Informativa sulla privacy

INFORMATIVA PRIVACY E COOKIE POLICY DI RM BEAUTY LAB S.r.l.

In conformità al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy italiano)

*****

1. TITOLARE DEL TRATTAMENTO

RM BEAUTY LAB S.r.l.

  • Sede Legale: Serravalle, Via Marino Moretti n. 17, San Marino
  • Punto Vendita: Serravalle, Via Marino Moretti n. 17, San Marino
  • Email: legal@rmbeautylab.org
  • Telefono: +39 335 584 2048
  • Responsabile della Privacy (DPO): Andrea Rimmaudo

RM BEAUTY LAB S.r.l. è il Titolare del Trattamento dei dati personali raccolti tramite il presente sito web e nel corso delle transazioni commerciali.


2. QUALI DATI PERSONALI TRATTIAMO

RM raccoglie e tratta i seguenti dati personali forniti volontariamente dal Cliente:

2.1 Navigazione del sito

Dati trattati: Dati di navigazione e metadati tecnici (es. indirizzo IP, orario della richiesta, URI delle risorse, informazioni sul browser e sul sistema operativo, cookie di sessione).

Finalità: Consentire il funzionamento tecnico del sito, la corretta erogazione dei contenuti, la sicurezza delle connessioni e la prevenzione di accessi non autorizzati.

Base giuridica: Esecuzione di misure precontrattuali su richiesta dell'interessato e interesse legittimo del Titolare a garantire sicurezza e funzionalità del sito (Art. 6(1)(b) e f) GDPR).

Conferimento: Necessario; in caso contrario, la navigazione potrebbe non essere tecnicamente possibile.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Per la durata della sessione e, ove presenti log tecnici o di sicurezza, fino a 7-30 giorni, salvo eventuale conservazione ulteriore per accertamento di reati informatici o richieste delle autorità.

2.2 Invio di proposta di acquisto online

Dati trattati: Nome, Cognome, email, numero di telefono, indirizzo di spedizione/consegna, preferenze di consegna (ritiro/spedizione), prodotti ordinati, quantità, data e ora dell'ordine.

Finalità: Raccogliere la proposta di acquisto, contattare il Cliente via telefono per la conferma dell'ordine (ai sensi della Sezione 3 Condizioni Generali), verificare la disponibilità dei prodotti e perfezionare il contratto di vendita.

Base giuridica: Esecuzione di misure precontrattuali su richiesta dell'interessato (Art. 6(1)(b) GDPR).

Conferimento: Necessario per evadere la proposta di acquisto; in caso contrario, non sarà possibile contattare il Cliente per la conferma telefonica.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Per il tempo strettamente necessario a completare il processo di conferma (massimo 48 ore); successivamente, i dati di ordine confermati saranno conservati per tutta la durata del rapporto commerciale, più 10 anni a scopo fiscale e contabile (nel rispetto delle normative sammarinesi).

2.3 Elaborazione dei pagamenti

Dati trattati: Nome, Cognome, indirizzo di fatturazione/spedizione, numero della carta di credito/debito, IBAN/coordinate bancarie (solo se pagamento tramite trasferimento). I dati della carta di credito NON sono archiviati da RM, ma sono processati esclusivamente da fornitori di servizi di pagamento (PSP) terzi, conformemente agli standard PCI-DSS.

Finalità: Elaborare il pagamento dell'ordine, emettere fatture, conformità a obblighi fiscali e anti-riciclaggio (AML).

Base giuridica: Esecuzione del contratto (Art. 6(1)(b) GDPR) e obbligo legale (Art. 6(1)(c) GDPR per normative fiscali e AML).

Conferimento: Necessario per completare l'ordine. Non vengono archiviati dati sensibili di pagamento.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: 5 anni (per verifiche fiscali e contrasti a frodi), secondo normative europee su pagamenti (PSD2) e diritto fiscale italiano. I dati della carta di credito sono cancellati dal PSP dopo il ciclo di elaborazione (solitamente entro 7-30 giorni).

