Legale

Informativa sul trattamento dei dati personali (Privacy policy)

Ultimo aggiornamento: giugno 2026. La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy, come modificato dal D.Lgs. 101/2018) e descrive il trattamento dei dati personali svolto da iVenduto in qualità di titolare relativamente al proprio servizio di intermediazione.

1. Titolare del trattamento e contatti

iVenduto è il nome commerciale del servizio di intermediazione gestito dalla società operativa Netfix S.A.S. di Chernetska Yuliya e C. (NETFIX), con sede legale in Via Giacomo Matteotti 15B, 22063 Cantù (CO), P.IVA 04030570131, PEC netfix@pec.net (di seguito anche "iVenduto", "noi").

Netfix S.A.S. di Chernetska Yuliya e C. è il titolare del trattamento dei dati personali raccolti tramite questo sito. iVenduto è un intermediario: non acquista i dispositivi e non è parte della compravendita. Il presente ruolo di titolare riguarda quindi i dati trattati per erogare il nostro servizio di intermediazione (valutazione, abbinamento con un negozio acquirente, logistica e verifica, supporto al perfezionamento della vendita), non i trattamenti che il negozio partner svolge in proprio.

Per esercitare i tuoi diritti o per qualsiasi richiesta in materia di protezione dei dati puoi scrivere a privacy@ivenduto.it. Per richieste e reclami relativi al servizio (valutazione, pagamento, spedizione, reso) è disponibile un canale di assistenza dedicato, indicato nei Termini e condizioni.

Responsabile della Protezione dei Dati (DPO): non nominato. La nostra attività non rientra fra i casi di nomina obbligatoria previsti dall'art. 37 del GDPR; per ogni questione sui dati personali puoi scrivere a privacy@ivenduto.it.

2. Categorie di dati personali trattati (e perché)

A seconda del flusso scelto (spedizione all'hub oppure ritiro in negozio con codice) e delle attività che svolgi sul sito, trattiamo le seguenti categorie di dati:

  • Dati identificativi e di contatto: nome, indirizzo email, numero di telefono. Servono per gestire la tua pratica, contattarti e inviarti le comunicazioni di servizio.
  • Indirizzo postale: trattato nel flusso Spedizione per generare l'etichetta di spedizione gratuita e tracciata e per gestire il ritiro del dispositivo e l'eventuale reso.
  • IBAN: trattato nel flusso Spedizione perché il negozio partner possa disporre il bonifico a tuo favore. Nel flusso Ritiro in negozio il pagamento avviene direttamente in negozio (contanti o bonifico del partner) e quindi, di norma, NON abbiamo bisogno del tuo IBAN. In entrambi i casi il denaro del telefono non transita mai sul conto di iVenduto.
  • IMEI del dispositivo: identificativo tecnico univoco del dispositivo, legato indirettamente alla persona. È trattato per identificare il dispositivo, per le verifiche anti-frode e anti-ricettazione (controllo tecnico che il dispositivo non risulti segnalato come smarrito o rubato e non risulti bloccato a un account, ad esempio iCloud) e per finalità di garanzia.
  • Condizioni dichiarate del dispositivo (questionario) e dati relativi alla valutazione: servono a generare la valutazione e a confrontarla con le condizioni reali in sede di verifica.
  • Dati tecnici e di navigazione: raccolti con uno strumento di analytics rispettoso della privacy, senza cookie e senza profilazione pubblicitaria, in forma aggregata.
  • Credenziali e dati di sessione per le aree riservate (login partner e login admin), gestiti tramite cookie strettamente tecnici.

La valutazione mostrata online è elaborata internamente sulla base del modello e delle condizioni dichiarate; non comporta la raccolta di dati ulteriori rispetto a quelli sopra indicati.

