Privacy Policy – APP Best of U

La presente Privacy Policy è aggiornata al 18 Maggio 2026

1. Introduzione

La presente Privacy Policy descrive come Zutre SA (“Zutre”, “noi” o “nostro”), con sede in Via Serafino Balestra 7, 6900 Lugano, Svizzera, raccoglie, utilizza, conserva e condivide i dati personali degli utenti (“Utente” o “Tu”) che utilizzano l’applicazione mobile Best of U (“App” o “Servizio”).

Zutre SA è parte di LVG Holding SA, gruppo impegnato nella promozione della sostenibilità e della circolarità nel settore della moda, sviluppando soluzioni tecnologiche innovative per ridurre l’impatto ambientale.

La presente informativa è redatta in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa svizzera sulla protezione dei dati, e si applica a tutti i dati personali trattati tramite l’App e i servizi correlati. L’obiettivo è garantire trasparenza, sicurezza e il pieno controllo da parte dell’Utente sui propri dati.

2. Definizioni e interpretazioni

Nel presente documento, i termini con l’iniziale maiuscola hanno il seguente significato:

“Account”: profilo personale creato dall’Utente per accedere all’App.

“Dati Person ali”: qualsiasi informazione relativa a una persona fisica identificata o identificabile.

“Servizio”: l’App Best of U e tutte le funzionalità connesse.

“Titolare del trattamento”: Zutre SA, che determina finalità e mezzi del trattamento dei dati.

“Responsabile del trattamento”: soggetto terzo che tratta dati per conto di Zutre SA.

“Consenso”: manifestazione di volontà libera, specifica, informata e inequivocabile con cui l’Utente accetta il trattamento dei propri dati.

3. Titolare del trattamento e DPO 3.1 Titolare del trattamento

Il Titolare del trattamento è: Zutre SA

Via Serafino Balestra 7, 6900 Lugano – Svizzera

E-mail: privacy@zutre.com

Sito web: www.zutre.com

3.2 DPO

A. Clausola di nomina e riferimenti normativi

1. ZUTRE, in qualità di titolare del trattamento ai sensi del Regolamento (UE) 2016/679 e del D.Lgs. 196/2003 e successive modificazioni, nomina l’Avv. Nicole Boldracchi quale Responsabile della Protezione dei Dati (Data Protection Officer – DPO) ai sensi e per gli effetti degli artt. 37, 38 e 39 del Regolamento (UE) 2016/679.

2. La presente nomina decorre dal 05.12.2025, con efficacia sino a revoca motivata o sostituzione, nel rispetto della normativa applicabile e delle linee guida pertinenti.

B. Requisiti professionali, autonomia, indipendenza e conflitti di interesse

1. Il DPO è selezionata in ragione delle sue qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti ad essa attribuiti.

2. Il DPO opera con piena autonomia e imparzialità ed è dotata delle risorse finanziarie, materiali e organizzative necessarie allo svolgimento delle proprie funzioni, senza interferenze o condizionamenti.

3. Al fine di prevenire conflitti di interesse, il DPO non determina le finalità e i mezzi del trattamento e non ricopre ruoli che possano implicare tale determinazione; la Società verificherà e manterrà nel tempo l’assenza di conflitti, adottando misure di mitigazione ove necessario.

C. Compiti del DPO

1. Il DPO informa e fornisce consulenza al titolare, ai responsabili del trattamento e ai dipendenti in ordine agli obblighi derivanti dalla normativa UE e nazionale in materia di protezione dei dati, ivi incluse le politiche interne.

2. Il DPO sorveglia l’osservanza del GDPR, delle norme nazionali, nonché delle policy interne, anche tramite attribuzione di responsabilità, sensibilizzazione e formazione del personale e attività di controllo connesse.

3. Il DPO fornisce, se richiesta, parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) e sorveglia il relativo svolgimento.

4. Il DPO coopera con l’autorità di controllo e funge da punto di contatto per questioni inerenti il trattamento, effettuando le consultazioni del caso.

5. Il DPO pone in essere azioni di sensibilizzazione sull’impatto dei trattamenti e indirizza il miglioramento continuo del sistema di conformità al GDPR.

6. Il DPO è tenuta al segreto/riservatezza nell’adempimento dei propri compiti e può svolgere altri incarichi solo se non generano conflitto di interessi.

D. Flussi informativi, accesso alle informazioni e risorse

1. Il titolare assicura al DPO accesso tempestivo e completo a informazioni, documenti e sistemi necessari per l’espletamento dei compiti, nonché l’ingaggio nei processi rilevanti (progetti, DPIA, incidenti, audit).

2. Il titolare mette a disposizione risorse adeguate (finanziarie, materiali, organizzative e formative) e garantisce l’autonomia funzionale del DPO.

E. Canali di contatto, pubblicità e rapporti con gli interessati

1. Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei diritti riconosciuti dalla normativa in materia di protezione dei dati.