2.4 Gestione del Servizio Clienti, reclami e supporto post-vendita

Dati trattati: Nome, email, telefono, contenuto della corrispondenza (email, chat, messaggi), reclami, feedback, cronologia ordini, prodotti acquistati.

Finalità: Rispondere a richieste di supporto, gestire reclami, processare resi e rimborsi, fornire assistenza post-vendita, migliorare la qualità dei servizi.

Base giuridica: Esecuzione del contratto (Art. 6(1)(b) GDPR) e interesse legittimo del Titolare a risolvere controversie e migliorare servizi (Art. 6(1)(f) GDPR).

Conferimento: Necessario per fornire assistenza; in caso contrario, non sarà possibile evadere le richieste.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Per il tempo strettamente necessario a fornire riscontro e, comunque, non oltre 5 anni dall'ultimo contatto utile, salvo ulteriori esigenze di tutela giudiziale o obblighi di legge (prescrizione).

2.5 Comunicazioni via telefono per conferma ordini

Dati trattati: Nome, numero di telefono, email, preferenze ordine, dati di consegna, durata e data della chiamata.

Finalità: Contattare il Cliente per confermare l'ordine online, verificare la disponibilità dei prodotti, raccogliere preferenze di consegna, perfezionare il contratto di vendita (Sezione 3 T&C).

Base giuridica: Esecuzione di misure precontrattuali (Art. 6(1)(b) GDPR). AR99 LLC agisce, tra le altre cose, come mandatario/agente di RM, per conto e su istruzioni di RM.

Conferimento: Necessario; il numero di telefono deve essere fornito per ricevere la conferma.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Registrazioni telefoniche (se necessario e se legalmente permesse) e log di contatto conservati per 12 mesi a scopo di qualità e prevenzione e gestione di controversie; successivamente cancellati salvo obbligo di legge.

Diritto di Registrazione: Le chiamate possono essere registrate per scopi di qualità, compliance e disputes resolution. Il Cliente è informato all'inizio della chiamata.

2.6 Prevenzione frodi e sicurezza

Dati trattati: Indirizzo IP, cronologia ordini, dati di pagamento, evidenze tecniche di comportamenti sospetti, log di accesso, geolocalizzazione approssimativa.

Finalità: Accertare, esercitare o difendere un diritto in sede giudiziaria; prevenire abusi, frodi, accessi non autorizzati; valutare il rischio di credito.

Base giuridica: Interesse legittimo del Titolare (Art. 6(1)(f) GDPR) e obbligo legale (Art. 6(1)(c) GDPR per obblighi AML/KYC).

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Per la durata del contenzioso o del periodo di prescrizione previsto per la tutela dei diritti (generalmente 10 anni, secondo normative sulla prescrizione).

2.7 Comunicazioni di marketing (Newsletter, Promozioni) — CONSENSO ESPLICITO RICHIESTO

Dati trattati: Nome, email, preferenze di acquisto, cronologia ordini (solo dati anonimizzati se aggregati per analisi).

Finalità: Invio di newsletter con offerte, promozioni, informazioni su nuovi prodotti BIOCEUTICA MILANO, sondaggi di soddisfazione, comunicazioni personalizzate.

Base giuridica: Consenso esplicito dell'interessato (Art. 6(1)(a) GDPR). Solo se il Cliente ha fornito esplicito consenso opt-in tramite checkbox durante la registrazione o in seguito.

Conferimento: Facoltativo. Il Cliente può iscriversi o disiscriversi in qualsiasi momento (link "Disiscriviti" presente in ogni email di marketing).

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: Fino al ritiro del consenso. Una volta che il Cliente clicca "Disiscriviti" o revoca comunque in altro modo il consenso, i dati sono cancellati dalle liste di marketing entro 30 giorni.

