Informativa

Privacy Policy

Come trattiamo i tuoi dati personali.

ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018

Sito web: https://www.fotolitogamba.it

Ultima revisione: 16 luglio 2026


1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Fotolito Gamba S.r.l. Via di Tor Vergata 257 — 00133 Roma (RM) P.IVA 01135031001 — Codice Fiscale 02921010589 Telefono: 06 25 21 23 20 Email: info@fotolitogamba.it PEC: fotolitogamba@legalmail.it

Per ogni questione relativa al trattamento dei dati e all'esercizio dei propri diritti, l'interessato può scrivere a info@fotolitogamba.it.

Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti obbligatori di cui all'art. 37 GDPR.


2. Categorie di dati personali trattati

A seconda dell'interazione dell'utente con il sito, il Titolare può trattare le seguenti categorie di dati.

a) Dati di registrazione dell'account (necessari per effettuare acquisti)

Indirizzo email e password (quest'ultima conservata esclusivamente in forma cifrata/hash tramite il servizio di autenticazione, mai in chiaro); tipologia di account (azienda o privato); telefono (facoltativo); data di creazione e di aggiornamento dell'account.

  • Per gli account azienda: ragione sociale, Partita IVA, codice destinatario SDI oppure indirizzo PEC.
  • Per gli account privati: nome, cognome e codice fiscale.
  • Indirizzo di fatturazione: via, città, CAP, provincia, paese.

b) Dati raccolti tramite accesso con Google (OAuth)

Per gli utenti che scelgono di autenticarsi tramite Google, il Titolare riceve dal profilo Google l'indirizzo email e il nome. Per poter effettuare ordini, l'utente deve comunque completare i propri dati fiscali (vedi punto a).

c) Indirizzi di spedizione

Etichetta identificativa, nome del destinatario, indirizzo, città, CAP, provincia, paese e telefono. Gli indirizzi possono essere salvati nel profilo per un riutilizzo successivo.

d) Dati relativi agli ordini

Numero e data dell'ordine, stato e importi; copia ("snapshot") dei dati di fatturazione al momento dell'ordine (nome o ragione sociale, P.IVA o codice fiscale, SDI/PEC, indirizzo, email, telefono); copia dell'indirizzo di spedizione; eventuali note libere inserite dal cliente (massimo 500 caratteri); identificativo della transazione di pagamento; dettaglio dei prodotti ordinati.

e) File caricati dal cliente

Successivamente al pagamento, il cliente carica i file destinati alla stampa (formati PDF, TIFF; massimo 50 MB per file). Il Titolare tratta il contenuto di tali file nonché i relativi metadati (nome del file, dimensione, tipo MIME, data di caricamento). Questi file costituiscono opere dell'ingegno di proprietà del cliente e possono contenere materiale riservato non ancora divulgato: sono pertanto oggetto di particolari misure di sicurezza (vedi punto 4).

f) Dati per la newsletter

Per gli utenti che si iscrivono: indirizzo email, data di iscrizione e origine dell'iscrizione (es. footer del sito).

g) Dati del form di richiesta preventivo (accessibile senza registrazione)

Tipo di servizio richiesto, descrizione del progetto (testo libero), budget indicativo, tempistiche desiderate, nome e cognome, azienda, email, telefono, P.IVA (facoltativa). Questi dati non vengono salvati in un database: vengono trasmessi via email al reparto competente in base al servizio selezionato.

h) Dati di pagamento

Il pagamento con carta è gestito interamente dal fornitore Stripe: il sito non vede né memorizza i numeri di carta o altri dati di pagamento, ma conserva unicamente l'identificativo della transazione. Il pagamento tramite bonifico bancario avviene dalla banca del cliente verso le coordinate del Titolare: nessun dato bancario del cliente transita o viene memorizzato dal sito; l'incasso viene verificato manualmente dal personale amministrativo.

i) Dati tecnici di navigazione

Cookie tecnici di sessione generati dal sistema di autenticazione, necessari a mantenere l'utente connesso (vedi punto 9).

Il sito non tratta categorie particolari di dati (art. 9 GDPR) né dati di minori (vedi punto 11).


