Privacy Policy - Online Facile

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

(“PRIVACY POLICY”)

Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)

Versione: 2.0

Data di efficacia: [da inserire al momento della pubblicazione]

Sostituisce: Versione del 02 luglio 2025

Sito di riferimento: https://onlinefacile.com

Contatto privacy: privacy@onlinefacile.com

La presente informativa descrive le modalità con cui Nanuq OÜ (di seguito, il “Titolare”) tratta i dati personali degli utenti del sito web https://onlinefacile.com (il “Sito”), dei clienti che acquistano i servizi digitali offerti tramite il Sito (i “Servizi”) e dei soggetti che entrano in contatto con il Titolare attraverso i canali del Sito (gli “Interessati”). Il Titolare si impegna a trattare i dati personali nel rispetto del Regolamento (UE) 2016/679 (“GDPR”), del diritto estone applicabile in materia di protezione dei dati personali (in particolare, dell’Isikuandmete kaitse seadus – Personal Data Protection Act) e delle norme inderogabili a tutela del consumatore previste dalla legge del Paese di residenza abituale dell’Interessato, ai sensi dell’art. 6 del Regolamento (CE) 593/2008.

1. Titolare del trattamento

Titolare del trattamento dei dati personali è:

Denominazione	Nanuq OÜ (osaühing – società a responsabilità limitata di diritto estone)
Codice del registro	17095950 – Tartu Maakohus, Registriosakond (Registro delle Imprese estone)
Sede	Pärnu mnt 388b, Nõmme linnaosa, 11612 Tallinn, Harju maakond, Repubblica di Estonia
Rappresentante legale	Veronica Bernardini
E-mail Titolare	vbernardini@intelligo-italy.com
Contatto privacy dedicato	privacy@onlinefacile.com

Il Titolare non ha designato un Responsabile della protezione dei dati (DPO) ai sensi dell’art. 37 GDPR, in quanto non ricorrono i presupposti previsti dal medesimo articolo (in particolare: assenza di trattamenti su larga scala di dati appartenenti a categorie particolari ex art. 9 GDPR e di trattamenti che richiedono monitoraggio regolare e sistematico su larga scala). Il Titolare monitora costantemente l’evoluzione della propria attività e nominerà il DPO qualora muti tale assetto.

2. Categorie di dati personali trattati

Il Titolare tratta le seguenti categorie di dati personali, raccolti direttamente dall’Interessato o, ove indicato, presso terzi:

2.1 Dati anagrafici e di contatto

Nome, cognome, ragione sociale (se professionista), indirizzo e-mail, numero di telefono, indirizzo di fatturazione e di consegna (ove rilevante), codice fiscale e/o partita IVA, codice destinatario per fatturazione elettronica (ove applicabile).

2.2 Dati di account e di registrazione

Username, password (memorizzata in forma cifrata e non leggibile dal Titolare), preferenze di account, cronologia degli accessi e delle attività dell’account.

2.3 Dati di acquisto e di transazione

Dati relativi agli ordini effettuati tramite il Sito (Servizio acquistato, prezzo, data, stato dell’ordine), conferme di pagamento ricevute dai prestatori di servizi di pagamento (es. PayPal). Il Titolare NON memorizza direttamente i dati delle carte di pagamento, che sono trattati direttamente dai prestatori di servizi di pagamento in qualità di autonomi titolari del trattamento.

2.4 Dati relativi a richieste e comunicazioni

Contenuto dei messaggi inviati tramite il modulo di contatto, e-mail, ticket di assistenza, eventuali allegati, dati relativi all’interazione con i canali di assistenza.

2.5 Dati di navigazione e tecnici

Indirizzo IP, identificatori del dispositivo e del browser (user agent, lingua, fuso orario), pagine visitate, durata della visita, riferimento di provenienza (referrer), data e ora di accesso, eventi di interazione (cd. event tracking). Tali dati sono raccolti automaticamente per il funzionamento del Sito e, ove appropriato, in forma aggregata o pseudonimizzata; il dettaglio dei cookie e degli identificatori utilizzati è disponibile alla successiva Sezione 8.

2.6 Materiali e contenuti del Cliente (per i Servizi)

Per la fornitura dei Servizi (in particolare Web Design, SEO, Gestione Google Business Profile), il Cliente conferisce al Titolare materiali e contenuti che possono includere dati personali di terzi (a titolo esemplificativo: dati pubblicati sul sito web del Cliente, recensioni, contenuti dei form di contatto installati per conto del Cliente). In tali casi, i ruoli privacy sono regolati dall’Allegato 1 (Data Processing Agreement, DPA art. 28 GDPR) delle Condizioni Generali di Servizio e Vendita pubblicate sul Sito.

