📌 In breve: RimborsoSpesa.it raccoglie solo i dati essenziali per fornirti il servizio di cashback, non li condivide con terzi senza consenso, e puoi cancellarli in qualsiasi momento.
1. Titolare del Trattamento
2. Dati Raccolti
2.1 Dati forniti volontariamente
- Registrazione: Username, email, password (crittografata), nome e cognome (opzionali)
- Contatti: Messaggi inviati tramite form di contatto
- Feedback: Commenti e segnalazioni sulle offerte
2.2 Dati raccolti automaticamente
- Log accessi: IP, browser, data/ora per sicurezza
- Sessioni: Token temporanei per mantenere il login
- Cookies tecnici: Solo per funzionalità essenziali
3. Finalità del Trattamento
- 🎯 Servizio cashback: Gestire account, offerte, rimborsi
- 🔒 Sicurezza: Prevenire accessi non autorizzati e frodi
- 📧 Newsletter: Invio newsletter settimanale con nuove offerte (solo con consenso esplicito double opt-in). Puoi disiscriverti in qualsiasi momento cliccando il link nelle email
- ✉️ Email transazionali: Conferme iscrizione, reset password, notifiche importanti
- 📊 Miglioramento: Statistiche anonime per ottimizzare il servizio
- ⚖️ Obblighi legali: Adempimenti fiscali e normativi
3.1 Sistema Newsletter - Double Opt-In GDPR
🎯 Come funziona l'iscrizione:
- Inserisci la tua email nel form di iscrizione
- Ricevi un'email di verifica da
[email protected]
- Clicchi sul link di conferma → iscrizione attivata
- Inizi a ricevere la newsletter settimanale con le nuove offerte (ogni lunedì mattina)
📧 Disiscrizione immediata: In ogni email trovi il link "Disiscriviti" in fondo.
Oppure puoi gestire le preferenze dalla tua dashboard se sei registrato.
Frequenza email: Newsletter settimanale (ogni lunedì). Utenti registrati possono attivare anche la newsletter giornaliera dalle Impostazioni.
4. Base Giuridica
- Consenso: Per newsletter e marketing (quando implementato)
- Contratto: Per erogare il servizio richiesto
- Interesse legittimo: Per sicurezza e prevenzione frodi
- Obbligo legale: Per adempimenti normativi
5. Conservazione dei Dati
- Account attivo: Fino alla cancellazione dell'account
- Log sicurezza: 12 mesi per prevenzione frodi
- Obblighi fiscali: 10 anni (se applicabile)
- Marketing: Fino a revoca consenso
6. Condivisione dei Dati
Non vendiamo mai i tuoi dati. Condividiamo informazioni solo quando:
- 🏢 Partner cashback: Dati necessari per elaborare rimborsi
- 🔧 Fornitori tecnici: Hosting, email (con accordi privacy)
- 📧 Brevo (Sendinblue): Servizio email marketing per newsletter settimanale e giornaliera (opzionale). I dati trasmessi: email, nome (se fornito), stato iscrizione. Privacy: Brevo Privacy Policy
- 🔒 Google (reCAPTCHA v3): Protezione anti-spam. I dati trasmessi: IP, browser, interazioni con la pagina. Privacy: Google Privacy Policy
- 📊 Google Analytics: Analisi traffico e statistiche (solo con consenso). I dati trasmessi: pagine visitate, tempo permanenza, dispositivo, posizione approssimativa. IP anonimizzato. Privacy: Google Privacy Policy
- ⚖️ Autorità: Se richiesto per legge
- ✅ Consenso esplicito: Solo con tua autorizzazione
7. I Tuoi Diritti
- 👁️ Accesso: Vedere tutti i tuoi dati
- ✏️ Rettifica: Correggere informazioni errate
- 🗑️ Cancellazione: Eliminare l'account e tutti i dati
- 📦 Portabilità: Esportare i tuoi dati
- ⏸️ Limitazione: Bloccare alcuni trattamenti
- ❌ Opposizione: Rifiutare marketing
🎯 Cancellazione facile: Puoi eliminare il tuo account in qualsiasi momento dalla dashboard. La cancellazione è immediata e definitiva.
8. Sicurezza dei Dati
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali,
in conformità all'Art. 32 del GDPR, inclusi ma non limitati a:
8.1 Misure Tecniche Implementate
🔐 Crittografia Dati Sensibili (AES-256-GCM)
IBAN e Codici Fiscali sono crittografati utilizzando l'algoritmo
AES-256-GCM (Advanced Encryption Standard con Galois/Counter Mode),
lo stesso standard utilizzato da istituzioni bancarie, agenzie governative e forze armate.
Caratteristiche:
- Chiave di cifratura a 256 bit (2^256 combinazioni possibili)
- IV (Initialization Vector) univoco per ogni dato cifrato
- Tag di autenticazione per prevenire manomissioni
- Chiavi di cifratura conservate separatamente dal database
Implicazioni per la sicurezza: Anche in caso di accesso non autorizzato al database,
i dati bancari risulterebbero completamente illeggibili senza la chiave di decifratura.
