La tua privacy,al sicuro.

Mirablu Abbigliamento (ragione sociale: Melablu srl), con sede legale in Via Vincenzo Cerza 20, 82018 San Giorgio del Sannio (BN), Italia — Partita IVA IT01115420620 — Iscritta al Registro Imprese di Benevento — è il Titolare del trattamento ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 e s.m.i. (Codice Privacy italiano).

Per qualsiasi richiesta relativa ai tuoi dati personali puoi scrivere a [email protected] oppure alla PEC [email protected]. Non è nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti obbligatori di cui all'art. 37 GDPR; le richieste vengono gestite direttamente dal Titolare.

• Dati di contatto e ordine: nome, cognome, email, telefono, indirizzo di spedizione e fatturazione, codice fiscale (per fattura privata su richiesta).
• Dati di pagamento: gestiti esclusivamente da gateway certificati PCI-DSS Level 1 (Stripe, PayPal, Scalapay). Non conserviamo numeri di carta sui nostri server.
• Dati di navigazione: indirizzo IP anonimizzato, browser, sistema operativo, pagine visitate, tempo di permanenza — tramite cookie tecnici e analitici (vedi cookie policy).
• Dati account (se ti registri): preferenze di taglia, colori preferiti, wishlist, storico ordini.

• Esecuzione del contratto (art. 6.1.b GDPR): processare ordini, spedizioni, resi, gestire l'account.
• Obblighi legali (art. 6.1.c): fatturazione elettronica, conservazione fiscale 10 anni, tracciabilità prodotti.
• Legittimo interesse (art. 6.1.f): prevenzione frodi, sicurezza del sito, analisi statistiche aggregate.
• Consenso (art. 6.1.a): newsletter, comunicazioni marketing, profilazione preferenze. Sempre opt-in esplicito, sempre revocabile con un click.

I dati di ordine e fattura per 10 anni (obbligo fiscale italiano). I dati account e marketing finché tieni attivo il consenso, e comunque non oltre 24 mesi dall'ultima interazione. I cookie analitici 26 mesi (Google Analytics 4 default). Dopo questi termini i dati vengono cancellati o anonimizzati.

I tuoi dati non vengono mai venduti. Li condividiamo solo con fornitori che ci aiutano a erogare il servizio, vincolati da accordi di nomina a Responsabile (art. 28 GDPR):

• Hosting e CDN: Hetzner Cloud (server EU/Helsinki/Falkenstein) e Cloudflare (CDN globale, DPA Hetzner aggiornato 2025, DPA Cloudflare con SCC)
• Pagamenti carta/wallet: Stripe Payments Europe Ltd. (Irlanda, PCI-DSS L1) · PayPal (Europe) S.à r.l. (Lussemburgo) · Apple Pay / Google Pay (tokenized passthrough, nessun dato carta ai nostri server)
• Pagamenti BNPL — Scalapay: Scalapay S.p.A. (sede legale Milano, P.IVA 11337900961). Per l'adesione al servizio “paga in 3 rate” vengono trasferiti a Scalapay nome, email, indirizzo di spedizione, importo e dettaglio ordine necessari alla valutazione di credito e gestione delle rate. Base giuridica: art. 6.1.b GDPR (esecuzione contratto BNPL). Trasferimenti UE only. Retention dati pagamento: 10 anni ex art. 2220 c.c. obbligo fiscale. Privacy policy fornitore: scalapay.com/it/privacy-policy.
• Spedizioni: BRT, DHL Express, SDA — nome, indirizzo e telefono spedizione (necessari per consegna).
• Email transazionali e marketing: SendGrid (Twilio Inc., USA — SCC + DPF), Brevo (EU).
• Analytics: Google Analytics 4 con IP anonimizzato + consent mode v2.
• Assistente AI Vito Stylist: vedi paragrafo 10 e informativa Trasparenza AI per dettaglio fornitori AI (Azure OpenAI EU residency, modelli stylist gpt-5.4-nano + GPT-4o vision).
• Customer care: solo team interno mirablu, accesso limitato e tracciato.

