INFORMATIVA SULLA PRIVACY E SUL TRATTAMENTO DEI DATI PERSONALI

Sito Web: zanioro.it

Data di Ultimo Aggiornamento: 04 giugno 2026

Ambito di Applicazione Giuridica: Articolo 13 del Regolamento (UE) 2016/679 (GDPR), Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, modificato dal D.Lgs. 101/2018), Decreto Legislativo 25 maggio 2017, n. 92 (Disciplina dell’attività di compro oro) e Decreto Legislativo 21 novembre 2007, n. 231 (Antiriciclaggio).

SEZIONE 1 – TITOLARE DEL TRATTAMENTO, RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO) E AUTORITÀ DI VIGILANZA

La presente Informativa sulla Privacy descrive in modo analitico e trasparente le modalità, i fini, i tempi e le basi legali che governano il trattamento dei dati personali raccolti sia tramite la navigazione sulla piattaforma telematica zanioro.it, sia fisicamente presso i locali commerciali dell’operatore, in conformità agli obblighi stringenti imposti dal diritto europeo e dalle norme interne della Repubblica Italiana.

1.1 Identità e Dati di Contatto del Titolare del Trattamento

Il Titolare del trattamento dei dati personali è l’operatore economico che stabilisce, in via esclusiva o congiunta, le finalità e i mezzi del trattamento dei dati:

• Ragione Sociale: Zani Oro S.R.L.

• Codice Fiscale / Partita IVA: 02961500358

• Sede Legale ed Operativa: Via Ernesto Arduini n. 1, C.A.P. 42025, Cavriago (Reggio Emilia), Italia

• Contatto Email Ufficiale: [email protected]

• Telefono Mobile Aziendale: +39 392 1481949

• Telefono Fisso Sede: +39 0522 373757

1.2 Responsabile della Protezione dei Dati (RPD / DPO)

In conformità alle disposizioni obbligatorie dell’Articolo 37, paragrafo 1, lettere b) e c) del GDPR — attesa la natura dell’attività prevalente che comporta il trattamento su larga scala di categorie di dati connesse a verifiche legali, registri di pubblica sicurezza e normative antiriciclaggio — il Titolare ha provveduto alla nomina formale del Responsabile della Protezione dei Dati (DPO):

• Identità del DPO: Elterda Zani

• Casella di Posta Elettronica Dedicata: [email protected]

1.3 Autorità di Vigilanza Competente per Territorio

Qualsiasi contestazione, reclamo o richiesta di verifica in ordine alla liceità dei trattamenti operati da Zani Oro S.R.L. ricade sotto la giurisdizione esclusiva dell’autorità di controllo nazionale dello Stato italiano:

• Istituzione: Garante per la protezione dei dati personali (GPDP)

• Sede Istituzionale: Piazza Venezia n. 11, C.A.P. 00187, Roma, Italia

• Sito Web di Riferimento: www.garanteprivacy.it

SEZIONE 2 – DEFINIZIONI GIURIDICHE APPLICABILI

Ai fini della presente Informativa, in conformità all’Articolo 4 del Regolamento (UE) 2016/679, si applicano le seguenti definizioni testuali:

• „Dato Personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile („interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica economica, culturale o sociale.

• „Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

• „Titolare del Trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

• „Responsabile del Trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

• „Interessato”: la persona fisica a cui si riferiscono i Dati Personali oggetto di trattamento.

• „Consenso dell’Interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e univoca dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva incontestabile, al trattamento dei dati personali che lo riguardano.

• „Adeguata Verifica della Clientela”: l’insieme delle attività di identificazione, riscontro e raccolta documentale imposte agli operatori Compro Oro dal D.Lgs. 92/2017 e dal D.Lgs. 231/2007 al fine di prevenire e contrastare il riciclaggio dei proventi di attività criminose e il finanziamento del terrorismo.

SEZIONE 3 – CATEGORIE DI SOGGETTI INTERESSATI

Il trattamento dei dati posto in essere da Zani Oro S.R.L. si rivolge a diverse tipologie di persone fisiche, classificate come segue ai fini della granularità dei flussi informativi:

1. Navigatori e Visitatori del Sito: soggetti che accedono alla piattaforma zanioro.it e ne consultano i contenuti senza procedere alla compilazione di moduli o all’attivazione di servizi interattivi.

2. Utenti dei Moduli Informatici: soggetti che compilano volontariamente i form di contatto (es.: plugin Contact Form 7 intercettato dal sistema) o che interagiscono con il widget telematico di messaggistica istantanea WhatsApp Business per richiedere valutazioni, informazioni o stime commerciali.

3. Clienti Venditori (Ambito Compro Oro): soggetti fisici che si recano presso i locali commerciali della sede di Cavriago per concludere contratti commerciali di alienazione e cessione di oggetti preziosi, oro o argento usati, assoggettati all’obbligo di identificazione formale e registrazione antiriciclaggio.

SEZIONE 4 – TIPOLOGIE DI DATI PERSONALI OGGETTO DI TRATTAMENTO

I dati personali trattati variano in funzione del canale di interazione utilizzato dall’Interessato e degli obblighi di natura civilistica, penale e amministrativa gravanti sul Titolare.

