Privacy Policy
Informativa sul trattamento dei dati personali resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 e successive modifiche (Codice della Privacy).
Indice
1Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite il presente sito è:
| Denominazione | Varvaria di Salvo Ilardo |
|---|---|
| Titolare / Legale rappresentante | Salvatore Pio Ilardo |
| Forma giuridica | Ditta individuale |
| Sede | Via Nuccio Grillo, 14 — 90020 Ventimiglia di Sicilia (PA) — Italia |
| Partita IVA | 07412500824 |
| Codice Fiscale | LRDSVT01A09G273U |
| REA / Iscrizione CCIAA | PA - 457489 |
| Email di contatto | ilardosalvo@gmail.com |
| PEC | ilardosalvo@pec.it |
| Telefono / WhatsApp | +39 334 859 3321 |
| Sito web | https://varvaria.it |
Il Titolare può essere contattato per qualsiasi questione relativa al trattamento dei propri dati personali ai recapiti sopra indicati.
Responsabile della Protezione dei Dati (DPO)
Considerata la natura, l'ambito di applicazione, il contesto e le finalità del trattamento, nonché la dimensione dell'attività, il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non rientrando in alcuna delle ipotesi di nomina obbligatoria previste dall'art. 37 GDPR. Per ogni questione in materia di privacy, è possibile rivolgersi direttamente al Titolare ai recapiti sopra indicati.
2Tipologie di dati raccolti
Il sito raccoglie le seguenti categorie di dati personali, sempre nel rispetto del principio di minimizzazione di cui all'art. 5(1)(c) GDPR (solo i dati strettamente necessari alle finalità dichiarate):
1. Gestione prenotazione appuntamento online
| Dati raccolti |
|
|---|---|
| Base giuridica | Esecuzione di misure precontrattuali / contratto (art. 6.1.b GDPR) |
| Obbligatorietà | Nome, servizio, data e orario sono indispensabili per finalizzare la prenotazione. Telefono e cognome rendono possibile il contatto in caso di variazione. |
| Conservazione | Conservati per 10 anni dalla data dell'appuntamento ai sensi degli obblighi civilistici e fiscali (art. 2220 c.c.). |
| Conferimento | Necessario |
2. Pubblicazione recensione previa verifica via email (anti-spam)
| Dati raccolti |
|
|---|---|
| Base giuridica | Consenso dell'interessato (art. 6.1.a GDPR), liberamente revocabile |
| Obbligatorietà | L'invio della recensione è facoltativo. L'email serve solo a verificare l'identità via codice OTP a uso singolo. |
| Conservazione | Pubblicate finché non vengono rimosse dall'utente o dal titolare. Codice OTP eliminato 15 minuti dopo l'emissione o all'avvenuta verifica. |
| Conferimento | Facoltativo |
3. Misurazione anonima dell'audience del sito (statistiche aggregate giornaliere/mensili)
| Dati raccolti |
|
|---|---|
| Base giuridica | Legittimo interesse del titolare (art. 6.1.f GDPR) alla comprensione dell'uso del proprio sito |
| Obbligatorietà | Il dato è raccolto in modo automatico al primo accesso giornaliero. Una sola riga per IP per giorno, nessun profilo individuale. |
| Conservazione | Conservati per un massimo di 365 giorni, poi cancellati o anonimizzati. |
| Conferimento | Automatico (uso del sito) |
4. Funzionamento tecnico essenziale del sito (sessione, sicurezza CSRF)
| Dati raccolti |
|
|---|---|
| Base giuridica | Esecuzione del servizio richiesto dall'interessato (art. 6.1.b GDPR) e legittimo interesse alla sicurezza (art. 6.1.f GDPR) |
| Obbligatorietà | Cookie strettamente necessari. Senza di essi il sito non funziona (login, form, prenotazioni). |
| Conservazione | Cookie di sessione: durata 720 ore o fino alla chiusura del browser. Cookie XSRF: 2 ore. |
| Conferimento | Tecnico |
📌 Dati NON raccolti
Il sito non utilizza sistemi di analytics (Google Analytics, Meta Pixel, Hotjar, ecc.), non profila gli utenti, non vende dati a terzi e non effettua marketing automatizzato. Non è previsto alcun trattamento di categorie particolari di dati personali (art. 9 GDPR — dati sanitari, biometrici, opinioni politiche, ecc.).
