Informativa sulla Privacy

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

SD SRL
Partita IVA / Codice fiscale: IT04142590654
REA: SA - 345465
Email: info@sulfurea.it

Per informazioni sul trattamento dei dati o per esercitare i tuoi diritti, scrivi a info@sulfurea.it.

2. Tipologie di dati trattati

Nel corso dell'utilizzo del sito e dei servizi di SPA Sulfurea, trattiamo le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome
• Dati di contatto: indirizzo email, numero di telefono
• Dati di prenotazione: data, orario, servizi selezionati, numero di partecipanti, preferenze e richieste particolari
• Dati di pagamento: dati necessari all'elaborazione del pagamento online tramite Nexi Payments SpA (non conserviamo i dati della carta di credito)
• Dati relativi ai voucher e gift card: nome e email del destinatario, messaggio personale, codice voucher
• Dati tecnici di navigazione: indirizzo IP (in forma anonimizzata), tipo di browser, pagine visitate, durata della visita (solo con consenso per analytics)
• Dati relativi ai consensi: tipo di consenso, data e ora, fonte, versione del documento accettato
• Contenuto dei messaggi: testo delle richieste inviate tramite il modulo contatti

Non trattiamo categorie particolari di dati (dati sanitari, biometrici, religiosi, ecc.) salvo esplicita comunicazione volontaria da parte dell'interessato.

3. Finalità del trattamento e basi giuridiche

3.1 Gestione prenotazioni e acquisto voucher

Base giuridica: Esecuzione di un contratto o misure precontrattuali (Art. 6 c. 1 lett. b GDPR).
Trattiamo i dati necessari per confermare e gestire le prenotazioni dei servizi SPA e wellness, elaborare gli acquisti di gift card, inviare le comunicazioni transazionali (conferme, promemoria, voucher via email).

3.2 Adempimenti fiscali e legali

Base giuridica: Obbligo legale (Art. 6 c. 1 lett. c GDPR).
Conserviamo i documenti contabili e fiscali nei termini previsti dalla normativa italiana.

3.3 Assistenza clienti

Base giuridica: Legittimo interesse (Art. 6 c. 1 lett. f GDPR).
Utilizziamo i dati forniti tramite il modulo contatti per rispondere alle richieste di informazioni e assistenza.

3.4 Sicurezza del sito

Base giuridica: Legittimo interesse (Art. 6 c. 1 lett. f GDPR).
Elaboriamo in forma pseudonimizzata i dati tecnici di navigazione per prevenire frodi, abusi e per garantire la sicurezza della piattaforma.

3.5 Marketing e comunicazioni commerciali

Base giuridica: Consenso (Art. 6 c. 1 lett. a GDPR).
Solo previo consenso esplicito, inviamo newsletter, offerte e comunicazioni promozionali. Il consenso è liberamente revocabile in qualsiasi momento.

3.6 Analytics e cookie non tecnici

Base giuridica: Consenso (Art. 6 c. 1 lett. a GDPR).
Solo previo consenso, utilizziamo strumenti di analisi statistica delle visite (Google Analytics) e strumenti di profilazione pubblicitaria. Vedi la Cookie Policy per i dettagli.

4. Modalità di trattamento

I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti. Adottiamo misure tecniche e organizzative adeguate per proteggere i dati da accesso non autorizzato, perdita, modifica o divulgazione, inclusa la cifratura delle comunicazioni (HTTPS) e la pseudonimizzazione dei dati tecnici.

5. Conservazione

I dati sono conservati per il tempo strettamente necessario alle finalità indicate:

• Dati di prenotazione e pagamento: 10 anni dalla data della transazione, in conformità agli obblighi fiscali e contabili previsti dalla normativa italiana
• Dati per marketing: fino alla revoca del consenso, e comunque non oltre 5 anni dall'ultimo contatto
• Log dei consensi: 7 anni, per consentire la dimostrazione della conformità GDPR
• Cookie analytics e di profilazione: secondo le durate indicate nella Cookie Policy
• Messaggi e richieste di contatto: 2 anni dalla data di ricezione

Decorsi i termini di conservazione, i dati sono cancellati o anonimizzati.

