1. Titolare del trattamento
Grandin Group srl
Via Sansonessa 39, 30021 Caorle (VE), Italia
P.IVA: 03088090273
Email: acquisti@grandingroup.it
Telefono: +39 0421 81380
Responsabile protezione dati: Massimo Grandin
2. Dati personali raccolti
In relazione alle diverse finalità di trattamento, raccogliamo le seguenti categorie di dati personali:
2.1 Dati degli acquirenti (e-commerce e marketplace)
Attraverso le piattaforme di vendita online (Amazon, eBay, Temu) e il nostro gestionale ordini, raccogliamo:
- Dati identificativi: nome, cognome, ragione sociale
- Dati di contatto: indirizzo email, numero di telefono
- Dati di spedizione: indirizzo completo (via, civico, CAP, città, provincia, nazione)
- Dati fiscali: partita IVA, codice fiscale (solo per ordini B2B / fatturazione)
- Dati dell’ordine: ID ordine, prodotti acquistati, importo, data acquisto, stato spedizione
2.2 Dati dei visitatori del sito web
- Dati di navigazione: indirizzo IP, tipo di browser, pagine visitate, dati di utilizzo
- Cookie e tracciamento: Google Analytics 4, Google Tag Manager (previo consenso)
- Dati forniti volontariamente: email e messaggi inviati tramite modulo di contatto
3. Finalità e base giuridica del trattamento
| Finalità | Dati utilizzati | Base giuridica |
|---|---|---|
| Evasione ordini e spedizione tramite corrieri GLS e SDA-Poste Italiane | Nome, indirizzo completo, telefono | Esecuzione contratto (GDPR art. 6.1.b) |
| Emissione fattura elettronica e adempimenti fiscali | Nome, indirizzo, P.IVA, codice fiscale | Obbligo legale (GDPR art. 6.1.c) |
| Comunicazioni post-vendita (tracking, assistenza) | Email, dati ordine | Esecuzione contratto (GDPR art. 6.1.b) |
| Gestione inventario e prezzi sui marketplace | Dati ordine (aggregati, no PII) | Legittimo interesse (GDPR art. 6.1.f) |
| Analisi traffico sito web | Dati di navigazione (anonimizzati) | Consenso (GDPR art. 6.1.a) |
Non utilizziamo i dati personali per finalità di marketing diretto, profilazione, cessione a terzi o vendita.
4. Fonti dei dati personali
I dati personali degli acquirenti provengono esclusivamente da:
- Amazon — tramite SP-API (Selling Partner API) dal nostro account venditore autorizzato
- eBay — tramite Trading API dal nostro account venditore
- Temu — tramite l’interfaccia venditore
- Sito web — dati forniti volontariamente dall’utente (modulo contatto)
Non acquistiamo né riceviamo dati da aggregatori, broker o fonti terze.
5. Destinatari e condivisione dei dati
I dati personali non vengono venduti né condivisi per scopi commerciali. Sono comunicati esclusivamente a:
| Destinatario | Finalità | Base |
|---|---|---|
| GLS Italy (corriere) | Spedizione pacco — nome e indirizzo destinatario | Esecuzione contratto |
| SDA – Poste Italiane (corriere) | Spedizione pacco — nome e indirizzo destinatario | Esecuzione contratto |
| Agenzia delle Entrate / SDI | Fatturazione elettronica obbligatoria | Obbligo legale |
| Kamatera (hosting provider) | Infrastruttura server — non accede ai dati applicativi | Legittimo interesse |
| Iubenda (cookie policy) | Gestione consenso cookie sul sito web | Consenso |
Nessun trasferimento di dati al di fuori dell’Unione Europea. Il server è situato in Italia (Kamatera, IP 113.30.150.43).
6. Conservazione dei dati
| Tipo di dato | Durata conservazione | Motivazione |
|---|---|---|
| Dati ordini e fatture | 10 anni dalla data dell’ordine | Obbligo fiscale italiano (DPR 600/1973, art. 22) |
| Dati di spedizione (indirizzo, telefono) | 10 anni (inclusi nella documentazione fiscale) | Obbligo fiscale e prova di consegna |
| Email acquirente | Durata del rapporto commerciale + 2 anni | Assistenza post-vendita e garanzia legale |
| Dati di navigazione (cookie, analytics) | 26 mesi (Google Analytics 4) | Analisi traffico sito web |
| Log di sicurezza (audit log) | 12 mesi | Sicurezza informatica e compliance |
Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro tramite sovrascrittura nel database e rotazione dei backup.
7. Sicurezza dei dati
Adottiamo le seguenti misure tecniche e organizzative per proteggere i dati personali:
- Cifratura a riposo: database MariaDB con cifratura tablespace AES-256 CBC (InnoDB encryption)
- Cifratura in transito: HTTPS obbligatorio con TLS 1.2+, certificato Let’s Encrypt, HSTS attivo
- Gestione chiavi: chiavi di cifratura conservate fuori dal web root con permessi restrittivi (0600)
- Controllo accessi: autenticazione SSH solo con chiave crittografica Ed25519, Basic Auth su interfaccia gestionale, whitelist IP
- Firewall e prevenzione intrusioni: UFW con policy default-deny, Fail2ban su SSH e web
- Audit log: ogni accesso ai dati personali è registrato con utente, IP, timestamp e azione
- Scansioni di sicurezza: vulnerability scan mensili automatizzati (Lynis, RKHunter, Trivy)
- Aggiornamenti: patch di sicurezza del sistema operativo applicate automaticamente
8. Diritti dell’interessato
Ai sensi del Regolamento UE 2016/679 (GDPR), l’interessato ha diritto di:
- Accesso (art. 15) — ottenere conferma del trattamento e copia dei dati
- Rettifica (art. 16) — correggere dati inesatti o incompleti
- Cancellazione (art. 17) — richiedere la cancellazione dei dati, salvo obblighi legali di conservazione
- Limitazione (art. 18) — limitare il trattamento in determinati casi
- Portabilità (art. 20) — ricevere i dati in formato strutturato e leggibile
- Opposizione (art. 21) — opporsi al trattamento per motivi legittimi
Per esercitare i propri diritti, contattare:
Email: acquisti@grandingroup.it
Risposta entro: 30 giorni dalla ricezione della richiesta
L’interessato ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
9. Cookie
Il sito web utilizza cookie tecnici necessari al funzionamento e, previo consenso, cookie analitici (Google Analytics 4). Per maggiori informazioni consultare la Cookie Policy.
10. Modifiche alla privacy policy
Il Titolare si riserva il diritto di apportare modifiche alla presente privacy policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data indicata in fondo. Si consiglia di consultare periodicamente questa pagina.
Ultimo aggiornamento: 16 aprile 2026