3. Finalità del trattamento e basi giuridiche

Trattiamo i tuoi dati per le finalità seguenti, ciascuna con la propria base giuridica ai sensi dell'art. 6 GDPR:

  • Erogazione del servizio di intermediazione (gestione della valutazione, abbinamento con un partner acquirente, spedizione e certificazione oppure ritiro in negozio con codice o QR, supporto al perfezionamento della vendita al partner). Base giuridica: esecuzione del contratto e misure precontrattuali adottate su tua richiesta, art. 6(1)(b).
  • Adempimenti fiscali, contabili e amministrativi propri di iVenduto (ad esempio la fatturazione della commissione al partner) e altri obblighi normativi applicabili. Base giuridica: obbligo legale, art. 6(1)(c).
  • Prevenzione delle frodi, sicurezza della piattaforma, tutela contro l'uso improprio del servizio e verifiche anti-ricettazione collegate all'IMEI. Base giuridica: legittimo interesse, art. 6(1)(f), previo bilanciamento con i tuoi diritti; puoi opporti a questi trattamenti come indicato nella sezione sui diritti.
  • Comunicazioni di servizio relative alla pratica in corso (stato della valutazione, spedizione, pagamento, esito della verifica). Base giuridica: esecuzione del contratto e, ove necessario, legittimo interesse.
  • Eventuale marketing o newsletter, solo se attivato da te. Base giuridica: consenso, art. 6(1)(a), revocabile in qualsiasi momento.
  • Statistiche di utilizzo del sito tramite analytics privacy-friendly, senza profilazione. Base giuridica: legittimo interesse alla misurazione aggregata e, in subordine, la natura tecnica dello strumento.

Il consenso è richiesto solo dove espressamente indicato (ad esempio per il marketing). Per le finalità contrattuali e per gli obblighi di legge non è necessario il tuo consenso. Non effettuiamo profilazione pubblicitaria.

4. Verifiche anti-ricettazione sull'IMEI e confine con gli obblighi del partner

Il controllo anti-ricettazione svolto da iVenduto si limita a verifiche tecniche sull'IMEI (ad esempio confronto con liste di dispositivi segnalati come smarriti o rubati e verifica dello stato di blocco del dispositivo), per finalità di prevenzione delle frodi e di sicurezza del servizio (legittimo interesse, art. 6(1)(f)).

Questa verifica NON costituisce tenuta del registro né comunicazione di Pubblica Sicurezza sui beni usati: tali adempimenti, ove previsti dal TULPS (artt. 126-128 TULPS), gravano sul negozio partner acquirente in qualità di commerciante di beni usati, e non su iVenduto, che svolge solo intermediazione e non acquista i dispositivi.

L'eventuale trattamento di dati personali relativi a reati o a presunti reati (ad esempio l'esito di una segnalazione su un dispositivo) avviene solo nei limiti consentiti dall'art. 10 GDPR e dalla normativa nazionale, per finalità di prevenzione delle frodi e per adempiere a obblighi di legge o a richieste delle Autorità competenti.

5. Natura del conferimento e conseguenze del rifiuto

Alcuni dati sono necessari per erogare il servizio, altri sono facoltativi.

  • Obbligatori per il servizio: nome, dati di contatto e condizioni dichiarate del dispositivo.
  • Flusso Spedizione: sono inoltre necessari l'indirizzo postale e l'IBAN. Senza questi dati non è possibile spedire il dispositivo e ricevere il pagamento.
  • Flusso Ritiro in negozio: l'IMEI è obbligatorio, in quanto necessario per la prenotazione e per la verifica del dispositivo da parte del partner, nonché per i controlli anti-ricettazione. Senza l'IMEI non è possibile completare il ritiro in negozio.
  • Facoltativi: i dati per marketing o newsletter. Il loro mancato conferimento non pregiudica in alcun modo il servizio.

Il mancato conferimento dei dati obbligatori comporta l'impossibilità di erogare, in tutto o in parte, il servizio richiesto.

6. Minori

Il servizio di iVenduto è rivolto esclusivamente a persone fisiche maggiorenni. Non raccogliamo consapevolmente dati personali di minori di 18 anni e non offriamo il servizio direttamente a minori.

Qualora rilevassimo di aver trattato dati di un minore in assenza dei presupposti di legge, provvederemo a cancellarli senza ingiustificato ritardo. Per i servizi della società dell'informazione offerti direttamente ai minori si applica la soglia di età prevista dall'art. 8 del GDPR.

