1. Chi siamo
All Access World ("noi") gestisce il marketplace su allaccessworld.store. Siamo un marketplace online per prodotti di tecnologia assistiva, creato da e per persone con disabilità. Siamo il titolare del trattamento responsabile delle Sue informazioni personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e della normativa applicabile in materia di protezione dei dati. Per qualsiasi richiesta relativa alla privacy, ci contatti all'indirizzo hello@accessaro.com.
2. Dati che raccogliamo
Raccogliamo le seguenti categorie di dati personali:
- Informazioni sull'account: Nome, indirizzo email, numero di telefono e foto del profilo.
- Indirizzi di spedizione: Via, città, Paese e codice postale.
- Dati degli ordini: Articoli acquistati, stato dell'ordine, corriere e dettagli di tracciamento.
- Dati di pagamento: Elaborati in modo sicuro da Stripe. Non memorizziamo i numeri di carte di credito o debito sui nostri server.
- Comunicazioni: Ticket di assistenza, feedback della community e recensioni dei prodotti (inclusi titolo, contenuto, valutazioni e stato di acquisto verificato).
- Dati tecnici: Indirizzo IP (anonimizzato per le analisi), tipo di browser e informazioni sul dispositivo.
- Dati di utilizzo: Pagine visitate e funzionalità utilizzate, raccolti tramite cookie analitici solo con il tuo consenso.
- Preferenze di accessibilità: Il profilo di accessibilità scelto, la modalità di contrasto, la scala del testo, la preferenza per il font per dislessia e le impostazioni di timeout degli annunci. Questi vengono memorizzati localmente sul dispositivo e, se ha effettuato l'accesso, sincronizzati con il tuo account.
- Dati del Programma Ambassador: Codici di invito, storico degli inviti, stato del livello e saldo dei crediti se partecipa al nostro Programma Ambassador.
Dati specifici dei venditori: Se si registra come venditore, raccogliamo inoltre il nome dell'azienda, l'URL del sito web, le informazioni aziendali e i dati del metodo di pagamento.
3. Come utilizziamo i tuoi dati
Trattiamo i tuoi dati personali per le seguenti finalità e sulle seguenti basi giuridiche:
- Esecuzione contrattuale (Articolo 6(1)(b) GDPR): Elaborazione ed evasione degli ordini, gestione dell'account, assistenza clienti e gestione del Programma Ambassador.
- Interessi legittimi (Articolo 6(1)(f) GDPR): Prevenzione e individuazione delle frodi, monitoraggio della sicurezza, miglioramento della piattaforma, moderazione delle recensioni e comunicazioni di recupero del carrello abbandonato.
- Consenso (Articolo 6(1)(a) GDPR): Comunicazioni di marketing, cookie analitici e raccomandazioni di prodotti basate sull'IA.
- Obbligo legale (Articolo 6(1)(c) GDPR): Tenuta dei registri fiscali, conformità normativa e risposta a richieste legittime delle autorità.
4. Elaborazione dei pagamenti
Utilizziamo i seguenti metodi e processori di pagamento:
- Stripe: Il nostro processore di pagamento principale, conforme PCI DSS Livello 1. Stripe elabora tutte le transazioni con carte di credito e debito (Visa, Mastercard, American Express). I dati della carta sono gestiti interamente da Stripe e non transitano mai sui nostri server. Stripe utilizza la crittografia SSL a 256 bit e supporta il 3D Secure (autenticazione forte del cliente) per una sicurezza aggiuntiva.
- PayPal: Stiamo integrando PayPal come metodo di pagamento aggiuntivo.
- Bonifico bancario: Stiamo integrando i pagamenti tramite bonifico bancario.
- Assicurazione e finanziamento tramite sovvenzione: Se il tuo acquisto è finanziato attraverso un regime assicurativo per disabilità o un programma di sovvenzione, è possibile selezionare questa opzione al checkout. Forniremo la documentazione e la fatturazione necessarie a supporto della tua richiesta. Non elaboriamo pagamenti con carta per questi ordini fino alla conferma delle modalità alternative.
Quando effettua un pagamento, Stripe riceve i dati della Sua carta, l'indirizzo di fatturazione e l'importo della transazione. Noi riceviamo solo una conferma di pagamento e un riferimento della transazione. Non abbiamo mai accesso al numero completo della Sua carta.
5. Elaborazione e evasione degli ordini
Quando effettua un ordine, lo elaboriamo attraverso le seguenti fasi:
- Verifica del pagamento: Il pagamento viene verificato tramite Stripe prima della conferma dell'ordine.
