Informativa sulla Privacy — Toveria
Versione 2.0 — Giugno 2026
Conforme al GDPR (UE) 2016/679, al Codice della Privacy italiano
e alle normative applicabili ai trasferimenti internazionali di dati
1. Identità del titolare del trattamento
Toveria — ditta individuale (EI) gestita da Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lione, Francia
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) è il titolare del trattamento dei dati personali raccolti tramite la piattaforma Toveria (toveria.com) e la relativa applicazione mobile, nell'ambito di un marketplace BtoC, CtoC, CtoB e BtoB che opera dall'Europa verso il resto del mondo.
2. Responsabile della Protezione dei Dati (DPO)
Il DPO è il vostro interlocutore per qualsiasi domanda relativa alla protezione dei vostri dati personali.
3. Dati raccolti
3.1 Dati di registrazione — Tutti gli utenti
| Dato | Obbligatorio | Finalità |
|---|---|---|
| Nome e cognome | Sì | Identificazione, DAC7, fatturazione |
| Data di nascita | Sì (persone fisiche) | Verifica maggiore età, DAC7 |
| Indirizzo email | Sì | Autenticazione, notifiche |
| Numero di telefono | Sì | Verifica identità, sicurezza, OTP |
| Indirizzo postale completo | Sì | Consegna, fatturazione, DAC7 |
| Paese di residenza | Sì | Conformità fiscale, IVA internazionale |
| Pseudonimo | Sì | Visualizzazione sulla piattaforma |
| Avatar | No | Personalizzazione |
| Biografia | No | Profilo pubblico venditore |
3.2 Dati aggiuntivi — Account professionali
| Dato | Obbligatorio | Finalità |
|---|---|---|
| Ragione sociale | Sì | Conformità legale, fatturazione BtoB |
| Forma giuridica | Sì | Conformità legale |
| SIRET / Registro equivalente UE | Sì | Verifica identità azienda |
| Numero di partita IVA intracomunitaria | Sì (se soggetto) | VIES, fatturazione BtoB |
| Paese di stoccaggio delle merci | Sì | Conformità DAC7, IVA |
| Kbis o equivalente europeo | Sì | Verifica identità |
| IBAN (conto di bonifico) | Via Stripe | Pagamento venditore (Stripe Connect) |
| Certificazione DAC7 | Sì | Obbligo normativo |
| Documenti KYC Stripe | Via Stripe | Verifica identità Connect |
3.3 Dati raccolti durante l'utilizzo
- Annunci : titolo, descrizione, prezzo, foto, video, categoria, localizzazione
- Transazioni : storico acquisti/vendite, importi, riferimenti pagamento, vettori, numeri di tracciamento
- Conversazioni : messaggi scambiati tra membri
- Comportamento : pagine visitate, ricerche, annunci consultati, preferiti
- Tecnici : indirizzo IP, tipo di dispositivo, browser, OS, lingua, fuso orario
- Doganali : informazioni delle dichiarazioni CN22/CN23 per le spedizioni internazionali
3.4 Dati di pagamento
Trattati esclusivamente da Stripe. Toveria non memorizza i dati bancari. Toveria riceve solo identificatori tokenizzati e conferme di transazione.
3.5 Dati degli acquirenti internazionali
Per gli acquirenti situati al di fuori dell'UE, Toveria raccoglie i dati strettamente necessari alla transazione : nome, email, indirizzo di consegna, paese. Questi dati sono trattati nel rispetto del GDPR e, se applicabile, delle leggi locali sulla protezione dei dati (PDPA Tailandia, LGPD Brasile, PIPEDA Canada, ecc.).
3.6 Numero fiscale (NIF / Tax ID)
Raccolto per i venditori che superano le soglie DAC7 (30 transazioni o 2.000 €/anno). Inoltre raccolto per le transazioni BtoB che richiedono una fattura con identificazione fiscale.
3.7 Dati di notifica push
Se attivate le notifiche push, un identificatore di dispositivo (token FCM) è generato da Firebase Cloud Messaging (Google) e conservato per inviarvi notifiche relative alla vostra attività (messaggi, offerte, vendite, tracciamento ordini). Questo identificatore non contiene alcun dato personale diretto. L'attivazione è facoltativa e si basa sul vostro consenso esplicito (autorizzazione richiesta dal vostro browser, preceduta da un'informativa nell'applicazione) ; nessun identificatore è trasmesso a Google prima di questo consenso. Potete disattivare le notifiche in qualsiasi momento dal vostro dispositivo o dal menu dell'applicazione.
