Informativa sulla privacy per i venditori

Ultimo aggiornamento: 24 febbraio 2026

1. Chi siamo

All Access World ("la Piattaforma", "noi") è un marketplace online specializzato in tecnologia assistiva e prodotti per l'accessibilità. Operiamo in qualità di titolare del trattamento dei dati personali e aziendali dei venditori elaborati attraverso la Piattaforma.

La presente Informativa sulla privacy per i venditori descrive come raccogliamo, utilizziamo, conserviamo e proteggiamo i dati personali e aziendali dei candidati venditori e dei venditori partner approvati. I riferimenti a "Lei" o "venditore" nella presente informativa si riferiscono a qualsiasi individuo o organizzazione che abbia presentato una domanda di vendita o che sia titolare di un account venditore attivo sulla Piattaforma.

Per richieste relative alla presente informativa, è possibile contattarci all'indirizzo hello@accessaro.com.

2. Ambito della presente informativa

La presente Informativa sulla privacy per i venditori si applica a:

  • Individui e organizzazioni che presentano una domanda di vendita alla Piattaforma
  • Venditori approvati che vendono attivamente prodotti attraverso la Piattaforma
  • Ex venditori i cui dati personali o aziendali possono essere conservati in conformità ai nostri obblighi di conservazione dei dati

Per le pratiche di trattamento dei dati rivolte ai clienti, consultare la nostra Informativa sulla privacy generale.

La presente Informativa sulla privacy per i venditori integra l'Informativa sulla privacy generale. In caso di conflitto tra la presente informativa e l'Informativa sulla privacy generale in merito al trattamento dei dati specifici dei venditori, prevale la presente informativa.

3. Dati che raccogliamo

Raccogliamo le seguenti categorie di dati dei venditori:

Dati di registrazione (raccolti al momento della domanda):

  • Nome e cognome
  • Indirizzo email
  • Nome dell'azienda o del negozio
  • URL del sito web (facoltativo)

Dati del profilo (raccolti dopo l'approvazione):

  • Tipo di attività (individuale, società o organizzazione non-profit)
  • Indirizzo aziendale, città e Paese
  • Numero di telefono di contatto
  • Codice fiscale / Partita IVA (memorizzato in forma crittografata)
  • Metodo di pagamento e relativi dati (memorizzati in forma crittografata)
  • URL del logo e dell'immagine banner del negozio
  • Descrizione del negozio

Dati raccolti automaticamente:

  • Storico delle transazioni e degli ordini, inclusi volume delle vendite, ricavi e numero di ordini
  • Metriche di performance dei prodotti (visualizzazioni, tassi di conversione, valutazioni)
  • Dati di autenticazione e sessione (timestamp di accesso, identificatori di sessione, impronte digitali del dispositivo)
  • Informazioni su browser e dispositivo (user agent, risoluzione dello schermo, sistema operativo)
  • Indirizzo IP e geolocalizzazione approssimativa

4. Come utilizziamo i tuoi dati

Trattiamo i dati dei venditori per le seguenti finalità:

  • Valutazione della domanda: Per valutare le domande dei venditori e prendere decisioni sull'approvazione (base giuridica: misure precontrattuali)
  • Elaborazione dei pagamenti: Per calcolare le commissioni ed elaborare i pagamenti mensili (base giuridica: esecuzione contrattuale)
  • Comunicazioni: Per inviare notifiche transazionali relative allo stato della domanda, ordini, pagamenti e aggiornamenti della piattaforma (base giuridica: esecuzione contrattuale e interesse legittimo)
  • Fornitura di analisi: Per compilare e presentare dati su vendite, ordini e performance dei prodotti nella Dashboard Venditore (base giuridica: esecuzione contrattuale)
  • Prevenzione delle frodi: Per individuare e prevenire attività fraudolente, abusive o non autorizzate (base giuridica: interesse legittimo)
  • Miglioramento della piattaforma: Per analizzare i dati aggregati dei venditori al fine di migliorare le funzionalità della Piattaforma e l'esperienza dei venditori (base giuridica: interesse legittimo)
  • Conformità normativa: Per mantenere i registri richiesti dalle normative fiscali, di rendicontazione finanziaria e di protezione dei dati applicabili (base giuridica: obbligo legale)

Le principali basi giuridiche per il trattamento dei dati dei venditori ai sensi dell'Articolo 6 del GDPR sono: esecuzione di un contratto (i Termini e condizioni per i venditori), misure precontrattuali (valutazione della domanda), interesse legittimo (prevenzione frodi, miglioramento della piattaforma) e obbligo legale (conformità normativa).