2. La Società pubblica e rende facilmente accessibili i recapiti del DPO, con i seguenti canali: email: contracting@zutre.com

F. Durata, revoca motivata, sostituzione

1. L’incarico ha durata a tempo indeterminato con decorrenza dalla data indicata; resta ferma la facoltà della Società di procedere alla revoca motivata o alla sostituzione del DPO in caso di inadempimento grave, conflitto di interesse insanabile o altre ragioni oggettive, garantendo continuità della funzione.

G. Adempimenti documentali e organizzativi

1. La Società aggiorna la propria documentazione privacy (incluse policy e registri dei trattamenti) per riflettere la nomina e i relativi flussi organizzativi, in coerenza con gli obblighi di conformità e di accountability.

H. Riservatezza, formazione, reportistica

1. Il DPO è vincolata alla riservatezza nello svolgimento delle proprie funzioni e promuove adeguati programmi di sensibilizzazione e formazione del personale sui temi di protezione dei dati.

2. Il DPO riferisce periodicamente agli organi competenti della Società in merito allo stato di conformità, ai rischi residui e alle misure di miglioramento, anche a seguito di audit e verifiche.

4. Tipologie di dati raccolti

4.1 Dati forniti dall’Utente

Nome, cognome, email, numero di telefono;

Dati di registrazione e credenziali di accesso;

Preferenze di stile, misure corporee, informazioni necessarie per la creazione dell’avatar digitale (Mini-Me);

Immagini e descrizioni dei capi inseriti nel guardaroba digitale;

Informazioni di pagamento (gestite da fornitori terzi certificati, Zutre non memorizza i dati della carta).

4.2 Dati raccolti automaticamente

Indirizzo IP, tipo di dispositivo e sistema operativo;

Dati di navigazione all’interno dell’App (funzioni utilizzate, tempo di utilizzo, crash logs);

Geolocalizzazione, solo se l’Utente ha espresso consenso;

Cookies e strumenti di tracciamento (vedi sezione 10).

4.3 Utilizzo dell’App da parte di Utenti Minori (16–18 anni)

A. Ambito di applicazione e riferimenti normativi

L’accesso e l’utilizzo dell’App Best of U sono consentiti esclusivamente agli utenti che abbiano compiuto almeno 16 anni di età. In conformità all’art. 8 del Regolamento (UE) 2016/679 (“GDPR”), alla normativa italiana e alla Legge federale svizzera sulla protezione dei dati (LPD), è vietata la raccolta e il trattamento di dati personali di utenti di età inferiore ai 16 anni.

Con riguardo agli utenti minorenni aventi età compresa tra 16 e 17 anni, il trattamento dei dati personali è consentito senza necessità di autorizzazione da parte del titolare della responsabilità genitoriale, salvo diversa disposizione prevista dalla legislazione nazionale applicabile all’Utente.

B. Requisiti di accuratezza delle informazioni e misure di verifica

L’Utente è tenuto a fornire informazioni veritiere relative alla propria età al momento della registrazione. La Società si riserva la facoltà di adottare misure di verifica dell’età qualora sussistano motivi ragionevoli per dubitare dell’attendibilità dei dati forniti, anche mediante controlli automatizzati o richieste di documentazione aggiuntiva.

In caso di dichiarazioni mendaci o informazioni inesatte che comportino l’utilizzo dell’App da parte di soggetti non autorizzati, Zutre potrà procedere, a propria discrezione, alla limitazione, sospensione o cancellazione dell’Account interessato.

C. Gestione dei dati forniti da minori di anni 16

Qualora Zutre venga a conoscenza del fatto che un minore di età inferiore a 16 anni abbia fornito dati personali o abbia creato un Account, la Società provvederà alla cancellazione tempestiva di tali dati, salvo obblighi di conservazione derivanti da norme imperative.

Il titolare della responsabilità genitoriale o il tutore legale può contattare la Società tramite i recapiti indicati nella presente Privacy Policy al fine di richiedere la cancellazione dei dati riferiti al minore. La richiesta sarà gestita con priorità e nel rispetto della normativa applicabile.

D. Trasparenza, responsabilità e tutela dei minori

Zutre adotta misure organizzative e tecniche finalizzate a prevenire l’utilizzo improprio dell’App da parte di minori non autorizzati, garantendo al contempo il rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione del trattamento.

La Società monitora e aggiorna periodicamente le proprie procedure per assicurare la conformità ai requisiti previsti dalla normativa in materia di protezione dei dati personali e dalle linee guida delle autorità competenti.

5. Finalità e base giuridica

Nota: la mancata concessione dei consensi facoltativi non impedisce l’uso dell’App, ma può limitare alcune funzionalità.

6. Modalità di raccolta e revoca del consenso

Il consenso è raccolto tramite azioni positive (es. caselle non preselezionate).

Prima della creazione dell’account è obbligatoria l’accettazione di Privacy Policy e Terms & Conditions.

L’Utente può revocare in ogni momento i consensi tramite le impostazioni dell’App o scrivendo a privacy@zutre.com.

