Informativa sulla privacy
GOFOR360 S.r.l.
Informativa sul Trattamento dei Dati Personali
ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (GDPR)
Ultimo aggiornamento: aprile 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
GOFOR360 S.r.l.
Sede legale: Via Argelati 10, 20143 Milano (MI)
Codice Fiscale e Partita IVA: IT10816840960
REA: MI 2796807
Email: supporto@gofor360.it
PEC: pec@pec.gofor360.it
2. Tipologie di Dati Trattati
2.1 Dati forniti direttamente dall'utente
Il Titolare tratta i seguenti dati forniti direttamente dall'utente:
-
Dati anagrafici (nome, cognome) e di contatto (email, numero di telefono)
-
Indirizzo di spedizione e di fatturazione
-
Dati relativi agli ordini e allo storico acquisti
-
Dati di pagamento, gestiti dal provider di pagamento (Shopify Payments/Stripe, PayPal). Il Titolare non conserva i dati della carta di credito
-
Contenuti prodotti dall'utente (recensioni, eventuali foto allegate)
Il numero di telefono può essere utilizzato per comunicazioni relative all'ordine tramite chiamata, SMS o applicazioni di messaggistica (tra cui WhatsApp), esclusivamente per finalità di gestione dell'ordine e assistenza post-vendita. In particolare, per gli ordini con pagamento alla consegna (contrassegno) il Titolare invia tramite WhatsApp un messaggio automatico di conferma ordine che richiede al cliente una conferma attiva quale prerequisito alla spedizione (trattamento necessario all'esecuzione del contratto e per finalità antifrode). Previo consenso esplicito dell'interessato, il numero di telefono può essere utilizzato anche per contattare il cliente su WhatsApp ai fini dell'erogazione di eventuali sessioni di orientamento personalizzato sul benessere offerte in omaggio al raggiungimento di determinate soglie di spesa.
2.2 Dati raccolti automaticamente
-
Indirizzo IP (troncato per finalità analitiche), user agent, tipo di dispositivo, browser, lingua, sistema operativo
-
URL delle pagine visitate, prodotti visualizzati, percorso di navigazione, timestamp
-
Identificatori di sessione e, previo consenso, identificatori di cookie di marketing
2.3 Dati raccolti tramite il quiz di consulenza (RevenueHunt)
Il Sito mette a disposizione un quiz facoltativo tramite l'applicativo RevenueHunt. Nel corso del quiz, l'utente può fornire informazioni sulla propria salute (sintomi, condizioni riferite, obiettivi di benessere, dieta). Questi dati rientrano nelle categorie particolari di dati personali ai sensi dell'art. 9 GDPR e sono trattati esclusivamente sulla base del consenso esplicito raccolto prima dell'inizio del quiz (art. 9.2.a).
Per il trattamento dei dati di salute raccolti tramite quiz è stata redatta una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR, disponibile su richiesta.