3Modalità e luogo del trattamento
Modalità
Il Titolare adotta opportune misure di sicurezza tecniche e organizzative volte a impedire l'accesso, la divulgazione, la modifica o la distruzione non autorizzati dei dati personali. Il trattamento viene effettuato:
- mediante strumenti informatici e telematici;
- con modalità organizzative e con logiche strettamente correlate alle finalità indicate;
- oltre che dal Titolare, anche da soggetti coinvolti nell'organizzazione del sito (personale autorizzato, fornitori di servizi tecnici come hosting e posta elettronica) o da soggetti esterni nominati Responsabili del trattamento ex art. 28 GDPR;
- con misure di protezione adeguate (connessioni HTTPS cifrate, password con hashing bcrypt a 12 round, autenticazione protetta, accesso ristretto agli amministratori autorizzati).
Luogo
I dati sono trattati presso la sede del Titolare a Ventimiglia di Sicilia (PA) e presso i server dei fornitori di servizi tecnici elencati nella sezione 6 ("Destinatari e trasferimenti"). I dati personali degli interessati sono conservati principalmente all'interno dello Spazio Economico Europeo (SEE).
Eventuali trasferimenti di dati personali verso paesi al di fuori dell'UE/SEE (in particolare verso gli Stati Uniti, per servizi tecnici di CDN, font e comunicazione) avvengono in conformità alle Decisioni di Adeguatezza della Commissione Europea (ad es. EU-US Data Privacy Framework) o sulla base di Clausole Contrattuali Standard (Standard Contractual Clauses, SCC) approvate dalla Commissione, con misure supplementari ove necessarie.
4Finalità e basi giuridiche del trattamento
I dati personali raccolti tramite il sito sono trattati esclusivamente per le finalità sotto indicate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione delle finalità (art. 5 GDPR):
- Esecuzione delle prenotazioni richieste dall'utente: gestione dell'appuntamento, comunicazioni operative legate alla prenotazione (modifiche, conferme, annullamenti). Base giuridica: art. 6(1)(b) GDPR — esecuzione di un contratto e misure precontrattuali su richiesta dell'interessato.
- Pubblicazione di recensioni nella sezione dedicata del sito, previa verifica via codice OTP inviato all'indirizzo email indicato dall'utente. La pubblicazione avviene solo dopo moderazione manuale del Titolare. Base giuridica: art. 6(1)(a) GDPR — consenso liberamente prestato e revocabile in ogni momento.
- Misurazione anonima dell'audience del sito (numero di visitatori unici giornalieri e mensili, registrati tramite indirizzo IP). Nessuna profilazione né tracking comportamentale. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse del Titolare alla comprensione dell'uso del proprio sito al fine di migliorarne l'efficacia.
- Funzionamento tecnico del sito (sessione, sicurezza CSRF, login amministratore): trattamenti necessari al servizio richiesto e alla sicurezza informatica. Base giuridica: art. 6(1)(b) e art. 6(1)(f) GDPR.
- Adempimenti di obblighi normativi — civili, fiscali, contabili (es. conservazione documenti per dieci anni ex art. 2220 c.c.). Base giuridica: art. 6(1)(c) GDPR — adempimento di obblighi legali a cui è soggetto il Titolare.
- Esercizio o difesa di un diritto in sede giudiziaria, nei casi limitati in cui ciò si renda necessario. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse.
Niente marketing senza consenso
Il Titolare non invia comunicazioni promozionali o newsletter agli interessati che hanno effettuato una prenotazione o lasciato una recensione. Qualora, in futuro, venissero introdotte attività di marketing diretto (es. invio di promozioni via email/SMS/WhatsApp), gli interessati saranno preventivamente informati e verrà richiesto un consenso specifico, libero, informato e revocabile.
5Periodo di conservazione
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, fatta salva l'eventuale conservazione ulteriore per finalità civilistiche, fiscali e di difesa in giudizio.
| Categoria di dati | Periodo di conservazione | Base normativa |
|---|---|---|
| Dati di prenotazione (nome, telefono, servizio, data, orario, note) | 10 anni dalla data dell'appuntamento | Art. 2220 c.c. (10 anni — obblighi civilistici), normativa fiscale |
| Recensioni pubblicate | Fino alla rimozione richiesta dall'interessato o decisa dal Titolare | Consenso art. 6(1)(a) GDPR (revocabile in ogni momento) |
| Codice OTP recensioni | 15 minuti dall'emissione, eliminato anche prima al momento della verifica | Minimizzazione (art. 5(1)(c) GDPR) |
| Indirizzi IP visite statistiche | Massimo 365 giorni | Legittimo interesse (art. 6(1)(f) GDPR) |
| Email amministratori e dati account | Per tutta la durata del rapporto + tempo prescrizionale (10 anni) | Esecuzione contratto, art. 6(1)(b) GDPR |
| Log tecnici di accesso | Massimo 12 mesi (provvedimenti del Garante 27/11/2008 e successivi) | Legittimo interesse (sicurezza) |
Al termine del periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile, salvo il caso in cui la loro ulteriore conservazione sia necessaria per adempiere obblighi di legge o per la difesa o l'esercizio di un diritto in sede giudiziaria.