7. Condivisione dei dati

Zutre può condividere i dati personali con:

Fornitori di servizi per hosting, analytics, pagamenti, assistenza clienti.

Società del gruppo LVG Holding SA, per garantire il funzionamento dell’App.

Partner commerciali, solo previo consenso per marketing o profilazione.

Autorità competenti, se previsto dalla legge.

7-bis. Utilizzo di sistemi di Intelligenza Artificiale e fornitori terzi

L’App BEST OF U utilizza sistemi basati su intelligenza artificiale per la generazione di avatar digitali (“Mini-Me”), funzionalità di virtual try-on (“VTO”) e suggerimenti personalizzati (ad esempio, abbinamenti di outfit o raccomandazioni di prodotti).

Tali funzionalità possono essere fornite anche tramite l’integrazione di tecnologie e servizi di terze parti, inclusi, a titolo esemplificativo, fornitori di modelli di intelligenza artificiale e infrastrutture di elaborazione (ad es. Fal.AI).

7-bis.1 Ruolo dei fornitori terzi e finalità del trattamento

In tale contesto:

i fornitori terzi operano, a seconda dei casi, quali Responsabili del trattamento ai sensi dell’art. 28 GDPR (quando trattano dati personali per conto di Zutre e secondo le sue istruzioni) oppure come Titolari autonomi per specifiche attività, che definiscono in modo indipendente finalità e modalità del trattamento;

i dati personali sono trattati per finalità strettamente connesse all’erogazione delle funzionalità di intelligenza artificiale, quali, a titolo esemplificativo: generazione di avatar digitali, elaborazione di immagini per la prova virtuale di prodotti, generazione di suggerimenti e raccomandazioni personalizzate;

Zutre adotta misure contrattuali e tecniche adeguate per garantire la protezione dei dati personali, inclusa la stipula di accordi conformi al GDPR con i fornitori che agiscono come Responsabili del trattamento, nei quali sono disciplinate le istruzioni, le misure di sicurezza, i tempi di conservazione e i limiti di utilizzo dei dati.

7-bis.2 Trattamenti tramite il fornitore terzo Fal.AI – Funzionalità Mini-Me e Virtual Try-On (VTO)

L’App può raccogliere immagini del volto e/o del corpo intero dell’Utente (“face data”) tramite la fotocamera del dispositivo o il caricamento di immagini esistenti, quando l’Utente utilizza in particolare le funzionalità “Mini-Me” e “Virtual Try-On (VTO)”.

Da tali immagini possono essere generati dati tecnici (ad es. punti di riferimento facciali e corporei, misure approssimative e caratteristiche morfologiche) strettamente necessari al funzionamento di queste funzionalità.

Quando si utilizzano le funzionalità “Mini-Me” e “Virtual Try-On (VTO)” dell’App BEST OF U, alcuni dati personali vengono temporaneamente trasmessi al nostro fornitore tecnologico Fal.AI, che supporta l’elaborazione delle immagini per:

generare l’avatar digitale personalizzato (“Mini-Me”);

mostrare la simulazione di prova virtuale dei prodotti (VTO) sul volto e/o sul corpo dell’utente.

Per queste funzionalità possiamo trattare e inviare al fornitore terzo “Fal.AI” le seguenti categorie di dati:

immagini del volto dell’utente;

immagini del corpo intero dell’utente;

dati tecnici ricavati da tali immagini (ad es. punti di riferimento facciali e corporei, misure approssimative e caratteristiche morfologiche) utilizzati esclusivamente per generare l’avatar e/o la simulazione di prova virtuale;

identificativi tecnici della sessione e del dispositivo (ad es. identificativo di sessione, indirizzo IP parzialmente mascherato o altro identificativo tecnico necessario al funzionamento sicuro del servizio);

informazioni sul prodotto che stai provando virtualmente (ad es. modello, taglia, colore).

Le immagini del volto e/o del corpo intero e i dati tecnici derivati sono utilizzati esclusivamente per:

creare l’avatar digitale personalizzato dell’Utente (“Mini-Me”);

mostrare la simulazione di prova virtuale dei prodotti (VTO);

garantire il corretto e sicuro funzionamento di tali funzionalità. Non utilizziamo tali dati per finalità ulteriori incompatibili (ad es. marketing diretto indipendente) senza un nuovo consenso dell’Utente, nel rispetto dei principi di limitazione della finalità e minimizzazione.

Fal.AI opera, per queste attività, in qualità di Responsabile del trattamento per conto di Zutre, sulla base di un accordo conforme all’art. 28 GDPR che lo vincola a:

trattare i dati esclusivamente per le finalità sopra descritte e secondo le nostre istruzioni documentate;

adottare misure tecniche e organizzative adeguate (ad es. cifratura dei dati, controlli di accesso, procedure di logging e backup) per garantire un livello di sicurezza adeguato al rischio;

non utilizzare i dati per finalità proprie (ad es. marketing indipendente, profilazione autonoma, addestramento di modelli generali non correlati alle funzionalità dell’App) né condividerli con ulteriori terzi, salvo quanto necessario per adempiere ad obblighi di legge.

