Informativa sulla Privacy
Ultimo aggiornamento: 2026-06-10
Versione: 2.0
PRIMA DI ACCEDERE A QUESTO SITO SI PREGA DI LEGGERE ATTENTAMENTE TERMINI E CONDIZIONI, INFORMATIVA PRIVACY E INFORMATIVA COOKIE. Gli utenti che non dovessero accettare queste condizioni sono pregati di abbandonare immediatamente il Sito.
La presente Informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 e successive modifiche ("Codice Privacy"), a coloro che interagiscono con i servizi offerti dal Titolare tramite il sito web https://face-harmony.com (di seguito "Sito"), l'App Face Harmony DV, le piattaforme collegate ai servizi erogati dal Titolare e i canali social del Titolare.
L'Informativa ha lo scopo di descrivere — in modo trasparente, conciso e accessibile — le modalità con cui Face Harmony DV S.r.l. raccoglie, utilizza, conserva e protegge i dati personali degli Interessati, nonché i diritti che la normativa europea riconosce agli Interessati e le modalità per esercitarli, per consentire all'Interessato di conferire i propri dati personali in modo consapevole e informato, nel rispetto del principio di trasparenza di cui al GDPR.
Si invita l'Utente a leggere con attenzione il presente documento prima di inviare qualsiasi dato personale tramite i moduli del Sito.
Definizioni essenziali
- Interessato: la persona fisica i cui dati personali sono trattati.
- Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica.
- Trattamento: qualsiasi operazione compiuta sui dati personali (raccolta, registrazione, conservazione, consultazione, comunicazione, cancellazione, etc.).
- Titolare del trattamento: il soggetto che determina finalità e mezzi del trattamento (cfr. §1).
- Responsabile del trattamento: il soggetto che tratta dati personali per conto del Titolare in forza di un DPA (cfr. §5).
1 · Titolare del trattamento
Titolare del trattamento dei dati personali è:
FACE HARMONY DV S.R.L.
- Sede legale: Corso Magenta 74, 20123 Milano (MI), Italia
- P.IVA / Codice Fiscale: 13405460968
- REA: MI-2720884 (CCIAA Milano Monza Brianza Lodi)
- Capitale sociale: € 10.000,00 i.v.
- ATECO: 85.59.2 (formazione professionale)
- Data costituzione: 16/02/2024
- PEC: faceharmonydv@legalmail.it
- Email: dv@face-harmony.com
- Data Protection Officer (DPO/RPD): non designato — il trattamento svolto dal Titolare non rientra nei casi di nomina obbligatoria previsti dall'art. 37 GDPR (assenza di trattamenti su larga scala di categorie particolari di dati, assenza di monitoraggio regolare e sistematico di interessati su larga scala, e mancato esercizio di funzioni di autorità pubblica). Per esercitare i diritti GDPR (Artt. 15-22) o per qualsiasi questione relativa alla protezione dei dati personali, l'Interessato può contattare direttamente il Titolare ai recapiti sopra indicati. La presente designazione sarà rivalutata al ricorrere di una qualsiasi delle condizioni di cui all'art. 37 par. 1 GDPR.
Ambito di applicazione: la presente Informativa si applica ai trattamenti effettuati dal Titolare tramite il Sito (face-harmony.com e relativi sottodomini), l'App Face Harmony DV, le piattaforme collegate ai servizi erogati dal Titolare (a titolo esemplificativo: la piattaforma LMS dell'Academy e le piattaforme di videoconferenza utilizzate per le consulenze) e i canali social del Titolare. Le pagine e property esterne gestite dal Titolare su piattaforme di terzi rinviano alla presente Informativa, che costituisce il documento privacy di riferimento del Titolare.
Interessati
Utenti del Sito e dei canali social del Titolare e/o delle piattaforme collegate ai servizi erogati dal Titolare, Acquirenti, Potenziali Clienti, Collaboratori.
2 · Categorie di dati personali trattati
2.1 Categorie di dati raccolti
- Dati inviati dagli utenti via e-mail o tramite i moduli online del Sito e/o delle piattaforme collegate e/o via telefono e/o durante l'acquisto dei servizi: in particolare dati comuni come indirizzo e-mail, nome, cognome, telefono, dati anagrafici, località, indirizzo, dati di contatto, codice fiscale e partita IVA, dati relativi a modalità di pagamento ove il pagamento sia gestito dal Titolare. Dati conferiti durante la gestione del rapporto tramite il Sito e/o telefono e/o canali social e/o piattaforme collegate.
- Form di contatto (ContactForm — pagina
/it/contact): nome, cognome, email, telefono (opzionale), oggetto del messaggio, contenuto del messaggio. - Form richiesta demo (DemoFormSection — homepage): nome, email, azienda, telefono, ruolo professionale.
- Form Typeform B2B (link esterno richiamato da CTA homepage e pagine servizi): nome, email, azienda, dati di qualifica B2B raccolti direttamente da Typeform S.L. secondo la propria informativa.
- Dati raccolti in automatico dai sistemi preposti al funzionamento del Sito e/o canali social e/o piattaforme: dati di navigazione e dati relativi al dispositivo, quali indirizzo IP, nomi a dominio, orario della richiesta, Paese di provenienza, durata della visita, visualizzazioni di pagina e percorsi di navigazione, tipo di browser, tipo di dispositivo e sistema operativo; server logs (raccolti automaticamente dall'hosting); segnali tecnici anti-bot e hash IP a fini di rate-limit (cfr. i Responsabili indicati al §5).
- Dati relativi ai cookie: le informazioni relative ai cookie sono disponibili nella Cookie Policy (cfr. §6).
- Dati comuni relativi a immagini e/o video-audio relativi a una persona fisica, previa raccolta del relativo consenso.
- Dati biometrici relativi a immagini rappresentative del viso di una persona fisica sottoposte a trattamenti automatizzati, previa raccolta del consenso dell'Interessato.
- Dati personali relativi alla salute di una persona fisica, con riferimento ai dati che possono rivelare informazioni relative allo stato di salute, con esclusione di informazioni relative a patologie o malattie e limitatamente ai dati necessari e pertinenti per le finalità indicate nel presente documento.
Il Sito non richiede registrazione, non utilizza login utente e non elabora pagamenti online; le aree riservate e i pagamenti relativi ai Servizi sono gestiti tramite le piattaforme collegate e i fornitori di pagamento indicati al §5.
2.2 Fonti dei dati e dati di terzi
I dati personali trattati provengono da due fonti distinte: dati forniti volontariamente dall'Utente (form, email, telefono, canali social, iscrizione ai webinar e operazioni simili) e dati raccolti automaticamente dai sistemi preposti al funzionamento del Sito e delle piattaforme.
Qualora vengano condivisi con il Titolare dati personali di terzi, si conferisce ampia manleva rispetto ad ogni contestazione, pretesa e richiesta di risarcimento del danno che dovesse pervenire al Titolare da persone i cui dati personali siano stati condivisi in violazione delle norme applicabili sulla protezione dei dati personali.
