Politica privacy

Privacy Policy versione n. 3.2 del 03-09-2022

Xatha Bio Lab srls (nel seguito, anche “XBL” o “il titolare”) è una società che  mediante i siti di sua proprietà  www.xatha.com e www.noparine.com  svolge attività di commercializzazione di prodotti e servizi e e-commerce nel settore farmaceutico e parafarmaceutico, degli integratori alimentari, dell’igiene e cura della persona e cosmesi, nonché dei prodotti per animali domestici e si trova a trattare dati personali degli utenti della rete Internet e, in particolare, di quelli che visitano i propri siti. XBL si propone di salvaguardare la riservatezza della sfera privata e dei diritti delle persone e si impegna, pertanto, ad applicare specifiche e protettive regole di condotta – in linea con il Regolamento Europeo 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito “GDPR”) – che garantiscano una sicura, controllata e riservata navigazione nella rete.

Questa politica di tutela della riservatezza delle informazioni potrebbe subire variazioni nel tempo, anche in funzione delle integrazioni e delle modifiche legislative e regolamentari in materia o per nostre decisioni istituzionali, pertanto, Vi invitiamo a consultare periodicamente questa sezione del nostro sito.

Grazie, quindi, per prendere visione delle regole che la nostra società si è imposta nel raccogliere e nel trattare i dati personali e nel fornire sempre un servizio soddisfacente agli utenti dei propri siti.

La presente Privacy Policy è da intendersi applicabile esclusivamente ai siti di XBL e non anche a quelli di altre società, enti, associazioni, professionisti o qualsiasi altra entità giuridica o persona fisica.

Principi-base della privacy policy di XBL


  1. eseguire il trattamento (art. 4, comma 2, GDPR: “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”) dei dati personali (art. 4, comma 1, GDPR: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”) esclusivamente per le finalità e secondo le modalità illustrate nelle informazioni da fornire che sono presentate all’utente di volta in volta che accede ad una sezione del sito nella quale è previsto il conferimento, diretto o indiretto, di dati personali;
  2. utilizzare i dati che sono stati rilasciati spontaneamente dall’utente;
  3. utilizzare cookies tecnici per agevolare la navigazione nel sito e cookies analitici per fini statistici;
  4. utilizzare cookies di profilazione per indirizzare agli utenti messaggi e banner personalizzati in funzione della loro navigazione in rete, all’interno e all’esterno del sito;
  5. trasmettere i dati a soggetti terzi (responsabili del trattamento – art. 4, comma 8, GDPR: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”) esclusivamente per fini strumentali a quanto espressamente richiesto e da noi accuratamente selezionati;
  6. comunicare i dati a soggetti terzi per attività connesse a quanto di interesse o qualora ciò sia imposto da legge, regolamento o normativa comunitaria;
  7. eseguire per conto terzi attività di marketing diretto per la promozione di loro prodotti e servizi, nonché comunicare a terzi i dati per loro autonome attività di trattamento aventi scopi promozionali;
  8. rispondere alle richieste di accesso ai dati personali, rettifica o cancellazione degli stessi, alla limitazione del trattamento o del diritto di opporsi al loro trattamento per motivi legittimi. Assicurare l’esercizio del diritto alla portabilità dei dati, nonché, opporsi al trattamento dei dati per fini di comunicazioni informative e promozionali sulle nostre iniziative commerciali, sulle nostre offerte e scontistica, sulle novità e prodotti a catalogo, sondaggi e ricerche, rendere nota la possibilità di proporre reclamo all’autorità di controllo;
  9. assicurare un corretto e lecito trattamento dei Vostri dati, salvaguardando la Vostra riservatezza, nonché applicare misure idonee di sicurezza a tutela della riservatezza, dell’integrità e della disponibilità dei dati stessi.