2.8 Comunicazioni legali, fiscali e amministrative

Dati trattati: Nome, indirizzo di fatturazione, dati di contatto, informazioni su ordini e pagamenti, comunicazioni legali.

Finalità: Invio di fatture, ricevute, avvisi legali, conformità a normative fiscali e amministrative, comunicazioni obbligatorie per legge.

Base giuridica: Obbligo legale (Art. 6(1)(c) GDPR) e esecuzione del contratto (Art. 6(1)(b) GDPR).

Conferimento: Necessario per il rispetto degli obblighi legali.

Data Processor: AR99 LLC (USA), su base di Data Processing Agreement (DPA) conforme GDPR e Standard Contractual Clauses (SCC).

Tempi di conservazione: 10 anni (per conformità normative fiscali italiane e sammarinesi).


3. DESTINATARI DEI DATI

RM condivide i dati personali del Cliente solo nella misura strettamente necessaria con i seguenti categorie di destinatari:

3.1 Fornitori di Servizi di Pagamento (PSP), per il tramite di propria mandataria AR99:

  • Shopify Payments
  • Finalità: Elaborazione pagamenti con carta di credito/debito
  • Base Giuridica: Esecuzione del contratto
  • Dati Condivisi: Nome, email, indirizzo, dati della carta
  • Localizzazione: [Indicare sede PSP, es. USA, UE]
  • Conformità: Idonei accordi di protezione dati (DPA, SCC se necessario)

3.2 AR99 LLC (Agente e Mandatario):

  • Sede: Stati Uniti
  • Finalità: Operazioni di call center, conferma ordini, supporto clienti, gestione pagamenti, media buying, attività di mandatario di AR99 per conto dei Clienti
  • Base Giuridica: Esecuzione del contratto
  • Dati Condivisi: Nome, email, telefono, indirizzo, preferenze ordine, storico acquisti
  • Conformità: Data Processing Agreement (DPA) specifico, Standard Contractual Clauses (SCC) per trasferimenti USA
  • Diritto di Accesso: Cliente può richiedere copia dei dati processati da AR99

3.3 Autorità Pubbliche e Organi di Controllo:

  • Autorità fiscali (dichiarazioni IVA, imposte sui redditi)
  • Autorità giudiziarie (su ordine giudiziale o per esigenze investigative)
  • Autorità sanitarie (es. AFMPS per conformità cosmetica)
  • Base Giuridica: Obbligo legale (Art. 6(1)(c) GDPR)

3.4 Fornitori di Servizi Tecnici:

  • Fornitori di hosting (archiviazione dati sul server)
  • Fornitori di analytics (Google Analytics)
  • Fornitori di email marketing (se newsletter attiva)
  • Base Giuridica: Interesse legittimo / Consenso (per analytics/marketing)

RM non vende, scambia o concede in licenza dati personali dei Clienti a terze parti per scopi commerciali.


4. TRASFERIMENTI INTERNAZIONALI DI DATI

4.1 Trasferimenti verso gli USA (AR99 LLC):

Alcuni dati personali sono trasferiti verso AR99 LLC (sede negli USA) per l'elaborazione di:

  • Ordini e conferme telefoniche
  • Pagamenti e settlement
  • Servizi di call center
  • Media buying e advertising
  • Contratto di mandato irrevocabile tra Clienti e AR99 LLC.

Meccanismo di Tutela: I trasferimenti verso gli USA sono protetti da:

  • Standard Contractual Clauses (SCC) (Art. 46(2)(c) GDPR)
  • Data Processing Agreement (DPA) conforme al GDPR

Il Cliente ha il diritto di:

  • Richiedere informazioni sulle SCC
  • Opporsi ai trasferimenti (salvo che l'esecuzione del contratto lo richieda)

4.2 Trasferimenti verso altre giurisdizioni:

Se RM trasferisce dati verso altre giurisdizioni non UE/SEE , RM garantisce adeguate tutele tramite:

  • SCC
  • Conformità alle leggi locali di protezione dati
  • Accordi di riservatezza con i destinatari.


