Informativa sulla Privacy

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del Regolamento (UE) 2024/1689 (AI Act)

Ultimo aggiornamento: 2 Marzo 2026 — Versione 3.0

R. E R. Group S.r.l. ("Titolare") si impegna a proteggere la privacy dei propri utenti e clienti. Il presente documento (l'"Informativa") illustra le modalità di raccolta, utilizzo e protezione dei dati personali forniti tramite il sito web https://rergroupsrl.com (raggiungibile anche tramite https://rergroupsrl.com) (il "Sito"), comprensivo dello shop online proprietario.

Il Sito è sviluppato con tecnologia custom (framework Astro) e utilizza servizi terzi integrati per garantire la migliore esperienza di navigazione e acquisto.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

R. E R. Group S.r.l.
Sede legale: Via Francesco Foscari 8, 36016 Thiene (VI), Italia
P.IVA / C.F.: 02422160248
Email per contatti privacy: info@rergroupsrl.com

2. Tipologia di Dati Raccolti

A. Dati di Navigazione e Log di Sistema

I sistemi informatici e le procedure software preposte al funzionamento di questo Sito (ospitato su infrastruttura Cloudflare e gestito anche tramite CMS Sanity.io) acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet.

  • Indirizzo IP: L'indirizzo del dispositivo utilizzato per accedere al Sito.
  • User-Agent (Browser/Sistema Operativo): Informazioni sul browser e sistema operativo utilizzati.
  • Lingua del Browser: La lingua impostata nel browser dell'utente.
  • Data e Ora: Timestamp della richiesta.
  • Referrer URL: La pagina di provenienza (es. motore di ricerca, social network) da cui l'utente è arrivato.
  • Pagina del Form: La URL della pagina in cui l'utente ha compilato un modulo di contatto o iscrizione.
  • Parametri UTM: Eventuali parametri di tracciamento campagne marketing presenti nella URL (utm_source, utm_medium, utm_campaign), utilizzati per analisi statistiche aggregate.

Finalità: Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito, per controllarne il corretto funzionamento, per motivi di sicurezza (filtri antispam, firewall, rilevazione frodi) e per migliorare l'esperienza utente. Tali dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.

Strumenti: Google Search Console (per monitoraggio tecnico), sistemi di logging e web analytics anonimi su Cloudflare (RUM - Real User Measurement, senza uso di cookie).

Base Giuridica: Legittimo interesse del Titolare (Art. 6.1.f GDPR) per la sicurezza e il corretto funzionamento del sito.

B. Dati Statistici e Comportamentali (Analisi e UX)

Utilizziamo strumenti per analizzare come gli utenti interagiscono con il sito per migliorarne le performance e l'usabilità.

  • Dati raccolti: Movimenti del mouse, click, scroll, mappe di calore, dati di navigazione aggregati.
  • Strumenti: Google Analytics 4 (GA4), Google Tag Manager, Microsoft Clarity. Per i dettagli sui singoli cookie utilizzati, consulta la nostra Cookie Policy.
  • Nota: Microsoft Clarity registra le sessioni in modalità mascherata (i testi sensibili inseriti non vengono registrati).
  • Google Consent Mode v2: Il Sito utilizza Google Consent Mode v2 per comunicare in tempo reale le scelte dell'utente in materia di cookie ai servizi Google (GA4, Google Ads), garantendo che i dati vengano raccolti solo in conformità con le preferenze espresse dall'utente.

C. Dati forniti volontariamente dall'utente (Acquisti e Contatti)

  • Dati di Acquisto e Fatturazione: Nome, cognome, indirizzo di spedizione/fatturazione, codice fiscale/P.IVA, email, numero di telefono.
  • Dati di Pagamento: Le transazioni sono gestite interamente dalla piattaforma Stripe. Il Sito non visualizza, non tratta e non archivia i dati completi della carta di credito (PAN), ma riceve esclusivamente un token univoco di conferma transazione.
  • Comunicazioni: Dati inseriti nei form di contatto o iscrizione alla newsletter gestiti tramite Brevo (ex Sendinblue).

