POLÍTICA DE PRIVACIDAD SEGÚN EL ART. 13 DEL REGLAMENTO UE 2016/679 (el “RGPD”)

Relativa a los datos tratados a través del sitio web www.mygiftcard.it

Bienvenido al sitio web www.mygiftcard.it (en adelante, por brevedad, también llamado “el Sitio Web”). Para EPIPOLI
S.p.A. (“EPIPOLI”) tu privacidad y la seguridad de tus datos personales son muy importantes, por eso los recogemos y
gestionamos con el máximo cuidado, adoptando medidas específicas para preservarlos.

A continuación, encontrarás la información principal sobre cómo EPIPOLI procesa tus datos personales en relación con
tu navegación en el Sitio Web y el uso de los servicios ofrecidos. Para obtener información detallada sobre el
tratamiento de tus datos personales por parte de EPIPOLI, lee esta Política de Privacidad.

Por favor, lee también la “Política de Cookies”, así como los “Términos y Condiciones” de www.mygiftcard.it que
contienen información detallada sobre las condiciones relativas a nuestros servicios. Algunos servicios pueden estar
sujetos a condiciones legales específicas, en cuyo caso te proporcionaremos información sobre el servicio o producto
concreto.

  1. 1. Responsable del tratamiento y Delegado de Protección de Datos

    El Responsable del Tratamiento es Epipoli S.p.A., con domicilio social en Viale Edoardo
    Jenner, 53,
    20159 Milano (MI), C.F. y P.IVA n. 13169720151, que podrás contactar a la dirección e-mail: GDPR@epipoli.com

    Delegado de Protección de Datos

    El Delegado de Protección de Datos puede ser contactado a la dirección de correo electrónico: dpo@epipoli.com

  2. 2. Licitud y finalidades del tratamiento

    Tus datos personales serán tratados para los fines indicados en los siguientes párrafos.

    1. Finalidades relacionadas con el cumplimiento de una obligación legal (art. 6, apartado 1, letra
      c) del RGPD)

      Cumplimiento de las obligaciones previstas por las Leyes, los Reglamentos y la Legislación Comunitaria o
      las disposiciones emanadas de las Autoridades de Control, en particular referidas a las relaciones
      jurídicas establecidas, entre ellas las derivadas de la denominada legislación contra el blanqueo de
      capitales, incluyendo la identificación del usuario a través de los datos recogidos en el Sitio
      Web.

      El plazo de conservación de los datos personales relacionados con los fines establecidos en este punto
      es de 10 años a partir de la finalización de la relación contractual o jurídica establecida. Este
      período de conservación, sin perjuicio de la desactivación de tu cuenta a raíz de tu solicitud, se
      refiere también a los datos contenidos en el área reservada correspondiente del Sitio Web. De hecho,
      estos datos se conservarán con el fin de cumplir con las obligaciones normativas, incluidas las
      relativas a la lucha contra el blanqueo de capitales.

    2. Finalidades relacionadas con la ejecución de un contrato o de medidas precontractuales (art. 6,
      apartado 1, letra b) del RGPD)

      a. Celebración y ejecución de contratos de compra de productos y servicios ofrecidos en el Sitio Web,
      incluyendo el suministro de dichos productos y servicios, el envío de estos, la posible gestión de las
      devoluciones y la creación y gestión del área reservada del Sitio Web.
      b. Gestión de los procesos administrativos, contables, fiscales y financieros relacionados con los
      productos y servicios adquiridos, incluida la facturación.

      c. Protección de los derechos contractuales o en cualquier caso derivados de las relaciones jurídicas
      establecidas.

      d. Gestión de solicitudes por parte de nuestro Servicio de Atención al Cliente, que utiliza los datos
      personales proporcionados para atender las peticiones de información y de asistencia.
      e. Cesión de datos personales a entidades de pago reguladas y autorizadas para realizar “servicios de
      cambio de moneda, criptomonedas, liquidación de pagos”, si el interesado opta voluntariamente por el
      pago mediante divisa moneda y/o criptomoneda y, por lo tanto, se adhiere voluntariamente a este servicio
      (no obligatorio para la ejecución de la relación contractual).

