INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
1. PREMESSE
1.1: La presente informativa si riferisce al trattamento dei dati che verrà effettuato sul sito www.roarcosmetics.com e sulla App denominata ROAR ID.
1.2: IMPORTANTE: Il Titolare ha deciso infatti di utilizzare una sola informativa privacy per i due ambienti (web e App) che insieme compongono il Servizio in quanto essi sono collegati, in quanto i dati raccolti dai due ambienti confluiscono in un unico database, in quanto i due ambienti sono due punti di raccolta di dati ed erogazione di servizi che fanno parte di un unico complessivo progetto.
1.3: Questa informativa cercherà di spiegare chi e come tratta i dati dell’interessato (detto anche Utente), quali sono i suoi dati, e quali sono i suoi diritti e come può esercitarli. Per chiarimenti particolari, laddove l’Utente non capisca o non ritenga sufficiente quanto inserito nell’informativa, si invita a scrivere al seguente indirizzo: legal@roarcosmetics.com
2. ALCUNE NOZIONI IMPORTANTI SUI DATI PERSONALI
Cosa si intende per dati personali? Dati personali sono tutte le informazioni che si riferiscono ad una persona fisica identificabile. L’indirizzo email è un dato personale. Il testo di un messaggio, se rivela informazioni relative ad una persona, è un dato personale. Il nickname è un dato personale, ma anche la lista degli acquisti è un dato personale anche perché rivela, o potrebbe rivelare, i gusti del Cliente ecc. Sono senz’altro dati personali le caratteristiche fisiche indicate dall’Utente (nel Beauty Passport per esempio) ed anche la variazione di esse, così come lo sono i feebaback sui prodotti che esprimono non solo il gradimento da parte del Cliente, ma anche la sua aderenza allo stile del Cliente. Così infine è un dato personale anche il tempo di consumo di un prodotto.
Cosa significa trattare i dati? La definizione giuridica di trattamento comprende qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Praticamente quindi tutto quel che si può fare con i dati dell’utente è trattamento. Già quindi raccogliere o leggere i dati per esempio, ossia consultarli, è un trattamento.
3. CHI TRATTA I DATI
Titolare del trattamento:
ROAR Europe Limited – C102775
The Victoria Centre, Unit 2
Lower Ground Floor, Valletta Road
Mosta MST 9012
Malta
Mail: eu@roarcosmetics.com
Poi, per quanto concerne eventuali funzioni accessorie, Roar Europe si può avvalere di soggetti interni autorizzati al trattamento (detti anche incaricati) o soggetti esterni per lo più come responsabili del trattamento, come titolari autonomi o contitolari, a seconda dei casi.
3/a. A CHI VENGONO COMUNICATI I DATI
(o A CHI VIENE CONSENTITO ACCESSO AGLI STESSI)
I dati vengono comunicati a soggetti interni al Titolare (i dipendenti) che collaborano nella gestione esecutiva ed amministrativa del servizio.
Possono essere ulteriormente comunicati in ottemperanza di obblighi di comunicazione in caso di richiesta da parte di un’autorità pubblica (ad esempio richiesta da parte del Tribunale, accertamenti fiscali, accertamenti su tenuta di registri ecc…).
Inoltre i dati sono comunicati:
- al provider del servizio newsletter;
- al servizio di hosting/cloud;
- ai terzi gestori dei cookie installati tramite il sito (si veda la relativa informativa);
- ai social network in caso di installazione di widget o funzione “mi piace/condividi ecc.” inserita nel sito web;
- ai provider dei servizi di pagamento (in questo caso il dato non viene comunicato, ma l’utente viene veicolato direttamente alle piattaforme di elaborazione dei pagamenti, di competenza dei servizi terzi);
- ai corrieri per la consegna o per il ritiro dei beni;
- provider di applicativi di marketing automation;
È importante sapere che Roar Europe può gestire e dominare solo i dati conservati e trattati nell’ambito del proprio sistema: dati ceduti o comunicati a terzi saranno, nel modo e nel quanto, autonomamente trattati dai terzi cui vengono comunicati secondo proprie politiche di privacy. In ogni caso, laddove Roar Europe cessi il trattamento dei dati personali di un utente, darà comunicazione della cessazione anche ai soggetti cui tali dati siano stati comunicati, ma non può garantire la cessazione del trattamento da parte di questi.
4. DOVE LI TRATTA
Roar Europe tratta i dati personali degli Utenti presso la propria sede e in cloud situato in zona UE.
5. QUALI DATI VENGONO TRATTATI
In base alla qualità significativa dei dati si possono individuare:
- Dati di contatto: email e telefono;
- Dati Identificativi: nome, cognome, data nascita, indirizzo, codice fiscale, numero documento identità;
- Immagine: la foto che l’Utente, se vuole, può caricare nel profilo.