2.3 Modalità del trattamento
Il trattamento dei dati personali viene effettuato con modalità cartacee e strumenti informatici, nel rispetto delle disposizioni in materia di protezione dei dati personali e, in particolare, delle misure tecniche e organizzative adeguate di cui all'art. 32, par. 1, GDPR per garantire integrità, riservatezza e disponibilità dei dati personali trattati (cfr. §10). Potranno essere adottati anche strumenti automatizzati, inclusi strumenti di intelligenza artificiale, come specificato nella presente Informativa e nell'Informativa Cookie. I dati di carattere tecnico-informatico raccolti per consentire il funzionamento del Sito potranno essere trattati al solo fine di ricavare informazioni statistiche anonime sull'uso del Sito e/o per controllarne il corretto funzionamento. I dati personali che l'Interessato sceglie di fornire saranno oggetto di trattamento nel rispetto delle condizioni di liceità ex artt. 6 e 9 GDPR, con strumenti di anonimizzazione e pseudonimizzazione ove indicato. I destinatari dei dati sono indicati al §5.
2.4 Dati di minori — Servizi riservati a maggiorenni
I Servizi del Titolare sono riservati a persone maggiorenni (18+). Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora il Titolare rilevi l'avvenuta raccolta di dati personali di un minore, provvederà a cancellarli senza ingiustificato ritardo. Si invitano i genitori e i tutori che ritengano che un minore abbia fornito dati al Titolare a contattare i recapiti indicati al §1.
3 · Finalità del trattamento, basi giuridiche e criteri di conservazione
I dati raccolti sono trattati per le finalità di seguito indicate, ciascuna con la propria base giuridica e i propri criteri di conservazione.
Esecuzione di misure precontrattuali
A titolo esemplificativo: consentire agli utenti di utilizzare il Sito, acquistare servizi mediante la procedura di registrazione finalizzata all'acquisto e al pagamento, ricevere risposte relative all'uso del Sito oppure ai servizi, ricevere comunicazioni informative, essere ricontattati, prenotare una chiamata, registrarsi gratuitamente ai webinar del Titolare, compilare form di contatto. Questa finalità consente al Titolare di fornire assistenza e di pervenire alla conclusione del contratto di vendita a distanza.
BASE GIURIDICA: art. 6, par. 1, lett. b) GDPR (esecuzione di misure precontrattuali adottate su richiesta dell'Interessato).
CRITERI DI CONSERVAZIONE: per il tempo necessario a dar seguito alla richiesta dell'Interessato e comunque non oltre la definizione del rapporto precontrattuale.
Esecuzione del contratto
Consentire lo svolgimento delle operazioni strettamente connesse e strumentali alla corretta gestione dei rapporti contrattuali con Utenti e Acquirenti nell'ambito del Servizio erogato e della vendita diretta del Servizio, a titolo esemplificativo per elaborare gli ordini di acquisto, emettere fatture e ricevute. Sono comprese le attività necessarie all'attivazione di account per la fruizione del Servizio, la registrazione e qualificazione dell'Utente, la gestione e l'aggiornamento delle informazioni connesse, nonché la presa in carico e gestione dei quesiti e/o delle richieste pervenute ai recapiti forniti dal Titolare. Il mancato conferimento dei dati richiesti a tal fine, o l'accertata erroneità dei dati forniti, potrebbero comportare l'impossibilità di concludere con successo il contratto.
BASE GIURIDICA: art. 6, par. 1, lett. b) GDPR (contratto).
CRITERI DI CONSERVAZIONE: i dati saranno conservati per il tempo necessario a far fronte alle obbligazioni assunte.
Marketing diretto
Il Titolare potrà inoltrare all'utente e-mail e newsletter contenenti notizie, informazioni, comunicazioni promozionali, commerciali e pubblicitarie o novità relative ai nuovi Servizi venduti o alle nuove funzionalità del Sito o inerenti iniziative nuove o ricerche di mercato o altro materiale informativo. Le campagne marketing potranno avvenire via e-mail, SMS, strumenti di messaggistica istantanea, telefono, canali social e community, con modalità di contatto sia automatizzate sia tradizionali. Il Titolare potrebbe utilizzare strumenti di tracciamento pubblicitario forniti da terze parti (a titolo esemplificativo, il pixel fornito da Facebook/Meta) per monitorare le conversioni delle campagne pubblicitarie, mostrare annunci personalizzati e creare gruppi di pubblico a cui indirizzare le campagne; tali informazioni vengono memorizzate e analizzate dalla terza parte ed eventualmente utilizzate per fini pubblicitari propri. È possibile rifiutare il consenso al tracciamento attraverso il banner dei cookie (cfr. §6).
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: sino a revoca del consenso e comunque per un tempo non superiore a 24 mesi dalla raccolta, fatto salvo il rinnovo del consenso. L'utente può revocare il consenso cliccando sul link presente nelle e-mail pubblicitarie o chiedendo la cancellazione al Titolare. La mancata prestazione del consenso non ha alcuna conseguenza sulla prestazione dei servizi. L'Interessato può revocare il consenso anche in modo parziale, ad esempio acconsentendo alle sole modalità di contatto tradizionali.
Soft Spam (art. 130, comma 4, Codice Privacy)
I dati personali saranno trattati anche per consentire al Titolare di inviare a mezzo mail all'Interessato che ha già acquistato un servizio comunicazioni commerciali e promozionali aventi ad oggetto Servizi analoghi a quelli oggetto della vendita, senza necessità di consenso espresso e preventivo dell'Interessato, come previsto dall'art. 130, comma 4, Codice Privacy (novellato dal D.lgs. 101/2018), a condizione che l'Interessato non eserciti il diritto di opposizione. In conformità all'art. 13, comma 2, della Direttiva 2009/136/CE e al Considerando 47 del Regolamento (UE) 2016/679, il Titolare potrà utilizzare l'indirizzo e-mail dell'utente, acquisito nel contesto di una relazione di clientela, per inviare comunicazioni elettroniche aventi ad oggetto prodotti o servizi analoghi a quelli offerti in precedenza.
BASE GIURIDICA: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare).
CRITERI DI CONSERVAZIONE: fino a opposizione dell'Interessato, che può essere esercitata gratuitamente in qualsiasi momento, anche mediante il link di opt-out all'interno della comunicazione commerciale.
Profilazione
I dati saranno trattati per l'analisi e valutazione degli interessi, abitudini e scelte di consumo, inclusa la creazione di profili, al fine di poter inviare materiale informativo e promozionale personalizzato sui Servizi offerti dal Titolare. Sarà possibile anche la profilazione tramite trattamenti automatizzati (ad esempio pixel pubblicitari di terze parti accompagnati a campagne di email marketing).
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: la conservazione non supererà i 12 mesi dalla raccolta, salvo rilascio di nuovo espresso consenso.
