Privacy e Cookie Policy

Versione 2.0 — Ultimo aggiornamento: 25/05/2026

Ai sensi del Regolamento (UE) 2016/679 («GDPR»), del D.Lgs. 196/2003 e s.m.i. e del Provvedimento del Garante Privacy del 10 giugno 2021. La piattaforma software è fornita da Nuovatech (P.IVA 02006690438), in qualità di fornitore tecnico e Responsabile del trattamento ai sensi dell'art. 28 GDPR.

Il Titolare del trattamento è Mormora S.r.l. , sede legale in Via Annibali, 106, Macerata (62100), P.IVA 02160320434 (di seguito, il «Titolare»), che gestisce in autonomia il trattamento per le finalità di gestione dell'ordine, fatturazione e adempimenti fiscali. I dati di contatto del Titolare sono indicati al punto 20.

Nuovatech (P.IVA 02006690438) opera come Responsabile del trattamento ai sensi dell'art. 28 GDPR, limitatamente ai dati trattati tramite la piattaforma per conto del Titolare. In tale veste Nuovatech:

·         tratta i dati solo secondo istruzioni documentate del Titolare;

·         garantisce la riservatezza delle persone autorizzate al trattamento;

·         adotta le misure di sicurezza richieste dall'art. 32 GDPR;

·         ricorre a sub-responsabili previa autorizzazione del Titolare, come da accordo di nomina;

·         assiste il Titolare negli obblighi di cui agli artt. 32-36 GDPR;

·         a scelta del Titolare, cancella o restituisce i dati al termine del rapporto;

·         mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto della legge.

3.1 Dati forniti volontariamente

·         nome e cognome;

·         indirizzo e-mail;

·         numero di telefono;

·         dettagli dell'ordine (prodotti, quantità, importi);

·         eventuali note o richieste speciali inserite nell'ordine.

3.2 Dati raccolti automaticamente

·         indirizzo IP, trattato esclusivamente in forma mascherata/anonimizzata ai fini delle statistiche d'uso (vedi punto 12.5);

·         tipo e versione del browser, sistema operativo e dispositivo (dedotti dallo user agent);

·         pagina visitata, sorgente di provenienza (referrer) e tempo di caricamento, a soli fini di statistica d'uso aggregata;

·         data e ora di accesso e log tecnici di servizio e di sicurezza.

La piattaforma utilizza un sistema di statistiche d'uso interno e anonimo (vedi punto 12.5): non installa cookie di profilazione, non impiega strumenti di analytics di terze parti (es. Google Analytics) e non profila i singoli utenti.

3.3 Dati relativi ai pagamenti

I dati delle carte, dei conti PayPal e degli altri strumenti di pagamento non sono mai raccolti né memorizzati dalla piattaforma: sono gestiti esclusivamente dai fornitori di servizi di pagamento (Stripe, PayPal, Banca Sella/Axerve) sui propri server certificati PCI-DSS. La piattaforma memorizza unicamente: metodo di pagamento, identificativo della transazione, stato del pagamento e importo.

4.1 Finalità contrattuali (senza consenso)

·         gestione dell'ordine, preparazione e ritiro dei prodotti;

·         elaborazione dei pagamenti tramite i fornitori terzi autorizzati;

·         generazione, invio e recupero dei ticket di consumazione con QR code;

·         comunicazioni di servizio relative all'ordine — invio della copia ordine e dei ticket e loro recupero — tramite email, SMS e/o WhatsApp, nonché notifiche su conferma, stato dell'ordine e variazioni di disponibilità;

·         gestione di reclami, assistenza e rimborsi.

Le comunicazioni di servizio di cui sopra (incluse quelle via SMS e WhatsApp per il recupero dei ticket) sono necessarie all'esecuzione del contratto e non costituiscono marketing: non richiedono pertanto un consenso separato.

4.2 Finalità di legge (senza consenso)

·         emissione del documento commerciale/scontrino elettronico;

·         trasmissione telematica dei corrispettivi all'Agenzia delle Entrate;

·         conservazione dei dati fiscali per il periodo di legge;

·         adempimenti normativi e richieste dell'autorità giudiziaria o di pubblica sicurezza.

4.3 Finalità basate sul legittimo interesse

·         sicurezza della piattaforma e prevenzione di frodi, abusi e accessi non autorizzati;

·         monitoraggio tecnico per stabilità e prestazioni;

·         produzione di statistiche d'uso aggregate e anonime del sito (vedi punto 12.5);

·         tutela dei diritti del Titolare e del Fornitore in sede giudiziaria.

4.4 Finalità basate sul consenso (facoltative)

·         invio di comunicazioni promozionali (offerte, eventi e novità) via email e SMS;

·         notifiche push promozionali (ove attivate).

