Skip to content
Thrifted.mt LogoTHRIFTED.mt

Informativa sulla privacy

Ultimo aggiornamento: marzo 2026

1. Introduzione

Benvenuto su Thrifted.mt. Rispettiamo la tua privacy e ci impegniamo a proteggere i tuoi dati personali. La presente informativa sulla privacy spiega come trattiamo i tuoi dati personali quando visiti il nostro sito web e ti illustra i tuoi diritti in materia di privacy e le garanzie previste dalla legge.

2. Titolare del trattamento

Il titolare del trattamento di tutti i dati personali trattati tramite Thrifted.mt è:

  • Entità: Joshua Fielding (imprenditore individuale), operante con il nome commerciale Thrifted.mt
  • Indirizzo: 53 Triq Il-Lunzjata, Appartamento 3 Julian Flats, San Gwann SGN 1312, Malta
  • E-mail: [email protected]

Per qualsiasi domanda relativa al trattamento dei tuoi dati personali, ti preghiamo di contattarci all'indirizzo sopra indicato.

3. Dati che raccogliamo

Potremmo raccogliere, utilizzare, conservare e trasmettere diversi tipi di dati personali che ti riguardano, raggruppati come segue:

  • Dati identificativi: nome, cognome, nome utente o identificativo simile. Per i venditori sottoposti a verifica dell'identità, ciò include anche le immagini dei documenti di identità rilasciati dalle autorità competenti (vedere la Sezione 5).
  • Dati di contatto: indirizzo e-mail, indirizzo di consegna e numero di telefono.
  • Dati finanziari: numero di conto corrente (IBAN) e dati della carta di pagamento. Il tuo IBAN viene crittografato quando non è in uso e viene utilizzato esclusivamente per elaborare i prelievi dei guadagni (vedi Sezione 5a). I dati della carta di pagamento vengono elaborati esclusivamente da Stripe e non vengono mai memorizzati da noi.
  • Dati relativi alle transazioni: dettagli sui pagamenti da e verso l'utente e sui prodotti acquistati o venduti sulla nostra piattaforma.
  • Dati tecnici: indirizzo IP, dati di accesso, tipo e versione del browser, impostazioni del fuso orario e posizione, sistema operativo e piattaforma.
  • Dati del profilo: nome utente, password, acquisti o ordini effettuati dall'utente, interessi, preferenze e feedback.
  • Contenuto dell'annuncio: foto degli articoli, descrizioni, prezzi e altre informazioni fornite al momento della creazione dell'annuncio.

Raccogliamo solo i dati personali necessari per gli scopi descritti in questa informativa. Ove possibile, utilizziamo l'anonimizzazione o la pseudonimizzazione per ridurre l'identificabilità dei dati.

4. Come utilizziamo i tuoi dati e la base giuridica

Utilizziamo i tuoi dati personali solo nei casi consentiti dalla legge. La base giuridica (ai sensi dell'art. 6 del GDPR) per ciascuna tipologia di trattamento è:

  • Creazione dell'account e autenticazione: esecuzione del contratto (art. 6, paragrafo 1, lettera b)).
  • Elaborazione degli ordini e dei pagamenti: esecuzione del contratto (art. 6, paragrafo 1, lettera b)).
  • Verifica dell'identità dei venditori: esecuzione del contratto (art. 6, paragrafo 1, lettera b)) e interesse legittimo alla prevenzione delle frodi (art. 6, paragrafo 1, lettera f)).
  • Creazione di inserzioni assistita dall'IA (Gemini/OpenAI): interesse legittimo alla qualità della piattaforma (art. 6, paragrafo 1, lettera f)). Il trattamento delle immagini delle inserzioni tramite IA avviene solo quando si utilizzano esplicitamente le funzioni di compilazione automatica tramite IA o di caricamento in blocco.
  • Rilevamento automatico delle immagini d'archivio: interesse legittimo all'integrità del marketplace (art. 6, paragrafo 1, lettera f)). Cfr. la sezione 6a.
  • Comunicazioni della piattaforma (e-mail, notifiche): esecuzione del contratto (art. 6, paragrafo 1, lettera b)) per i messaggi relativi alle transazioni; interesse legittimo (art. 6, paragrafo 1, lettera f)) per gli aggiornamenti della piattaforma.
  • Analisi dei dati (Google Analytics, PostHog): consenso (art. 6, paragrafo 1, lettera a)), solo previo consenso all'uso dei cookie.
  • Prevenzione delle frodi, gestione delle controversie, sicurezza: interesse legittimo (art. 6, paragrafo 1, lettera f)).
  • Conformità legale e normativa (conservazione dei documenti finanziari): obbligo di legge (art. 6, paragrafo 1, lettera c)).