Invio newsletter
Tramite registrazione alla newsletter, l'indirizzo email dell'Utente viene automaticamente inserito in una lista di contatti a cui potranno essere trasmessi messaggi email contenenti informazioni, anche di natura commerciale e promozionale, relative a Face Harmony DV. L'indirizzo email dell'Utente potrebbe anche essere aggiunto a questa lista come risultato della registrazione dopo aver effettuato un acquisto.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: fino a revoca del consenso, tramite click sul link presente in tutte le e-mail pubblicitarie per rimuovere l'iscrizione oppure inviando e-mail al Titolare.
Direct marketing via WhatsApp Business (art. 130 Codice Privacy)
Nei moduli del Sito (ContactForm e DemoFormSection) è presente una checkbox dedicata, distinta e non pre-spuntata, attraverso la quale l'Utente può esplicitamente acconsentire a essere ricontattato via WhatsApp Business per finalità di marketing diretto (offerte commerciali, comunicazioni promozionali, follow-up vendita). Tale consenso:
- è opzionale (la sua mancata prestazione non pregiudica la possibilità di compilare il modulo e ricevere risposta alla richiesta principale);
- è revocabile in qualsiasi momento scrivendo al Titolare ai recapiti indicati al §1 oppure bloccando il numero del Titolare dall'app WhatsApp;
- è registrato lato server insieme al payload del modulo, ai fini della prova del consenso ex art. 7, par. 1 GDPR;
- viene applicato esclusivamente da operatori di Face Harmony DV S.r.l. autorizzati al trattamento.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso) + art. 130 Codice Privacy.
CRITERI DI CONSERVAZIONE: fino a revoca del consenso.
Utilizzo dei cookie
BASE GIURIDICA e CRITERI DI CONSERVAZIONE: si rinvia alla Cookie Policy disponibile sul Sito (cfr. §6).
Networking
Il Titolare può trattare i dati personali di contatto per mettere in relazione gli Utenti tramite la Community Face Harmony DV gestita dal Titolare.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: fino a revoca del consenso.
Sicurezza
Per identificare e prevenire comportamenti illeciti e/o abusi nell'utilizzo del Sito e per ricavare informazioni necessarie a identificare anomalie, attività fraudolente e/o abusi nell'utilizzo del Sito e dei Servizi erogati (a titolo esemplificativo: protezione anti-bot dei moduli e limitazione della frequenza delle richieste; cfr. §5 e §10).
BASE GIURIDICA: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare).
CRITERI DI CONSERVAZIONE: i dati personali saranno conservati fino al soddisfacimento del legittimo interesse del Titolare a prevenire comportamenti illeciti e/o abusi, limitatamente a quanto necessario per il perseguimento della finalità.
Finalità dimostrative
Per offrire consulenze nell'ambito del Metodo Face Harmony DV e per effettuare simulazioni pratiche di armonizzazione del viso tramite il conferimento di immagini rappresentative del viso (dati personali comuni, dati relativi alla salute e dati biometrici), previa raccolta del consenso specifico e informato e successiva anonimizzazione o pseudonimizzazione dei dati personali.
Le simulazioni potranno avvenire anche mediante l'utilizzo di trattamenti automatizzati e tecnologie di intelligenza artificiale, mediante l'intervento di un Consulente Face Harmony DV che guida il processo di elaborazione delle informazioni, limitandosi a quelle strettamente necessarie per la finalità perseguita.
Le dimostrazioni saranno realizzate al fine di rendere simulazioni per rappresentare il metodo Face Harmony DV nell'ambito dei Servizi di consulenza resi dal Fornitore, previa raccolta del consenso dell'interessato in forma specifica e informata e successiva anonimizzazione o pseudonimizzazione dei dati personali.
BASE GIURIDICA: consenso, art. 9, par. 2, lett. a) GDPR.
CRITERI DI CONSERVAZIONE: i dati particolari saranno cancellati al termine della dimostrazione, salvo consenso dell'interessato sulla medesima base giuridica a compiere ulteriori simulazioni e in ogni caso non oltre 12 mesi dal consenso rilasciato. Il diritto di revoca può essere espresso in ogni momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Registrazione incontri e riprese audio/video/immagini e diffusione
Il Titolare può trattare i dati personali relativi alla partecipazione in presenza e/o da remoto (dati comuni), con particolare riferimento alla registrazione e/o riprese audio-video-immagini delle Beauty Class, per migliorare il servizio erogato e/o per scopi divulgativi e/o per la diffusione a scopi promozionali, previo consenso dell'Interessato, tramite pubblicazione sul Sito, sui social media (a titolo esemplificativo Instagram, Facebook), tramite YouTube o altri canali di comunicazione.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: fino a revoca del consenso e in ogni caso non oltre 24 mesi. Il diritto di revoca può essere espresso in ogni momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Finalità statistica
Al fine di monitorare l'uso del Sito e/o canali social e/o piattaforme collegate attraverso strumenti di analisi delle visite in forma aggregata e anonima, per migliorare la qualità dei servizi e delle prestazioni. Il Sito utilizza a tal fine analytics aggregati senza cookie (cookieless): le metriche di traffico sono raccolte in forma aggregata e anonima, senza profilazione individuale e senza installazione di cookie analitici, e pertanto senza necessità di consenso ai sensi dell'art. 122 Codice Privacy.
BASE GIURIDICA: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare) — nessuna profilazione.
CRITERI DI CONSERVAZIONE: i dati sono trattati in forma aggregata e anonima; eventuali dati personali strumentali alla raccolta sono conservati per il solo tempo tecnico di elaborazione.
Finalità amministrative, contabili, fiscali e obblighi di legge
Questa tipologia di trattamento può includere la conservazione documentale per i periodi richiesti dalla legge, in particolare rispetto alle scritture contabili, agli ordini di acquisto e più in generale alla documentazione contrattuale. Il conferimento dei dati personali e il relativo trattamento per le finalità riconducibili agli obblighi di legge sono necessari per poter adempiere agli obblighi posti in capo al Titolare, che possono includere la conservazione e la comunicazione di dati personali alle autorità competenti.
BASE GIURIDICA: art. 6, par. 1, lett. c) GDPR (obbligo di legge).
CRITERI DI CONSERVAZIONE: per il periodo previsto dalla norma cogente applicabile (a titolo esemplificativo, 10 anni per le scritture contabili ex art. 2220 c.c.).
Esercizio e tutela di un diritto in sede legale
Il Titolare potrebbe trattare i dati personali per esercitare un diritto in sede legale e per l'assolvimento di eventuali obblighi normativi a cui è soggetto, inclusa la normativa fiscale e contabile.
BASE GIURIDICA: art. 6, par. 1, lett. f) GDPR (legittimo interesse).
CRITERI DI CONSERVAZIONE: fino al soddisfacimento del legittimo interesse del Titolare, limitatamente a quanto necessario per il perseguimento della finalità e fino a definizione della vertenza.