4.1 Dati Raccolti in Modo Automatico tramite l’Infrastruttura del Sito

La semplice consultazione del Sito comporta la trasmissione implicita di dati connessi all’uso dei protocolli di comunicazione di Internet. Tali dati non vengono raccolti per essere associati a interessati identificati, ma per loro stessa natura potrebbero permettere l’identificazione degli utenti attraverso elaborazioni ed associazioni con dati detenuti da terzi:

• L’indirizzo IP (Internet Protocol) del dispositivo utilizzato per la connessione.

• I parametri dell’User-Agent (tipologia di browser utilizzato, sistema operativo, risoluzione dello schermo).

• Gli indicatori temporali di accesso (data, ora e durata esatta della permanenza sulle singole pagine).

• L’URL di provenienza (referring string) e le pagine di uscita.

• I dati tecnici estratti dai 14 cookie attivi sul dominio (ivi inclusi gli ID di tracciamento di Google Analytics, Google Analytics 4, i parametri tecnici di Cloudflare e i pixel pubblicitari integrati).

4.2 Dati Forniti Volontariamente dall’Utente tramite Canali Digitali

L’invio esplicito e facoltativo di messaggi o richieste comporta l’acquisizione dei dati di contatto del mittente, necessari per fornire il riscontro richiesto:

• Moduli di Contatto (Contact Form 7): Nome, indirizzo di posta elettronica (email), recapito telefonico mobile o fisso e qualsiasi informazione di natura commerciale inserita nel corpo del testo del messaggio.

• Widget WhatsApp Business (Meta Platforms Inc.): Numero di telefono associato all’account WhatsApp dell’Utente, metadati della sessione di chat, nome del profilo pubblico e contenuti multimediali scambiati nel corso della conversazione.

4.3 Dati Raccolti in Via Obbligatoria per Ordine Pubblico e Normativa Compro Oro (Presso la Sede Fisica)

In adempimento agli obblighi tassativi previsti dagli Articoli 4 e 5 del D.Lgs. 25 maggio 2017, n. 92, l’esecuzione di qualsiasi operazione commerciale di acquisto di oro o argento usato comporta la raccolta obbligatoria dei seguenti dati personali, la cui mancanza rende nulla l’operazione:

• Dati Anagrafici Completi: Nome, cognome, luogo e data di nascita, cittadinanza e residenza anagrafica o domicilio del Cliente Venditore.

• Estremi del Documento di Riconoscimento: Tipologia di documento (Carta d’identità, Passaporto, Patente), numero di serie, autorità del rilascio e data di scadenza dello stesso (compresa l’acquisizione della fotocopia o scansione digitale integrale del documento in corso di validità).

• Codice Fiscale: Numero identificativo desunto dalla tessera sanitaria o dal tesserino dell’Agenzia delle Entrate, finalizzato alla tracciabilità fiscale dell’operazione.

• Dati Finanziari e di Tracciabilità: Coordinate bancarie internazionali (codice IBAN) del conto corrente intestato al Cliente, qualora l’operazione sia di importo pari o superiore a 500,00 euro e richieda l’emissione di un bonifico bancario tracciabile.

• Dati Biometrici Indiretti / Iconografici: Riproduzioni fotografiche digitali dettagliate, realizzate da prospettive multiple e diversificate, di ciascun oggetto prezioso, gioiello o frazione di metallo conferito dal Cliente, con evidenza dei punzoni di fabbrica e delle caratteristiche geometriche (dati considerati estensione del dato personale del proprietario alienante ai sensi del Decreto Compro Oro).

• Status PEP: Informazioni relative alla titolarità di cariche pubbliche rilevanti ai fini della profilazione del rischio antiriciclaggio.

SEZIONE 5 – FINALITÀ DEL TRATTAMENTO E BASI GIURIDICHE DEL TRATTAMENTO

In conformità all’Articolo 6 del Regolamento (UE) 2016/679 (GDPR), ogni operazione di trattamento dei dati personali eseguita da Zani Oro S.R.L. è sorretta da una specifica e legittima base giuridica. Di seguito si elencano analiticamente le finalità perseguite dall’organizzazione, i dati associati e il relativo fondamento normativo:

5.1 Funzionamento Tecnico e Sicurezza della Piattaforma Web

• Finalità: Consentire l’accesso telematico al Sito, ottimizzare la visualizzazione delle pagine sul dispositivo dell’Utente, garantire la stabilità dei server e respingere attacchi informatici o tentativi di frode (es. mitigazione degli attacchi bot gestita tramite Cloudflare).

• Categorie di Dati: Indirizzi IP, log di sistema, stringhe User-Agent, cookie tecnici di sessione (PHPSESSID, cf_clearance).

• Base Giuridica: Legittimo interesse del Titolare del trattamento ai sensi dell’Articolo 6, paragrafo 1, lettera f) del GDPR, consistente nel mantenere l’infrastruttura di rete sicura, accessibile e performante. Per questa specifica finalità non è richiesto il consenso dell’utente.