3. Finalità del Trattamento
I dati sono trattati per le finalità elencate nella tabella seguente, ciascuna con la relativa base giuridica e durata di conservazione:
|
Finalità |
Base giuridica (art. 6 / 9 GDPR) |
Dati trattati |
Conservazione |
|---|---|---|---|
|
Gestione ordini, spedizioni, pagamenti, fatturazione, comunicazioni relative all'ordine (anche tramite WhatsApp/SMS) |
Art. 6.1.b (esecuzione contratto) e 6.1.c (obbligo legale fiscale) |
Anagrafici, indirizzo, telefono, dati ordine, dati fiscali |
10 anni dall'ultimo ordine (obbligo fiscale) |
|
Verifica antifrode e conferma attiva degli ordini con pagamento contrassegno tramite messaggio WhatsApp automatico |
Art. 6.1.b (esecuzione contratto, prerequisito alla spedizione) e 6.1.f (legittimo interesse antifrode) |
Nome, telefono, ID ordine, stato di conferma |
Fino alla spedizione dell'ordine, poi 3 anni (gestione reclami) |
|
Gestione abbonamenti ricorrenti |
Art. 6.1.b (esecuzione contratto) |
Anagrafici, pagamento, cronologia rinnovi |
Durata abbonamento e 10 anni (fiscale) |
|
Assistenza clienti e gestione richieste |
Art. 6.1.b (contratto) e 6.1.c (obblighi legali) |
Anagrafici, contenuto comunicazioni |
3 anni dalla chiusura della pratica |
|
Email marketing, newsletter, automazioni, SMS |
Art. 6.1.a (consenso) |
Email, nome, storico ordini, tag comportamentali |
Fino a revoca del consenso |
|
Quiz di consulenza prodotti con dati di salute |
Art. 9.2.a (consenso esplicito per dati di categoria particolare) |
Email, obiettivi benessere, sintomi, condizioni riferite |
30 giorni in forma identificata (RevenueHunt), poi anonimizzazione; tag salute su Klaviyo: 24 mesi |
|
Personalizzazione raccomandazioni prodotto |
Art. 6.1.a (consenso) e 6.1.f (legittimo interesse per funzionalità base) |
Storico navigazione e acquisti |
12 mesi o fino a revoca |
|
Raccolta e pubblicazione recensioni prodotto |
Art. 6.1.b (contratto, post-acquisto) e consenso per foto |
Nome, email, contenuto recensione |
Fino a richiesta di cancellazione |
|
Programma community e fedeltà clienti |
Art. 6.1.a (consenso all'iscrizione) |
Nome, email, punti, storico premi |
Durata adesione e 2 anni |
|
Erogazione sessione di orientamento personalizzato sul benessere (omaggio al raggiungimento soglia spesa, contatto via WhatsApp) |
Art. 6.1.a (consenso esplicito) |
Nome, telefono, obiettivi benessere |
24 mesi dalla sessione o fino a revoca |
|
Vendite cross-canale TikTok Shop |
Art. 6.1.b (esecuzione contratto) |
Anagrafici, ordine, email (reale o hash TikTok) |
10 anni (fiscale) |
|
Tracciamento pubblicitario (Meta, Google) |
Art. 6.1.a (consenso) e art. 26 (co-titolarità con Meta) |
Eventi navigazione pseudonimizzati, hash email |
90 giorni (Meta), 14 mesi (GA4), 90 giorni (Google Ads) |
|
Analisi statistica e ottimizzazione del sito |
Art. 6.1.f (legittimo interesse) e consenso per cookie non tecnici |
Eventi navigazione anonimizzati, identificatori variant A/B |
Durata test, 14 mesi GA4 |
|
Gestione del consenso ai cookie |
Art. 6.1.c (obbligo legale) |
Preferenze consenso, IP troncato, timestamp |
13 mesi |
|
Strumenti interni di analisi profitto |
Art. 6.1.f (legittimo interesse, analisi economica) |
Dati ordine, costi, identificatore cliente Shopify |
Durata del dato Shopify di origine |
|
Esercizio dei diritti degli interessati (artt. 15-22 GDPR) |
Art. 6.1.c (obbligo legale) |
Identificativi, contenuto richiesta |
5 anni dalla chiusura |
|
Gestione data breach |
Artt. 33-34 GDPR |
Descrizione violazione, interessati coinvolti |
5 anni |