3. Finalità del Trattamento e Base Giuridica

I dati personali sono trattati per le seguenti finalità:

Esecuzione dell'ordine e Servizio Clienti

Gestione ordini, spedizioni, pagamenti e assistenza post-vendita.

Base Giuridica: Esecuzione di un contratto (Art. 6.1.b GDPR).

Adempimenti Amministrativo-Contabili

Fatturazione, gestione contabile e fiscale.

Base Giuridica: Obbligo legale (Art. 6.1.c GDPR).

Marketing Diretto (Newsletter)

Invio di comunicazioni commerciali e promozionali tramite Brevo.

Base Giuridica: Consenso esplicito dell'utente (Art. 6.1.a GDPR).

Modalità di raccolta del consenso: In conformità con il Provvedimento n. 330 del 4 giugno 2025 del Garante Privacy, il consenso per finalità di marketing viene raccolto inderogabilmente tramite meccanismo di Double Opt-in: dopo l'iscrizione iniziale, l'utente riceve un'email di conferma contenente un link di verifica univoco; la mancata interazione con tale link inibisce l'inserimento dell'anagrafica nei database promozionali. Il consenso è registrato con timestamp e hash IP salted a fini probatori.

Soft-Spam (Solo persone fisiche)

Limitatamente ai clienti consumatori (persone fisiche) che hanno perfezionato un acquisto, potremo inviare via email comunicazioni promozionali relative a prodotti o servizi analoghi a quelli acquistati (Art. 130 c. 4 D.Lgs. 196/2003). Tale deroga non si applica ai contatti B2B (aziendali) senza preventivo consenso.

Remarketing, Profilazione Pubblicitaria e Statistica

Analisi del traffico (GA4) e visualizzazione di annunci personalizzati su altre piattaforme (tramite Meta Pixel e Google Ads).

Base Giuridica: Consenso dell'utente prestato tramite il banner dei cookie (Art. 6.1.a GDPR).

Sicurezza e Difesa in Giudizio

Prevenzione frodi, sicurezza del sito, accertamento di responsabilità in caso di reati informatici.

Base Giuridica: Legittimo interesse del Titolare (Art. 6.1.f GDPR).

4. Destinatari dei Dati e Strumenti Terzi

I dati potranno essere comunicati a soggetti terzi, nominati se necessario Responsabili del Trattamento, che forniscono servizi funzionali all'operatività del Sito:

  • Piattaforme Tecnologiche e Hosting: Cloudflare, Inc. (hosting, CDN per instradamento e gestione IP, WAF e Bot Fight Mode per la sicurezza, Cloudflare Fonts a tutela della privacy, Workers), Sanity AS (CMS e registrazione consensi GDPR).
  • Gateway di Pagamento: Stripe, Inc. (gestione sicura pagamenti).
  • Email Marketing e CRM: Brevo (Sendinblue SAS).
  • Analisi e Pubblicità: Google Ireland Ltd (Analytics, Ads, Consent Mode v2), Microsoft Ireland Operations Ltd (Clarity), Meta Platforms Ireland Ltd (Pixel/Facebook Ads).
  • Intelligenza Artificiale: OpenRouter, Inc. (intermediario API per l'assistente virtuale ERA, che instrada le richieste verso i modelli di Google LLC). OpenRouter agisce come sub-processore e non utilizza i dati per addestrare modelli AI. Ai sensi del Regolamento (UE) 2024/1689 (AI Act), R. E R. Group S.r.l. opera quale Deployer del sistema di IA. Il chatbot non adotta alcuna decisione automatizzata che produca effetti giuridici sull'utente (Art. 22 GDPR). I log delle interazioni sono mantenuti temporaneamente dal fornitore esterno per fini di sicurezza.
  • Gestione Aziendale (ERP): I dati anagrafici e di fatturazione dei clienti vengono salvati nel gestionale interno aziendale ("Arca") per l'elaborazione degli ordini, la contabilità e il mantenimento dello storico clienti.
  • Logistica: Spedizionieri e corrieri incaricati della consegna.
  • Consulenza: Studi commercialisti, legali o fiscali.

