Informativa sul trattamento dei dati personali
Ai sensi dell’art. 13 del Regolamento UE 2016/679 (GDPR) — versione privacy-clienti-v1
1. Titolare del trattamento
Il Titolare è RAPID GROUP SRL, P.IVA 04271810246, con sede in Via Monte Pasubio, 222/1, 36010 Zanè (VI), tel. 04451925877, e-mail privacy@rapidpc.it, PEC rapidgroupsrl@pec.it.
2. Responsabile della protezione dei dati (DPO)
Il Titolare non ha nominato un Responsabile della protezione dei dati (DPO), non ricorrendo le condizioni di obbligatorietà previste dall'art. 37 del GDPR: le attività principali del Titolare non consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, né nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali (art. 10). Per qualunque richiesta in materia di protezione dei dati personali l'interessato può rivolgersi direttamente al Titolare ai recapiti indicati al punto 1.
3. Categorie di dati trattati
Dati anagrafici e di contatto (nome, cognome, ragione sociale, codice fiscale/partita IVA, e-mail, telefono/cellulare, PEC, SDI, indirizzo); dati relativi ai dispositivi affidati (marca, modello, seriale/IMEI, accessori, condizioni all'ingresso) e, se da lei fornite, le credenziali di accesso al dispositivo (conservate in forma cifrata e accessibili ai soli tecnici autorizzati); dati su riparazioni, preventivi, garanzie e assistenza; dati fiscali e di pagamento (importi, metodo, riferimenti di transazione – non conserviamo i dati completi della carta); firme di accettazione/riconsegna e di consenso alla possibile perdita dati; dati di navigazione tecnici (cfr. cookie policy).
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica |
|---|---|
| Gestione di riparazioni, vendite, garanzie e assistenza | Esecuzione di un contratto o misure precontrattuali (art. 6.1.b) |
| Fatturazione, corrispettivi, conservazione fiscale | Obbligo legale (art. 6.1.c) |
| Comunicazioni operative sullo stato della pratica (presa in carico, preventivo, pronto/ritiro, pagamento) | Esecuzione del contratto (art. 6.1.b); per solleciti/recupero credito legittimo interesse (art. 6.1.f) |
| Sicurezza, audit, prevenzione abusi, troubleshooting | Legittimo interesse (art. 6.1.f) |
| Autorizzazione all'intervento con possibile perdita dati del dispositivo | Esecuzione del contratto (art. 6.1.b) |
| Marketing e comunicazioni promozionali | Consenso (art. 6.1.a) – facoltativo e revocabile |
| Profilazione delle preferenze | Consenso (art. 6.1.a) – facoltativo e revocabile |
5. Natura del conferimento
Il conferimento dei dati per le finalità di gestione del rapporto, adempimenti fiscali e comunicazioni di servizio è necessario: il rifiuto impedisce l'erogazione del servizio. Il conferimento per marketing e profilazione è facoltativo: il rifiuto non pregiudica in alcun modo l'accesso ai servizi.
6. Destinatari e responsabili del trattamento
I dati possono essere trattati, per nostro conto e su istruzioni, da fornitori designati Responsabili del trattamento (art. 28), tra cui: infrastruttura e archiviazione dati (Supabase, self-hosted), invio comunicazioni e-mail (provider SMTP/Resend), sincronizzazione appuntamenti (Google Calendar), assistenza remota e monitoraggio (Action1, Zabbix), servizi di pagamento/POS/fatturazione elettronica (provider POS/RT/SDI), orchestrazione processi (Inngest). L'elenco aggiornato dei responsabili è disponibile su richiesta. I dati fiscali sono comunicati all'Agenzia delle Entrate/Sistema di Interscambio per obbligo di legge.
7. Trasferimenti verso Paesi terzi (extra-SEE)
La maggior parte dei dati è trattata all'interno dell'Unione Europea/Spazio Economico Europeo (SEE). In particolare, l'infrastruttura di database, autenticazione e archiviazione (Supabase) è ospitata su server gestiti direttamente dal Titolare (self-hosted, on-premise) situati in Italia: per tali trattamenti non vi è alcun trasferimento di dati verso Paesi terzi.