|
Sicurezza del sito (log di navigazione, antifrode) |
Art. 6.1.f (legittimo interesse, sicurezza) |
IP, user agent, URL, timestamp |
6-12 mesi |
4. Strumenti e Fornitori (Responsabili del Trattamento)
Il Titolare si avvale di fornitori terzi che operano come Responsabili del trattamento ai sensi dell'art. 28 GDPR, con i quali sono stati stipulati o sono in fase di acquisizione appositi Data Processing Agreement (DPA). Di seguito l'elenco aggiornato dei principali strumenti:
|
Fornitore |
Finalità / Servizio |
Dati trattati |
Sede / Trasferimento |
|---|---|---|---|
|
Shopify Inc. |
Piattaforma e-commerce, hosting del sito, gestione ordini e catalogo |
Tutti i dati ordine, anagrafici, di navigazione |
USA, SCC |
|
Shopify Payments / Stripe |
Elaborazione pagamenti con carta |
Dati di pagamento (il Titolare non conserva i dati della carta) |
USA, SCC |
|
PayPal (Europe) S.à r.l. et Cie, S.C.A. |
Elaborazione pagamenti PayPal |
Dati di pagamento, email |
LU |
|
Klarna Bank AB |
Messaggistica informativa su pagamenti rateali in scheda prodotto |
Identificatori navigazione, dati prodotto visualizzato |
SE |
|
Klaviyo Inc. |
Email marketing, SMS, automazioni, segmentazione clienti; include tag di categoria particolare solo se l'interessato ha completato il quiz con consenso ex art. 9 |
Email, nome, storico ordini, tag comportamentali; tag salute a 24 mesi |
USA, SCC, DPF |
|
RevenueHunt |
Quiz di consulenza prodotti con raccolta dati di salute (art. 9 GDPR) |
Email, nome, risposte quiz (sintomi, condizioni, obiettivi); anonimizzazione automatica a 30 giorni |
UE/USA, SCC |
|
Rebuy (Rebuy Engine Inc.) |
Personalizzazione raccomandazioni prodotto, upsell e cross-sell |
Storico navigazione, storico ordini, identificatore cliente |
USA, SCC |
|
Loox Inc. |
Raccolta e pubblicazione recensioni prodotto |
Nome, email, contenuto recensione, eventuali foto |
USA, SCC |
|
Bubblehouse |
Programma community e loyalty, gestione punti fedeltà |
Nome, email, attività community, punti, tier |
USA, SCC |
|
Loop Subscriptions |
Gestione abbonamenti ricorrenti e rinnovi |
Anagrafici, metodo pagamento, cronologia rinnovi |
USA, SCC |
|
Kaching Bundles (Kaching Subscriptions) |
Erogazione bundle e offerte multi-prodotto in carrello e checkout |
Dati carrello, prodotti selezionati |
USA, SCC |
|
Shoplift |
A/B testing landing page per ottimizzazione sito |
Identificatore variante, eventi interazione |
USA, SCC |
|
AI Order Tags & Flows (QR code) |
Generazione QR code post-acquisto e tracciamento scansioni per funnel community |
ID ordine, timestamp scansione, identificativo QR, IP |
USA, SCC |
|
CEDCommerce |
Integrazione e sincronizzazione catalogo e ordini TikTok Shop |
Anagrafici, ordine, email |
IN, SCC |
|
TikTok Technology Ltd. (ByteDance) |
Vendite TikTok Shop e tracciamento pubblicitario |
Email (hash o reale), ordine, eventi pubblicitari |
SG/IE, SCC |
|
Meta Platforms Ireland Ltd. |
Tracciamento pubblicitario e remarketing Facebook e Instagram (co-titolare art. 26 GDPR) |
Eventi navigazione pseudonimizzati, hash email |
USA, SCC, DPF |
|
Google LLC |
Google Analytics 4 (analisi di navigazione) e Google Ads (tracciamento conversioni) |
Eventi anonimizzati, IP troncato, identificatori cookie |
USA, SCC, DPF |
|
WeTracked |
Server-side tracking eventi di conversione (Meta Conversions API) |
Hash email, IP pseudonimizzato, eventi di acquisto |
USA, SCC |
|
WhatsApp (Meta Platforms Ireland Ltd.) |
Comunicazioni relative all'ordine e assistenza, erogazione sessione di orientamento personalizzato |