7-bis.3Trattamenti tramite Amazon Bedrock (AWS) – Funzionalità di autotagging dei capi

Per la funzionalità di autotagging (etichettatura automatica dei capi presenti nel guardaroba digitale), l’App può trasmettere ad Amazon Bedrock, servizio fornito da Amazon Web Services, Inc. (“AWS”), alcune informazioni relative alle immagini dei capi e ai relativi metadati tecnici strettamente necessari all’elaborazione automatica delle etichette e dei tag.

In questo contesto:

AWS agisce in qualità di Responsabile del trattamento (Data Processor) ai sensi dell’art. 28 GDPR, trattando i dati personali esclusivamente per conto di Zutre e secondo le istruzioni documentate da Zutre;

i dati sono trattati per il solo scopo di fornire la funzionalità di autotagging (ad esempio, riconoscimento di categoria del capo, colore, pattern, eventuali altre caratteristiche rilevanti per l’organizzazione del guardaroba digitale);

Zutre ha stipulato con AWS accordi conformi al GDPR che disciplinano le istruzioni sul trattamento, le misure di sicurezza, i tempi di conservazione e i limiti di utilizzo dei dati.

I dati inviati ad Amazon Bedrock non vengono utilizzati da AWS per addestrare o migliorare modelli pubblici generali, né per finalità proprie di marketing, profilazione o analisi indipendenti, ma unicamente per l’erogazione del servizio di elaborazione richiesto da Zutre.

I dati trattati tramite Amazon Bedrock sono conservati solo per il tempo strettamente necessario a fornire la funzionalità di autotagging e, successivamente, sono cancellati o anonimizzati in conformità con la presente Privacy Policy e con gli accordi stipulati con AWS.

7-bis.4 Trattamenti tramite Removal.ai – Scontornamento delle immagini (rimozione dello sfondo)

Per consentire la funzionalità di scontornamento delle immagini (rimozione dello sfondo delle foto dei capi caricati dall’Utente), l’App può trasmettere temporaneamente le immagini a Removal.ai, fornitore terzo specializzato nell’elaborazione tecnica delle immagini.

In questo contesto:

Removal.ai tratta le immagini esclusivamente per effettuare lo scontornamento e restituire a Zutre l’immagine elaborata, agendo in qualità di Responsabile del trattamento per conto di Zutre;

il trattamento da parte di Removal.ai è strettamente limitato all’elaborazione tecnica necessaria per rimuovere lo sfondo e migliorare la qualità dell’immagine, senza ulteriori utilizzi incompatibili;

le immagini sono conservate da Removal.ai solo per il tempo strettamente necessario all’elaborazione tecnica e non sono oggetto di conservazione permanente, riutilizzo per finalità proprie, addestramento di modelli generali, o condivisione con ulteriori terzi se non nella misura strettamente necessaria all’erogazione del servizio o all’adempimento di obblighi di legge.

Zutre adotta misure contrattuali e tecniche adeguate per garantire che Removal.ai applichi misure di sicurezza appropriate (ad es. cifratura in transito, controlli di accesso, procedure di cancellazione) e non utilizzi le immagini per finalità diverse da quelle strettamente necessarie all’erogazione del servizio di scontornamento.

7-bis.5 Base giuridica e consenso

Il trattamento di immagini del volto e/o del corpo intero e dei relativi dati tecnici per le funzionalità “Mini-Me” e “VTO” avviene sulla base del consenso esplicito dell’Utente, richiesto tramite schermate dedicate prima di ogni nuova generazione di avatar o sessione di prova virtuale.

L’Utente può rifiutare o revocare il consenso in qualsiasi momento: in tal caso non potrà utilizzare tali funzionalità, restando comunque possibile l’utilizzo delle altre funzionalità dell’App, ove tecnicamente compatibile.

7-bis.6 Conservazione dei face data Le immagini del volto e/o del corpo intero e i dati tecnici derivati sono conservati solo per il tempo strettamente necessario a:

generare l’avatar o la simulazione di prova virtuale;

mantenere attiva la funzionalità richiesta dall’Utente per un periodo limitato, come indicato nella sezione della presente Privacy Policy dedicata ai tempi di conservazione dei dati. Trascorsi tali termini, i dati sono cancellati o anonimizzati in modo irreversibile, salvo che una conservazione più lunga sia richiesta dalla legge o necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

7-bis.7 Sicurezza dei face data

Tenuto conto della natura particolarmente delicata delle immagini del volto e del corpo intero, adottiamo misure tecniche e organizzative adeguate per proteggere tali dati, incluse, a titolo esemplificativo: cifratura dei dati in transito, controlli di accesso basati sul principio del “need‑to‑know”, registri di eventi e procedure di backup e ripristino in caso di incidente. I nostri fornitori sono tenuti ad adottare misure di sicurezza equivalenti o comunque adeguate al rischio.