5. Trasferimento dei Dati Extra UE

L'utilizzo di servizi quali Google, Stripe, Microsoft, Sanity o Brevo potrebbe comportare il trasferimento di dati negli Stati Uniti o in altri paesi Extra-UE.

Tale trasferimento avviene legittimamente sulla base di:

  • Decisioni di adeguatezza della Commissione Europea (es. Data Privacy Framework EU-USA per i provider aderenti come Google, Meta, Microsoft).
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, che garantiscono tutele adeguate per i diritti degli interessati.

6. Cookie Policy

Il Sito utilizza cookie tecnici, analitici e di profilazione per far funzionare lo shop, analizzare il traffico e mostrare annunci pertinenti.

L'uso di cookie di profilazione (es. Meta Pixel, Google Ads) è subordinato al tuo consenso esplicito tramite il banner.

Per l'elenco dettagliato dei cookie, le scadenze e per gestire le tue preferenze, consulta la nostra Cookie Policy.

7. Conservazione dei Dati

I dati sono conservati per un arco di tempo non superiore al conseguimento delle finalità:

  • Dati fiscali e di acquisto: 10 anni (art. 2220 c.c. e obblighi fiscali).
  • Account utente: Fino alla richiesta di cancellazione da parte dell'utente.
  • Dati Marketing (Newsletter): Fino alla revoca del consenso (disiscrizione) o per 24 mesi di inattività.
  • Dati di profilazione/cookie: Secondo le scadenze indicate nella Cookie Policy (es. dati GA4 generalmente fino a 14 mesi).
  • Consenso cookie: In ottemperanza alle Linee Guida del Garante Privacy, i consensi espressi tramite il banner cookie hanno una validità tecnica di 6 mesi (180 giorni). Tale durata è stata adottata per contrastare la cosiddetta cookie fatigue: il Garante ha vietato ai titolari di riproporre il banner dei cookie prima che siano trascorsi almeno 6 mesi dall'ultima espressione di volontà dell'utente. Trascorso tale termine, il banner verrà riproposto automaticamente. I log dei consensi sono conservati su database sicuro (Sanity) per un periodo massimo di 36 mesi dalla data di registrazione per finalità di accountability (art. 5.2 GDPR), decorsi i quali vengono eliminati. Tempi di conservazione più lunghi possono applicarsi in presenza di procedimenti legali in corso.

Registro dei Consensi GDPR

Per finalità di accountability ai sensi dell'art. 5.2 del GDPR, il Sito registra uno storico anonimo di ogni azione di consenso (accettazione, rifiuto, personalizzazione) effettuata dall'utente tramite il pannello cookie. I dati registrati sono:

  • ID Anonimo (UUID v4): Un identificativo generato casualmente lato client, non riconducibile all'identità dell'utente. Questo ID è visibile all'utente nel pannello di personalizzazione dei cookie.
  • Hash dell'indirizzo IP (SHA-256 + Salt): L'indirizzo IP non viene mai salvato in chiaro; viene trasformato tramite algoritmo crittografico SHA-256 addizionato di un Salt crittografico lato server (una chiave segreta univoca). L'utilizzo della tecnica del salting, anziché dell'hash nudo, garantisce la reale irreversibilità del dato (anonimizzazione, non mera pseudonimizzazione), poiché impedisce attacchi di forza bruta tramite rainbow tables sullo spazio limitato degli indirizzi IPv4.
  • Preferenze espresse: Le singole categorie accettate o rifiutate (necessari, funzionali, analitici, marketing).
  • Timestamp: Data e ora dell'azione.
  • Tipo di azione: Accetta tutto, rifiuta tutto, o salvataggio preferenze personalizzate.