      El periodo de conservación de los datos personales a efectos de esta sección es:

      Para las finalidades a, b, y c: 10 años a partir de la finalización de la relación contractual o
      jurídica establecida (salvo en caso de contencioso u otras disposiciones legales específicas); en lo que
      se refiere a la gestión del área reservada dentro del Sitio Web y de los datos contenidos en ella,
      consulta lo informado al respecto en el punto 2.1.

      Para la finalidad d: hasta que se haya atendido la solicitud, salvo que los comentarios proporcionados y
      la información intercambiada sean necesarios para demostrar el cumplimiento de las obligaciones
      contractuales o derivadas de las relaciones jurídicas establecidas (en cuyo caso el período de
      conservación será igual al indicado anteriormente para las letras a, b y c).

      Para la finalidad e: asumiendo que Epipoli realizará las transferencias de datos personales necesarias
      cada vez que el interesado solicite el servicio de pago en moneda virtual y/o criptomoneda, se
      especifica que para estas actividades las “entidades de pago” a las que se transferirán los citados
      datos adquirirán la condición de responsables del tratamiento independientes, de acuerdo con el art. 4
      del RGPD, en referencia a las operaciones necesarias para la prestación del citado servicio. En estos
      casos, dichas instituciones determinarán de forma independiente, asumiendo toda la responsabilidad, las
      finalidades y los métodos de dicho tratamiento (incluidos los tiempos de conservación), y pondrán a
      disposición del interesado la información pertinente prevista por los artículos 13 y/o 14 del RGPD,
      también en relación con el período de conservación.

    3. Finalidades cubiertas por el consentimiento del interesado (Art. 6, apartado 1, letra a) del
      RGPD)
      Los datos personales también pueden ser tratados para determinados fines para los que el interesado ha
      otorgado su consentimiento, esto es, para:

      a. Suscripción al servicio de envío de boletines informativos por parte del Titular, que contienen
      anticipos de noticias y promociones, lo que implica también el envío de más material informativo
      relacionado y similar, de carácter comercial y promocional, a través de métodos automatizados de
      contacto (por ejemplo: llamadas sin operador, correo electrónico, SMS y diversos sistemas de mensajería,
      incluso instantánea y por Internet, también a los teléfonos móviles) y métodos no automatizados (envío
      de correo en papel y llamadas con operador).

      b. Comunicación a terceros, que operan principalmente en el ámbito del comercio electrónico (en sectores
      como la moda, la industria editorial, los servicios públicos, el turismo, el deporte, la comunicación,
      el entretenimiento y demás en los que operan nuestros socios), para los fines respectivos de las
      actividades de marketing y promoción, incluido el envío de material publicitario, mediante métodos de
      contacto automatizados (por ejemplo: llamadas sin operador, correos electrónicos, SMS y diversos
      sistemas de mensajería, incluso instantánea y por Internet, también a los teléfonos móviles) y métodos
      no automatizados (envío de correo en papel y llamadas con operador).

      El periodo de conservación de los datos personales a efectos de esta sección es:

      Para la finalidad a: mientras dure la suscripción al servicio de envío de boletines, salvo que se
      solicite la cancelación o revocación del consentimiento.

      Para las finalidades b: 24 meses desde el otorgamiento del consentimiento.

  3. 3. Categorías de datos objeto de tratamiento

    Los datos tratados por el Responsable del Tratamiento son exclusivamente “datos personales” (ex. Art. 4.1 del
    RGPD).
    En particular, las categorías relevantes de datos personales pueden ser, a título de ejemplo, pero sin limitarse
    a ellas:

    – Datos personales, de identificación y de contacto, incluidos los necesarios para cumplir con las obligaciones
    normativas de identificación antes mencionadas (a título enunciativo y no limitativo: nombre, apellidos, sexo,
    dirección de correo electrónico, dirección IP, número de teléfono, domicilio, DNI, NIF, CIF, compras
    realizadas), también recabados mediante la autenticación al Sitio Web a través de redes sociales externas (como
    Facebook y Google), aunque sea de forma espontánea por parte del interesado;

    – Datos relacionados con las compras, incluidos los datos relacionados con los pagos, y otros datos no
    particulares.

