GDPR

Data di entrata in vigore: 2 giugno 2026

Il Giardino SNC dichiara di aver adottato le misure necessarie per conformarsi al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Di seguito le principali azioni implementate.

1. Principi di protezione dei dati (art. 5 GDPR)

  • Liceità, correttezza e trasparenza: i dati sono trattati solo per le finalità indicate nella Privacy Policy, comunicate in modo chiaro al momento della raccolta.

  • Limitazione della finalità: i dati non vengono riutilizzati per scopi incompatibili.

  • Minimizzazione dei dati: raccogliamo solo i dati strettamente necessari per ciascuna finalità.

  • Esattezza: adottiamo procedure per aggiornare o cancellare dati inesatti su richiesta.

  • Limitazione della conservazione: rispettiamo i termini di conservazione indicati nella Privacy Policy.

  • Integrità e riservatezza: implementiamo misure tecniche (crittografia, firewall, autenticazione forte) e organizzative (accesso limitato al personale).

  • Accountability: teniamo un registro delle attività di trattamento (art. 30 GDPR).

2. Base giuridica per ciascun trattamento

  • Per i trattamenti basati sul consenso (marketing, cookie non tecnici, profilazione), il consenso è ottenuto tramite un meccanismo esplicito (opt-in) e conserviamo la prova del consenso per almeno 3 anni.

  • Per i trattamenti basati su esecuzione del contratto (spedizione, pagamento, gestione resi) o obblighi legali (fatturazione), non è richiesto il consenso.

  • Per il legittimo interesse (analisi aggregata, prevenzione frodi), abbiamo effettuato un test di bilanciamento (LIA – Legitimate Interest Assessment) e documentato l’assenza di prevalenza degli interessi dell’interessato.

3. Nomine e responsabilità

  • Responsabile della protezione dei dati (RPD/DPO) : in considerazione delle dimensioni e della tipologia di trattamento (dati di pagamento e di navigazione non massivi), non abbiamo l’obbligo di nominare un DPO ai sensi dell’art. 37 GDPR. Tuttavia, abbiamo designato un referente interno per la privacy contattabile all’indirizzo info@ilgiardinosnc.com.

  • Responsabili esterni del trattamento (processor): abbiamo stipulato contratti ai sensi dell’art. 28 GDPR con tutti i fornitori che trattano dati per nostro conto (J-Pay, corrieri, piattaforma e-commerce, hosting, Google Analytics, etc.). Ogni contratto impone le stesse garanzie di sicurezza e vieta l’utilizzo dei dati per finalità proprie.

4. Misure di sicurezza tecniche e organizzative

  • Protezione dei sistemi: utilizzo di firewall, antivirus, aggiornamenti periodici, scansione delle vulnerabilità.

  • Controllo degli accessi : autenticazione a due fattori per i pannelli di amministrazione; principio del minimo privilegio per il personale.

  • Crittografia: SSL/TLS per tutti i dati trasmessi tramite il sito web; crittografia a riposo per i database.

  • Backup : backup giornaliero crittografato conservato per 30 giorni.

  • Formazione : tutto il personale è formato sulla protezione dei dati e sulle procedure da seguire in caso di violazione.

5. Notifica di violazione dei dati (data breach)

In conformità all’art. 33 GDPR, in caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà delle persone fisiche, notifichiamo l’evento all’Autorità Garante entro 72 ore dalla scoperta. Se la violazione comporta un rischio elevato, informiamo anche gli interessati (art. 34 GDPR), a meno che non siano state adottate misure adeguate a rendere i dati incomprensibili (es. crittografia).

Abbiamo predisposto un piano di risposta agli incidenti che include:

  • Identificazione e contenimento della violazione.

  • Valutazione del rischio.

  • Comunicazione interna ed esterna.

  • Documentazione dell’accaduto.

6. Valutazione d’impatto sulla protezione dei dati (DPIA)

Non abbiamo trattamenti ad alto rischio (es. dati sensibili su larga scala, sorveglianza sistematica) che richiedano una DPIA obbligatoria. Tuttavia, per il trattamento dei dati di pagamento e di geolocalizzazione delle consegne, abbiamo condotto una valutazione semplificata che ha confermato la proporzionalità delle misure.

7. Trasferimenti internazionali

Tutti i trasferimenti di dati verso paesi terzi (extra SEE) avvengono nel rispetto del Capo V GDPR. In particolare:

  • Per i servizi Google (analytics, reCAPTCHA) e per alcune funzionalità della piattaforma e-commerce, utilizziamo le clausole contrattuali standard (SCC) adottate dalla Commissione Europea.

  • Per le spedizioni, nessun dato viene trasferito al di fuori dell’UE/SEE (i corrieri operano esclusivamente in Italia con data center situati nell’UE).

8. Diritti degli interessati – Procedure interne

Abbiamo implementato un sistema automatizzato per gestire le richieste di accesso, rettifica, cancellazione, portabilità, opposizione e limitazione. Le richieste vanno inviate a info@ilgiardinosnc.com. Entro 30 giorni forniamo risposta. Qualora la richiesta fosse manifestamente infondata o eccessiva, possiamo applicare un contributo spese ragionevole o rifiutare di darvi seguito, informando l’interessato.

9. Registro delle attività di trattamento (art. 30 GDPR)

Conserviamo un registro interno delle attività di trattamento che include:

  • Nome e contatti del Titolare.

  • Finalità del trattamento.

  • Categorie di interessati e di dati.

  • Destinatari.

  • Termini di cancellazione.

  • Descrizione delle misure di sicurezza.

10. Riesame periodico e aggiornamenti

La presente conformità sarà rivista annualmente e ogni volta che intervengono cambiamenti significativi nel trattamento dei dati (nuovi fornitori, nuove tecnologie, modifiche normative). L’ultimo riesame è stato effettuato il 2 giugno 2026.