Alcuni fornitori designati Responsabili del trattamento hanno invece sede negli Stati Uniti o possono trattare dati al di fuori del SEE. In tali casi il trasferimento avviene sulla base delle garanzie previste dal Capo V del GDPR: la decisione di adeguatezza relativa all'«EU-U.S. Data Privacy Framework» (per i fornitori ivi certificati) e/o le Clausole Contrattuali Standard adottate dalla Commissione europea (Decisione di esecuzione UE 2021/914), integrate da eventuali misure supplementari, secondo quanto previsto nei rispettivi accordi sul trattamento dei dati (DPA). Nel dettaglio:
- Supabase (database, autenticazione, storage): self-hosted on-premise in Italia — nessun trasferimento extra-SEE.
- Resend (invio e-mail transazionali): USA — Clausole Contrattuali Standard e certificazione EU-U.S. Data Privacy Framework.
- Google Calendar (sincronizzazione appuntamenti): USA (Google) — decisione di adeguatezza EU-U.S. Data Privacy Framework e Clausole Contrattuali Standard.
- Action1 (assistenza remota/RMM): fornitore con sede negli USA e data center europeo (Francoforte, Germania); ove sia utilizzata la region europea i dati restano nel SEE; per eventuali trattamenti negli USA valgono le Clausole Contrattuali Standard/Data Privacy Framework.
- Inngest (orchestrazione processi): USA — Clausole Contrattuali Standard secondo il relativo DPA; il trattamento è limitato a identificativi operativi (caso/cliente, eventi).
- Zabbix (monitoraggio infrastrutturale): software self-hosted on-premise — nessun trasferimento extra-SEE.
- Servizi POS/RT (Epson) e fatturazione elettronica via SDI (intermediario WeSee): trattamento in Italia/UE; i dati fiscali sono trasmessi all'Agenzia delle Entrate/Sistema di Interscambio per obbligo di legge — nessun trasferimento extra-SEE.
Copia delle garanzie adottate può essere richiesta al Titolare ai recapiti indicati al punto 1.
8. Periodo di conservazione
- Documenti fiscali, fatture, corrispettivi e relativi allegati: 10 anni dalla registrazione/ultima annotazione, in forza degli obblighi di conservazione civilistici e fiscali (art. 2220 c.c.); termine confermato dal consulente fiscale;
- Dati di riparazioni, garanzie e contratti: per la durata del rapporto e comunque fino al decorso dei termini di garanzia e di prescrizione applicabili;
- Credenziali del dispositivo: per il solo tempo strettamente necessario all’intervento, poi cancellate;
- Firme di accettazione/riconsegna e di consenso alla possibile perdita dati: 10 anni dalla chiusura della pratica, in coerenza con il termine ordinario di prescrizione dei diritti nascenti dal contratto (art. 2946 c.c.), a fini di prova ed eventuale difesa in giudizio;
- Prova dei consensi marketing/profilazione (registrazione con versione dell’informativa e data): per tutta la durata del relativo trattamento e per il tempo necessario a dimostrarne la validità in caso di contestazione, secondo i termini di prescrizione applicabili (onere della prova, art. 7.1 GDPR);
- Comunicazioni operative e log di sicurezza: di norma 24 mesi, salvo contenzioso.
Alla scadenza i dati sono cancellati o anonimizzati, salvo obblighi legali residui (per i quali il trattamento è limitato anziché cancellato).
9. Diritti dell'interessato
Lei può esercitare i diritti di accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione (art. 18), portabilità (art. 20) e opposizione (art. 21), nonché revocare in qualsiasi momento i consensi prestati (art. 7.3), senza pregiudicare la liceità del trattamento effettuato prima della revoca. Le richieste si inoltrano a privacy@rapidpc.it (i consensi marketing/profilazione sono gestibili anche dalla sua Area Cliente). Ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (art. 77, www.garanteprivacy.it).
10. Processo decisionale automatizzato
Non è effettuato alcun processo decisionale automatizzato che produca effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR.
Versione informativa: privacy-clienti-v1 — ultimo aggiornamento: 07 luglio 2026.