- Conferma dell'ordine: Una volta confermato il pagamento, lo stato dell'ordine passa a confermato e riceverà un'email di conferma.
- Spedizione: Utilizziamo DHL Express per le consegne in Europa e nel mondo, e Aramex per le consegne nella regione del Medio Oriente e Nord Africa (MENA). Condividiamo il tuo nome e indirizzo di spedizione con il corriere pertinente per evadere l'ordine.
- Tracciamento: Quando l'ordine viene spedito, riceverà un'email di notifica contenente il nome del corriere, il numero di tracciamento e un link per seguire la consegna.
I registri degli ordini includono nome, email, indirizzo di spedizione, articoli acquistati, stato del pagamento e dettagli di spedizione. Questi registri vengono conservati per 7 anni per finalità di conformità fiscale e legale.
6. Comunicazioni via email
Inviamo le seguenti categorie di comunicazioni via email:
Email transazionali (inviate automaticamente in base alle Sue azioni):
- Conferma dell'ordine: Inviata quando il pagamento viene elaborato con successo.
- Aggiornamenti sullo stato dell'ordine: Inviati quando l'ordine passa a in lavorazione, spedito, consegnato, completato, annullato o rimborsato.
- Notifica di spedizione: Inviata quando l'ordine viene spedito, con il nome del corriere, il numero di tracciamento e il link di tracciamento.
- Notifica di errore nel pagamento: Inviata in caso di pagamento non riuscito, con il motivo e un link per riprovare.
- Conferma del ticket di assistenza: Inviata quando crea un ticket di assistenza.
- Risposta al ticket di assistenza: Inviata quando il nostro team di assistenza risponde al Suo ticket.
- Email di benvenuto: Inviata quando crea un nuovo account.
Email per i venditori:
- Domanda del venditore ricevuta: Inviata quando un venditore presenta una domanda di registrazione.
- Esito della domanda del venditore: Inviata quando una domanda viene approvata o rifiutata.
Email di marketing (inviate solo con il tuo consenso):
- Promemoria carrello abbandonato: Se aggiunge articoli al carrello senza completare l'acquisto, potremmo inviarti un promemoria dopo 1 ora e un secondo promemoria dopo 24 ore. Queste email vengono inviate solo se ha dato il consenso alle email promozionali.
Tutte le nostre email sono disponibili in inglese, arabo, italiano e tedesco, in base alla preferenza linguistica impostata nel profilo. È possibile gestire le preferenze email dalle impostazioni di notifica dell'account. Può annullare l'iscrizione alle email di marketing in qualsiasi momento cliccando il link di annullamento incluso in fondo a ogni email di marketing che inviamo. Le email transazionali relative agli ordini e alla sicurezza dell'account non possono essere disattivate, in quanto necessarie per l'esecuzione del nostro contratto con Lei.
7. Recensioni dei prodotti
La nostra piattaforma consente ai clienti di lasciare recensioni sui prodotti. I seguenti dati vengono raccolti e visualizzati nell'ambito del processo di recensione:
- Valutazione complessiva: Una valutazione con stelle da 1 a 5.
- Valutazione dell'accessibilità: Una valutazione con stelle separata da 1 a 5, specifica per l'accessibilità del prodotto.
- Contenuto della recensione: Un titolo e una recensione scritta.
- Profilo di disabilità del recensore: Può facoltativamente associare il tuo profilo di accessibilità alla recensione. Questa opzione è interamente volontaria e ha lo scopo di aiutare altri clienti a comprendere la prospettiva del recensore.
- Stato di acquisto verificato: Se hai acquistato il prodotto tramite la nostra piattaforma, la recensione mostrerà un badge di acquisto verificato.
Tutte le recensioni vengono moderate prima della pubblicazione. Le recensioni possono essere approvate, rifiutate o contrassegnate per ulteriore revisione. Moderiamo le recensioni per garantire che siano autentiche, pertinenti e non contengano contenuti dannosi o fuorvianti.
8. Programma Ambassador
Se partecipa al nostro Programma Ambassador, raccogliamo e trattiamo i seguenti dati per gestire il sistema di premi per gli inviti:
- Codice di invito: Un codice univoco assegnato al tuo account.
- Storico degli inviti: Un registro degli utenti invitati, inclusi i timestamp.
- Stato del livello: Il tuo livello attuale (Bronze, Silver o Gold), determinato dal numero di inviti riusciti.
- Saldo crediti: Il credito monetario guadagnato tramite gli inviti, applicabile ad acquisti futuri.
Questi dati vengono trattati sulla base dell'esecuzione contrattuale, poiché la partecipazione al Programma Ambassador costituisce un accordo tra Lei e All Access World. I dati relativi agli inviti vengono conservati finché il tuo account è attivo e rimane iscritto al programma.
