Informativa sulla Privacy

Ottica Remini di Remini Luigi
Via Venezia, 47 · 70027 Palo del Colle (BA) · Italia
C.F. RMNLGU67P28A662C · P.IVA 04126110727 · REA BA-299077
Tel. / WhatsApp: +39 080 628 810
Email: amministrazione@otticaremini.it
PEC: luigiremini@pec.it

Ultima revisione: maggio 2026

• Dati anagrafici e di contatto: nome, cognome, indirizzo, numero di telefono, indirizzo e-mail — forniti direttamente dall'interessato.
• Dati di prescrizione ottica: potere sferico/cilindrico/asse, parametri di centratura, storia refrattiva. Si tratta di dati relativi alla salute ai sensi dell'art. 9 GDPR.
• Dati di acquisto: storico ordini, prodotti acquistati, fatture, pagamenti.
• Dati di navigazione (previo consenso): indirizzo IP, pagine visitate, durata della sessione, via Google Analytics 4.
• Messaggi e prenotazioni: contenuto delle conversazioni con il Chatbot AI e dei moduli di prenotazione online.
• Dati tecnici di sicurezza: indirizzo IP del visitatore (utilizzato per il rate limiting del chatbot; i timestamp di accesso vengono filtrati dopo 1 minuto; la chiave anonimizzata associata all'IP persiste come chiave Netlify Blobs e viene aggiornata ad ogni nuova richiesta, senza conservazione attiva del valore oltre la finestra di 1 minuto); user agent del browser (registrato nel log del consenso cookie ai sensi dell'art. 7(1) GDPR per un periodo massimo di 6 mesi, insieme al consentId anonimo e al timestamp del consenso). Base: art. 6(1)(f) GDPR — legittimo interesse alla sicurezza del sito e alla prova del consenso
• Immagini di videosorveglianza: riprese delle aree interne ed esterne del punto vendita tramite sistema TVCC, raccolte automaticamente durante gli orari di apertura e nelle ore notturne a fini di sicurezza.

• Esecuzione del contratto di vendita — gestione ordini, preventivi, fatturazione, consegne. Base: art. 6(1)(b) GDPR
• Assistenza ottico-professionale — utilizzo della prescrizione per la realizzazione dei prodotti ottici su misura. Base: art. 9(2)(a) GDPR (consenso esplicito) + art. 9(2)(h) GDPR (assistenza sanitaria in ambito ottico)
• Obblighi legali — contabilità, fatturazione elettronica, adempimenti fiscali e sanitari. Base: art. 6(1)(c) GDPR
• Analisi statistica del sito web — miglioramento dell'esperienza utente tramite Google Tag Manager (GTM-KQGWZTH4) e Google Analytics 4 (dati anonimi/pseudonimi aggregati). GTM funge da livello di orchestrazione dei tag; i dati analitici sono raccolti da GA4. Base: art. 6(1)(a) GDPR (consenso tramite banner cookie)
• Gestione prenotazioni tramite chatbot AI — raccolta di nome, telefono, data/ora per fissare un appuntamento. Il motivo della visita (dato relativo alla salute ai sensi dell'art. 9 GDPR) è facoltativo: l'utente può prenotare senza indicarlo scegliendo l'apposita opzione. I dati vengono inviati al Titolare via e-mail (Resend) e salvati per 12 mesi. Base per dati anagrafici/contatto: art. 6(1)(b) GDPR — Base per il motivo della visita (solo se fornito): art. 9(2)(a) GDPR (consenso esplicito, libero e separato dall'atto di prenotazione)
• Conversazioni tramite chatbot AI — risposte a domande sugli orari, i servizi e i prodotti; raccolta appuntamenti. Ogni richiesta comporta il trattamento dell'IP ai fini del rate limiting (sicurezza). Il contenuto della conversazione (messaggi scambiati, sessionId anonimo, pagina di provenienza) è registrato nei sistemi del Titolare per un massimo di 90 giorni a fini di miglioramento del servizio e tracciabilità delle prenotazioni; nessun nome o dato di contatto diretto è associato al log se l'utente non completa una prenotazione. Il motivo della visita (dato relativo alla salute ai sensi dell'art. 9 GDPR) è facoltativo e inserito solo su iniziativa dell'utente. Base per dati di sessione: art. 6(1)(f) GDPR — Base per il motivo della visita (solo se fornito volontariamente): art. 9(2)(a) GDPR (consenso esplicito risultante dall'atto volontario di inserimento)
• Videosorveglianza — protezione del patrimonio aziendale, prevenzione di furti e atti vandalici, sicurezza delle persone presenti nei locali. Le aree videosorvegliate sono segnalate da apposito cartello informativo (art. 13 GDPR) affisso in prossimità degli accessi, come previsto dal Provvedimento del Garante dell'8 aprile 2010 e dalle Linee Guida EDPB 3/2019. Base: art. 6(1)(f) GDPR (legittimo interesse del Titolare alla sicurezza dei locali e delle persone)
• Promo Evento SalsaLoca2026 (temporaneo — scade 30 giugno 2026) — raccolta di nome, indirizzo e-mail e numero di telefono dei partecipanti all'evento SalsaLoca2026 per l'emissione di un codice sconto personale e per l'invio dell'e-mail di conferma con il codice. I dati sono archiviati su Airtable e trasmessi via Resend. Il trattamento cessa e i dati vengono cancellati entro il 30 giugno 2026 (ovvero su richiesta dell'interessato ex art. 17 GDPR). Base: art. 6(1)(a) GDPR — consenso esplicito prestato al momento della registrazione all'evento tramite apposita casella di spunta obbligatoria