2.7 Categorie particolari di dati (art. 9 GDPR)

Il Titolare NON raccoglie dati appartenenti alle categorie particolari di cui all’art. 9 GDPR (dati che rivelino origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale) né dati relativi a condanne penali e reati ai sensi dell’art. 10 GDPR. L’Interessato è invitato a non fornire spontaneamente dati di tale natura attraverso i canali del Sito.

2.8 Dati di minori

I Servizi e il Sito non sono destinati a minori di 16 anni. Il Titolare non raccoglie scientemente dati personali di minori di 16 anni e, qualora venisse a conoscenza di averne raccolti senza adeguato consenso del titolare della responsabilità genitoriale (art. 8 GDPR), provvederà alla loro tempestiva cancellazione. I genitori o tutori che ritengano che un minore sotto la propria responsabilità abbia fornito dati personali al Titolare possono contattare privacy@onlinefacile.com per richiederne la cancellazione.

3. Finalità, basi giuridiche e periodi di conservazione

I dati personali degli Interessati sono trattati per le finalità di seguito indicate, ciascuna con la propria base giuridica e il proprio periodo di conservazione:

Finalità	Base giuridica (art. 6 GDPR)	Conservazione
a) Esecuzione del contratto di acquisto dei Servizi e attività precontrattuali (gestione ordini, fatturazione, comunicazioni inerenti il contratto, assistenza)	Art. 6.1.b GDPR – esecuzione del contratto / misure precontrattuali su richiesta dell’Interessato	Per la durata del contratto e successivamente per il termine di prescrizione applicabile, fino a max 10 anni
b) Gestione dell’account utente sul Sito (registrazione, login, area riservata my-account)	Art. 6.1.b GDPR – esecuzione di un contratto di servizio (Termini d’uso dell’account)	Fino alla richiesta di cancellazione dell’account, e successivamente per ulteriori 30 giorni in copia di sicurezza
c) Adempimenti contabili, fiscali e di legge (emissione e conservazione di fatture, registrazioni contabili)	Art. 6.1.c GDPR – obbligo legale	7 anni ai sensi del Raamatupidamise seadus § 12 (Estonian Accounting Act) o termine maggiore se imposto dal diritto applicabile (es. 10 anni in Italia ex art. 2220 c.c.)
d) Riscontro a richieste di informazioni e contatti (form di contatto, e-mail, telefono)	Art. 6.1.b GDPR (misure precontrattuali) ovvero art. 6.1.f GDPR – legittimo interesse del Titolare a rispondere alle richieste ricevute	24 mesi dall’ultimo contatto, salvo conversione in rapporto contrattuale
e) Difesa di un diritto in sede giudiziale o stragiudiziale	Art. 6.1.f GDPR – legittimo interesse del Titolare	Per il termine di prescrizione applicabile, fino a max 10 anni dalla cessazione del rapporto
f) Invio di comunicazioni commerciali e promozionali via e-mail (newsletter, offerte, novità sui Servizi)	Art. 6.1.a GDPR – consenso espresso, libero, specifico, informato e revocabile	Fino a revoca del consenso e, in ogni caso, max 24 mesi dall’ultima interazione attiva
g) Sicurezza informatica del Sito, prevenzione di abusi, frodi e attività illecite (es. reCAPTCHA, WP Cerber)	Art. 6.1.f GDPR – legittimo interesse del Titolare alla sicurezza dei propri sistemi e degli utenti	Log di sicurezza: max 12 mesi
h) Statistiche di prima parte e analytics aggregati / pseudonimizzati per migliorare il Sito	Art. 6.1.f GDPR – legittimo interesse, ovvero art. 6.1.a GDPR (consenso) ove i cookie analytics non siano configurati come strettamente tecnici	Durata dei cookie/identificatori (max 13 mesi raccomandazione EDPB)
i) Marketing tramite cookie e identificatori di terzi (Meta Pixel, Google Tag Manager / Google Ads, ecc.)	Art. 6.1.a GDPR – consenso espresso raccolto tramite cookie banner	Durata dei cookie/identificatori (cfr. Sezione 8); revocabile in ogni momento

Trascorsi i termini sopra indicati, i dati sono cancellati o anonimizzati in modo irreversibile, salvo necessità di ulteriore conservazione per ordini dell’Autorità o per la difesa in giudizio.