5. Verifica dell'identità

Per garantire la sicurezza della piattaforma, chiediamo ai venditori di verificare la propria identità prima di mettere in vendita i propri articoli.

  • Raccolta: raccogliamo immagini di documenti di identità rilasciati dalle autorità pubbliche (passaporto, carta d'identità, patente di guida). Al momento del caricamento, l'utente fornisce inoltre un consenso esplicito ai sensi del GDPR e viene registrata la data e l'ora di tale consenso.
  • Elaborazione esclusivamente tramite revisione umana: tutte le verifiche dell'identità vengono effettuate esclusivamente da un membro del nostro team. Non utilizziamo bot, modelli di intelligenza artificiale né processi decisionali automatizzati per elaborare, esaminare, approvare o rifiutare i documenti di identità.
  • Archiviazione temporanea: una volta caricato, il documento viene salvato in un archivio temporaneo protetto e verrà automaticamente cancellato dopo 24 ore.
  • Crittografia e archiviazione: se approvato, il documento viene crittografato con AES-256-GCM e spostato in un bucket di archiviazione ad accesso limitato. Se rifiutato, il documento viene eliminato immediatamente.
  • Conservazione: i documenti di identità archiviati vengono conservati per un massimo di 180 giorni dalla verifica, dopodiché vengono cancellati definitivamente. È possibile richiedere la cancellazione anticipata in qualsiasi momento all'indirizzo [email protected].
  • Registri di controllo: i registri di accesso relativi alle operazioni di verifica dell'identità vengono conservati per 7 anni ai fini della conformità alle norme di legge e della prevenzione delle frodi. I registri contengono solo metadati, mai immagini dei documenti.
  • Base giuridica: il trattamento è necessario per l'esecuzione del contratto e per il perseguimento del legittimo interesse alla prevenzione delle frodi.

5a. IBAN (numero di conto corrente)

Per consentire ai venditori di prelevare i propri guadagni, raccogliamo e conserviamo il numero di conto bancario internazionale (IBAN).

  • Raccolta: Il tuo IBAN viene inserito volontariamente nel profilo del tuo conto. È richiesto solo per i prelievi.
  • Crittografia: il tuo IBAN viene crittografato con AES-256-GCM immediatamente al momento del salvataggio e conservato in forma crittografata.
  • Accesso: l'IBAN decriptato è accessibile solo al personale autorizzato di Thrifted.mt ai fini dell'elaborazione dei prelievi.
  • Conservazione: il tuo IBAN viene conservato finché rimane salvato nel tuo profilo. Puoi aggiornarlo o cancellarlo in qualsiasi momento.
  • Base giuridica: il trattamento è necessario per l'esecuzione del contratto (per soddisfare la tua richiesta di pagamento delle vendite).

6. Cookie e consenso

Utilizziamo i cookie per migliorare la tua esperienza.

  • Cookie strettamente necessari: indispensabili per il funzionamento del sito web (ad esempio, sessioni di accesso e sicurezza). Non richiedono il consenso.
  • Cookie di autenticazione (Firebase): Utilizzati per mantenere la sessione di accesso e autenticare le richieste API. Sono strettamente necessari e non richiedono il consenso.
  • Cookie di analisi (Google Analytics, PostHog): utilizzati per capire come interagisci con il sito web e migliorare l'esperienza della piattaforma. Questi cookie non vengono impostati a meno che tu non dia esplicitamente il tuo consenso tramite il nostro banner sui cookie. Tutti i dati di PostHog vengono elaborati nell'UE.

