Informativa sulla privacy

Ultimo aggiornamento: 15 maggio 2026

La presente Informativa sulla Privacy è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del Decreto Legislativo 30 giugno 2003, n. 196, come modificato dal Decreto Legislativo 10 agosto 2018, n. 101 (il "Codice Privacy"). Descrive le modalità di trattamento dei dati personali degli utenti che interagiscono con il sito web solkai.it (il "Sito") e con i relativi servizi.

1. Titolare del trattamento

Il titolare del trattamento è EmmePi S.r.l. (il "Titolare" o "noi"), con sede legale in Via Magenta 77, 20017 Rho (MI), Italia, partita IVA IT 14405370967, email info@solkai.it, telefono +39 349 310 6547.

2. Responsabile della protezione dei dati (DPO)

Il Titolare non è tenuto alla nomina di un Responsabile della protezione dei dati ai sensi dell'articolo 37 del GDPR. Ogni richiesta relativa ai dati personali può essere indirizzata a info@solkai.it, con oggetto "Privacy GDPR".

3. Categorie di dati personali trattati

A seconda delle modalità con cui l'utente interagisce con il Sito, il Titolare può trattare le seguenti categorie di dati personali:

  • Dati identificativi e di contatto: nome, cognome, indirizzo postale (di fatturazione e di spedizione), numero di telefono, indirizzo email.
  • Dati dell'account cliente: credenziali di accesso, preferenze, storico degli ordini, lista dei desideri.
  • Dati dell'ordine: articoli acquistati, importi, data dell'ordine, modalità di consegna, note all'ordine.
  • Dati di pagamento: il numero di carta di credito, la data di scadenza e il codice di sicurezza non sono né raccolti né conservati dal Titolare; vengono trattati direttamente dai prestatori di servizi di pagamento (Shopify Payments, Stripe, PayPal e altri operatori autorizzati). Riceviamo soltanto la conferma della transazione e informazioni minime (ad esempio le ultime quattro cifre della carta) per finalità contabili e di assistenza clienti.
  • Dati di comunicazione: contenuto delle email, dei messaggi WhatsApp e delle altre comunicazioni inviate al servizio clienti.
  • Dati di navigazione: indirizzo IP, tipo di browser e di dispositivo, sistema operativo, pagine visitate, tempo di permanenza sulla pagina, referrer, parametri di sessione, identificativi dei cookie.
  • Dati di marketing e profilazione (subordinati al consenso): preferenze di acquisto, interessi inferiti, aperture e clic delle email, segmentazione automatizzata.

Non vengono trattate categorie particolari di dati personali ai sensi dell'articolo 9 del GDPR (ad esempio dati relativi alla salute, all'orientamento sessuale, alle convinzioni religiose). Si invitano pertanto gli utenti a non includere tali informazioni nei moduli di contatto o nelle comunicazioni.

