di servizi tecnici e operativi designati Responsabili del trattamento ai sensi dell'art. 28 GDPR: provider di hosting (Shopify Inc.), gateway di pagamento (Stripe, PayPal), corrieri e operatori logistici, piattaforme di email marketing, software gestionali, consulenti commerciali e di marketing;
  • Consulenti professionali del Titolare (commercialista, legale, consulente del lavoro, DPO se nominato) per finalità di assistenza professionale, nei limiti previsti dalle rispettive normative deontologiche;
  • Autorità giudiziarie, amministrative e di pubblica sicurezza ove richiesto da norme di legge o da provvedimenti dell'autorità competente.

1.6 Trasferimento di dati extra-UE

Alcuni dei provider di servizi utilizzati possono comportare il trasferimento di dati personali al di fuori dello Spazio Economico Europeo, in particolare verso gli Stati Uniti d'America (es. Shopify, Google Analytics, Meta, TikTok). Tali trasferimenti avvengono esclusivamente verso paesi destinatari di una decisione di adeguatezza della Commissione Europea (per gli USA: EU-US Data Privacy Framework, decisione di adeguatezza del 10 luglio 2023) ovvero sulla base di Clausole Contrattuali Standard adottate dalla Commissione Europea ai sensi dell'art. 46 GDPR, integrate da misure supplementari ove necessarie. Copia delle clausole può essere richiesta dall'Utente al Titolare ai recapiti sopra indicati.

1.7 Periodi di conservazione

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti. A titolo orientativo:

  • Dati relativi all'account Utente: per tutta la durata del rapporto e per ulteriori 24 mesi dall'ultima attività, salvo richiesta di cancellazione anticipata;
  • Dati relativi agli ordini e alle fatture: 10 anni ai sensi degli artt. 2220 c.c. e 22 del DPR 600/1973;
  • Dati di navigazione: 12 mesi dalla raccolta, salvo necessità di conservazione superiore per finalità di sicurezza informatica o accertamento di reati;
  • Dati trattati per finalità di marketing diretto: fino a revoca del consenso e, in ogni caso, non oltre 24 mesi dall'ultimo contatto significativo, salvo successivo rinnovo del consenso;
  • Dati trattati per finalità di profilazione: 12 mesi dalla raccolta, salvo rinnovo del consenso;
  • Dati conservati per esigenze di difesa in sede giudiziaria: fino alla prescrizione dell'azione, ai sensi dell'art. 2946 c.c.

1.8 Diritti dell'interessato

In relazione ai trattamenti descritti, l'Utente ha diritto di esercitare in qualsiasi momento i diritti riconosciuti dagli articoli da 15 a 22 del GDPR e, in particolare:

  • Diritto di accesso ai propri dati personali (art. 15);
  • Diritto di rettifica dei dati inesatti o di integrazione di quelli incompleti (art. 16);
  • Diritto alla cancellazione («diritto all'oblio», art. 17) nei casi previsti dalla norma;
  • Diritto alla limitazione del trattamento (art. 18);
  • Diritto alla portabilità dei dati forniti, in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20);
  • Diritto di opposizione al trattamento (art. 21), incluso il diritto di opporsi al trattamento per finalità di marketing diretto e di profilazione connessa;
  • Diritto di revocare in ogni momento il consenso prestato, senza pregiudizio della liceità del trattamento effettuato prima della revoca (art. 7, par. 3);
  • Diritto di non essere sottoposti ad una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici significativi (art. 22).

L'esercizio dei diritti è esente da spese ed è effettuato inviando comunicazione scritta al Titolare ai recapiti indicati al punto 1.1. Il Titolare fornisce riscontro nei termini previsti dall'art. 12, par. 3 GDPR (di norma entro 30 giorni, estensibili fino a 90 in caso di particolare complessità). L'interessato ha inoltre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma, garante@gpdp.it) ai sensi dell'art. 77 GDPR.

1.9 Modalità del trattamento e misure di sicurezza

Il trattamento è effettuato con strumenti informatici e telematici, nonché in via cartacea per le sole esigenze residuali. Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, ivi compresi: pseudonimizzazione e cifratura ove appropriato, controllo degli accessi, backup periodici, procedure di gestione degli incidenti, formazione del personale autorizzato. I dati di pagamento sono trattati dai gateway esclusivamente attraverso protocolli sicuri (TLS 1.2 o superiore) e secondo gli standard PCI-DSS.

1.10 Modifiche all'informativa

La presente informativa può essere aggiornata in qualunque momento per adeguarla a sopravvenute modifiche normative o organizzative. La versione vigente è quella pubblicata sul sito alla data di accesso dell'Utente. In caso di modifiche sostanziali, il Titolare provvederà a darne notizia mediante comunicazione email agli Utenti registrati ovvero con avviso in evidenza sul sito.