Informacion RGPD - Vezpa PMS

1. Introduccion y ambito de aplicacion

La presente informacion describe como Vezpa di Paolo Vezzola (en adelante "Vezpa" o "Nosotros") trata los datos personales de conformidad con:

Reglamento UE 2016/679 (RGPD)
Decreto Legislativo 196/2003 (Codigo Privacy italiano) modificado por el D.Lgs. 101/2018
Resoluciones y directrices de la autoridad italiana de proteccion de datos (Garante)

1.1 A quien se aplica

Esta informacion se aplica a:

Gestores de establecimientos de alojamiento que utilizan Vezpa (clientes directos)
Huespedes que se alojan en establecimientos que utilizan Vezpa
Socios comerciales y proveedores
Visitantes del sitio web vezpa.it

1.2 Doble rol de Vezpa

Vezpa opera con dos roles distintos:

RESPONSABLE Para los datos de los gestores de los establecimientos (clientes)
ENCARGADO Para los datos de los huespedes (tratamos los datos siguiendo las instrucciones del gestor del establecimiento)

2. Identidad y datos de contacto del Responsable del tratamiento

Responsable del tratamiento:

Vezpa di Paolo Vezzola
Domicilio social: Desenzano del Garda (BS), 25015, via San Zeno 67
NIF italiano (P.IVA): 04449070988
Codigo fiscal: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Categorias de datos personales tratados

3.1 Datos de los gestores (clientes)

Categoria	Tipologia de datos	Caracter
Datos identificativos	Nombre, apellidos, fecha de nacimiento, codigo fiscal	Obligatorios
Datos de contacto	Email, telefono, direccion	Obligatorios
Datos empresariales	Razon social, NIF, datos del establecimiento	Obligatorios
Datos de pago	IBAN, tarjeta de credito (a traves de Stripe)	Obligatorios para suscripcion
Datos de uso	Registros de acceso, IP, actividad en la plataforma	Automaticos
Datos de comunicaciones	Email, chat de soporte, tickets	Voluntarios

3.2 Datos de los huespedes (como Encargado del tratamiento)

Categoria	Tipologia de datos	Base juridica (del Responsable)
Datos personales	Nombre, apellidos, fecha y lugar de nacimiento, nacionalidad, genero	Obligacion legal (ley italiana TULPS, art. 109 y normativas equivalentes UE)
Documento de identidad	Tipo, numero, fecha de expedicion, organismo, imagen escaneada o fotografiada	Obligacion legal
Extraccion OCR	Datos de texto extraidos automaticamente del documento (nombre, fecha, numero)	Ejecucion del contrato (art. 6.1.b) - solo para facilitar la introduccion de datos
Datos de contacto	Email, telefono, direccion	Ejecucion del contrato
Datos de reserva	Fechas de estancia, numero de huespedes, habitacion, tarifas, regimen	Ejecucion del contrato
Datos de pago	Transacciones, recibos (datos de tarjeta gestionados por Stripe, no almacenados en Vezpa)	Ejecucion del contrato + obligacion fiscal

Categorias especiales de datos (Art. 9 RGPD):

Los documentos de identidad adquiridos pueden contener elementos calificables como "categorias especiales" en virtud del art. 9 RGPD, tipicamente:

Lugar de nacimiento (del que se puede deducir el origen etnico)
Imagen fotografica del rostro (no utilizada para reconocimiento biometrico automatizado)

Licitud del tratamiento: art. 9.2.b (cumplimiento de obligaciones en materia de derecho laboral, seguridad y proteccion social), 9.2.g (motivos de interes publico esencial - registros de seguridad publica) y 9.2.f (formulacion, ejercicio o defensa de reclamaciones). Finalidades limitadas a los cumplimientos impuestos por la ley frente a las autoridades publicas.

Medidas adicionales: acceso limitado a los roles autorizados (director, asistente), ninguna elaboracion de perfiles sobre dichos datos, ninguna comunicacion a terceros fuera de las autoridades publicas destinatarias.

Vezpa no recoge deliberadamente otras categorias especiales de datos (opiniones politicas/religiosas, datos de salud, datos geneticos, orientacion sexual). Si tales datos fueran introducidos por error por el usuario, deben eliminarse inmediatamente.

