Titolare del trattamento – attività commerciale (Shop) e consulenza immagine/armocromia
Titolare: Federica Donno – P.IVA 05382870755
Sito: www.federicadonno.it
Contatto privacy: info@federicadonno.it
Sede: Lecce via Oberdan 86
Data: [22/01/2026]
Compilare e mantenere aggiornato l’elenco dei fornitori (responsabili) e, ove opportuno, delle piattaforme che agiscono come titolari autonomi (es. social).
Categoria: Hosting / Manutenzione IT
Fornitore / Dati: ________________________________
Note / Ruolo: Responsabile art. 28 GDPR (da nominare se non già)
Categoria: Provider e-mail / PEC aziendale
Fornitore / Dati:
Aruba S.p.A. – via San Clemente, 53 – 24036 Ponte San Pietro (BG)
P.IVA 01573850516 – C.F. 04552920482
Note / Ruolo: Responsabile o titolare autonomo (da verificare)
Categoria: Piattaforma e-commerce (se diversa dall’hosting)
Fornitore / Dati: ________________________________
Note / Ruolo: Responsabile
Categoria: Booking / Gestione appuntamenti
Fornitore / Dati: ________________________________
Note / Ruolo: Responsabile
Categoria: Videochiamate (servizi online)
Fornitore / Dati: ________________________________
Note / Ruolo: Responsabile o titolare autonomo (da verificare)
Categoria: Pagamento (PSP)
Fornitore / Dati: ________________________________
Note / Ruolo: Titolare autonomo / responsabile a seconda del servizio (da verificare)
Categoria: Newsletter / CRM
Fornitore / Dati: ________________________________
Note / Ruolo: Responsabile
Per ciascuna attività sono indicati: finalità; categorie di interessati e dati; destinatari; trasferimenti extra SEE; tempi di conservazione; misure di sicurezza (descrizione generale).
Finalità:
Riscontro alle richieste; gestione appuntamenti; invio preventivi; organizzazione del servizio.
Base giuridica:
Art. 6.1.b GDPR (misure precontrattuali/contratto); art. 6.1.f GDPR (legittimo interesse organizzativo).
Interessati:
Utenti del sito; potenziali clienti; clienti.
Categorie di dati:
Identificativi e contatto (nome, e-mail, telefono); contenuto messaggi; dati organizzativi; log tecnici (se applicabile).
Destinatari:
Fornitori IT (hosting/e-mail); strumenti di messaggistica/booking (se usati); consulenti (se necessario).
Trasferimenti extra SEE:
Possibili se fornitori extra SEE: adeguatezza/SCC + misure supplementari (Capo V GDPR).
Conservazione:
Fino a 24 mesi se non segue contratto; oltre se necessario per gestione del rapporto/contese.
Misure di sicurezza (generali):
Accessi profilati; password robuste/2FA ove possibile; backup; cifratura dispositivi; minimizzazione; log di accesso; policy di conservazione.
Finalità:
Prestazione del servizio; personalizzazione consulenza; produzione e consegna report/materiali; follow-up.
Base giuridica:
Art. 6.1.b GDPR (contratto). Eventuale art. 9.2.a GDPR per dati particolari solo se conferiti/necessari e con consenso esplicito (es. allergie).
Interessati:
Clienti (consumatori o professionisti).
Categorie di dati:
Dati anagrafici/contatto; preferenze stile; parametri utili (es. taglie/misure); note; eventuali foto inviate dal cliente; dati di appuntamento; comunicazioni.
Destinatari:
Fornitori IT/cloud; piattaforme di videoconferenza; strumenti di gestione appuntamenti; eventuali collaboratori autorizzati.
Trasferimenti extra SEE:
Come sopra, se piattaforme extra SEE.
Conservazione:
Durata del rapporto + termini di prescrizione; report/materiali nei limiti necessari alla continuità del servizio.
Misure di sicurezza (generali):
Cartelle riservate; condivisione limitata; cifratura/backup; informazione al cliente; raccolta dati per necessità; cancellazione a fine rapporto su richiesta nei limiti di legge.
Finalità:
Comunicazione e promozione dell’attività; portfolio; pubblicazione su canali del titolare.
Base giuridica:
Art. 6.1.a GDPR (consenso specifico e separato) + (se necessari) liberatoria; revocabile.
Interessati:
Clienti che prestano consenso.
Categorie di dati:
Foto/video; nome/iniziali (se autorizzati); testimonianza/recensione; metadati essenziali.
Destinatari:
Piattaforme social (titolari autonomi); provider hosting; eventuali grafici/agenzie (responsabili).
Trasferimenti extra SEE:
Possibili tramite piattaforme extra SEE (Capo V GDPR).
Conservazione:
Fino a revoca del consenso o richiesta di rimozione (nei limiti tecnicamente possibili); archivi interni secondo necessità e minimizzazione.
Misure di sicurezza (generali):
Consenso documentato; opzioni anonimizzazione/oscuramento; pubblicazione per canali selezionati; procedure rimozione.
Finalità:
Esecuzione ordine; gestione spedizione; gestione resi/reclami; customer care.
Base giuridica:
Art. 6.1.b GDPR (contratto); art. 6.1.c GDPR (obblighi di legge); art. 6.1.f GDPR (tutela diritti).
Interessati:
Clienti shop; destinatari spedizioni.
Categorie di dati:
Identificativi e contatto; indirizzo spedizione/fatturazione; dettagli ordine; comunicazioni; eventuali preferenze.
Destinatari:
Hosting/piattaforma e-commerce; provider pagamento (PSP); vettore/corriere:
GLS Italy S.p.A. – Via Basento 19, 20098 San Giuliano Milanese (MI) – Italia
P.IVA 12144660151 – C.F. 02321010247;
consulenti; autorità se richiesto.