Comunicazioni informative sui webinar
Il Titolare potrebbe trattare i dati personali per comunicare, a mezzo SMS, messaggistica istantanea o mail, informazioni in ordine ai webinar a cui l'Interessato si è iscritto, come giorno e orario di inizio, e per inviare un promemoria prima dell'inizio del webinar con il link per l'accesso.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: fino a revoca del consenso e in ogni caso non oltre 12 mesi dal consenso rilasciato, salvo rilascio di nuovo ed espresso consenso.
Soddisfazione del Cliente
I dati saranno trattati per l'invio di sondaggi e test per la verifica del grado di soddisfazione del Cliente, al fine di migliorare l'offerta sui servizi del Titolare, senza scopo di marketing.
BASE GIURIDICA: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare).
CRITERI DI CONSERVAZIONE: fino a opposizione dell'Interessato.
Rilascio di un attestato
I dati potranno essere trattati per il rilascio di un attestato di partecipazione all'Academy Face Harmony DV.
BASE GIURIDICA: art. 6, par. 1, lett. a) GDPR (consenso).
CRITERI DI CONSERVAZIONE: fino a revoca del consenso.
Cookie tecnici
I cookie tecnici strettamente necessari al funzionamento del Sito (sessione, preferenze lingua, sicurezza) sono esenti da consenso ex art. 122 Codice Privacy (cfr. §6).
4 · Conferimento dei dati
Il conferimento dei dati per le finalità contrattuali e precontrattuali è necessario per la conclusione del contratto: il mancato, parziale o inesatto conferimento di tali dati rende impossibile la conclusione dello stesso e l'evasione delle richieste dell'Utente (per i form, il mancato conferimento dei campi obbligatori rende impossibile evadere la richiesta).
Il conferimento dei dati per finalità di marketing diretto, invio di comunicazioni commerciali e newsletter è facoltativo e il mancato conferimento non preclude il contratto e/o le attività collegate al contratto.
5 · Destinatari dei dati e Responsabili esterni del trattamento
Ai sensi dell'art. 4, punto 9), GDPR, i dati personali potranno essere comunicati, limitatamente a quanto necessario per le rispettive attività, alle seguenti categorie di destinatari, che il Titolare nomina, ove ne ricorrano i presupposti, quali Responsabili del trattamento ex art. 28 GDPR e/o autorizza al trattamento:
- fornitori di servizi di hosting e infrastruttura tecnica;
- società che forniscono servizi di marketing, media buying e data analytics;
- fornitori di piattaforme LMS e di videoconferenza per l'erogazione dei Servizi;
- fornitori di sistemi di elaborazione dei pagamenti, istituti bancari e società finanziarie;
- società o studi professionali che prestano attività di assistenza, consulenza o collaborazione in materia contabile, amministrativa, fiscale, legale, tributaria e finanziaria (ciascuno autonomo Titolare o Responsabile a seconda del ruolo);
- autorità competenti, ove richiesto in base alle leggi vigenti, ad esempio in caso di attività fraudolente, abusi o procedimenti giudiziari;
- soggetti terzi che operano nell'interesse e per conto del Fornitore per l'acquisizione di immagini, riprese audio e video;
- personale interno e collaboratori del Titolare, debitamente autorizzati al trattamento e impegnati alla riservatezza o destinatari di un adeguato obbligo legale di riservatezza.
Responsabili del trattamento nominati (principali)
Il Titolare si avvale in particolare dei seguenti fornitori, ciascuno regolato da Data Processing Agreement (DPA):
5.1 Vercel Inc. — Hosting + Vercel Analytics
- Servizio: hosting dell'applicazione Next.js + analytics aggregati, anonimi e cookieless (cfr. §3, finalità statistica).
- Sede dati: Unione Europea (Frankfurt + Ireland).
- Base giuridica trasferimenti: contratto + Standard Contractual Clauses ove applicabili.
- DPA: https://vercel.com/legal/dpa
- Dati trattati: server logs, metriche di traffico aggregate anonime.
- Retention: 30 giorni per i logs.
5.2 Resend Inc. — Email transazionali
- Servizio: invio email di notifica al personale Face Harmony DV e email di acknowledgement agli Utenti.
- Sede dati: Stati Uniti (operatore certificato EU-U.S. Data Privacy Framework).
- DPA: https://resend.com/legal/dpa
- Dati trattati: indirizzo email + contenuto del messaggio inviato dal form.
- Retention: 30 giorni.
5.3 Cloudflare Inc. — CDN + protezione anti-bot
Per proteggere i moduli di contatto presenti sul Sito dall'invio automatizzato (spam, bot, scraping), questo Sito utilizza il servizio anti-bot Cloudflare Turnstile e si avvale dei servizi CDN forniti da Cloudflare Germany GmbH (Rosental 7, c/o Mindspace, 80331 München, Germania) in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR.
Il servizio anti-bot analizza segnali tecnici dell'interazione dell'Utente con la pagina — indirizzo IP, TLS fingerprint, User-Agent e identificativo del sito (sitekey) — al fine esclusivo di distinguere il traffico umano da quello automatizzato. Non vengono installati cookie di profilazione e non viene effettuata alcuna identificazione personale dell'utente. Il servizio CDN (Content Delivery Network) accelera inoltre la distribuzione dei contenuti statici del Sito, raccogliendo logs tecnici a livello edge.
- Base giuridica: legittimo interesse del Titolare a prevenire abusi (art. 6, par. 1, lett. f, GDPR).
- Trasferimento dati: i segnali tecnici possono essere trasferiti negli Stati Uniti sulla base del Data Privacy Framework (Commission Implementing Decision del 10 luglio 2023) e/o di Standard Contractual Clauses.
- DPA: https://www.cloudflare.com/cloudflare-customer-dpa/
- Periodo di conservazione: massimo 30 giorni in forma aggregata e non identificabile per il servizio anti-bot; circa 7 giorni per i logs CDN edge.
- Maggiori informazioni: Cloudflare Privacy Policy (https://www.cloudflare.com/it-it/privacypolicy/) e Turnstile Privacy Addendum (https://www.cloudflare.com/it-it/turnstile-privacy-policy/).
5.4 Upstash Inc. — Rate-limit
- Servizio: limitazione della frequenza delle submission dei form per prevenire abusi (rate-limiting).
- Sede dati: Unione Europea (Frankfurt).
- DPA: https://upstash.com/static/trust/dpa.pdf
- Dati trattati: hash dell'indirizzo IP (non reversibile a fini identificativi).
- Retention: 24 ore.
5.5 Google Ireland Ltd. — Google Maps Platform
Sulla pagina Contatti del Sito è incorporata una mappa interattiva fornita da Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlanda) tramite il servizio Google Maps Embed, con eventuale sub-trattamento da parte di Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
La mappa serve a permettere all'Utente di individuare la sede dello Studio di Milano in Corso Magenta 74 e di ottenere indicazioni stradali.