I seguenti fornitori sono designati Responsabili del trattamento mediante apposito accordo contrattuale:

• Logos Informatica Srl — LogosEyeWeb
  Gestionale ottico: anagrafica clienti, storico prescrizioni, ordini. Dati trattati in Italia/UE.
• Netlify Inc.
  Hosting del sito web e delle funzioni serverless. Edge network distribuita. Trattamento dati UE/USA con Standard Contractual Clauses (SCC) approvate dalla Commissione europea (Decisione 2021/914).
• Google LLC (Gemini 2.0 Flash)
  Elaborazione server-side dei messaggi del Chatbot AI (modello Gemini 2.0 Flash). I messaggi sono trasmessi via API sicura (HTTPS). Durante il flusso di prenotazione, i messaggi possono contenere dati personali dell'utente (nome, telefono, data/ora, motivo della visita) necessari per la raccolta dell'appuntamento. Google tratta tali dati come Responsabile del trattamento ai sensi dell'art. 28 GDPR. Google LLC aderisce al Data Privacy Framework UE-USA ed utilizza SCC ai sensi dell'art. 46(2)(c) GDPR.
• Resend Inc.
  Invio e-mail transazionali (conferme prenotazione e codici sconto promo evento). Trattamento USA con SCC.
• Airtable Inc.
  Archiviazione dei dati di registrazione all'evento SalsaLoca2026 (nome, e-mail, telefono, codice sconto, timestamp). Trattamento USA con SCC ai sensi dell'art. 46 GDPR. Designato Responsabile del trattamento ai sensi dell'art. 28 GDPR. I dati vengono cancellati entro il 30 giugno 2026.
• Google LLC — Google Tag Manager & Google Analytics 4
  Google Tag Manager (ID: GTM-KQGWZTH4) è il sistema di gestione tag che eroga Google Analytics 4 (ID: G-F267CG108G). Entrambi attivati solo previo consenso. GA4 opera con IP anonimizzato automaticamente. Trattamento USA con Data Privacy Framework UE-USA, SCC e accordo DPA. Dati conservati 14 mesi.
• Google LLC — Google Maps
  Mappa embed, caricata solo previo consenso. Trattamento USA con SCC.
• Ezviz Inc.
  Piattaforma cloud per la visualizzazione remota e il backup delle registrazioni TVCC. I dati degli utenti europei sono conservati su server localizzati nell'UE (Francoforte, Germania). Ezviz è una sussidiaria di Hangzhou Hikvision Digital Technology Co., Ltd., capogruppo con sede in Cina; Ezviz Inc. opera come entità giuridica autonoma. Il trattamento avviene sulla base di accordo DPA con Ezviz e, nella misura in cui si verifichino trasferimenti extra-SEE verso la capogruppo o altri soggetti terzi, mediante Clausole Contrattuali Standard (SCC) ai sensi dell'art. 46 GDPR.