  4. 4. Destinatarios o categorías de destinatarios de los datos personales (ex art. 13, apartado 1, letra e)
    del RGPD)

    En el ámbito de las finalidades indicadas, el Responsable del Tratamiento podrá comunicar tus datos a:

    – Oficinas y funciones internas del propio Responsable del Tratamiento;

    – Operadores bancarios y, limitadamente a determinados productos, a la entidad de moneda electrónica responsable
    de la emisión de los códigos;

    – Proveedores de Internet y empresas especializadas en servicios informáticos y telemáticos;

    – Empresas de transporte y servicios logísticos;

    – Empresas de marketing y empresas especializadas en estudios de mercado y tratamiento de datos;

    – Entidades de pago reguladas y autorizadas para la realización de “servicios de cambio de moneda, criptomoneda,
    liquidación de pagos”, en caso de que el interesado opte voluntariamente por el pago a través de moneda virtual
    y/o criptomoneda, que asumirán la condición de responsables autónomos del tratamiento, de acuerdo con el art. 4
    del RGPD, en referencia a las operaciones necesarias para la prestación de los servicios mencionados. Como ya se
    ha señalado anteriormente, en estos casos, dichas “entidades de pago”, en calidad de responsables autónomos del
    tratamiento, se encargarán de determinar con total autonomía los fines y los métodos del tratamiento y de
    cumplir con todas las obligaciones impuestas por la normativa sobre privacidad, incluida la de poner a
    disposición del interesado toda la información pertinente prevista en los artículos 13 y/o 14 del RGPD,
    precisando que dichas “entidades de pago” podrán subcontratar algunas actividades a terceros situados en
    territorio no perteneciente al EEE o a la UE. El nombre y los datos de contacto de la entidad de pago que
    actuará como Responsable del Tratamiento se indicarán, mediante un aviso específico, a la hora de suscribir o
    elegir el servicio de pago con moneda virtual y/o criptomoneda.

    – Autoridades responsables del cumplimiento de las obligaciones legales y/o disposiciones dictadas por los
    organismos públicos, incluidas las autoridades de supervisión (que también operan en el ámbito de la lucha
    contra el blanqueo de capitales), las fuerzas policiales, las autoridades judiciales y las administraciones
    públicas en general.

  5. 5. Destinatarios o categorías de destinatarios de datos personales (de conformidad con el artículo 13,
    apartado 1, letra f), del RGPD) y transferencia de datos a países no pertenecientes a la UE

    El Responsable del Tratamiento no transferirá tus datos personales a países fuera de la UE y del EEE para los
    fines expuestos anteriormente, excepto la posible transferencia de datos personales a proveedores de servicios
    informáticos y/u operadores de plataformas tecnológicas de apoyo para la prestación de sus servicios, ubicados
    en China. La Comisión Europea** podría considerar que este país no ofrece un nivel adecuado de protección de los
    datos personales. Por lo tanto, en caso de que tus datos personales sean transferidos fuera de la UE, el
    Responsable del Tratamiento adoptará las salvaguardas adecuadas en cumplimiento de las obligaciones previstas
    por la UE y la legislación italiana vigente, con el fin de garantizar su adecuada protección. En particular,
    como se ha mencionado anteriormente, tus datos podrán ser comunicados en China, de acuerdo con el art. 46 del
    Reglamento UE 2016/679, en virtud de la estipulación de “Cláusulas Contractuales Tipo”, a las empresas y
    entidades mencionadas. Por lo que respecta a los datos personales objeto de las citadas transferencias a
    territorios no comunitarios, el interesado podrá solicitar información enviando una comunicación al Responsable
    del Tratamiento a la siguiente dirección de correo electrónico: gdpr@epipoli.com.

    Cualquier otra transferencia de datos fuera de la UE o del EEE llevada a cabo por “entidades de pago” en el
    ámbito de los intercambios de monedas y/o el uso de monedas virtuales y/o criptomonedas, al ser ajenas a la ”
    titularidad” de Epipoli, es responsabilidad legal exclusiva de estas últimas.