🔒 Crittografia delle Comunicazioni
- HTTPS/TLS: Tutte le comunicazioni tra il tuo browser e i nostri server sono cifrate con certificati SSL/TLS
- HSTS (HTTP Strict Transport Security): Forzatura connessioni HTTPS per 1 anno
🛡️ Security Headers HTTP
Implementiamo header di sicurezza avanzati per proteggere da attacchi comuni:
- Content-Security-Policy (CSP): Controlla quali risorse possono essere caricate ed eseguite
- X-Frame-Options: Protezione da Clickjacking (impedisce incorporamento in iframe malevoli)
- X-Content-Type-Options: Prevenzione MIME Sniffing
- X-XSS-Protection: Protezione Cross-Site Scripting
✋ Protezione CSRF (Cross-Site Request Forgery)
- Token di sicurezza univoci per ogni sessione
- Validazione su tutte le operazioni di scrittura (POST/PUT/DELETE)
- Protezione su 100% degli endpoint critici
🛑 Protezione SQL Injection
- Utilizzo esclusivo di Prepared Statements PDO per tutte le query database
- Sanitizzazione input utente
- Validazione lato server su tutti i campi
🔑 Gestione Password
- Password hashate con bcrypt (algoritmo resistente a bruteforce)
- Protezione brute force: blocco account dopo 5 tentativi falliti
- Reset password con token temporanei univoci (validità 1 ora)
8.2 Limitazione Accesso
I dati personali sono accessibili solo a:
- Personale autorizzato con necessità operativa e vincolo di riservatezza
- Sistemi automatici con accesso limitato e loggato
- Processori dati (fornitori terzi) vincolati da Data Processing Agreement (DPA)
8.3 Conservazione Chiavi Crittografiche
- Chiavi di cifratura conservate in variabili d'ambiente protette (.env)
- Mai memorizzate nel database o in file accessibili pubblicamente
- Accessibili solo all'applicazione tramite sistema di configurazione sicuro
8.4 Audit e Monitoring
- Log di accesso ai dati sensibili
- Monitoring automatico di attività sospette
- Review periodiche delle misure di sicurezza
- Test di penetrazione e vulnerability assessment
8.5 Violazione dei Dati (Data Breach)
In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati, ci impegniamo a:
- Notificare il Garante Privacy entro 72 ore dalla scoperta (Art. 33 GDPR)
- Comunicare agli interessati senza ingiustificato ritardo se il rischio è elevato (Art. 34 GDPR)
- Documentare la violazione, le sue conseguenze e i rimedi adottati
- Assistenza gratuita agli utenti coinvolti
Nota: La crittografia AES-256 dei dati sensibili riduce significativamente il rischio di danno
in caso di accesso non autorizzato, rendendo i dati incomprensibili senza la chiave di decifratura.
📖 Maggiori Informazioni sulla Sicurezza
Per dettagli tecnici completi sulle nostre misure di sicurezza, consulta la pagina dedicata:
Come Proteggiamo i Tuoi Dati
9. Interazioni sui Social Media e Direct Message
RimborsoSpesa.it gestisce account ufficiali sui principali social network (Instagram, Facebook, YouTube, TikTok)
per pubblicare contenuti relativi alle offerte di cashback, buoni e premi. Quando interagisci con i nostri
contenuti su queste piattaforme, alcuni dati possono essere trattati come descritto di seguito.
9.1 Risposte automatiche via Direct Message su Instagram
Sui nostri reel di Instagram @rimborsospesa
puoi trovare un invito del tipo "Commenta CASHBACK e ti mando il link in DM".
Quando lasci un commento contenente la parola chiave indicata,
attiviamo un messaggio automatico (Direct Message) che ti invia il link diretto alla pagina dell'offerta sul nostro sito.
Cosa succede tecnicamente:
- Instagram (Meta Platforms Ireland Ltd.) ci notifica via webhook che hai pubblicato un commento sul nostro reel
- Riceviamo: il testo del commento, il tuo username Instagram, il tuo ID utente Instagram, l'ID del post commentato, l'orario del commento
- Se il testo contiene la parola chiave (es. "CASHBACK"), inviamo un Direct Message contenente il link all'offerta
- Memorizziamo log dell'invio (username, timestamp, esito) per finalità di assistenza, dedup, opt-out e auditing
Base giuridica: consenso implicito espresso tramite l'azione volontaria di commentare con la parola chiave indicata,
che costituisce richiesta esplicita di ricevere il link via DM (Art. 6.1.a GDPR).
Conservazione: i log dei DM inviati sono conservati per 24 mesi a fini di prevenzione abusi e statistiche aggregate,
poi anonimizzati o cancellati.