5.2 Riscontro alle Richieste di Informazioni e Contatto Telematico

• Finalità: Elaborare, gestire e riscontrare le richieste inviate spontaneamente dagli utenti mediante i moduli di contatto presenti sul sito (es. plugin Contact Form 7) o tramite messaggi di posta elettronica ordinaria.

• Categorie di Dati: Nome, cognome, indirizzo email, recapito telefonico ed eventuali informazioni commerciali descritte dall’Utente all’interno del corpo del messaggio.

• Base Giuridica: Esecuzione di misure precontrattuali adottate su richiesta dello stesso interessato ai sensi dell’Articolo 6, paragrafo 1, lettera b) del GDPR. Il conferimento dei dati è facoltativo, ma il mancato inserimento degli stessi comporta l’impossibilità oggettiva di ricevere risposta alla richiesta formulata.

5.3 Servizio di Assistenza Istantanea e Quotazione via WhatsApp Business

• Finalità: Offrire un canale diretto di messaggistica interattiva per guidare l’Utente nella stima dei propri beni preziosi e agevolare la fissazione di appuntamenti in sede.

• Categorie di Dati: Numero di telefono, dati del profilo pubblico WhatsApp, metadati tecnici della chat e allegati multimediali inviati dall’utente.

• Base Giuridica: Esecuzione di misure precontrattuali o contrattuali ai sensi dell’Articolo 6, paragrafo 1, lettera b) del GDPR. Si applica altresì il regime di Contitolari del Trattamento (Articolo 26 GDPR) tra Zani Oro S.R.L. e Meta Platforms Ireland特, limitatamente alla fase di raccolta e trasmissione tecnica dei metadati prima del reindirizzamento applicativo.

5.4 Adempimento degli Obblighi di Legge e Normativa Antiriciclaggio (Presso la Sede Fisica)

• Finalità: Eseguire le procedure tassative di identificazione della clientela, compilazione delle schede di compravendita, archiviazione delle riproduzioni fotografiche dei preziosi usati e segnalazione di eventuali operazioni sospette alle autorità finanziarie competenti (UIF – Unità di Informazione Finanziaria per l’Italia).

• Categorie di Dati: Dati anagrafici completi, copie fotostatiche o scansioni di documenti d’identità e codice fiscale, coordinate bancarie (IBAN), riproduzioni fotografiche digitali dei gioielli usati, dichiarazioni di legittima proprietà dei beni e questionari PEP.

• Base Giuridica: Adempimento di un obbligo legale al quale è soggetto il titolare del trattamento ai sensi dell’Articolo 6, paragrafo 1, lettera c) del GDPR, in combinato disposto con gli Articoli 4 e 5 del Decreto Legislativo 25 maggio 2017, n. 92 (Decreto Compro Oro) e con il Decreto Legislativo 21 novembre 2007, n. 231 (Testo Unico Antiriciclaggio). Il conferimento di questi dati è un requisito legale e obbligatorio; il rifiuto comporta l’impossibilità di eseguire la transazione commerciale.

5.5 Analisi Statistica e Marketing Comportamentale (Cookie di Terza Parte)

• Finalità: Monitorare le modalità di interazione dei visitatori sul sito, analizzare le performance delle campagne pubblicitarie attive (es. Google Ads, TikTok Ads) ed inviare annunci promozionali personalizzati basati sulle preferenze manifestate durante la navigazione.

• Categorie di Dati: ID univoci dei cookie di profilazione e di marketing (es. _ga, _gid, test_cookie, _gcl_au), dati di navigazione aggregati, tracciamento delle conversioni e interazioni con i widget.

• Base Giuridica: Il consenso espresso, libero ed inequivocabile dell’interessato ai sensi dell’Articolo 6, paragrafo 1, lettera a) del GDPR. Il consenso viene prestato cliccando sul pulsante “Accetta tutti” presente sul banner dei cookie ed è revocabile in ogni momento senza pregiudicare la liceità del trattamento precedente.

SEZIONE 6 – PERIODO DI CONSERVAZIONE DEI DATI PERSONALI (RETENTION POLICY)

In ossequio al principio di “limitazione della conservazione” stabilito dall’Articolo 5, paragrafo 1, lettera e) del GDPR, i dati personali sono archiviati esclusivamente per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti o in conformità ai termini perentori imposti dalle normative civilistiche, fiscali e penali della Repubblica Italiana.

La struttura dei tempi di conservazione applicata da Zani Oro S.R.L. è dettagliata nella seguente tabella tecnica:

Decorsi i termini sopra indicati, i dati che non siano soggetti a ulteriori obblighi di conservazione giudiziaria o amministrativa verranno definitivamente distrutti, cancellati in modo sicuro dai supporti magnetici o trasformati in forma completamente anonima in modo da impedire l’identificazione permanente dell’Interessato.

SEZIONE 7 – DESTINATARI DEI DATI PERSONALI E ACCORDI EX ARTICOLO 28 GDPR

I dati personali raccolti non sono mai oggetto di diffusione pubblica. Essi possono essere comunicati o resi accessibili esclusivamente a specifiche categorie di destinatari, nominati — laddove necessario — Responsabili del Trattamento ai sensi dell’Articolo 28 del GDPR, ovvero operanti in qualità di autonomi Titolari del trattamento.