Finalità del trattamento dei dati e modalità - base giuridica del trattamento - criteri di raccolta dei dati

Finalità del trattamento dei dati

Come meglio esplicitato nelle sezioni che consentono di aderire – rilasciando i propri dati personali – ai servizi riservati agli utenti del nostro sito, i dati richiesti sono utilizzati per rispondere alle richieste espressamente avanzate dall'utente. In particolare, tutte le attività di raccolta – e successivo trattamento – dei dati sono finalizzate al perseguimento degli scopi istituzionali e commerciali di XBL e, in particolare per:

  1. dar corso alla richiesta di registrazione e attivare il profilo utente, erogare i servizi riservati agli utenti registrati (comprendendovi la gestione di eventuali ordini trasmessi e delle eventuali recensioni rilasciate sui prodotti), ivi compresa la gestione del profilo da parte dell’utente medesimo e comunicazioni di servizio relative al funzionamento e a ulteriori funzionalità / servizi del sito
  2. evadere gli ordini in tutte le loro fasi, dalla presa in carico fino alla consegna e per la gestione dei pagamenti ed eventuale recupero crediti, nonché consentire al cliente di rilasciare recensioni sui prodotti
  3. inviare la newsletter richiesta
  4. rispondere alle richieste avanzate tramite contatti instaurati spontaneamente dall’utente, come nel caso di consigli erogati dal farmacista oppure richiesta di avviso quando un prodotto non disponibile rientra a catalogo o per avere informazioni sui nostri prodotti
  5. indirizzare l’utente ai nostri canali social
  6. ottemperare a norme amministrative e di altro genere obbligatorie in forza di legge nazionale vigente o in virtù di decisioni dell’Unione Europea
  7. eseguire attività di marketing diretto relative ai propri prodotti e servizi (comunicazioni promozionali, offerte di vendita diretta, sondaggi e ricerche di mercato, aggiornamenti sul catalogo prodotti)
  8. eseguire attività marketing diretto con profilazione connessa al marketing diretto in base alle preferenze e comportamenti o propensioni di acquisto e consumo, interessi dell’interessato o in abbinamento ad altre informazioni desunte da archivi propri o di terzi
  9. eseguire attività di marketing diretto per conto di terzi per promuovere loro prodotti o servizi
  10. comunicazione dei dati a terzi dei dati per loro autonomi utilizzi aventi finalità promozionali
  11. diffusione di immagini in formato video e fotografico, testimonianze e dichiarazioni, anche rilasciate attraverso i canali social del Titolare, al solo fine di divulgarli al pubblico – su proprio materiale informativo, informativo, publi-redazionale, e/o sito Internet o in occasione di eventi pubblici o su media quali carta stampata e TV e altri canali di diffusione digitali e non destinati al pubblico – per far conoscere e documentare iniziative e relazioni commerciali, recensioni, progetti e attività istituzionali, nonché per la formazione di un archivio storico delle iniziative commerciali di XBL da utilizzare in occasione di eventi di speciale rilevanza (es.: anniversari di fondazione del Titolare) per rappresentare gli sviluppi dell’attività commerciale e di vendita di XBL
  12. elaborazioni statistiche sulle caratteristiche dei clienti e dei loro ordini, nonché sugli utenti registrati o che richiedono informazioni o fruiscono di servizi erogati attraverso il sito. I conseguenti report statistici potranno anche essere diffusi attraverso canali di comunicazione di XBL, quali il proprio sito Internet, in sede di eventi e convegni, su materiale illustrativo cartaceo e on-line o supporti digitali, su carta stampata (es.: quotidiani e periodici) e mezzi di informazione (es.: TV). Analogamente, gli elaborati aggregati e anonimi potranno essere messi a disposizione di società, enti, organizzazioni terze per loro studi e ricerche anonime sul settore in cui opera il Titolare
  13. esercitare, far valere o difendere in sede giudiziaria un diritto proprio o di un terzo.


