Informativa sulla Privacy
Ultimo aggiornamento: 10 giugno 2026
La presente Informativa sulla Privacy descrive le modalita di raccolta, trattamento e protezione dei dati personali degli utenti del sito e-commerce GTL - Gottardo Taglio Laser (di seguito "il Sito" o "la Piattaforma"), operato da:
Titolare del Trattamento:
- Ragione sociale: GTL GOTTARDO TAGLIO LASER DI RABASSI SARA
- Sede legale: Località Mocenigo 6 - Castelnovo del Friuli - 33090 (PN) - Italia
- Partita IVA: IT01962920938
- indirizzo e-mail: gtlaser@outlook.it
Il Titolare del Trattamento e responsabile del trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (di seguito "GDPR") e del Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni (di seguito "Codice della Privacy").
1. Tipologie di dati personali raccolti
Il Titolare raccoglie e tratta le seguenti categorie di dati personali degli utenti:
1.1 Dati forniti direttamente dall'utente
- Dati anagrafici e di identificazione: nome, cognome, ragione sociale (per clienti B2B), Codice Fiscale, Partita IVA (per clienti B2B).
- Dati di contatto: indirizzo e-mail, numero di telefono, indirizzo di spedizione e/o fatturazione (via, civico, CAP, citta, provincia, Stato).
- Dati relativi agli ordini: dettagli dei prodotti ordinati, quantita, specifiche di personalizzazione (misure, materiali, file di progetto caricati), storico degli ordini, stato degli ordini.
- Dati di pagamento: i dati di pagamento (numero di carta, data di scadenza, CVV) sono inseriti direttamente sui server di Stripe Inc. e non transitano né vengono memorizzati sui server del Titolare. Il Titolare riceve unicamente conferma dell'avvenuto pagamento e un identificativo transazione.
1.2 Dati raccolti automaticamente durante la navigazione
- Dati di navigazione: indirizzo IP, tipo di browser, sistema operativo, pagine visitate, data e ora di accesso, tempo di permanenza sulle pagine, pagina di provenienza e di uscita, risoluzione dello schermo, tipo di dispositivo.
- Dati tecnici: cookie tecnici necessari al funzionamento del Sito (vedere la Cookie Policy integrale per dettagli).
I dati di navigazione sono raccolti esclusivamente previo consenso dell'utente, ottenuto attraverso il banner di consenso gestito dallo strumento Klaro! CMP. In assenza di consenso, viene raccolto esclusivamente l'indirizzo IP in forma anonimizzata, nella misura strettamente necessaria alla connessione.
1.3 Dati particolari (art. 9 GDPR)
Il Codice Fiscale costituisce un dato personale idoneo a identificare in modo univoco una persona fisica. Il Titolare raccoglie e tratta il Codice Fiscale per le seguenti finalita:
-
Autenticazione e accesso al Sito: il Codice Fiscale e utilizzato come metodo di identificazione per l'accesso all'area riservata del Sito ("club privato" per clienti autorizzati). L'utente inserisce il proprio CF nella pagina di accesso; il sistema verifica la corrispondenza nel database interno (Odoo) e, in caso di riscontro positivo, invia un magic link all'indirizzo e-mail associato. Il Codice Fiscale non viene mai esposto al client (browser): e gestito esclusivamente lato server tramite Server Actions e memorizzato in cookie HttpOnly non accessibili da JavaScript.
-
Fatturazione elettronica e adempimenti fiscali: il Codice Fiscale e necessario per l'emissione della fattura elettronica ai sensi del D.P.R. 26 ottobre 1972, n. 633 e del D.Lgs. 82/2005 (Sistema di Interscambio - SDI).