4. Finalidad y base juridica del tratamiento

4.1 Para los gestores (clientes)

Finalidad	Base juridica (Art. 6 RGPD)	Conservacion
Prestacion del servicio PMS	Art. 6.1.b - Ejecucion del contrato	Duracion del contrato + 10 anos
Facturacion y contabilidad	Art. 6.1.c - Obligacion legal	10 anos (obligacion fiscal)
Asistencia al cliente	Art. 6.1.b - Ejecucion del contrato	Duracion del contrato + 2 anos
Seguridad y prevencion del fraude	Art. 6.1.f - Interes legitimo	5 anos
Mejora del servicio	Art. 6.1.f - Interes legitimo	2 anos (datos agregados anonimos)
Marketing directo	Art. 6.1.a - Consentimiento	Hasta la revocacion del consentimiento
Defensa de derechos en juicio	Art. 6.1.f - Interes legitimo	10 anos

4.2 Para los huespedes (por instruccion del Gestor)

Finalidad	Base juridica	Conservacion
Registro de huespedes y comunicacion a la Questura	Art. 6.1.c - Obligacion legal (ley italiana TULPS, art. 109, D.Lgs. 159/2011)	Minimo 2 anos
Comunicaciones ISTAT	Art. 6.1.c - Obligacion legal	Segun normativa ISTAT
Tasa de pernoctacion (Paytourist)	Art. 6.1.c - Obligacion legal	Segun normativa municipal
Gestion de reserva y estancia	Art. 6.1.b - Ejecucion del contrato	10 anos (finalidades fiscales)
Check-in online y comunicaciones	Art. 6.1.b - Ejecucion del contrato	Duracion de la estancia + periodo de conservacion del establecimiento

Nota sobre el consentimiento:

Para muchas actividades NO es necesario el consentimiento porque se basan en:

Ejecucion del contrato (es usted quien ha solicitado el servicio)
Obligaciones legales (comunicaciones obligatorias a las autoridades)
Interes legitimo (seguridad, mejora del servicio)

El consentimiento se solicita SOLO para marketing y elaboracion de perfiles.

5. Modalidades del tratamiento

5.1 Principios del tratamiento (Art. 5 RGPD)

Vezpa trata los datos personales de conformidad con los siguientes principios:

Licitud, lealtad, transparencia: tratamos los datos de forma licita y le informamos con claridad
Limitacion de la finalidad: usamos los datos solo para los fines declarados
Minimizacion de datos: recogemos unicamente los datos estrictamente necesarios
Exactitud: mantenemos los datos actualizados y precisos
Limitacion del plazo de conservacion: conservamos los datos solo el tiempo necesario
Integridad y confidencialidad: protegemos los datos con medidas de seguridad adecuadas
Responsabilidad proactiva (accountability): podemos demostrar el cumplimiento del RGPD

5.2 Medios de tratamiento

Los datos se tratan con herramientas:

Informaticas: servidores, bases de datos, aplicaciones web/movil
En papel: solo para documentos necesarios (contratos, facturas)

5.3 Modalidades de acceso

Los datos son accesibles a:

Personal autorizado de Vezpa (con credenciales personales)
Acceso basado en el principio "need to know" (privilegio minimo)
Registros de acceso trazados y monitorizados

6. Medidas de seguridad (Art. 32 RGPD)

6.1 Medidas tecnicas

Cifrado en transito: HTTPS/TLS 1.2+ para todas las conexiones, HSTS

Cifrado en reposo: datos sensibles especificos cifrados mediante django-cryptography; volumenes gestionados y snapshots cifrados a nivel de infraestructura (DigitalOcean)

Hashing de contrasenas: PBKDF2 (por defecto en Django) con salt aleatorio

Tokens: JWT access token TTL 15 minutos, refresh con rotacion y lista negra, TTL 180 dias

2FA TOTP disponible en las cuentas (django-otp)

Bot blocker y rate limiting: middleware dedicado que bloquea escaneres y rutas de ataque conocidas

Copias de seguridad: snapshots de la base de datos gestionados por el proveedor de infraestructura, ubicacion UE

Control de acceso basado en roles (RBAC): director, asistente, gobernanta, observador

Registro de aplicacion: trazabilidad de accesos, acciones criticas y anomalias

Actualizacion de dependencias: monitorizacion de vulnerabilidades en paquetes Python y Flutter

6.2 Medidas organizativas

Accesos administrativos limitados al Responsable (Vezpa es actualmente una empresa individual sin empleados); los eventuales colaboradores externos son designados por escrito como Encargados o Personas autorizadas

Procedimiento de respuesta a incidentes documentado (§9 infra)