4. Finalità del trattamento e basi giuridiche

Finalità Base giuridica Periodo di conservazione
Gestione dell'ordine: conclusione del contratto di vendita, evasione dell'ordine, spedizione, resi, rimborsi e assistenza post-vendita. Art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto o di misure precontrattuali). Per la durata del rapporto contrattuale e per i 10 anni successivi ai sensi degli articoli 2214 e 2220 del Codice Civile (conservazione delle scritture contabili).
Obblighi fiscali, contabili e amministrativi. Art. 6, par. 1, lett. c) GDPR (adempimento di un obbligo legale). 10 anni dalla chiusura dell'esercizio (D.P.R. 29 settembre 1973, n. 600 e articoli 2214 e 2220 del Codice Civile).
Creazione e gestione dell'account cliente. Art. 6, par. 1, lett. b) GDPR (contratto di registrazione). Fino alla cancellazione dell'account o, in assenza di attività, 36 mesi dall'ultimo accesso.
Servizio clienti e gestione di richieste, reclami e istanze di esercizio dei diritti degli interessati. Art. 6, par. 1, lett. b) e f) GDPR (legittimo interesse a fornire un'adeguata assistenza ai clienti). 24 mesi dalla chiusura della richiesta; 10 anni per i reclami formali.
Invio di comunicazioni di marketing diretto via email relative a prodotti, novità, eventi e iniziative promozionali del Titolare (newsletter). Art. 6, par. 1, lett. a) GDPR (consenso libero e specifico). Per i clienti che hanno già acquistato prodotti analoghi si applica la disciplina del cosiddetto "soft spam" di cui all'articolo 130, comma 4, del Codice Privacy (legittimo interesse), fatto salvo il diritto di opposizione. Fino alla revoca del consenso o all'opposizione; in ogni caso non oltre 24 mesi dall'ultima interazione significativa, salvo rinnovo.
Profilazione delle abitudini di acquisto e segmentazione automatizzata per un marketing personalizzato. Art. 6, par. 1, lett. a) GDPR (consenso specifico e separato). 12 mesi dalla raccolta o dall'ultima interazione, salvo rinnovo del consenso.
Analisi statistica aggregata del traffico e miglioramento del Sito (cookie analitici aggregati). Art. 6, par. 1, lett. f) GDPR (legittimo interesse) per le analisi pienamente aggregate; art. 6, par. 1, lett. a) GDPR (consenso) per le analisi con identificativi non anonimizzati. Per i dettagli si veda la Cookie Policy.
Prevenzione delle frodi, sicurezza del Sito, protezione dei sistemi informativi e gestione del rischio. Art. 6, par. 1, lett. f) GDPR (legittimo interesse alla prevenzione di frodi e abusi). 12 mesi, salvo che una conservazione più lunga sia necessaria a causa di un'indagine in corso.
Accertamento, esercizio o difesa di un diritto in sede giudiziaria. Art. 6, par. 1, lett. f) e art. 9, par. 2, lett. f) GDPR. Per il tempo strettamente necessario alla tutela del diritto, anche oltre gli ordinari termini di prescrizione.

5. Natura obbligatoria o facoltativa del conferimento dei dati

Il conferimento dei dati identificativi, di contatto e di pagamento è necessario per dare esecuzione all'ordine e per adempiere agli obblighi di legge. Il mancato conferimento di tali dati rende impossibile la conclusione del contratto. Il conferimento dei dati per finalità di marketing e profilazione è facoltativo: l'assenza del consenso non pregiudica la possibilità di acquistare sul Sito.

6. Modalità del trattamento

I dati personali sono trattati con strumenti elettronici e organizzativi idonei a garantirne la sicurezza, la riservatezza, l'integrità e la disponibilità, in conformità agli articoli 25 e 32 del GDPR. Le misure di sicurezza comprendono, a titolo esemplificativo, la cifratura in transito (TLS), i controlli degli accessi, l'autenticazione a più fattori per gli utenti aziendali, la registrazione degli accessi (logging), la segregazione degli ambienti, backup regolari e la pseudonimizzazione ove tecnicamente praticabile.

7. Categorie di destinatari

I dati personali possono essere comunicati ai seguenti destinatari, che agiscono in qualità di responsabili del trattamento (art. 28 GDPR) o di titolari autonomi, esclusivamente per le finalità sopra indicate:

7.1 Piattaforma e-commerce e pagamenti

  • Shopify International Limited (Irlanda) e Shopify Inc. (Canada) per la piattaforma e-commerce, l'hosting, l'infrastruttura tecnologica, il checkout e le relative funzionalità di analisi. Informativa privacy: shopify.com/legal/privacy.
  • Fornitori di servizi di pagamento (Shopify Payments, Stripe, PayPal e altri operatori autorizzati): trattano i dati di pagamento in modo autonomo in conformità alle rispettive informative privacy.
  • Corrieri e operatori logistici (quali DHL, BRT, UPS, GLS, Poste Italiane) per la consegna dei prodotti e la gestione dei resi.

7.2 Email marketing e CRM

  • Klaviyo Inc. (costituita nel Delaware, USA, con sede operativa a Boston, MA) per la gestione del database di marketing, l'invio di newsletter e comunicazioni transazionali, la segmentazione, la profilazione comportamentale degli iscritti e il riconoscimento degli iscritti durante le sessioni di acquisto. Il trattamento per finalità di marketing avviene solo sulla base del consenso come descritto nella precedente sezione 4. Informativa privacy: klaviyo.com/legal/privacy-notice.