4. Natura del conferimento dei dati

4.1 Conferimento necessario. Il conferimento dei dati personali per le finalità di cui alle lettere a), b), c), d) ed e) della Sezione 3 è necessario: il mancato conferimento comporta l’impossibilità per il Titolare di concludere ed eseguire il contratto, di gestire l’account, di adempiere agli obblighi di legge e di rispondere alle richieste dell’Interessato.

4.2 Conferimento facoltativo. Il conferimento dei dati per le finalità di cui alle lettere f), h) e i) della Sezione 3 è facoltativo: il rifiuto o la revoca del consenso non pregiudicano la fruizione dei Servizi e dei contenuti del Sito. Il consenso può essere revocato in qualsiasi momento (cfr. Sezione 9).

4.3 Sicurezza informatica. Il conferimento dei dati di cui alla finalità g) avviene automaticamente, senza azione dell’Interessato, in ragione del legittimo interesse del Titolare alla sicurezza dei propri sistemi: l’Interessato ha diritto di opporsi al trattamento ai sensi dell’art. 21 GDPR, fermo restando che ciò potrebbe pregiudicare la fruizione di determinate funzionalità del Sito.

5. Modalità del trattamento e misure di sicurezza

5.1 Modalità. I dati personali sono trattati con strumenti elettronici e, occasionalmente, cartacei, con logiche strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati ai sensi degli artt. 5, 6 e 32 GDPR.

5.2 Misure di sicurezza. Il Titolare adotta misure tecniche e organizzative adeguate al rischio, tra cui in via esemplificativa:

controllo degli accessi (autenticazione, gestione utenze, principio del privilegio minimo);
cifratura dei dati in transito (TLS) e, ove appropriato, dei dati a riposo;
memorizzazione delle password con algoritmi di hashing (one-way) non reversibili;
backup regolari e procedure di ripristino testate;
aggiornamenti di sicurezza e gestione delle vulnerabilità (patch management);
registrazione (logging) degli accessi e delle attività rilevanti;
formazione del personale sulla protezione dei dati;
clausole di riservatezza per personale e collaboratori;
procedure di gestione degli incidenti di sicurezza e dei data breach;
selezione di fornitori che offrano garanzie sufficienti.

5.3 Data breach. In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà delle persone fisiche, il Titolare provvederà a darne notifica all’autorità di controllo competente (di norma l’Andmekaitse Inspektsioon) entro 72 ore dalla conoscenza, ai sensi dell’art. 33 GDPR. Qualora il rischio sia elevato, il Titolare comunicherà altresì la violazione agli Interessati, ai sensi dell’art. 34 GDPR.

6. Destinatari e categorie di destinatari dei dati

I dati personali possono essere trattati, per le finalità di cui sopra, dalle seguenti categorie di soggetti:

6.1 Soggetti interni

Personale del Titolare, suoi collaboratori e consulenti che agiscono in qualità di soggetti autorizzati al trattamento (art. 29 GDPR e art. 2-quaterdecies del D.Lgs. 196/2003 ove applicabile), debitamente istruiti e vincolati da obblighi di riservatezza.

6.2 Responsabili del trattamento (art. 28 GDPR)

Soggetti terzi che trattano dati personali per conto del Titolare, sulla base di un atto di nomina/contratto ai sensi dell’art. 28 GDPR. Le principali categorie includono:

Categoria di destinatario	Tipologia di servizio	Esempi (non esaustivi)
Hosting provider e fornitori di infrastruttura cloud	Conservazione e accessibilità del Sito e delle banche dati	Provider di hosting WordPress, fornitori di servizi cloud nello SEE
Fornitori di servizi e-mail / posta transazionale	Invio di e-mail di servizio (conferme ordine, password, comunicazioni contrattuali)	Provider SMTP / e-mail marketing nello SEE
Fornitori di strumenti e plugin del Sito	Funzionamento del Sito (CMS, e-commerce, form, sicurezza)	WordPress, WooCommerce, WPForms, WP Cerber, Pagelayer
Fornitori di assistenza tecnica e sviluppo	Manutenzione, sviluppo, supporto tecnico	Sviluppatori, agenzie partner
Consulenti contabili, fiscali, legali	Adempimenti amministrativi e di legge	Studi commercialisti, consulenti del lavoro, avvocati
Fornitori di servizi di analytics e marketing	Misurazione del traffico e remarketing (previo consenso)	Provider configurati tramite Google Tag Manager
Partner del Titolare per servizi accessori (es. cookie banner, GDPR base)	Erogazione di servizi accessori sul Sito o per conto del Titolare	Intelligo (cookie banner intelligo_cookie_consent)

L’elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scrivendo a privacy@onlinefacile.com.

