Politica sulla Privacy

1. Titolare del Trattamento

Il Titolare del Trattamento dei dati personali raccolti tramite il presente sito web è:

Denominazione: Space NK Italia S.r.l.
Sede legale: Via della Bellezza 42, 20121 Milano (MI), Italia
Email: [email protected]
PEC: [email protected]
Responsabile della Protezione dei Dati (DPO): [email protected]
Richieste Privacy: [email protected]

La presente informativa descrive le modalità di raccolta, utilizzo e protezione dei dati personali degli utenti che visitano il sito web spacenk.live o che effettuano acquisti tramite il medesimo, in conformità al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR) e al D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 10 agosto 2018, n. 101.

2. Dati Personali Raccolti

Space NK Italia S.r.l. raccoglie e tratta le seguenti categorie di dati personali:

Dati di identificazione e contatto

Nome e cognome, necessari per la gestione dell'account e degli ordini;
Indirizzo email, utilizzato per comunicazioni relative all'ordine, assistenza e, previo consenso, per l'invio di newsletter commerciali;
Numero di telefono, raccolto facoltativamente per aggiornamenti sulla consegna e comunicazioni urgenti relative all'ordine.

Dati di spedizione e fatturazione

Indirizzo di spedizione completo (via, numero civico, CAP, città, provincia, paese), necessario per la consegna dei prodotti acquistati;
Indirizzo di fatturazione, che può coincidere con l'indirizzo di spedizione o essere distinto, necessario per l'emissione dei documenti fiscali.

Dati di pagamento

I dati relativi ai metodi di pagamento (numero di carta, data di scadenza, CVV) non vengono mai memorizzati direttamente sui nostri server. Il trattamento avviene esclusivamente attraverso processori di pagamento terzi certificati PCI-DSS (Stripe, PayPal), che forniscono infrastrutture sicure per la gestione delle transazioni. Space NK Italia S.r.l. riceve esclusivamente una conferma dell'avvenuto pagamento e un token identificativo della transazione.

Dati di navigazione

Indirizzo IP del dispositivo utilizzato per la connessione al sito;
Tipo e versione del browser e del sistema operativo;
URL di provenienza (referrer) e pagine visitate sul sito;
Data, ora e durata della visita;
Dati raccolti tramite cookie e tecnologie analoghe (si veda la sezione 8 e la Cookie Policy per ulteriori dettagli).

Comunicazioni con il servizio clienti

Contenuto dei messaggi inviati tramite il modulo di contatto o via email all'assistenza, inclusi eventuali allegati;
Cronologia degli ordini e delle comunicazioni precedenti, utile per fornire un'assistenza personalizzata.

3. Base Giuridica del Trattamento

Ogni trattamento di dati personali effettuato da Space NK Italia S.r.l. si fonda su una o più delle seguenti basi giuridiche previste dall'art. 6 del GDPR:

Necessità contrattuale — Art. 6(1)(b) GDPR

Il trattamento è necessario per l'esecuzione di un contratto di cui l'interessato è parte o per l'adozione di misure precontrattuali su richiesta dello stesso. Su questa base giuridica si fondano: la gestione dell'ordine di acquisto dall'inserimento nel carrello alla conferma, il trattamento del pagamento, l'organizzazione della spedizione e della consegna, la gestione di resi e rimborsi, nonché la fornitura di assistenza post-vendita.

Interesse legittimo del Titolare — Art. 6(1)(f) GDPR

Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare, purché non prevalgano gli interessi o i diritti fondamentali dell'interessato. Su questa base si fondano: la prevenzione delle frodi e la sicurezza delle transazioni, il monitoraggio tecnico del funzionamento del sito, la gestione dei reclami e delle controversie legali, nonché le analisi statistiche aggregate sull'utilizzo del sito finalizzate al miglioramento del servizio.

Consenso dell'interessato — Art. 6(1)(a) GDPR

Il trattamento si fonda sul consenso liberamente, specificamente e inequivocabilmente espresso dall'interessato. Questa base giuridica si applica all'iscrizione alla newsletter e all'invio di comunicazioni promozionali e di marketing, nonché all'utilizzo di cookie analitici e di profilazione non strettamente necessari al funzionamento del sito. Il consenso può essere revocato in qualsiasi momento senza pregiudicare la liceità del trattamento svolto prima della revoca.

