Informativa sulla Privacy

Ottica Remini di Remini Luigi
Via Venezia, 47 · 70027 Palo del Colle (BA) · Italia
C.F. RMNLGU67P28A662C · P.IVA 04126110727 · REA BA-299077
Tel. / WhatsApp: +39 080 628 810
Email: amministrazione@otticaremini.it
PEC: luigiremini@pec.it

Ultima revisione: aprile 2026

• Dati anagrafici e di contatto: nome, cognome, indirizzo, numero di telefono, indirizzo e-mail — forniti direttamente dall'interessato.
• Dati di prescrizione ottica: potere sferico/cilindrico/asse, parametri di centratura, storia refrattiva. Si tratta di dati relativi alla salute ai sensi dell'art. 9 GDPR.
• Dati di acquisto: storico ordini, prodotti acquistati, fatture, pagamenti.
• Dati di navigazione (previo consenso): indirizzo IP, pagine visitate, durata della sessione, via Google Analytics 4.
• Messaggi e prenotazioni: contenuto delle conversazioni con il Chatbot AI e dei moduli di prenotazione online.
• Dati tecnici di sicurezza: indirizzo IP del visitatore (utilizzato per il rate limiting del chatbot; i timestamp di accesso vengono filtrati dopo 1 minuto; la chiave anonimizzata associata all'IP persiste come chiave Netlify Blobs e viene aggiornata ad ogni nuova richiesta, senza conservazione attiva del valore oltre la finestra di 1 minuto); user agent del browser (registrato nel log del consenso cookie ai sensi dell'art. 7(1) GDPR per un periodo massimo di 6 mesi, insieme al consentId anonimo e al timestamp del consenso). Base: art. 6(1)(f) GDPR — legittimo interesse alla sicurezza del sito e alla prova del consenso
• Immagini di videosorveglianza: riprese delle aree interne ed esterne del punto vendita tramite sistema TVCC, raccolte automaticamente durante gli orari di apertura e nelle ore notturne a fini di sicurezza.

• Esecuzione del contratto di vendita — gestione ordini, preventivi, fatturazione, consegne. Base: art. 6(1)(b) GDPR
• Assistenza ottico-professionale — utilizzo della prescrizione per la realizzazione dei prodotti ottici su misura. Base: art. 9(2)(a) GDPR (consenso esplicito) + art. 9(2)(h) GDPR (assistenza sanitaria in ambito ottico)
• Obblighi legali — contabilità, fatturazione elettronica, adempimenti fiscali e sanitari. Base: art. 6(1)(c) GDPR
• Analisi statistica del sito web — miglioramento dell'esperienza utente via Google Analytics 4 (dati anonimi/pseudonimi aggregati). Base: art. 6(1)(a) GDPR (consenso tramite banner cookie)
• Gestione prenotazioni tramite chatbot AI — raccolta di nome, telefono, data/ora per fissare un appuntamento. Il motivo della visita (dato relativo alla salute ai sensi dell'art. 9 GDPR) è facoltativo: l'utente può prenotare senza indicarlo scegliendo l'apposita opzione. I dati vengono inviati al Titolare via e-mail (Resend) e salvati per 12 mesi. Base per dati anagrafici/contatto: art. 6(1)(b) GDPR — Base per il motivo della visita (solo se fornito): art. 9(2)(a) GDPR (consenso esplicito, libero e separato dall'atto di prenotazione)
• Query informative tramite chatbot AI — risposte a domande sugli orari, i servizi e i prodotti. Ogni richiesta al servizio di chat comporta il trattamento dell'indirizzo IP dell'utente ai fini del rate limiting (sicurezza); il contenuto delle query informative non viene salvato dal Titolare. Base: art. 6(1)(f) GDPR (legittimo interesse del Titolare a fornire assistenza informativa e a proteggere il servizio da abusi)
• Videosorveglianza — protezione del patrimonio aziendale, prevenzione di furti e atti vandalici, sicurezza delle persone presenti nei locali. Le aree videosorvegliate sono segnalate da apposito cartello informativo (art. 13 GDPR) affisso in prossimità degli accessi, come previsto dal Provvedimento del Garante dell'8 aprile 2010 e dalle Linee Guida EDPB 3/2019. Base: art. 6(1)(f) GDPR (legittimo interesse del Titolare alla sicurezza dei locali e delle persone)

I seguenti fornitori sono designati Responsabili del trattamento mediante apposito accordo contrattuale:

