⚠️ BOZZA — da validare dal consulente GDPR prima del live.
Questo documento è una bozza generata il 2026-06-22 (versione v1.0-2026-06-22) e deve essere
revisionata da un consulente privacy prima dell'attivazione del primo merchant live. Nessun pagamento
reale deve essere processato finché questa policy non è validata.
Privacy Policy
La presente Privacy Policy descrive come vengono trattati i dati personali dei partecipanti
che contribuiscono a una raccolta regalo sul sito Sorpresona.it. La policy è applicabile
a partire dal momento in cui il partecipante spunta la casella "Ho letto e accetto la
Privacy Policy" al momento del pagamento.
1. Titolare del trattamento
Il titolare del trattamento dei dati del partecipante è il negozio (merchant)
che ha creato la raccolta a cui si sta contribuendo. Il merchant è il "merchant of record":
riceve direttamente i contributi sul proprio conto Stripe ed è responsabile del trattamento
dei dati dei propri clienti ai sensii del Regolamento UE 2016/679 (GDPR).
I recapiti del titolare (nome, email, indirizzo del negozio) sono quelli comunicati dal
merchant al momento della registrazione su Sorpresona.it e sono consultabili nella sezione
dati del negozio stesso. Per richieste relative ai propri dati, il partecipante può
contattare direttamente il merchant.
2. Responsabile del trattamento e piattaforma
Sorpresona.it agisce come
responsabile del trattamento per conto del merchant. La piattaforma fornisce lo strumento
di raccolta dei contributi, gestisce l'automazione delle ricevute e delle dediche, e fornisce
supporto tecnico. La piattaforma non tocca i fondi: il flusso finanziario è interamente tra
il partecipante e il conto Stripe del merchant.
Stripe Payments Europe, Ltd. agisce come responsabile del trattamento
per le operazioni di pagamento (processamento carta). Stripe è conforme a PCI-DSS e GDPR;
i dati di carta non transitano né vengono conservati da Sorpresona.it o dal merchant
(Stripe Checkout li raccoglie direttamente).
3. Dati personali raccolti
Al momento del contributo, il partecipante fornisce i seguenti dati:
- Nome e cognome del pagante (chi effettua il pagamento)
- Email (per inviare la ricevuta del contributo)
- Numero di telefono (per eventuale servizio clienti / riconciliazione)
- Importo del contributo
- Dedica facoltativa (messaggio di auguri al festeggiato, testo libero)
- Nome del/dei partecipante/i ("da parte di", ovvero chi figura come mittente del regalo — può differire dal pagante in caso di regalo di gruppo)
- Indirizzo IP e timestamp del consenso a questa Privacy Policy (come prova del consenso ai sensi dell'art. 7 GDPR)
- Versione della Privacy Policy accettata (per dimostrare quale testo il partecipante ha accettato al momento del contributo)
I dati di carta di credito/debito non sono raccolti né conservati da
Sorpresona.it o dal merchant: sono gestiti direttamente da Stripe attraverso la sua pagina
di checkout sicura (PCI-DSS Level 1).
4. Base giuridica e finalità del trattamento
- Esecuzione di un contratto (art. 6.1.b GDPR): processare il contributo,
emettere la ricevuta, abbinare il regalo al festeggiato e alla raccolta.
- Obbligo legale (art. 6.1.c GDPR): conservazione dei dati di
transazione per obblighi fiscali/contabili (10 anni dalla chiusura della raccolta).
- Interesse legittimo del merchant (art. 6.1.f GDPR): servizio clienti,
gestione di eventuali rimborsi, riconciliazione dei pagamenti, prevenzione delle frodi.
- Consenso (art. 6.1.a GDPR): per l'invio della ricevuta via email e per
l'eventuale pubblicazione della dedica nella pagina della raccolta (se applicabile).
5. Destinatari dei dati
- Il merchant (titolare): per gestione ordini, ricevute, servizio clienti, rimborsi.
- Sorpresona.it (responsabile): per erogazione del servizio, automazione,
supporto tecnico. La piattaforma ha accesso ai dati del partecipante esclusivamente per
erogare il servizio e assistere il merchant.
- Stripe (responsabile): esclusivamente per il processamento del pagamento.
- Provider email del merchant / della piattaforma: per la consegna della
ricevuta al partecipante e delle notifiche al merchant.
I dati non vengono venduti né ceduti a terzi per finalità di marketing.
6. Periodo di conservazione
- Dati di transazione (nome, email, telefono, importo, payment intent,
dedica): conservati fino alla chiusura della raccolta + 10 anni per
obblighi fiscali/contabili, dopodiché cancellati salvo obblighi di conservazione ulteriori.
- Log di consenso (IP, timestamp, versione policy): conservati per la
stessa durata dei dati di transazione, come prova del consenso.
- Dedications pubblicate nella pagina raccolta: visibili finché la
raccolta è attiva o fino a rimozione richiesta dal partecipante o dal merchant.
7. Diritti del partecipante (art. 15-22 GDPR)
Il partecipante ha diritto di:
- Accesso: sapere quali dati sono trattati.
- Rettifica: correggere dati inesatti.
- Cancellazione ("diritto all'oblio"): salvo obblighi di conservazione fiscale.
- Limitazione del trattamento in attesa di verifica.
- Portabilità: ricevere i propri dati in formato strutturato.
- Opposizione al trattamento per interesse legittimo.
- Revoca del consenso per i trattamenti basati su consenso (ricevuta email,
dedica pubblicata) — senza pregiudicare la liceità del trattamento già effettuato.
- Reclamo al Garante per la Protezione dei Dati Personali
(www.garanteprivacy.it).
Le richieste vanno indirizzate al merchant (titolare). La piattaforma
Sorpresona.it assiste il merchant nell'ottemperanza.
8. Modifiche alla presente policy
La policy può essere aggiornata nel tempo. Ogni versione è identificata da un numero di
versione (es. v1.0-2026-06-22). Il partecipante, al momento del contributo,
registra la versione accettata: in caso di modifiche successive, resta dimostrabile quale
testo il partecipante ha accettato. Le modifiche sostanziali saranno communicate sui canali
del merchant. Consultare anche la Cookie Policy.
Versione: v1.0-2026-06-22 · BOZZA · Ultimo aggiornamento: 22 giugno 2026