Privacy Policy
Come trattiamo i tuoi dati personali.
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018
Sito web: https://www.fotolitogamba.it
Ultima revisione: 16 luglio 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Fotolito Gamba S.r.l. Via di Tor Vergata 257 — 00133 Roma (RM) P.IVA 01135031001 — Codice Fiscale 02921010589 Telefono: 06 25 21 23 20 Email: info@fotolitogamba.it PEC: fotolitogamba@legalmail.it
Per ogni questione relativa al trattamento dei dati e all'esercizio dei propri diritti, l'interessato può scrivere a info@fotolitogamba.it.
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti obbligatori di cui all'art. 37 GDPR.
2. Categorie di dati personali trattati
A seconda dell'interazione dell'utente con il sito, il Titolare può trattare le seguenti categorie di dati.
a) Dati di registrazione dell'account (necessari per effettuare acquisti)
Indirizzo email e password (quest'ultima conservata esclusivamente in forma cifrata/hash tramite il servizio di autenticazione, mai in chiaro); tipologia di account (azienda o privato); telefono (facoltativo); data di creazione e di aggiornamento dell'account.
- Per gli account azienda: ragione sociale, Partita IVA, codice destinatario SDI oppure indirizzo PEC.
- Per gli account privati: nome, cognome e codice fiscale.
- Indirizzo di fatturazione: via, città, CAP, provincia, paese.
b) Dati raccolti tramite accesso con Google (OAuth)
Per gli utenti che scelgono di autenticarsi tramite Google, il Titolare riceve dal profilo Google l'indirizzo email e il nome. Per poter effettuare ordini, l'utente deve comunque completare i propri dati fiscali (vedi punto a).
c) Indirizzi di spedizione
Etichetta identificativa, nome del destinatario, indirizzo, città, CAP, provincia, paese e telefono. Gli indirizzi possono essere salvati nel profilo per un riutilizzo successivo.
d) Dati relativi agli ordini
Numero e data dell'ordine, stato e importi; copia ("snapshot") dei dati di fatturazione al momento dell'ordine (nome o ragione sociale, P.IVA o codice fiscale, SDI/PEC, indirizzo, email, telefono); copia dell'indirizzo di spedizione; eventuali note libere inserite dal cliente (massimo 500 caratteri); identificativo della transazione di pagamento; dettaglio dei prodotti ordinati.
e) File caricati dal cliente
Successivamente al pagamento, il cliente carica i file destinati alla stampa (formati PDF, TIFF; massimo 50 MB per file). Il Titolare tratta il contenuto di tali file nonché i relativi metadati (nome del file, dimensione, tipo MIME, data di caricamento). Questi file costituiscono opere dell'ingegno di proprietà del cliente e possono contenere materiale riservato non ancora divulgato: sono pertanto oggetto di particolari misure di sicurezza (vedi punto 4).
f) Dati per la newsletter
Per gli utenti che si iscrivono: indirizzo email, data di iscrizione e origine dell'iscrizione (es. footer del sito).
g) Dati del form di richiesta preventivo (accessibile senza registrazione)
Tipo di servizio richiesto, descrizione del progetto (testo libero), budget indicativo, tempistiche desiderate, nome e cognome, azienda, email, telefono, P.IVA (facoltativa). Questi dati non vengono salvati in un database: vengono trasmessi via email al reparto competente in base al servizio selezionato.
h) Dati di pagamento
Il pagamento con carta è gestito interamente dal fornitore Stripe: il sito non vede né memorizza i numeri di carta o altri dati di pagamento, ma conserva unicamente l'identificativo della transazione. Il pagamento tramite bonifico bancario avviene dalla banca del cliente verso le coordinate del Titolare: nessun dato bancario del cliente transita o viene memorizzato dal sito; l'incasso viene verificato manualmente dal personale amministrativo.
i) Dati tecnici di navigazione
Cookie tecnici di sessione generati dal sistema di autenticazione, necessari a mantenere l'utente connesso (vedi punto 9).
Il sito non tratta categorie particolari di dati (art. 9 GDPR) né dati di minori (vedi punto 11).