- Dati di ID: nickname;
- Dati di contenuto: il contenuto della comunicazione inviata dall’Utente attraverso l’apposito modulo.
- Di navigazione: possono esser raccolti ed assumere importanza dati relativi alla navigazione, ivi compresi i dati relativi alle pagine visitate, al tempo in cui l’utente resta nella pagina, alla selezione di prodotti poi non acquistati, alla lettura delle info di prodotti, alla visione di video ecc. Sono questi tutti dati che assumono importanza sia per capire l’effettiva resa del servizio online in termini di user experience, sia l’effettiva appetibilità di singoli prodotti.
- Di acquisto: indicano i singoli acquisti, quindi prodotto, costo, data ecc.
- Dati di utilizzo del sito (per marketing automation);– Dati “estetici” ossia dati che esprimono caratteristiche fisiche dell’Utente, come per esempio colore occhi, capelli, lo stile dello stesso ecc. I dati estetici nel complesso alimentano il Beauty Passport.– Dati di preferenza: sono le informazioni relative all’inserimento di prodotti nei preferiti o whislist da parte dell’Utente (pre acquisto) o anche nel carrello;– Mi piace o approvazione: è la manifestazione (con apposita funzione) di apprezzamento del prodotto (anche post acquisto);– Feedback: è l’espressione (anche motivata) dell’opinione (negativa o positiva) circa un determinato prodotto acquistato sullo Shop. Il tipo di dato dipende da ciò che viene scritto dall’Utente.– Dati di profilazione: sono i dati che, sulla base dell’elaborazione di altri dati (come i dati estetici, i dati di acquisto e storico acquisto e consumi, i feedback, i dati di preferenza ecc.) collocano l’Utente in categorie (Cluster) e presumono il gradimento da parte di esso di determinati prodotti. I dati di profilazione sono in continua variazione atteso che ricollocano continuamente, al variare dei dati che vengono utilizzati (o nel caso di aggiunta di alcuni: per esempio l’effettivo acquisto di un prodotto proposto è un rinforzo che conferma o meno la profilazione e va a modificarla) o dei parametri dell’algoritmo, l’Utente nel Cluster ritenuto più adeguato. I dati di profilazione sono quindi l’output e consistono nell’inserimento dell’Utente in un Cluster e nella lista di Prodotti abbinati allo stesso. I dati di profilazione sono dati ricavati dal Titolare mediante appunto elaborazione dei dati conferiti dall’utente o raccolti nella sua esperienza di utilizzo del servizio.– Dati statistici: sono dati che indicano le tendenze degli utenti. I dati statistici sono realizzati e ricavati dal Titolare mediante analisi delle altre categorie di dati, ed esprimono output generalizzati e non riconducibili al singolo Utente.– Dati attivazione NFC: mediante apposita funzione, abbinando un chip all’interno della confezione (NFC) alla App si comunica al Titolare l’effettiva attivazione del prodotto. Al Titolare viene inviata una stringa alfanumerica che individua il singolo pezzo acquistato, e solo indirettamente (con match col dato di acquisto di quel prodotto) l’Utente. Il dato di attivazione fissa la data di presunto inizio di utilizzo del prodotto;– Storico acquisti e consumi e storico profilazioni: si tratta della sequenza di acquisti (tipo di prodotto, coerenza con la lista di prodotti proposti ecc), consumi (quanti prodotti, quanti di un determinato tipo, tempistiche di acquisto, attivazione NFC, acquisto di nuovo prodotto simile o diverso) e profilazioni (anche la sequenza di singole profilazioni può esprimere nel tempo informazioni utili per meglio calibrare, tramite nuova profilazione appunto, l’offerta e la clusterizzazione).
6. PER QUALI SCOPI VENGONO TRATTATI, E INDICAZIONE DELLA BASE GIURIDICA E DURATA DI CONSERVAZIONE.
Roar Europe tratta i dati degli utenti per le seguenti finalità:
- Risposta a richieste inviate dall’utente (informazioni, esercizio diritti ecc): consiste nella risposta a contatti effettuati da parte del cliente/utente (tramite email o altra forma di contatto).
Base giuridica: esecuzione della prestazione richiesta dall’utente nella comunicazione (come ad esempio l’esercizio di un diritto);
Durata: dieci anni (obbligo di conservazione della corrispondenza commerciale).
Dati trattati: di contatto, identificativi ed altri a seconda del contenuto della richiesta (per esempio le informazioni contenute nel testo della richiesta possono esser riferite a persone, ed in quanto tali sono dati personali).
Obbligatorietà del conferimento: il conferimento dei dati è necessario al fine di poter evadere la richiesta formulata dall’Utente.