7.1 Categorie di Destinatari Interni ed Esterni

1. Personale Autorizzato del Titolare: Dipendenti, collaboratori e amministratori di Zani Oro S.R.L. debitamente istruiti, vincolati alla riservatezza legale e operanti sotto la diretta autorità del Titolare sulla base del principio del “need-to-know”.

2. Consulenti Professionali Esterni: Studi di consulenza societaria, fiscale, giuslavoristica e studi di commercialisti incaricati della corretta tenuta dei registri contabili e dell’elaborazione delle fatturazioni relative alle transazioni Compro Oro.

3. Fornitori di Servizi Informatici e Tecnologici: Società esterne che gestiscono l’hosting dei server, lo sviluppo software del sito zanioro.it, la manutenzione dei database aziendali e la fornitura delle piattaforme CMP per la gestione dei cookie.

4. Autorità Giudiziarie e Forze dell’Ordine: In conformità agli obblighi di legge, i registri delle operazioni e le schede identificative corredate da fotografie dei preziosi devono essere messi a disposizione, su richiesta, degli uffici di Pubblica Sicurezza, della Questura, della Guardia di Finanza e degli ispettori del Ministero dell’Economia e delle Finanze.

7.2 Quadro Sistemico degli Accordi sul Trattamento dei Dati (Data Processing Addendum – DPA)

In base alle rilevazioni tecniche eseguite dall’algoritmo di scansione sul codice sorgente del sito, Zani Oro S.R.L. si avvale di infrastrutture di fornitori terzi con i quali sussistono accordi contrattuali stringenti ex Articolo 28 del GDPR. La ripartizione tecnica è la seguente:

• Google LLC: Fornitore dei servizi di analisi e profilazione pubblicitaria (Google Analytics, Analytics 4, Tag Manager, Google Ads). L’accordo DPA (Google Data Processing Terms) è formalizzato all’interno delle console di amministrazione dei singoli applicativi.

• Cloudflare Inc.: Responsabile della sicurezza perimetrale del server e della distribuzione dei contenuti (CDN). Il DPA è integrato nativamente all’interno delle condizioni generali di servizio (Customer DPA) accettate all’attivazione del DNS.

• Microsoft Corporation: Fornitore dello strumento di analisi del comportamento utente Microsoft Clarity. Il trattamento è blindato dalle condizioni stabilite nel Microsoft Products and Services DPA.

• TikTok, X Corp., Criteo SA: Fornitori dei pixel di tracciamento marketing rilevati nel DOM. Gli accordi di prelucrazione o di contitolarità per l’ottimizzazione pubblicitaria sono sottoscritti all’interno dei rispettivi pannelli Business.

SEZIONE 7.3 – RIPRODUZIONE INTEGRALE E VERBATIM DELL’ARTICOLO 28 DEL REGOLAMENTO (UE) 2016/679

In osservanza delle istruzioni imperative di completezza formale, si riporta integralmente, testualmente e cuvânt cu cuvânt (verbatim) l’Articolo 28 del GDPR, che disciplina gli obblighi contrattuali dei responsabili esterni:

Articolo 28. Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzatorici adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare del trattamento. In particolare, tale contratto o altro atto giuridico stipula che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, a meno che lo richieda il diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vietazione di tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenuto conto della natura del trattamento, coadiuvi il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) coadiuvi il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, condotti dal titolare del trattamento o da un altro revisore da questo incaricato.

 

Con riferimento alla lettera h) del primo sottoparagrafo, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni del diritto dell’Unione o degli Stati membri relative alla protezione dei dati.

 

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, i medesimi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento iniziale conserva nei confronti del titolare del trattamento la totale responsabilità dell’adempimento degli obblighi dell’altro responsabile.

    

5. L’adesione da parte di un responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la presenza di garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche quando fanno parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

    

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo, in conformità della procedura d’esame di cui all’articolo 93, paragrafo 2.

    

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo, in conformità del meccanismo di coerenza di cui all’articolo 63.

    

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è redatto in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in relazione a tale trattamento.

     

SEZIONE 8 – TRASFERIMENTI INTERNAZIONALI DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

8.1 Inquadramento Sistemico e Tracciamento di Rete

Nell’ambito dell’esercizio delle attività digitali connesse al Sito zanioro.it, l’algoritmo di scansione tecnica ha intercettato flussi di dati e script attivi che comportano il trasferimento, l’archiviazione o la consultazione di dati personali degli interessati al di fuori dello Spazio Economico Europeo (SEE), con particolare destinazione verso gli Stati Uniti d’America (USA).

Zani Oro S.R.L. esegue tali trasferimenti transfrontalieri esclusivamente in presenza di uno dei meccanismi di garanzia giuridica previsti dal Capo V del Regolamento (UE) 2016/679, assicurando che il livello di protezione delle persone fisiche garantito dal medesimo Regolamento non venga pregiudicato.