• Logos Informatica Srl — LogosEyeWeb
  Gestionale ottico: anagrafica clienti, storico prescrizioni, ordini. Dati trattati in Italia/UE.
• Netlify Inc.
  Hosting del sito web e delle funzioni serverless. Edge network distribuita. Trattamento dati UE/USA con Standard Contractual Clauses (SCC) approvate dalla Commissione europea (Decisione 2021/914).
• Groq Inc.
  Elaborazione server-side dei messaggi del Chatbot AI (modello LLaMA 3.3). I messaggi sono trasmessi via API sicura (HTTPS). Durante il flusso di prenotazione, i messaggi possono contenere dati personali dell'utente (nome, telefono, data/ora, motivo della visita) necessari per la raccolta dell'appuntamento. Groq tratta tali dati come Responsabile del trattamento. Trattamento USA con SCC.
• Resend Inc.
  Invio e-mail transazionali (conferme prenotazione). Trattamento USA con SCC.
• Google LLC — Google Analytics 4
  Analisi statistica del sito, attivata solo previo consenso. IP anonimizzato. Trattamento USA con SCC e accordo DPA. Dati conservati 14 mesi.
• Google LLC — Google Maps
  Mappa embed, caricata solo previo consenso. Trattamento USA con SCC.
• CallMeBot (Gregorio Zanon)
  Notifica WhatsApp al negozio all'atto della prenotazione (nome, telefono, data/ora, motivo). Il dato transita via HTTPS e non viene conservato da CallMeBot ai sensi dei loro termini di servizio. Trattamento UE. Il servizio è soggetto a contratto o accordo scritto ai sensi dell'art. 28 GDPR; in assenza di DPA formale disponibile per questo fornitore, il Titolare limita il flusso dati al minimo necessario (solo nome, telefono, data/ora e motivo) e adotta misure organizzative adeguate.
• Ezviz Inc.
  Piattaforma cloud per la visualizzazione remota e il backup delle registrazioni TVCC. I dati degli utenti europei sono conservati su server localizzati nell'UE (Francoforte, Germania). Ezviz è una sussidiaria di Hangzhou Hikvision Digital Technology Co., Ltd., capogruppo con sede in Cina; Ezviz Inc. opera come entità giuridica autonoma. Il trattamento avviene sulla base di accordo DPA con Ezviz e, nella misura in cui si verifichino trasferimenti extra-SEE verso la capogruppo o altri soggetti terzi, mediante Clausole Contrattuali Standard (SCC) ai sensi dell'art. 46 GDPR.

Alcuni Responsabili del trattamento hanno sede al di fuori dello Spazio Economico Europeo (SEE). In particolare: Netlify, Groq e Resend hanno sede negli Stati Uniti; i trasferimenti avvengono mediante Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea con Decisione 2021/914/UE. Google LLC aderisce al Data Privacy Framework UE-USA ed utilizza SCC. Ezviz Inc. conserva i dati degli utenti europei su server EU (Francoforte); la sua capogruppo Hikvision ha sede in Cina. Nella misura in cui si verifichino trasferimenti extra-SEE verso Hikvision o soggetti terzi, questi avvengono mediante SCC ai sensi dell'art. 46 GDPR e accordo DPA dedicato. Tutti i trasferimenti offrono garanzie adeguate per la protezione dei dati personali.

• Dati contrattuali e fiscali: 10 anni dalla chiusura del rapporto (art. 2220 c.c. + D.P.R. 633/1972).
• Dati di prescrizione ottica: conservati per tutta la durata del rapporto e fino a 10 anni dalla cessazione, salvo obblighi normativi sanitari specifici.
• Prenotazioni via chatbot (dati strutturati): nome, telefono, data/ora, motivo — conservati 12 mesi dalla data di prenotazione, poi cancellati (art. 5(1)(e) GDPR — limitazione della conservazione). La cancellazione avviene tramite il pannello di amministrazione o su richiesta dell'interessato ai sensi dell'art. 17 GDPR.
• Log tecnici chatbot (messaggi grezzi): non conservati; i log tecnici di Netlify sono conservati per massimo 30 giorni a fini di sicurezza e debugging.
• Dati analitici (Google Analytics 4): 14 mesi (impostazione di ritenzione dati configurata sul pannello GA4).
• Dati IP per rate limiting (chatbot): i timestamp di accesso vengono scartati dopo 1 minuto; la chiave anonimizzata associata all'IP può permanere come chiave Netlify Blobs fino all'interazione successiva.
• Consenso cookie: registrato in localStorage con scadenza 6 mesi; il log del consenso (consentId anonimo, tipo, timestamp, user agent) è conservato per un massimo di 6 mesi su Netlify Blobs. Gli eventi più vecchi di 6 mesi vengono rimossi in modo lazy alla successiva interazione dello stesso browser; in assenza di ulteriori interazioni, il record può permanere nell'infrastruttura Netlify fino a cancellazione manuale o richiesta dell'interessato ai sensi dell'art. 17 GDPR.
• Immagini di videosorveglianza: conservate per un massimo di 72 ore dalla registrazione, salvo necessità di consegna all'Autorità Giudiziaria o di Pubblica Sicurezza in caso di incidenti o reati (in tal caso la conservazione si protrae per il tempo strettamente necessario). Termine conforme alle Linee Guida EDPB 3/2019 e al Provvedimento Garante dell'8 aprile 2010.