Ambiente di raccolta e output: Sito web, App. - Condivisione social: Il servizio ospita funzioni (widget, tasti o simili) che consentono all’utente di condividere rapidamente la pagina web o altro evento ovvero di collegarsi alla pagina social di Roar Europe. È facoltà dell’utente condividere tali eventi o collegarsi alla Pagina, ma la sola condivisione (o – se l’utente è iscritto ai social – la sola navigazione) comporta la trasmissione di dati al social, ed in particolare la navigazione ed iscrizione a Roar Europe, oltre che in alcuni casi il dispositivo e l’indirizzo IP da cui viene fatta la iscrizione o condivisione. Tali dati vengono poi gestiti dai social secondo logiche e politiche di protezione dei dati proprie.
Dati trattati: evento (inclusa la navigazione) condiviso, account social, IP o dispositivo di connessione con cui viene fatta iscrizione o condivisione social,
Base giuridica: esecuzione della prestazione di condivisione e legittimo interesse del Titolare alla promozione della pagina social e alla diffusione dell’evento eventualmente condiviso e – indirettamente – alla conseguente promozione del proprio servizio. Il legittimo interesse si ritiene prevalente rispetto agli interessi e diritti degli utenti per i seguenti motivi:
– L’evento viene condiviso con azione positive e consapevole da parte dell’utente;
– L’evento viene condiviso su piattaforme social di cui alle quali l’utente è già iscritto;
– L’utente ha facoltà di eliminare quando vuole il post condiviso sul social (secondo le impostazioni della maggior parte di tali piattaforme);
Durata: istantanea per quanto riguarda Roar Europe. La durata del trattamento effettuata dal social dipende dalle relative politiche in tema di trattamento dei dati personali.Obbligatorietà del conferimento: il conferimento dei dati non è necessario e la condivisione avviene solo su iniziativa dell’Utente.
Ambiente di raccolta e output: Sito web. - Invio newsletter per fini informativi o di marketing propri di Roar Europe e/o di terzi: L’indirizzo email dell’utente viene utilizzato per inviare mail periodiche con contenuti operativi, promozionali (sia di Roar Europe sia di aziende partner o terze: in ogni caso anche i contenuti marketing delle aziende terze saranno veicolati tramite email inviata da Roar Europe).
Dati utilizzati: contatto, eventualmente preferenza o qualità personali laddove le email siano destinate ad un pubblico selezionato (si intende con ciò il caso in cui il contenuto della mail cambi a seconda delle categorie di destinatari, per esempio in base all’età).
Base giuridica: A) consenso espresso durante la fase di iscrizione o mediante inserimento dell’indirizzo email nell’apposito spazio.
ATTENZIONE: il consenso può essere sempre revocato attivando l’apposita funzione (di norma in fondo alla mail ricevuta, come Unsubscribe, Cancellami o simili) oppure scrivendo al titolare. Dalla revoca del consenso il dato (email) non sarà più utilizzato per l’invio di comunicazioni, ma sarà conservato al fine di poter dare prova dell’avvenuta manifestazione del consenso e successiva revoca.
B) Legittimo interesse del Titolare (cd. Soft spam) solo per Utenti che abbiano comprato beni o servizi sullo Shop Online fornendo al tal fine l’indirizzo email e solo per la promozione di beni o servizi analoghi a quello acquistato e solo del Titolare (sono quindi esclusi da tale base giuridica e richiedono il consenso le mail che contengono anche annunci che promuovono beni, servizi o eventi di società diverse da quella del Titolare).
Durata: sino alla cancellazione dal servizio newsletter mediante apposita funzionalità (salvo quando indiato al paragrafo precedente).
Frequenza: non più di una email al giorno.
Obbligatorietà del conferimento: il conferimento dei dati non è obbligatorio ed è subordinato al consenso.
Ambiente di raccolta: Sito web e App. - Attivazione e gestione dell’account dell’Utente.
Base giuridica: esecuzione richiesta di attivazione e gestione account dell’Utente (esecuzione del contratto);
Dati trattati: Dati di contatto, Identificativi, di ID nickname, di contenuto, di navigazione, di acquisto, di utilizzo del sito o APp, “estetici”, di preferenza, Mi piace o approvazione, Feedback, di profilazione, statistici, attivazione NFC, storico acquisti e consumi e storico profilazioni.
Durata: sino a cancellazione dell’account, salva conservazione per il tempo di mesi tre dalla cancellazione dell’account al fine di permetterne la riattivazione senza perdita di dati laddove richiesto dall’utente (nonché – nell’eventuale caso di commissione di reati – per permettere l’esercizio della querela). Sono ulteriormente conservati i dati relativi alla transazione commerciale e – previa pseudonimizzazione – gli altri dati per fini di statistica (vedi oltre).