Obbligo legale — Art. 6(1)(c) GDPR

Il trattamento è necessario per adempiere a un obbligo legale al quale è soggetto il Titolare. Su questa base si fondano: la conservazione delle registrazioni contabili e fiscali ai sensi del D.P.R. 22 dicembre 1986, n. 917 (TUIR) e del D.P.R. 26 ottobre 1972, n. 633 (IVA), la conservazione dei documenti ai fini del diritto di recesso ai sensi del D.Lgs. 206/2005, nonché la comunicazione alle autorità competenti quando richiesta dalla legge.

4. Finalità del Trattamento

I dati personali raccolti sono trattati per le seguenti finalità:

a) Gestione degli ordini e del contratto di vendita

I dati forniti in fase di acquisto sono necessari per registrare e confermare l'ordine, emettere la documentazione fiscale (ricevuta o fattura), processare il pagamento, gestire eventuali modifiche o cancellazioni dell'ordine e fornire aggiornamenti sullo stato dell'ordine stesso.

b) Spedizione e logistica

L'indirizzo di spedizione e i recapiti del destinatario sono trasmessi ai vettori logistici incaricati della consegna (BRT, DHL) al solo fine di eseguire la spedizione. I dati vengono comunicati nella misura strettamente necessaria a garantire la consegna del pacco e la gestione di eventuali problemi (tentativo di consegna fallito, giacenza, restituzione al mittente).

c) Comunicazioni relative al servizio e assistenza clienti

Utilizziamo l'indirizzo email e, se fornito, il numero di telefono per inviare comunicazioni strettamente legate al rapporto contrattuale: conferma d'ordine, aggiornamenti di spedizione, comunicazione di eventuali problemi con la consegna, gestione di resi e rimborsi, risposta a richieste di assistenza inoltrate tramite il modulo di contatto o via email.

d) Newsletter e comunicazioni di marketing

Previo consenso esplicito dell'interessato, i dati possono essere utilizzati per l'invio di newsletter periodiche contenenti: novità sui prodotti, offerte speciali, promozioni stagionali, contenuti editoriali legati al mondo della bellezza e inviti ad eventi. L'iscrizione è facoltativa e il consenso può essere revocato in qualsiasi momento tramite il link di disiscrizione presente in ogni comunicazione o scrivendo a [email protected].

e) Analisi e miglioramento del sito

Dati aggregati e anonimi relativi alla navigazione (pagine visitate, durata delle sessioni, tassi di conversione, provenienza geografica) sono analizzati al fine di migliorare l'esperienza utente, ottimizzare le prestazioni del sito, identificare eventuali malfunzionamenti e sviluppare nuove funzionalità. Questi dati non consentono l'identificazione diretta dell'utente.

f) Adempimenti fiscali e contabili

I dati relativi alle transazioni commerciali sono conservati per il periodo previsto dalla normativa fiscale italiana (10 anni) al fine di ottemperare agli obblighi di registrazione contabile, emissione e conservazione delle fatture, dichiarazione IVA e adempimenti tributari connessi all'attività di commercio elettronico.

5. Periodo di Conservazione

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione previsto dall'art. 5(1)(e) del GDPR. Di seguito i periodi specifici per ciascuna categoria di dati:

Dati degli ordini e documenti fiscali: 10 anni dalla data dell'operazione, in osservanza degli obblighi di conservazione previsti dall'art. 2220 del Codice Civile e dalla normativa tributaria italiana (D.P.R. 600/1973 e D.P.R. 633/1972).
Dati degli iscritti alla newsletter: fino alla revoca del consenso tramite disiscrizione. Successivamente alla disiscrizione, i dati saranno eliminati entro 30 giorni, salvo la conservazione del log del consenso per finalità di prova dell'adempimento normativo.
Dati del modulo di contatto e assistenza: 2 anni dalla data dell'ultima comunicazione, al fine di gestire eventuali reclami tardivi e garantire la continuità del servizio di assistenza.
Dati di navigazione e cookie analitici: massimo 26 mesi dalla raccolta, in linea con le Linee Guida del Garante per la protezione dei dati personali del 9 giugno 2022 e le raccomandazioni della CNIL.
Log di sicurezza e prevenzione frodi: 12 mesi dalla raccolta, salvo necessità di conservazione prolungata in caso di procedimenti legali in corso.
Dati dell'account utente: per tutta la durata del rapporto contrattuale e per i 2 anni successivi alla chiusura dell'account o all'ultimo acquisto, fatto salvo quanto previsto dalla normativa fiscale.

Al termine del periodo di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.