Alcuni fornitori (Stripe, Google Analytics, SendGrid) hanno sede negli Stati Uniti. I trasferimenti avvengono sotto le tutele del Data Privacy Framework UE-USA approvato dalla Commissione Europea il 10 luglio 2023, con clausole contrattuali standard (SCC) come safeguards aggiuntivi.

Puoi in qualsiasi momento, scrivendo a [email protected]:

• Accedere ai tuoi dati e ottenerne copia (art. 15)
• Rettificare informazioni inesatte (art. 16)
• Cancellare i tuoi dati — “diritto all'oblio” (art. 17)
• Limitare il trattamento (art. 18)
• Ricevere i dati in formato portabile (art. 20)
• Opporti al trattamento per finalità di marketing o legittimo interesse (art. 21)
• Revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente (art. 7.3)

Hai inoltre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (garanteprivacy.it).

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR: HTTPS/TLS 1.3 su tutto il sito, password customer hashate con bcrypt, accessi backend con autenticazione a due fattori, backup giornalieri cifrati, registro accessi tracciato. Eventuali data breach vengono notificati all'Autorità entro 72 ore e agli interessati senza ingiustificato ritardo.

Il nostro sito non è rivolto a minori di 14 anni. Ai sensi dell'art. 2-quinquies del Codice Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018), il consenso al trattamento dei dati di chi non ha compiuto 14 anni è valido solo se prestato da chi esercita la responsabilità genitoriale. Se ritieni che un minore ci abbia fornito dati senza il necessario consenso, scrivici: procederemo alla cancellazione immediata.

Vito Stylist è il nostro assistente AI conversazionale che propone outfit dal catalogo Mirablu, salva le tue preferenze di stile, e (su tuo upload esplicito) genera anteprime visive virtual-try-on.

Base giuridica: art. 6.1.a GDPR — consenso esplicito al momento dell'avvio chat e attivo per il salvataggio delle preferenze (taglia, colori preferiti, occasioni). Puoi revocare il consenso in ogni momento dalla sezione “Account · Preferenze Vito” o scrivendoci a [email protected]; la revoca non pregiudica la liceità del trattamento precedente (art. 7.3 GDPR).

Dati trattati e retention:

• Preferenze styling (taglia, colori, occasioni): conservate 24 mesi dall'ultima interazione, poi anonimizzate e usate solo per analytics aggregate.
• Storia chat: conservata per 24 mesi per continuità conversazionale; cancellabile su richiesta in qualsiasi momento.
• Foto upload per anteprima virtuale: trattamento processo e dimentica. La foto sorgente viene elaborata in memoria, eliminata dai server entro 60 secondi dall'elaborazione, e di te resta solo un codice di prova di cancellazione (SHA-256) a fini di audit. Non salviamo mai la foto originale, l'immagine generata virtual-try-on resta nella tua sessione cliente e viene cancellata con la chat.

Articolo 22 GDPR: Vito non prende decisioni automatizzate con effetti giuridici o significativi su di te. Non valuta credito, non determina prezzi personalizzati, non nega l'accesso al servizio, non opera profilazione vincolante.

Articolo 20 GDPR — Portabilità: puoi richiedere l'export dei tuoi dati Vito (preferenze + storia chat) in formato JSON strutturato, scrivendo all'indirizzo di contatto.

AI Act (Reg. UE 2024/1689): in conformità con gli obblighi di trasparenza dell'art. 50 (in vigore dal 2 agosto 2026), i contenuti generati o manipolati da AI sono chiaramente etichettati nell'interfaccia con badge “Vito AI” sempre visibile + watermark Content Credentials (C2PA) sulle immagini virtual-try-on. Per il dettaglio completo sui fornitori AI, modalità di funzionamento, gestione del rischio e governance interna consulta la nostra informativa Trasparenza AI dedicata.

Ci riserviamo di aggiornare questa informativa per recepire modifiche normative o evoluzioni del servizio. Il documento aggiornato sarà sempre consultabile da questa pagina con l'indicazione della data di ultima modifica. Per modifiche sostanziali ti avviseremo via email se sei iscritto.