Obbligatorietà: non conferire i dati impedisce l’attivazione dell’account. Non tutti i dati tuttavia sono necessari per l’attivazione dell’account. Laddove i dati siano necessari ciò emerge da indicazioni specifiche (con asterischi che richiamano il campo come obbligatorio) ovvero da blocchi operativi del servizio (che non consente di procedere in tal caso se non viene inserito il dato obbligatorio).
Ambiente di raccolta: sito web e App permettono entrambe l’accesso allo stesso account. - Vendita a distanza dei Prodotti (vedi Condizioni di Vendita a distanza): Il sito permette di acquistare beni a distanza. I dati sono trattati da Roar Europe per perfezionare a distanza la vendita del Bene (quindi elaborare la richiesta, il pagamento, la spedizione, il servizio post vendita);
Base giuridica: esecuzione contratto;
Dati trattati: identificativi (nome, cognome, e data di nascita, indirizzo), di contatto (email e telefono), cronologia acquisti, reclami. Dati di fatturazione se richiesta fattura. Altri dati ricavati dall’esperienza di acquisto sono utilizzati per finalità di Profilazione e Statistica (vedi oltre).
Durata: dieci anni dalla conclusione dell’acquisto (salvo maggior durata dell’account);
Obbligatorietà del conferimento: non conferire i dati non permette l’acquisto dei beni;
Ambiente di raccolta: sito web.
Note: i dati sono raccolti mediante lo Shop online sul sito web, ma confluiscono insieme a quelli raccolti in App nel set di dati utilizzati per la Profilazione, per il Consiglio prodotti, per le statistiche. - Esecuzione vendita a distanza per Utente non iscritto: il sito consente la vendita a distanza dei Beni anche per utenti non iscritti mediante reindirizzamento sul provider di pagamento (pay pal, stripe ecc). In tal caso saranno comunque trattati i dati necessari per ricevere l’ordine, il pagamento, spedire il Bene, gestire il post vendita.
Base giuridica: esecuzione contratto.
Dati trattati: nome, cognome, indirizzo, telefono, pagamento.
Durata: dieci anni dalla conclusione dell’acquisto;
Obbligatorietà del conferimento: non conferire i dati non permette l’acquisto dei beni;
Ambiente di raccolta: sito web.
Note: i dati sono raccolti mediante lo Shop online sul sito web, ma confluiscono insieme a quelli raccolti in App nel set di dati utilizzati per la Profilazione, per il Consiglio prodotti, per le statistiche. - Pubblicazione feedback: sul sito possono esser pubblicati commenti e feedback mediante embedd delle recensioni pubblicate dagli utenti sulla pagina google o su servizi come Trust Pilot o simili di Roar Europe.
Dati trattati: nome, nick che compare nella recensione, contenuto della valutazione, immagine quando possibile;
Base giuridica: legittimo interesse del Titolare alla pubblicazione delle valutazioni dei clienti in ottica di promozione del brand.
Il legittimo interesse deve ritenersi prevalente per i seguenti motivi:
– è stato l’utente a pubblicare il commento, collegandolo alla pagina del Titolare;
– l’utente può aspettarsi la pubblicazione del commento anche sul sito del Titolare;
– è stato l’Utente a decidere se e cosa scrivere nel commento;
– l’Utente può sempre chiedere la rimozione del commento a Google o al servizio terzo su cui è stato pubblicato (per es Trust pilot ecc);
Durata: fino a permanenza del commento sulla piattaforma terza (Goolge, TrutPilot ecc; si invita l’Utente a leggere la relativa informativa privacy); - Creazione database iscritti: Roar Europe crea un database degli Utenti. Tale database viene utilizzato sia come registro di backup, sia come base dati per l’esecuzione di attività di elaborazione statistiche e Profilazione (vedi oltre).
Base giuridica: legittimo interesse del titolare alla conservazione ed efficace elaborazione dei (ritenuto prevalente rispetto a interessi contrari in quanto si tratta di dati già in possesso, seppur in ordine sparso, del Titolare);
Durata: fino a richiesta di eliminazione (vedi clausola relativa a esercizio diritti) mediante invio di email al titolare;Dati trattati:
Dati trattati: Dati di contatto, Identificativi, di ID nickname, di contenuto, di navigazione, di acquisto, di utilizzo del sito o App, “estetici”, di preferenza, Mi piace o approvazione, Feedback, di profilazione, statistici, attivazione NFC, storico acquisti e consumi e storico profilazioni.
Obbligatorietà: il conferimento dei dati nel DB non è obbligatorio. L’utente vi si può opporre.
