Privacy Policy Supertosano.com

PRIVACY POLICY DEI CANALI DIGITALI TOSANO
Informativa ai sensi dell'art. 13 del Regolamento UE 2016/679

Premessa e Ambito di Applicazione
La presente Informativa sulla privacy è resa da SUPERMERCATI TOSANO CEREA SRL ai sensi e per gli effetti dell'art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (di seguito, "GDPR"), a tutti gli utenti, visitatori e clienti che accedono e interagiscono con i servizi resi disponibili per via telematica tramite i seguenti canali digitali del Gruppo Tosano (di seguito, congiuntamente, i "Canali Digitali"):
•    supertosano.com — sito istituzionale del Gruppo;
•    latuaspesa.com — sito dedicato al servizio e-commerce della spesa online;
•    nataletosano.it — portale dedicato ai prodotti e cesti natalizi, con servizio e-shop;
•    App La Tua Spesa — applicazione mobile per la spesa online e i servizi correlati.

La presente informativa non si applica ad altri siti web, applicazioni o servizi di soggetti terzi eventualmente raggiungibili attraverso link presenti sui Canali Digitali. Il Titolare declina ogni responsabilità in merito al trattamento dei dati effettuato da tali soggetti terzi.
Informative di dettaglio. Oltre alla presente Policy generale, per singoli servizi specifici ed in occasione della compilazione di form di contatto, registrazione, preventivo o sottoscrizione di contratti, saranno rese disponibili informative specifiche di dettaglio ai sensi dell'art. 13 GDPR, le quali integrano la presente e forniscono indicazioni puntuali sulle finalità, sulle basi giuridiche e sui tempi di conservazione propri di ciascun trattamento.

1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali raccolti tramite i Canali Digitali è:
SUPERMERCATI TOSANO CEREA SRL Via Palesella, 1 – 37053 Cerea (VR) E-mail: tosano@supertosano.com - Telefono: 0442-80888

2. Responsabile della Protezione dei Dati (RPD/DPO)
Il Titolare ha provveduto alla nomina di un Responsabile della Protezione dei Dati (RPD/DPO) ai sensi degli artt. 37 e ss. del GDPR. Il RPD/DPO può essere contattato per qualsiasi questione relativa al trattamento dei dati personali e all'esercizio dei diritti riconosciuti dal GDPR ai seguenti recapiti:
AXSYM S.R.L. Via Tolomeo 11 – Verona E-mail: team_dpo@axsym.it 

3. Categorie di Dati Personali Trattati

3.1 Dati di navigazione e tecnici
I sistemi informatici preposti al funzionamento dei siti web e dell'App La Tua Spesa acquisiscono, nel normale corso del loro esercizio, alcune informazioni la cui trasmissione è implicita nell'uso dei protocolli di comunicazione propri di Internet. Rientrano in questa categoria, a titolo esemplificativo: indirizzi IP, nomi a dominio dei computer utilizzati dagli utenti, parametri relativi al sistema operativo e all'ambiente informatico, gli URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta e il codice numerico indicante lo stato della risposta. Tali dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso dei Canali Digitali, per garantirne il corretto funzionamento e per individuare eventuali anomalie o attività illecite.

3.2 Dati forniti volontariamente dall'utente
La compilazione dei form di contatto presenti sui Canali Digitali, l'invio di messaggi di posta elettronica agli indirizzi di contatto pubblicati, nonché ogni altra comunicazione volontaria indirizzata al Titolare, comportano l'acquisizione di dati identificativi e di recapito del mittente (quali, a titolo esemplificativo, nome, cognome, indirizzo e-mail, numero di telefono) e di ogni ulteriore dato personale eventualmente incluso nel corpo del messaggio. Per ciascun form specifico è prevista la pubblicazione di un'informativa di dettaglio ai sensi dell'art. 13 GDPR.

3.3 Dati di registrazione e gestione dell'account
Per accedere ad alcune funzionalità dei portali latuaspesa.com e supertosano.com e dell'App La Tua Spesa può essere richiesta la creazione di un account personale. In tale occasione vengono raccolti i dati necessari alla registrazione (es. nome, cognome, codice fiscale, indirizzo di consegna, indirizzo e-mail, numero di telefono) e quelli connessi alla gestione del profilo. Un'informativa specifica di dettaglio viene resa al momento della registrazione.