4. Basi legali dei trattamenti
| Trattamento | Base legale |
|---|---|
| Gestione dell'account | Esecuzione del contratto (art. 6.1.b) |
| Elaborazione dei pagamenti | Esecuzione del contratto (art. 6.1.b) |
| Notifiche transazionali | Esecuzione del contratto (art. 6.1.b) |
| Fatturazione BtoB | Esecuzione del contratto + obbligo legale |
| Conformità DAC7 | Obbligo legale (art. 6.1.c) |
| Verifica IVA VIES | Obbligo legale (art. 6.1.c) |
| Dichiarazioni doganali | Obbligo legale (art. 6.1.c) |
| Conformità sanzioni internazionali | Obbligo legale (art. 6.1.c) |
| Lotta alla frode | Interesse legittimo (art. 6.1.f) |
| Miglioramento del servizio | Interesse legittimo (art. 6.1.f) |
| Email marketing | Consenso (art. 6.1.a) |
| Cookie analitici | Consenso (art. 6.1.a) |
| Raccomandazioni personalizzate | Consenso (art. 6.1.a) |
| Notifiche push (Firebase Cloud Messaging) | Consenso (art. 6.1.a) |
5. Finalità dei trattamenti
5.1 Gestione dell'account e autenticazione
Creazione dell'account, verifica dell'identità (email OTP, SMS OTP), accesso sicuro, autenticazione multifactoriale (TOTP), recupero dell'account.
5.2 Funzionamento del marketplace
Pubblicazione e gestione degli annunci, messaggistica in tempo reale tra membri, elaborazione delle transazioni (tutti i tipi : BtoC, CtoC, CtoB, BtoB), gestione dei lotti, storico degli ordini.
5.3 Pagamenti e bonifici venditori
Elaborazione sicura dei pagamenti (Stripe), generazione di ricevute, trasferimento dei fondi ai venditori (Stripe Connect), gestione degli abbonamenti Pro, fatturazione dei boost.
5.4 Fatturazione BtoB
Generazione automatica di fatture conformi (numero sequenziale, dati fiscali completi di entrambe le parti, IVA applicabile) per le transazioni tra account professionali.
5.5 Conformità normativa
Dichiarazioni DAC7 all'amministrazione fiscale, verifica IVA tramite VIES, conformità DSA, verifica delle liste di sanzioni internazionali (tramite OpenSanctions, prima del pagamento), rispetto delle normative doganali. Una restrizione geografica esclude inoltre i paesi sotto embargo (registrazione e consegna bloccate), in base alle sanzioni internazionali applicabili (OFAC, UE, ONU) e al controllo delle esportazioni ; il paese indicato è trattato a questo scopo.
5.6 Transazioni internazionali
Gestione dei dati necessari alle dichiarazioni doganali (CN22/CN23), calcolo delle tasse applicabili (IOSS, dazi doganali), verifica delle restrizioni di esportazione/importazione.
5.7 Sicurezza e anti-frode
Rilevamento di comportamenti fraudolenti, verifica dell'autenticità degli account, protezione contro contenuti illeciti, controlli anti-frode del programma di referral, verifica delle sanzioni internazionali.
5.8 Servizio clienti e controversie
Elaborazione delle richieste di supporto, mediazione tra acquirente e venditore, archiviazione degli scambi necessari alla risoluzione delle controversie, incluse le controversie internazionali.
5.9 Comunicazione commerciale
Invio di email transazionali obbligatorie, invio di email marketing con consenso preventivo (revocabile in qualsiasi momento).