Privacy by Design and by Default integrada en las fases de desarrollo

Registro de actividades de tratamiento (art. 30 RGPD) mantenido y actualizado

DPA suscrito con todos los subencargados principales

Lista de subencargados publica y actualizada en vezpa.it/subprocessors

6.3 Estandares de referencia

Servidor UE: infraestructura principal DigitalOcean region Francfort (FRA1)
PCI-DSS: pagos gestionados a traves de Stripe, certificado PCI-DSS Level 1 (Vezpa no almacena datos de tarjeta)
Subproveedores certificados: cuando sea aplicable (ISO 27001, SOC 2, DPF) - vease pagina de subencargados

7. Destinatarios de los datos (Art. 13.1.e RGPD)

7.1 Categorias de destinatarios

Los datos pueden comunicarse a las siguientes categorias de destinatarios. La lista nominativa y siempre actualizada se publica en vezpa.it/subprocessors.

Categoria	Destinatarios	Rol	Finalidad
Autoridades publicas IT	AlloggiatiWeb (Questura), ISTAT, Municipios (PayTourist), Agenzia Entrate	Responsables autonomos	Obligacion legal
Autoridades publicas UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Responsables autonomos	Obligacion legal del Responsable (establecimiento)
Hosting / Storage / CDN	DigitalOcean LLC (servidor Francfort, Spaces, Redis)	Encargado	Infraestructura IT
Pagos	Stripe Payments Europe Ltd / Stripe Inc.	Encargado	Procesamiento de pagos
Email	IONOS SE (DE)	Encargado	Envio de emails transaccionales y PEC
Notificaciones push movil	Google LLC (Firebase Cloud Messaging)	Encargado	Envio de notificaciones push a dispositivos moviles
Channel Manager OTA	STAAH Limited (Nueva Zelanda)	Encargado	Sincronizacion de reservas con OTA
Compras dentro de la app - Apple	Apple Distribution International Ltd (IE) / Apple Inc. (EE.UU.)	Responsable autonomo (store)	Gestion de suscripciones App Store. Apple no se adhiere al DPF: las transferencias a EE.UU. se rigen por SCC 2021/914
Compras dentro de la app - Google / Microsoft	Google Ireland Ltd / Google LLC (EE.UU., DPF), Microsoft Ireland / Microsoft Corp. (EE.UU., DPF)	Responsables autonomos (stores)	Gestion de suscripciones Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda y aproximadamente 55 otros canales	Responsables autonomos	Gestion de reservas hacia el viajero
Cerraduras inteligentes (opcional)	Tuya Smart (CN)	Encargado	Gestion de accesos domoticos, solo si es activada por el establecimiento
Profesionales	Asesores fiscales, abogados, consultores IT	Encargados / Responsables autonomos	Consultoria especializada, solo cuando sea necesaria

7.2 Lista de Subencargados del tratamiento (art. 28.4 RGPD)

La lista actualizada se publica y esta siempre disponible en vezpa.it/subprocessors. Cualquier variacion (nuevos subencargados, sustituciones) se comunica a los Responsables (establecimientos) con un preaviso de al menos 30 dias para permitir la oposicion (art. 28.2 RGPD).

7.3 Transferencias extra-UE

Base juridica de las transferencias (Capitulo V RGPD):

EE.UU. - EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - certificaciones activas en el DPF (verificacion en dataprivacyframework.gov/list)
EE.UU. - Clausulas Contractuales Tipo (SCC 2021/914): Apple Inc. no se adhiere al DPF; la relacion contractual para los usuarios UE es con Apple Distribution International Ltd (Irlanda) y las eventuales transferencias internas del grupo Apple hacia EE.UU. se rigen por SCC y mecanismos de adecuacion internos
Nueva Zelanda - Decision de adecuacion (Decision 2013/65/UE): STAAH Limited
China (opcional): Tuya Smart - Clausulas Contractuales Tipo (SCC) 2021/914 + medidas suplementarias (minimizacion y seudonimizacion). Transferencia efectuada solo para los establecimientos que activan las cerraduras inteligentes.

Para cada subencargado extra-UE se documenta el mecanismo de transferencia aplicable. Las SCC y los eventuales Transfer Impact Assessment estan disponibles para el Responsable a peticion.

