Informativa sulla privacy

1. Informazioni generali

La protezione dei Suoi dati personali è per noi una questione importante. Trattiamo i Suoi dati personali in modo riservato e in conformità al Regolamento Generale Europeo sulla Protezione dei Dati (GDPR), al Codice Privacy italiano (D.Lgs. 196/2003, novellato dal D.Lgs. 101/2018) nonché alla presente informativa sulla privacy.

2. Titolare del trattamento

Bernhard Pichler
San Pietro 7
I-39100 Bolzano (BZ), Alto Adige — Italia
Tel / Fax: +39 0471 977162
Cellulare: +39 339 4732612
E-mail: info@messnerhof.net

3. Diritti degli interessati

Ai sensi del GDPR Lei dispone dei seguenti diritti:

• Diritto di accesso (art. 15 GDPR): può richiedere in qualsiasi momento informazioni sui Suoi dati personali da noi conservati.

• Diritto di rettifica (art. 16 GDPR): può richiedere la rettifica di dati inesatti.

• Diritto alla cancellazione (art. 17 GDPR): può richiedere la cancellazione dei Suoi dati, salvo che vi ostino obblighi legali di conservazione.

• Diritto di limitazione (art. 18 GDPR): a determinate condizioni può richiedere la limitazione del trattamento.

• Diritto alla portabilità dei dati (art. 20 GDPR): ha il diritto di ricevere i Suoi dati in un formato di uso comune e leggibile da dispositivo automatico o di richiederne la trasmissione a un altro titolare.

• Diritto di opposizione (art. 21 GDPR): può opporsi in qualsiasi momento al trattamento dei Suoi dati.

• Revoca del consenso: può revocare in qualsiasi momento, con effetto per il futuro, un consenso prestato. È sufficiente una comunicazione informale via e-mail.

Per l'esercizio di tali diritti è sufficiente una comunicazione informale a info@messnerhof.net. Inoltre Le spetta il diritto di proporre reclamo all'autorità di controllo competente: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it

4. Hosting e file di registro del server

Il nostro sito web è gestito dal fornitore di hosting Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). A ogni accesso al sito web vengono raccolti, per ragioni tecniche, dati in file di registro del server: tipo e versione del browser, sistema operativo, URL di provenienza (referrer), indirizzo IP, nonché data e ora dell'accesso. Questi dati servono a garantire un funzionamento regolare e sicuro del sito web e non vengono combinati con altre fonti di dati. Il trattamento avviene sulla base del nostro legittimo interesse a una presentazione tecnicamente corretta e alla sicurezza (art. 6, par. 1, lett. f GDPR). I file di registro vengono cancellati automaticamente dopo un breve periodo (di norma 30 giorni). Con Vercel è in essere un accordo sul trattamento dei dati; qualora i dati vengano trasferiti negli USA, ciò avviene sulla base delle Clausole Contrattuali Standard UE (art. 46 GDPR).

5. Banca dati e archiviazione (Supabase)

I dati raccolti in questo sito web (ad es. richieste di contatto, prenotazioni, ordini, consensi, nonché documenti generati come buoni e certificati) vengono trattati e conservati in una banca dati e in un archivio di file del fornitore Supabase (Supabase, Inc.). I dati sono conservati su server all'interno dell'Unione Europea. Con Supabase è in essere un accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR. La base giuridica è, a seconda della finalità del trattamento, l'art. 6, par. 1, lett. b GDPR (esecuzione di un contratto) ovvero l'art. 6, par. 1, lett. f GDPR (legittimo interesse al funzionamento sicuro).

6. Modulo di contatto

Se ci invia un messaggio tramite il modulo di contatto, i Suoi dati (nome, indirizzo e-mail, eventualmente numero di telefono e il contenuto del Suo messaggio) vengono conservati per l'evasione della Sua richiesta. Il trattamento avviene sulla base del nostro legittimo interesse a rispondere alla Sua richiesta (art. 6, par. 1, lett. f GDPR) ovvero — qualora la Sua richiesta sia finalizzata alla conclusione di un contratto — sulla base dell'art. 6, par. 1, lett. b GDPR. Tali dati non vengono comunicati a terzi per finalità pubblicitarie e vengono cancellati una volta conclusa l'evasione della richiesta, salvo che sussistano obblighi legali di conservazione.