Modalità del trattamento dei dati


  1. I dati personali sono trattati dal Titolare con strumenti sia cartacei sia elettronici e telematici e sono conservati all’interno del proprio sistema informatico. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
  2. Tutti i trattamenti effettuati nell'ambito di questo sito saranno realizzati con logiche correlate alle finalità per le quali i dati sono stati raccolti e nel rispetto delle vigenti norme di sicurezza, per le finalità specificate di volta in volta nelle informazioni da fornire ex art. 13, GDPR.
  3. Per l’esecuzione di attività di profilazione connessa al marketing diretto di cui al punto 8., “Finalità del trattamento”, XBL analizzerà, con procedure elettroniche, le preferenze e i comportamenti di acquisto e di consumo o le preferenze e interessi del cliente (es.: frequenza di acquisto, importo speso, campagna di adesione all’offerta) o le caratteristiche e propensioni, interessi e preferenze dell’utente in generale. Pertanto, saranno eseguite elaborazioni che comporteranno la selezione delle informazioni archiviate sulla persona, affinché questi sia contattata per offerte e proposte di acquisto, sondaggi e ricerche di suo interesse e in linea con le sue preferenze, evitando di essere disturbato da contatti non graditi. Tale attività di profilazione potrebbe essere condotta anche attingendo da archivi messi a disposizione da terzi.
  4. Per l’esecuzione di attività di marketing diretto – senza e con profilazione – di cui ai punti 7. e 8. del capitolo “Finalità del trattamento”, il Titolare utilizza i recapiti di contatto forniti dall’interessato stesso, e le modalità di contatto di cui prevalentemente si avvale. Il numero di telefono conferito dall’interessato sarà utilizzato per gli scopi di cui ai punti 7. e 8., “Finalità del trattamento” soltanto previa applicazione delle norme di cui alla legge 05/2018: se iscritto al “Registro Pubblico delle Opposizioni”, il numero di telefono non sarà utilizzato a tali fini, fatto salvo successivo consenso espresso direttamente a XBL per tali contatti.
  5. I contatti di cui ai punti 7. e 8. del capitolo “Finalità del trattamento” potranno avvenire con strumenti di comunicazione tradizionale (es.: posta cartacea, telefono fisso o mobile con operatore) o elettronica (es.: e-mail, Sms).
  6. Le finalità di cui al punto 11., “Finalità del trattamento” possono comportare la rielaborazione, parziale o totale, nonché l’abbinamento e l’interconnessione delle opere creative con altri materiali già disponibili al Titolare.
  7. Le finalità di cui al punto 12., “Finalità del trattamento”, sono perseguite con elaborazioni elettroniche che separano le informazioni che identificano l’interessato (quali, esemplificativamente nome e cognome, e-mail) dalle altre informazioni rilasciate e consistono in report anonimi: l’abbinamento con la persona cui i dati sono riferiti non sarà più ricostruibile
  8. I dati relativi alla salute saranno trattati esclusivamente per dar corso alla richiesta dell’utente (es. acquisto di farmaci o richieste prevendita sulla composizione dei prodotti e indicazioni sul proprio stato di salute) e non anche per attività di marketing diretto, con o senza profilazione.

Base giuridica del trattamento​

La base giuridica del trattamento dipende dalla finalità del trattamento stesso. Si elencano, quindi, le differenti basi giuridiche applicate per le singole finalità del trattamento perseguite da XBL.