Ambiente di raccolta: sito web, App. - Attivazione NFC e tenuta registro attivazioni e consumo: alcuni prodotti contengono un NFC che, se abbinato alla App, individua il termine iniziale di attivazione inviando al Titolare il codice alfanumerico del singolo prodotto.
Dati trattati: account, tipo di prodotto, dati di attivazione, scadenza del prodotto, storico acquisti e consumi.
Base giuridica: legittimo interesse del Titolare alla vendita di un prodotto di alta qualità in quanto l’attivazione, che si presume coincidere con l’iniziale uso del prodotto, consente un effettivo monitoraggio e controllo della scadenza dei prodotti, oltre che rendere come output informazioni sul reale consumo (in termini di inizio e durata dell’effettivo consumo del prodotto). Tale legittimo interesse si ritiene prevalente rispetto agli interessi contrari degli Utenti in quanto
– l’attivazione non è obbligatoria, ma rimessa alla volontà del Cliente (sebbene, laddove voglia “leggere” le informazioni di filiera contenute nell’NFC dovrà comunque abbinarlo);
– il dato raccolto è un dato di limitata importanza per l’interessato dato che indica solo l’iniziale presunto utilizzo di un bene che lo stesso ha già acquistato e che quindi è abbinato al medesimo Cliente.
Durata: la singola attivazione viene raccolta ed abbinata al Cliente e trattata per il monitoraggio dei consumi fino a permanenza del suo account (lo storico consumi infatti può esser utilizzato sia per la Profilazione che le Statistiche).
Obbligatorietà: l’attivazione non è obbligatoria. Non attivare l’NFC implica soltanto il mancato monitoraggio dell’evento da parte del Titolare e l’impossibilità di monitorare la scadenza del prodotto.
Ambiente: il dato viene raccolto mediante abbinamento del prodotto con la App. Viene poi abbinato all’account e alimenta lo storico consumi. - Monitoraggio scadenze: In caso di attivazione di NFC e comunque di norma in base al tempo di acquisto, il Servizio effettua un monitoraggio di scadenza del prodotto avvisando il Cliente quando il bene è in scadenza.
Dati trattati: account, tipo di prodotto, dati di attivazione o acquisto, scadenza del prodotto, storico acquisti e consumi.
Base giuridica: legittimo interesse del Titolare alla vendita di un prodotto di alta qualità in quanto il monitoraggio permette di rendere un servizio migliore ai clienti. Tale legittimo interesse si ritiene prevalente rispetto agli interessi contrari degli Utenti in quanto il dato raccolto è un dato di limitata importanza per l’interessato atteso che indica solo la data di cessazione di utilizzo di un bene che lo stesso ha già acquistato e che quindi è già comunque abbinato al medesimo Cliente.
Durata: il monitoraggio è output dello storico consumi. Non implica raccolta di un dato nuovo ma solo output.
Obbligatorietà: come indicato per l’attivazione di NFC essa non è obbligatoria. Il monitoraggio della scadenza invece desunto dal prodotto non attivato è dato fornito dal Titolare.
Ambiente: il dato viene elaborato dal Database comunue ad App e Sito e reso al Cliente nel suo Account. - Statistiche aggregate: il servizio elabora statistiche utilizzando i dati raccolti dall’interessato e i dati rilevati dal sistema. Per esempio vengono elaborate statistiche che abbinano l’effettivo acquisto di beni, o anche il monitoraggio di essi, l’età, le caratteristiche (tutte o alcune) dell’Utente, lo storico acquisti e consumi ecc. Le statistiche rese sono riferite alle categorie di utenti o alle caratteristiche dei beni e non sono riconducibili al singolo Utente.
Dati trattati: Dati di contatto, Identificativi, di ID nickname, di contenuto, di navigazione, di acquisto, di utilizzo del sito o APp, “estetici”, di preferenza, Mi piace o approvazione, Feedback, di profilazione, statistici, attivazione NFC, storico acquisti e consumi e storico profilazioni.
Base giuridica: legittimo interesse del titolare all’analisi del mercato, delle categorie di clienti e utenti, della resa del servizio online e appetibilità dei prodotti. Tale legittimo interesse si ritiene prevalente rispetto agli interessi degli utenti in quanto:
– la statistica non rende output riconducibili al singolo utente, ma solo a categorie di utenti e beni;
– la statistica viene elaborata previa pseudonimizzazione del dato e con modalità tali da rendere difficile la reindentificazione dell’interessato.
Durata: i dati dell’interessato, previa appunto pseudonimizzazione, son utilizzati per l’elaborazione statistica a tempo indeterminato;
Obbligatorietà: il trattamento del dato a tal fine non è obbligatorio. Il Cliente/Utente ha facoltà di opporsi scrivendo al titolare.Ambiente: i dati sono raccolti sia tramite App che Sito web. L’elaborazione viene poi fatta in backend dal titolare sui propri sistemi.