Alcuni Responsabili del trattamento hanno sede al di fuori dello Spazio Economico Europeo (SEE). In particolare: Netlify, Resend e Airtable Inc. (fornitore database registrazioni evento SalsaLoca2026) hanno sede negli Stati Uniti; i trasferimenti avvengono mediante Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea con Decisione 2021/914/UE. Google LLC aderisce al Data Privacy Framework UE-USA ed utilizza SCC. Ezviz Inc. conserva i dati degli utenti europei su server EU (Francoforte); la sua capogruppo Hikvision ha sede in Cina. Nella misura in cui si verifichino trasferimenti extra-SEE verso Hikvision o soggetti terzi, questi avvengono mediante SCC ai sensi dell'art. 46 GDPR e accordo DPA dedicato. Tutti i trasferimenti offrono garanzie adeguate per la protezione dei dati personali.

• Dati contrattuali e fiscali: 10 anni dalla chiusura del rapporto (art. 2220 c.c. + D.P.R. 633/1972).
• Dati di prescrizione ottica: conservati per tutta la durata del rapporto e fino a 10 anni dalla cessazione, salvo obblighi normativi sanitari specifici.
• Prenotazioni (chatbot e modulo sito — dati strutturati): nome, telefono, data/ora, motivo — conservati 12 mesi dalla data di prenotazione, poi cancellati (art. 5(1)(e) GDPR — limitazione della conservazione). Per richiedere la cancellazione anticipata è possibile usare il modulo in fondo a questa pagina (elaborazione automatica immediata) oppure scrivere a amministrazione@otticaremini.it.
• Log conversazioni chatbot (messaggi, sessionId anonimo, pagina): conservati per un massimo di 90 giorni dall'ultima attività della sessione, poi cancellati automaticamente (art. 5(1)(e) GDPR — limitazione della conservazione). I log di infrastruttura di Netlify sono conservati per massimo 30 giorni.
• Dati analitici (Google Analytics 4 via Google Tag Manager): 14 mesi (impostazione di ritenzione dati configurata sul pannello GA4).
• Dati IP per rate limiting (chatbot): i timestamp di accesso vengono scartati dopo 1 minuto; la chiave anonimizzata associata all'IP può permanere come chiave Netlify Blobs fino all'interazione successiva.
• Consenso cookie: registrato in localStorage con scadenza 6 mesi; il log del consenso (consentId anonimo, tipo, timestamp) è conservato per un massimo di 6 mesi su Netlify Blobs. Gli eventi più vecchi di 6 mesi vengono rimossi in modo lazy alla successiva interazione dello stesso browser; in assenza di ulteriori interazioni, il record può permanere nell'infrastruttura Netlify fino a cancellazione manuale o richiesta dell'interessato ai sensi dell'art. 17 GDPR.
• Immagini di videosorveglianza: conservate per un massimo di 72 ore dalla registrazione, salvo necessità di consegna all'Autorità Giudiziaria o di Pubblica Sicurezza in caso di incidenti o reati (in tal caso la conservazione si protrae per il tempo strettamente necessario). Termine conforme alle Linee Guida EDPB 3/2019 e al Provvedimento Garante dell'8 aprile 2010.
• Dati promo evento SalsaLoca2026 (nome, e-mail, telefono, codice sconto): conservati fino al 30 giugno 2026, poi cancellati sia su Airtable sia dallo storico invii Resend (art. 5(1)(e) GDPR — limitazione della conservazione). La cancellazione avviene su richiesta dell'interessato ai sensi dell'art. 17 GDPR o d'ufficio alla scadenza dell'evento.

L'interessato ha il diritto di:

• Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
• Rettifica (art. 16): correggere dati inesatti o incompleti.
• Cancellazione (art. 17): ottenere la cancellazione, salvo obblighi di legge.
• Limitazione (art. 18): richiedere la sospensione del trattamento in determinati casi.
• Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina.
• Opposizione (art. 21): opporsi al trattamento per motivi legittimi.
• Revoca del consenso: per i trattamenti basati sul consenso (analytics, dati di salute) è possibile revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.

Per esercitare i propri diritti: amministrazione@otticaremini.it. È sempre possibile proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

Il conferimento dei dati anagrafici, di contatto e di prescrizione ottica è necessario per l'esecuzione del contratto di vendita e per la realizzazione dei dispositivi su misura. Il mancato conferimento rende impossibile l'erogazione del servizio richiesto.