7.3 Strumenti di analisi statistica e di esperienza utente

  • Google Ireland Limited (Dublino, Irlanda) per il servizio Google Analytics 4 (analisi statistica del traffico, attribuzione delle campagne, misurazione delle conversioni) e Google Search Console (monitoraggio dell'indicizzazione e delle query di ricerca organica). Google Search Console non installa cookie sul dispositivo del visitatore: tratta soltanto dati aggregati sull'indicizzazione del Sito e non identifica i singoli utenti. Google Analytics opera sulla base del consenso, come indicato nella Cookie Policy. Informativa privacy: policies.google.com/privacy.
  • Microsoft Ireland Operations Limited (Dublino, Irlanda) per il servizio Microsoft Clarity, utilizzato per la registrazione anonimizzata delle sessioni, la generazione di mappe di calore (heatmap), l'analisi del comportamento degli utenti e il rilevamento di anomalie nell'esperienza utente. Il servizio maschera per impostazione predefinita il contenuto dei campi di input sensibili. Informativa privacy: privacy.microsoft.com.

7.4 Strumenti pubblicitari e di tracciamento delle conversioni

  • Meta Platforms Ireland Limited (Dublino, Irlanda) per i servizi Meta Pixel e Conversion API per Facebook e Instagram, utilizzati per misurare le conversioni, ottimizzare le campagne pubblicitarie, costruire pubblici personalizzati e svolgere attività di retargeting. Il trattamento avviene sulla base del consenso esplicito. Informativa privacy: facebook.com/privacy/policy.
  • TikTok Information Technologies UK Limited (Londra, Regno Unito) e TikTok Technology Limited (Dublino, Irlanda) per il servizio TikTok Pixel e Events API, utilizzati per misurare le conversioni, ottimizzare le campagne pubblicitarie sulla piattaforma TikTok, costruire pubblici personalizzati e svolgere attività di retargeting. Il trattamento avviene sulla base del consenso esplicito. Informativa privacy: tiktok.com/legal/page/eea/privacy-policy/en.
  • Google Ireland Limited per Google Ads e Google Tag Manager, utilizzati per tracciare le conversioni delle campagne pubblicitarie Google, svolgere retargeting sulla Google Display Network e su YouTube e automatizzare le offerte (bidding). Il trattamento avviene sulla base del consenso esplicito.

7.5 Altri destinatari

  • Professionisti, consulenti e fornitori di servizi (commercialisti, avvocati, consulenti fiscali, società di revisione, agenzie di marketing) per la conformità legale, l'esecuzione del rapporto contrattuale e la gestione del contenzioso.
  • Autorità pubbliche ove richiesto dalla legge, da un ordine dell'autorità giudiziaria o da una richiesta degli organi di vigilanza.

I dati personali non sono né diffusi né venduti a terzi. Un elenco aggiornato dei responsabili del trattamento può essere richiesto scrivendo a info@solkai.it.

8. Trasferimenti di dati personali al di fuori dell'UE

Alcuni dei destinatari elencati nella sezione 7 trattano dati personali anche al di fuori dello Spazio Economico Europeo (SEE). In particolare:

  • Shopify Inc. - Canada (Paese oggetto di una decisione di adeguatezza ai sensi dell'articolo 45 GDPR - Decisione 2002/2/CE);
  • Klaviyo Inc. - Stati Uniti d'America;
  • Google LLC - Stati Uniti d'America (sebbene il fornitore di primo livello sia Google Ireland Limited, l'infrastruttura può comportare trasferimenti verso gli USA);
  • Microsoft Corporation - Stati Uniti d'America (sebbene il fornitore di primo livello sia Microsoft Ireland Operations Limited);
  • Meta Platforms, Inc. - Stati Uniti d'America (società controllante di Meta Platforms Ireland Limited);
  • TikTok Inc. - Stati Uniti d'America, e altre infrastrutture del gruppo ByteDance, inclusi data center in Irlanda e Norvegia ("Project Clover").