6. Comunicazione a Terzi

Space NK Italia S.r.l. non vende, non affitta e non cede a titolo oneroso i dati personali degli utenti a terzi. I dati possono essere comunicati, nei limiti strettamente necessari, alle seguenti categorie di soggetti:

Processori di pagamento

Stripe Inc. e PayPal (Europe) S.à r.l. et Cie, S.C.A. ricevono i dati necessari per processare il pagamento. Entrambi i provider sono conformi agli standard PCI-DSS e al GDPR. Stripe Inc. è soggetta alle Clausole Contrattuali Standard per i trasferimenti verso gli USA; PayPal Europe ha sede in Lussemburgo ed è soggetta al diritto UE.

Vettori logistici e corrieri

BRT Corriere Espresso S.p.A. e DHL Express Italy S.r.l. ricevono nome, cognome, indirizzo di spedizione e numero di telefono del destinatario al solo scopo di effettuare la consegna dell'ordine. Entrambi i corrieri operano in qualità di Responsabili del Trattamento ai sensi dell'art. 28 GDPR.

Fornitori di servizi email

Per l'invio di comunicazioni transazionali (conferme d'ordine, aggiornamenti di spedizione) e di newsletter, ci avvaliamo di fornitori di servizi di posta elettronica certificati, che trattano i dati esclusivamente secondo le istruzioni del Titolare e nel rispetto del GDPR.

Fornitori di analytics

Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda) è utilizzato per analisi statistiche aggregate del traffico web. I dati sono trasmessi in forma anonimizzata tramite la funzione di anonimizzazione IP. Si veda la sezione 7 per i trasferimenti extra-UE.

Autorità competenti

I dati personali possono essere comunicati ad autorità giudiziarie, di polizia o ad altre autorità pubbliche quando ciò sia richiesto dalla legge o da un provvedimento dell'autorità o sia necessario per l'esercizio di un diritto in sede giudiziaria.

7. Trasferimento Dati Extra-UE

Alcuni dei fornitori di servizi di cui si avvale Space NK Italia S.r.l. hanno sede o trattano dati in paesi al di fuori dello Spazio Economico Europeo (SEE). In particolare, Google LLC (per i servizi Google Analytics) ha sede negli Stati Uniti d'America, paese che non dispone di una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45 GDPR.

Il trasferimento dei dati verso tali soggetti avviene nel rispetto delle garanzie previste dagli artt. 46 e ss. del GDPR, in particolare tramite l'adozione delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, come previsto dalla sentenza Schrems II della Corte di Giustizia dell'Unione Europea (C-311/18).

Per Google Analytics, è attiva la funzione di anonimizzazione dell'indirizzo IP (“IP anonymization”), che tronca l'ultimo ottetto dell'indirizzo IP all'interno del territorio UE prima della trasmissione ai server di Google, riducendo significativamente la possibilità di identificazione dell'utente.

L'utente può richiedere ulteriori informazioni sulle garanzie adottate per i trasferimenti extra-SEE scrivendo a [email protected] oppure al Responsabile della Protezione dei Dati all'indirizzo [email protected].

8. Informativa sui Cookie

Il sito web spacenk.live utilizza cookie e tecnologie di tracciamento analoghe per garantire il corretto funzionamento del sito e, previo consenso, per analizzare il traffico e migliorare l'esperienza di navigazione.

I cookie sono suddivisi nelle seguenti categorie:

Cookie tecnici e strettamente necessari: indispensabili per il funzionamento del sito (gestione sessione, carrello, sicurezza CSRF). Non richiedono il consenso dell'utente in quanto non tracciano informazioni di carattere personale per finalità di marketing.
Cookie analitici: utilizzati per raccogliere informazioni aggregate e anonime sull'utilizzo del sito (pagine visitate, tempo di permanenza, sorgenti di traffico). Richiedono il consenso dell'utente.
Cookie di preferenza: memorizzano le scelte dell'utente (es. lingua, preferenze di navigazione) per migliorare l'esperienza di visita. Richiedono il consenso dell'utente.

Per una descrizione dettagliata di ciascun cookie utilizzato, inclusi il nome, il provider, la finalità e la durata, si rimanda alla Cookie Policy completa. L'utente può gestire le proprie preferenze sui cookie tramite il banner di consenso presentato al primo accesso al sito o in qualsiasi momento tramite le impostazioni del browser.

9. Diritti dell'Interessato (GDPR Art. 15–22)

In qualità di interessato al trattamento dei dati, l'utente ha il diritto di esercitare i seguenti diritti garantiti dal Capo III del Regolamento (UE) 2016/679:

Diritto di accesso — Art. 15

Ottenere conferma che sia in corso un trattamento di dati personali che La riguardano e, in caso affermativo, ricevere copia dei dati trattati e informazioni sulle finalità, categorie di dati, destinatari e periodo di conservazione.