6a. Processi decisionali automatizzati

Ricorriamo al trattamento automatizzato in misura limitata nei seguenti ambiti:

  • Rilevamento delle immagini di repertorio: le immagini degli annunci vengono valutate automaticamente in base alla probabilità che si tratti di immagini di repertorio. Se il punteggio supera una soglia prestabilita, l'annuncio potrebbe essere nascosto in attesa di una revisione manuale o essere rifiutato. È possibile contestare qualsiasi decisione di moderazione automatica all'indirizzo [email protected].
  • Generazione di schede tramite IA: quando utilizzi la funzione di compilazione automatica tramite IA o il caricamento in blocco, le tue immagini potrebbero essere inviate a Google Gemini (o, in alternativa, a OpenAI) per ottenere suggerimenti sui contenuti delle schede. I suggerimenti hanno solo scopo di supporto e devono essere verificati da te prima della pubblicazione.

Ai sensi dell'articolo 22 del GDPR, hai il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato che produca effetti giuridici o di importanza analoga. Qualora venga utilizzata la moderazione automatizzata, su richiesta è disponibile una revisione manuale.

7. Servizi di terze parti e trasferimenti internazionali

Ci avvaliamo di fornitori di servizi esterni per la gestione della piattaforma. Ciascuno di essi agisce in qualità di responsabile del trattamento ai sensi dell'articolo 28 del GDPR:

  • Stripe (USA/UE): elaborazione dei pagamenti. Stripe gestisce i dati delle carte di pagamento in conformità con gli standard PCI-DSS. Non conserviamo i numeri delle carte.
  • Brevo (Francia/UE): invio di e-mail transazionali per conferme, notifiche e comunicazioni relative all'account.
  • Cloudflare (USA/UE): hosting web, protezione DDoS e archiviazione immagini (R2).
  • Google (Firebase Auth e Gemini AI) (USA/UE): autenticazione e generazione di elenchi tramite IA.
  • OpenAI (USA): fornitore di intelligenza artificiale di riserva per la generazione di elenchi.
  • Google Analytics (USA/UE): analisi dell'utilizzo del sito web, solo previo consenso esplicito.
  • PostHog (UE): analisi di prodotto e tracciamento eventi per comprendere il comportamento degli utenti e le prestazioni della piattaforma. I dati sono ospitati nell'UE (Francoforte). Il trattamento si basa sul consenso esplicito (Art. 6(1)(a)).
  • Google Cloud Translation (USA/EU): Traduzione automatica dei messaggi di chat e dei contenuti degli elenchi. Il testo del messaggio viene inviato all'API di traduzione di Google Cloud per l'elaborazione. Le traduzioni vengono memorizzate nella cache del nostro database per ridurre le chiamate ripetute all'API.
  • MaltaPost (Malta): Generazione dell'etichetta di spedizione e tracciamento del pacco per gli ordini che utilizzano il metodo di consegna al punto di ritiro. MaltaPost riceve i nomi dell'acquirente e del venditore, gli indirizzi di consegna e i numeri di telefono necessari per l'esecuzione della spedizione.
  • OpenSanctions (UE): Controllo antiriciclaggio e sanzioni. Il nome e la data di nascita possono essere controllati rispetto agli elenchi di sanzioni internazionali e ai database delle persone politicamente esposte (PEP) per conformarsi alla legge maltese sulla prevenzione del riciclaggio di denaro.

Qualora i dati vengano trasferiti al di fuori del SEE, ci avvaliamo di garanzie adeguate quali il quadro normativo UE-USA in materia di protezione dei dati, le clausole contrattuali tipo (SCC) o, ove applicabile, il consenso esplicito.

Gli accordi di trattamento dei dati (DPA) con ciascun incaricato del trattamento sono disponibili su richiesta all'indirizzo [email protected].