L'interessato ha il diritto di:

• Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
• Rettifica (art. 16): correggere dati inesatti o incompleti.
• Cancellazione (art. 17): ottenere la cancellazione, salvo obblighi di legge.
• Limitazione (art. 18): richiedere la sospensione del trattamento in determinati casi.
• Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina.
• Opposizione (art. 21): opporsi al trattamento per motivi legittimi.
• Revoca del consenso: per i trattamenti basati sul consenso (analytics, dati di salute) è possibile revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.

Per esercitare i propri diritti: amministrazione@otticaremini.it. È sempre possibile proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

Il conferimento dei dati anagrafici, di contatto e di prescrizione ottica è necessario per l'esecuzione del contratto di vendita e per la realizzazione dei dispositivi su misura. Il mancato conferimento rende impossibile l'erogazione del servizio richiesto.

Il conferimento dei dati per finalità analitiche (Google Analytics 4) è del tutto facoltativo e basato sul consenso: il rifiuto non pregiudica l'utilizzo del sito né l'acquisto dei prodotti.

Il conferimento del motivo della visita tramite chatbot è facoltativo e basato su consenso esplicito separato (art. 9 GDPR): è possibile completare la prenotazione senza indicarlo. Il rifiuto non pregiudica la possibilità di prenotare.

Il Titolare non effettua decisioni automatizzate né attività di profilazione ai sensi dell'art. 22 GDPR che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato. Il Chatbot AI elabora i messaggi in tempo reale al solo scopo di rispondere alle richieste: non viene costruito alcun profilo individuale né presa alcuna decisione vincolante in modo automatico.

Il sito è servito esclusivamente via HTTPS con HSTS (Strict-Transport-Security max-age 63072000). Le API sono protette da rate limiting, header di sicurezza (CSP, X-Frame-Options, X-Content-Type-Options, COOP) e validazione degli input. Le comunicazioni con Groq e Resend avvengono esclusivamente server-side tramite HTTPS. I dati nel gestionale LogosEyeWeb sono accessibili solo dal personale autorizzato con credenziali individuali.

Il punto vendita è dotato di un sistema di videosorveglianza a circuito chiuso (TVCC) composto da un DVR locale (Dahua Technology Co., Ltd. — le registrazioni sono memorizzate esclusivamente sul dispositivo in sede e non vengono trasmesse a Dahua; Dahua agisce come mero fornitore di hardware e non è Responsabile del trattamento ai sensi dell'art. 28 GDPR) e da una piattaforma cloud (Ezviz Inc.) per la visualizzazione remota e il backup, designata Responsabile del trattamento con apposito accordo DPA. Il trattamento è effettuato in conformità al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 s.m.i., al Provvedimento del Garante dell'8 aprile 2010 in materia di videosorveglianza e alle Linee Guida EDPB 3/2019 sul trattamento dei dati personali attraverso dispositivi video.

• Titolare del trattamento: Ottica Remini di Remini Luigi — Via Venezia 47, 70027 Palo del Colle (BA).
• Finalità: protezione del patrimonio aziendale, prevenzione e deterrenza di furti, rapine e atti vandalici; tutela della sicurezza delle persone presenti nei locali.
• Base giuridica: legittimo interesse del Titolare ai sensi dell'art. 6(1)(f) GDPR, bilanciato con i diritti e le libertà degli interessati. Il bilanciamento è favorevole al Titolare in ragione della finalità di sicurezza, della limitazione delle aree riprese e della breve conservazione.
• Aree riprese: ingresso, cassa, area esposizione interna e accesso esterno. Non vengono riprese aree riservate (spogliatoi, bagni o locali ad esclusivo uso del personale non accessibili al pubblico).
• Informativa semplificata: un cartello conforme all'Allegato al Provvedimento Garante 8 aprile 2010 (c.d. "cartello minimo") è affisso in prossimità di ogni accesso all'area videosorvegliata, con indicazione del Titolare e dei recapiti per l'esercizio dei diritti.
• Conservazione:
  • Registrazioni locali (DVR Dahua): conservate per un massimo di 72 ore sul dispositivo in sede, poi sovrascritte automaticamente.
  • Copia cloud (Ezviz): sincronizzata in tempo reale sul server Ezviz EU (Francoforte); stesso termine massimo di 72 ore, dopo il quale le registrazioni vengono eliminate automaticamente.
  In caso di incidenti, illeciti o richieste dell'Autorità Giudiziaria o di Pubblica Sicurezza, la conservazione si protrae per il tempo strettamente necessario agli accertamenti, sia in locale che in cloud.
• Destinatari: le immagini non sono comunicate a terzi, salvo obbligo di legge o richiesta da parte dell'Autorità Giudiziaria o delle Forze dell'Ordine.
• Diritto di accesso alle immagini: l'interessato che ritenga di essere stato ripreso può esercitare il diritto di accesso (art. 15 GDPR) entro i termini di conservazione (72 ore), inviando richiesta scritta a amministrazione@otticaremini.it con indicazione di data, ora approssimativa e descrizione dell'abbigliamento indossato, per consentire il recupero selettivo delle immagini.

Per l'informativa dettagliata sui cookie utilizzati da questo sito, consulta la nostra Cookie Policy.