NOTA: l’elaborazione statistica è esclusiva facoltà del titolare. È vietata ogni forma di datamining da parte di terzi. - Analisi utilizzo singolo del sito: Roar Europe utilizza programmi per monitorare l’utilizzo del sito (navigazione, accessi, acquisti ecc) da parte del singolo utente.
Base giuridica: legittimo interesse del Venditore all’ottimizzazione della fruibilità del sito, delle vendite e personalizzazione delle offerte.
Dati trattati: identificativi, di account, di utilizzo del servizio, di contatto, di navigazione.
Durata: fino a cancellazione account. - Beauty Passport: il servizio consente la creazione, per sé o per terzi, del cosiddetto Beauty Passport. Si tratta di un elenco di Dati Estetici fornito dall’Utente e che ne costituisce il profilo poi utilizzato anche per profilazione e statistiche. Sulla base del Beauty Passport (e di altri dati) vengono poi consigliati al Cliente singoli Prodotti o Video Tutorial.
Dati trattati: Dati di contatto, Identificativi, di ID nickname, “estetici”, di preferenza, Mi piace o approvazione, di profilazione, statistici.
Base giuridica: esecuzione della prestazione richiesta. Il Beauty passport infatti viene realizzato ed attivato solo su iniziativa dell’Utente.
Durata: il Beauty Passport permane fino a che resta attivo l’account. Vengono registrate anche le variazioni nelle singole voci dei dati estetici. È comunque consentito all’Utente eliminare il Beauty Passport.
Obbligatorietà: il Beauty Passport non è obbligatorio. Inoltre non è obbligatorio inserire tutte le voci dei dati estetici che lo compongono.
Ambiente: i dati estetici sono raccolti sia tramite il sito che tramite App. Viene poi generato un unico Beauty Passport. - Wishlist: il servizio consente all’Utente la selezione di prodotti da inserire nella lista dei desideri (o Whislist o prodotti preferiti).
Dati trattati: account, preferenza.
Base giuridica: esecuzione della prestazione richiesta. La wishlist viene attivata solo su iniziativa dell’Utente.
Durata: fino a permanenza di prodotti nella wishlist. I dati di preferenza espressi sono utilizzati anche per statistiche e profilazione.
Obbligatorietà: la wishlist non è obbligatoria. È facoltà libera dell’utente inserire prodotti nella lista dei desideri.
Ambiente: sito web. - Consiglio Prodotti o Video Tutorial: sulla base della Profilazione il Servizio consiglia l’acquisto di prodotti o la visione di videotutorial.
Dati trattati: Dati di contatto, di utilizzo del sito o APp, “estetici”, di preferenza, Mi piace o approvazione, di profilazione, statistici, storico acquisti e consumi e storico profilazioni.
Base giuridica: esecuzione della prestazione richiesta di consiglio. Di fatto il consiglio viene chiesto dal Cliente Utente solo mediante attivazione della funzione Beauty Passport.In ogni caso sussiste il legittimo interesse del Titolare al suggerimento di prodotti idonei e adatti al cliente al fine di render un servizio completo e migliore. Il legittimo interesse si ritiene prevalente in quanto:– il consiglio è un dato non necessariamente attribuibile all’utente ma una ipotesi formulata dal Titolare circa prodotti consigliati;– il consiglio è un output, non un dato del Cliente;– il dato che esprime il consiglio è comunque un dato di scarsa rilevanza in sé considerato, atteso che si aggiunge a informazioni già fornite al cliente circa un suo interesse generale verso il settore cosmetica.
Durata: il dato viene reso e conservato fino a modifica (è conservato anche lo storico).Obbligatorietà: il consiglio non è obbligatorio. Anche nel caso si attivi di default, sarà facoltà del Cliente opporsi con richiesta inviata al Titolare.
Ambiente: web e app.
Nota. Viene poi acquisito, al fine di valutare l’effettiva correttezza del consiglio, il dato relativo all’acquisto effettivo del bene o alla visione effettiva del tutorial consigliato. Anche tali dati di rinforzo (e conferma) possono confluire nei set di dati utilizzati per le statistiche o la profilazione. - Profilazione: il servizio utilizza i dati dell’Utente per collocare lo stesso all’interno di categorie (cluster) di utenti/clienti ed individuare di conseguenza il probabile gradimento da parte dello stesso di determinati prodotti (che potrebbero esser oggetto di consiglio). La Profilazione agisce mediante confronto dei dati dell’Utente coi tag che contrassegnano i prodotti: maggiore è il numero di dati che sono abbinati ai tag, maggiore è il grado di probabilità che il singolo prodotto sia di gradimento del cliente. In un secondo momento saranno utilizzati anche algoritmi di machine learning che utilizzeranno non solo i dati Estetici, ma anche gli altri dati come lo storico acquisti e consumi, i mi piace ecc.