5. Dati di pagamento e corrispettivi

Per facilitare i pagamenti mensili, la Piattaforma memorizza i seguenti dati di pagamento, in base al metodo selezionato dal venditore:

  • Bonifico bancario: Nome della banca, numero di conto, codice o IBAN e nome dell'intestatario
  • PayPal: Indirizzo email PayPal verificato
  • Stripe: Identificativo dell'account Stripe collegato

Tutti i dati di pagamento sono crittografati a riposo mediante crittografia a livello di campo prima della memorizzazione nel database (vedere la Sezione 6 per i dettagli tecnici). Nella Dashboard Venditore, i dati di pagamento sono mascherati, mostrando solo gli ultimi quattro caratteri al venditore autorizzato.

La Piattaforma non memorizza in alcun momento numeri completi di carte di credito o debito. Tutta l'elaborazione dei pagamenti dei clienti è gestita da Stripe, che mantiene la certificazione PCI DSS Livello 1, il massimo livello di conformità per la sicurezza dei pagamenti.

6. Crittografia a livello di campo

La Piattaforma implementa la crittografia a livello di campo per i dati sensibili designati dei venditori. Vengono applicate le seguenti misure tecniche:

  • Algoritmo: AES-256-GCM (Advanced Encryption Standard con chiavi a 256 bit in modalità Galois/Counter), che garantisce sia la riservatezza sia la verifica di integrità autenticata
  • Derivazione delle chiavi: PBKDF2 (Password-Based Key Derivation Function 2) con un minimo di 100.000 iterazioni, utilizzando un valore di salt dedicato
  • Vettore di inizializzazione: 12 byte (96 bit), generato casualmente per ogni operazione di crittografia come raccomandato per la modalità GCM
  • Formato di memorizzazione: I valori crittografati sono memorizzati con il prefisso enc:v1: seguito da un payload codificato in Base64 contenente il vettore di inizializzazione, il testo cifrato e il tag di autenticazione GCM

I campi crittografati includono:

  • tax_id: Il codice fiscale / la Partita IVA del venditore
  • payout_details: Un oggetto JSON contenente le informazioni di pagamento del conto corrente, PayPal o Stripe

La decrittazione viene eseguita solo al momento del bisogno, ad esempio durante l'elaborazione dei pagamenti o quando un amministratore autorizzato necessita dell'accesso per una finalità operativa verificata. Le chiavi di crittografia sono memorizzate separatamente dai dati crittografati e gestite tramite configurazione a livello di ambiente.

7. Comunicazioni via email

La Piattaforma invia le seguenti categorie di comunicazioni email transazionali ai venditori:

  • Domanda ricevuta: Conferma della presentazione della domanda di vendita
  • Esito della domanda: Notifica di approvazione o rifiuto, inclusa la motivazione del rifiuto ove applicabile
  • Notifiche ordini: Avvisi quando i clienti effettuano ordini per i prodotti del venditore
  • Notifiche pagamenti: Conferma dell'elaborazione del pagamento mensile
  • Aggiornamenti di termini e informative: Notifica di modifiche sostanziali ai Termini per i venditori o alla presente Informativa sulla privacy

Queste comunicazioni sono di natura transazionale e sono necessarie per l'esecuzione del contratto tra il venditore e la Piattaforma. In quanto tali, non sono classificate come comunicazioni di marketing e i venditori non possono rinunciare a riceverle mantenendo un account venditore attivo.

Le comunicazioni via email vengono inviate nella lingua preferita del venditore impostata nel profilo. Le lingue supportate sono inglese, arabo, italiano e tedesco. Le email in arabo vengono visualizzate con direzione del testo da destra a sinistra (RTL). Tutti i modelli email sono conformi agli standard di accessibilità WCAG.

8. Analisi della Dashboard Venditore

La Dashboard Venditore fornisce ai venditori l'accesso a dati analitici derivati dalla loro attività sulla Piattaforma, tra cui:

  • Conteggio totale dei prodotti, degli ordini e ricavo cumulativo
  • Valutazione media dei clienti su tutti i prodotti
  • Storico dei pagamenti, inclusi i pagamenti passati e i saldi in sospeso
  • Calcoli delle commissioni e dettaglio dei guadagni
  • Metriche di performance a livello di prodotto

I dati analitici derivano dai registri transazionali generati dall'utilizzo della Piattaforma da parte del venditore. Le analisi individuali dei venditori non vengono divulgate ad altri venditori, terze parti o al pubblico. I dati aggregati e anonimizzati possono essere utilizzati internamente per finalità di miglioramento della Piattaforma.