7. Ordini, prenotazioni e riservazioni

Quando ordina vino o prenota un'offerta tramite il nostro sito web (esperienze, degustazioni di vini, appartamento per vacanze), raccogliamo i dati necessari all'evasione: nome e cognome, indirizzo e-mail, numero di telefono nonché — a seconda dell'operazione — data di prenotazione, periodo e dimensione del gruppo oppure, in caso di ordini di vino con spedizione, l'indirizzo di consegna. Il trattamento di tali dati è necessario per l'esecuzione del contratto (art. 6, par. 1, lett. b GDPR). I dati di ordine, prenotazione e fatturazione vengono conservati per la durata degli obblighi legali di conservazione (10 anni ai sensi del diritto tributario italiano).

In caso di patrocinio del vino può inoltre indicare facoltativamente l'indirizzo e-mail del destinatario. Lo trattiamo esclusivamente per inviare al destinatario informazioni sul patrocinio (ad esempio sulla crescita delle viti) (art. 6, par. 1, lett. f GDPR; legittimo interesse, con possibilità di opposizione in qualsiasi momento). L'indicazione è facoltativa; fornendola dichiara di essere autorizzato a comunicare l'indirizzo. Il destinatario può opporsi al trattamento in qualsiasi momento e ne viene informato in ogni messaggio. Non comunichiamo l'indirizzo a terzi e lo cancelliamo al termine del patrocinio o in caso di opposizione.

8. Gestione dei pagamenti (Stripe)

La gestione dei pagamenti avviene tramite il servizio Stripe (Stripe Technology Europe Ltd., 1 Grand Canal Street Lower, Dublino, Irlanda). I Suoi dati di pagamento (ad es. dati della carta) vengono trattati direttamente da Stripe; noi non abbiamo accesso ai Suoi dati di pagamento completi. Per la gestione del pagamento vengono trasmessi a Stripe il Suo nome, l'indirizzo e-mail, l'indirizzo di fatturazione e/o di consegna e l'importo dell'ordine. Il trattamento avviene sulla base dell'art. 6, par. 1, lett. b GDPR (esecuzione di un contratto). Qualora avvenga un trasferimento verso paesi terzi, Stripe si basa sulle Clausole Contrattuali Standard UE. Ulteriori informazioni: https://stripe.com/privacy

9. E-mail relative alle transazioni

Per l'invio di conferme di prenotazione e di ordine nonché di altre e-mail relative alle transazioni (ad es. notifiche di annullamento e di spedizione) utilizziamo il servizio e-mail Azure Communication Services di Microsoft Ireland Operations Ltd. (One Microsoft Place, South County Business Park, Leopardstown, Dublino 18, Irlanda). L'invio avviene tramite data center all'interno dell'Unione Europea (EU Data Location). In tale contesto vengono trattati il Suo indirizzo e-mail e i contenuti necessari per la rispettiva comunicazione (ad es. dati dell'ordine o della prenotazione). La base giuridica è l'art. 6, par. 1, lett. b GDPR (esecuzione di un contratto). Con Microsoft è in essere un accordo sul trattamento dei dati.

10. Newsletter, adesione e pubblicità diretta via e-mail

Qualora Lei presti il proprio consenso o ricorrano i presupposti di legge, Le inviamo informazioni sui nostri vini, sulle offerte e sugli eventi via e-mail. Distinguiamo in proposito:

• Adesione ("Messnerhof Weinfreunde"): l'iscrizione avviene esclusivamente con procedura di doppio opt-in. Dopo la Sua registrazione riceve un'e-mail di conferma; solo dopo aver cliccato sul link di conferma viene registrato come socio e riceve le informazioni riservate ai soci. La base giuridica è il Suo consenso (art. 6, par. 1, lett. a GDPR). Nell'ambito dell'adesione può indicare facoltativamente la Sua data di nascita; la utilizziamo esclusivamente per farLe pervenire un vantaggio in occasione del Suo compleanno (ad es. un codice buono). Tale indicazione è facoltativa e può essere revocata in qualsiasi momento.

