Privacy Policy — Recesso Digitale EU
1. Ruoli
Per i dati dei negozi (merchant) che installano l'app, RWM S.r.l. agisce come titolare del trattamento. Per i dati dei consumatori finali trattati per conto del merchant (richieste di recesso), RWM S.r.l. agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, secondo le istruzioni del merchant, che resta titolare verso i propri clienti.
2. Dati trattati
Dal negozio (merchant): dominio del negozio, email di contatto, impostazioni dell'app.
Dai consumatori (tramite il merchant): numero ordine, indirizzo email, nome, CAP (se richiesto), prodotti selezionati, motivo e note della richiesta di recesso, data/ora, lingua e — se abilitato dal merchant — indirizzo IP e user agent a fini di sicurezza/audit.
Non vengono raccolti dati di pagamento. L'indirizzo email è memorizzato negli audit log in forma hashata (non in chiaro).
3. Finalità e base giuridica
- Gestire la richiesta di recesso e inviare la relativa conferma su supporto durevole (adempimento di obblighi precontrattuali/legali e legittimo interesse del merchant alla gestione delle richieste).
- Sicurezza, prevenzione degli abusi e adempimenti documentali (legittimo interesse).
4. Conservazione
I dati delle richieste sono conservati per il tempo necessario alla gestione del recesso e agli obblighi documentali del merchant, quindi cancellati o anonimizzati. Vedi anche i webhook GDPR (§7).
5. Sub-responsabili / servizi utilizzati
- Railway — hosting dell'applicazione e del database.
- Resend — invio delle email transazionali.
- Shopify — piattaforma e API.
Ciascun fornitore tratta i dati in base ai propri accordi e, ove applicabile, con garanzie adeguate per i trasferimenti extra-UE (es. clausole contrattuali standard).
6. Diritti degli interessati
Gli interessati possono esercitare i diritti previsti dal GDPR (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) contattando il merchant (titolare) oppure RWM S.r.l. all'email partner@rossiwebmedia.it.
7. Conformità Shopify (webhook obbligatori)
customers/data_request: raccolta dei dati collegati al cliente per la consegna a cura del merchant.customers/redact: anonimizzazione dei dati personali del cliente nelle richieste.shop/redact: cancellazione di tutti i dati del negozio (entro ~48 ore dalla disinstallazione).
8. Sicurezza
Minimizzazione dei dati, email hashate negli audit log, indirizzo IP memorizzato solo se abilitato dal merchant, rate limiting e validazione sugli endpoint pubblici, accesso all'area amministrativa protetto dalle sessioni Shopify, comunicazioni in HTTPS/TLS e database cifrato a riposo.
9. Contatti
Per qualsiasi richiesta relativa alla protezione dei dati: partner@rossiwebmedia.it — RWM S.r.l., Via Po' 21, 84012 Angri (SA), Italia.