7-bis.8 Maggiori informazioni e informative dei fornitori terzi

Per maggiori informazioni sui trattamenti effettuati da tali fornitori terzi, si invita l’Utente a consultare le rispettive informative privacy e condizioni d’uso, attualmente disponibili ai seguenti indirizzi:

Fal.AI: https://fal.ai/privacy – https://fal.ai/terms

Amazon Web Services (Amazon Bedrock): https://aws.amazon.com/privacy/ – https://aws.amazon.com/service-terms/

Removal.ai: https://removal.ai/privacy-policy/ – https://removal.ai/terms-and-conditions/

8. Trasferimenti internazionali

I dati possono essere trasferiti verso paesi extra UE/SEE. In tali casi, Zutre utilizza Clausole Contrattuali Standard (SCC) e altre garanzie conformi al GDPR (artt. 44 e seguenti).

Zutre potrà trasferire i dati personali verso Paesi situati al di fuori dell’Unione europea/Spazio economico europeo (UE/SEE).

Quando il Paese terzo beneficia di una decisione di adeguatezza della Commissione europea (art. 45 GDPR), il trasferimento avviene su tale base. In mancanza di una decisione di adeguatezza, il trasferimento avviene ai sensi dell’art. 46 GDPR mediante Clausole Contrattuali Standard della Commissione europea (SCC, Decisione 2021/914/UE – moduli applicabili) e, ove necessario, misure supplementari tecniche, contrattuali e organizzative; in alternativa, potranno essere utilizzate altre garanzie adeguate (es. Norme vincolanti d’impresa – BCR; codici di condotta o certificazioni con impegni vincolanti del destinatario nel Paese terzo). In via residuale e solo alle condizioni previste, potranno applicarsi le deroghe di cui all’art. 49 GDPR.

Mezzi per ottenere copia/sintesi delle garanzie: l’Utente può ottenere una copia delle SCC applicate (con oscuramento delle parti confidenziali) o informazioni sui contenuti essenziali delle garanzie adeguate scrivendo a privacy@zutre.com; su richiesta forniremo anche una descrizione sintetica delle misure supplementari eventualmente adottate. Inoltre, rendiamo disponibili informazioni aggiornate sui trasferimenti e sulle garanzie nella presente Privacy Policy e, quando previsto, in una sezione dedicata del nostro sito.

Resta fermo che i trasferimenti sono effettuati in conformità agli artt. 44 e seguenti del GDPR e non pregiudicano i diritti degli interessati; le copie fornite non ledono diritti e libertà di terzi.

9. Periodo di conservazione

Dati account: finché l’account è attivo.

Dati marketing: fino a revoca consenso.

Dati di legge: secondo obblighi normativi.

Al termine del rapporto, i dati sono cancellati o anonimizzati.

10. Cookies e tracking

L’App utilizza cookies tecnici e, solo con consenso, cookies analitici e di marketing. Al primo accesso viene mostrato un banner per gestire le preferenze.

11. Diritti dell’Utente

Gli utenti possono esercitare in ogni momento:

Condizioni del consenso e Revoca del consenso (art. 7.3 GDPR)

Accesso ai dati - Diritto di accesso dell'interessato (art. 15 GDPR)

Diritto di Rettifica (art. 16 GDPR)

Diritto alla cancellazione («diritto all'oblio») (art. 17 GDPR)

Diritto di limitazione di trattamento (art. 18 GDPR)

Diritto alla portabilità dei dati (art. 20 GDPR)

Diritto di opposizione (art. 21 GDPR)

12. Modifiche alla Privacy Policy

Zutre si riserva il diritto di aggiornare questa informativa. Le modifiche saranno comunicate tramite App o email.

13. Contatti

Per qualsiasi informazione o per esercitare i tuoi diritti:

E-mail: privacy@zutre.com

Sede: Via Serafino Balestra 7, 6900 Lugano – Svizzera

Privacy Policy – APP Best of U

Our Privacy Policy was last updated on May 18th 2026

1. Introduction

This Privacy Policy explains how Zutre SA (“Zutre”, “we” or “our”), with registered office at Via Serafino Balestra 7, 6900 Lugano, Switzerland, collects, uses, stores, and shares the personal data of users (“User” or “You”) who use the Best of U mobile application (“App” or “Service”). Zutre SA is part of LVG Holding SA, a group committed to promoting sustainability and circularity in the fashion industry by developing innovative technological solutions to reduce environmental impact.

This policy is drafted in compliance with the EU Regulation 2016/679 (GDPR) and Swiss data protection law and applies to all personal data processed through the App and related services. Our goal is to ensure transparency, security, and full control for Users over their data.

2. Definitions and Interpretation

In this document, capitalized terms have the following meanings:

“Account”: the personal profile created by the User to access the App.

“Personal Data”: any information relating to an identified or identifiable natural person.

“Service”: the Best of U App and all related features.

“Data Controller”: Zutre SA, which determines the purposes and means of data processing.