• Comunicazioni su prodotti propri analoghi (soft opt-in): se ha acquistato beni presso di noi, possiamo, ai sensi dell'art. 130, comma 4, del Codice Privacy italiano, inviarLe via e-mail informazioni su prodotti propri analoghi. La base giuridica è il nostro legittimo interesse alla pubblicità diretta (art. 6, par. 1, lett. f GDPR).

Ogni e-mail pubblicitaria contiene un link di disiscrizione tramite il quale può revocare in qualsiasi momento e gratuitamente, con effetto per il futuro, la ricezione; in alternativa è sufficiente una comunicazione informale a info@messnerhof.net. L'invio di tali e-mail avviene tramite lo stesso fornitore dell'invio relativo alle transazioni (Azure Communication Services, Microsoft, UE — v. punto 9). I Suoi dati non vengono comunicati a terzi per finalità pubblicitarie.

11. Cookie e memorizzazione locale

Questo sito web utilizza cookie tecnicamente necessari ovvero meccanismi di memorizzazione locale del Suo browser nonché — esclusivamente previo Suo consenso — cookie per l'analisi web:

• Carrello (memorizzazione locale "vintner_cart"): memorizza gli articoli da Lei selezionati localmente nel Suo browser, affinché il Suo carrello venga conservato. In tale contesto non vengono memorizzati dati personali né vengono trasmessi dati a noi.

• Archivio del consenso (memorizzazione locale "vintner_cookie_consent"): memorizza la Sua decisione in merito alle analisi web (v. punto 12), affinché non venga interpellato nuovamente a ogni visita.

• Cookie di sessione (Supabase Auth): viene utilizzato esclusivamente nell'area di amministrazione interna protetta a fini di autenticazione e non riguarda i normali visitatori del sito web.

• Analisi web (PostHog, solo previo consenso): i cookie di analisi ovvero le voci in localStorage (in particolare un distinct_id pseudonimo) vengono impostati solo dopo il Suo consenso attivo tramite il banner cookie — dettagli al punto 12. Senza consenso non vengono impostati.

Non utilizziamo cookie pubblicitari o di marketing né cookie di social media. Le operazioni di memorizzazione tecnicamente necessarie avvengono sulla base del nostro legittimo interesse (art. 6, par. 1, lett. f GDPR) e non richiedono un consenso separato; i cookie di analisi (punto 12) vengono impostati esclusivamente previo Suo consenso (art. 6, par. 1, lett. a GDPR). Può impostare il Suo browser in modo da rifiutare i cookie in generale; in tal caso la funzionalità del sito web può risultare limitata. Istruzioni: Chrome: chrome://settings/cookies · Firefox: about:preferences#privacy · Safari: Preferenze > Privacy.

12. Analisi web (PostHog)

Per l'analisi statistica dell'utilizzo del sito web e per la misurazione della diffusione utilizziamo lo strumento di analisi PostHog (PostHog, gestito tramite il Cloud UE). Alla prima visita del nostro sito web Le viene richiesto il consenso tramite un banner. Solo se clicca attivamente su „Accetta", PostHog imposta cookie ovvero utilizza tecniche di memorizzazione analoghe (localStorage) nel Suo browser; in tale contesto vengono memorizzati un identificativo pseudonimo permanente (distinct_id) nonché parametri di primo contatto (ad es. parametri UTM/di campagna), al fine di analizzare le visite nell'arco di più sessioni e di misurare la provenienza degli accessi. Se rifiuta („Solo necessari"), non viene impostato alcun cookie di analisi.