  1. per le finalità di cui ai punti da 1. a 5. delle “Finalità del trattamento dei dati”, la base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è finalizzato a adempiere a obblighi precontrattuali o contrattuali di cui è parte l’interessato. Nella fattispecie, per consentire all’utente di aderire ai servizi ivi richiamati e, pertanto, per soddisfare una richiesta avanzata espressamente dall’utente o di suo specifico interesse. Ulteriore base giuridica è il consenso di cui l’art. 9, comma 2, lettera a), GDPR, laddove, per il servizio di interesse (es.: acquisto di farmaci) implichi la rilevazione di un dato relativo alla salute (es.: desumibile dal prodotto acquistato o dalla richiesta avanzata o dalla comunicazione di affetti avversi derivanti dall’uso del prodotto)
  2. per le finalità di cui al punto 6., “Finalità del trattamento dei dati”, la base giuridica è l’art. 6, comma 1, lettera c), GDPR poiché il trattamento è finalizzato a adempiere a obblighi legali cui il Titolare è soggetto
  3. per le finalità di cui al punto 7. “Finalità del trattamento dei dati”, la base giuridica è il “legittimo interesse” (art. 6, comma 1, lettera f), per mantenere attivo il rapporto volontariamente instaurato dall’interessato che, con la propria azione (registrazione al sito, acquisto o richiesta di informazioni) ha manifestato il proprio gradimento alla nostra attività commerciale, e informarlo sulle proprie attività di marketing e vendita diretta, per far conoscere nuovi prodotti e marchi, aggiornamenti del catalogo prodotti, per presentare offerte, sconti, promozioni, coinvolgerlo in sondaggi e ricerche sul grado di soddisfazione della sua esperienza con XBL, permettendo all’interessato di venire a conoscenza di queste opportunità e di decidere, se lo desidera, di trasmettere ordini o effettuare altre azioni. Ciò è controbilanciato dalle aspettative della persona a ricevere informazioni da parte del Titolare che riguardano prodotti e servizi che sono di suo interesse e con il quale ha già instaurato volontariamente un rapporto, tramite la propria azione
  4. per le finalità di cui al punto 8., “Finalità del trattamento dei dati”, la base giuridica è il consenso dell’interessato (art. 6, comma 1, lettera a), GDPR)
  5. i contatti promozionali a mezzo di posta elettronica di cui ai punti 7. e 8., “Finalità del trattamento dei dati” eseguiti nei confronti di clienti sono sostenuti dalla base giuridica di cui all’art. 130, comma 4, d. lgs 196/2003 come modificato dal d. lgs 101/2018 che permette l’invio di e-mail finalizzate alla vendita diretta di prodotti analoghi a quelli acquistati all’indirizzo di posta elettronica conferito nel processo di acquisto, con il diritto del cliente ad opporsi a tali invii, in qualsiasi momento. Analogamente, vale per quanto concerne l’invio di promozioni e proposte di vendita diretta presso il domicilio postale del cliente ai sensi di quanto disposto dal provvedimento del Garante sulle “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili” del 19 giugno 2008
  6. per le finalità di cui ai punti 9. e 10., “Finalità del trattamento dei dati”, la base giuridica del trattamento è il consenso dell’interessato (art. 6, comma 1, lettera a), GDPR
  7. per le finalità di cui al punto 11., “Finalità del trattamento dei dati”, la base giuridica è il consenso dell’interessato (art. 6, comma 1, lettera a), GDPR). In aggiunta, si ha la base giuridica del “legittimo interesse” (art. 6, comma 1, lettera f),  nel diffondere informazioni ed esperienze dei clienti effettivi e potenziali nelle relazioni con XBL e far conoscere le proprie attività commerciali e loro sviluppo. Con le stesse basi giuridiche appena indicate XBL utilizzerà i contenuti al fine di formare un archivio storico delle proprie attività commerciali e istituzionali. XBL garantisce che testimonianze e dichiarazioni e immagini saranno diffusi per i soli scopi consentiti dalle leggi vigenti, nonché nel rispetto del decoro, della dignità e della reputazione delle persone coinvolte. XBL non potrà ritenersi responsabile delle conseguenze dannose eventualmente derivanti dalla diffusione di testimonianze e dichiarazioni, suoni, delle immagini e/o foto, imputabili a violazioni commesse da soggetti terzi eseguite al di fuori di ogni controllo di XBL. Gli interessati prendono atto che nessun compenso è dovuto a seguito dell’uso e diffusione delle testimonianze, dell’immagine e audio in questione. Resta altresì espressamente inteso ed accettato che le suddette immagini e riprese audio video sono e rimarranno di proprietà esclusiva di XBL. Inoltre, sono applicabili le Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica del 29 novembre 2018
  8. per le finalità di cui al punto 12. “Finalità del trattamento”, la base giuridica è il “legittimo interesse” (art. 6, comma 1, lettera f), GDPR, per analizzare la consistenza delle persone che hanno interesse alla sua attività commerciale e la tipologia di ordini trasmessi o delle richieste di informazioni sui prodotti al fine di migliorare, integrare o modificare il proprio catalogo prodotti e i servizi connessi agli ordini e all’erogazione dei servizi tramite il sito
  9. per le finalità di cui al punto 13., “Fonte e finalità del trattamento”, la base giuridica è il “legittimo interesse” (art. 6, comma 1, lettera f),  di XBL o di un terzo per tutelare i propri diritti.

Criteri per la raccolta dei dati​

La modulistica da compilare prevede sia dati che sono strettamente necessari per aderire a quanto di interesse e la cui mancata indicazione non consente di dar corso alla richiesta, sia dati di conferimento facoltativo. I dati di conferimento obbligatorio sono, normalmente, evidenziati con un asterisco. Pertanto, l’utente è libero di fornire i dati personali riportati nei moduli di richiesta o comunque indicati in contatti con XBL per richiedere informazioni o per le altre finalità dapprima elencate. In questi casi di obbligatorietà di conferimento dei dati, la loro mancanza può comportare l'impossibilità di ottenere quanto richiesto. La necessità di richiedere i dati quali obbligatori per l’adesione alle singole iniziative o per eseguire ordini o per avanzare richieste è stata considerata nel rispetto delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, quali la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, XBL ha messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per la specifica finalità del trattamento derivante dall’iniziativa o servizio (es.: ordine, registrazione al sito) cui l’interessato ha volontariamente aderito.