7. Destinatari dei dati e loro ruolo

I tuoi dati possono essere comunicati ai soggetti seguenti, ciascuno con un ruolo distinto.

Negozio partner acquirente. Il partner che acquista il dispositivo è un titolare autonomo del trattamento per le proprie finalità, da esso autonomamente determinate (acquisto, contabilità, tenuta del proprio foglio di ritiro dell'usato e del registro o delle comunicazioni di Pubblica Sicurezza previsti dal TULPS, regime del margine). Trasmettiamo al partner solo i dati strettamente necessari a perfezionare l'acquisto (ad esempio nome, contatti, IBAN nel flusso Spedizione, IMEI, condizioni dichiarate). iVenduto non impartisce al partner istruzioni sul trattamento e non risponde dei trattamenti che il partner svolge in qualità di titolare autonomo.

Il rapporto con i partner è regolato da appositi accordi che individuano i rispettivi ruoli e il momento in cui i dati sono comunicati per finalità proprie del partner. Qualora, in concreto, emergesse una determinazione congiunta delle finalità e dei mezzi del trattamento, valuteremo la stipula di un accordo di contitolarità ai sensi dell'art. 26 GDPR.

Responsabili del trattamento (art. 28 GDPR). Si tratta di fornitori che agiscono per nostro conto e su nostra istruzione, sulla base di un apposito accordo:

  • Il corriere o operatore logistico (nel flusso Spedizione).
  • Il fornitore del servizio email.
  • Eventuali fornitori IT e di hosting, situati nell'Unione Europea.

iVenduto non vende i tuoi dati e non li comunica per finalità diverse da quelle indicate in questa informativa.

Confine TULPS. L'obbligo di tenuta del registro e di comunicazione di Pubblica Sicurezza sui beni usati grava sul partner acquirente (commerciante di beni usati) e non su iVenduto, che svolge solo intermediazione e non acquista i dispositivi.

8. Trasferimenti dei dati (assenza di trasferimenti extra-SEE)

Tutti i trattamenti, compresi quelli svolti dai responsabili del trattamento e l'archiviazione dei dati, avvengono all'interno dell'Unione Europea e dello Spazio Economico Europeo (SEE).

Non effettuiamo trasferimenti di dati personali verso Paesi terzi al di fuori del SEE.

Qualora in futuro si rendesse necessario un trasferimento extra-SEE, esso avverrebbe solo in presenza di adeguate garanzie ai sensi del Capo V del GDPR (ad esempio una decisione di adeguatezza o clausole contrattuali tipo) e con il preventivo aggiornamento della presente informativa.

9. Periodi di conservazione

Conserviamo i dati per il tempo strettamente necessario alle finalità per cui sono raccolti, secondo i criteri seguenti. I criteri applicati sono i seguenti:

  • Dati della pratica di intermediazione: per il tempo necessario a erogare il servizio e a gestire eventuali contestazioni o garanzie e, successivamente, fino a 24 mesi dalla chiusura della pratica, dopodiché i dati sono cancellati o anonimizzati in modo irreversibile.
  • Dati e documenti fiscali e contabili: per il termine di legge (tipicamente 10 anni ai sensi della normativa civilistica e tributaria).
  • IMEI: conservato fino a un massimo di 5 anni dalla chiusura della pratica, per finalità di garanzia, anti-ricettazione e gestione di contestazioni o richieste delle Autorità, salvo termini diversi imposti dalla legge; alla scadenza è cancellato o anonimizzato.
  • Dati per marketing (se attivato): fino alla revoca del consenso o, in mancanza, entro un periodo massimo definito (criterio di riferimento proposto: 24 mesi dall'ultimo contatto).
  • Dati di analytics: conservati in forma aggregata e non identificativa.

Alla scadenza dei termini i dati vengono cancellati oppure resi anonimi in modo irreversibile, nel rispetto del principio di limitazione della conservazione (art. 5(1)(e) GDPR). Puoi in ogni momento chiedere la cancellazione anticipata dei tuoi dati scrivendo a privacy@ivenduto.it: daremo seguito alla richiesta nei limiti in cui non sussistano obblighi di legge o esigenze di tutela di un diritto in sede giudiziaria che impongano di conservarli.