5. DIRITTI DELL'INTERESSATO (CLIENTE)

5.1 L’interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15–22 GDPR:

  • Diritto di Accesso (Art. 15 GDPR): il Cliente ha il diritto di ottenere una copia di tutti i dati personali che RM detiene su di lui/lei;
  • Diritto di Rettifica (Art. 16 GDPR): il Cliente ha il diritto di richiedere la correzione di dati inesatti o incompleti.
  • Diritto all'Oblio / Cancellazione (Art. 17 GDPR): Il Cliente ha il diritto di richiedere la cancellazione dei dati personali in casi specifici (tra cui: il Cliente revoca il consenso se il trattamento si basa su consenso, i dati non sono più necessari, opposizione al trattamento accolta, obbligo legale di cancellazione), salvo eccezioni;
  • Diritto alla Limitazione del Trattamento (Art. 18 GDPR): Il Cliente ha il diritto di richiedere che RM limiti il trattamento dei dati (es. durante controversie) piuttosto che cancellarli;
  • Diritto alla Portabilità dei Dati (Art. 20 GDPR): Il Cliente ha il diritto di ricevere una copia dei propri dati in formato strutturato, leggibile e comunemente utilizzato, nonché di trasmettere tali dati ad altro titolare del trattamento senza ostacoli;
  • Diritto di Opposizione (Art. 21 GDPR): il Cliente ha il diritto di opporsi al trattamento dei dati per finalità di marketing (anche tramite link "Disiscriviti" presente in ogni email) o per interesse legittimo del cliente
  • Diritto di non essere Sottoposto a Decisioni Automatizzate (Art. 22 GDPR): il Cliente ha il diritto di non essere sottoposto a decisioni basate esclusivamente su trattamento automatico che producono effetti legali significativi.

5.2 RM non utilizza profilazione automatica.

5.3 Il Cliente può esercitare i diritti sopra elencati inviando una richiesta scritta a:

  • Email: legal@rmbeatylab.org
  • Raccomandata a.r. indirizzata a RM Beauty Lab S.r.l., Serravalle, Via Marino Moretti n. 17, San Marino.

Alla richiesta, occorre allegare copia di un documento di identità valido, per consentire la verifica d’identità del Cliente.

Le richieste sono evase entro 30 giorni, prorogabili nei casi previsti dall’art. 12 GDPR.


6. SICUREZZA DEI DATI

6.1 RM, per il tramite della propria mandataria AR99, implementa le seguenti misure tecniche e organizzative per proteggere i dati personali:

  • Crittografia SSL/TLS: Tutti i dati trasmessi tra browser del Cliente e server sono crittografati (vedi URL "https://")
  • Autenticazione e Autorizzazione: Accesso ai dati ristretto a personale autorizzato
  • Firewall e Intrusion Detection: Monitoraggio continuo per accessi non autorizzati
  • Backup Regolari: Copie di sicurezza quotidiane dei dati
  • Controllo Accessi Fisico: Accesso ai server limitato a personale autorizzato
  • Formazione sulla Privacy: Personale riceve formazione GDPR annuale
  • Audit di Sicurezza: Verifiche periodiche di vulnerabilità e conformità

6.2 Il Cliente è responsabile di:

  • Mantenere segreta la password del proprio account
  • Non condividere le credenziali di accesso
  • Segnalare a RM qualsiasi attività sospetta o accesso non autorizzato
  • Aggiornare le proprie informazioni di contatto

6.3 In caso di sospetta violazione di dati personali (data breach):

  • RM invierà apposita comunicazione al Cliente entro 3 giorni della scoperta
  • RM trasmetterà notifica all'Autorità di Protezione Dati competente se la violazione comporta rischi elevati
  • Verranno fornite apposite informative in relazione a natura della violazione, dati interessati, possibili conseguenze, misure correttive


