📌 Scopo di questo documento: il presente Data Processing Agreement (
DPA) regola il trattamento dei dati personali degli
ospiti delle strutture ricettive che utilizzano la piattaforma Vezpa. La struttura (
Titolare) affida a Vezpa (
Responsabile) il trattamento di tali dati. Il DPA e' parte integrante dei
Termini di Servizio ed e' accettato contestualmente alla registrazione della struttura.
A chi si applica: questo DPA si applica ogni volta che la struttura utilizza Vezpa per trattare dati personali di soggetti diversi dalla struttura stessa (tipicamente: ospiti, loro accompagnatori, contatti di prenotazione).
Non si applica al trattamento dei dati degli utenti professionali della struttura, per cui Vezpa opera come Titolare autonomo (vedi
Privacy Policy).
1. Parti
| Titolare del trattamento ("Titolare") |
La struttura ricettiva che sottoscrive l'abbonamento Vezpa, come identificata nel proprio account (ragione sociale, P.IVA, sede, rappresentante legale). |
| Responsabile del trattamento ("Responsabile" / "Vezpa") |
Vezpa di Paolo Vezzola, P.IVA 04449070988, sede in via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] · Email: [email protected] |
2. Oggetto e durata (art. 28.3 GDPR)
Il Titolare incarica il Responsabile di trattare dati personali per conto proprio mediante la piattaforma Vezpa. Il trattamento ha la durata del contratto di abbonamento tra le parti e cessa con la sua risoluzione, fatto salvo quanto previsto al §14.
3. Natura, finalita' e tipologia dei dati trattati
3.1 Finalita'
- Gestione delle prenotazioni, del soggiorno e del check-in/check-out
- Adempimento degli obblighi di legge del Titolare verso le autorita' pubbliche (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Comunicazione dei dati di prenotazione ai canali OTA e al channel manager attivati dalla struttura
- Emissione di comunicazioni all'ospite (conferme, pre-check-in, pagamenti)
- Elaborazione di pagamenti tramite Booking Engine o link Stripe
- Produzione di report e statistiche per il Titolare
3.2 Categorie di interessati
- Ospiti delle strutture e loro accompagnatori
- Persone che prenotano per conto di altri
- Contatti di emergenza eventualmente forniti dall'ospite
3.3 Tipologia di dati personali trattati
- Dati identificativi e anagrafici (nome, cognome, data e luogo di nascita, cittadinanza, genere)
- Documenti di identita' (tipo, numero, data di rilascio, ente rilasciante, immagine scansionata o fotografata)
- Dati testuali estratti dal documento tramite OCR automatico
- Dati di contatto (email, telefono, indirizzo)
- Dati di prenotazione e soggiorno
- Dati di pagamento (gestiti da Stripe, non memorizzati su Vezpa)
⚠️ Dati particolari (art. 9 GDPR): il documento di identita' puo' contenere dati particolari (es. luogo di nascita). Il Titolare dichiara di avere base giuridica idonea ex art. 9.2 GDPR (tipicamente lett. b, f o g) e istruisce il Responsabile a limitare il trattamento di tali dati alle comunicazioni richieste dalla legge verso le autorita' pubbliche e alla conservazione nei termini previsti.
4. Istruzioni del Titolare (art. 28.3.a GDPR)
Non-autonomia decisionale del Responsabile (art. 28.10 GDPR): il Responsabile non determina autonomamente finalita' e mezzi del trattamento. Qualora il Responsabile violasse tale limite determinando finalita' e mezzi di un trattamento specifico, sarebbe considerato Titolare del trattamento per quelle attivita' e ne assumerebbe la relativa responsabilita' ai sensi dell'art. 28.10 GDPR.
Il Responsabile tratta i dati personali esclusivamente sulla base di istruzioni documentate del Titolare. Le istruzioni generali sono contenute nel presente DPA, nella Privacy Policy, nell'Informativa GDPR e nei Termini di Servizio. Istruzioni specifiche possono essere impartite dal Titolare tramite:
- Configurazioni nel proprio account (attivazione/disattivazione connettori governativi, OTA, retention)
- Comunicazione scritta a [email protected] o via PEC a [email protected]
Qualora il Responsabile ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili, ne informa immediatamente il Titolare.
5. Obblighi del Responsabile (art. 28.3.b-h GDPR)
Il Responsabile si impegna a:
- Riservatezza: trattare i dati in modo confidenziale e assicurarsi che le persone autorizzate al trattamento siano vincolate a obbligo di riservatezza;
- Sicurezza: adottare le misure tecniche e organizzative di cui all'Allegato B, adeguate al rischio;
- Sub-responsabili: rispettare le condizioni del §6;
- Assistenza al Titolare: assistere il Titolare nell'adempimento dei suoi obblighi, in particolare:
- Risposta alle richieste degli interessati (artt. 15-22 GDPR) entro tempi che consentano al Titolare di rispondere nei 30 giorni di legge;
- Notifica di data breach al Titolare entro 48 ore dalla scoperta (§7);
- Supporto a DPIA (art. 35) e consultazioni preventive (art. 36);
- Dimostrazione di conformita' tramite documentazione e, ove richiesto, audit (§9).
