1. Titolare del trattamento
La società TRANSPORTS TMD, SAS francese con un capitale sociale di 15.000 €, iscritta al Registro delle Imprese di Salon-de-Provence con il numero 819 965 674, con sede legale in La Feuillane - Lot 78 - ZA de la Feuillane, 13270 Fos-sur-Mer (Francia), che gestisce il sito atlantiqbox.com sotto il marchio commerciale «Atlantiq Box» (di seguito «Atlantiq Box»), è titolare del trattamento dei Suoi dati personali, ai sensi dell'articolo 4 del Regolamento Generale sulla Protezione dei Dati (GDPR — UE 2016/679) e dell'articolo 3 della legge Informatique et Libertés modificata n° 78-17 del 6 gennaio 1978.
Recapiti del titolare del trattamento: si vedano le nostre note legali.
2. Responsabile della protezione dei dati (DPO)
Conformemente all'articolo 37 del GDPR, Atlantiq Box ha nominato un Responsabile della protezione dei dati. I suoi recapiti sono indicati in fondo a questa pagina e disponibili su semplice richiesta.
Il DPO può essere contattato per qualsiasi domanda relativa al trattamento dei Suoi dati o all'esercizio dei Suoi diritti.
3. Categorie di dati raccolti
Atlantiq Box raccoglie unicamente i dati strettamente necessari alle finalità descritte di seguito. I dati raccolti sono i seguenti:
3.1 Dati di identificazione
- titolo, cognome, nome;
- indirizzo e-mail professionale o personale;
- numero di telefono (in formato internazionale E.164).
3.2 Dati professionali (solo B2B)
- ragione sociale, forma giuridica;
- numero SIREN, SIRET o equivalente europeo;
- partita IVA intracomunitaria;
- numero EORI (operazioni import/export).
3.3 Dati di consegna e fatturazione
- indirizzi di consegna e di fatturazione;
- vincoli del cantiere (accessi, orari).
3.4 Dati transazionali
- storico di preventivi, ordini e fatture;
- strumento di pagamento utilizzato (senza memorizzazione completa dei dati bancari — si veda 6.2);
- stato degli ordini e storico post-vendita.
3.5 Dati tecnici (cookie strettamente necessari)
- sessione utente, carrello, preferenza di lingua, valuta selezionata;
- token CSRF (sicurezza dei moduli).
Si veda la nostra politica sui cookie per il dettaglio.
3.6 Dati di comunicazione
- conversazioni post-vendita.
Nessun dato sensibile ai sensi dell'articolo 9 del GDPR (salute, opinioni politiche, religione, orientamento sessuale, ecc.) viene raccolto.
4. Basi giuridiche e finalità
Ogni trattamento si basa su una base giuridica conforme all'articolo 6 del GDPR:
| Finalità | Base giuridica (Art. 6 GDPR) | Periodo di conservazione |
|---|---|---|
| Creazione e gestione dell'account cliente | Esecuzione del contratto (a) | Durata di vita dell'account + 3 anni di inattività |
| Gestione di ordini e preventivi | Esecuzione del contratto (a) | 3 anni dalla fine del rapporto commerciale |
| Fatturazione, contabilità, fiscalità | Obbligo legale (c) | 10 anni (Code de commerce art. L123-22) |
| Servizio clienti e post-vendita | Esecuzione del contratto (a) | 5 anni dall'ultima interazione |
| Prospezione commerciale (e-mail B2B) | Interesse legittimo (f) | 3 anni dall'ultimo contatto o dall'opt-out |
| Sicurezza del sito (log, anti-frode) | Interesse legittimo (f) | 1 anno |
| Lotta alla frode sui pagamenti | Interesse legittimo (f) + obbligo legale | In base agli obblighi legali applicabili |
| Risposta alle richieste di diritti GDPR | Obbligo legale (c) | 3 anni |
5. Destinatari e responsabili del trattamento
5.1 Destinatari interni
I dati sono accessibili, nei limiti stretti delle loro mansioni, al personale autorizzato di Atlantiq Box (team commerciale, contabilità, post-vendita, amministrazione delle vendite).
5.2 Responsabili del trattamento
Atlantiq Box ricorre ai seguenti responsabili del trattamento, vincolati da clausole GDPR conformi all'articolo 28 del Regolamento:
| Responsabile | Finalità | Localizzazione dati |
|---|---|---|
| Stripe | Trattamento dei pagamenti con carta | UE (Irlanda) + USA (clausole standard) |
| Host del sito | Hosting applicativo e dei dati | UE |
| Trasportatori partner | Consegna degli ordini | UE / UK / CH |
| Servizio e-mail transazionale | Invio delle e-mail di servizio | UE |
Nessun dato è rivenduto o ceduto a terzi a fini commerciali.