3. Finalità e basi giuridiche del trattamento

FinalitàDati interessatiBase giuridica (art. 6 GDPR)
Creazione e gestione dell'accountDati di registrazione (a, b)Esecuzione di un contratto o di misure precontrattuali — art. 6.1.b
Gestione ed evasione degli ordini, spedizioneDati ordine, spedizione, file caricati (c, d, e)Esecuzione del contratto — art. 6.1.b
Emissione di fatture e adempimenti fiscali/contabiliDati di fatturazione (a, d)Obbligo legale — art. 6.1.c
Elaborazione dei pagamentiIdentificativo transazione, dati bonifico (d, h)Esecuzione del contratto — art. 6.1.b; obbligo legale per la contabilità — art. 6.1.c
Invio di email di servizio (conferma email, reset password, conferma ordine, istruzioni e conferma bonifico)Email e dati ordineEsecuzione del contratto — art. 6.1.b
Iscrizione e invio della newsletterEmail (f)Consenso dell'interessato — art. 6.1.a
Gestione delle richieste di preventivoDati form preventivo (g)Misure precontrattuali su richiesta dell'interessato — art. 6.1.b
Sicurezza del sito, prevenzione abusi, notifiche interne di servizioDati tecnici, metadati ordini/fileLegittimo interesse del Titolare — art. 6.1.f
Difesa di un diritto in sede giudiziariaDati necessari al casoLegittimo interesse — art. 6.1.f

Per i dati raccolti tramite Google OAuth, il conferimento avviene su iniziativa dell'utente che sceglie tale modalità di accesso; il trattamento successivo segue le medesime basi giuridiche sopra indicate.


4. Modalità del trattamento e misure di sicurezza

Il trattamento avviene con strumenti informatici e telematici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione (art. 5 GDPR). Sono adottate misure tecniche e organizzative adeguate a garantire la sicurezza dei dati (art. 32 GDPR), tra cui:

  • password degli utenti conservate esclusivamente in forma cifrata (hash), mai in chiaro;
  • connessioni cifrate (HTTPS) su tutto il sito;
  • accesso ai dati limitato al personale autorizzato.

Trattamento dei file caricati dai clienti (misura rafforzata). I file destinati alla stampa sono archiviati in uno spazio di archiviazione privato, non accessibile pubblicamente. L'accesso è consentito esclusivamente al cliente proprietario e agli amministratori, tramite URL firmati a validità temporanea. Le notifiche interne inviate agli amministratori contengono link di download firmati validi per 7 giorni, trascorsi i quali non sono più utilizzabili.

Il Titolare tratta tali file unicamente per l'esecuzione della commessa di stampa e non ne fa alcun altro uso.


5. Destinatari dei dati e responsabili del trattamento

I dati non vengono diffusi né ceduti o venduti a terzi. Possono essere trattati, per le sole finalità sopra indicate, dai seguenti fornitori di servizi, che agiscono in qualità di Responsabili del trattamento ex art. 28 GDPR sulla base di appositi accordi (Data Processing Agreement), o di autonomi titolari ove indicato:

FornitoreServizioRuoloUbicazione dei server
SupabaseDatabase, autenticazione e archiviazione dei fileResponsabile del trattamentoUnione Europea (Irlanda)
Vercel Inc.Hosting e distribuzione (CDN) del sitoResponsabile del trattamentoStati Uniti
StripeElaborazione dei pagamenti con cartaResponsabile del trattamento; titolare autonomo per le proprie finalità antifrode e regolamentariStati Uniti / UE
GoogleAutenticazione tramite account Google (solo per chi la utilizza)Titolare autonomo per i dati del profilo GoogleStati Uniti
Aruba S.p.A.Dominio, caselle di posta e invio email transazionali (SMTP)Responsabile del trattamentoItalia

I dati possono inoltre essere comunicati ad autorità pubbliche, professionisti (es. commercialista) e soggetti terzi quando ciò sia necessario per adempiere a obblighi di legge o per la difesa di un diritto.

Il Titolare non ha installato alcuno strumento di analisi statistica, tracciamento, remarketing o profilazione (es. Google Analytics, Meta Pixel o strumenti analoghi).


6. Trasferimento dei dati verso Paesi extra-UE

I dati degli account, degli ordini e i file caricati dai clienti sono archiviati su server ubicati nell'Unione Europea (Irlanda).

Alcuni fornitori (in particolare Vercel e Stripe) hanno sede negli Stati Uniti o possono trattare dati al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento avviene nel rispetto degli artt. 44 e seguenti del GDPR, sulla base di garanzie adeguate quali le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o dell'adesione dei fornitori a meccanismi di certificazione riconosciuti (es. EU-U.S. Data Privacy Framework).