- Restituzione / cancellazione dei dati al termine, come previsto al §14;
- Informativa: mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformita' al presente DPA.
6. Sub-responsabili (art. 28.2 e 28.4 GDPR)
6.1 Autorizzazione generale
Il Titolare autorizza il Responsabile a nominare i sub-responsabili elencati a vezpa.it/subprocessors e quelli che saranno successivamente aggiunti secondo la procedura qui descritta.
6.2 Preavviso di modifica
Il Responsabile comunica al Titolare l'intenzione di aggiungere o sostituire un sub-responsabile con almeno 30 giorni di preavviso, tramite email all'indirizzo registrato e/o avviso nella dashboard. Entro tale termine il Titolare puo' opporsi motivatamente. In caso di opposizione non risolvibile, ciascuna parte puo' recedere dal contratto con cessazione del trattamento interessato.
6.3 Obblighi verso i sub-responsabili
Il Responsabile impone ai sub-responsabili per iscritto obblighi di protezione dei dati equivalenti a quelli qui previsti, e risponde verso il Titolare dell'operato dei sub-responsabili.
7. Data breach (art. 33 GDPR)
In caso di violazione dei dati personali che interessa dati trattati per conto del Titolare, il Responsabile:
- Notifica il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, salvo cause di forza maggiore documentate;
- Fornisce le informazioni dell'art. 33.3 GDPR (natura, categorie e numero approssimativo degli interessati e dei dati, conseguenze probabili, misure adottate o proposte);
- Collabora con il Titolare nelle comunicazioni agli interessati e all'Autorita' di controllo;
- Documenta l'incidente e le azioni intraprese.
La notifica al Titolare avviene via email all'indirizzo registrato e PEC, se disponibile. Il Titolare resta responsabile delle notifiche esterne (Garante, interessati) ai sensi degli artt. 33-34 GDPR.
8. Diritti degli interessati (art. 28.3.e GDPR)
Se un interessato si rivolge direttamente al Responsabile per esercitare diritti relativi a dati trattati per conto del Titolare, il Responsabile inoltra la richiesta al Titolare senza ritardo e non risponde per conto del Titolare salvo diverse istruzioni.
Il Responsabile mette a disposizione del Titolare, nella dashboard e via API, funzionalita' per:
- Esportazione dei dati di un interessato (accesso e portabilita')
- Rettifica
- Cancellazione o anonimizzazione
- Limitazione del trattamento
Per richieste che richiedono intervento tecnico manuale, il Responsabile risponde entro 10 giorni lavorativi dalla ricezione dell'istruzione del Titolare.
9. Audit (art. 28.3.h GDPR)
Il Responsabile fornisce al Titolare, su richiesta, informazioni e documentazione che dimostrino la conformita' al presente DPA, tra cui:
- Sintesi delle misure di sicurezza implementate
- Elenco dei sub-responsabili con sedi e basi di trasferimento
- Registro dei trattamenti (estratti rilevanti)
- Certificazioni dei sub-responsabili (ISO 27001, SOC 2, DPF) ove disponibili
9.1 Modalita' e limiti dell'audit
- Modalita' default — audit documentale remoto: il Titolare puo' richiedere, con preavviso scritto di almeno 30 giorni e frequenza massima una volta all'anno, la condivisione di documentazione di sicurezza, certificazioni, registri e risposte a questionari. Questa e' la modalita' standard.
- Audit on-site presso la sede di Vezpa: ammesso esclusivamente in presenza di violazione contrattuale accertata o data breach confermato imputabile al Responsabile, con preavviso scritto di almeno 30 giorni.
- Durata: ciascun audit non puo' superare i 2 giorni lavorativi, svolti durante l'orario lavorativo e senza interferenze con le operazioni ordinarie.
- Auditor terzi: ammessi solo se vincolati a NDA con Vezpa e privi di conflitto d'interesse (non concorrenti diretti del Responsabile).
- Costi: integralmente a carico del Titolare (inclusi costi interni ragionevoli del Responsabile), salvo audit che accerti violazione imputabile al Responsabile, nel qual caso i costi restano a carico di quest'ultimo.
- Riservatezza: le informazioni ottenute nell'audit sono coperte da obbligo di riservatezza esteso oltre la durata del contratto per almeno 5 anni.
10. Trasferimenti extra-UE (Capo V GDPR)
L'elenco dei sub-responsabili con indicazione della sede e della base giuridica del trasferimento e' pubblicato a vezpa.it/subprocessors. Per i trasferimenti non coperti da decisione di adeguatezza, il Responsabile adotta:
- Clausole Contrattuali Standard 2021/914 e misure supplementari ove necessarie (Transfer Impact Assessment documentato);
- Oppure altre garanzie idonee previste dall'art. 46 GDPR.