Base giuridica del trattamento del Codice Fiscale
| Finalita | Base giuridica | Riferimento |
|---|---|---|
| Autenticazione e accesso al Sito | Esecuzione di un contratto | Art. 6, par. 1, lett. b) del GDPR |
| Prevenzione accessi non autorizzati e frodi | Legittimo interesse del Titolare | Art. 6, par. 1, lett. f) del GDPR |
| Fatturazione elettronica e adempimenti fiscali | Adempimento di obblighi legali | Art. 6, par. 1, lett. c) del GDPR; D.P.R. 633/1972; D.Lgs. 82/2005 |
| Garanzia legale di conformita (2 anni) | Adempimento di obblighi legali | Art. 6, par. 1, lett. c) del GDPR; D.Lgs. 206/2005 artt. 128-135 |
Conseguenze della mancata fornitura
Il conferimento del Codice Fiscale e obbligatorio. In sua assenza non sara possibile accedere all'area riservata del Sito, effettuare ordini né completare la procedura di acquisto.
Conservazione
Il Codice Fiscale e conservato per 10 anni dalla raccolta, in conformita con gli obblighi di conservazione dei documenti fiscali (art. 2220 Codice Civile; D.P.R. 600/1973; D.Lgs. 127/2015).
Destinatari
Il Codice Fiscale e comunicato esclusivamente a:
- Agenzia delle Entrate (via Sistema di Interscambio - SDI), ai fini della fatturazione elettronica.
- Odoo 19 Enterprise (self-hosted), per la gestione del database clienti.
Il Codice Fiscale non e comunicato a Stripe, Google, Resend né ad altri soggetti terzi.
Garanzie applicate (art. 9 GDPR)
Il Titolare applica al Codice Fiscale le garanzie rafforzate di cui all'art. 9 del GDPR, adottando un approccio prudente ("prudent approach") in considerazione della natura identificativa del CF (contiene data di nascita, luogo di nascita e sesso). Le garanzie includono:
- Trattamento esclusivamente server-side (mai esposto al browser/client).
- La sessione utente è gestita tramite cookie HttpOnly, Secure, con flag SameSite. Il CF non è memorizzato nella sessione né nei cookie — è utilizzato solo durante il processo di autenticazione server-side.
- Crittografia in transito (HTTPS/TLS 1.3) e a riposo (AES-256).
- Accesso limitato al personale autorizzato con principio del minimo privilegio.
- Non utilizzo per finalità di marketing, profilazione né trasferimento a terzi al di fuori degli obblighi di legge.
1.4 Flusso di autenticazione
Il Sito utilizza un sistema di autenticazione senza password basato su Codice Fiscale e magic link:
- L'utente inserisce il proprio Codice Fiscale nella pagina di accesso.
- Il sistema verifica server-side che il CF sia presente nel database clienti (Odoo 19 Enterprise).
- In caso di riscontro positivo, il sistema invia un magic link all'indirizzo e-mail associato al CF nel database.
- L'utente fa clic sul magic link ricevuto via e-mail.
- Il server verifica la validita del token e crea una sessione HttpOnly (cookie non accessibile da JavaScript).
- La sessione non utilizza localStorage né cookie accessibili lato client.
Il Codice Fiscale non viene mai incluso in URL navigabili, non appare in log lato client e non e trasmesso in chiaro al di fuori della connessione cifrata HTTPS.
2. Finalita del trattamento
I dati personali sono trattati per le seguenti finalita:
2.1 Erogazione del servizio e gestione degli ordini
- Registrazione e gestione dell'account utente.
- Ricezione, elaborazione, evasione e spedizione degli ordini.
- Comunicazioni relative allo stato dell'ordine (conferma, spedizione, consegna).
- Gestione di resi, rimborsi e reclami.
- Emissione di fatture e documenti fiscali.
2.2 Adempimenti di legge
- Ottemperanza agli obblighi fiscali e contabili previsti dalla normativa italiana.
- Ottemperanza agli obblighi in materia di fatturazione elettronica (D.Lgs. 127/2015 e s.m.i.).
- Risposta a richieste legittime provenienti da autorita pubbliche competenti.