3.4 Dati relativi ai servizi e-commerce 
Per la gestione degli ordini sui portali e-commerce latuaspesa.com e tramite l'App La Tua Spesa, il Titolare tratta i dati necessari all'esecuzione del contratto di acquisto, alla fatturazione e alla consegna dei prodotti.
Il portale nataletosano.it, dedicato alla vendita di cesti natalizi e prodotti correlati, consente l'acquisto in modalità e-shop anche senza obbligo di registrazione di un account. In tale caso, i dati personali (quali nome, cognome, indirizzo di consegna, recapiti, dati di pagamento) vengono trattati esclusivamente per la gestione della transazione, la spedizione dell'ordine e/o il ritiro del prodotto e gli adempimenti fiscali connessi. Un'informativa specifica viene resa in fase di inserimento dell'ordine.

3.5 Dati di localizzazione tramite App
L'App La Tua Spesa può richiedere l'accesso ai dati di localizzazione del dispositivo mobile dell'utente (tramite GPS, rete Wi-Fi o rete GSM) al fine di fornire servizi basati sulla posizione geografica (es. individuazione del punto vendita più vicino). Tale accesso avviene esclusivamente previo espresso consenso dell'utente, che può essere accordato, revocato o modificato in qualsiasi momento tramite le impostazioni del proprio dispositivo mobile.

3.6 Dati di condivisione tramite social network
Qualora i Canali Digitali integrino plugin o funzioni di condivisione con piattaforme di social network di terzi, l'attivazione di tali funzioni da parte dell'utente può determinare la trasmissione di dati al gestore del social network, che agisce in qualità di titolare autonomo. Si raccomanda di consultare le informative privacy dei rispettivi social network.

4. Finalità del Trattamento, Basi Giuridiche e Conferimento dei Dati
I dati personali raccolti tramite i Canali Digitali sono trattati per le seguenti finalità, ciascuna fondata su una distinta base giuridica ai sensi dell'art. 6 del GDPR.

4.1 Riscontro a richieste di informazioni e gestione dei contatti
Il Titolare tratta i dati comunicati tramite i form di contatto o mediante invio di e-mail per dare seguito alle richieste di informazioni, chiarimenti o assistenza avanzate dagli utenti.
La base giuridica è l'esecuzione di misure precontrattuali adottate su richiesta dell'interessato, ai sensi dell'art. 6, par. 1, lett. b), GDPR. Il conferimento dei dati è necessario per evadere la richiesta: in sua assenza non sarà possibile fornire il riscontro.

4.2 Gestione delle candidature spontanee
I dati contenuti nei curriculum vitae inviati tramite la compilazione degli appositi form presenti sui Canali Digitali o le e-mail dedicate sono trattati per valutare la compatibilità del profilo con le esigenze organizzative del Titolare e, in caso, per avviare le procedure di selezione.
La base giuridica è l'esecuzione di misure precontrattuali ai sensi dell'art. 6, par. 1, lett. b), GDPR. Il conferimento è facoltativo, ma il mancato conferimento impedisce la valutazione della candidatura. Un'informativa specifica è resa al momento della compilazione del relativo form.

4.3 Gestione dei servizi e-commerce 
I dati forniti in occasione della registrazione e/o degli ordini di acquisto online sono trattati per la gestione degli ordini, la fatturazione, la consegna dei prodotti, la gestione dei resi e dei rimborsi e per ogni ulteriore adempimento connesso all'esecuzione del rapporto contrattuale.
La base giuridica è l'esecuzione del contratto di cui l'interessato è parte, ai sensi dell'art. 6, par. 1, lett. b), GDPR, nonché l'adempimento di obblighi legali (fiscali, contabili e amministrativi) ai sensi dell'art. 6, par. 1, lett. c), GDPR. Il conferimento dei dati è necessario per la conclusione e l'esecuzione del contratto: in sua assenza non sarà possibile elaborare l'ordine.

4.4 Gestione di sinistri e reclami
I dati forniti in relazione a comunicazioni aventi ad oggetto sinistri, danni, reclami o richieste risarcitorie sono trattati per gestire tali pratiche e per la tutela dei diritti del Titolare.
Per i dati personali comuni, la base giuridica è il legittimo interesse del Titolare all'accertamento, all'esercizio e alla difesa di un diritto ai sensi dell'art. 6, par. 1, lett. f), GDPR. Qualora la gestione della pratica comporti il rattamento di dati particolari relativi alla salute, la base giuridica è l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria o stragiudiziale ai sensi dell'art. 9, par. 2, lett. f), GDPR.