6. Sicurezza dei dati
6.1 Misure tecniche
- cifratura TLS 1.2+ per tutte le comunicazioni;
- memorizzazione delle password tramite hash bcrypt con salt casuale;
- token CSRF su tutti i moduli sensibili;
- politica di autenticazione a 2 fattori (TOTP) disponibile per i Clienti;
- tracciamento degli accessi ai dati sensibili;
- backup settimanali gestiti a livello del provider di hosting.
6.2 Dati bancari
Atlantiq Box non memorizza né tratta direttamente i numeri di carta. I pagamenti sono interamente trattati da Stripe, certificato PCI-DSS livello 1 (lo standard più elevato per il trattamento delle carte di pagamento).
6.3 Notifica di violazione
In caso di violazione di dati personali che presenti un rischio per i diritti e le libertà delle persone interessate, Atlantiq Box notifica la CNIL entro 72 ore e informa le persone interessate nel più breve tempo possibile, conformemente agli articoli 33 e 34 del GDPR.
7. Trasferimenti fuori dall'Unione Europea
In linea di principio, i Suoi dati sono memorizzati e trattati all'interno dello Spazio economico europeo (SEE).
Quando un trasferimento verso un Paese terzo è necessario (in particolare per Stripe, che può trattare alcuni dati negli Stati Uniti), Atlantiq Box garantisce che tale trasferimento sia inquadrato dalle Clausole Contrattuali Tipo adottate dalla Commissione europea (decisione 2021/914 del 4 giugno 2021), assicurando un livello di protezione equivalente a quello garantito nell'Unione Europea.
8. I Suoi diritti
Conformemente agli articoli da 15 a 22 del GDPR, Lei dispone dei seguenti diritti sui Suoi dati personali:
8.1 Diritto di accesso
Può ottenere conferma che i dati che La riguardano siano oggetto di trattamento e ottenerne copia, gratuitamente (Art. 15).
8.2 Diritto di rettifica
Può richiedere la correzione di qualsiasi dato inesatto o incompleto (Art. 16).
8.3 Diritto alla cancellazione («diritto all'oblio»)
Può ottenere la cancellazione dei Suoi dati nei casi previsti dall'articolo 17, fatti salvi gli obblighi legali di conservazione (in particolare le fatture conservate per 10 anni).
8.4 Diritto alla limitazione del trattamento
Può richiedere la limitazione del trattamento dei Suoi dati in determinate situazioni (Art. 18).
8.5 Diritto di opposizione
Può opporsi in qualsiasi momento al trattamento dei Suoi dati a fini di prospezione commerciale (Art. 21).
8.6 Diritto alla portabilità
Può ricevere i Suoi dati in un formato strutturato, di uso comune e leggibile da un dispositivo automatico (Art. 20).
8.7 Direttive post mortem
Può fornire direttive relative alla conservazione, alla cancellazione e alla comunicazione dei Suoi dati personali dopo la Sua morte (articolo 85 della legge Informatique et Libertés).
8.8 Modalità di esercizio
Per esercitare tali diritti, contatti il nostro DPO via e-mail oppure invii la Sua richiesta accompagnata da una copia di un documento d'identità (che sarà distrutto dopo la verifica) all'indirizzo postale indicato nelle nostre note legali.
Atlantiq Box risponde alla Sua richiesta entro un mese, prorogabile di due mesi se necessario in ragione della complessità o del numero di richieste (Art. 12.3 GDPR).
9. Reclamo presso un'autorità di controllo
Se ritiene che il trattamento dei Suoi dati non rispetti la normativa, può presentare reclamo presso la Commission Nationale de l'Informatique et des Libertés (CNIL):
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Telefono: +33 1 53 73 22 22
Sito web: cnil.fr
Può anche rivolgersi all'autorità di controllo competente del Suo Paese di residenza (elenco delle autorità su edpb.europa.eu). In Italia: Garante per la protezione dei dati personali.
10. Cookie
Per il dettaglio dei cookie utilizzati e le modalità di gestione delle Sue preferenze, consulti la nostra politica sui cookie.
11. Minori
Atlantiq Box non raccoglie consapevolmente alcun dato da minori di 16 anni. I servizi proposti si rivolgono a una clientela adulta (privati maggiorenni) o professionale. Se ritiene che un minore di 16 anni ci abbia trasmesso i propri dati, contatti il nostro DPO per ottenerne la cancellazione.
12. Decisione automatizzata e profilazione
Atlantiq Box non pratica processi decisionali esclusivamente automatizzati che producano effetti giuridici ai sensi dell'articolo 22 del GDPR. Qualsiasi decisione contrattuale comporta un intervento umano (commerciale, contabilità).
13. Modifica della politica
La presente politica può evolvere per integrare nuovi obblighi legali, nuovi servizi o nuove buone pratiche. La versione applicabile è quella pubblicata su questa pagina alla data della Sua interazione. Le modifiche sostanziali sono oggetto di notifica via e-mail ai Clienti esistenti.