Nome, telefono, contenuto conversazione |
USA, SCC |
|
WhatFlow-Chat Automation |
Automazione messaggi WhatsApp per conferma attiva degli ordini con pagamento contrassegno (COD), prerequisito alla spedizione |
Nome, telefono, ID ordine, stato di conferma |
USA, SCC |
|
Pandectes |
Gestione del consenso ai cookie (CMP) |
Preferenze consenso, IP troncato, timestamp |
UE/USA, SCC |
|
Supabase Inc. |
Database hosted per le applicazioni custom interne di analisi profitto (gofor, profit-tool-v2, quiz-discount) |
Dati ordine, costi, identificatore cliente Shopify |
USA, SCC |
|
Lovable Labs AB |
Ambiente di sviluppo AI e deploy delle applicazioni custom interne: il team scrive codice tramite chat e connette il codice a Supabase in produzione |
Codice delle applicazioni che accede a dati ordine e identificatori cliente Shopify; log tecnici di sviluppo |
SE (Svezia, nessun trasferimento extra-UE) |
|
Novapri S.r.l. |
Logistica e gestione resi presso il magazzino di Monza (MB) |
Anagrafici, indirizzo, dati ordine, dati reso |
IT (nessun trasferimento extra-UE) |
|
Corrieri (BRT, GLS, InPost e altri) |
Consegna dei prodotti e gestione resi |
Nome, indirizzo, telefono, email |
IT / UE |
SCC = Standard Contractual Clauses (Clausole Contrattuali Standard, Decisione UE 2021/914). DPF = EU-U.S. Data Privacy Framework (Decisione di adeguatezza del 10 luglio 2023).
5. Trasferimenti dei Dati Fuori dall'Unione Europea
Alcuni Responsabili del trattamento hanno sede fuori dall'Unione Europea (principalmente Stati Uniti). In questi casi il trasferimento dei dati avviene sulla base di:
-
Decisione di adeguatezza per il Regno Unito e per gli Stati Uniti limitatamente ai soggetti certificati EU-U.S. Data Privacy Framework
-
Standard Contractual Clauses (SCC) approvate dalla Commissione Europea per i trasferimenti verso Paesi non adeguati
-
Misure supplementari ove necessarie (pseudonimizzazione, cifratura, restrizioni di accesso)
6. Diritti dell'Interessato
Ai sensi degli articoli 15-22 GDPR, l'utente ha diritto a:
-
Accedere ai propri dati personali (art. 15)
-
Ottenere la rettifica dei dati inesatti o l'integrazione di dati incompleti (art. 16)
-
Ottenere la cancellazione dei dati (art. 17, diritto all'oblio)
-
Ottenere la limitazione del trattamento (art. 18)
-
Ricevere i dati in formato strutturato e trasferirli ad altro titolare (art. 20, portabilità)
-
Opporsi al trattamento (art. 21)
-
Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato, inclusa la profilazione (art. 22)
-
Revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento effettuato prima della revoca
Per esercitare i propri diritti, l'utente può contattare il Titolare: Email: supporto@gofor360.it, Per iscritto: GOFOR360 S.r.l., Via Argelati 10, 20143 Milano (MI).
Il Titolare risponde alle richieste entro 30 giorni (prorogabili di ulteriori 60 giorni in casi complessi, con comunicazione motivata all'interessato).
Reclamo al Garante
L'interessato ha diritto di proporre reclamo all'Autorità di controllo (Garante per la protezione dei dati personali):
-
Sede: Piazza Venezia 11, 00187 Roma
-
Email: garante@gpdp.it / PEC: protocollo@pec.gpdp.it
-
Sito: www.garanteprivacy.it
6-bis. Uso di Sistemi di Intelligenza Artificiale e Profilazione
Il Titolare utilizza sistemi di intelligenza artificiale e algoritmi automatizzati in alcune aree del Sito, nel rispetto del Regolamento (UE) 2016/679 (GDPR) e del Regolamento (UE) 2024/1689 (AI Act). Di seguito si descrivono le principali aree di utilizzo e le relative tutele per l'utente.