3. Finalità e basi giuridiche del trattamento
| Finalità | Dati interessati | Base giuridica (art. 6 GDPR) |
|---|---|---|
| Creazione e gestione dell'account | Dati di registrazione (a, b) | Esecuzione di un contratto o di misure precontrattuali — art. 6.1.b |
| Gestione ed evasione degli ordini, spedizione | Dati ordine, spedizione, file caricati (c, d, e) | Esecuzione del contratto — art. 6.1.b |
| Emissione di fatture e adempimenti fiscali/contabili | Dati di fatturazione (a, d) | Obbligo legale — art. 6.1.c |
| Elaborazione dei pagamenti | Identificativo transazione, dati bonifico (d, h) | Esecuzione del contratto — art. 6.1.b; obbligo legale per la contabilità — art. 6.1.c |
| Invio di email di servizio (conferma email, reset password, conferma ordine, istruzioni e conferma bonifico) | Email e dati ordine | Esecuzione del contratto — art. 6.1.b |
| Iscrizione e invio della newsletter | Email (f) | Consenso dell'interessato — art. 6.1.a |
| Gestione delle richieste di preventivo | Dati form preventivo (g) | Misure precontrattuali su richiesta dell'interessato — art. 6.1.b |
| Sicurezza del sito, prevenzione abusi, notifiche interne di servizio | Dati tecnici, metadati ordini/file | Legittimo interesse del Titolare — art. 6.1.f |
| Difesa di un diritto in sede giudiziaria | Dati necessari al caso | Legittimo interesse — art. 6.1.f |
Per i dati raccolti tramite Google OAuth, il conferimento avviene su iniziativa dell'utente che sceglie tale modalità di accesso; il trattamento successivo segue le medesime basi giuridiche sopra indicate.
4. Modalità del trattamento e misure di sicurezza
Il trattamento avviene con strumenti informatici e telematici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione (art. 5 GDPR). Sono adottate misure tecniche e organizzative adeguate a garantire la sicurezza dei dati (art. 32 GDPR), tra cui:
- password degli utenti conservate esclusivamente in forma cifrata (hash), mai in chiaro;
- connessioni cifrate (HTTPS) su tutto il sito;
- accesso ai dati limitato al personale autorizzato.
Trattamento dei file caricati dai clienti (misura rafforzata). I file destinati alla stampa sono archiviati in uno spazio di archiviazione privato, non accessibile pubblicamente. L'accesso è consentito esclusivamente al cliente proprietario e agli amministratori, tramite URL firmati a validità temporanea. Le notifiche interne inviate agli amministratori contengono link di download firmati validi per 7 giorni, trascorsi i quali non sono più utilizzabili.
Il Titolare tratta tali file unicamente per l'esecuzione della commessa di stampa e non ne fa alcun altro uso.
5. Destinatari dei dati e responsabili del trattamento
I dati non vengono diffusi né ceduti o venduti a terzi. Possono essere trattati, per le sole finalità sopra indicate, dai seguenti fornitori di servizi, che agiscono in qualità di Responsabili del trattamento ex art. 28 GDPR sulla base di appositi accordi (Data Processing Agreement), o di autonomi titolari ove indicato:
| Fornitore | Servizio | Ruolo | Ubicazione dei server |
|---|---|---|---|
| Supabase | Database, autenticazione e archiviazione dei file | Responsabile del trattamento | Unione Europea (Irlanda) |
| Vercel Inc. | Hosting e distribuzione (CDN) del sito | Responsabile del trattamento | Stati Uniti |
| Stripe | Elaborazione dei pagamenti con carta | Responsabile del trattamento; titolare autonomo per le proprie finalità antifrode e regolamentari | Stati Uniti / UE |
| Autenticazione tramite account Google (solo per chi la utilizza) | Titolare autonomo per i dati del profilo Google | Stati Uniti | |
| Aruba S.p.A. | Dominio, caselle di posta e invio email transazionali (SMTP) | Responsabile del trattamento | Italia |
I dati possono inoltre essere comunicati ad autorità pubbliche, professionisti (es. commercialista) e soggetti terzi quando ciò sia necessario per adempiere a obblighi di legge o per la difesa di un diritto.
Il Titolare non ha installato alcuno strumento di analisi statistica, tracciamento, remarketing o profilazione (es. Google Analytics, Meta Pixel o strumenti analoghi).
6. Trasferimento dei dati verso Paesi extra-UE
I dati degli account, degli ordini e i file caricati dai clienti sono archiviati su server ubicati nell'Unione Europea (Irlanda).
Alcuni fornitori (in particolare Vercel e Stripe) hanno sede negli Stati Uniti o possono trattare dati al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento avviene nel rispetto degli artt. 44 e seguenti del GDPR, sulla base di garanzie adeguate quali le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o dell'adesione dei fornitori a meccanismi di certificazione riconosciuti (es. EU-U.S. Data Privacy Framework).