Opt-out: puoi rispondere STOP a qualsiasi nostro DM per essere aggiunto/a alla lista di esclusione,
oppure scrivere a [email protected].
Una volta in opt-out non riceverai più alcun DM automatico, anche se commenterai nuovamente.
Limiti: per prevenire abusi e garantire qualità del servizio, applichiamo cap di invio
(massimo 30 DM/giorno totali, massimo 3 DM/24h per singolo utente).
Nessun tracciamento pubblicitario: i dati raccolti tramite questo flusso NON sono utilizzati per profilazione,
retargeting pubblicitario o cessione a terzi. Servono esclusivamente a inviare il link richiesto e tenere traccia dell'opt-out.
9.2 Trattamento dei dati da parte di Meta
Quando interagisci con i nostri contenuti su Instagram o Facebook, Meta Platforms Ireland Ltd. tratta i tuoi dati
in qualità di titolare autonomo, secondo la propria
Privacy Policy Meta.
RimborsoSpesa.it non controlla e non è responsabile delle policy Meta;
ti invitiamo a leggere autonomamente i loro termini.
9.3 Pubblicazione di contenuti generati dagli utenti (UGC)
Quando gli utenti ci inviano foto di scontrini o prodotti per le nostre rubriche social ("Trovato e Testato"),
li pubblichiamo SOLO previo consenso esplicito, anonimizzando i dati personali sullo scontrino
(nome cassiere, codice fiscale, dettagli di pagamento) tramite blur automatico.
10. Cookie e Tecnologie di Sicurezza
Utilizziamo cookies tecnici essenziali e cookies di terze parti per sicurezza e funzionalità del sito.
9.1 Cookie Tecnici (nostri)
- Sessione (PHPSESSID): Mantiene il login e la sessione utente (necessario)
- Ricordami (remember_me): Login automatico se selezionato, durata 30 giorni (opzionale)
- Preferenze utente: Salva impostazioni personali (opzionale)
- Cookie consent: Ricorda le tue preferenze sui cookie per 12 mesi (necessario GDPR)
9.2 Cookie di Terze Parti - Google reCAPTCHA v3
Per proteggere il sito da bot e attività di spam, utilizziamo Google reCAPTCHA v3:
- 📍 Dove lo usiamo: Form iscrizione newsletter, form di contatto, registrazione account
- 🎯 Finalità: Prevenzione spam, bot, abusi e attività fraudolente
- 🍪 Cookie installati:
_GRECAPTCHA (temporaneo, durata ~6 mesi)
- 📊 Dati trasmessi a Google: Indirizzo IP, tipo di browser, movimenti mouse, interazioni con la pagina
- ⏱️ Conservazione: Google conserva i dati secondo la propria privacy policy (vedi link)
- 📋 Info: Privacy Policy Google | Termini Servizio reCAPTCHA
9.3 Cookie di Terze Parti - Google Analytics
Per capire come gli utenti utilizzano il sito e migliorare l'esperienza, utilizziamo Google Analytics 4 (GA4):
- 📊 Finalità: Analisi traffico, comportamento utenti, performance del sito, statistiche anonime
- 🍪 Cookie installati:
_ga - Distingue utenti unici (durata: 2 anni)_ga_* - Mantiene stato sessione (durata: 2 anni)_gid - Distingue utenti (durata: 24 ore)
- 📈 Dati raccolti: Pagine visitate, tempo di permanenza, sorgente traffico, dispositivo, browser, posizione geografica approssimativa (città/regione)
- 🔒 Anonimizzazione IP: Attiva - Google Analytics non riceve il tuo IP completo
- ⏱️ Conservazione: I dati vengono conservati per 14 mesi, poi eliminati automaticamente
- 📋 Info: Privacy Policy Google | Come GA usa i cookie
⚙️ Controllo: Puoi rifiutare Google Analytics dal banner cookie. Il sito funzionerà normalmente anche senza.
9.4 Gestione Consenso Cookie
Al primo accesso visualizziamo un banner informativo dove puoi scegliere:
- ✅ Accetta tutti: Abilita tutti i cookie (tecnici + reCAPTCHA + Google Analytics)
- ⚙️ Solo essenziali: Disabilita reCAPTCHA e Google Analytics
Conseguenze rifiuto:
- ❌ Alcuni form potrebbero non funzionare (reCAPTCHA necessario per sicurezza)
- ❌ Non raccoglieremo statistiche anonime (Google Analytics)
- ✅ Il sito funzionerà comunque per navigazione e visualizzazione offerte
La tua scelta viene salvata per 12 mesi. Puoi modificarla in qualsiasi momento contattandoci.
11. Minori
Il servizio è rivolto a maggiorenni. Non raccogliamo consapevolmente dati di minori di 18 anni.
12. Modifiche alla Privacy Policy
Eventuali modifiche saranno comunicate via email e pubblicate sul sito. L'uso continuato implica accettazione.
13. Contatti