2.3 Miglioramento del servizio (previo consenso)
- Analisi statistiche aggregate e anonimizzate sulla navigazione del Sito, tramite Google Analytics 4, al fine di migliorare l'esperienza utente e le prestazioni della Piattaforma.
- Questa finalita e perseguita esclusivamente previo consenso specifico dell'utente.
3. Base giuridica del trattamento
Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche, ai sensi dell'art. 6 del GDPR:
| Base giuridica | Finalita | Dati coinvolti |
|---|---|---|
| Esecuzione di un contratto (art. 6, par. 1, lett. b) | Gestione ordini, spedizione, fatturazione, servizio clienti, autenticazione tramite Codice Fiscale | Dati anagrafici, indirizzo, e-mail, telefono, dati ordine, Codice Fiscale (per autenticazione e fatturazione) |
| Adempimento di obblighi legali (art. 6, par. 1, lett. c) | Obblighi fiscali, contabili, fatturazione elettronica (SDI) | Dati anagrafici, Codice Fiscale, Partita IVA, dati ordine, dati di pagamento (identificativo transazione) |
| Consenso dell'interessato (art. 6, par. 1, lett. a) | Analisi statistiche di navigazione (Google Analytics 4) | Dati di navigazione, cookie analytics |
| Legittimo interesse del Titolare (art. 6, par. 1, lett. f) | Prevenzione frodi, sicurezza del Sito e dell'autenticazione, prevenzione accessi non autorizzati | Dati tecnici di navigazione (anonimizzati), log di sistema |
Il trattamento del Codice Fiscale, in quanto dato idoneo all'identificazione univoca della persona fisica, e trattato con le garanzie di cui all'art. 9 del GDPR (approccio prudente), limitatamente alle finalita di cui alle basi giuridiche "esecuzione di un contratto" (autenticazione e gestione ordini), "adempimento di obblighi legali" (fatturazione elettronica) e "legittimo interesse" (prevenzione accessi non autorizzati). Per dettagli completi, si rinvia alla sezione 1.3.
4. Destinatari dei dati
I dati personali possono essere comunicati ai seguenti soggetti, operanti in qualita di titolari autonomi del trattamento o di responsabili del trattamento:
4.1 Stripe Inc. (Payment Service Provider)
- Sede: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irlanda.
- Finalita: elaborazione dei pagamenti online tramite carta di credito/debito.
- Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b).
- Dati trattati: i dati di pagamento (numero carta, scadenza, CVV) sono inseriti direttamente sui server di Stripe e non transitano sui server del Titolare. Stripe riceve inoltre i dati necessari all'identificazione della transazione (importo, valuta, identificativo ordine).
- Trasferimento extra-UE: Stripe puo trasferire dati verso server situati negli Stati Uniti, nel rispetto delle Clausole Contrattuali Tipo approvate dalla Commissione Europea e del Data Processing Agreement stipulato ai sensi dell'art. 28 del GDPR. Per ulteriori informazioni, si rinvia alla privacy policy di Stripe.
- Informativa: Stripe agisce in qualita di titolare autonomo del trattamento per i dati di pagamento. Si consiglia di consultare l'informativa privacy di Stripe al link sopra indicato.
4.2 Odoo 19 Enterprise (Backend ERP — self-hosted)
- Sede: software Odoo SA (Belgio); installazione self-hosted su server Contabo GmbH (EU).
- Finalita: gestione del database clienti, ordini, fatturazione, inventario, spedizioni.
- Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b) e adempimento obblighi legali (art. 6, par. 1, lett. c).
- Dati trattati: dati anagrafici, Codice Fiscale, Partita IVA, indirizzi, dati ordine, fatture. I dati rimangono sul server self-hosted all'interno dell'UE.
- Trasferimento extra-UE: nessuno. L'installazione Odoo e self-hosted su VPS Contabo in Unione Europea.