La ripartizione analitica dei meccanismi di trasferimento per ciascun fornitore tecnologico rilevato sul Sito è strutturata come segue:

1. Decisioni di Adeguatezza (Articolo 45 GDPR) – EU-US Data Privacy Framework (DPF): Il trasferimento di dati verso i seguenti fornitori situati negli Stati Uniti d’America avviene sulla base della decisione di adeguatezza adottata dalla Commissione Europea il 10 luglio 2023 (Decisione di esecuzione C(2023) 4745). Ciascuna di queste entità è iscritta e registrata nell’elenco ufficiale (Data Privacy Framework List) gestito dal Dipartimento del Commercio degli Stati Uniti, garantendo un livello di tutela equivalente a quello dell’Unione Europea:

   • Google LLC: (Servizi attivi: Google Analytics, Google Analytics 4, Google Tag Manager, Google Ads, DoubleClick, YouTube Embed Tracking, Google Fonts, analytics.js, stats.g.doubleclick.net).

   • Microsoft Corporation: (Servizi attivi: Microsoft Clarity, Microsoft Bing Ads UET).

   • Meta Platforms Ireland Limited / Meta Platforms Inc.: (Servizio attivo: widget telematico e script applicativo WP WhatsApp Chat - qlwapp).

2. Clausole Contrattuali Standard (Standard Contractual Clauses – SCC ex Articolo 46 GDPR): Per i fornitori terzi che operano in territori non coperti da una decisione di adeguatezza permanente, ovvero laddove i flussi tecnici richiedano una tutela contrattuale sussidiaria, Zani Oro S.R.L. ha sottoscritto le Clausole Contrattuali Standard adottate dalla Commissione Europea in conformità alla Decisione di esecuzione (UE) 2021/914. Tali accordi vincolano legalmente il ricevente straniero a mantenere standard di sicurezza e diritti azionabili per gli utenti:

   • Cloudflare Inc.: (Servizio di sicurezza perimetrale e mitigazione bot tramite il cookie cf_clearance).

   • X Corp. (Twitter): (Integrazione del codice di monitoraggio Twitter/X Pixel).

   • TikTok Information Technologies UK Limited / TikTok Inc.: (Integrazione dello script pubblicitario TikTok Pixel).

   • Criteo SA: (Gestione dei flussi pubblicitari all’interno dell’Unione Europea e trasferimenti sussidiari intra-gruppo).

   • Xandr Inc. (AppNexus) e TradingView: (Script commerciali e widget finanziari per la visualizzazione dei grafici delle quotazioni operanti nel codice sorgente).

8.2 Riproduzione Integrale e Verbatim dei Testi Normativi di Riferimento

Articolo 45 del Regolamento (UE) 2016/679 — Trasferimento sulla base di una decisione di adeguatezza

1. Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può aver luogo se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Articolo 46 del Regolamento (UE) 2016/679 — Trasferimento soggetto a garanzie adeguate

1. In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso efficaci.

2. Le garanzie adeguate di cui al paragrafo 1 possono essere costituite, senza necessità di autorizzazioni specifiche da parte di un’autorità di controllo, da:

a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità o organismi pubblici;

b) norme vincolanti d’impresa in conformità dell’articolo 47;

c) clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;

d) clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;

e) un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante e azionabile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o

f) un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante e azionabile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

SEZIONE 9 – DIRITTI DEGLI INTERESSATI AI SENSI OBLIGATORIO DEL REGOLAMENTO UE 2016/679 E DELLA LEGGE ITALIANA

Ciascuna persona fisica che rientri nelle categorie di interessati descritte nella Sezione 3 della presente informativa gode dell’esercizio pieno, incondizionato e gratuito dei diritti sanciti dagli Articoli da 15 a 22 del Regolamento (UE) 2016/679.

9.1 Elencazione Analitica dei Diritti Esercitabili

• Diritto di Accesso (Articolo 15 GDPR): L’interessato ha il diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e a tutte le informazioni relative alle finalità, categorie di dati, destinatari e tempi di conservazione.

• Diritto di Rettifica (Articolo 16 GDPR): L’interessato ha il diritto di ottenere dal Titolare, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano, nonché l’integrazione dei dati incompleti.

• Diritto alla Cancellazione / Diritto all’Oblio (Articolo 17 GDPR): L’interessato ha il diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, a condizione che sussista uno dei motivi previsti dalla legge (es. revoca del consenso, cessazione delle finalità) e fatto salvo l’obbligo di conservazione di 10 anni gravante su Zani Oro S.R.L. per i registri Compro Oro e Antiriciclaggio.

• Diritto di Limitazione del Trattamento (Articolo 18 GDPR): L’interessato ha il diritto di richiedere il blocco temporaneo del trattamento dei propri dati qualora ne contesti l’esattezza, qualora il trattamento sia illecito ma si opponga alla cancellazione, o laddove i dati siano necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla Portabilità dei Dati (Articolo 20 GDPR): L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti al Titolare, e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.

• Diritto di Opposizione (Articolo 21 GDPR): L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano basati sul legittimo interesse del Titolare, compresa la profilazione. Qualora i dati siano trattati per finalità di marketing diretto, il diritto di opposizione può essere esercitato in modo assoluto e porta alla cessazione immediata del trattamento.