6-bis.1 Quiz di consulenza prodotti
Il quiz facoltativo disponibile sul Sito utilizza un algoritmo di raccomandazione che, sulla base delle risposte fornite dall'utente, suggerisce i prodotti del catalogo potenzialmente più adatti alle esigenze espresse. Il risultato del quiz è una raccomandazione di acquisto informativa, non vincolante, e non produce effetti legali o similmente significativi sull'utente ai sensi dell'art. 22 GDPR. L'utente rimane libero di acquistare o non acquistare i prodotti suggeriti.
6-bis.2 Raccomandazioni personalizzate di prodotto
Previo consenso raccolto tramite il banner cookie, il Sito utilizza il servizio Rebuy Personalization Engine per mostrare all'utente raccomandazioni di prodotto personalizzate sulla base della cronologia di navigazione e di acquisto. Si tratta di una forma di profilazione finalizzata esclusivamente al miglioramento dell'esperienza di acquisto, che non incide su prezzi o condizioni di vendita e non produce effetti legali o significativi sull'utente.
6-bis.3 Segmentazione per finalità di marketing
Previo consenso, Klaviyo utilizza algoritmi di segmentazione comportamentale per inviare comunicazioni di marketing pertinenti agli interessi dell'utente. Anche in questo caso si tratta di profilazione a basso rischio che non incide sui diritti dell'utente, sempre revocabile mediante disiscrizione dalla newsletter.
6-bis.4 Strumenti di sviluppo software assistiti da AI
Il team tecnico del Titolare utilizza strumenti di sviluppo software assistiti da AI (in particolare Lovable Labs AB, con sede in Svezia) per la scrittura e il mantenimento di applicazioni interne di analisi economica. Tali applicazioni accedono ai dati degli ordini ma non interagiscono direttamente con l'utente finale. Il Titolare ha adottato misure tecniche e organizzative per impedire che dati personali reali di clienti siano inseriti nei prompt dei sistemi AI di sviluppo (cfr. Documento Misure di Sicurezza).
6-bis.5 Diritti dell'utente
L'utente ha diritto in ogni momento di:
-
Opporsi al trattamento dei propri dati per finalità di profilazione (art. 21 GDPR)
-
Revocare il consenso prestato per le finalità di marketing e personalizzazione
-
Chiedere informazioni sulla logica alla base degli algoritmi di raccomandazione utilizzati
-
Contattare il Titolare per qualsiasi dubbio relativo all'uso di sistemi AI all'indirizzo supporto@gofor360.it
Nessuno dei trattamenti descritti rientra nella categoria di decisioni automatizzate con effetti legali o similmente significativi ai sensi dell'art. 22 GDPR. Il Titolare monitora gli sviluppi dell'AI Act e si impegna ad aggiornare la presente informativa in caso di obblighi aggiuntivi di trasparenza.
7. Cookie
Il Sito utilizza cookie tecnici strettamente necessari al funzionamento (nessun consenso richiesto) e, previo consenso raccolto tramite il banner gestito da Pandectes, cookie analitici e di marketing. Il consenso è granulare per categoria, è sempre revocabile, e la prova del consenso viene conservata dal CMP.
Per il dettaglio completo dei cookie utilizzati (nome, provider, durata, finalità) si rimanda alla Cookie Policy disponibile all'indirizzo: www.gofor360.it/pages/cookie-policy
8. Minori
Il Sito non è destinato a minori di 16 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora il Titolare venga a conoscenza di aver trattato dati di un minore senza il consenso dei genitori o di chi esercita la potestà genitoriale, provvederà tempestivamente alla cancellazione.
9. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, in particolare per adeguarla a modifiche normative o a cambiamenti dello stack tecnologico. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si invita l'utente a consultare periodicamente questa pagina.
Aprile 2026
GOFOR360 S.r.l., Via Argelati 10, 20143 Milano (MI), P.IVA IT10816840960, REA MI 2796807