4.3 Resend (Servizio di invio e-mail)
- Sede: Resend, Inc., San Francisco, CA, Stati Uniti.
- Finalita: invio di e-mail transazionali (magic link per autenticazione, conferme ordine, notifiche spedizione).
- Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b).
- Dati trattati: indirizzo e-mail del destinatario, oggetto e corpo del messaggio. Non vengono trasmessi a Resend il Codice Fiscale né altri dati sensibili.
- Trasferimento extra-UE: Resend opera prevalentemente negli Stati Uniti. Il trasferimento avviene nel rispetto delle garanzie adeguate (EU-US Data Privacy Framework).
4.4 Contabo GmbH (Infrastruttura hosting)
- Sede: Contabo GmbH, Aschauer Strasse 32a, 81549 Monaco di Baviera, Germania.
- Finalita: hosting del Sito Next.js, del database PostgreSQL e dell'applicativo backend Odoo 19 Enterprise (self-hosted).
- Base giuridica: responsabile del trattamento, designato tramite accordo ai sensi dell'art. 28 del GDPR.
- Dati trattati: tutti i dati memorizzati sul server, inclusi dati anagrafici, dati ordine, indirizzi, storico acquisti, Codice Fiscale. I dati sono cifrati a riposo (AES-256) e in transito (HTTPS/TLS 1.3).
- Trasferimento extra-UE: Contabo opera all'interno dell'Unione Europea (Germania). Non sono previsti trasferimenti sistematici di dati al di fuori dell'UE.
4.5 Google LLC (Analytics)
- Sede: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda.
- Finalita: analisi statistiche aggregate sulla navigazione del Sito tramite Google Analytics 4 (GA4).
- Base giuridica: consenso dell'utente (art. 6, par. 1, lett. a).
- Dati trattati: dati di navigazione anonimizzati (indirizzo IP anonimizzato, pagine visitate, durata sessione, dispositivo, browser, provenienza geografica aggregata).
- Trasferimento extra-UE: Google puo trasferire dati verso server situati negli Stati Uniti. Il trasferimento avviene nel rispetto delle Clausole Contrattuali Tipo e del Data Processing Agreement stipulato ai sensi dell'art. 28 del GDPR. L'indirizzo IP viene anonimizzato prima della trasmissione (_anonymizeIp). Per ulteriori informazioni, si rinvia alla privacy policy di Google.
- Nota: i dati Analytics sono raccolti esclusivamente previo consenso esplicito dell'utente attraverso il meccanismo di consenso gestito da Klaro! CMP. L'utente puo revocare il consenso in qualsiasi momento.
4.6 Altri destinatari
- Autorita pubbliche competenti: esclusivamente su richiesta legittima e nei casi previsti dalla legge (es. Guardia di Finanza, Agenzia delle Entrate).
- Corrieri e vettori: limitatamente ai dati necessari alla spedizione (nome, cognome, indirizzo di spedizione, numero di telefono) ai fini della consegna dei prodotti ordinati.
- Consulenti professionali: commercialisti, consulenti fiscali e legali, nei limiti necessari all'adempimento delle rispettive mansioni professionali.
5. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalita per cui sono stati raccolti:
| Categoria di dati | Periodo di conservazione | Riferimento normativo |
|---|---|---|
| Dati anagrafici e di contatto (account) | Fino alla richiesta di cancellazione dell'account da parte dell'utente | Art. 7 GDPR |
| Dati relativi agli ordini | 10 anni dalla conclusione dell'ordine | Art. 2220 Codice Civile; D.P.R. 600/1973; D.Lgs. 127/2015 |
| Dati fiscali e fatture | 10 anni dalla data di emissione | Art. 2220 Codice Civile; D.P.R. 600/1973 |
| Dati di pagamento (identificativo transazione) | 10 anni dalla transazione | Normativa fiscale e antiriciclaggio |
| Codice Fiscale | 10 anni dalla raccolta (legato alla conservazione dei documenti fiscali) | D.Lgs. 127/2015; D.P.R. 600/1973 |
| Dati di navigazione (Analytics) | 14 mesi dalla raccolta (impostazione GA4) | Consenso dell'utente |
| Log di sistema | 90 giorni | Misura di sicurezza tecnica |
| Cookie tecnici di sessione | Fine della sessione del browser | Funzionamento del Sito |
Scaduto il periodo di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile, salvo diverso obbligo di legge.
