Informativa sul trattamento dei dati personali
ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che visitano il sito lodifa.it e dei clienti della piattaforma B2B di Lodifa Srl. Il sito è attualmente nella fase di presentazione dei servizi; in futuro sarà attivata una piattaforma B2B dedicata a farmacie e parafarmacie.
2. Titolare del trattamento
Titolare del trattamento è Lodifa Srl, con sede legale in Via XX Settembre, 47 – 00187 Roma, P.IVA 16417251002, PEC lodifasrl@pec.it, tel. 081 5706612, email info@lodifa.it.
Lodifa Srl non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti di obbligatorietà ai sensi dell'art. 37 GDPR. Per ogni questione relativa al trattamento dei dati personali è possibile contattare il Titolare ai recapiti sopra indicati.
3. Tipologie di dati trattati
3a. Dati di navigazione
I sistemi informatici acquisiscono, nel normale esercizio, dati la cui trasmissione è implicita nell'uso dei protocolli Internet: indirizzi IP, URL delle risorse richieste, orario della richiesta, parametri del sistema operativo e del browser utilizzato. Tali dati sono trattati esclusivamente per finalità di sicurezza e diagnostica e conservati per un periodo limitato.
3b. Dati forniti volontariamente tramite il modulo di contatto
I dati forniti tramite il modulo di contatto (nome, indirizzo email, eventuale numero di telefono e contenuto del messaggio) sono trattati per dare riscontro alla richiesta ricevuta. Il conferimento è facoltativo, ma il mancato conferimento dei dati contrassegnati come obbligatori impedisce di evadere la richiesta.
3c. Dati dei clienti B2B (fase piattaforma)
Con l'attivazione della piattaforma B2B, saranno trattati: dati anagrafici aziendali (ragione sociale, P.IVA, codice fiscale, sede legale e operativa, codice SDI, PEC aziendale); dati identificativi e di contatto dei referenti aziendali (persone fisiche che operano per conto del cliente); credenziali di accesso alla piattaforma; dati relativi agli ordini all'ingrosso (prodotti, quantità, prezzi); dati di fatturazione.
I dati relativi agli ordini all'ingrosso non costituiscono dati relativi alla salute ai sensi dell'art. 9 GDPR, in quanto riferiti all'attività commerciale del cliente quale persona giuridica, e non allo stato di salute di persone fisiche identificabili.
4. Finalità e basi giuridiche
| Trattamento | Base giuridica | Conservazione |
|---|---|---|
| Riscontro al modulo di contatto | Misure precontrattuali / legittimo interesse (art. 6.1.b e f GDPR) | Fino all'evasione della richiesta, max 24 mesi |
| Registrazione e gestione account | Esecuzione del contratto (art. 6.1.b GDPR) | Durata dell'account |
| Gestione ordini all'ingrosso | Esecuzione del contratto (art. 6.1.b GDPR) | Durata del rapporto + 10 anni |
| Fatturazione e contabilità | Obbligo legale (art. 6.1.c GDPR; art. 2220 c.c.; art. 39 DPR 633/1972) | 10 anni |
| Tracciabilità del farmaco | Obbligo legale (art. 6.1.c GDPR; D.M. 15 luglio 2004) | Secondo normativa di settore |
| Gestione referenti aziendali | Legittimo interesse (art. 6.1.f GDPR) | Durata del rapporto commerciale |
| Dati di navigazione e sicurezza | Legittimo interesse (art. 6.1.f GDPR) | Pochi mesi |
| Cookie tecnici | Esecuzione del servizio richiesto (art. 122 D.Lgs. 196/2003) | Sessione / durata tecnica |
| Marketing verso referenti | Consenso o legittimo interesse (art. 6.1.a/f GDPR; Considerando 47) | Fino a revoca o opposizione |
5. Destinatari e responsabili esterni
I dati personali potranno essere comunicati, in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR, ai seguenti fornitori di servizi tecnologici, con i quali è stato stipulato un apposito accordo sul trattamento dei dati (Data Processing Agreement):
- Vercel Inc.(hosting e content delivery network): certificata ai sensi dell'EU-U.S. Data Privacy Framework; il trasferimento negli USA è coperto dalla decisione di adeguatezza della Commissione europea del 10 luglio 2023 (art. 45 GDPR).
- Supabase (database e autenticazione): il trasferimento extra-UE è garantito dalle Clausole Contrattuali Standard approvate dalla Commissione europea (art. 46 GDPR).
- Resend (invio di comunicazioni email transazionali): il trasferimento extra-UE è garantito dalle Clausole Contrattuali Standard approvate dalla Commissione europea (art. 46 GDPR).
I dati non sono diffusi né ceduti a terzi per finalità proprie di questi ultimi.
6. Trasferimenti extra-UE
Il trattamento dei dati avviene prevalentemente all'interno dell'Unione Europea. Ove dati personali siano trasferiti verso paesi terzi, il trasferimento è effettuato nel rispetto delle garanzie previste dagli artt. 44-49 GDPR (decisione di adeguatezza o Clausole Contrattuali Standard), come specificato alla sezione precedente.
7. Periodi di conservazione
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di minimizzazione (art. 5, par. 1, lett. e) GDPR), e comunque non oltre i termini indicati nella tabella alla sezione 4. Decorso il periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile.
8. Diritti degli interessati
Ai sensi degli artt. 15-22 GDPR, gli interessati hanno diritto di:
- accedere ai propri dati personali (art. 15);
- ottenere la rettifica di dati inesatti o incompleti (art. 16);
- ottenere la cancellazione dei dati (art. 17), nei casi previsti;
- ottenere la limitazione del trattamento (art. 18);
- ricevere i dati in formato strutturato e leggibile da dispositivo automatico — portabilità (art. 20);
- opporsi al trattamento basato su legittimo interesse (art. 21);
- revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente alla revoca (art. 7, par. 3).
Per esercitare i propri diritti, gli interessati possono inviare richiesta scritta a: info@lodifa.it oppure lodifasrl@pec.it. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta (prorogabili di ulteriori 60 giorni in caso di particolare complessità).
9. Reclamo al Garante
Gli interessati hanno altresì il diritto di proporre reclamo all'Autorità di controllo competente. In Italia, l'autorità competente è il Garante per la protezione dei dati personali, Piazza Venezia 11 – 00187 Roma, sito web: www.garanteprivacy.it.
10. Misure di sicurezza
Lodifa Srl adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR, tra cui: trasmissione cifrata dei dati tramite protocollo HTTPS/TLS; hashing delle credenziali di accesso; controllo degli accessi basato sul principio del privilegio minimo; backup periodici dei dati; procedure di gestione degli incidenti di sicurezza.
12. Modifiche all'informativa
Il Titolare si riserva di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di aggiornamento. Si invitano gli utenti a consultare periodicamente questa pagina.
Ultimo aggiornamento: giugno 2025