6. Destinatari dei dati
6.1 Fornitori tecnici (responsabili del trattamento)
| Fornitore | Ruolo | Localizzazione | Garanzie |
|---|---|---|---|
| Supabase | Database, autenticazione, archiviazione | UE (Francoforte) | Contratto DPA GDPR |
| Stripe | Pagamenti, KYC, Connect | Stati Uniti | SCC UE — Privacy Shield 2.0 |
| Resend | Email transazionali | Stati Uniti | SCC UE |
| Google (Firebase Cloud Messaging) | Notifiche push | Stati Uniti | SCC UE |
| Anthropic | Assistenza tramite IA (ricerca per immagine, generazione descrizioni annunci, assistente supporto), su richiesta dell'utente | Stati Uniti | SCC UE |
| Vercel | Hosting applicazione | Stati Uniti / UE | SCC UE |
| OpenSanctions | Filtro liste sanzioni internazionali (OFAC, ONU, UE) prima del pagamento | UE (Germania) | Dati limitati all'identità — DPA GDPR |
6.2 Autorità pubbliche
- Amministrazione fiscale (Italia) : dichiarazioni DAC7 annuali
- AGCOM (Italia) : richieste DSA
- Autorità doganali : dati delle dichiarazioni CN22/CN23
- Autorità competenti : risposta a riquisizioni giudiziarie
- Autorità di regolamentazione di paesi terzi : se richiesto dalla legge locale applicabile alla transazione
6.3 Condivisione tra membri
Solo il profilo pubblico è visibile : pseudonimo, avatar, città, biografia, valutazione, numero di vendite. Il nome reale, indirizzo, email e telefono non sono mai condivisi direttamente con altri membri (i dati di consegna sono trasmessi al venditore solo dopo il pagamento confermato, unicamente per la finalità di spedizione).
6.4 Acquirenti al di fuori dell'UE
Quando un acquirente situato al di fuori dell'UE effettua una transazione, i dati necessari alla spedizione (nome, indirizzo di consegna) sono condivisi con il venditore e, se del caso, con il vettore. Questi dati possono essere soggetti alle normative doganali del paese di destinazione.
7. Trasferimenti al di fuori dell'Unione Europea
I trasferimenti verso paesi terzi (in particolare gli Stati Uniti) sono disciplinati da :
- Clausole contrattuali tipo (SCC) approvate dalla Commissione Europea (decisione di adeguatezza 2021/914)
- Quadro EU-US Privacy Shield 2.0 (Decisione di adeguatezza di luglio 2023) per i trasferimenti verso gli Stati Uniti
Per i dati degli acquirenti residenti al di fuori dell'UE, Toveria applica gli stessi standard di protezione dei residenti europei, nei limiti di quanto consentito dalle leggi locali applicabili.
8. Durata della conservazione dei dati
Ogni dato è conservato per la durata strettamente necessaria alla sua finalità, quindi cancellato o anonimizzato. Conformemente alle raccomandazioni dell'Autorità Garante, alcuni dati, dopo la loro fase di utilizzo attivo, passano attraverso un archivio intermedio ad accesso limitato (accessibile solo per il rispetto di obblighi legali o la gestione di una controversia) prima della loro cancellazione definitiva.
| Categoria | Durata della conservazione |
|---|---|
| Dati dell'account attivo | Durata della vita dell'account |
| Dati dell'account dopo la chiusura | Cancellazione dei dati personali al momento della chiusura ; i dati soggetti a obbligo legale sono conservati separatamente per la loro durata specifica |
| Dati di transazioni / ordini | 10 anni (Codice civile, Codice tributario) |
| Fatture BtoB | 10 anni (Codice civile) |
| Conversazioni (messaggi) | Fase attiva di 6 mesi dopo l'ultimo messaggio, quindi archivio intermedio ad accesso limitato, quindi cancellazione : 24 mesi (conversazione senza ordine) o 5 anni (conversazione collegata a un ordine) |
| Allegati dei messaggi (foto) | Cancellati con il messaggio corrispondente |
| Annunci cancellati dal membro | Media rimossi immediatamente ; cancellazione definitiva dell'annuncio 180 giorni dopo |
| Annunci venduti / collegati a un ordine | Conservati come prova della transazione (fino a 5 anni / obblighi contabili) |
| Recensioni e valutazioni | Anonimizzazione dopo 5 anni (valutazione e commento conservati, identità dell'autore dissociata) |
| Dati DAC7 e fiscali | 10 anni |
| Dati doganali | 5 anni (Codice doganale) |
| Log tecnici (errori API) | 90 giorni (purga automatica giornaliera) |
| Log dei tentativi di pagamento (anti-frode) | 7 giorni (purga automatica giornaliera) |
| Altri log di sicurezza | 12 mesi massimo |
| Cookie analitici | 13 mesi massimo |
| Dati del programma di referral | 3 anni |
| KYC Stripe (documenti di identità) | Secondo obblighi Stripe / 5 anni |
| Token di notifica push (FCM) | Fino alla disattivazione o invalidazione ; token scaduti eliminati automaticamente |
Controversia o obbligo in corso (« legal hold ») : qualsiasi dato necessario alla risoluzione di una controversia, al rispetto di un obbligo legale o a una richiesta di un'autorità competente è conservato fino al termine di questo obbligo, in deroga alle durate di cui sopra.