6. Trasferimenti di dati al di fuori dell'Unione Europea
I dati personali possono essere trasferiti verso Paesi terzi rispetto all'Unione Europea nei seguenti casi:
- Stripe Inc.: i dati di pagamento possono essere trasferiti verso server situati negli Stati Uniti. Il trasferimento e regolato da Clausole Contrattuali Tipo approvate dalla Commissione Europea (Decisione 2021/914) e dal Data Processing Agreement tra il Titolare e Stripe.
- Google LLC: i dati Analytics anonimizzati possono essere trasferiti verso server situati negli Stati Uniti. Il trasferimento e regolato da Clausole Contrattuali Tipo e dal Data Processing Agreement tra il Titolare e Google.
Il Titolare si impegna a garantire che ogni trasferimento di dati verso Paesi terzi sia effettuato nel rispetto del Capo V del GDPR e con le garanzie adeguate richieste dagli artt. 44-49 del GDPR.
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'utente ha diritto di:
7.1 Diritto di accesso (art. 15)
Ottenere la conferma che sia o meno in corso il trattamento di dati personali che lo riguardano e, in caso affermativo, ottenere l'accesso ai dati personali e alle informazioni relative al trattamento (finalita, categorie di dati, destinatari, periodo di conservazione, base giuridica).
7.2 Diritto di rettifica (art. 16)
Ottenere la correzione dei dati personali inesatti che lo riguardano, nonche l'integrazione dei dati incompleti.
7.3 Diritto alla cancellazione ("diritto all'oblio", art. 17)
Ottenere la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, nei casi previsti dalla legge (ad esempio, quando i dati non sono piu necessari rispetto alle finalita per cui sono stati raccolti, oppure l'utente revoca il consenso e non vi e altra base giuridica per il trattamento). La cancellazione non puo avvenire quando il trattamento e necessario per adempiere un obbligo legale o per l'esercizio di un diritto in sede giudiziaria.
7.4 Diritto alla limitazione del trattamento (art. 18)
Ottenere la limitazione del trattamento nei casi previsti dalla legge (contestazione dell'esattezza dei dati, opposizione al trattamento in attesa di verifica, trattamento illecito per cui l'utente preferisce la limitazione alla cancellazione, dati non piu necessari al Titolare ma richiesti dall'utente per accertamento, esercizio o difesa di un diritto in sede giudiziaria).
7.5 Diritto alla portabilita (art. 20)
Ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del Titolare.
7.6 Diritto di opposizione (art. 21)
Opporsi al trattamento dei dati personali che lo riguardano in qualsiasi momento, quando il trattamento e basato sul legittimo interesse del Titolare (art. 6, par. 1, lett. f). Il Titolare e tenuto a cessare il trattamento, salvo motivi legittimi imperativi da dimostrare.
7.7 Diritto di revocare il consenso (art. 7, par. 3)
Revocare in qualsiasi momento il consenso prestato per il trattamento dei dati personali (ad esempio, per le finalita di analytics). La revoca del consenso non pregiudica la liceita del trattamento basata sul consenso prestato prima della revoca.
7.8 Diritto di proporre reclamo (art. 77)
Proporre reclamo a un'autorita di controllo competente. In Italia, l'autorita di controllo e il Garante per la protezione dei dati personali, con sede in Piazza Venezia n. 11, 00187 Roma (RM). Sito web: www.garanteprivacy.it.