La base giuridica è il Suo consenso (art. 6, par. 1, lett. a GDPR; per quanto riguarda la memorizzazione sul Suo dispositivo, la corrispondente disposizione del Codice Privacy italiano che richiede il consenso). Il Suo consenso è facoltativo e può essere revocato in qualsiasi momento con effetto per il futuro — tramite il link „Impostazioni cookie" nel footer; in tal caso gli identificativi impostati vengono azzerati. Il trattamento avviene tramite server all'interno dell'Unione Europea.

13. Crittografia SSL/TLS

Per motivi di sicurezza questo sito web utilizza una crittografia SSL ovvero TLS. Una connessione cifrata è riconoscibile dal simbolo del lucchetto nella barra degli indirizzi del Suo browser e dall'uso di "https://". Grazie a questa crittografia, tutti i dati che ci trasmette non possono essere facilmente letti da terzi.

14. Monitoraggio degli errori (Sentry)

Per garantire un funzionamento stabile e sicuro utilizziamo lo strumento di monitoraggio degli errori Sentry (gestito tramite la regione UE). Qualora durante il funzionamento del sito web si verifichi un errore tecnico, vengono rilevati dati tecnici sull'errore (ad es. messaggio di errore, funzione interessata, dati tecnici di contesto come l'indirizzo IP) al fine di correggere l'errore. I contenuti personali vengono ripuliti prima della trasmissione (`sendDefaultPii: false` più redazione). La base giuridica è il nostro legittimo interesse a un funzionamento privo di errori e sicuro (art. 6, par. 1, lett. f GDPR). Con il fornitore è in essere un accordo sul trattamento dei dati; il trattamento avviene tramite server all'interno dell'Unione Europea.

15. Panoramica dei responsabili del trattamento e dei destinatari

Abbiamo affidato la gestione tecnica di questo sito web e dei servizi online alla Westios UG (haftungsbeschränkt), Baaderstr. 50, 80469 München, Germania (registro delle imprese HRB 270273, Amtsgericht München; partita IVA DE347543847), in qualità di responsabile del trattamento. Con essa è in essere un accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR. Per l'erogazione del servizio, Westios si avvale a sua volta dei seguenti sub-responsabili del trattamento accuratamente selezionati:

• Vercel Inc. — hosting del sito web (società statunitense, trattamento preferenziale nella UE; garantito tramite Clausole Contrattuali Standard UE)
• Supabase, Inc. — banca dati e archivio di file (società statunitense, dati conservati nella UE; garantito tramite Clausole Contrattuali Standard UE)
• Microsoft Ireland Operations Ltd. (Azure Communication Services) — invio di e-mail (UE)
• PostHog, Inc. — analisi web / misurazione della diffusione, basata sul consenso (società statunitense, dati conservati nel Cloud UE; garantito tramite Clausole Contrattuali Standard UE)
• Sentry — monitoraggio degli errori (regione UE; ripulito dai dati personali)

Indipendentemente da ciò, la gestione dei pagamenti avviene tramite Stripe Technology Europe Ltd. (Irlanda/UE) sulla base di un conto Stripe di nostra titolarità; in tale ambito Stripe è direttamente nostro responsabile del trattamento (v. punto 8).

Un trasferimento dei Suoi dati verso paesi terzi avviene solo nella misura sopra descritta e sulla base di garanzie adeguate (in particolare le Clausole Contrattuali Standard UE).

16. Opposizione alle e-mail pubblicitarie

L'utilizzo dei dati di contatto pubblicati nelle note legali per l'invio di pubblicità non espressamente richiesta è qui espressamente vietato. Ci riserviamo di intraprendere azioni legali in caso di invio non richiesto di informazioni pubblicitarie.

17. Periodi di conservazione

I dati personali vengono cancellati al venir meno della finalità del trattamento, salvo che vi ostino obblighi legali di conservazione:

• Dati di ordine, prenotazione e fatturazione: 10 anni (diritto tributario italiano)

• Richieste di contatto: dopo la conclusione dell'evasione

• Dati dei soci/newsletter: fino alla revoca del consenso ovvero alla disiscrizione

• File di registro del server: di norma 30 giorni