- Dati trattati da Google: indirizzo IP, identificativo del dispositivo, cookie di funzionamento e di profilazione (a titolo esemplificativo
NID,__Secure-*), informazioni sul browser, eventuali coordinate di geolocalizzazione approssimative. - Base giuridica: consenso (art. 6, par. 1, lett. a) GDPR). L'iframe della mappa è bloccato fino all'acquisizione del consenso
marketingConsenttramite il banner cookie Iubenda; l'utente che non desidera tale trattamento può utilizzare il link "Apri in Google Maps" che non comporta alcuna trasmissione automatica preventiva. - Trasferimento dati: i dati possono essere trasferiti negli Stati Uniti sulla base del Data Privacy Framework (Commission Implementing Decision del 10 luglio 2023) o, in subordine, mediante Clausole Contrattuali Standard.
- Periodo di conservazione: secondo le policy di conservazione di Google, generalmente non oltre 18 mesi per i dati pubblicitari, salvo richiesta di cancellazione tramite "My Activity".
- Diritti dell'Interessato: l'utente può rifiutare in ogni momento i cookie di marketing dal banner cookie, bloccare cookie di terze parti dalle impostazioni del browser, o disattivare il proprio Google Account dal pannello "Controllo attività" di Google.
- Maggiori informazioni: Google Privacy Policy (https://policies.google.com/privacy) e Google Maps additional terms (https://www.google.com/help/terms_maps/).
5.6 Iubenda S.r.l. — Cookie consent + privacy management
- Servizio: banner CMP (Consent Management Platform), cookie scanner, archiviazione legale dei consensi (Consent Solution / CPL).
- Sede dati: Unione Europea (Italia + Germania).
- DPA: https://www.iubenda.com/en/help/29856-iubenda-data-processing-agreement
- Dati trattati: scelte espresse nel banner, indirizzo IP, timestamp, versione del documento accettato, identificativo della preferenza.
- Retention: 5 anni (conformemente alle linee guida del Garante per la protezione dei dati personali in materia di cookie).
5.7 Typeform S.L. — Funnel B2B
- Servizio: form B2B esterni linkati dal Sito (homepage, pagine servizi).
- Sede dati: Unione Europea (Spagna).
- DPA: https://www.typeform.com/help/a/protecting-your-data-with-typeform-360029259552/
- Dati trattati: risposte ai form B2B (dati di contatto e qualifica).
- Retention: secondo policy Typeform, salvo cancellazione su richiesta.
5.8 GitHub Inc. — Code repository + GitHub Actions
- Servizio: gestione codice sorgente e automazione deploy (CI/CD).
- Sede dati: Stati Uniti (operatore certificato EU-U.S. Data Privacy Framework).
- DPA: https://docs.github.com/en/site-policy/privacy-policies/github-data-protection-agreement
- Dati trattati: NESSUN dato utente — il repository contiene esclusivamente codice sorgente dell'applicazione.
- Disclosure: indicato in questa Informativa per piena trasparenza tecnica.
5.9 InfoCert S.p.A. — PEC Legalmail
- Servizio: posta elettronica certificata (PEC) ufficiale della società.
- Sede dati: Unione Europea (Italia).
- DPA: https://www.legalmail.it/dpa
- Dati trattati: messaggi PEC con istituzioni, autorità e controparti professionali.
- Retention: secondo obblighi di legge applicabili alle PEC.
5.10 WhatsApp Inc. / Meta Platforms, Inc. — WhatsApp Business
Face Harmony DV S.r.l. utilizza l'infrastruttura WhatsApp Business, fornita da WhatsApp LLC (gruppo Meta Platforms, Inc., 1601 Willow Road, Menlo Park, CA 94025, Stati Uniti), per gestire la comunicazione con gli Utenti attraverso le seguenti modalità d'uso, tutte attive sul Sito:
- WhatsApp Chat Widget — pulsante di apertura conversazione presente nella pagina Contatti e nel footer del Sito. Quando l'Utente clicca il pulsante, viene reindirizzato all'app WhatsApp (o WhatsApp Web) dove può inviare un messaggio al numero ufficiale del Titolare.
- Assistenza clienti — gestione di richieste di informazioni, supporto e follow-up post-vendita iniziate dall'Utente tramite il canale WhatsApp Business sopra indicato.
- Marketing diretto — invio occasionale di comunicazioni commerciali, offerte e follow-up promozionali a Utenti che abbiano espressamente acconsentito a tale modalità di contatto compilando i form sul Sito e fornendo il proprio numero di telefono. Il consenso al direct marketing via WhatsApp è raccolto separatamente dai consensi necessari all'evasione della richiesta principale, in conformità con l'art. 130 del Codice Privacy e l'art. 6, par. 1, lett. a) GDPR.
Dettagli:
- Sede dati: Stati Uniti (Meta Platforms, Inc.). Eventuali trasferimenti dati nello spazio extra-UE sono regolati da Standard Contractual Clauses e dal Data Privacy Framework (Commission Implementing Decision del 10 luglio 2023).
- DPA: https://www.whatsapp.com/legal/business-data-transfer-addendum
- Dati trattati: numero di telefono dell'Utente, contenuto dei messaggi scambiati, metadata di consegna e lettura, eventuali identificativi del dispositivo trasmessi dall'app WhatsApp.
- Base giuridica per assistenza clienti: (b) esecuzione di misure precontrattuali o (f) legittimo interesse del Titolare a rispondere a richieste di contatto inviate dall'Utente.
- Base giuridica per marketing diretto: (a) consenso esplicito dell'Utente ai sensi dell'art. 130 Codice Privacy.
- Retention: secondo policy Meta/WhatsApp + cancellazione su richiesta dell'Utente ai recapiti indicati al §1. L'Utente può in ogni momento bloccare il numero del Titolare dall'app WhatsApp per impedire ulteriori comunicazioni.
- Maggiori informazioni: https://www.whatsapp.com/legal/privacy-policy
5.11 Microsoft Ireland Operations Ltd. — Microsoft 365 (email)
- Servizio: gestione casella di posta elettronica ordinaria del Titolare (
dv@face-harmony.com) tramite Microsoft Exchange Online (Microsoft 365 Business). I record MX del dominio puntano a*.mail.protection.outlook.com. - Sede dati: Unione Europea (Microsoft EU Data Boundary, datacenter primario in Irlanda + Olanda).
- DPA: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
- Dati trattati: messaggi email ricevuti e inviati dalla casella ordinaria del Titolare, inclusi metadati (mittente, destinatario, oggetto, timestamp) e contenuti del messaggio.
- Trasferimento dati: nell'ambito del Microsoft EU Data Boundary, i dati restano nei datacenter europei. Eventuali trasferimenti extra-UE sono regolati dalle Standard Contractual Clauses incluse nel Microsoft DPA + Data Privacy Framework.