L'interessato può richiedere copia delle garanzie adottate scrivendo a info@fotolitogamba.it.
7. Periodo di conservazione dei dati
| Dato | Periodo di conservazione |
|---|---|
| Dati dell'account | Per tutta la durata del rapporto. Non è prevista una cancellazione automatica per inattività: i dati restano finché l'utente non ne richiede la cancellazione o non elimina l'account, fatti salvi gli obblighi di conservazione sotto indicati. |
| Dati di ordini e fatture | 10 anni dall'emissione, per obbligo civilistico e fiscale (art. 2220 c.c. e normativa tributaria). |
| File caricati dal cliente | 12 mesi dalla consegna dell'ordine, per consentire eventuali ristampe; trascorso tale termine, cancellazione. |
| Dati per la newsletter | Fino alla revoca del consenso / disiscrizione da parte dell'interessato. |
| Dati del form di richiesta preventivo | 24 mesi dall'ultimo contatto, salvo che ne derivi un rapporto contrattuale. |
| Dati tecnici / cookie di sessione | Durata della sessione di navigazione. |
Al termine dei periodi indicati i dati vengono cancellati o resi anonimi in modo irreversibile.
8. Natura del conferimento
Il conferimento dei dati contrassegnati come necessari (dati di registrazione, dati fiscali e di spedizione, file da stampare) è obbligatorio per poter creare l'account, effettuare acquisti e ricevere il servizio: il mancato conferimento impedisce l'utilizzo di tali funzioni.
Il conferimento del telefono, dell'iscrizione alla newsletter e dei dati del form preventivo è facoltativo.
9. Cookie e tecnologie simili
Il sito utilizza esclusivamente cookie tecnici di sessione, generati dal sistema di autenticazione e necessari a mantenere l'utente connesso. Viene inoltre utilizzato il localStorage del browser per la gestione del carrello (dati di prodotto, non dati personali), che resta memorizzato sul dispositivo dell'utente.
Il sito non utilizza cookie di profilazione, statistici o di marketing, né strumenti di tracciamento di terze parti.
Trattandosi unicamente di cookie tecnici, ai sensi delle Linee Guida del Garante Privacy sui cookie del 10 giugno 2021 non è richiesto il banner di consenso ai cookie: è sufficiente la presente informativa. Non è pertanto necessaria un'accettazione preventiva da parte dell'utente.
10. Assenza di profilazione e decisioni automatizzate
Il Titolare non effettua alcuna profilazione né alcun processo decisionale automatizzato ai sensi dell'art. 22 GDPR. Non viene effettuato alcun tracciamento comportamentale né alcuna attività pubblicitaria.
11. Minori
Il servizio è rivolto ad aziende e professionisti (contesto prevalentemente B2B) e comunque a soggetti maggiorenni. Il sito non è destinato ai minori di 18 anni e non ne raccoglie consapevolmente i dati. Qualora il Titolare venisse a conoscenza di un trattamento involontario di dati di minori, provvederà alla loro cancellazione.
12. Diritti dell'interessato
L'interessato può esercitare in ogni momento, ai sensi degli artt. 15–22 GDPR, i seguenti diritti:
- accesso ai propri dati personali (art. 15);
- rettifica dei dati inesatti o incompleti (art. 16);
- cancellazione dei dati ("diritto all'oblio"), nei limiti degli obblighi di conservazione di legge (art. 17);
- limitazione del trattamento (art. 18);
- portabilità dei dati (art. 20);
- opposizione al trattamento fondato sul legittimo interesse (art. 21);
- revoca del consenso in qualsiasi momento, ove il trattamento sia basato sul consenso (es. newsletter), senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Per esercitare tali diritti l'interessato può scrivere a info@fotolitogamba.it. Il Titolare risponde senza ingiustificato ritardo e comunque entro 30 giorni.
L'interessato ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) qualora ritenga che il trattamento violi il GDPR.
Disiscrizione dalla newsletter. L'utente può disiscriversi in qualsiasi momento scrivendo a info@fotolitogamba.it.
13. Modifiche alla presente informativa
Il Titolare si riserva di modificare o aggiornare la presente informativa per adeguarla a novità normative o organizzative. La versione aggiornata sarà sempre pubblicata su questa pagina con l'indicazione della data di ultima revisione.
Ultima revisione: 16 luglio 2026 — Fotolito Gamba S.r.l.