8. Modalita di esercizio dei diritti
Per esercitare i diritti di cui alla Sezione 7, l'utente puo rivolgersi al Titolare del Trattamento utilizzando i seguenti recapiti:
- E-mail: gtlaser@outlook.it
- Posta: Località Mocenigo 6 - Castelnovo del Friuli - 33090 (PN) - Italia
Il Titolare dara riscontro alla richiesta senza ingiustificato ritardo e, al massimo, entro 30 giorni dal ricevimento della richiesta (termine prorogabile di ulteriori 2 mesi per richieste complesse, ai sensi dell'art. 12, par. 3 del GDPR).
Il Titolare puo richiedere informazioni aggiuntive necessarie a confermare l'identita del richiedente, al fine di proteggere i dati personali da richieste non autorizzate.
L'esercizio dei diritti di cui alla presente sezione e gratuito. Il Titolare puo addebitare un contributo spese ragionevole per richieste manifestamente infondate o excessive, ai sensi dell'art. 12, par. 5 del GDPR.
9. Cookie
Il Sito utilizza cookie tecnici necessari al funzionamento della Piattaforma e, previo consenso dell'utente, cookie analytics. Per informazioni dettagliate sui cookie utilizzati, le relative finalita e le modalita di gestione del consenso, si rinvia alla Cookie Policy integrale, disponibile al seguente link: https://gtl-laser.com/cookie-policy.
10. Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali contro il rischio di distruzione, perdita, modifica, divulgazione o accesso non autorizzato, in conformita con l'art. 32 del GDPR. Tali misure includono:
- Crittografia in transito: tutti i dati trasmessi tra il browser dell'utente e il server sono cifrati tramite protocollo HTTPS/TLS 1.3.
- Crittografia a riposo: i dati memorizzati sul server sono cifrati mediante crittografia a livello di disco (AES-256).
- Gestione accessi: accesso ai dati personali limitato al personale autorizzato, con autenticazione multi-fattore e principio del minimo privilegio.
- Backup: backup crittografati con conservazione in localizzazione geografica distinta.
- Monitoraggio: monitoraggio continuo dei sistemi e dei log di accesso.
- Firewall: protezione perimetrale e application-level firewall (WAF).
- Aggiornamenti: applicazione regolare di aggiornamenti di sicurezza a tutti i componenti software.
11. Dati dei minori
Il Sito non e rivolto a persone di eta inferiore ai 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora il Titolare venga a conoscenza di aver raccolto dati personali di un minore senza la verifica del consenso genitoriale, provvedera alla cancellazione tempestiva di tali dati.
12. Modifiche alla presente Informativa
Il Titolare si riserva il diritto di apportare modifiche alla presente Informativa in qualsiasi momento, per adeguarla a evoluzioni normative, all'aggiornamento dei servizi offerti o a ragioni organizzative. Le modifiche saranno pubblicate sul Sito con indicazione della data di ultimo aggiornamento. Si consiglia all'utente di consultare periodicamente la presente Informativa.
In caso di modifiche sostanziali, il Titolare provvedera a informare gli utenti mediante avviso visibile sul Sito e/o comunicazione via e-mail, ove tecnicamente possibile.
13. Riferimenti normativi
La presente Informativa e redatta in conformita con:
- Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR).
- Direttiva 2002/58/CE (ePrivacy Directive).
- Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni (Codice della Privacy).
- Decreto Legislativo 6 settembre 2005, n. 206 (Codice del Consumatore).
- Provvedimento del Garante dell'8 maggio 2014 (Individuazione delle modalita semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie).
- Provvedimento del Garante del 10 giugno 2021 (Linee guida cookie e altri strumenti di tracciamento).
Titolare del Trattamento: GTL GOTTARDO TAGLIO LASER DI RABASSI SARA Località Mocenigo 6 - Castelnovo del Friuli - 33090 (PN) - Italia Partita IVA: IT01962920938 CF: RBSSRA92S50L195R E-mail: gtlaser@outlook.it