Trasferimenti extra SEE:
Possibili tramite PSP/strumenti marketing extra SEE (Capo V GDPR).
Conservazione:
Durata del rapporto + prescrizione; documenti fiscali 10 anni.
Misure di sicurezza (generali):
Segregazione accessi admin; log; backup; gestione ruoli; procedure per resi; minimizzazione dati su spedizioni.
Finalità:
Incasso pagamenti; gestione rimborsi; prevenzione frodi; riconciliazione.
Base giuridica:
Art. 6.1.b GDPR; art. 6.1.c GDPR; art. 6.1.f GDPR (sicurezza/frode).
Interessati:
Clienti shop e/o servizi.
Categorie di dati:
Dati necessari al pagamento (esito, id transazione); dati fatturazione; il titolare non tratta di regola i dati completi della carta se gestiti dal PSP.
Destinatari:
Provider di pagamento (PSP) e istituti bancari; consulente fiscale/contabile.
Trasferimenti extra SEE:
Dipende dal PSP (Capo V GDPR se extra SEE).
Conservazione:
Secondo obblighi contabili/fiscali e necessità di contestazioni/prescrizione.
Misure di sicurezza (generali):
Uso PSP certificati; accesso limitato; verifiche; tracciamento rimborsi; policy antifrode.
Finalità:
Emissione fatture/quietanze; tenuta contabilità; adempimenti fiscali e civilistici.
Base giuridica:
Art. 6.1.c GDPR (obbligo legale).
Interessati:
Clienti; fornitori.
Categorie di dati:
Dati anagrafici e fiscali; dati ordine/servizio; pagamenti; documentazione contabile.
Destinatari:
Commercialista/consulente fiscale:
________________________________ – P.IVA/C.F. ________________________________ –
Sede ________________________________ – Contatti ________________________________.
Trasferimenti extra SEE:
Di regola no; dipende dagli strumenti contabili/cloud (Capo V GDPR se extra SEE).
Conservazione:
10 anni (salvo termini diversi di legge).
Misure di sicurezza (generali):
Archiviazione sicura; accesso limitato; conservazione secondo obblighi; backup; protezione documenti.
Finalità:
Invio comunicazioni promozionali, aggiornamenti, offerte; gestione liste e preferenze.
Base giuridica:
Art. 6.1.a GDPR (consenso) e/o soft spam nei limiti di legge con opt-out.
Interessati:
Iscritti newsletter; clienti.
Categorie di dati:
E-mail; preferenze; storico consensi; interazioni (aperture/click) se tracciate.
Destinatari:
Provider newsletter/CRM; eventuali agenzie marketing (responsabili).
Trasferimenti extra SEE:
Possibili se provider extra SEE (Capo V GDPR).
Conservazione:
Fino a revoca del consenso/opposizione; log consensi per finalità di prova.
Misure di sicurezza (generali):
Double opt-in (consigliato); registro consensi; link disiscrizione; segmentazione minima; accessi limitati.
Finalità:
Erogazione del sito; gestione tecnica; sicurezza; prevenzione abusi; continuità operativa.
Base giuridica:
Art. 6.1.f GDPR (sicurezza/legittimo interesse) + cookie tecnici necessari.
Interessati:
Visitatori del sito.
Categorie di dati:
IP, user agent, log accessi; dati tecnici; cookie tecnici; eventuali identificativi dispositivo.
Destinatari:
Hosting/manutenzione IT; fornitori sicurezza/CDN (se usati).
Trasferimenti extra SEE:
Dipende dai fornitori (Capo V GDPR se extra SEE).
Conservazione:
Log per periodi tecnicamente necessari e nei limiti di legge; backup secondo policy.
Misure di sicurezza (generali):
Aggiornamenti; hardening; firewall; backup; monitoraggio; gestione vulnerabilità; minimizzazione log.
Finalità:
Misurazione traffico e performance; miglioramento sito e campagne (se attive).
Base giuridica:
Art. 6.1.a GDPR (consenso) ove richiesto; configurazioni privacy-friendly se applicabili.
Interessati:
Visitatori del sito.
Categorie di dati:
Dati di utilizzo; cookie analytics; identificativi; IP (in forma limitata se configurato).
Destinatari:
Fornitore analytics; eventuali consulenti web/marketing.
Trasferimenti extra SEE:
Possibili verso USA/extra SEE secondo fornitore (Capo V GDPR).
Conservazione:
Secondo impostazioni strumenti e policy cookie; in genere 14–26 mesi per analytics (da verificare).
Misure di sicurezza (generali):
CMP/banner; consenso granulare; minimizzazione; configurazioni privacy; revisione periodica cookie.
Finalità:
Gestione controversie; tutela in giudizio; adempimenti richiesti da autorità.
Base giuridica:
Art. 6.1.f GDPR (tutela diritti); art. 6.1.c GDPR (obblighi).
Interessati:
Clienti; controparti; soggetti coinvolti.
Categorie di dati:
Dati identificativi; comunicazioni; documenti contrattuali e contabili; evidenze tecniche (log) se pertinenti.
Destinatari:
Avvocati/consulenti; autorità; assicurazioni (se applicabile).
Trasferimenti extra SEE:
In genere no; dipende da strumenti usati dai professionisti (Capo V GDPR se extra SEE).
Conservazione:
Per tutta la durata della controversia + prescrizione/obblighi di legge.
Misure di sicurezza (generali):
Fascicoli riservati; accesso limitato; cifratura; tracciamento; minimizzazione.
Nota: il presente registro deve essere aggiornato in caso di variazioni significative (nuovi fornitori, nuove finalità, nuovi canali o strumenti).