- Retention: secondo policy interna del Titolare e obblighi di legge applicabili (in genere conservazione email per durata della corrispondenza utile + obblighi contabili e civilistici).
- Maggiori informazioni: https://www.microsoft.com/it-it/trust-center/privacy
5.12 Ulama — Piattaforma LMS dell'Academy
- Servizio: piattaforma LMS (Learning Management System) tramite la quale sono erogati i contenuti dell'Academy Face Harmony DV (area riservata corsisti, Beauty Class, risorse digitali, community).
- Dati trattati: dati di registrazione e account dei corsisti (nome, cognome, email), dati di fruizione dei corsi, interazioni nella community.
- Sede dati e DPA: secondo le condizioni del fornitore; la verifica di dettaglio della localizzazione dei dati e del DPA è in corso di aggiornamento e l'esito è disponibile su richiesta al Titolare (cfr. §1).
- Maggiori informazioni: si rinvia all'informativa privacy della piattaforma.
5.13 Zoom Communications, Inc. — Videoconferenze
- Servizio: piattaforma di videoconferenza utilizzata per l'erogazione delle consulenze online e degli incontri live, ove indicata dal Titolare.
- Dati trattati: dati di account e di collegamento (nome, email, dati tecnici della sessione), flussi audio/video della sessione; eventuali registrazioni avvengono solo previo consenso (cfr. §3).
- Sede dati: Stati Uniti. Trasferimento dati: EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- DPA / Maggiori informazioni: https://www.zoom.com/en/trust/privacy/
5.14 Fornitori di servizi di pagamento
Per l'elaborazione dei pagamenti relativi ai Servizi, il Titolare si avvale di fornitori terzi di sistemi di pagamento, in particolare:
- Stripe (Stripe Payments Europe Ltd. / Stripe Inc., Stati Uniti — EU-U.S. Data Privacy Framework + Standard Contractual Clauses; conforme allo standard PCI-DSS);
- PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Lussemburgo; eventuali trasferimenti extra-UE secondo le garanzie del fornitore);
- Splittypay (pagamento rateale: il piano rateale è stipulato direttamente tra il cliente, SplittyPay e i soggetti correlati/cessionari);
- istituti bancari per i pagamenti a mezzo bonifico.
I dati necessari al pagamento (es. dati della carta) sono raccolti e trattati direttamente dal fornitore di pagamento in qualità di autonomo titolare o responsabile, secondo la propria informativa: il Titolare non entra in possesso dei dati completi della carta dell'Utente.
Categoria residuale ed elenco completo
Il Titolare può inoltre avvalersi di ulteriori fornitori di servizi tecnici e di marketing (a titolo esemplificativo: piattaforme di landing page e funnel, strumenti di prenotazione/scheduling, strumenti di automazione e integrazione, piattaforme di email marketing, strumenti di advertising delle piattaforme social), debitamente nominati Responsabili del trattamento ove ne ricorrano i presupposti, limitatamente alle finalità indicate al §3.
Un elenco completo e aggiornato dei Responsabili del trattamento può essere richiesto in ogni momento al Titolare ai recapiti indicati al §1.
Il trasferimento dei dati personali ai Responsabili avviene limitatamente allo svolgimento di specifiche attività di trattamento legate al funzionamento del Sito e/o delle piattaforme collegate e/o dei canali social e delle funzioni aziendali, e con riferimento al completamento delle procedure relative all'acquisto dei Servizi e alle attività di marketing.
6 · Cookies
Il Sito utilizza:
- Cookies tecnici strettamente necessari al funzionamento (sessione, preferenze lingua, sicurezza). Non richiedono consenso ex art. 122 Codice Privacy.
- Analytics cookieless (cfr. §3, finalità statistica): metriche aggregate e anonime raccolte senza installazione di cookie — base giuridica: legittimo interesse, nessuna profilazione individuale.
- NO cookies marketing/profilazione di prima parte attualmente attivi.
- Cookies di terze parti (Google Maps embed, eventuali embed Typeform): bloccati fino all'acquisizione del consenso tramite banner cookie gestito da Iubenda.
Per il dettaglio completo dei cookies utilizzati, la loro durata e finalità, consultare la Cookie Policy gestita tramite Iubenda. Le piattaforme collegate e le property esterne (es. piattaforma LMS, landing page) gestiscono i propri banner e le proprie informative cookie, a cui si rinvia.
Per modificare in qualsiasi momento le preferenze relative ai cookie, utilizzare il pulsante "Gestisci preferenze cookie" presente nel footer di ogni pagina del Sito.
7 · Periodo di conservazione
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, secondo i criteri di conservazione indicati per ciascuna finalità al §3 e le retention tecniche dei singoli Responsabili indicate al §5.
In sintesi: i dati trattati su base contrattuale sono conservati per il tempo necessario a far fronte alle obbligazioni assunte; i dati trattati su base di consenso sono conservati fino a revoca (con i limiti massimi indicati al §3, es. 24 mesi per il marketing, 12 mesi per profilazione, webinar e finalità dimostrative); i dati trattati su base di legittimo interesse sono conservati fino a opposizione dell'Interessato o al soddisfacimento dell'interesse perseguito; i dati soggetti a obblighi di legge sono conservati per il periodo previsto dalla norma applicabile (es. 10 anni per i documenti fiscali e contabili ex art. 2220 c.c.).
Al termine dei periodi indicati, i dati saranno cancellati o anonimizzati in modo irreversibile, salvo diversi obblighi di legge o necessità di accertamento, esercizio o difesa di un diritto in sede giudiziaria.
8 · Diritti dell'interessato (GDPR Artt. 15-22)
In relazione ai trattamenti descritti nella presente informativa, l'Interessato potrà esercitare i diritti elencati nella presente sezione di cui agli articoli da 15 a 22 GDPR Reg. UE 2016/679, in forma gratuita, a meno che le richieste siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, nel qual caso il Titolare potrà addebitare un contributo spese ragionevole.
8.1 Diritto di accesso (art. 15, comma 1 GDPR)
L'Interessato ha in qualsiasi momento il diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di suoi dati personali e, in tal caso, ottenere l'accesso a tali dati personali e alle seguenti informazioni: finalità del trattamento; categorie di dati personali trattati; destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati; periodo di conservazione, se possibile, oppure i criteri utilizzati per determinare detto periodo; il diritto dell'Interessato di chiedere al Titolare la rettifica o la cancellazione o la limitazione del trattamento dei dati personali e il diritto di opporsi al loro trattamento; il diritto di proporre reclamo ad un'Autorità di controllo; se i dati non sono raccolti presso l'Interessato, le informazioni sulla loro origine; l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, commi 1 e 4 GDPR, e le informazioni significative sulla logica utilizzata, l'importanza e le conseguenze previste per l'Interessato. Le informazioni sopra citate sono già presenti all'interno della presente informativa privacy.