9. Funzionalità basate sull'IA
La nostra piattaforma include un assistente per la raccomandazione di prodotti basato sull'intelligenza artificiale. Questa funzionalità opera come segue:
- Come funziona: L'assistente utilizza il pattern matching per comprendere le richieste e suggerire prodotti pertinenti dal nostro catalogo. Per richieste più complesse, potrebbe utilizzare un modello linguistico di grandi dimensioni per fornire una risposta più dettagliata.
- Memoria della conversazione: L'assistente conserva una finestra scorrevole dei messaggi più recenti all'interno di una singola sessione per mantenere il contesto conversazionale. Questi dati non vengono conservati al termine della sessione.
- Nessuna consulenza medica: L'assistente è progettato per aiutare a trovare prodotti. Non fornisce consulenza medica, diagnosi o raccomandazioni terapeutiche. Sono presenti meccanismi di protezione per impedire all'assistente di rispondere a richieste mediche.
- Basato sul consenso: L'utilizzo dell'assistente IA è interamente facoltativo e viene avviato esclusivamente dall'utente.
Le raccomandazioni basate sull'IA vengono elaborate sulla base del Suo consenso. Può scegliere di non utilizzare l'assistente in qualsiasi momento e nessun dato di conversazione viene conservato oltre la sessione attiva.
10. Cookie
Utilizziamo le seguenti categorie di cookie:
Cookie essenziali (sempre attivi):
| Cookie | Finalità |
|---|
| Sessione di autenticazione | Mantiene l'accesso al tuo account |
| Token CSRF | Protegge dagli attacchi cross-site request forgery |
| Preferenza linguistica | Ricorda la lingua selezionata |
| Consenso cookie | Registra la tua scelta sulle preferenze dei cookie |
| Token checkout ospite | Collega gli ordini come ospite alla Sua sessione (scadenza 30 giorni) |
Cookie analitici (consenso richiesto):
| Cookie | Finalità |
|---|
| Google Analytics (_ga, _gid) | Misura l'utilizzo del sito web con anonimizzazione dell'IP abilitata |
È possibile gestire le preferenze sui cookie in qualsiasi momento tramite il banner di consenso dei cookie o cancellando i cookie del browser. Se rifiuta i cookie analitici, Google Analytics non verrà caricato sulla pagina.
11. Dati di categoria particolare (Articolo 9 GDPR)
In qualità di marketplace per la tecnologia assistiva, alcuni dati che trattiamo possono rivelare indirettamente informazioni su una disabilità o una condizione di salute. Ai sensi dell'Articolo 9 del GDPR, questi costituiscono dati di categoria particolare e richiedono garanzie aggiuntive.
Le categorie di dati che possono rivelare uno stato di disabilità includono:
- Cronologia di navigazione e acquisti: Le categorie di prodotti visualizzati o acquistati (come ausili per la mobilità, dispositivi per la vista, apparecchi acustici o strumenti di supporto cognitivo) possono indicare una disabilità.
- Selezione del profilo di accessibilità: La scelta di un profilo di accessibilità specifico (ad esempio, un profilo ottimizzato per ipovisione o accessibilità cognitiva) può indicare una disabilità o condizione.
- Profilo di disabilità del recensore: Se associa volontariamente un profilo di disabilità a una recensione di prodotto.
Base giuridica: Trattiamo questi dati sulla base dell'interesse legittimo (Articolo 6(1)(f) GDPR), integrato dalle seguenti garanzie per proteggere i tuoi diritti e libertà:
- Non utilizziamo i dati relativi alla disabilità per pubblicità, profilazione o marketing mirato.
- Le preferenze di accessibilità vengono memorizzate localmente sul dispositivo per impostazione predefinita. Vengono sincronizzate con il tuo account solo se ha effettuato l'accesso, e può reimpostarle in qualsiasi momento.
- L'associazione di un profilo di disabilità a una recensione di prodotto è interamente volontaria.
- Applichiamo un sistema di classificazione dei dati a quattro livelli per garantire che i campi sensibili ricevano controlli di accesso e mascheramento appropriati.
- Non vendiamo, noleggiamo né condividiamo dati di categoria particolare con terze parti per i loro scopi.
12. Servizi di terze parti
Condividiamo dati personali con le seguenti categorie di fornitori di servizi terzi, esclusivamente nella misura necessaria per le finalità descritte:
- Supabase: Hosting del database e autenticazione degli utenti. I dati sono conservati su server nelle regioni UE e USA.