Il conferimento dei dati per finalità analitiche (Google Analytics 4 via Google Tag Manager) è del tutto facoltativo e basato sul consenso: il rifiuto non pregiudica l'utilizzo del sito né l'acquisto dei prodotti.

Il conferimento del motivo della visita tramite chatbot è facoltativo e basato su consenso esplicito separato (art. 9 GDPR): è possibile completare la prenotazione senza indicarlo. Il rifiuto non pregiudica la possibilità di prenotare.

Il Titolare non effettua decisioni automatizzate né attività di profilazione ai sensi dell'art. 22 GDPR che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato. Il Chatbot AI elabora i messaggi in tempo reale al solo scopo di rispondere alle richieste: non viene costruito alcun profilo individuale né presa alcuna decisione vincolante in modo automatico.

Il sito è servito esclusivamente via HTTPS con HSTS (Strict-Transport-Security max-age 63072000). Le API sono protette da rate limiting, header di sicurezza (CSP, X-Frame-Options, X-Content-Type-Options, COOP) e validazione degli input. Le comunicazioni con Google Gemini e Resend avvengono esclusivamente server-side tramite HTTPS. I dati nel gestionale LogosEyeWeb sono accessibili solo dal personale autorizzato con credenziali individuali.

Il punto vendita è dotato di un sistema di videosorveglianza a circuito chiuso (TVCC) composto da un DVR locale (Dahua Technology Co., Ltd. — le registrazioni sono memorizzate esclusivamente sul dispositivo in sede e non vengono trasmesse a Dahua; Dahua agisce come mero fornitore di hardware e non è Responsabile del trattamento ai sensi dell'art. 28 GDPR) e da una piattaforma cloud (Ezviz Inc.) per la visualizzazione remota e il backup, designata Responsabile del trattamento con apposito accordo DPA. Il trattamento è effettuato in conformità al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 s.m.i., al Provvedimento del Garante dell'8 aprile 2010 in materia di videosorveglianza e alle Linee Guida EDPB 3/2019 sul trattamento dei dati personali attraverso dispositivi video.

• Titolare del trattamento: Ottica Remini di Remini Luigi — Via Venezia 47, 70027 Palo del Colle (BA).
• Finalità: protezione del patrimonio aziendale, prevenzione e deterrenza di furti, rapine e atti vandalici; tutela della sicurezza delle persone presenti nei locali.
• Base giuridica: legittimo interesse del Titolare ai sensi dell'art. 6(1)(f) GDPR, bilanciato con i diritti e le libertà degli interessati. Il bilanciamento è favorevole al Titolare in ragione della finalità di sicurezza, della limitazione delle aree riprese e della breve conservazione.
• Aree riprese: ingresso, cassa, area esposizione interna e accesso esterno. Non vengono riprese aree riservate (spogliatoi, bagni o locali ad esclusivo uso del personale non accessibili al pubblico).
• Informativa semplificata: un cartello conforme all'Allegato al Provvedimento Garante 8 aprile 2010 (c.d. "cartello minimo") è affisso in prossimità di ogni accesso all'area videosorvegliata, con indicazione del Titolare e dei recapiti per l'esercizio dei diritti.
• Conservazione:
  • Registrazioni locali (DVR Dahua): conservate per un massimo di 72 ore sul dispositivo in sede, poi sovrascritte automaticamente.
  • Copia cloud (Ezviz): sincronizzata in tempo reale sul server Ezviz EU (Francoforte); stesso termine massimo di 72 ore, dopo il quale le registrazioni vengono eliminate automaticamente.
  In caso di incidenti, illeciti o richieste dell'Autorità Giudiziaria o di Pubblica Sicurezza, la conservazione si protrae per il tempo strettamente necessario agli accertamenti, sia in locale che in cloud.
• Destinatari: le immagini non sono comunicate a terzi, salvo obbligo di legge o richiesta da parte dell'Autorità Giudiziaria o delle Forze dell'Ordine.
• Diritto di accesso alle immagini: l'interessato che ritenga di essere stato ripreso può esercitare il diritto di accesso (art. 15 GDPR) entro i termini di conservazione (72 ore), inviando richiesta scritta a amministrazione@otticaremini.it con indicazione di data, ora approssimativa e descrizione dell'abbigliamento indossato, per consentire il recupero selettivo delle immagini.

Per l'informativa dettagliata sui cookie utilizzati da questo sito, consulta la nostra Cookie Policy.