6Destinatari e trasferimenti
I dati personali raccolti possono essere comunicati, nei limiti strettamente necessari alle finalità indicate, a:
- il Titolare del trattamento e i suoi collaboratori espressamente autorizzati;
- soggetti esterni che svolgono servizi tecnici per conto del Titolare in qualità di Responsabili del trattamento ex art. 28 GDPR (di seguito elencati);
- autorità competenti, in ottemperanza a obblighi di legge o a richiesta di pubbliche autorità.
Responsabili del trattamento e fornitori esterni
Meta Platforms Ireland Ltd
Servizio: WhatsApp Business — invio messaggio di conferma prenotazione
Sede legale: Irlanda (UE) / Meta Platforms Inc., USA (gruppo)
Dati trattati: Numero di telefono del cliente, nome, dettagli prenotazione (data, ora, servizio) → trasmessi solo se l'utente clicca sul pulsante "Invia su WhatsApp" dopo la prenotazione.
Base giuridica: Consenso (clic volontario sul pulsante)
Privacy policy: https://privacy.whatsapp.com/
Google Ireland Limited / Google LLC
Servizio: Google Fonts (font Playfair Display, Inter) e Google Maps (embed mappa lazy-load)
Sede legale: Irlanda (UE) e Stati Uniti (Decisione di adeguatezza UE-USA Data Privacy Framework)
Dati trattati: Indirizzo IP (caricamento font su ogni pagina). Per la mappa: nessun dato finché l'utente non clicca esplicitamente "Carica la mappa".
Base giuridica: Legittimo interesse (font necessari al rendering grafico); consenso esplicito per la mappa.
Privacy policy: https://policies.google.com/privacy
Volentio JSD Ltd (jsDelivr)
Servizio: CDN per la libreria Alpine.js (interattività form)
Sede legale: Regno Unito
Dati trattati: Indirizzo IP, user agent
Base giuridica: Esecuzione del servizio richiesto (caricamento JavaScript necessario al funzionamento del sito)
Privacy policy: https://www.jsdelivr.com/privacy-policy-jsdelivr-net
FlagCDN
Servizio: Bandiere dei prefissi telefonici nel form di prenotazione
Sede legale: Cloudflare network (UE/USA)
Dati trattati: Indirizzo IP, user agent
Base giuridica: Legittimo interesse al rendering del form
Privacy policy: https://flagcdn.com/
Canva Pty Ltd (Pexels)
Servizio: Video di sfondo nella sezione hero (CDN video.pexels.com)
Sede legale: Australia
Dati trattati: Indirizzo IP
Base giuridica: Legittimo interesse alla presentazione visiva del sito
Privacy policy: https://www.pexels.com/privacy-policy/
Provider SMTP configurato (mail.varvaria.it)
Servizio: Invio email transazionali per la verifica delle recensioni (codice OTP)
Sede legale: Da specificare nella configurazione di produzione
Dati trattati: Indirizzo email del recensore, codice OTP, contenuto del messaggio
Base giuridica: Esecuzione del servizio richiesto (l'utente ha inserito la propria email per recensire)
Trasferimenti extra-UE
Alcuni dei fornitori sopra elencati hanno sede negli Stati Uniti o effettuano trattamenti su infrastrutture globali. Tali trasferimenti avvengono sulla base di:
- Decisione di adeguatezza UE-USA Data Privacy Framework (per fornitori certificati);
- Clausole Contrattuali Standard (SCC) della Commissione Europea, ove applicabili;
- Misure tecniche e organizzative supplementari (cifratura in transito e a riposo) conformi alla giurisprudenza Schrems II (CGUE C-311/18).
Gli interessati hanno diritto di ottenere copia delle garanzie applicate ai trasferimenti scrivendo al Titolare ai recapiti indicati nella sezione 1.
7Diritti dell'interessato
In qualità di interessato, ai sensi degli artt. 15-22 GDPR, hai il diritto di:
Accesso
Ottenere conferma che siano in corso trattamenti dei propri dati e riceverne copia (art. 15).
Rettifica
Far correggere dati inesatti o integrare dati incompleti (art. 16).
Cancellazione
Ottenere la cancellazione dei propri dati quando non più necessari, in caso di revoca del consenso, o per trattamento illecito (art. 17 — "diritto all'oblio").
Limitazione
Limitare il trattamento in attesa di verifica della contestazione (art. 18).