Le comunicazioni di marketing sono effettuate dal Titolare, anche per il tramite di fornitori terzi da esso incaricati (es. piattaforme di email/SMS marketing) che operano come responsabili del trattamento per conto del Titolare; non sono inviate dalla piattaforma eFestival . Il consenso è facoltativo, si presta con opt-in separati e può essere revocato in qualsiasi momento senza pregiudicare la liceità del trattamento già effettuato.

·         Art. 6.1 lett. b) — esecuzione del contratto (ordini, pagamenti, ritiro, assistenza);

·         Art. 6.1 lett. c) — obblighi legali (fiscali, contabili, richieste dell'autorità);

·         Art. 6.1 lett. a) — consenso (marketing, push promozionali, newsletter);

·         Art. 6.1 lett. f) — legittimo interesse (sicurezza, prevenzione frodi, tutela dei diritti).

6.1 Fornitori di servizi di pagamento

·         Stripe, Inc. (USA);

·         PayPal (Europe) S.à r.l. (Lussemburgo);

·         Banca Sella S.p.A. / Axerve - Fabrick S.p.A. (Italia).

6.2 Fornitori di servizi fiscali

·         Fiskaly — per la fiscalizzazione, l'emissione del documento commerciale elettronico e l'eventuale invio della copia digitale all'email indicata (se la funzione è attivata dal Titolare).

6.3 Fornitori di servizi tecnici e di comunicazione

·         provider di hosting — archiviazione sicura dei dati su server ubicati nell'Unione Europea;

·         Nuovatech — Responsabile del trattamento per la manutenzione tecnica della piattaforma;

·         provider di invio email/SMS/WhatsApp utilizzati dalla piattaforma per le comunicazioni di servizio (copia ordine e recupero ticket);

·         fornitori di servizi di email/SMS marketing incaricati dal Titolare per l'invio, previo consenso, delle comunicazioni promozionali (responsabili del trattamento del Titolare).

Non vendiamo, cediamo né condividiamo i dati con terzi per finalità di marketing, profilazione o pubblicità.

Alcuni fornitori (in particolare Stripe, Inc.) hanno sede negli Stati Uniti. In tali casi il trasferimento avviene nel rispetto delle garanzie del GDPR: decisioni di adeguatezza (art. 45), Clausole Contrattuali Standard (art. 46) e/o certificazione EU-U.S. Data Privacy Framework, ove applicabili. Per informazioni sulle garanzie adottate è possibile contattare il Titolare.

I dati sono trattati con strumenti elettronici e, ove necessario, cartacei, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR), con misure tecniche e organizzative adeguate.

Le notifiche push sono inviate solo se l'utente le accetta esplicitamente tramite il prompt del browser o del dispositivo. Il consenso è revocabile in qualsiasi momento dalle impostazioni del browser o del dispositivo. I dati tecnici della subscription (endpoint, chiavi) sono conservati fino alla revoca.

·         dati relativi agli ordini: 24 mesi dall'ultimo ordine (poi anonimizzazione);

·         dati fiscali e contabili: 10 anni (art. 2220 c.c. e normativa fiscale);

·         log di navigazione e tecnici: 6 mesi;

·         statistiche d'uso anonime (visite/sessioni): massimo 14 mesi, in forma aggregata e con IP mascherato;

·         subscription push: fino alla revoca;

·         prova del consenso marketing: fino alla revoca e per i 5 anni successivi;

·         dati per la tutela legale: per il periodo di prescrizione applicabile (fino a 10 anni).

Decorsi i termini, i dati sono cancellati in modo sicuro o resi anonimi in modo irreversibile.

L'interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione («oblio»), limitazione, portabilità, opposizione, revoca del consenso, nonché il diritto a non essere sottoposto a decisioni automatizzate.

11.1 Come esercitare i diritti

L'utente può inviare richiesta scritta al Titolare ai recapiti del punto 20, oppure utilizzare l'apposita richiesta di cancellazione presente nella piattaforma. Il Titolare risponde entro 30 giorni (prorogabili di 60 in caso di particolare complessità). L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive.

11.2 Diritto di reclamo

L'interessato può proporre reclamo al Garante per la protezione dei dati personali ( www.garanteprivacy.it — PEC: protocollo@pec.gpdp.it — centralino +39 06.696771).

Ai sensi del Provvedimento del Garante del 10 giugno 2021 e dell'art. 122 del D.Lgs. 196/2003.

12.1 Cosa sono i cookie

Sono piccoli file di testo salvati sul dispositivo durante la navigazione, utili al funzionamento del sito.

12.2 Cookie tecnici utilizzati (senza consenso)

·         Cookie di sessione (PHPSESSID) — identifica la sessione (autenticazione, carrello, protezione CSRF); si cancella alla chiusura del browser.