9. Cookie e tracciamento

La Piattaforma utilizza cookie e tecnologie simili per facilitare le funzionalità della Dashboard Venditore. Le seguenti categorie di cookie si applicano alle sessioni dei venditori:

Cookie essenziali (strettamente necessari, nessun consenso richiesto):

  • Cookie di sessione per l'autenticazione e il mantenimento dello stato di accesso
  • Token di protezione CSRF (Cross-Site Request Forgery)
  • Cookie di heartbeat della sessione per il monitoraggio del timeout di inattività e il rafforzamento della sessione

Cookie analitici (basati sul consenso, opt-in):

  • Google Analytics 4 con anonimizzazione dell'IP abilitata per analisi aggregate sull'utilizzo

Tutti i cookie sono configurati con l'attributo SameSite=Strict per una protezione avanzata contro le richieste cross-site. Per una panoramica completa dei tipi di cookie, dei periodi di conservazione e delle opzioni di gestione, consultare la sezione Cookie dell'Informativa sulla privacy generale.

10. Servizi di terze parti

La Piattaforma si avvale dei seguenti fornitori di servizi terzi che possono trattare i dati dei venditori nell'ambito della fornitura dei propri servizi:

  • Stripe (elaborazione pagamenti): Elabora le transazioni dei clienti e facilita i pagamenti ai venditori. Stripe mantiene la certificazione PCI DSS Livello 1 e tratta i dati in conformità alla propria Informativa sulla privacy
  • Supabase (database e autenticazione): Fornisce hosting del database, autenticazione degli utenti e servizi di archiviazione dati. I dati sono conservati in conformità alla propria Informativa sulla privacy
  • Cloudflare (hosting e distribuzione): Fornisce hosting web, distribuzione dei contenuti, edge computing e servizi di protezione DDoS. I dati sono trattati in conformità alla propria Informativa sulla privacy
  • Google Analytics 4 (analisi): Fornisce statistiche aggregate sull'utilizzo del sito web con anonimizzazione dell'IP abilitata. I cookie analitici sono basati sul consenso e possono essere rifiutati. I dati sono trattati in conformità all'Informativa sulla privacy

La Piattaforma non vende, noleggia né scambia i dati personali dei venditori con terze parti. I dati vengono condivisi con i fornitori sopra indicati solo nella misura necessaria per la fornitura dei rispettivi servizi, e tutti i fornitori sono vincolati da appropriati accordi per il trattamento dei dati.

11. Conservazione dei dati

I dati dei venditori vengono conservati per i seguenti periodi:

  • Dati del profilo venditore attivo: Conservati per la durata dell'account attivo del venditore. Alla chiusura dell'account, i dati del profilo vengono cancellati o anonimizzati entro 90 giorni di calendario
  • Registri di transazioni e ordini: Conservati per un minimo di 7 anni dalla data della transazione, in conformità alle normative fiscali e di rendicontazione finanziaria applicabili
  • Registri dei pagamenti: Conservati per un minimo di 7 anni dalla data di erogazione, in conformità ai requisiti di tenuta dei registri finanziari
  • Campi sensibili crittografati: Alla chiusura dell'account, le chiavi di crittografia associate al codice fiscale e ai dati di pagamento del venditore vengono revocate, rendendo i dati crittografati crittograficamente irrecuperabili
  • Log di audit di sicurezza: Conservati per 2 anni per il monitoraggio della sicurezza e finalità di audit di conformità

Per le domande di vendita rifiutate, i dati della domanda vengono conservati per 12 mesi dalla data del rifiuto per facilitare un'eventuale nuova domanda. Trascorso tale periodo, i dati vengono definitivamente cancellati.

I periodi di conservazione dei dati possono essere estesi ove richiesto da un obbligo legale, un'indagine normativa o una controversia in corso di risoluzione.

12. I tuoi diritti ai sensi del GDPR

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i venditori hanno i seguenti diritti relativi ai propri dati personali:

  • Diritto di accesso (Articolo 15): Il diritto di ottenere conferma dell'esistenza di un trattamento di dati personali e di riceverne copia
  • Diritto di rettifica (Articolo 16): Il diritto di richiedere la correzione di dati personali inesatti o incompleti
  • Diritto alla cancellazione (Articolo 17): Il diritto di richiedere la cancellazione dei dati personali, nel rispetto degli obblighi legali di conservazione applicabili
  • Diritto di limitazione del trattamento (Articolo 18): Il diritto di richiedere la limitazione del trattamento in determinate circostanze
  • Diritto alla portabilità dei dati (Articolo 20): Il diritto di ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico
  • Diritto di opposizione (Articolo 21): Il diritto di opporsi al trattamento basato su motivi di interesse legittimo

Per esercitare uno qualsiasi di questi diritti, inviare una richiesta scritta a hello@accessaro.com. Confermeremo la ricezione entro 72 ore e forniremo una risposta sostanziale entro 30 giorni di calendario, in conformità all'Articolo 12 del GDPR.