4.5 Sicurezza dei Canali Digitali e prevenzione delle frodi
Il Titolare tratta i dati di navigazione e tecnici per garantire la sicurezza informatica dei Canali Digitali, rilevare e prevenire attività fraudolente o illecite, e proteggere i diritti e i sistemi del Titolare.
La base giuridica è il legittimo interesse del Titolare ai sensi dell'art. 6, par. 1, lett. f), GDPR.

4.6 Finalità soggette al consenso dell'interessato
Per specifiche finalità che richiedono il consenso — quali, a titolo esemplificativo, la profilazione, l'invio di comunicazioni commerciali e promozionali personalizzate, la geolocalizzazione precisa tramite App — il Titolare richiede un consenso libero, specifico, informato e inequivocabile ai sensi dell'art. 6, par. 1, lett. a), GDPR. Il consenso può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato in base al consenso prestato anteriormente alla revoca.

5. Modalità del Trattamento e Misure di Sicurezza
Il trattamento dei dati personali è effettuato mediante strumenti informatici, telematici e, ove necessario, cartacei, adottando logiche strettamente correlate alle finalità sopra indicate e comunque idonee a garantire la sicurezza e la riservatezza dei dati stessi.
Il Titolare adotta misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdita, distruzione, alterazione o divulgazione, in conformità agli artt. 25 e 32 del GDPR. I dati sono trattati esclusivamente da personale interno espressamente autorizzato e istruito, nonché da eventuali soggetti terzi nominati Responsabili del trattamento ai sensi dell'art. 28 del GDPR.
Il Titolare non adotta processi decisionali basati unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici sull'interessato o che lo riguardino in modo analogo significativo ai sensi dell'art. 22 del GDPR, salvo quanto diversamente indicato nelle informative di dettaglio per singoli servizi.

6. Periodo di Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, nel rispetto dei termini di prescrizione previsti dalla normativa applicabile. In via indicativa:
•    I dati trattati per finalità contrattuali, fiscali e contabili sono conservati per 10 anni dalla conclusione del rapporto contrattuale, in ottemperanza agli obblighi di legge.
•    I dati di navigazione e tecnici sono conservati per brevi periodi tecnici, salvo necessità di ulteriore conservazione per l'accertamento di reati o violazioni, nel qual caso i termini di legge applicabili trovano prevalenza.
•    I dati relativi alle richieste di contatto e informazioni sono conservati per il tempo necessario all'evasione della richiesta e, successivamente, per un periodo non superiore a 5 anni.
•    I dati relativi alle candidature sono conservati per un periodo non superiore a 5 anni dalla ricezione, al fine di poter valutare il profilo in occasione di future aperture di posizioni.
•    I dati di registrazione dell'account sono conservati per tutta la durata del rapporto e fino alla richiesta di cancellazione dell'account, fatti salvi eventuali obblighi di legge.
•    I dati relativi a sinistri e reclami sono conservati per il tempo necessario alla definizione della pratica e per il successivo periodo di 5 anni e 6 mesi, salvo il ricorrere di contenziosi giudiziari.
Ove non sia possibile indicare un termine preciso, il criterio adottato è quello della stretta necessità rispetto alla finalità del trattamento.

7. Destinatari dei Dati Personali
I dati personali raccolti tramite i Canali Digitali possono essere comunicati o resi accessibili alle seguenti categorie di soggetti:
•    Personale interno autorizzato: dipendenti e collaboratori del Titolare, debitamente autorizzati e istruiti, per le operazioni di trattamento necessarie allo svolgimento delle rispettive mansioni.
•    Responsabili del trattamento: soggetti terzi che trattano dati per conto del Titolare sulla base di un apposito contratto o atto giuridico ai sensi dell'art. 28 GDPR, quali fornitori di servizi informatici e di hosting, società di logistica e corrieri per le consegne, consulenti del lavoro, legali e fiscali, istituti di pagamento, agenzie e compagnie assicurative, avvocati per la difesa in giudizio ed altri soggetti professionali che erogano servizi d’impresa.
•    Titolari autonomi: soggetti che ricevono i dati e ne determinano autonomamente finalità e mezzi, quali autorità pubbliche e giudiziarie, istituti bancari e assicurativi, nei limiti previsti dalla legge o necessari per la tutela dei diritti del Titolare.
L'elenco aggiornato dei Responsabili del trattamento designati è disponibile su richiesta presso il Titolare.