Ogni nuova azione genera un nuovo record (non sovrascrive i precedenti), garantendo la tracciabilità completa della cronologia dei consensi.

Integrità del Registro (Protezione Logica)

L'integrità del dato a fini probatori e ispettivi è tecnicamente garantita tramite l'adozione di rigorose misure di sicurezza (Art. 32 GDPR). Nello specifico, il database Sanity CMS è protetto da rigidi controlli di accesso basati sui ruoli (RBAC - Role Based Access Control) e dal mantenimento di un sistema inalterabile di History Versioning (Audit Trail) interno all'infrastruttura server, che renderebbe immediatamente visibile e documentabile qualsiasi tentativo di alterazione successiva dei log da parte degli amministratori.

Esportazione della prova di consenso: In caso di necessità (ad esempio, una richiesta del Garante Privacy o una contestazione legale), R. E R. Group S.r.l. è in grado di esportare il log specifico relativo a un determinato ID anonimo in formato verificabile (JSON/PDF), a riprova del consenso espresso dall'utente.

Registro dei Trattamenti

Ai sensi dell'art. 30 del GDPR, il Titolare tiene e mantiene aggiornato un Registro delle Attività di Trattamento, contenente la descrizione dei trattamenti effettuati, le categorie di dati e di interessati, le finalità, i destinatari, i tempi di conservazione e le misure di sicurezza adottate. Tale registro è disponibile su richiesta dell'Autorità di controllo.

Cancellazione dei dati e ruolo dei fornitori di Intelligenza Artificiale

In caso di richiesta di cancellazione (Diritto all'Oblio), R. E R. Group provvederà all'immediata rimozione delle conversazioni dai propri server e database diretti.

Tuttavia, si informa l'utente che i prompt generati vengono processati in tempo reale tramite le API di fornitori terzi (es. Google LLC / OpenRouter). Tali fornitori agiscono in qualità di Responsabili del Trattamento. Come da loro policy di sicurezza, i fornitori terzi non utilizzano i dati immessi tramite API per l'addestramento dei propri modelli di intelligenza artificiale, ma potrebbero trattenere i log di trasmissione (in forma criptata e inaccessibile a R. E R. Group) per un periodo tecnico limitato (generalmente 30 giorni) al solo scopo di prevenzione abusi e sicurezza informatica, decorsi i quali verranno eliminati automaticamente. R. E R. Group non ha controllo tecnico sulla cancellazione manuale anticipata di questi log di sicurezza temporanei sui server di terze parti.

L'utilizzo dell'assistente virtuale ERA è facoltativo. Qualora l'utente non intenda accettare le presenti modalità di trattamento, trasferimento e conservazione dei dati da parte di fornitori terzi, è invitato a non utilizzare il chatbot. Sarà comunque possibile richiedere informazioni utilizzando i nostri canali di contatto tradizionali (email, telefono, modulo contatti).

8. Sicurezza

Il Sito utilizza il protocollo HTTPS con certificato SSL per criptare i dati in transito. I dati di pagamento sono gestiti direttamente sui server sicuri di Stripe (certificazione PCI-DSS Level 1). L'accesso ai dati amministrativi è protetto da autenticazione forte.

9. Diritti dell'Interessato

In conformità agli artt. 15-22 del GDPR, l'utente ha diritto di:

  • Chiedere l'accesso, la rettifica o la cancellazione ("diritto all'oblio") dei propri dati.
  • Limitare il trattamento o opporsi allo stesso (in particolare per il marketing diretto).
  • Richiedere la portabilità dei dati.
  • Revocare il consenso in qualsiasi momento.

Le richieste possono essere inviate a: info@rergroupsrl.com.

L'interessato ha inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).