I venditori hanno inoltre il diritto di presentare un reclamo presso l'autorità di controllo del proprio Paese di residenza o luogo di lavoro qualora ritengano che i propri diritti di protezione dei dati siano stati violati.

13. Sicurezza dei dati

La Piattaforma implementa le seguenti misure di sicurezza per proteggere i dati dei venditori:

  • Crittografia a riposo: I campi sensibili (tax_id, payout_details) sono crittografati utilizzando AES-256-GCM con derivazione delle chiavi PBKDF2 (vedere Sezione 6)
  • Crittografia in transito: Tutte le trasmissioni di dati tra client e server sono crittografate tramite TLS (HTTPS). Viene applicata la Content Security Policy Livello 3 con strict-dynamic e esecuzione degli script basata su nonce
  • Rafforzamento della sessione: Le sessioni dei venditori prevedono un timeout di inattività di 15 minuti, un timeout assoluto di 8 ore e un massimo di 2 sessioni simultanee. Il monitoraggio heartbeat della sessione viene eseguito a intervalli di 5 minuti
  • Protezione CSRF: Token CSRF basati su HMAC con confronto timing-safe, utilizzando la Web Crypto API sul Cloudflare Workers Edge Runtime
  • Doppia approvazione: La cancellazione permanente dell'account venditore è soggetta al principio del doppio controllo, che richiede l'autorizzazione di due amministratori indipendenti della Piattaforma
  • Registrazione degli audit di sicurezza: Tutte le azioni significative sull'account vengono registrate con impronte digitali del dispositivo e identificatori di sessione per la tracciabilità forense
  • Avvisi di sicurezza: Vengono attivati avvisi automatici per eventi quali errori MFA, modifiche dei ruoli, cancellazioni di venditori e anomalie di sessione

Nessun sistema può garantire una sicurezza assoluta, tuttavia la Piattaforma applica misure di difesa in profondità conformi o superiori agli standard di settore per la protezione dei dati dei venditori.

14. Trasferimenti internazionali

Alcuni fornitori di servizi terzi utilizzati dalla Piattaforma hanno sede al di fuori dello Spazio Economico Europeo (SEE). Di conseguenza, i dati dei venditori potrebbero essere trasferiti ed elaborati in giurisdizioni al di fuori del SEE.

In caso di tali trasferimenti, la Piattaforma garantisce un livello adeguato di protezione dei dati attraverso uno o più dei seguenti meccanismi:

  • Trasferimento verso Paesi riconosciuti dalla Commissione Europea come dotati di un livello adeguato di protezione dei dati (decisioni di adeguatezza)
  • Sottoscrizione delle Clausole Contrattuali Standard dell'UE (SCC) approvate dalla Commissione Europea
  • Collaborazione con fornitori di servizi che mantengono certificazioni di sicurezza riconosciute (SOC 2, ISO 27001, PCI DSS)

Tutti i trasferimenti internazionali di dati sono effettuati in conformità al Capo V del GDPR. I venditori possono richiedere informazioni sulle specifiche garanzie applicate ai propri dati contattando hello@accessaro.com.

15. Modifiche alla presente informativa

La Piattaforma si riserva il diritto di modificare la presente Informativa sulla privacy per i venditori in qualsiasi momento. Le modifiche sostanziali saranno comunicate come segue:

  • I venditori interessati riceveranno una notifica via email con almeno 30 giorni di calendario di preavviso rispetto alla data di entrata in vigore di qualsiasi modifica sostanziale
  • La data di "Ultimo aggiornamento" in cima a questa pagina sarà aggiornata di conseguenza

I venditori sono invitati a consultare periodicamente la presente informativa per rimanere aggiornati sulle nostre pratiche di trattamento dei dati.

16. Contatti

Per qualsiasi domanda, dubbio o richiesta relativa alla presente Informativa sulla privacy per i venditori o al trattamento dei tuoi dati personali, è possibile contattarci attraverso i seguenti canali:

Ci impegniamo a rispondere a tutte le richieste dei venditori relative alla privacy entro 2 giorni lavorativi. Per le richieste degli interessati ai sensi del GDPR, confermeremo la ricezione entro 72 ore e forniremo una risposta sostanziale entro 30 giorni di calendario.