6.3 Autonomi titolari del trattamento

Soggetti che ricevono i dati e li trattano in qualità di autonomi titolari, secondo le proprie informative privacy. Le principali categorie includono:

Soggetto	Ruolo	Riferimento privacy
PayPal (Europe) S.à r.l. et Cie, S.C.A.	Prestatore di servizi di pagamento per le transazioni effettuate sul Sito tramite PayPal	https://www.paypal.com/it/legalhub/privacy-full
Google Ireland Limited / Google LLC	Servizi di reCAPTCHA (anti-spam), Google Tag Manager, eventuali servizi Google Ads/Analytics ove configurati e attivati previo consenso	https://policies.google.com/privacy
Meta Platforms Ireland Limited	Meta Pixel attivo sul Sito (id 1370028274657073) per finalità di misurazione e marketing, attivato previo consenso	https://www.facebook.com/privacy/policy
Autorità giudiziarie, amministrative e di vigilanza	Su richiesta o per obblighi di legge	—

Per i servizi di Google e Meta, i dati possono essere trattati anche per finalità di profilazione marketing e remarketing, secondo le rispettive policy; tali trattamenti sono attivati esclusivamente previo consenso espresso dell’Interessato raccolto tramite il banner cookie del Sito (cfr. Sezione 8).

7. Trasferimenti di dati al di fuori dello Spazio Economico Europeo

7.1 Trasferimenti. Alcuni dei destinatari indicati alla Sezione 6 possono trattare i dati personali in Paesi al di fuori dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti d’America. Questo riguarda in particolare i fornitori di servizi appartenenti a gruppi multinazionali (Google, Meta, PayPal) e, ove utilizzati, fornitori di analytics, advertising e cloud.

7.2 Garanzie. I trasferimenti extra-SEE sono effettuati nel rispetto degli artt. 44-49 GDPR, mediante una delle seguenti garanzie:

a) decisioni di adeguatezza adottate dalla Commissione europea ai sensi dell’art. 45 GDPR (in particolare, per gli Stati Uniti, la Decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023, relativa al “EU-US Data Privacy Framework” – DPF, applicabile ai destinatari aderenti certificati);

b) Clausole Contrattuali Tipo (Standard Contractual Clauses, SCC) approvate con Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, integrate da idonee misure supplementari ove necessarie all’esito di una valutazione dell’impatto del trasferimento (Transfer Impact Assessment, TIA);

c) altre garanzie appropriate ai sensi dell’art. 46 GDPR ovvero, in via residuale, le deroghe di cui all’art. 49 GDPR ove ne ricorrano i presupposti.

7.3 Informazioni sull’adesione al DPF. L’Interessato può verificare l’eventuale certificazione di un destinatario USA al EU-US Data Privacy Framework consultando la lista pubblica all’indirizzo https://www.dataprivacyframework.gov/.

8. Cookie e tecnologie similari

8.1 Definizione. I cookie sono piccoli file di testo che i siti web visitati dagli utenti inviano al loro terminale, dove vengono memorizzati per poi essere ritrasmessi agli stessi siti alla successiva visita. Tecnologie analoghe (pixel, web beacon, fingerprinting, local storage, identificatori del dispositivo) sono qui ricomprese sotto la denominazione “cookie”.

8.2 Cookie utilizzati dal Sito. Il Sito utilizza le seguenti categorie di cookie, ciascuna con la propria base giuridica:

8.2.1 Cookie tecnici / strettamente necessari

Cookie indispensabili per il funzionamento del Sito e l’erogazione dei servizi richiesti dall’utente (es. mantenimento della sessione di login, gestione del carrello, sicurezza dei moduli, registrazione del consenso ai cookie). Non richiedono consenso (art. 6.1.f GDPR – legittimo interesse / esecuzione contrattuale; cfr. art. 5(3) Direttiva 2002/58/CE “e-Privacy”).