Diritto di rettifica — Art. 16

Richiedere la rettifica dei dati personali inesatti che La riguardano o l'integrazione dei dati incompleti, senza ingiustificato ritardo.

Diritto alla cancellazione — Art. 17

Richiedere la cancellazione (“diritto all'oblio”) dei Suoi dati personali quando questi non siano più necessari alle finalità per cui sono stati raccolti o quando il trattamento non sia più fondato su una base giuridica valida.

Diritto di limitazione — Art. 18

Ottenere la limitazione del trattamento nelle ipotesi previste dall'art. 18 GDPR (es. contestazione dell'esattezza dei dati, trattamento illecito con opposizione alla cancellazione, dati necessari per l'accertamento di un diritto in sede giudiziaria).

Diritto alla portabilità — Art. 20

Ricevere i dati personali che La riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare senza impedimenti, quando il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati.

Diritto di opposizione — Art. 21

Opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei Suoi dati personali basato sull'interesse legittimo del Titolare. L'opposizione al trattamento per finalità di marketing diretto è sempre accolta senza eccezioni.

Per esercitare uno o più dei diritti sopra elencati, è sufficiente inviare una richiesta scritta all'indirizzo email [email protected], specificando il diritto che si intende esercitare e allegando copia di un documento di identità valido ai fini della verifica dell'identità del richiedente.

Il Titolare del Trattamento risponderà alla richiesta senza ingiustificato ritardo e, in ogni caso, entro 30 giorni dalla ricezione della stessa. Qualora la richiesta sia complessa o numerosa, tale termine può essere prorogato di ulteriori 2 mesi, previa comunicazione all'interessato entro i 30 giorni iniziali.

La risposta alla richiesta è gratuita. Tuttavia, in caso di richieste manifestamente infondate o eccessive (in particolare per il loro carattere ripetitivo), il Titolare può addebitare un contributo spese ragionevole oppure rifiutarsi di soddisfare la richiesta, ai sensi dell'art. 12(5) GDPR.

10. Diritto di Reclamo

Fatto salvo ogni altro rimedio amministrativo o giurisdizionale, l'interessato ha il diritto di proporre reclamo all'Autorità di controllo competente qualora ritenga che il trattamento dei propri dati personali violi il Regolamento (UE) 2016/679.

In Italia, l'Autorità di controllo competente è il:

Autorità: Garante per la Protezione dei Dati Personali
Indirizzo: Piazza Venezia 11, 00187 Roma
Sito web: www.garanteprivacy.it
Email: [email protected]
PEC: [email protected]

Prima di presentare un reclamo all'Autorità di controllo, invitiamo l'interessato a contattarci direttamente all'indirizzo [email protected] per consentirci di esaminare e risolvere la questione nel minor tempo possibile.

11. Modifiche alla Presente Informativa

Space NK Italia S.r.l. si riserva il diritto di modificare o aggiornare la presente Informativa sulla Privacy in qualsiasi momento, al fine di adeguarla a eventuali cambiamenti normativi, a nuove prassi di trattamento dei dati o a modifiche dei servizi offerti.

Le modifiche saranno pubblicate su questa pagina con indicazione della data dell'ultimo aggiornamento. Qualora le modifiche siano sostanziali e riguardino trattamenti fondati sul consenso dell'interessato, quest'ultimo verrà informato mediante apposita comunicazione via email all'indirizzo registrato sull'account, con congruo anticipo rispetto all'entrata in vigore delle nuove disposizioni, al fine di consentire la verifica e l'eventuale revoca del consenso.

Si consiglia di consultare periodicamente questa pagina per verificare l'eventuale presenza di aggiornamenti. La data indicata in cima alla pagina (“Ultimo aggiornamento”) riporterà sempre la data della versione vigente.

12. Contatti

Per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei dati personali e alla presente informativa, è possibile contattare Space NK Italia S.r.l. ai seguenti recapiti dedicati:

Email Privacy: [email protected]
Responsabile della Protezione dei Dati (DPO): [email protected]
Indirizzo postale: Space NK Italia S.r.l. — Ufficio Privacy
Via della Bellezza 42, 20121 Milano (MI), Italia
PEC: [email protected]

Il team Privacy si impegna a rispondere a ogni richiesta entro il termine previsto dall'art. 12 del GDPR (30 giorni, prorogabili a 3 mesi in caso di richieste complesse).