9. Vostri diritti
Conformemente al GDPR (residenti UE) e, nella misura applicabile, alle leggi locali sulla protezione dei dati (residenti al di fuori dell'UE), disponete dei seguenti diritti :
9.1 Diritti GDPR (residenti UE)
- Accesso (art. 15) — ricevere una copia dei vostri dati
- Rettifica (art. 16) — correggere dati inesatti
- Cancellazione (art. 17) — eliminazione salvo obbligo legale di conservazione
- Limitazione (art. 18) — sospensione temporanea del trattamento
- Portabilità (art. 20) — esportazione in formato strutturato (JSON/CSV)
- Opposizione (art. 21) — opposizione ai trattamenti basati sull'interesse legittimo
- Ritiro del consenso — revocabile in qualsiasi momento
9.2 Diritti dei residenti al di fuori dell'UE
Toveria estende, nella misura del possibile, le protezioni GDPR ai residenti al di fuori dell'UE. I residenti di paesi con legislazioni specifiche (LGPD Brasile, PDPA Tailandia, PIPEDA Canada, CCPA California, ecc.) possono esercitare i diritti previsti dalla loro legislazione contattando dpo@toveria.com.
9.3 Esercizio dei diritti
📧 dpo@toveria.com — Oggetto : [Diritti GDPR] La vostra richiesta
Termine di risposta : 30 giorni (prorogabile di 2 mesi per richieste complesse). Può essere richiesto un documento di identità.
9.4 Ricorsi
Autorità Garante per la Protezione dei Dati Personali — garanteprivacy.it — Piazza di Monte Citorio, 121, 00186 Roma
10. Cookie e traccianti
Cookie strettamente necessari (nessun consenso richiesto)
| Cookie | Finalità | Durata |
|---|---|---|
| Autenticazione sessione | Mantenere la connessione | Sessione |
| Preferenze utente | Lingua, visualizzazione | 1 anno |
| Carrello / lotto | Memorizzare la selezione | Sessione |
| Sicurezza | CSRF, anti-frode | Sessione |
Consenso cookie (toveria_cookie_consent) | Memorizzare la vostra scelta | 6 mesi |
Cookie analitici (con consenso)
| Cookie | Finalità | Durata |
|---|---|---|
| Analisi dell'audience | Miglioramento del servizio | 13 mesi |
Nessun cookie analitico o pubblicitario è attivo attualmente : saranno depositati solo dopo il vostro consenso esplicito.
Per i dettagli completi (categorie, durate, ritiro), consultate la nostra Politica di gestione dei cookie. La gestione è accessibile in qualsiasi momento tramite il pulsante « Gestisci i cookie » (menu e fondo di ogni pagina legale).
11. Sicurezza dei dati
- Crittografia in transito : HTTPS / TLS 1.3
- Crittografia a riposo : database Supabase crittografato
- Autenticazione : email OTP + SMS OTP + TOTP (2FA)
- Controllo d'accesso : Row Level Security (RLS) Supabase
- Pagamenti : Stripe PCI DSS Level 1
- Accesso limitato : dati personali accessibili solo ai dipendenti autorizzati
- Registrazione : log di sicurezza conservati 12 mesi
- Anti-frode : Stripe Radar, controlli del programma di referral, verifica sanzioni
In caso di violazione di dati che possa creare un rischio, Toveria vi informerà entro 72 ore.
12. Dati dei minori
La piattaforma è riservata alle persone di 18 anni o più. Segnalazione : dpo@toveria.com.
13. Modifiche
Le modifiche sostanziali sono notificate via email con un preavviso di 30 giorni.
14. Contatti
📧 dpo@toveria.com — Protezione dei dati
📧 dpo@toveria.com — Responsabile della Protezione dei Dati
Toveria — Marketplace europeo BtoC, CtoC, CtoB e BtoB
SIRET : [Da completare] — Registrazione presso l'Autorità Garante n° : [Da completare]
Ultimo aggiornamento : Giugno 2026
Versione italiana — in caso di divergenza con una traduzione, la versione francese prevale.