Portabilità
Ricevere i propri dati in formato strutturato e leggibile (JSON/CSV) e trasferirli a un altro titolare (art. 20).
Opposizione
Opporsi al trattamento basato su legittimo interesse (art. 21).
Reclamo
Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
Revoca consenso
Revocare in ogni momento i consensi prestati, senza pregiudicare la liceità dei trattamenti basati sul consenso prima della revoca (art. 7.3).
Come esercitare i tuoi diritti
Per esercitare i diritti sopra elencati è sufficiente inviare una richiesta scritta al Titolare attraverso uno dei seguenti canali:
- Email: ilardosalvo@gmail.com
- PEC: ilardosalvo@pec.it
- Telefono / WhatsApp: +39 334 859 3321
- Posta ordinaria: Via Nuccio Grillo, 14 — 90020 Ventimiglia di Sicilia (PA) — Italia
Il Titolare risponderà senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta (termine prorogabile di ulteriori due mesi nei casi di particolare complessità, con preavviso all'interessato).
L'esercizio dei diritti è gratuito, salvo i casi previsti dall'art. 12(5) GDPR di richieste manifestamente infondate o eccessive (per ripetitività).
8Diritto di reclamo all'autorità di controllo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora l'interessato ritenga che il trattamento dei propri dati personali violi le disposizioni del GDPR, ha il diritto di proporre reclamo all'Autorità di controllo competente:
| Autorità | Garante per la Protezione dei Dati Personali |
|---|---|
| Sede | Piazza Venezia, 11 — 00187 Roma |
| Telefono | +39 06 696771 |
| protocollo@gpdp.it · protocollo@pec.gpdp.it (PEC) | |
| Sito web | www.garanteprivacy.it |
Le modalità di presentazione del reclamo sono illustrate sul sito del Garante.
9Sicurezza dei dati
Il Titolare adotta misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdite, distruzioni accidentali o divulgazioni illegittime, in conformità con l'art. 32 GDPR. In particolare:
- connessione cifrata HTTPS/TLS su tutte le pagine del sito;
- password degli amministratori memorizzate esclusivamente sotto forma di hash
bcryptcon cost factor 12 (mai in chiaro); - cambio obbligatorio della password al primo accesso e al reset;
- protezione automatica dei form contro attacchi CSRF tramite token a sessione;
- validazione sanitizzazione di tutti gli input lato server;
- controllo accessi all'area amministrativa con autenticazione e middleware di autorizzazione;
- accesso ai dati limitato ai soli soggetti autorizzati, vincolati a riservatezza;
- monitoraggio costante delle vulnerabilità note delle librerie utilizzate.
In caso di violazione dei dati personali (data breach) suscettibile di presentare un rischio per i diritti e le libertà degli interessati, il Titolare provvederà a notificare l'evento al Garante per la Protezione dei Dati Personali entro 72 ore dall'avvenuta conoscenza (art. 33 GDPR) e, ove previsto, comunicarlo agli interessati (art. 34 GDPR).
10Minori
Il servizio non si rivolge specificamente a minori di età. Le prenotazioni effettuate per minorenni devono essere disposte da un genitore o da chi esercita la responsabilità genitoriale, che fornirà i propri dati di contatto.
Ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del Codice Privacy italiano, il trattamento dei dati personali dei minori di età inferiore a 14 anni richiede sempre il consenso del titolare della responsabilità genitoriale. Qualora il Titolare dovesse apprendere di aver trattato inavvertitamente dati di un minore senza tale consenso, procederà alla loro cancellazione tempestiva.
11Decisioni automatizzate e profilazione
Il Titolare non effettua alcun processo decisionale automatizzato né attività di profilazione ai sensi dell'art. 22 GDPR.
La disponibilità degli slot di prenotazione è calcolata in modo automatico dal sistema sulla base degli appuntamenti già confermati e degli orari di apertura, ma non comporta alcuna decisione che produca effetti giuridici sull'interessato né incida significativamente sulla sua persona.
12Modifiche all'informativa
La presente Privacy Policy può essere oggetto di aggiornamento nel tempo per riflettere modifiche normative, evoluzioni tecnologiche o variazioni nei trattamenti effettuati.
Si invita pertanto l'utente a consultare regolarmente questa pagina. In caso di modifiche sostanziali, ne sarà data evidenza tramite avviso sul sito o, ove possibile, comunicazione diretta agli interessati.
La data di ultima revisione indicata in alto è aggiornata automaticamente ogni volta che vengono modificate le impostazioni del sistema. Le versioni precedenti sono conservate negli archivi del Titolare a fini di audit.