  6. 6. Derechos del interesado
    En relación con los datos personales objeto de esta política, el interesado tiene la facultad de ejercer los
    derechos previstos en el Reglamento UE que se exponen a continuación y que se describen de forma más detallada
    en el punto 12:

    – derecho de acceso [art. 15 del Reglamento UE] (el interesado tiene la posibilidad de ser informado del
    tratamiento efectuado sobre sus datos personales y, eventualmente, de recibir una copia de ellos);

    – derecho de rectificación [art. 16 del Reglamento UE] (el interesado tiene derecho a rectificar los datos
    personales inexactos que le conciernen);

    – derecho de supresión sin dilación indebida (“derecho al olvido”) [art. 17 del Reglamento UE] (el interesado
    tiene derecho a la cancelación de sus datos);

    – derecho a la limitación del tratamiento en los casos previstos en el art. 18 del Reglamento UE, que incluyen
    los casos de tratamiento ilícito o de impugnación de la exactitud de los datos personales por parte del
    interesado [art. 18 del Reglamento UE];

    – derecho a la portabilidad de los datos [art. 20 del Reglamento UE], (el interesado puede solicitar sus datos
    personales en un formato estructurado para transmitirlos a otro responsable del tratamiento, en los casos
    previstos por el mismo artículo);

    – derecho a oponerse al tratamiento [art. 21 del Reglamento de la UE], (el interesado tendrá derecho a oponerse
    al tratamiento de los datos personales en los casos previstos y regulados por el art. 21 del Reglamento
    UE);

    – derecho a no ser objeto de decisiones automatizadas [art. 22 del Reglamento UE] (el interesado tiene derecho a
    no ser objeto de una decisión basada únicamente en el tratamiento automatizado).

    Con respecto a las finalidades para las que se requiere el consentimiento, puedes retirar dicho consentimiento
    en cualquier momento con efectos desde el momento de su retirada, sin perjuicio de los plazos previstos por la
    ley. En términos generales, la retirada del consentimiento sólo es efectiva de cara al futuro.

    De conformidad con el Reglamento UE, los derechos mencionados pueden ejercerse enviando un correo electrónico a:
    gdpr@epipoli.com.

    En lo que respecta a los fines expuestos en el punto 2.3, apartado a), es decir, el marketing y el desarrollo de
    la actividad comercial, puedes dejar de recibir estas comunicaciones en cualquier momento simplemente haciendo
    clic en el enlace “cancelar la suscripción” que aparece en la parte inferior de cada comunicación, accediendo a
    tu cuenta de mygiftcard.it o contactando con nuestro Servicio de Atención al Cliente en la dirección
    info@mygiftcard.it (no obstante, también puedes enviar un correo electrónico a gdpr@epipoli.com). Por favor, ten
    en cuenta que podrás recibir más comunicaciones de nuestra parte incluso después de haber enviado tu solicitud
    de cancelación, ya que algunos envíos pueden haber sido ya programados y nuestros sistemas pueden tardar en
    procesar tu petición, de acuerdo con los términos establecidos a continuación.

    La supresión permanente o la anonimización irreversible de los datos personales en cuestión será definitiva en
    un plazo de treinta días a partir de los términos indicados anteriormente (es decir, a partir de la solicitud de
    supresión o revocación).

  7. 7. Derecho a presentar una reclamación (Art. 13 párrafo 2 (d) RGPD)

    Si el interesado considera que sus derechos han sido vulnerados, tiene la facultad de presentar una reclamación
    ante la Autoridad Italiana de Protección de Datos.

    Para más información sobre tus derechos y cómo ejercerlos, visita http://www.garanteprivacy.it
    o envía una comunicación escrita a la Autoridad Italiana de Protección de Datos.