• Diritto di Non Essere Sottoposto a Processi Decisionali Automatizzati (Articolo 22 GDPR): L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

9.2 Modalità Operative di Esercizio dei Diritti e Termini Tassativi di Risposta

Per l’esercizio di uno o più dei diritti sopra elencati, l’Interessato deve trasmettere un’istanza formale, senza formalità di rito, direttamente al Titolare del trattamento dei dati ed al Responsabile della Protezione dei Dati (DPO) utilizzando i seguenti canali interni di comunicazione aziendale:

• Indirizzo di Posta Elettronica Ordinaria: [email protected]

• Indirizzo Postale di Sede: Via Ernesto Arduini n. 1, C.A.P. 42025, Cavriago (Reggio Emilia), Italia

In conformità al combinato disposto degli Articoli 12(3) del GDPR e delle disposizioni di coordinamento del Codice della Privacy italiano, il Titolare fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro trenta (30) giorni dal ricevimento della richiesta stessa.

Tale termine può essere prorogato di ulteriori sessanta (60) giorni se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

9.3 Riproduzione Integrale e Verbatim dell’Articolo 15 del Regolamento (UE) 2016/679

Articolo 15. Diritto di accesso dell’interessato

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

    

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dell’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

    

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

SEZIONE 10 – SICUREZZA DEI DATI PERSONALI, ANALISI DELLE VULNERABILITÀ DELL’INFRASTRUTTURA E GESTIONE DEI DATA BREACH (ARTICOLO 32 GDPR)

10.1 Impegno Generale e Misure Organizzative Adottate

In conformità al principio di “integrità e riservatezza” stabilito dall’Articolo 5, paragrafo 1, lettera f) del GDPR, ed in adempimento ai precetti dell’Articolo 32 del medesimo Regolamento, Zani Oro S.R.L. implementa idonee misure tecniche e organizzative volte a garantire un livello di sicurezza dei dati personali adeguato al rischio potenziale della prelucrazione. Tali misure sono finalizzate alla protezione dei dati da distruzione accidentale o illecita, perdita, alterazione, divulgazione o accesso non autorizzato.

L’impianto delle misure organizzative della nostra società si articola sui seguenti pilastri strutturali:

• Minimizzazione dei Dati e Segregazione degli Accessi: L’accesso ai dati anagrafici, finanziari e documentali dei Clienti Venditori è strettamente limitato sulla base del principio del “need-to-know”. Solo il personale espressamente autorizzato e istruito può accedere ai registri fisici e informatici delle transazioni Compro Oro.

• Formazione Permanente del Personale: I dipendenti e i collaboratori interni della sede di Cavriago sono sottoposti a sessioni periodiche di aggiornamento in materia di sicurezza delle informazioni, corretto utilizzo dei supporti digitali e adempimenti antiriciclaggio.

• Verifica dell’Integrità dei Fornitori: Ciascun responsabile esterno del trattamento (Articolo 28 GDPR) viene selezionato solo previa dimostrazione del possesso di adeguate certificazioni di sicurezza e garanzie tecniche ed organizzative.

10.2 Relazione Obbligatoria di Non Conformità Tecnica e Sicurezza del Server

⚠️ RELAZIONE CRITICA DI CONFORMITÀ TECNICA (ARTICOLO 32 GDPR – RISCHIO RETE)

Ai sensi del principio di trasparenza e responsabilizzazione (Accountability), si dà atto che la scansione tecnica del sistema informatico ed i controlli di sicurezza automatizzati eseguiti sul dominio zanioro.it in data 04 giugno 2026 au evidenziato la persistenza di 6 vulnerabilità attive a livello di architettura del server.

Tali falle informatiche determinano una parziale non conformità logica rispetto agli standard di sicurezza del trattamento ex Articolo 32 del GDPR e richiedono una tempestiva attività di patching e hardening da parte del team di sviluppo tecnologico della ditta:

Fino al completo rilascio delle patch correttive da parte dei tecnici incaricati, l’Utente che naviga sul Sito o invia dati personali tramite i moduli telematici prende espressamente atto dei sopra menzionati rischi tecnici intrinseci alla rete Internet.

10.3 Procedura di Gestione delle Violazioni dei Dati Personali (Data Breach)

Nell’ipotesi in cui si verifichi un incidente di sicurezza (fisico o logico) che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso accidentale o illegale ai dati personali conservati o trattati (Data Breach), Zani Oro S.R.L. si obbliga ad attivare la procedura interna di contenimento nel rispetto dei termini previsti dagli Articoli 33 e 34 del GDPR:

1. Notifica all’Autorità di Controllo (Articolo 33): Il Titolare provvederà a notificare la violazione al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

2. Comunicazione all’Interessato (Articolo 34): Qualora la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunicherà la violazione all’interessato senza ingiustificato ritardo, utilizzando un linguaggio chiaro e semplice, descrivendo la natura della violazione e le misure raccomandate per attenuare i potenziali effetti negativi.

