Privacy Policy
Ultimo aggiornamento: 1 Maggio 2026
Versione: 1.0
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (”GDPR”) e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e descrive in che modo trattiamo i dati personali degli utenti che interagiscono con il marketplace Vira (di seguito “Vira”, “noi”, “il Servizio”) accessibile all'indirizzo vira-libri.com.
1. Titolare del trattamento
Il Titolare del trattamento dei dati è:
- Ragione sociale: ZOFF GIANMARIA, Vira app
- Sede legale: Via Reghena, 34, 33170 Pordenone (PN)
- P.IVA: 01983870930
- Email di contatto privacy: privacy@vira-libri.com
- Rappresentante legale: Zoff Gianmaria
Per qualsiasi richiesta in materia di protezione dei dati personali, l'utente può scrivere all'indirizzo privacy@vira-libri.com.
Nota: Vira non è attualmente tenuta alla nomina di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. La nomina sarà valutata in caso di trattamenti su larga scala.
2. Categorie di dati personali trattati
A seconda dell'interazione dell'utente con il Servizio, trattiamo le seguenti categorie di dati:
| Categoria | Dati trattati |
|---|---|
| Dati di registrazione | Nome, cognome, indirizzo email, password (hashata), data di nascita (per verifica maggiore età), eventuale numero di telefono. |
| Dati di profilo venditore | IBAN o identificativo Stripe Connect, codice fiscale (per obblighi fiscali ai sensi del DAC7 / D.Lgs. 32/2023), eventuale P.IVA. |
| Dati logistici | Indirizzo di spedizione e fatturazione, recapito telefonico per il corriere. |
| Dati di transazione | Storico ordini, importi, commissioni, stato delle ispezioni, esiti dei pagamenti e dei rimborsi. I dati completi delle carte di pagamento non sono mai memorizzati sui nostri sistemi: vengono trasmessi direttamente a Stripe, fornitore certificato PCI-DSS Livello 1. |
| Dati di utilizzo | Indirizzo IP, tipo di browser e dispositivo, pagine visitate, log di accesso, cookie tecnici. |
| Dati di contatto e supporto | Contenuto delle comunicazioni inviate tramite form di contatto, email o chat di assistenza. |
| Documenti per verifica identità (KYC) | In caso di payout rilevanti, Stripe può richiedere documento d'identità o selfie ai fini AML. Tali dati sono trattati direttamente da Stripe in qualità di autonomo titolare. |
Vira non tratta categorie particolari di dati (art. 9 GDPR) né dati relativi a condanne penali (art. 10 GDPR).
3. Finalità e basi giuridiche del trattamento
Trattiamo i dati personali per le finalità e sulle basi giuridiche di seguito indicate (art. 6 GDPR):
| # | Finalità | Base giuridica | Conferimento |
|---|---|---|---|
| 1 | Registrazione e gestione dell'account utente | Esecuzione del contratto (art. 6.1.b) | Obbligatorio |
| 2 | Pubblicazione annunci, gestione vendite, ispezione fisica e spedizione | Esecuzione del contratto (art. 6.1.b) | Obbligatorio |
| 3 | Gestione di pagamenti, accrediti su IBAN, rimborsi e antifrode | Esecuzione del contratto + obblighi di legge (art. 6.1.b e 6.1.c) | Obbligatorio |
| 4 | Adempimenti fiscali e contabili (fatturazione, comunicazione DAC7, AML) | Obbligo di legge (art. 6.1.c) | Obbligatorio |
| 5 | Comunicazioni di servizio (notifiche transazionali via email) | Esecuzione del contratto (art. 6.1.b) | Obbligatorio |
| 6 | Assistenza clienti | Esecuzione del contratto + legittimo interesse (art. 6.1.b e 6.1.f) | Obbligatorio per ricevere supporto |
| 7 | Sicurezza della piattaforma, prevenzione frodi e abusi | Legittimo interesse (art. 6.1.f) | Non richiede consenso |
| 8 | Statistiche aggregate e analytics tecnici | Legittimo interesse (art. 6.1.f) | Non richiede consenso |
| 9 | Marketing diretto (newsletter, offerte, promo) | Consenso (art. 6.1.a) | Facoltativo, revocabile in ogni momento |
| 10 | Difesa in giudizio e accertamento di diritti | Legittimo interesse (art. 6.1.f) | – |
Il rifiuto di conferire i dati indicati come obbligatori comporta l'impossibilità di utilizzare il Servizio.
4. Modalità del trattamento
I dati sono trattati con strumenti elettronici, mediante misure tecniche e organizzative idonee ai sensi dell'art. 32 GDPR, tra cui:
- cifratura TLS 1.3 delle comunicazioni;
- cifratura at-rest del database;
- hashing delle password con algoritmi resistenti (bcrypt/argon2);
- segregazione degli accessi (Row Level Security a livello di database);
- autenticazione a due fattori (2FA) disponibile e raccomandata;
- log di accesso e audit trail;
- backup periodici cifrati;
- procedura formale di gestione data breach con notifica al Garante entro 72 ore (art. 33 GDPR).