- Stripe: Elaborazione dei pagamenti per tutte le transazioni con carte di credito e debito. Stripe è conforme PCI DSS Livello 1, il massimo livello di certificazione nel settore delle carte di pagamento.
- Cloudflare: Hosting dell'applicazione, distribuzione dei contenuti e protezione DDoS tramite una rete edge globale.
- Sentry: Monitoraggio degli errori e tracciamento delle prestazioni. La rimozione delle informazioni personali identificabili (PII) è abilitata per impedire che i dati personali vengano acquisiti nei report degli errori.
- Google Analytics: Analisi del sito web per comprendere i modelli di utilizzo. L'anonimizzazione dell'IP è abilitata e i dati vengono raccolti solo con il tuo esplicito consenso tramite il nostro banner dei cookie.
- DHL Express: Corriere internazionale per le consegne in Europa e nel mondo. Condividiamo il tuo nome e indirizzo di spedizione con DHL per evadere il tuo ordine.
- Aramex: Corriere regionale per le consegne in Medio Oriente e Nord Africa (MENA). Condividiamo il tuo nome e indirizzo di spedizione con Aramex per evadere il tuo ordine.
Non vendiamo i tuoi dati personali a terze parti. Ogni fornitore di servizi tratta i tuoi dati esclusivamente per la finalità specifica sopra descritta e in conformità alle proprie informative sulla privacy e ai nostri accordi per il trattamento dei dati.
13. Prevenzione delle frodi
Adottiamo le seguenti misure per individuare e prevenire le transazioni fraudolente:
- Stripe Radar: Tutti i pagamenti con carta vengono automaticamente analizzati da Stripe Radar, che utilizza il machine learning per individuare e bloccare le transazioni fraudolente.
- 3D Secure e autenticazione forte del cliente (SCA): Stripe attiva automaticamente la verifica 3D Secure quando necessario, aggiungendo un ulteriore livello di autenticazione per i pagamenti con carta in conformità alla Direttiva sui servizi di pagamento 2 (PSD2).
- Limitazione delle richieste: Il nostro endpoint di checkout è soggetto a limitazione delle richieste per prevenire abusi. Le richieste eccessive da un singolo indirizzo IP vengono temporaneamente bloccate.
- Riconciliazione dei pagamenti: Eseguiamo un processo di riconciliazione ogni ora per confrontare i registri dei pagamenti Stripe con il nostro database degli ordini, garantendo che tutte le transazioni siano contabilizzate.
- Protezione di idempotenza: Le richieste di pagamento duplicate vengono rilevate e prevenute per garantire che non venga mai addebitato due volte per lo stesso ordine.
La prevenzione delle frodi viene effettuata sulla base del nostro legittimo interesse a proteggere i nostri clienti e la nostra attività da reati finanziari.
14. Conservazione dei dati
Conserviamo i dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti. I periodi di conservazione specifici sono i seguenti:
- Dati dell'account: Conservati finché l'account è attivo. Cancellati alla cancellazione dell'account, salvo ove la conservazione sia richiesta dalla legge.
- Registri degli ordini: Conservati per 7 anni dalla data della transazione per adempiere agli obblighi fiscali e legali di tenuta dei registri.
- Ticket di assistenza: Conservati per 3 anni dopo la risoluzione del ticket.
- Log di audit di sicurezza: Conservati per 2 anni.
- Dati analitici: Anonimizzati e aggregati dopo 26 mesi. I dati analitici a livello individuale non vengono conservati oltre questo periodo.
- Preferenze email di marketing: Se annulla l'iscrizione alle email di marketing cliccando il link di annullamento in qualsiasi email di marketing che inviamo, cesseremo immediatamente l'invio di comunicazioni di marketing. Conserveremo un registro della Sua preferenza di annullamento per garantire il rispetto della tua richiesta e non inviarti ulteriori email di marketing.
- Dati del Programma Ambassador: Conservati finché l'account è attivo e rimane iscritto al programma. In caso di ritiro o cancellazione dell'account, i dati relativi agli inviti vengono anonimizzati.
15. I tuoi diritti
Ai sensi del GDPR e della normativa applicabile in materia di protezione dei dati, dispone dei seguenti diritti:
- Diritto di accesso (Articolo 15): Richiedere una copia dei dati personali che deteniamo su di Lei.
- Diritto di rettifica (Articolo 16): Correggere dati personali inesatti o incompleti tramite le impostazioni del profilo o contattandoci.
- Diritto alla cancellazione (Articolo 17): Richiedere la cancellazione definitiva del tuo account e dei tuoi dati personali, nel rispetto degli obblighi legali di conservazione.
- Diritto alla portabilità dei dati (Articolo 20): Esportare i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON).