7. COOKIE POLICY

7.1 Cosa Sono i Cookie?

I cookie sono piccoli file di testo memorizzati nel browser del Cliente che consentono a RM di:

  • Ricordare preferenze e impostazioni
  • Migliorare l'esperienza di navigazione
  • Analizzare il comportamento degli utenti
  • Personalizzare contenuti e pubblicità

7.2 Tipi di Cookie Utilizzati:

A. Cookie Tecnici (Strettamente Necessari) — SEMPRE ATTIVI

Questi cookie sono essenziali per il funzionamento del sito e NON richiedono consenso.

Cookie

Funzione

Durata

Provider

session_id

Identifica la sessione del Cliente (ordini, carrello)

Sessione (fino a logout)

RM

CSRF_token

Protezione contro attacchi CSRF

Sessione

RM

language_preference

Memorizza lingua prescelta (IT/EN)

1 anno

RM

accessibility

Salva preferenze di accessibilità (zoom, tema)

1 anno

RM


Base Giuridica: Necessità tecnica (Art. 6(1)(f) GDPR — interesse legittimo)


B. Cookie di Analisi / Performance — RICHIEDONO CONSENSO

Questi cookie raccolgono dati sulla navigazione per migliorare il sito.

Cookie

Funzione

Provider

Consenso

Privacy

_ga, _gat

Google Analytics — ID univoco visitatore, pagine visitate, tempo di permanenza

Google LLC

Sì (opt-in)

https://policies.google.com/privacy

_hjid

Hotjar — Heatmaps e registrazioni di sessione (con consenso)

Hotjar Ltd.

Sì (opt-in)

https://www.hotjar.com/privacy


Base Giuridica: Consenso esplicito (Art. 6(1)(a) + Art. 7 GDPR)

Dati Raccolti: Pagine visitate, durata, tipo di dispositivo, città approssimativa, fonte di traffico (NON nome o email, dati anonimizzati)


C. Cookie di Preferenze / Funzionalità — RICHIEDONO CONSENSO

Questi cookie ricordano scelte del Cliente (lingua, tema, preferenze di visualizzazione).

Cookie

Funzione

Durata

Consenso

theme_preference

Tema scuro/chiaro scelto dall'utente

1 anno

Sì (opt-in)

currency_preference

Valuta prescelta per visualizzazione prezzi

1 anno

Sì (opt-in)


Base Giuridica: Consenso o Interesse Legittimo


D. Cookie di Marketing / Advertising — RICHIEDONO CONSENSO

Questi cookie seguono il Cliente per fornire pubblicità personalizzata (se attivati).

Cookie

Provider

Funzione

Consenso

fr, _fbp

Meta Pixel (Facebook/Instagram)

Tracciamento conversioni, pubbliche personalizzate

Sì (opt-in)

Google Ads

Google Ads

Remarketing e conversion tracking

Sì (opt-in)

LinkedIn Insight

LinkedIn

Analisi conversioni B2B (se applicabile)

Sì (opt-in)


Base Giuridica: Consenso esplicito (Art. 6(1)(a) GDPR)

Dati Raccolti: Pagine visitate, azioni (clic, acquisti), interessi approssimativi


E. Cookie di Terze Parti — RICHIEDONO CONSENSO

RM utilizza servizi di terze parti che impostano cookie propri:

  • Google (Analytics, Ads): Memorizza ID visitatore, dati di conversione
  • Meta (Facebook Pixel): Traccia azioni per remarketing
  • Hotjar: Registra sessioni e heatmaps

Questi provider sono autonomi titolari del trattamento per i dati che raccolgono. Consultare le loro privacy e cookie policy per dettagli.