8. Trasferimento dei Dati Personali al di Fuori dell'Unione Europea
I dati personali sono trattati e conservati all'interno dello Spazio Economico Europeo (SEE). Qualora, per le sopra finalità descritte, si rendesse necessario il trasferimento di dati personali verso Paesi terzi situati al di fuori del SEE, il Titolare garantisce che tale trasferimento avvenga nel rispetto delle condizioni previste dal Capo V del GDPR (artt. 44 e ss.), in particolare attraverso l'adozione delle Clausole Contrattuali Standard approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR, ovvero sulla base di una decisione di adeguatezza della Commissione ai sensi dell'art. 45 GDPR. Ulteriori informazioni sulle garanzie adottate per specifici trasferimenti possono essere richieste al Titolare o al DPO.

9. Diritti dell'Interessato
Ai sensi degli artt. 15–22 del GDPR, l'interessato ha il diritto di esercitare, in qualsiasi momento e senza formalità particolari, i seguenti diritti nei confronti del Titolare:
•    Diritto di accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ricevere copia dei dati trattati unitamente alle relative informazioni.
•    Diritto di rettifica (art. 16 GDPR): ottenere la correzione di dati personali inesatti o l'integrazione di quelli incompleti.
•    Diritto alla cancellazione ("diritto all'oblio") (art. 17 GDPR): ottenere la cancellazione dei propri dati personali qualora ricorra una delle condizioni previste dalla norma (es. dati non più necessari rispetto alle finalità, revoca del consenso, opposizione al trattamento).
•    Diritto di limitazione del trattamento (art. 18 GDPR): ottenere che i dati personali siano conservati ma che il trattamento sia limitato alle sole ipotesi previste dalla norma.
•    Diritto alla portabilità dei dati (art. 20 GDPR): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti al Titolare, e trasmetterli a un altro titolare del trattamento, ove tecnicamente fattibile, nei casi in cui il trattamento sia basato sul consenso o su un contratto.
•    Diritto di opposizione (art. 21 GDPR): opporsi, per motivi connessi alla propria situazione particolare, al trattamento dei dati personali fondato sul legittimo interesse del Titolare; nonché opporsi in qualsiasi momento al trattamento a fini di marketing diretto.
•    Diritto relativo ai processi decisionali automatizzati (art. 22 GDPR): non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che lo riguardi in modo analogo significativo.
•    Diritto di revocare il consenso: qualora il trattamento sia basato sul consenso dell'interessato, revocare tale consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Le richieste relative all'esercizio dei suddetti diritti possono essere inviate al Titolare del trattamento ai seguenti recapiti:
SUPERMERCATI TOSANO CEREA SRL Via Palesella, 1 – 37053 Cerea (VR) E-mail: sinistri@supertosano.com 
In alternativa, le richieste possono essere indirizzate al RPD/DPO al seguente indirizzo: E-mail: team_dpo@axsym.it 
Il Titolare fornirà riscontro senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento della richiesta, prorogabile di ulteriori due mesi in caso di complessità o numero elevato di richieste.

10. Diritto di Proporre Reclamo
L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione di quanto previsto dal GDPR ha il diritto di proporre reclamo all'Autorità di controllo competente. In Italia, l'Autorità preposta è il Garante per la protezione dei dati personali, raggiungibile al sito istituzionale www.garanteprivacy.it, ovvero attraverso i recapiti pubblicati sul medesimo sito. È inoltre possibile adire le opportune sedi giudiziarie ai sensi dell'art. 79 del GDPR.

11. Cookie e Tecnologie di Tracciamento
I Canali Digitali possono fare uso di cookie e tecnologie di tracciamento. Per informazioni dettagliate sulle tipologie di cookie utilizzate, sulle relative finalità e sulle modalità per gestire o revocare il consenso, si rinvia alla Cookie Policy pubblicata su ciascun Canale Digitale.

12. Modifiche e Aggiornamenti
La presente Privacy Policy può essere soggetta ad aggiornamenti nel tempo, in relazione all'evoluzione normativa, tecnologica o organizzativa. Le modifiche saranno pubblicate sui Canali Digitali Tosano. Si invitano pertanto gli utenti a consultare periodicamente questa pagina per verificare la versione più aggiornata dell'informativa.

Data di ultimo aggiornamento: 1° giugno 2026