Informativa Privacy
Ultimo aggiornamento: 12 maggio 2026 — Titolare: Coralis Agency, hello@coralis.agency
1. Chi siamo
Coralis Agency (di seguito "Coralis", "noi") è un'agenzia che fornisce servizi di gestione, ottimizzazione e analisi
degli account Amazon (Seller Central, Vendor Central, Amazon Advertising) ai propri clienti aziendali, attraverso
gli strumenti software accessibili da portal.coralis.agency
e coralis.agency.
2. Quali dati trattiamo
Trattiamo le seguenti categorie di dati, sempre nel contesto del rapporto contrattuale con il cliente:
- Dati identificativi del cliente: ragione sociale, indirizzo, P.IVA, email di contatto.
- Dati account marketplace: identificativi venditore (Selling Partner ID), profile ID Amazon Ads,
token OAuth crittografati per accedere alle API Amazon (SP-API e Advertising API) per conto del cliente.
- Dati operativi: ordini, inventario, listini, performance pubblicitarie, metriche di campagna
— recuperati dalle API Amazon e usati esclusivamente per i servizi richiesti dal cliente.
- Dati di utilizzo del portale: log di accesso, indirizzi IP, browser, azioni effettuate, ai fini
di sicurezza e debug.
3. Dati Amazon Ads / Selling Partner
Per i clienti che ci autorizzano tramite OAuth ad accedere ai loro account Amazon:
- Il refresh token OAuth viene salvato esclusivamente sul nostro database e crittografato a riposo (AES-256).
- Accediamo ai dati Amazon esclusivamente per gli scope autorizzati dal cliente (
advertising::campaign_management,
SP-API roles), e mai per finalità diverse dalla gestione del suo account.
- I dati ricavati dalle API non vengono condivisi con terze parti diverse dai dipendenti e
collaboratori Coralis autorizzati al servizio per quel cliente.
- Il cliente può revocare in qualsiasi momento l'autorizzazione dalle impostazioni del proprio account Amazon
Seller Central / Amazon Ads → Apps & Services; oppure scrivendoci a hello@coralis.agency.
4. Finalità e base giuridica
- Esecuzione del contratto (art. 6.1.b GDPR): fornire i servizi di consulenza, monitoraggio e ottimizzazione concordati.
- Obblighi legali (art. 6.1.c GDPR): contabilità, fatturazione, conservazione documentale.
- Legittimo interesse (art. 6.1.f GDPR): sicurezza dell'infrastruttura, prevenzione frodi e abusi.
5. Sicurezza
Adottiamo controlli organizzativi e tecnici proporzionati al rischio:
- Crittografia in transito (TLS) verso tutti i sistemi.
- Crittografia a riposo (AES-256-CBC) per token OAuth e segreti applicativi.
- Accesso role-based: ogni operatore Coralis accede solo agli account dei clienti che ha in carico.
- Segregazione tra ambienti di produzione e sviluppo; segreti gestiti via variabili d'ambiente, mai in codice.
- Monitoraggio degli accessi anomali, registro degli eventi di sicurezza e piano di risposta agli incidenti
con notifica a security@amazon.com per incidenti che riguardino dati Amazon.
6. Conservazione
I dati operativi sono conservati per la durata del contratto e per i 12 mesi successivi a fini di rendicontazione e
supporto. I dati fiscali sono conservati per 10 anni come previsto dalla normativa italiana.
I token OAuth Amazon sono cancellati immediatamente alla revoca da parte del cliente o alla cessazione del servizio.
7. Trasferimenti extra-UE
Alcuni fornitori tecnici (es. Amazon Web Services per le API Amazon, Google per la posta elettronica aziendale)
possono trattare dati su infrastrutture extra-UE. In tali casi ci affidiamo a clausole contrattuali standard approvate
dalla Commissione Europea.
8. Diritti dell'interessato
In qualunque momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione,
limitazione, portabilità, opposizione) scrivendo a hello@coralis.agency.
Hai inoltre diritto di reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).
9. Modifiche
Eventuali modifiche a questa informativa saranno pubblicate in questa pagina con la data di aggiornamento.
Per modifiche sostanziali notificheremo i clienti via email.