10.4 Riproduzione Integrale e Verbatim dell’Articolo 32 del Regolamento (UE) 2016/679

Articolo 32. Sicurezza del trattamento

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendano, tra l’altro, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come element per dimostrare l’adempimento degli obblighi di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

SEZIONE 11 – STRUMENTI DI TRACCIAMENTO (COOKIE), INTERAZIONE CON APPLICATIVI ESTERNI E OBBLIGHI SUI SISTEMI DI INTELLIGENZA ARTIFICIALE (AI ACT)

11.1 Rinvio alla Regolamentazione dei Cookie

Il Sito utilizza moduli cookie e altri identificatori tecnici per finalità di ottimizzazione dell’esperienza utente, tracciamento delle performance e campagne pubblicitarie basate sul comportamento di navigazione. Per la consultazione analitica dei singoli tracciatori identificati (unici 14 moduli attivi, ripartiti tra Google Analytics, Cloudflare, DoubleClick e Popup Maker), delle rispettive scadenze temporali e per l’esercizio del diritto di selezione granulare del consenso, si rinvia l’Utente alla Informativa Estesa sull’uso dei Cookie e degli Strumenti di Tracciamento pubblicata stabilmente nell’apposita sezione del portale.

11.2 Inquadramento Giuridico del Widget WhatsApp Business (Contitolarità ex Articolo 26 GDPR)

La piattaforma include un widget grafico interattivo di reindirizzamento che permette il contatto diretto con l’azienda tramite l’applicativo WhatsApp Business, gestito da Meta Platforms Ireland Limited.

• Regime di Contitolarità: In stretta aderenza alla sentenza emessa dalla Corte di Giustizia dell’Unione Europea (CGUE) nel caso C-210/16 (Fashion ID, 2019) e conformemente all’Articolo 26 del GDPR, Zani Oro S.R.L. e Meta Platforms Ireland Limited operano in qualità di Contitolari del Trattamento esclusivamente per la fase tecnica iniziale che comprende la raccolta dei dati personali del visitatore tramite il plug-in (quali l’indirizzo IP e i metadati di navigazione) e la loro contestuale trasmissione verso i server di Meta.

• Esclusione di Responsabilità: Una volta eseguito il click sul widget ed effettuato il reindirizzamento all’interno dell’applicazione proprietaria WhatsApp, il trattamento dei dati personali (inclusi i testi delle chat, i numeri telefonici e i media scambiati) ricade sotto l’esclusiva ed autonoma responsabilità di Meta Platforms Inc. (iscritta al regime EU-US Data Privacy Framework). L’utente è invitato a consultare la policy ufficiale del fornitore ([https://www.whatsapp.com/legal/privacy-policy](https://www.whatsapp.com/legal/privacy-policy)). È fatto espresso divieto all’Utente di trasmettere dati sensibili o particolari (dati medici, orientamenti politici, credenziali bancarie) attraverso il canale WhatsApp.

11.3 Trasparenza sui Sistemi di Intelligenza Artificiale (Regolamento UE 2024/1689 – AI Act)

In conformità alle disposizioni del Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, stabilente regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale / AI Act), applicabile progressivamente sul territorio dell’Unione Europea, Zani Oro S.R.L. adempie ai seguenti obblighi di trasparenza:

1. Obbligo di Informazione (Articolo 50 AI Act): Qualora la Piattaforma implementi, in modo permanente o temporaneo, sistemi di intelligenza artificiale, assistenti virtuali automatici (Chatbot generativi) o algoritmi di ottimizzazione dinamica dei contenuti volti a interagire direttamente con le persone fisiche, gli utenti saranno informati in modo chiaro e tempestivo del fatto che stanno interagendo con un sistema informatico automatizzato e non con un operatore umano.

2. Diritti Specifici dell’Utente: In presenza di interazioni stimate da sistemi IA, l’Interessato vanta il diritto di richiedere in qualsiasi momento l’intervento umano correttivo da parte del personale di Zani Oro S.R.L., il diritto di esprimere il proprio punto di vista e il diritto di ottenere una spiegazione esaustiva della logica algoritmica applicata dal sistema (in combinato disposto con l’Articolo 22 del GDPR).

SEZIONE 12 – MODIFICHE, AGGIORNAMENTI E REVISIONE DELLA PRESENTE INFORMATIVA SULLA PRIVACY

Zani Oro S.R.L. si riserva il diritto insindacabile di modificare, variare, integrare o aggiornare la presente Informativa sulla Privacy, in tutto o in parte, a propria discrezione e in qualunque momento, in conseguenza di:

• Mutamenti della legislazione nazionale o europea in materia di protezione dei dati personali (incluso il recepimento di nuovi decreti governativi italiani o provvedimenti prescrittivi del Garante della Privacy).

• Evoluzioni tecniche e sistemistiche del portale zanioro.it (quali l’integrazione di nuovi plugin di e-commerce, variazioni nei servizi terzi o nei tracciatori pubblicitari attivi).

• Ampliamenti o modifiche strutturali nelle procedure fisiche di identificazione e antiriciclaggio applicate presso la sede commerciale di Cavriago.

La data dell’ultima revisione ufficiale è tracciata in modo permanente nell’intestazione del documento. Ciascuna versione modificata spiegherà i propri effetti legali a far data dal momento esatto della sua pubblicazione online sul Sito.