- Diritto di limitazione del trattamento (Articolo 18): Richiedere la limitazione del trattamento dei tuoi dati personali in determinate circostanze.
- Diritto di opposizione (Articolo 21): Opporsi al trattamento dei tuoi dati personali quando ci basiamo su interessi legittimi come base giuridica.
- Diritto di revoca del consenso (Articolo 7(3)): Revocare il tuo consenso in qualsiasi momento quando il trattamento è basato sul consenso (ad esempio, cookie analitici o email di marketing).
Può esercitare i diritti di esportazione dei dati e cancellazione dell'account direttamente dalla pagina Impostazioni account . Per tutte le altre richieste degli interessati, ci contatti all'indirizzo hello@accessaro.com. Risponderemo a tutte le richieste entro 30 giorni, come previsto dal GDPR.
16. Sicurezza dei dati
Implementiamo misure di sicurezza complete per proteggere i tuoi dati personali, tra cui:
- Crittografia in transito: Tutti i dati trasmessi tra il tuo browser e i nostri server sono crittografati tramite HTTPS con TLS.
- Content Security Policy: Implementiamo CSP Livello 3 con direttive strict-dynamic basate su nonce per prevenire attacchi cross-site scripting (XSS).
- Protezione CSRF: Tutte le richieste che modificano lo stato sono protette da token cross-site request forgery basati su HMAC.
- Limitazione delle richieste: Gli endpoint API sono soggetti a limitazione delle richieste per prevenire abusi e attacchi denial-of-service.
- Sanitizzazione degli input: Tutti gli input degli utenti vengono validati e sanitizzati per prevenire attacchi di injection.
- Crittografia a livello di campo: I campi sensibili dei dati dei venditori sono crittografati a riposo utilizzando la crittografia AES-256-GCM.
- Autenticazione a più fattori: Gli account amministrativi richiedono l'autenticazione a più fattori, con ri-verifica necessaria per le operazioni ad alto rischio.
- Gestione delle sessioni: Le sessioni amministrative prevedono timeout di inattività, timeout assoluti e limiti di sessioni simultanee.
- Conformità PCI: I dati delle carte di pagamento sono elaborati interamente da Stripe e non transitano mai sui nostri server.
17. Trasferimenti internazionali
I tuoi dati personali potrebbero essere elaborati in Paesi al di fuori della Sua giurisdizione, inclusi gli Stati Uniti, dove hanno sede alcuni dei nostri fornitori di servizi. Garantiamo che siano predisposte garanzie appropriate per tutti i trasferimenti internazionali, incluse le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e le decisioni di adeguatezza ove applicabili. I nostri fornitori di hosting e infrastruttura (Cloudflare, Supabase) mantengono la conformità ai requisiti del GDPR per i trasferimenti internazionali.
18. Privacy dei minori
Il nostro servizio non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente dati personali da minori di 16 anni. Se ritiene che un minore di 16 anni ci abbia fornito dati personali, ci contatti all'indirizzo hello@accessaro.com e provvederemo tempestivamente alla cancellazione delle informazioni.
19. Acquisto come ospite
È possibile acquistare prodotti senza creare un account utilizzando l'opzione di checkout come ospite. Quando effettua il checkout come ospite, si applicano le seguenti condizioni:
- Indirizzo email: Necessario per inviarti email di conferma dell'ordine e aggiornamenti sullo stato.
- Indirizzo di spedizione: Necessario per l'evasione dell'ordine. Per gli utenti ospiti, gli indirizzi di spedizione vengono memorizzati localmente sul dispositivo tramite il localStorage del browser, non sui nostri server.
- Token di sessione ospite: Un token di sessione univoco viene memorizzato come cookie HttpOnly sul tuo dispositivo per 30 giorni. Questo token consente di associare l'ordine alla Sua sessione del browser per visualizzare lo stato dell'ordine.
I dati del checkout come ospite vengono trattati sulla base dell'esecuzione contrattuale. Se successivamente crea un account, gli ordini come ospite non vengono automaticamente collegati al nuovo account.
20. Modifiche alla presente informativa
Potremmo aggiornare periodicamente la presente informativa sulla privacy per riflettere modifiche nelle nostre pratiche, tecnologie, requisiti legali o altri fattori. Le notificheremo le modifiche sostanziali pubblicando l'informativa aggiornata su questa pagina e aggiornando la data di "Ultimo aggiornamento" in alto. Potremmo anche notificarLa via email per modifiche significative che riguardano i tuoi diritti. L'uso continuato del nostro servizio dopo la pubblicazione delle modifiche costituisce accettazione dell'informativa aggiornata.