Per i trasferimenti verso gli Stati Uniti, il Titolare garantisce che il trasferimento avvenga sulla base di garanzie adeguate ai sensi del Capo V del GDPR, in particolare:

  • EU-U.S. Data Privacy Framework (decisione di adeguatezza della Commissione europea del 10 luglio 2023) per i fornitori statunitensi autocertificati (Google LLC, Microsoft Corporation, Meta Platforms Inc., Klaviyo Inc.);
  • Clausole Contrattuali Standard adottate ai sensi della Decisione di esecuzione (UE) 2021/914 della Commissione, integrate da misure tecniche e organizzative supplementari (cifratura in transito e a riposo, pseudonimizzazione, controllo degli accessi, audit periodici) ove il Data Privacy Framework non si applichi o ove sia richiesto un ulteriore livello di protezione, in particolare per i trasferimenti verso TikTok Inc. e verso le società del gruppo ByteDance.

Una copia delle garanzie in essere può essere richiesta gratuitamente a info@solkai.it.

9. Processo decisionale automatizzato

Il Titolare non effettua processi decisionali interamente automatizzati che producano effetti giuridici sull'interessato o che incidano in modo significativo sullo stesso ai sensi dell'articolo 22 del GDPR, fatte salve le attività di segmentazione e profilazione per finalità di marketing descritte nella sezione 4, che si basano sul consenso. L'interessato può revocare il consenso in qualsiasi momento o richiedere l'intervento umano.

10. Diritti dell'interessato

In qualsiasi momento l'interessato può esercitare i diritti riconosciuti dagli articoli da 15 a 22 del GDPR:

  • Diritto di accesso (articolo 15): ottenere conferma del trattamento e una copia dei dati personali.
  • Diritto di rettifica (articolo 16): ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti.
  • Diritto alla cancellazione (articolo 17, "diritto all'oblio"): ottenere la cancellazione dei dati personali nei casi previsti dalla legge.
  • Diritto di limitazione (articolo 18): richiedere la sospensione del trattamento in specifiche circostanze.
  • Diritto alla portabilità dei dati (articolo 20): ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e farli trasmettere a un altro titolare del trattamento.
  • Diritto di opposizione (articolo 21): opporsi al trattamento basato sul legittimo interesse o per finalità di marketing diretto, inclusa la profilazione.
  • Diritto di non essere sottoposto a decisioni automatizzate (articolo 22), come sopra indicato.
  • Diritto di revocare il consenso in qualsiasi momento, senza pregiudizio della liceità del trattamento basato sul consenso prestato prima della revoca.

I diritti possono essere esercitati gratuitamente scrivendo a info@solkai.it. Il Titolare risponderà entro 30 giorni dal ricevimento, prorogabili di ulteriori 60 giorni qualora la richiesta sia particolarmente complessa (l'interessato sarà informato di ogni eventuale proroga). Il Titolare può richiedere le informazioni necessarie a verificare l'identità del richiedente.

11. Reclamo all'autorità di controllo

L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it, Piazza Venezia 11, 00187 Roma, Italia), ovvero all'autorità di controllo dello Stato membro dell'UE di residenza, di lavoro o del luogo della presunta violazione, ai sensi dell'articolo 77 del GDPR. Restano salvi gli altri mezzi di ricorso amministrativi o giurisdizionali (articolo 79 GDPR).

12. Minori

I prodotti e i servizi offerti tramite il Sito non sono rivolti a minori di 16 anni. Il Titolare non raccoglie consapevolmente dati personali di minori di 16 anni. Qualora venga a conoscenza di tali dati raccolti senza il consenso del titolare della responsabilità genitoriale, provvederà a cancellarli tempestivamente. I genitori o i tutori che ritengano che un minore abbia conferito dati personali sono invitati a contattare info@solkai.it.

13. Cookie e tecnologie analoghe

Il Sito utilizza cookie e tecnologie analoghe. Ulteriori informazioni sono riportate nella Cookie Policy, che costituisce parte integrante della presente Informativa sulla Privacy.

14. Modifiche alla presente Informativa

La presente Informativa sulla Privacy può essere aggiornata di volta in volta, anche a seguito di modifiche normative, evoluzioni tecnologiche o cambiamenti dell'attività del Titolare. Le modifiche hanno effetto dalla pubblicazione sul Sito. Si invitano gli utenti a consultare periodicamente questa pagina; la data dell'ultimo aggiornamento è indicata all'inizio del documento. Le modifiche sostanziali saranno notificate in modo specifico, ove possibile, anche via email agli iscritti.