  8. 8. Posibles consecuencias en caso de no facilitar los datos y naturaleza del suministro de datos (art.
    13, apartado 2, letra e) del RGPD)

    Ten en cuenta que si los fines del tratamiento tienen como base jurídica una obligación legal o contractual (o
    incluso precontractual), tendrás que proporcionar necesariamente los datos solicitados. De no hacerlo, el
    Responsable del Tratamiento no podrá perseguir los fines específicos de dicho tratamiento.

    Con respecto a las finalidades mencionadas para las que el consentimiento es la base jurídica, puedes retirar
    dicho consentimiento en cualquier momento con efectos desde el momento de su retirada, sin perjuicio de los
    plazos previstos por la ley. En términos generales, la retirada del consentimiento sólo es efectiva para el
    futuro, por lo tanto, el tratamiento que se haya realizado antes de retirar el consentimiento no se verá
    afectado y conservará su legitimidad.

    La falta de consentimiento o la prestación de un consentimiento parcial podría no garantizar la plena prestación
    de los servicios, con referencia a cada una de las finalidades para las que dicho consentimiento es denegado. A
    este respecto, en particular, cabe señalar que en lo que concierne a la suscripción al servicio de envío de
    boletines informativos, aunque en estos casos el consentimiento al tratamiento de los datos personales es libre
    y facultativo, resulta necesario para la suscripción al servicio

    Por lo tanto, la denegación del consentimiento para esta finalidad imposibilitará al Responsable del Tratamiento
    la persecución de dicha finalidad y la realización de actividades relacionadas con la misma.

    Además, en relación con esta finalidad, en virtud de la necesidad expuesta anteriormente, la suscripción al
    boletín (o manifestación de voluntad equivalente) se considerará como el otorgamiento de un consentimiento,
    limitado a esta finalidad, que será siempre revocable con las consecuencias expuestas anteriormente.

  9. 9. Existencia decisiones individuales automatizadas (incluida la elaboración de
    perfiles)

    Actualmente se excluye el uso de procesos de toma de decisiones exclusivamente automatizados, tal y como se
    recoge en el artículo 22 del RGPD.

  10. 10. Modalidades del tratamiento

    Los datos personales se procesan tanto electrónicamente como, en el caso de la compra de nuestros servicios, en
    papel, utilizando métodos y herramientas diseñados para garantizar la máxima seguridad y confidencialidad, y
    pueden ser accesibles al personal del Titular debidamente autorizado para su tratamiento.

  11. 11. Tratamiento de los datos de navegación

    Los sistemas informáticos y los procedimientos software empleados para el funcionamiento de este Sitio Web
    recaban, durante su funcionamiento normal, algunos datos personales cuya transmisión está implícita en el uso de
    los protocolos de comunicación de Internet.

    Esta información no se recopila para ser asociada a interesados identificados, pero por su propia naturaleza
    podría, a través del tratamiento y la asociación con datos en poder de terceros, permitir la identificación de
    los usuarios.

    La información que puede recogerse incluye las direcciones IP, el tipo de navegador o sistema operativo
    utilizado, las direcciones de notación URI (identificador uniforme de recursos), el nombre de dominio y las
    direcciones de los sitios web desde los que se ha efectuado el acceso o la salida (páginas de
    referencia/salida), la hora a la que se ha realizado la solicitud al servidor, el método utilizado y las
    informaciones sobre la respuesta obtenida, otros datos sobre la navegación del usuario en el sitio (véase
    también el apartado sobre las cookies) y demás parámetros relativos al sistema operativo y al entorno
    informático del usuario.

    Estos datos también pueden utilizarse para identificar y determinar la responsabilidad en caso de fraude u otros
    actos ilícitos cometidos mediante el uso del Sitio.