Dati trattati: Dati di contatto, Identificativi, di ID nickname, di contenuto, di navigazione, di acquisto, di utilizzo del sito o APp, “estetici”, di preferenza, Mi piace o approvazione, Feedback, di profilazione, statistici, attivazione NFC, storico acquisti e consumi e storico profilazioni.
Base giuridica: consenso espresso dell’interessato.
Durata: sino a revoca del consenso.
Obbligatorietà: il trattamento di profilazione non è obbligatorio, ma viene attivato solo previo consenso del Cliente Utente.
Ambiente: i dati sono raccolti sia sul sito web che in App. Viene poi elaborata dal Servizio una profilazione che poi è restituita sia in App (soprattutto per consigliare video e tutorial), sia sul Sito (per consigliare Prodotti).
Nota bene:
- A) Nei casi in cui la Base Giuridica è il consenso, esso può esser sempre revocato. La revoca del consenso comporta la cessazione, da tale momento, del trattamento dei dati per la finalità per cui era stato conferito il consenso stesso. In alcuni casi tuttavia il dato può esser conservato per dare dimostrazione dell’avvenuto consenso e della successiva revoca dello stesso (che in caso di totale cancellazione non sarebbero possibili).
- B) Nei casi in cui la base giuridica è il Legittimo interesse l’Utente, se previsto nella singola voce, avrà facoltà di opporsi a tale trattamento scrivendo al titolare.
7. COME VENGONO CONFERITI I DATI
I dati vengono conferiti direttamente dall’Utente compilando gli appositi form, flaggando le voci (per esempio per i dati estetici), scrivendo commenti ecc. Alcuni dati sono rilevati dall’uso del Servizio. Altri dati infine, come quelli di profilazione e quelli statistici, sono ricavati dal Titolare mediante elaborazione di altri dati conferiti dall’Utente o rilevati durante la sua esperienza di navigazione o utilizzo del servizio.
8. COME IL SERVIZIO COMUNICHERÀ CON L’UTENTE
Roar Europe comunicherà con l’Utente nei seguenti modi:
- Potrà inviare email, effettuare telefonate, inviare messaggi o altre comunicazioni (anche notifiche push): si tratterà di comunicazioni operative per l’esecuzione del servizio o comunque di risposta alla comunicazione inviata dall’Utente. Queste comunicazioni sono indispensabili per la gestione regolare del rapporto con l’Utente.
- Potrà inviare Newsletter (o notifiche push): frequenza: quotidiana; contenuto: operativo, promozionale relativo a prodotti o servizi di Roar Europe o di aziende terze.
9. QUALI SONO I DIRITTI DEGLI UTENTI
Gli Utenti sono beneficiari di una serie di diritti.
Diritti di informazione circa:
- Categorie di dati vengono trattati (vedi punto n. 2 e 5);
- Origine dei dati, ossia sapere da dove il servizio ha tratto i suoi dati (vedi punto n. 7);
- Finalità del trattamento dei dati, ossia per quali scopi i dati vengono trattati (vedi punto n. 6);
- Estremi del titolare e di eventuali responsabili del trattamento (vedi punto n. 3);
- Soggetti cui vengono comunicati i dati (vedi punto n. 3/a);
- Tempo di conservazione e trattamento dei dati (vedi punto n. 6);
- Diritto di esperire reclamo innanzi all’Autorità preposta alla tutela dei dati personali;
- Esistenza o meno di processo di profilazione;
- Base giuridica del trattamento (vedi punto n. 6);
Poi ci sono diritti non di semplice informazione ma operativi. Essi sono di vario genere. In sintesi:
- L’interessato ha diritto di aver copia dei dati che ha fornito. Se i dati sono stati trattati con metodi automatizzati e sulla base del suo consenso o di un contratto, l’utente può chiedere – se tecnicamente possibile – che i dati siano trasmessi allo stesso interessato o anche ad un eventuale nuovo titolare (portabilità), sempre che questa operazione non leda i diritti (e i dati) di altre persone. Tale diritto nel caso di specie non potrà esser esercitato quindi in relazione a comunicazioni che contengano dati di terzi, segreti industriali o comunque contenuti protetti. In tal caso può chiedere anche la cancellazione dei dati (salvo che la legge non imponga la conservazione al Titolare come nel caso di comunicazioni commerciali).
- Se i dati personali sono inesatti o incompleti l’interessato può chiedere di rettificarli o completarli, fornendo indicazioni in tal senso. Se il Titolare deve verificare l’esattezza dei dati contestati dall’interessato, questi può nel mentre ottenere la limitazione dei dati contestati (limitazione significa che i dati vengono soltanto conservati e non ne viene fatto alcun altro trattamento se non con uno specifico consenso dell’interessato o se servono per esercitare o difendere un diritto in sede giudiziaria).