Cookie	Origine	Finalità	Durata
intelligo_cookie_consent	Sito (Intelligo)	Memorizzazione del consenso ai cookie	180 giorni
storeApiCartData / Hash / Nonce	Sito (WooCommerce)	Funzionamento del carrello e-commerce	Sessione
WP_DATA_USER_*	Sito (WordPress)	Preferenze utente nell’editor WordPress (area amministrativa)	Persistente
wp_cerber_*	Sito (WP Cerber)	Sicurezza del Sito (anti-brute force, anti-bot)	Persistente
pagelayer_*	Sito (Pagelayer)	Cache di font e risorse del page builder	Persistente
_grecaptcha	google.com	Sicurezza dei moduli (anti-spam reCAPTCHA)	Sessione
WPForms / cookie del form	Sito	Funzionamento del modulo di contatto	Sessione/persistente

8.2.2 Cookie di funzionalità di terze parti per servizi richiesti dall’utente

Cookie impostati da terze parti il cui servizio è strettamente connesso a un’azione richiesta dall’utente (es. processo di pagamento). Possono essere considerati strettamente necessari quando l’utente sceglie attivamente di utilizzare il servizio.

Cookie	Origine	Finalità	Durata
__PayPalSDK_storage__	paypal.com	Sessione checkout PayPal	Persistente
__paypal_storage__	paypal.com	Preferenze/sessione checkout PayPal	Persistente
__ppcp-* / __wpforms_paypal_*	paypal.com / Sito	Stato dei pulsanti PayPal e dei pagamenti	Persistente

8.2.3 Cookie statistici / analytics

Cookie utilizzati per raccogliere informazioni in forma aggregata e/o pseudonimizzata sull’utilizzo del Sito (numero di visitatori, pagine più viste, tempo di permanenza, ecc.). A seconda della configurazione (anonimizzazione IP, no condivisione con terzi, no cross-site tracking), possono richiedere consenso o essere assimilati ai tecnici. Sul Sito, salvo diversa indicazione nel banner, sono richiesti previo consenso.

Cookie	Origine	Finalità	Durata
explat-last-anon-id	Sito	Identificativo anonimo per esperimenti/analytics di prima parte	Persistente
explat-last-anon-id-retrieval-time	Sito	Timestamp di recupero dell’ID	Persistente
Eventuali cookie Google Analytics / GTM	Google	Statistiche di utilizzo del Sito (se attivati)	Fino a 13 mesi

8.2.4 Cookie di marketing e profilazione di terze parti

Cookie e identificatori che consentono di profilare i visitatori del Sito per finalità di marketing, retargeting e misurazione della pubblicità. Richiedono il consenso espresso dell’utente, manifestato tramite il banner cookie. L’assenza di consenso impedisce l’attivazione di tali cookie.

Strumento	Origine	Finalità	Durata
Meta Pixel (id 1370028274657073)	facebook.com / connect.facebook.net	Misurazione delle conversioni e remarketing su piattaforme Meta (Facebook, Instagram)	Vedi policy Meta
Google Tag Manager / Ads	googletagmanager.com / google.com	Container per attivazione di tag pubblicitari e di misurazione (Google Ads, conversioni, ecc.)	Vedi policy Google

8.3 Gestione del consenso e revoca. Al primo accesso al Sito, l’utente visualizza un banner che consente di accettare, rifiutare o personalizzare il consenso ai cookie non strettamente necessari, in conformità ai principi di libertà, granularità e revocabilità del consenso (artt. 4.11 e 7 GDPR; linee guida EDPB 03/2022 e Provvedimento Garante italiano 10.6.2021 ove applicabile). L’utente può modificare le proprie scelte in qualsiasi momento cliccando sull’apposita icona “🍪” presente sul Sito, ovvero tramite le impostazioni del proprio browser. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

8.4 Disabilitazione dei cookie tramite browser. L’utente può configurare il proprio browser per bloccare o ricevere notifica dell’invio di cookie. Le istruzioni sono disponibili sui siti dei principali browser (Chrome, Firefox, Safari, Edge). Si segnala che la disabilitazione dei cookie tecnici può compromettere il corretto funzionamento del Sito.

9. Diritti dell’Interessato

In qualunque momento, l’Interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR e, in particolare:

a) Diritto di accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso ai dati e alle relative informazioni;

b) Diritto di rettifica (art. 16 GDPR): ottenere la correzione dei dati personali inesatti o l’integrazione dei dati incompleti;

c) Diritto di cancellazione/oblio (art. 17 GDPR): ottenere la cancellazione dei dati personali, ove ricorrano i presupposti previsti dalla norma;

d) Diritto di limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento, nei casi previsti dalla norma;

e) Diritto alla portabilità (art. 20 GDPR): ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad altro titolare, ove tecnicamente fattibile;

f) Diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, ai trattamenti basati sul legittimo interesse, nonché – in via incondizionata – al trattamento per finalità di marketing diretto;

g) Diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o significativi sull’Interessato (cfr. Sezione 10);

h) Diritto di revoca del consenso (art. 7.3 GDPR): revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

9.1 Modalità di esercizio. Per esercitare i diritti, l’Interessato può inviare una richiesta:

via e-mail all’indirizzo privacy@onlinefacile.com (canale dedicato);
via e-mail all’indirizzo del Titolare vbernardini@intelligo-italy.com;
via posta ordinaria all’indirizzo della sede del Titolare indicato alla Sezione 1.