8.2 Diritto di rettifica (art. 16 GDPR)
L'Interessato potrà richiedere la rettifica dei suoi dati personali inesatti e richiedere l'integrazione ove risultino incompleti, tenendo conto delle finalità del trattamento.
8.3 Diritto di cancellazione (art. 17, comma 1 GDPR)
L'Interessato può richiedere la cancellazione dei suoi dati personali, che dovrà avvenire senza ingiustificato ritardo; il Titolare ha l'obbligo di cancellare i dati personali oggetto di richiesta qualora sussista anche solo uno dei seguenti motivi: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l'Interessato ha revocato il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il relativo trattamento; l'Interessato si è opposto al trattamento ai sensi dell'art. 21, comma 1 o 2 GDPR e non sussiste più alcun motivo legittimo prevalente per trattare i dati personali; i dati personali sono stati trattati illecitamente; è necessario cancellare i dati personali per adempiere ad un obbligo di legge previsto da una norma europea o di diritto interno.
Ai sensi dell'art. 17, comma 3 GDPR, il Titolare è legittimato a non provvedere alla cancellazione se il trattamento di detti dati sia necessario, ad esempio per l'esercizio del diritto alla libertà di espressione e informazione, per l'adempimento di un obbligo di legge, per motivi di interesse pubblico, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
8.4 Diritto di limitazione del trattamento (art. 18 GDPR)
L'Interessato può ottenere la limitazione del trattamento quando: contesta l'esattezza dei dati personali (in tal caso la limitazione si protrarrà per il tempo necessario al Titolare per verificare l'esattezza dei dati); il trattamento è illecito ma l'Interessato si oppone alla cancellazione e chiede invece che ne sia limitato l'utilizzo; i dati personali sono necessari all'Interessato per l'accertamento, l'esercizio o la difesa di un suo diritto in sede giudiziaria; l'Interessato si è opposto al trattamento ai sensi dell'art. 21, comma 1 GDPR ed è in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del Titolare rispetto a quelli dell'Interessato.
In caso di limitazione del Trattamento, i dati personali dell'Interessato saranno trattati, salvo che per la conservazione, soltanto con il suo consenso o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante.
8.5 Diritto alla portabilità dei dati (art. 20, comma 1 GDPR)
Il diritto alla portabilità dei dati prevede che l'Interessato possa richiedere di ricevere i suoi dati personali trattati dal Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, qualora il trattamento si basi sul consenso o su di un contratto e sia effettuato con mezzi automatizzati. L'Interessato potrà inoltre chiedere al Titolare di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti. In quest'ultimo caso sarà onere dell'Interessato fornire le indicazioni esatte del nuovo titolare del trattamento, a cui intende trasferire i Dati Personali, fornendo autorizzazione scritta.
8.6 Diritto di opposizione (art. 21, comma 2 GDPR e Considerando 70)
Nel caso in cui i dati personali dell'Interessato vengano trattati per finalità di marketing diretto, compresa la profilazione connessa al marketing diretto, gli Interessati possono opporsi al trattamento in qualsiasi momento, gratuitamente e senza fornire alcuna motivazione. Qualora gli Utenti si oppongano al trattamento per finalità di marketing diretto, i Dati Personali non sono più oggetto di trattamento per tali finalità e il trattamento cessa.
8.7 Diritto di proporre reclamo all'Autorità di Controllo
L'Interessato potrà proporre reclamo all'Autorità Garante per la protezione dei dati personali ove ritenga che vi sia stata una violazione dei suoi dati personali ai sensi del GDPR, impregiudicato il diritto di ricorrere in ogni altra sede amministrativa o giurisdizionale competente.
8.8 Revoca del consenso
Se l'Interessato ha prestato il consenso al trattamento dei suoi dati personali per una o più finalità, potrà revocarlo in ogni momento, in tutto o in parte, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca. Gli Utenti hanno diritto di ottenere informazioni in merito alla base giuridica per il trasferimento di Dati all'estero, incluso verso qualsiasi organizzazione internazionale regolata dal diritto internazionale o costituita da due o più paesi, nonché in merito alle misure di sicurezza adottate dal Titolare per proteggere i loro dati personali.
8.9 Come esercitare i diritti
L'Interessato può esercitare i suoi diritti in qualsiasi momento inviando un messaggio di posta elettronica all'indirizzo del Titolare del Trattamento indicato in epigrafe dv@face-harmony.com oppure una raccomandata alla sede legale del Titolare.
Il Titolare del trattamento fornisce all'Interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare informa l'Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'Interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'Interessato.
9 · Trasferimenti dati extra-UE
Alcuni fornitori possono comportare il trasferimento di dati personali al di fuori dello Spazio Economico Europeo, in particolare verso gli Stati Uniti. In tutti i casi, il Titolare adotta garanzie adeguate ai sensi del Capo V GDPR:
- Resend Inc. (Stati Uniti): EU-U.S. Data Privacy Framework + Standard Contractual Clauses Module 2.
- GitHub Inc. (Stati Uniti): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- Cloudflare Inc. (edge globale, eventuale trasferimento US): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- Google Ireland Ltd. / Google LLC (eventuale trasferimento US): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- WhatsApp LLC / Meta Platforms, Inc. (Stati Uniti): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- Zoom Communications, Inc. (Stati Uniti): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- Stripe (eventuale trasferimento US): EU-U.S. Data Privacy Framework + Standard Contractual Clauses.
- PayPal (entità UE; eventuali trasferimenti extra-UE secondo le garanzie del fornitore, incluse Standard Contractual Clauses).
- Piattaforma LMS (Ulama): la localizzazione dei dati è in corso di verifica di dettaglio; eventuali trasferimenti extra-UE avvengono comunque con le garanzie del Capo V GDPR (decisioni di adeguatezza o Standard Contractual Clauses).
- Gli altri vendor elencati al §5 operano all'interno dell'Unione Europea.
Eventuali trasferimenti verso il Regno Unito si fondano sulla Decisione di adeguatezza — Decisione di esecuzione (UE) 2021/1773 della Commissione del 28 giugno 2021. Per i trasferimenti UE-USA il riferimento normativo è il Data Privacy Framework — Commission Implementing Decision del 10 luglio 2023 ai sensi del Regolamento (UE) 2016/679.
10 · Sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR. In particolare:
- TLS 1.3 enforced su tutto il Sito (HTTPS obbligatorio, no fallback HTTP).
- Protezione anti-bot dei moduli su tutte le submission.
- Sistema di rate-limiting delle submission (hash IP, retention 24h) per prevenire abusi.
- Security headers HTTP: Content-Security-Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Vendor selezionati sulla base di certificazioni e standard di settore (ISO 27001, SOC 2, EU-U.S. Data Privacy Framework, etc.).
- Accessi interni limitati ai soli incaricati autorizzati al trattamento, soggetti a obbligo di riservatezza.
- Aggiornamenti regolari delle dipendenze software del Sito per applicare patch di sicurezza.