·         Local Storage tecnico — contenuto del carrello, preferenze di visualizzazione, stato del banner cookie e preferenze notifiche push; permane fino a cancellazione manuale.

·         Session Storage — posizione di scorrimento della pagina; fino alla chiusura della scheda.

12.3 Cookie di terze parti

Non utilizziamo cookie di profilazione, pubblicitari o analitici di terze parti (nessun Google Analytics, Facebook Pixel o simili). Durante il pagamento, i fornitori di pagamento (Stripe, PayPal, Banca Sella/Axerve) possono installare propri cookie tecnici strettamente necessari alla transazione, gestiti direttamente da loro secondo le rispettive policy ( Stripe , PayPal , Banca Sella ).

12.4 Come disabilitare i cookie

L'utente può gestire o eliminare i cookie dalle impostazioni del proprio browser (Chrome, Firefox, Safari, Edge). La disabilitazione dei cookie tecnici può compromettere il funzionamento della piattaforma (carrello, login, processo d'ordine).

12.5 Statistiche d'uso anonime (senza cookie)

Per misurare l'andamento del sito (numero di visite per pagina, dispositivi, browser, sorgenti di traffico, tempi di caricamento) la piattaforma utilizza un sistema di statistiche interno, di prima parte e privo di cookie . Questo sistema:

·         non installa cookie né identificatori persistenti sul dispositivo dell'utente;

·         non conserva l'indirizzo IP in chiaro: l'IP è mascherato (ultimo segmento azzerato) e usato solo per derivare un identificativo statistico giornaliero;

·         impiega uno pseudonimo giornaliero (hash con chiave che ruota ogni 24 ore), che impedisce di seguire l'utente nel tempo o tra giorni diversi;

·         produce esclusivamente statistiche aggregate, non profila i singoli utenti e non condivide i dati con terzi;

·         esclude i bot e conserva i dati per un massimo di 14 mesi.

Per queste caratteristiche, conformemente alle Linee guida del Garante del 10 giugno 2021, tali statistiche sono assimilabili agli strumenti tecnici: si fondano sul legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR) e non richiedono il consenso preventivo né un banner . L'utente può comunque opporsi al trattamento scrivendo ai recapiti indicati al punto 20.

Misure adottate ai sensi dell'art. 32 GDPR:

·         cifratura in transito (HTTPS/TLS);

·         hashing delle password (bcrypt);

·         protezione CSRF;

·         rate limiting e blocco anti brute-force;

·         accesso limitato secondo il principio del privilegio minimo;

·         procedure di backup;

·         security header HTTP (X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security).

In caso di violazione che presenti un rischio per i diritti e le libertà degli interessati, il Titolare — con la collaborazione di Nuovatech quale Responsabile — notifica al Garante entro 72 ore (art. 33), comunica agli interessati senza ingiustificato ritardo in caso di rischio elevato (art. 34) e documenta la violazione nell'apposito registro.

La piattaforma non effettua profilazione né processi decisionali automatizzati ai sensi dell'art. 22 GDPR.

L'utente si impegna a fornire dati corretti, completi e veritieri. Il Titolare e Nuovatech non rispondono delle conseguenze derivanti dall'inserimento di dati errati (es. email errata per l'invio dello scontrino).

Il servizio è destinato a utenti maggiorenni; la vendita di bevande alcoliche è riservata ai soggetti che abbiano compiuto 18 anni. Per i trattamenti basati sul consenso relativi ai servizi della società dell'informazione, in Italia il consenso del minore è valido a partire dai 14 anni (art. 2-quinquies D.Lgs. 196/2003); al di sotto di tale età è necessario il consenso di chi esercita la responsabilità genitoriale. Qualora il Titolare venga a conoscenza di aver raccolto dati di un minore senza il necessario consenso, provvederà tempestivamente alla loro cancellazione.

Il Titolare può modificare la presente informativa; le modifiche sono pubblicate su questa pagina con la data di ultimo aggiornamento. In caso di modifiche sostanziali sarà data adeguata informazione tramite la piattaforma.

Confermando l'ordine, l'utente dichiara di aver letto e compreso la presente informativa e prende atto del trattamento dei dati per le finalità contrattuali e di legge (punti 4.1 e 4.2). Per le finalità facoltative (punto 4.4) l'utente presta un consenso specifico, libero, informato e inequivocabile tramite gli appositi opt-in (checkbox marketing, prompt notifiche push). La presa visione dell'informativa non costituisce consenso al trattamento per le finalità contrattuali e di legge, che non lo richiedono.

Titolare del trattamento:

·         Email: info@mormorabay.it

·         Indirizzo: Via Annibali, 106, Macerata (62100)

Responsabile del trattamento (fornitore tecnico): Nuovatech — P.IVA 02006690438.

Autorità di controllo: Garante per la protezione dei dati personali — www.garanteprivacy.it .