  12. 12. Ejercicio de los derechos del interesado

    En relación con los datos personales objeto de esta política, el interesado tiene la facultad de ejercer los
    derechos previstos en el Reglamento UE que se exponen a continuación:

    • Derecho de acceso [art. 15 del Reglamento UE]: el interesado tendrá derecho a obtener del
      Responsable del Tratamiento la confirmación de si se están tratando o no datos personales que le
      conciernen y, en caso afirmativo, el derecho a acceder a la información expresamente prevista en el
      citado artículo, incluidos, a título enunciativo y no limitativo, los fines del tratamiento, las
      categorías de datos y los destinatarios, el plazo de conservación, la existencia del derecho de
      supresión, rectificación o limitación, el derecho a presentar una reclamación, toda la información
      disponible sobre el origen de los datos, la posible existencia de decisiones automatizadas con arreglo
      al art. 22 del Reglamento, así como una copia de sus datos personales;
    • Derecho de rectificación [Art. 16 del Reglamento UE]: el interesado tendrá derecho a obtener sin
      dilación indebida del Responsable del Tratamiento la rectificación y/o integración de los datos
      personales inexactos que le conciernan;
    • Derecho de supresión (“derecho al olvido”) [Art. 17 del Reglamento UE]: el interesado tendrá
      derecho a obtener sin dilación indebida la supresión de sus datos personales cuando concurra alguna de
      las circunstancias expresamente previstas en el citado artículo, entre ellas, a título enunciativo y no
      limitativo, el hecho de que el tratamiento ya no sea necesario para los fines que lo motivaron, la
      retirada del consentimiento en que se basa el tratamiento, la oposición al tratamiento si se basa en un
      interés legítimo no prevalente, el tratamiento ilícito de los datos, la supresión para el cumplimiento
      de una obligación legal, los datos de menores tratados en ausencia de las condiciones de aplicabilidad
      previstas en el art. 8 del Reglamento;
      personales inexactos que le conciernan;
    • Derecho a la limitación del tratamiento [artículo 18 del Reglamento UE]:
      en los casos previstos en el art. 18, incluidos el tratamiento ilícito, la impugnación de la exactitud
      de los datos, la oposición del interesado y el cese de la necesidad de tratamiento por parte del
      Responsable del Tratamiento, los datos deben tratarse únicamente con fines de conservación, a menos que
      el interesado dé su consentimiento y en los demás casos expresamente previstos en el citado artículo;
    • Derecho a la portabilidad de los datos [art. 20 del Reglamento UE]:
      el interesado, cuando el tratamiento se base en el consentimiento y en el contrato, y se lleve a cabo
      por medios automatizados, podrá solicitar recibir sus datos personales en un formato estructurado, de
      uso común y lectura mecánica, y tendrá derecho a transmitirlos a otro Responsable del Tratamiento;
    • Derecho de oposición [art. 21 del Reglamento UE]:
      el interesado tendrá derecho a oponerse al tratamiento de sus datos personales si esto se basa en un
      interés legítimo no prevalente o se lleva a cabo con fines de marketing directo;
    • Derecho a no ser objeto de decisiones automatizadas [art. 22 del Reglamento UE]:
      el interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento
      automatizado, incluida la elaboración de perfiles (por ejemplo, llevada a cabo exclusivamente mediante
      herramientas electrónicas o programas informáticos).

  13. 13. Modificaciones de esta política

    La constante evolución de nuestros servicios puede dar lugar a cambios en las modalidades de tratamiento de los
    datos personales descritas en el presente documento. Por consiguiente, esta política de privacidad puede ser
    modificada y complementada a lo largo del tiempo, incluso para cumplir con nuevas normativas, entre ellas la de
    protección de datos personales.
    Por ello, te invitamos a revisar periódicamente su contenido: siempre que sea posible, intentaremos informarte
    puntualmente de los cambios realizados y de sus consecuencias. La versión actualizada de la política de
    privacidad, en todo caso, se publicará en esta página.

  14. 14. Referencias legislativas y enlaces de interés

    El tratamiento de tus datos personales es realizado por EPIPOLI en pleno cumplimiento de la disciplina
    pertinente prevista por el Reglamento (UE) 2016/679, el reglamento general sobre la protección de datos
    personales, la normativa nacional vigente sobre el tratamiento de datos personales y las disposiciones de la
    Autoridad de Control italiana (www.garanteprivacy.it).

    El texto original del Reglamento UE 2016/679 puede consultarse en el sitio web de la Autoridad Italiana de
    Protección de Datos en el siguiente enlace: www.garanteprivacy.it/il-testo-del-regolamento