- Se i dati personali non sono più necessari per gli scopi per i quali sono stati raccolti o altrimenti trattati l’interessato ne può chiedere la cancellazione.
Se però i dati servono all’interessato per esercitare un proprio diritto in sede giudiziaria, ne può chiedere la limitazione (ossia la sola conservazione). - Se il trattamento è illecito perché i dati sono trattati in assenza di consenso, interesse legittimo da parte del Titolare, contratto per l’esecuzione del quale il trattamento stesso è necessario, obbligo legale di trattamento da parte del Titolare, l’interessato può chiederne la cancellazione o la limitazione.
- In caso di profilazione l’Utente ha diritto, mediante comunicazione da inviare al Titolare a mezzo email, di chiedere la revisione dell’output da parte di una persona.
10. COME LI PUÒ ESERCITARE
Procedura per l’esercizio dei diritti: I diritti dell’Utente possono esser esercitati inviando una mail a legal@roarcosmetics.com
Il Titolare deve rispondere entro trenta giorni (che possono esser prorogati di altri due mesi, ma il Titolare in questo caso deve dare avviso motivato del ritardo all’utente). Il Titolare può rifiutare, se ne ha motivo, di dar seguito alla richiesta dell’utente (rifiuto che deve esser comunicato all’utente entro un mese) solo in caso di richieste manifestamente infondate o ripetitive. Deve dare in tal caso risposta motivata. In ogni caso l’utente può rivolgersi all’Autorità preposta alla tutela dei dati personali o al Giudice.
Il Titolare deve rispondere utilizzando lo stesso canale (mail, telefono ecc) utilizzato dall’utente per la richiesta, a meno che l’utente stesso non chieda una risposta per via diversa. In caso di richiesta proveniente da indirizzo email diverso da quello indicato nell’account, il richiedente dovrà provare di esser l’interessato.
Il Titolare, laddove nutra dubbi circa l’identità della persona che avanza la richiesta o esercita uno dei diritti che vengono di seguito elencati, può chiedere ulteriori informazioni per confermare l’identità del richiedente. In caso di richiesta proveniente da indirizzo email diverso da quello indicato nell’account, il richiedente dovrà provare di esser l’interessato.
Le richieste e le risposte sono gratuite, salvo che siano ripetitive. In tale ultimo caso il Titolare può addebitare i costi vivi che affronta per la risposta (quindi costi di personale, costi materiali, ecc).
In ogni caso l’interessato può rivolgersi all’Autorità preposta alla tutela dei dati personali o alla Autorità Giurisdizionale competente per l’esercizio dei propri diritti.
11. QUALI SONO I DOVERI E ONERI DEGLI UTENTI
È fatto obbligo all’Utente di comunicare dati veritieri.
É onere dell’Utente comunicare al Titolare qualsiasi cambiamento intervenuto sui dati personali in precedenza comunicati. È infine onere dell’utente, laddove le funzionalità lo consentano, non inserire dati eccessivi. Per esempio, se il form richiede di inserire dati non obbligatori (di norma contrassegnati con asterisco), si raccomanda di inserirli solo se lo si ritiene necessario. Allo stesso modo, se si scrive un messaggio tramite il servizio, si raccomanda di evitare riferimenti espliciti a persone identificabili, se non necessari.
12. IPOTESI DI DATA BREACH
In caso si dovessero verificare, rispetto ai dati degli Utenti, uno o più dei seguenti eventi: accesso, sottrazione, perdita, distruzione, divulgazione, modifica non autorizzati (c.d. Data breach) Roar Europe, ferme restando le misure tecniche urgenti da porre in essere per bloccare (per quanto possibile) l’evento e per ridurne gli effetti dannosi si impegna a:
– ripristinare quanto prima il servizio in modo efficiente, recuperando i dati disponibili dall’ultimo backup utile effettuato;
– informare gli Utenti, direttamente se le circostanze lo permettono ovvero genericamente (mediante avviso sull’home del sito web o mediante comunicazione inviata a tutti gli utenti, compresi quelli per i quali eventualmente non ci sono stati eventi sui dati) del tipo di evento, del tempo in cui si è verificato, delle misure adottate (senza entrare nel dettaglio al fine di non agevolare eventuali nuovi attacchi) per ridurre i danni e per evitar nuovi analoghi eventi, nonché delle misure ed accorgimenti che l’utente dovrebbe – da parte sua – porre in essere per ridurre le probabilità di nuovi eventi e limitare le conseguenze di quelli già verificatisi.