11. Ruolo del Titolare
Il Titolare dichiara e garantisce di:
- Aver fornito agli interessati l'informativa prevista dagli artt. 13-14 GDPR;
- Aver acquisito le eventuali basi giuridiche (consenso, contratto, obbligo di legge) necessarie al trattamento;
- Impartire istruzioni lecite al Responsabile;
- Garantire la corretta conservazione e cancellazione dei dati dopo il ritiro dalla piattaforma Vezpa.
12. Riservatezza
Ciascuna parte mantiene strettamente riservate tutte le informazioni ricevute dall'altra parte in esecuzione del presente DPA, per tutta la durata del contratto e per i 5 anni successivi.
13. Responsabilita'
La responsabilita' di ciascuna parte ex art. 82 GDPR verso gli interessati rimane regolata dalla legge. Nei rapporti tra le parti, il regime di responsabilita' contrattuale e' quello stabilito nei Termini di Servizio (§9-10), ferma restando la ripartizione inderogabile prevista dall'art. 82 GDPR.
14. Cessazione del trattamento
Alla cessazione del contratto per qualsiasi causa, il Responsabile:
- Mette a disposizione del Titolare gli strumenti per esportare i propri dati in formato strutturato (CSV/JSON) per 30 giorni dalla cessazione;
- Trascorsi i 30 giorni, cancella o rende anonimi i dati trattati per conto del Titolare dai sistemi di produzione;
- Cancella i dati dai backup entro il ciclo di rotazione successivo (tipicamente entro 90 giorni);
- Conserva i dati che Vezpa e' obbligata a conservare per legge (tipicamente: dati di fatturazione e log di sicurezza) per i soli tempi imposti dalla normativa applicabile, mantenendo su di essi misure di sicurezza adeguate.
15. Modifiche
Il Responsabile puo' modificare il presente DPA per recepire evoluzioni normative (es. nuove SCC, provvedimenti del Garante) o variazioni organizzative. Le modifiche sostanziali sono comunicate al Titolare con almeno 30 giorni di preavviso. Se il Titolare non accetta, puo' recedere senza penali per la parte non goduta dell'abbonamento.
16. Legge applicabile
Il presente DPA e' regolato dalla legge italiana. Per le controversie si applica il §16 dei Termini di Servizio.
Allegato A - Descrizione sintetica del trattamento
| Voce |
Descrizione |
| Natura del trattamento |
Raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, comunicazione, trasmissione a canali OTA e autorita' pubbliche, cancellazione |
| Finalita' |
Vedi §3.1 |
| Categorie di interessati |
Vedi §3.2 |
| Categorie di dati |
Vedi §3.3 |
| Durata |
Per tutta la durata del contratto. Retention specifica per categorie di dati come da Privacy Policy §6 |
Allegato B - Misure tecniche e organizzative di sicurezza (art. 32 GDPR)
Misure tecniche
- Crittografia in transito: HTTPS/TLS 1.2+, HSTS
- Cifratura at-rest: campi sensibili con django-cryptography, volumi e snapshot cifrati lato infrastruttura (DigitalOcean)
- Hashing password con PBKDF2 salato (default Django)
- Autenticazione: JWT a rotazione (access 15 min, refresh 180 giorni con blacklist), 2FA TOTP opzionale
- Bot blocker e rate limiting per prevenire attacchi automatizzati
- Controllo accessi basato su ruoli (direttore/assistente/governante/osservatore)
- Backup gestiti dal provider infrastrutturale in UE
- Log applicativi e di accesso per rilevamento anomalie
- Secure Storage lato app: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Misure organizzative
- Vezpa opera attualmente come ditta individuale senza dipendenti; eventuali collaboratori esterni sono designati per iscritto come Responsabili o Persone autorizzate con obblighi di riservatezza
- Procedura documentata di incident response
- Registro dei trattamenti (art. 30) aggiornato
- DPA con i sub-responsabili principali
- Privacy by Design and by Default nelle fasi di sviluppo
- Separazione ambienti produzione / staging / sviluppo
Allegato C - Sub-responsabili autorizzati
L'elenco vigente e' pubblicato e mantenuto aggiornato a vezpa.it/subprocessors. Al momento dell'ingresso nel contratto, l'elenco comprende (tra gli altri):
- DigitalOcean LLC - infrastruttura (UE Francoforte + USA DPF)
- Stripe - pagamenti (UE/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, adeguatezza)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple non aderisce al DPF, trasferimenti USA via SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (USA DPF certificato attivo)
- Tuya Smart - serrature smart (CN, solo se attivato dalla struttura, SCC)
© 2022-2026 Vezpa - Tutti i diritti riservati |
Privacy Policy |
Termini di Servizio |
Cookie Policy |
GDPR |
DPA |
Sub-responsabili