9.2 Tempi di riscontro. Il Titolare riscontra le richieste senza ingiustificato ritardo e comunque entro un mese dal loro ricevimento, prorogabile di ulteriori due mesi in caso di particolare complessità o di numero elevato di richieste, ai sensi dell’art. 12.3 GDPR. L’esercizio dei diritti è gratuito, salvo che la richiesta sia manifestamente infondata o eccessiva (art. 12.5 GDPR).

9.3 Identificazione dell’Interessato. Il Titolare può richiedere informazioni necessarie a confermare l’identità dell’Interessato, ai sensi dell’art. 12.6 GDPR, prima di dare seguito alla richiesta.

10. Processi decisionali automatizzati e profilazione

10.1 Il Titolare non utilizza processi decisionali basati unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o incidano in modo analogo significativamente sull’Interessato ai sensi dell’art. 22 GDPR.

10.2 Profilazione marketing tramite cookie. Il Titolare utilizza, previo consenso espresso raccolto tramite il banner cookie (cfr. Sezione 8), strumenti di terze parti (Meta Pixel e, ove configurati, Google Ads) che possono comportare attività di profilazione marketing e remarketing. Tali trattamenti non producono effetti giuridici significativi sull’Interessato e sono attivati esclusivamente in presenza di consenso, revocabile in ogni momento. L’Interessato che intenda opporsi al solo trattamento di profilazione marketing senza disattivare gli altri cookie può farlo aggiornando le preferenze dal banner del Sito.

11. Reclamo all’Autorità di controllo

11.1 L’Interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo all’Autorità di controllo, ai sensi dell’art. 77 GDPR. In particolare:

a) Autorità competente per il Titolare: Andmekaitse Inspektsioon (Estonian Data Protection Inspectorate), Tatari 39, 10134 Tallinn, Estonia – sito web: https://www.aki.ee – e-mail: info@aki.ee;

b) Autorità del Paese di residenza dell’Interessato: ai sensi dell’art. 77 GDPR, l’Interessato può altresì proporre reclamo all’Autorità di controllo dello Stato membro UE in cui risiede abitualmente, lavora, ovvero in cui si è verificata la presunta violazione. A titolo esemplificativo, per gli Interessati residenti in Italia: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma – www.garanteprivacy.it.

11.2 Ricorso giurisdizionale. Resta in ogni caso impregiudicato il diritto dell’Interessato di proporre ricorso giurisdizionale ai sensi dell’art. 79 GDPR avverso il Titolare o un Responsabile del trattamento.

12. Modifiche all’informativa

12.1 Il Titolare si riserva di modificare la presente informativa in qualsiasi momento, dandone idonea pubblicità sul Sito. La data di efficacia indicata in copertina riflette l’ultimo aggiornamento. Si invita l’Interessato a consultare regolarmente la presente pagina.

12.2 Comunicazione delle modifiche. Qualora le modifiche incidano in modo significativo sui trattamenti basati sul consenso, gli Interessati saranno informati in modo specifico (es. tramite banner sul Sito o e-mail agli iscritti alla newsletter) e, ove necessario, sarà richiesto un nuovo consenso.

13. Quadro normativo di riferimento

La presente informativa è redatta in conformità a:

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (“GDPR”);
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“e-Privacy Directive”), come modificata dalla Direttiva 2009/136/CE;
Isikuandmete kaitse seadus (Estonian Personal Data Protection Act);
Linee guida e provvedimenti dello European Data Protection Board (EDPB) e dell’Andmekaitse Inspektsioon;
Norme di recepimento della Direttiva 2002/58/CE nel Paese di residenza dell’Interessato e relative linee guida delle Autorità nazionali (a titolo esemplificativo, per gli Interessati italiani: Provvedimento del Garante per la protezione dei dati personali del 10.6.2021 “Linee guida cookie e altri strumenti di tracciamento”), per quanto inderogabilmente applicabili in forza dell’art. 6 del Regolamento (CE) 593/2008.