“Data Processor”: a third party that processes data on behalf of Zutre SA.

“Consent”: a free, specific, informed, and unambiguous indication of the User’s wishes to agree to the processing of their data.

3. Data Controller and DPO

3.1 Data Controller

The Data Controller is: Zutre SA Via Serafino Balestra 7, 6900 Lugano – Switzerland E-mail: privacy@zutre.com Website: www.zutre.com

3.2 DPO

A. Appointment Clause and Legal References

1. ZUTRE, as Data Controller pursuant to Regulation (EU) 2016/679 and Legislative Decree 196/2003 as amended, appoints Avv. Nicole Boldracchi as the Data Protection Officer (“DPO”) in accordance with Articles 37, 38, and 39 of Regulation (EU) 2016/679.

2. This appointment takes effect on 05.12.2025 and remains valid until duly revoked or replaced, in compliance with the applicable legislation and relevant guidelines.

B. Professional Requirements, Autonomy, Independence, and Conflict of Interest

1. The DPO is selected based on her professional qualities, specialist knowledge of data protection law and practices, and her ability to fulfil the responsibilities assigned to her.

2. The DPO operates with full autonomy and impartiality and is provided with the financial, material, and organizational resources required to perform her duties without interference or influence.

3. To prevent conflicts of interest, the DPO does not determine the purposes and means of processing and does not hold roles that could entail such determination. The Company will verify and maintain the absence of conflicts over time, adopting mitigation measures where necessary.

C. Duties of the DPO

1. The DPO informs and advises the Controller, processors, and employees regarding their obligations under EU and national data protection law, including internal policies.

2. The DPO monitors compliance with the GDPR, applicable national law, and internal policies, also through assignment of responsibilities, awareness-raising and staff training activities, and related control activities.

3. The DPO provides, where requested, advice regarding Data Protection Impact Assessments (DPIA) and oversees their execution.

4. The DPO cooperates with the supervisory authority and acts as a point of contact for matters relating to processing, carrying out the necessary consultations.

5. The DPO undertakes awareness-raising activities on the impact of processing operations and supports the continuous improvement of the GDPR compliance system.

6. The DPO is bound by confidentiality and secrecy obligations in performing her tasks and may perform other duties only where such duties do not create a conflict of interest.

D. Information Flows, Access to Information, and Resources

1. The Controller ensures that the DPO has timely and complete access to all information, documents, and systems necessary to perform her duties, as well as involvement in relevant processes (projects, DPIAs, incidents, audits).

2. The Controller provides adequate resources (financial, material, organizational, and training-related) and guarantees the functional independence of the DPO.

E. Contact Channels, Disclosure, and Relationships with Data Subjects

1. Data subjects may contact the DPO for any matters relating to the processing of their personal data and the exercise of their data protection rights.

2. The Company publishes and makes easily accessible the DPO’s contact details through the following channel: email: contracting@zutre.com

F. Term, Revocation for Cause, and Replacement

1. The appointment is of indefinite duration starting from the date indicated above. The Company retains the right to revoke the appointment for cause or replace the DPO in the event of serious non-compliance, irreconcilable conflict of interest, or other objective reasons, ensuring continuity of the function.

G. Documentation and Organizational Requirements

1. The Company updates its privacy documentation (including policies and records of processing activities) to reflect the appointment and related organizational flows, in line with the principles of compliance and accountability.

H. Confidentiality, Training, and Reporting

1. The DPO is bound by confidentiality in the performance of her duties and promotes adequate awareness and training programs for staff on data protection topics.

2. The DPO periodically reports to the competent corporate bodies on the state of compliance, residual risks, and improvement measures, including following audits and assessments.

4. Types of Data Collected

4.1 Data provided by the User

Name, surname, email, phone number;

Registration data and login credentials;

Style preferences, body measurements, information required to create the digital avatar (Mini-Me);

Images and descriptions of garments uploaded to the digital wardrobe;

Payment information (handled by certified third-party providers; Zutre does not store card data).

4.2 Data collected automatically

IP address, device type, and operating system;

Browsing data within the App (used features, time spent, crash logs);

Geolocation, only if the User has given consent;

Cookies and tracking tools (see section 10).

4.3 Use of the App by Minor Users (16–18 years old)

A. Scope of Application and Legal References

Access to and use of the Best of U App is permitted exclusively to users who are at least 16 years of age. In accordance with Article 8 of Regulation (EU) 2016/679 (“GDPR”), Italian law, and the Swiss Federal Act on Data Protection (FADP), the collection and processing of personal data of users under the age of 16 is prohibited. With regard to minor users aged 16 to 17, the processing of personal data is permitted without the need for authorization from the holder of parental responsibility, unless otherwise provided by the national legislation applicable to the User.

B. Accuracy of Information and Verification Measures

The User must provide truthful information regarding their age at the time of registration. The Company reserves the right to adopt age-verification measures if there are reasonable grounds to doubt the accuracy of the information provided, including through automated checks or requests for additional documentation. In the event of false statements or inaccurate information leading to the use of the App by unauthorized individuals, Zutre may, at its discretion, restrict, suspend, or delete the relevant Account.