L'interessato può richiedere copia delle garanzie adottate scrivendo a info@fotolitogamba.it.


7. Periodo di conservazione dei dati

DatoPeriodo di conservazione
Dati dell'accountPer tutta la durata del rapporto. Non è prevista una cancellazione automatica per inattività: i dati restano finché l'utente non ne richiede la cancellazione o non elimina l'account, fatti salvi gli obblighi di conservazione sotto indicati.
Dati di ordini e fatture10 anni dall'emissione, per obbligo civilistico e fiscale (art. 2220 c.c. e normativa tributaria).
File caricati dal cliente12 mesi dalla consegna dell'ordine, per consentire eventuali ristampe; trascorso tale termine, cancellazione.
Dati per la newsletterFino alla revoca del consenso / disiscrizione da parte dell'interessato.
Dati del form di richiesta preventivo24 mesi dall'ultimo contatto, salvo che ne derivi un rapporto contrattuale.
Dati tecnici / cookie di sessioneDurata della sessione di navigazione.

Al termine dei periodi indicati i dati vengono cancellati o resi anonimi in modo irreversibile.


8. Natura del conferimento

Il conferimento dei dati contrassegnati come necessari (dati di registrazione, dati fiscali e di spedizione, file da stampare) è obbligatorio per poter creare l'account, effettuare acquisti e ricevere il servizio: il mancato conferimento impedisce l'utilizzo di tali funzioni.

Il conferimento del telefono, dell'iscrizione alla newsletter e dei dati del form preventivo è facoltativo.


9. Cookie e tecnologie simili

Il sito utilizza esclusivamente cookie tecnici di sessione, generati dal sistema di autenticazione e necessari a mantenere l'utente connesso. Viene inoltre utilizzato il localStorage del browser per la gestione del carrello (dati di prodotto, non dati personali), che resta memorizzato sul dispositivo dell'utente.

Il sito non utilizza cookie di profilazione, statistici o di marketing, né strumenti di tracciamento di terze parti.

Trattandosi unicamente di cookie tecnici, ai sensi delle Linee Guida del Garante Privacy sui cookie del 10 giugno 2021 non è richiesto il banner di consenso ai cookie: è sufficiente la presente informativa. Non è pertanto necessaria un'accettazione preventiva da parte dell'utente.


10. Assenza di profilazione e decisioni automatizzate

Il Titolare non effettua alcuna profilazione né alcun processo decisionale automatizzato ai sensi dell'art. 22 GDPR. Non viene effettuato alcun tracciamento comportamentale né alcuna attività pubblicitaria.


11. Minori

Il servizio è rivolto ad aziende e professionisti (contesto prevalentemente B2B) e comunque a soggetti maggiorenni. Il sito non è destinato ai minori di 18 anni e non ne raccoglie consapevolmente i dati. Qualora il Titolare venisse a conoscenza di un trattamento involontario di dati di minori, provvederà alla loro cancellazione.


12. Diritti dell'interessato

L'interessato può esercitare in ogni momento, ai sensi degli artt. 15–22 GDPR, i seguenti diritti:

  • accesso ai propri dati personali (art. 15);
  • rettifica dei dati inesatti o incompleti (art. 16);
  • cancellazione dei dati ("diritto all'oblio"), nei limiti degli obblighi di conservazione di legge (art. 17);
  • limitazione del trattamento (art. 18);
  • portabilità dei dati (art. 20);
  • opposizione al trattamento fondato sul legittimo interesse (art. 21);
  • revoca del consenso in qualsiasi momento, ove il trattamento sia basato sul consenso (es. newsletter), senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per esercitare tali diritti l'interessato può scrivere a info@fotolitogamba.it. Il Titolare risponde senza ingiustificato ritardo e comunque entro 30 giorni.

L'interessato ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) qualora ritenga che il trattamento violi il GDPR.

Disiscrizione dalla newsletter. L'utente può disiscriversi in qualsiasi momento scrivendo a info@fotolitogamba.it.


13. Modifiche alla presente informativa

Il Titolare si riserva di modificare o aggiornare la presente informativa per adeguarla a novità normative o organizzative. La versione aggiornata sarà sempre pubblicata su questa pagina con l'indicazione della data di ultima revisione.


Ultima revisione: 16 luglio 2026 — Fotolito Gamba S.r.l.