- Monitoraggio continuo di anomalie e tentativi di accesso non autorizzato.
11 · Reclami e contatti
L'Interessato che ritenga che il trattamento dei dati personali a lui riferiti sia effettuato in violazione di quanto previsto dal GDPR ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, come previsto dall'art. 77 GDPR, oppure di adire le opportune sedi giudiziarie ai sensi dell'art. 79 GDPR.
Contatti dell'Autorità Garante:
- Sito web: https://www.garanteprivacy.it/
- Sede: Piazza Venezia 11, 00187 Roma, Italia
- Email: protocollo@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Centralino: (+39) 06.696771
In alternativa, è sempre possibile contattare direttamente il Titolare ai recapiti indicati al §1 per qualsiasi richiesta, chiarimento o esercizio dei propri diritti. Il Titolare si impegna a rispondere a ogni richiesta nel più breve tempo possibile e, in ogni caso, nei termini previsti dall'art. 12 GDPR (entro un mese, prorogabile di due mesi in caso di richieste particolarmente complesse).
Canali preferenziali di contatto:
- Email ordinaria: dv@face-harmony.com (per richieste di esercizio dei diritti, chiarimenti, contatti generali)
- PEC: faceharmonydv@legalmail.it (per comunicazioni formali e legali)
- Posta raccomandata A/R: indirizzata alla sede legale Corso Magenta 74, 20123 Milano (MI)
12 · Modifiche all'informativa
Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente Informativa privacy in qualunque momento; le modifiche saranno rese note agli Utenti tramite il Sito. Si prega dunque di consultare con frequenza questa pagina, facendo riferimento alla data di ultima modifica indicata in epigrafe. Qualora le modifiche interessino trattamenti la cui base giuridica è il consenso, il Titolare provvederà a raccogliere nuovamente il consenso dell'Utente, se necessario.
13 · Privacy Policy — Trattamento delle Immagini e dei Dati nell'App Face Harmony DV
La presente sezione è redatta ai sensi del Regolamento UE 2016/679 (GDPR) e descrive le modalità di trattamento dei dati personali, incluse le immagini e i dati biometrici, nell'ambito dell'utilizzo dell'App Face Harmony DV.
13.1 Titolare del trattamento. Il Titolare del trattamento è Face Harmony DV S.r.l., con sede legale in Corso Magenta 74, 20123 Milano (MI), Italia, email: dv@face-harmony.com.
13.2 Finalità del trattamento e natura dei dati. L'App Face Harmony DV è riservata ai professionisti del settore estetico che abbiano completato il percorso formativo nell'Academy Face Harmony DV. L'App consente l'acquisizione e l'analisi di immagini del viso e del corpo tramite algoritmi proprietari per la simulazione e valutazione morfologica e cutanea. Le finalità del trattamento sono esclusivamente informative, illustrative e a supporto della consulenza estetica professionale. L'App non fornisce diagnosi mediche, trattamenti clinici né garantisce risultati estetici.
13.3 Tipologie di dati trattati. L'App tratta:
- immagini del viso (fronte e profilo);
- dati biometrici desunti da analisi automatizzata (simmetrie, proporzioni, imperfezioni cutanee);
- metadati tecnici (timestamp, session ID, parametri tecnici dell'elaborazione).
Non vengono raccolti dati identificativi (es. nome, email, codice fiscale) del cliente finale.
13.4 Base giuridica del trattamento. Il trattamento dei dati biometrici avviene esclusivamente previo consenso esplicito e informato del cliente finale, ai sensi dell'art. 9, par. 2, lett. a) del GDPR.
13.5 Integrazione con fornitori esterni e localizzazione dei dati. Per l'esecuzione dell'analisi visiva, l'App si integra con il servizio API "Skin Analyzer" fornito da PerfectCorp, nominato Responsabile esterno del trattamento ai sensi dell'art. 28 GDPR. I dati sono trattati tramite infrastruttura cloud Google Firebase (Irlanda), con archiviazione temporanea criptata AES-256, in conformità al GDPR.
13.6 Conservazione dei dati. I dati trattati sono conservati per il tempo strettamente necessario all'esecuzione dell'analisi:
- elaborazione in tempo reale o entro 60 secondi;
- eventuale archiviazione temporanea, non oltre 72 ore, su server UE (Firebase);
- i dati vengono automaticamente cancellati salvo diversa istruzione del Titolare.
13.7 Sicurezza del trattamento. L'App adotta misure tecniche e organizzative adeguate:
- trasmissione sicura HTTPS/TLS 1.2;
- crittografia dei dati archiviati (AES-256);
- accesso ristretto e profilato alle risorse di elaborazione;
- nessun accesso manuale ai dati da parte del fornitore;
- nessuna trasmissione verso paesi extra-UE senza garanzie adeguate.
13.8 Responsabilità del professionista. Il professionista è l'unico responsabile dell'acquisizione, eventuale salvataggio e gestione delle immagini dei clienti sul proprio dispositivo. Deve:
- raccogliere il consenso informato del cliente prima dell'analisi;
- adottare misure di sicurezza (es. protezione dispositivo, non condivisione);
- cancellare le immagini al termine dell'utilizzo, salvo consenso alla conservazione;
- non condividere i dati con terzi senza autorizzazione.
13.9 Diritti dell'interessato. Ai sensi degli articoli 15-22 del GDPR, l'interessato (cliente finale) ha diritto a: essere informato sulle finalità e modalità del trattamento; ottenere la conferma dell'esistenza di dati e accedervi; chiederne la rettifica o la cancellazione; revocare il consenso in qualsiasi momento; proporre reclamo all'Autorità Garante (www.garanteprivacy.it).
13.10 Modifiche. Face Harmony DV S.r.l. si riserva il diritto di aggiornare la presente sezione in qualsiasi momento. In caso di modifiche sostanziali, ne verrà data adeguata comunicazione agli utenti tramite i canali ufficiali.
13.11 Contatti. Per qualunque richiesta è possibile scrivere a: Email: dv@face-harmony.com — Indirizzo: Corso Magenta 74, 20123 Milano (MI), Italia.
DISCLAIMER — Simulazione a fini illustrativi, non diagnostici: i risultati non garantiscono effetti estetici reali.
Documento di riferimento
La presente Informativa è il documento privacy di riferimento di Face Harmony DV S.r.l. e copre i trattamenti effettuati tramite il Sito, l'App Face Harmony DV, le piattaforme collegate e i canali social del Titolare (cfr. §1). Le pagine e le property esterne gestite dal Titolare rinviano alla presente Informativa.
La Cookie Policy del Sito è gestita tramite la piattaforma Iubenda. In caso di difformità tra la presente Informativa e altre versioni, estratti o sintesi pubblicati altrove, prevale la presente Informativa.
La versione precedente di questa Informativa è disponibile su richiesta al Titolare ai recapiti indicati al §1.