C. Handling of Data Provided by Users Under the Age of 16

If Zutre becomes aware that a user under the age of 16 has provided personal data or created an Account, the Company will promptly delete such data, unless retention is required by mandatory legal obligations. The holder of parental responsibility or the legal guardian may contact the Company using the contact details provided in this Privacy Policy to request the deletion of data relating to the minor. The request will be handled as a priority and in compliance with applicable law.

D. Transparency, Accountability, and Protection of Minors

Zutre implements organizational and technical measures to prevent the unauthorized use of the App by minors, while ensuring compliance with the principles of lawfulness, fairness, transparency, and data minimization. The Company periodically monitors and updates its internal procedures to ensure compliance with the requirements set forth by data protection laws and the guidelines of the competent supervisory authorities.

5. Purpose and Legal Basis

Note: not giving optional consents does not prevent App use, but may limit certain features.

6. Consent Collection and Withdrawal

Consent is collected through positive actions (e.g., non-preselected checkboxes).

Before creating an account, acceptance of Privacy Policy and Terms & Conditions is mandatory.

The User can withdraw consent at any time through the App settings or by emailing privacy@zutre.com.

7. Data Sharing

Zutre may share personal data with:

Service providers for hosting, analytics, payments, customer support.

LVG Holding SA group companies, to ensure the proper functioning of the App.

Business partners, only with consent for marketing or profiling.

Competent authorities, if required by law.

7-bis. Use of Artificial Intelligence Systems and Third-Party Providers

The BEST OF U App uses artificial intelligence-based systems for the generation of digital avatars (“Mini-Me”), virtual try-on functionalities (“VTO”), and personalized suggestions (e.g., outfit matching or product recommendations). Such functionalities may also be provided through the integration of third-party technologies and services, including, by way of example, providers of artificial intelligence models and processing infrastructures (Fal.AI).

7-bis.1 Processing via Amazon Bedrock (AWS) – Garment autotagging functionality

For the autotagging functionality (automatic labelling of garments in the digital wardrobe), the App may transmit to Amazon Bedrock, a service provided by Amazon Web Services, Inc. (“AWS”), certain information relating to garment images and related technical metadata strictly necessary for the automatic generation of labels and tags.

In this context:

AWS acts as a Data Processor pursuant to Article 28 GDPR, processing personal data solely on behalf of Zutre and in accordance with Zutre’s documented instructions;

data are processed exclusively for the purpose of providing the autotagging functionality (e.g., recognition of garment category, color, pattern, and other features relevant to the organization of the digital wardrobe);

Zutre has entered into GDPR-compliant agreements with AWS governing processing instructions, security measures, retention periods, and limitations on data use.

Data sent to Amazon Bedrock are not used by AWS to train or improve public general-purpose models, nor for AWS’s own independent marketing, profiling, or analytics purposes, but solely for delivering the processing services requested by Zutre.

Data processed via Amazon Bedrock are retained only for the time strictly necessary to provide the autotagging functionality and are then deleted or anonymized in accordance with this Privacy Policy and the agreements in place with AWS.

7-bis.2 Processing via Removal.ai – Image background removal

To enable the image background removal feature (cut-out of the background from garment photos uploaded by the User), the App may temporarily transmit images to Removal.ai, a third-party provider specialized in technical image processing.

In this context:

Removal.ai processes images solely to perform background removal and to return the processed image to Zutre, acting as a Data Processor on behalf of Zutre;

processing by Removal.ai is strictly limited to the technical operations necessary to remove the background and enhance image quality, with no further incompatible uses;

images are stored by Removal.ai only for the time strictly necessary for the technical processing and are not subject to permanent storage, reuse for its own purposes, training of general models, or sharing with additional third parties, except to the extent strictly necessary to provide the service or comply with legal obligations.

Zutre implements appropriate contractual and technical measures to ensure that Removal.ai applies adequate security measures (e.g., encryption in transit, access controls, deletion procedures) and does not use images for purposes other than those strictly necessary to provide the background removal service.

7-bis.3 Role of Third-Party Providers and Purposes of Processing

In this context:

third-party providers act, as the case may be, either as Data Processors pursuant to Article 28 GDPR (where they process personal data on behalf of Zutre and in accordance with its instructions) or as independent Data Controllers for specific activities, determining independently the purposes and means of processing;

personal data are processed for purposes strictly related to the provision of artificial intelligence functionalities, such as, by way of example: generation of digital avatars, image processing for virtual product try-on, and generation of personalized suggestions and recommendations;

Zutre adopts appropriate contractual and technical measures to ensure the protection of personal data, including the execution of GDPR-compliant agreements with providers acting as Data Processors, governing instructions, security measures, retention periods, and limitations on data use.