10. Diritti dell'interessato e come esercitarli

In relazione ai tuoi dati personali puoi esercitare in ogni momento i seguenti diritti (artt. 15-22 GDPR):

  • Accesso ai dati che ti riguardano.
  • Rettifica dei dati inesatti o incompleti.
  • Cancellazione (diritto all'oblio), nei casi previsti dalla legge.
  • Limitazione del trattamento.
  • Portabilità dei dati.
  • Opposizione al trattamento, in particolare a quelli fondati sul legittimo interesse (ad esempio anti-frode e tutela contro l'uso improprio del servizio).
  • Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto prima della revoca.

Per esercitare i tuoi diritti scrivi a privacy@ivenduto.it. Risponderemo entro i termini di legge (di norma un mese, prorogabile nei casi previsti dall'art. 12 GDPR).

Hai inoltre il diritto di proporre reclamo all'autorità di controllo, cioè il Garante per la protezione dei dati personali (art. 77 GDPR e art. 141 Codice Privacy). I recapiti aggiornati sono disponibili sul sito ufficiale del Garante (www.garanteprivacy.it).

11. Valutazione automatica del dispositivo e assenza di decisioni automatizzate rilevanti

La valutazione del prezzo mostrata online è generata in modo automatizzato a partire dai dati del modello e dalle condizioni che dichiari. Si tratta di una stima, cioè di un'offerta indicativa.

Questa elaborazione non produce effetti giuridici significativi nei tuoi confronti, né incide in modo analogo sulla tua persona ai sensi dell'art. 22 GDPR: sei libero di accettare o meno l'offerta, che resta valida 14 giorni, e il prezzo finale può essere rettificato (solo in diminuzione) unicamente se le condizioni reali del dispositivo risultano diverse da quelle dichiarate. Tale verifica avviene con intervento umano: presso l'hub nel flusso Spedizione, oppure in negozio da parte del partner nel flusso Ritiro.

Non effettuiamo profilazione pubblicitaria. Il trattamento non comporta decisioni automatizzate con effetti giuridici significativi ai sensi dell'art. 22 GDPR.

12. Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio per garantire la riservatezza, l'integrità e la sicurezza dei dati (artt. 5(1)(f) e 32 GDPR), tra cui:

  • Cifratura a riposo dei dati più sensibili come IMEI e IBAN (cifratura AES-256).
  • Trasmissione protetta dei dati tramite protocolli sicuri (HTTPS/TLS).
  • Controlli di accesso e cookie di sessione strettamente tecnici per le aree riservate (login partner e admin).
  • Conservazione dei dati all'interno dell'Unione Europea.
  • Minimizzazione dei dati e accessi limitati al solo personale autorizzato.

Per ragioni di sicurezza non divulghiamo dettagli ulteriori che potrebbero agevolare eventuali attacchi.

13. Violazioni dei dati personali (data breach)

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati, notificheremo l'evento al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne siamo venuti a conoscenza, ai sensi dell'art. 33 GDPR.

Qualora la violazione presenti un rischio elevato per i tuoi diritti e libertà, te ne daremo comunicazione senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR. Manteniamo inoltre un registro interno delle violazioni dei dati personali.

14. Cookie e tecnologie di tracciamento

Il sito utilizza esclusivamente cookie tecnici e di sessione (ad esempio per il login delle aree riservate partner e admin) e uno strumento di analytics rispettoso della privacy, senza cookie di profilazione e senza pubblicità.

Per questa configurazione, in linea con le Linee guida del Garante in materia di cookie (2021), potrebbe non essere richiesto un banner di consenso; resta comunque dovuta l'informativa. Questa valutazione è coerente con l'effettiva configurazione tecnica del sito.

Per il dettaglio sui singoli cookie, sulle finalità e sulle durate, rinviamo alla Cookie policy dedicata.

15. Modifiche all'informativa e data di aggiornamento

Possiamo aggiornare la presente informativa per adeguarla a modifiche normative, organizzative o del servizio. Farà fede la versione pubblicata sul sito, con indicazione della data di ultimo aggiornamento.

Ultimo aggiornamento: giugno 2026.