6. Destinatari e responsabili del trattamento

I dati personali possono essere comunicati alle seguenti categorie di soggetti, nella misura strettamente necessaria:

• Nexi Payments SpA — elaborazione dei pagamenti online (dati strettamente necessari alla transazione)
• Resend Inc. — invio di email transazionali (conferme, promemoria, voucher)
• Vercel Inc. — hosting della piattaforma web e del database
• Consulenti fiscali e legali — nei limiti degli adempimenti obbligatori
• Fornitori di strumenti analytics e marketing — solo se il consenso è stato prestato e i servizi sono attivi (es. Google Analytics, Meta)

Tutti i fornitori sono contrattualizzati come responsabili del trattamento ai sensi dell'Art. 28 GDPR.

7. Trasferimenti extra-UE

Alcuni dei nostri fornitori tecnici hanno sede o trattano dati negli Stati Uniti:

• Resend Inc. (USA) — il trasferimento avviene nel rispetto delle garanzie adeguate previste dal GDPR (Decisione di adeguatezza o Clausole contrattuali standard)
• Vercel Inc. (USA) — il trasferimento avviene nel rispetto delle Clausole contrattuali standard approvate dalla Commissione europea

Per ulteriori informazioni sulle garanzie adottate, scrivi a info@sulfurea.it.

8. Diritti dell'interessato

Hai il diritto di:

• Accesso (Art. 15 GDPR): ottenere conferma del trattamento e una copia dei dati che ti riguardano
• Rettifica (Art. 16 GDPR): correggere dati inesatti o incompleti
• Cancellazione (Art. 17 GDPR): ottenere la cancellazione dei dati, nei casi previsti dalla legge
• Limitazione del trattamento (Art. 18 GDPR): limitare il trattamento in determinati casi
• Portabilità (Art. 20 GDPR): ricevere i tuoi dati in formato strutturato e leggibile
• Opposizione (Art. 21 GDPR): opporti al trattamento basato sul legittimo interesse o per finalità di marketing
• Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente

Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Come esercitare i diritti

Per esercitare i tuoi diritti o per qualsiasi domanda relativa al trattamento dei tuoi dati, scrivi a:
info@sulfurea.it

Risponderemo entro 30 giorni dalla ricezione della richiesta, come previsto dall'Art. 12 GDPR.

10. Cookie e strumenti di tracciamento

Per informazioni dettagliate sull'utilizzo dei cookie e degli strumenti di tracciamento, consulta la nostra Cookie Policy. Puoi gestire le tue preferenze in qualsiasi momento tramite il link "Preferenze cookie" nel footer del sito.

11. Responsabile della Protezione dei Dati (DPO)

Il Titolare ha valutato i criteri di obbligatorietà previsti dall'Art. 37 GDPR e ha stabilito che, alla data di pubblicazione della presente informativa, non sussiste l'obbligo di nominare un Responsabile della Protezione dei Dati (DPO/RPD), in quanto:

• Il trattamento non è effettuato da un'autorità pubblica
• L'attività principale non richiede il monitoraggio regolare e sistematico di interessati su larga scala
• L'attività principale non consiste nel trattamento di dati di categorie particolari o relativi a condanne penali su larga scala

Per qualsiasi richiesta in materia di protezione dei dati personali è comunque possibile rivolgersi al Titolare ai recapiti indicati al punto 1.

12. Decisioni automatizzate e profilazione (Art. 22 GDPR)

Il Titolare non effettua processi decisionali automatizzati né attività di profilazione che producano effetti giuridici sull'interessato o che incidano significativamente sulla sua persona ai sensi dell'Art. 22 GDPR.

Eventuali strumenti di analytics e marketing, attivati esclusivamente previo consenso, raccolgono dati in forma aggregata e anonimizzata, senza finalità di profilazione individuale.

13. Aggiornamenti della presente informativa

La presente informativa può essere aggiornata in seguito a modifiche normative, a nuove finalità di trattamento o a nuovi strumenti tecnologici adottati. La versione vigente è sempre disponibile a questa pagina, con indicazione della data di pubblicazione e del numero di versione.