7-bis.4 Processing via Third-Party Provider Fal.AI – “Mini-Me” and Virtual Try-On (VTO) Functionalities

The App may collect images of the User’s face and/or full body (“face data”) via the device camera or through the upload of existing images, in particular when the User uses the “Mini-Me” and “Virtual Try On (VTO)” functionalities. From such images, technical data may be generated (e.g., facial and body landmarks, approximate measurements, and morphological characteristics) strictly necessary for the functioning of these features.

When using the “Mini-Me” and “Virtual Try On (VTO)” functionalities of the BEST OF U App, certain personal data are temporarily transmitted to our technology provider Fal.AI, which supports image processing in order to:

generate the personalized digital avatar (“Mini-Me”);

display the virtual try-on simulation of products (VTO) on the user’s face and/or body.

For these functionalities, we may process and transmit to the third-party provider Fal.AI the following categories of data:

images of the user’s face;

images of the user’s full body;

technical data derived from such images (e.g., facial and body landmarks, approximate measurements, and morphological characteristics) used exclusively to generate the avatar and/or the virtual try-on simulation;

technical identifiers of the session and device (e.g., session ID, partially masked IP address, or other technical identifiers necessary for the secure operation of the service);

information about the product being virtually tried on (e.g., model, size, color).

Images of the face and/or full body and the derived technical data are used exclusively for:

creating the User’s personalized digital avatar (“Mini-Me”);

displaying the virtual try-on simulation of products (VTO);

ensuring the proper and secure functioning of these features.

Such data are not used for further incompatible purposes (e.g., independent direct marketing) without the User’s renewed consent, in compliance with the principles of purpose limitation and data minimization.

For these activities, Fal.AI acts as a Data Processor on behalf of Zutre, on the basis of an agreement compliant with Article 28 GDPR, which binds it to:

process the data exclusively for the purposes described above and in accordance with our documented instructions;

adopt appropriate technical and organizational measures (e.g., data encryption, access controls, logging and backup procedures) to ensure a level of security appropriate to the risk;

not use the data for its own purposes (e.g., independent marketing, autonomous profiling, training of general models unrelated to the App’s functionalities) nor share them with additional third parties, except where necessary to comply with legal obligations.

7-bis.5 Legal Basis and Consent

The processing of images of the face and/or full body and related technical data for the “Mini-Me” and “VTO” functionalities is based on the User’s explicit consent, requested through dedicated screens prior to each new avatar generation or virtual try-on session.

The User may refuse or withdraw consent at any time; in such case, these functionalities will not be available, while the use of other App functionalities will remain possible, where technically compatible.

7-bis.6 Retention of Face Data

Images of the face and/or full body and the derived technical data are retained only for the time strictly necessary to:

generate the avatar or the virtual try-on simulation;

keep the requested functionality active for a limited period, as indicated in the section of this Privacy Policy dedicated to data retention periods.

Upon expiry of such periods, the data are deleted or irreversibly anonymized, unless longer retention is required by law or necessary for the establishment, exercise, or defense of a legal claim.

7-bis.7 Security of Face Data

Considering the particularly sensitive nature of face and full-body images, we adopt appropriate technical and organizational measures to protect such data, including, by way of example: encryption of data in transit, access controls based on the “need-to-know” principle, event logging, and backup and recovery procedures in the event of an incident. Our providers are required to adopt equivalent or otherwise adequate security measures commensurate with the risk.

7-bis.8 Further Information and Third-Party Privacy Notices

For further information on the processing carried out by such third-party providers, Users are invited to consult their respective privacy policies and terms of use, currently available at the following addresses:

Fal.AI: https://fal.ai/privacy – https://fal.ai/terms

Amazon Web Services (Amazon Bedrock): https://aws.amazon.com/privacy/ – https://aws.amazon.com/service-terms/

Removal.ai: https://removal.ai/privacy-policy/ – https://removal.ai/terms-and-conditions/

8. International Transfers

Data may be transferred to countries outside the EU/EEA. In such cases, Zutre uses Standard Contractual Clauses (SCCs) and other safeguards in compliance with GDPR (arts. 44 et seq.).

9. Data Retention

Account data: as long as the account is active.

Marketing data: until consent is withdrawn.

Legal data: according to legal obligations.

After termination, data are deleted or anonymized.

10. Cookies and Tracking

The App uses technical cookies and, only with consent, analytics and marketing cookies. Upon first access, a banner is displayed to manage preferences.

11. User Rights

Users may exercise at any time:

Consent conditions and Withdrawal of consent (art. 7.3 GDPR)

Right of Access to data (art. 15 GDPR)

Right of Rectification (art. 16 GDPR)

Right of Erasure (art. 17 GDPR)

Right of Restriction (art. 18 GDPR)

Right of Portability (art. 20 GDPR)

Objection (art. 21 GDPR)

12. Changes to this Privacy Policy

Zutre reserves the right to update this policy. Changes will be communicated via App or email.

13. Contact

For any information or to exercise your rights:

E-mail: privacy@zutre.com

Address: Via Serafino Balestra 7, 6900 Lugano – Switzerland