7.3 Gestione dei Cookie — Scelta del Cliente

Come Rifiutare i Cookie (Tramite Banner di Consenso):

  1. Al primo accesso al sito, comparirà un banner con opzioni:
    • "Accetta Tutto" — Consente tutti i cookie
    • "Rifiuta Non-Essenziali" — Solo cookie tecnici
    • "Personalizza" — Scelta granulare per categoria
  1. Impostazioni Personalizzate: Il Cliente può scegliere quali categorie attivare:
    • Tecnici (sempre attivi)
    • Analitici (opt-in)
    • Marketing (opt-in)
    • Funzionalità (opt-in)
  1. Cambio Preferenze: Il Cliente può cambiare le proprie scelte in qualsiasi momento cliccando su "Impostazioni Cookie" nel footer del sito.

Come Disabilitare i Cookie dal Browser:

Il Cliente può anche gestire i cookie direttamente dal browser:

  • Chrome: Settings Privacy and security Cookies and other site data [Bloccare/consentire]
  • Firefox: Preferences Privacy & Security Cookies and Site Data [Bloccare/consentire]
  • Safari: Preferences Privacy Cookies and website data [Bloccare]
  • Edge: Settings Privacy Cookies [Bloccare]

Nota: Disabilitare i cookie tecnici potrebbe compromettere il funzionamento del sito (carrello, login, ecc.).

Opt-Out da Servizi Specifici:


7.4 Cookie di Terze Parti e Accordi:

RM ha stipulato accordi (Data Processing Agreements) con i provider di cookie per garantire:

  • Conformità GDPR
  • Uso dei dati esclusivamente per scopi autorizzati
  • Trasferimenti internazionali protetti (SCCs dove necessario)
  • Diritto di audit sulla sicurezza



Link alle Privacy Policy dei Provider Principali:

Provider

Privacy Policy

Opt-Out

Google LLC

https://policies.google.com/privacy

Opt-Out GA

Meta Platforms

https://www.facebook.com/privacy/

Impostazioni Annunci

TikTok

https://www.tiktok.com/legal/page/us/privacy-policy/en

Opt-Out Instructions

Bing Ads

https://help.ads.microsoft.com/#apex/ads/en/ext60212

Opt-Out


7.5 Aggiornamenti della Cookie Policy

RM si riserva il diritto di aggiornare la Cookie Policy per:

  • Nuovi cookie o servizi
  • Modifiche a fornitori
  • Conformità a nuove normative

Notifica: RM comunicherà modifiche sostanziali tramite banner sul sito e aggiornamento della data di "Ultimo Aggiornamento" qui di seguito.


8. CONTATTI E RECLAMI

8.1 Per Domande sulla Privacy:

Email: legal@rmbeautylab.org

Telefono: +39 335 584 2048

Sede legale: Serravalle, Via Marino Moretti n. 17, San Marino

RM risponderà alle richieste entro 15 giorni lavorativi.

8.2 Autorità di Controllo (Reclami):

Se il Cliente ritiene che RM viola i diritti sulla privacy, ha il diritto di presentare reclamo alle autorità di controllo sulla privacy:

Per Residenti in San Marino:

Autorità Garante per la Protezione dei Dati Personali

Telefono: (+378) 0549 883154


9. DISPOSIZIONI FINALI

9.1 RM si riserva il diritto di aggiornare questa Informativa. Modifiche sostanziali saranno comunicate:

  • Tramite email (qualora il Cliente abbia condiviso il proprio contatto)
  • Tramite banner sul sito

Le stesse diverranno efficaci a 30 giorni dalla comunicazione medesima.

9.3 Questa Informativa Privacy è parte integrante delle Condizioni Generali di Vendita, a cui si fa espresso richiamo.


10. INFORMAZIONI AGGIUNTIVE

10.1 Minori (sotto 18 anni):

Il sito è destinato a persone di età maggiore di 18 anni. Se un minore ha fornito dati personali, il genitore/tutore legale può richiedere la cancellazione contattando RM all’indirizzo mail legal@rmbeautylab.org



Ultimo Aggiornamento: 22 gennaio 2026 – Versione: 1.0