APPENDICE

INFORMAZIONI SPECIFICHE PER I CLIENTI DEI SERVIZI

La presente Appendice integra l’informativa generale e si applica specificamente ai Clienti che acquistano i Servizi tramite il Sito (Web Design Base, Gestione Google Business Profile, Ottimizzazione SEO, Servizi Partner).

A.1 Doppio ruolo del Titolare nei rapporti con i Clienti

Nei rapporti con i Clienti, Nanuq OÜ può assumere due distinti ruoli ai sensi del GDPR:

a) Titolare autonomo: per il trattamento dei dati personali del Cliente (persona fisica o referente di persona giuridica) connessi alla conclusione e all’esecuzione del contratto di acquisto dei Servizi (registrazione, fatturazione, comunicazioni contrattuali, assistenza, marketing). Tali trattamenti sono integralmente disciplinati dalla presente informativa;

b) Responsabile del trattamento (art. 28 GDPR): per il trattamento dei dati personali di terzi (utenti finali del sito web del Cliente, contatti commerciali, dipendenti, ecc.) ai quali Nanuq OÜ accede nell’esecuzione dei Servizi (a titolo esemplificativo: gestione di caselle e-mail del dominio del Cliente, accesso a CMS contenenti dati di utenti, gestione del Google Business Profile del Cliente, gestione di form di contatto installati sul sito del Cliente). Per tali trattamenti il Cliente è autonomo Titolare e Nanuq OÜ opera quale Responsabile sulla base dell’Allegato 1 (Data Processing Agreement) delle Condizioni Generali di Servizio e Vendita.

A.2 Servizi Partner

Per i servizi resi da partner terzi tramite il Sito (a titolo esemplificativo, Intelligo per cookie banner e adeguamento GDPR base), il trattamento dei dati personali del Cliente è disciplinato dalle informative privacy del rispettivo Partner, alle quali si rinvia integralmente. In tali casi, Nanuq OÜ opera quale intermediario commerciale e non come Titolare o Responsabile dei trattamenti effettuati direttamente dal Partner nell’erogazione del proprio servizio.

A.3 Coerenza con le Condizioni Generali

Le presenti previsioni si interpretano in coerenza con le Condizioni Generali di Servizio e Vendita pubblicate sul Sito, e in particolare con i relativi artt. 5.4 (Servizi Partner), 11 (Trattamento dei dati personali) e con l’Allegato 1 (DPA art. 28 GDPR). In caso di conflitto, prevale la disposizione più favorevole alla tutela dell’Interessato.

NOTA DI REVISIONE (ad uso interno)

Da rimuovere prima della pubblicazione. Sintesi delle modifiche rispetto alla v. del 02.07.2025 attualmente pubblicata su onlinefacile.com.

Modifiche identitarie del Titolare

Sostituito il Titolare: da “Ad Maiora S.r.l.” (P.IVA 17739331001, Roma, PEC admaiora.srl@pec.cloud) a “Nanuq OÜ” (cod. reg. 17095950, sede in Pärnu mnt 388b, Tallinn, Estonia).
Aggiunto canale dedicato privacy@onlinefacile.com (già menzionato nel testo della v.1.0 ma non riportato in calce all’indirizzo del Titolare).