8. Sicurezza dei dati

Adottiamo misure di sicurezza adeguate per impedire che i tuoi dati personali vengano accidentalmente persi, utilizzati, consultati in modo non autorizzato, alterati o divulgati. L'accesso è limitato al personale e ai soggetti terzi che ne hanno necessità per motivi di lavoro.

8a. Notifica di violazione dei dati

In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà dell'utente, informeremo l'Information and Data Protection Commissioner (IDPC) di Malta entro 72 ore dalla conoscenza della violazione, come richiesto dall'articolo 33 del GDPR. Se è probabile che la violazione comporti un rischio elevato per i diritti e le libertà dell'utente, lo comunicheremo direttamente all'utente senza ritardi ingiustificati, come richiesto dall'articolo 34 del GDPR.

9. I tuoi diritti

Ai sensi del GDPR, hai il diritto di:

  • Richiedi l'accesso ai tuoi dati personali.
  • Richiedi la rettifica dei tuoi dati personali.
  • Richiedi la cancellazione dei tuoi dati personali (diritto all'oblio).
  • Opporsi al trattamento dei propri dati personali.
  • Richiedere la limitazione del trattamento dei propri dati personali.
  • Richiedi il trasferimento dei tuoi dati personali (portabilità dei dati).
  • Puoi revocare il consenso in qualsiasi momento nei casi in cui ci basiamo sul consenso.
  • Presentare un reclamo: È possibile presentare un reclamo al Commissario per la protezione delle informazioni e dei dati di Malta (IDPC) qualora si ritenga che i propri dati personali siano stati trattati in modo illecito. Contatti: idpc.org.mtoppure per posta all'indirizzo: Commissario per l'informazione e la protezione dei dati, Second Floor, Airways House, High Street, Sliema SLM 1549, Malta.

10. Cancellazione dell'account e conservazione dei dati

Come richiedere la cancellazione

  1. Accedi e apri la pagina del tuo profilo.
  2. Vai alla sezione "Zona di pericolo".
  3. Seleziona "Richiedi la cancellazione dell'account".
  4. Digita DELETE e conferma.

Se non riesci ad accedere al tuo account, invia un'e-mail [email protected] dall'indirizzo e-mail associato al tuo account.

Cosa cancelliamo

  • Dati del profilo (nome, nome utente, avatar, località, data di nascita, IBAN).
  • Dati e documenti relativi alla verifica dell'identità.
  • Elementi salvati e notifiche relative all'account.
  • Visibilità delle inserzioni pubbliche (le inserzioni vengono rimosse dalle pagine del marketplace).

Quali dati possiamo conservare e perché

  • Documentazione finanziaria: saldi dei portafogli, registro delle transazioni dei portafogli e registrazioni relative agli ordini e ai pagamenti per un periodo di 10 anni a partire dalla data della transazione.
  • Documentazione relativa a frodi e controversie: documentazione relativa alle comunicazioni e alla moderazione sul marketplace (compresi messaggi, offerte e segnalazioni) conservata per un massimo di 6 anni dalla chiusura dell'account, o per un periodo più lungo qualora richiesto dalla legge.
  • Registri di sicurezza e di controllo: metadati relativi alla sicurezza e al controllo conservati per un massimo di 7 anni.
  • Base giuridica per la conservazione dei dati: obbligo di legge (art. 6, paragrafo 1, lettera c) del GDPR) e interessi legittimi (art. 6, paragrafo 1, lettera f) del GDPR).

Gli account cancellati vengono disattivati e non possono continuare a utilizzare normalmente la piattaforma senza una verifica da parte dell'assistenza.

11. Contattaci

Per qualsiasi domanda relativa alla presente informativa sulla privacy o alle nostre pratiche in materia di privacy, vi preghiamo di contattarci all'indirizzo [email protected].

Preferenze sui cookie

Gestisci il tuo consenso ai cookie di analisi. La modifica delle tue preferenze ha effetto immediato.

Stato attuale:Non impostato