5. Destinatari dei dati (Responsabili del trattamento)
Per erogare il Servizio condividiamo i dati strettamente necessari con fornitori terzi accuratamente selezionati, nominati Responsabili del trattamento ex art. 28 GDPR:
| Fornitore | Finalità | Sede |
|---|---|---|
| Supabase Inc. | Database, autenticazione, storage | UE (region eu-west) – server Frankfurt |
| Stripe Payments Europe Ltd. | Pagamenti, escrow, payout, KYC venditori | Irlanda (UE) – con dataflow verso Stripe Inc. (USA) |
| Vercel Inc. | Hosting frontend, CDN | USA – con SCC e DPF |
| Resend / SendGrid | Invio email transazionali | USA / UE |
| BRT / Poste / GLS / DHL | Spedizione libri | UE |
| Studio commercialista | Adempimenti fiscali e contabili | Italia |
| Consulenti legali | Difesa in giudizio (solo se necessario) | Italia |
I dati possono inoltre essere comunicati ad autorità giudiziarie e amministrative in adempimento di obblighi di legge. I dati personali non sono in alcun caso ceduti, venduti o concessi a terzi per finalità di marketing autonomo.
6. Trasferimento dati al di fuori dell'Unione Europea
Alcuni fornitori (in particolare Stripe e Vercel) possono trattare dati su server situati negli Stati Uniti d'America. Tali trasferimenti avvengono in conformità agli artt. 44-49 GDPR mediante:
- adesione al EU–US Data Privacy Framework (DPF) certificato dal Department of Commerce statunitense;
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914;
- valutazioni di impatto sul trasferimento (TIA) e misure supplementari ove richiesto.
L'utente può richiedere copia delle garanzie adottate scrivendo a privacy@vira-libri.com.
7. Periodo di conservazione
I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono raccolti:
| Dato | Tempo di conservazione |
|---|---|
| Dati account attivo | Per tutta la durata del rapporto contrattuale |
| Dati account dopo cancellazione | Cancellazione entro 30 giorni, salvo obblighi di legge |
| Dati di transazione e fatturazione | 10 anni dalla transazione (art. 2220 c.c. + DPR 633/72) |
| Dati KYC/AML (se applicabili) | 10 anni ai sensi del D.Lgs. 231/2007 |
| Log di sicurezza e accesso | 12 mesi |
| Dati di marketing (su consenso) | Fino a revoca del consenso o 24 mesi di inattività |
| Comunicazioni di assistenza | 24 mesi dalla chiusura della richiesta |
Al termine dei suddetti periodi, i dati sono cancellati o resi anonimi in modo irreversibile.
8. Diritti dell'interessato
In qualunque momento l'utente può esercitare i diritti riconosciuti dagli articoli 15–22 GDPR, ovvero:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati;
- Rettifica (art. 16): correggere dati inesatti o incompleti;
- Cancellazione / oblio (art. 17): ottenere la cancellazione dei dati nei casi previsti;
- Limitazione (art. 18): ottenere la limitazione del trattamento;
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile (JSON);
- Opposizione (art. 21): opporsi a trattamenti basati sul legittimo interesse o per finalità di marketing diretto;
- Revoca del consenso (art. 7.3): in qualsiasi momento, senza pregiudicare la liceità dei trattamenti precedenti;
- Diritto a non essere sottoposti a decisioni automatizzate (art. 22): Vira non effettua processi decisionali interamente automatizzati con effetti giuridici sull'utente.
Le richieste vanno inviate a privacy@vira-libri.com. Risponderemo entro 30 giorni ai sensi dell'art. 12.3 GDPR. L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive.
9. Reclamo all'autorità di controllo
L'utente che ritenga che il trattamento dei propri dati avvenga in violazione del GDPR ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
- Indirizzo: Piazza Venezia 11, 00187 Roma
- Sito web: www.garanteprivacy.it
- Email: protocollo@gpdp.it
…o all'Autorità di controllo dello Stato membro UE in cui risiede.
10. Cookie e tecnologie simili
Il Servizio utilizza cookie tecnici e, previo consenso, cookie di analytics e di terze parti. Il dettaglio è descritto nella Cookie Policy dedicata. L'utente può gestire le proprie preferenze in qualunque momento tramite il banner cookie o dal piè di pagina del sito.
11. Sicurezza dei minori
Il Servizio è destinato a utenti di età pari o superiore a 14 anni (limite previsto dall'art. 2-quinquies del Codice Privacy italiano per il consenso al trattamento). Per gli utenti tra i 14 e i 18 anni, le operazioni di compravendita possono essere subordinate al consenso di un genitore o tutore.
12. Modifiche alla presente Privacy Policy
Vira si riserva il diritto di modificare la presente informativa per adeguamenti normativi o evoluzioni del Servizio. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 15 giorni di anticipo. La versione corrente è sempre consultabile su questa pagina, con indicazione della data di ultimo aggiornamento.
Documento redatto ai sensi del Regolamento (UE) 2016/679 e del D.Lgs. 196/2003 e ss.mm.ii. In caso di discrepanze tra versioni linguistiche, prevale la versione italiana.