Qualora le variazioni apportate incidano in modo sostanziale sulla natura dei trattamenti ovvero limitino i diritti degli utenti, Zani Oro S.R.L. provvederà a darne idonea e visibile comunicazione agli interessati (ad esempio tramite la visualizzazione di un avviso grafico pop-up sulla home page o l’invio di una comunicazione email diretta, laddove l’indirizzo sia registrato nei sistemi interni). L’Utente è invitato a consultare periodicamente questa pagina per verificare lo stato di aggiornamento della policy.

SEZIONE 13 – CONTATTI, RECLAMI E MODALITÀ DI RICORSO FORMALE DINANZI AL GARANTE PRIVACY

13.1 Punto di Contatto Diretto per l’Esercizio dei Diritti

Per l’esercizio dei diritti previsti dagli articoli 15-22 del GDPR, ovvero per richiedere delucidazioni sulla gestione dei flussi di dati digitali e fisici, l’Interessato può rivolgersi in ogni momento e senza particolari formalità al Titolare del Trattamento e al Responsabile della Protezione dei Dati (DPO). I canali di comunicazione ufficiali stabiliti presso la sede di Cavriago sono i seguenti:

• Posta Elettronica Ordinaria (Email): [email protected]

• Posta Cartacea Raccomandata: Zani Oro S.R.L., Via Ernesto Arduini n. 1, C.A.P. 42025, Cavriago (Reggio Emilia), Italia

Al fine di elaborare tempestivamente la richiesta, si invita l’Interessato a specificare nell’oggetto della comunicazione la dicitura “Richiesta Privacy – Esercizio Diritti GDPR” indicando espressamente quale diritto intende azionare.

13.2 Diritto di Proporre Reclamo all’Autorità di Controllo Nazionale (Italia)

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’Interessato che ritenga che il trattamento dei dati personali che lo riguardano — eseguito tramite la navigazione sul portale o la stipula dei contratti Compro Oro — avvenga in violazione delle disposizioni del Regolamento (UE) 2016/679 o del Codice della Privacy italiano, ha il diritto insindacabile di proporre un reclamo formale all’Autorità di controllo dello Stato membro in cui risiede abitualmente, lavora oppure del luogo in cui si è verificata la presunta violazione.

Per la Repubblica Italiana, l’autorità designata è il Garante per la protezione dei dati personali. Le modalità operative per l’invio del ricorso o del reclamo sono disponibili sul portale istituzionale dell’ente e si riassumono come segue:

• Sito Web Ufficiale: [https://www.garanteprivacy.it](https://www.garanteprivacy.it)

• Indirizzo Postale: Piazza Venezia n. 11, C.A.P. 00187, Roma, Italia

• Casella di Posta Elettronica Certificata (PEC): [email protected]

• Email Istituzionale Ordinaria: [email protected]

SEZIONE 14 – ALLEGATI NORMATIVI INTEGRALI E VERBATIM (DISPOSIZIONI EUROPEE E NAZIONALI ITALIANE)

In ottemperanza all’obbligo assoluto di completezza documentale ed esclusione dell’economia di text, si riportano di seguito in modo testuale, fedele e cuvânt cu cuvânt (verbatim) gli articoli di legge che governano il diritto di reclamo e le procedure di tutela giurisdizionale operanti sul territorio italiano ed europeo.

14.1 Articolo 77 del Regolamento (UE) 2016/679 — Diritto di proporre reclamo all’autorità di controllo

Articolo 77. Diritto di proporre reclamo all’autorità di controllo

1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo in cui si è verificata la presunta violazione.

2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78.

14.2 Articolo 78 del Regolamento (UE) 2016/679 — Diritto a un ricorso giurisdizionale efficace contro un’autorità di controllo

Articolo 78. Diritto a un ricorso giurisdizionale efficace contro un’autorità di controllo

1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascuna persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale efficace avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale efficace qualora l’autorità di controllo competente ai sensi degli articoli 55 e 56 non esamini un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.

3. Le azioni avverso un’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo ha sede.

4. Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione al giudice.

14.3 Articolo 141 del Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali italiano)

Art. 141. Forms di tutela (Forme di tutela dell’interessato)

1. L’interessato può rivolgersi al Garante per la protezione dei dati personali mediante reclamo ai sensi dell’articolo 77 del Regolamento, ovvero mediante segnalazione qualora non sia possibile procedere tramite reclamo formale ed intenda sollecitare una verifica dell’autorità sull’operato del titolare.

2. Il reclamo al Garante è presentato mediante atto sottoscritto dall’interessato o da un suo rappresentante legale, contenente l’indicazione precisa dei fatti e delle circostanze su cui si fonda, delle disposizioni che si assumono violate e dei dati identificativi del titolare e del responsabile del trattamento, ove conosciuto.

3. Il procedimento dinanzi all’Autorità si conclude entro i termini perentori stabiliti dal regolamento interno di organizzazione e funzionamento del Garante, pubblicati nella Gazzetta Ufficiale della Repubblica Italiana.