Correzioni e integrazioni di compliance GDPR

Sezione 2 (Categorie dati): radicale ampliamento. La v.1.0 elencava solo dati aziendali e di contatto raccolti via form. Sono state aggiunte: dati di account/registrazione (my-account presente sul Sito), dati di acquisto e transazione (WooCommerce), dati di navigazione e tecnici (IP, user agent, cookie), materiali del Cliente per i Servizi (con rinvio al DPA), categorie particolari art. 9 (escluse), dati di minori art. 8.
Sezione 3 (Finalità): da 3 finalità a 9 finalità complete, con basi giuridiche specifiche e periodi di conservazione coerenti con il diritto estone (Raamatupidamise seadus § 12: 7 anni per documenti contabili).
Sezione 6 (Destinatari): aggiunti i destinatari concreti effettivamente attivi sul Sito (Google, Meta, PayPal, Intelligo) e la distinzione tra Responsabili del trattamento e autonomi titolari, prima carente.
Sezione 7 (Trasferimenti extra-SEE): la v.1.0 dichiarava “non è previsto trasferimento verso Paesi extra SEE” — affermazione non veritiera, dato che Google, Meta e PayPal trasferiscono dati negli USA. Riscritta con riferimento al EU-US Data Privacy Framework (Decisione 2023/1795) e alle SCC 2021/914.
Sezione 8 (Cookie): integralmente nuova. La v.1.0 non conteneva alcuna sezione cookie (delegata implicitamente al banner Intelligo). Aggiunte tabelle dettagliate dei cookie effettivamente presenti sul Sito (rilevati dall’analisi del 05.05.2026): tecnici (intelligo, WP Cerber, WooCommerce), funzionali (PayPal, reCAPTCHA), statistici (explat) e marketing (Meta Pixel id 1370028274657073, Google Tag Manager GTM-MGHKNXTD).
Sezione 10 (Decisioni automatizzate): la v.1.0 dichiarava “No profilazione” — affermazione contraddetta dalla presenza di Meta Pixel attivo. Riscritta distinguendo tra art. 22 GDPR (decisioni con effetti giuridici, escluse) e profilazione marketing tramite cookie (presente, soggetta a consenso).
Sezione 11 (Autorità di controllo): aggiunta Andmekaitse Inspektsioon come autorità del Titolare estone, mantenendo la facoltà di reclamo all’Autorità del Paese di residenza dell’Interessato (es. Garante italiano).
Sezione 13 (Quadro normativo): rimosso riferimento al “D.Lgs. 196/2003 e D.Lgs. 101/2018” come fonti regolatrici dirette del trattamento del Titolare (sono norme italiane non applicabili a Titolare estone). Mantenuto rinvio a tali norme per i soli aspetti inderogabili a tutela degli Interessati italiani ex art. 6 Reg. (CE) 593/2008.

Aggiunte ex novo

Sezione 2.8 sui dati di minori (art. 8 GDPR – soglia 16 anni).
Sezione 5.3 su data breach (artt. 33-34 GDPR) con tempi di notifica.
Sezione 9.3 su identificazione dell’Interessato (art. 12.6 GDPR).
Appendice per Clienti dei Servizi: chiarisce il doppio ruolo Titolare autonomo / Responsabile (art. 28 GDPR), con rinvio coerente all’Allegato 1 del contratto v.2.2.

Coerenza con altri documenti

La presente Privacy Policy è coerente con le Condizioni Generali di Servizio e Vendita v.2.2 (artt. 11 e Allegato 1).
In particolare, l’art. 11.6 del contratto rinvia al Garante competente come indicato qui (Andmekaitse Inspektsioon + Autorità di residenza).
Il quadro normativo (Sezione 13) è allineato alla scelta di legge estone effettuata nel contratto v.2.2.

Punti di attenzione (azioni richieste prima della pubblicazione)

FOOTER DEL SITO: il footer di onlinefacile.com riporta ancora “Ad Maiora S.r.l. – P.IVA 17739331001 – Sede Legale: Circonvallazione Clodia 163/16, Roma – PEC: admaiora.srl@pec.cloud”. È URGENTE aggiornarlo a Nanuq OÜ in coordinamento con la pubblicazione della presente Privacy Policy: la non corrispondenza tra Titolare dichiarato in informativa e venditore identificato in footer costituisce una violazione informativa rilevante (artt. 13 GDPR e Direttiva e-Commerce 2000/31/CE).
Verificare che il banner cookie Intelligo sia configurato per bloccare effettivamente Meta Pixel e Google Tag Manager fino al consenso (e non solo per registrare la scelta), come richiesto dall’art. 5(3) Direttiva e-Privacy.
Verificare se i fornitori USA effettivamente utilizzati siano certificati al EU-US Data Privacy Framework su https://www.dataprivacyframework.gov/ e, in caso negativo, integrare con SCC + TIA.
Form di contatto: la spunta marketing rinvia a “punto 3.b dell’informativa”. Con la nuova struttura, la finalità marketing è la lettera f) della Sezione 3. Aggiornare il form di conseguenza.
Predisporre processo interno per gestire le richieste di esercizio dei diritti GDPR (Sezione 9): casella privacy@onlinefacile.com presidiata, registro delle richieste, template di risposta entro 30 giorni.
Predisporre Registro dei Trattamenti (art. 30 GDPR) e procedura di Data Breach (artt. 33-34 GDPR) coerenti con la presente policy.
Pubblicare elenco aggiornato dei Responsabili del trattamento, accessibile su richiesta a privacy@onlinefacile.com (Sezione 6.2 in fine).
Inserire data di efficacia in copertina.
Rimuovere la presente Nota di revisione prima della pubblicazione.