8. Derechos del interesado (Arts. 15-22 RGPD)

8.1 Derechos ejercitables

Derecho	Art. RGPD	Descripcion
Acceso	Art. 15	Obtener confirmacion de la existencia de sus datos y recibir copia
Rectificacion	Art. 16	Corregir datos inexactos o completarlos
Supresion ("derecho al olvido")	Art. 17	Obtener la supresion de los datos (con excepciones por obligaciones legales)
Limitacion	Art. 18	Limitar el tratamiento en determinadas condiciones
Portabilidad	Art. 20	Recibir los datos en formato estructurado (CSV, JSON) y transferirlos a otro responsable
Oposicion	Art. 21	Oponerse al tratamiento basado en interes legitimo
Revocacion del consentimiento	Art. 7.3	Revocar el consentimiento al marketing en cualquier momento
Reclamacion	Art. 77	Presentar reclamacion ante la autoridad de proteccion de datos
No elaboracion de perfiles automatizada	Art. 22	No ser objeto de decisiones basadas unicamente en el tratamiento automatizado

8.2 Como ejercer los derechos

Puede ejercer sus derechos a traves de:

Email: [email protected]
PEC: [email protected]
Correo certificado con acuse de recibo: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
Area privada: Seccion "Privacidad y Datos" en el dashboard (para algunos derechos)

8.3 Plazos de respuesta

Vezpa responde a las solicitudes en un plazo de 30 dias desde la recepcion (prorrogables por 60 dias adicionales en casos complejos, con comunicacion motivada).

8.4 Limitaciones a los derechos

Algunos derechos (supresion, limitacion) podrian no ser ejercitables cuando:

Existen obligaciones legales que nos imponen conservar los datos
Los datos son necesarios para defender derechos en juicio
Prevalece un interes publico

9. Data breach y notificaciones (Arts. 33-34 RGPD)

9.1 Procedimiento en caso de violacion de datos

En caso de data breach (violacion de datos personales), Vezpa:

Evalua el incidente en un plazo de 24 horas desde el descubrimiento
Notifica a la autoridad de control en un plazo de 72 horas (si existe riesgo para los derechos de los interesados)
Comunica a los interesados sin demora injustificada (si existe alto riesgo)
Documenta el incidente en el registro de violaciones
Adopta medidas correctivas para prevenir futuras violaciones

9.2 Transparencia

En caso de data breach que le afecte, recibira una comunicacion que contenga:

Naturaleza de la violacion
Datos afectados
Posibles consecuencias
Medidas adoptadas y recomendadas
Contactos de la Oficina de Privacidad

10. Evaluacion de Impacto sobre la Proteccion de Datos (EIPD/DPIA)

Vezpa ha iniciado la Evaluacion de Impacto sobre la Proteccion de Datos (DPIA) en virtud del art. 35 RGPD, en consideracion del tratamiento sistematico de documentos de identidad de interesados de varios Estados UE y de las transferencias hacia subencargados extra-UE.

Ambito de la DPIA:

Tratamiento de datos personales y documentos de identidad de huespedes a traves de varios conectores gubernamentales
Flujos hacia channel manager OTA y transferencias extra-UE
OCR automatico sobre imagenes de documentos
Integracion con servicios de autenticacion biometrica a nivel de dispositivo

La DPIA y las eventuales medidas de mitigacion adicionales se actualizan periodicamente. En caso de riesgo residual elevado, Vezpa procedera a la consulta previa a la autoridad de control en virtud del art. 36 RGPD. El Responsable (establecimiento) puede solicitar un resumen de la DPIA escribiendo a [email protected].

11. Encargado del tratamiento (Art. 28 RGPD)

11.1 Acuerdos con los clientes (para datos de huespedes)

Cuando el gestor del establecimiento utiliza Vezpa para tratar datos de los huespedes:

El gestor es el Responsable del tratamiento
Vezpa es el Encargado del tratamiento
Se celebra un Contrato de encargo del tratamiento (DPA) en virtud del art. 28 RGPD

11.2 Contenido del DPA

El Contrato de encargo del tratamiento contiene, en virtud del art. 28.3 RGPD:

Objeto y duracion del tratamiento
Naturaleza y finalidad del tratamiento
Tipo de datos personales y categorias de interesados
Obligaciones y derechos del Responsable
Instrucciones documentadas sobre el tratamiento
Medidas de seguridad aplicadas
Subencargados autorizados con preaviso de sustitucion
Asistencia al Responsable para derechos de los interesados, DPIA y data breach
Obligaciones de supresion o devolucion al final

El DPA forma parte integrante de los Terminos del Servicio y se acepta en el momento del registro del establecimiento.

12. Privacy by Design y by Default (Art. 25 RGPD)

12.1 Privacy by Design

Vezpa integra la proteccion de datos desde el diseno:

Cifrado nativo en todas las comunicaciones
Seudonimizacion cuando sea posible
Minimizacion de los datos recogidos
Controles de acceso granulares
Audit trail completo de todas las operaciones

12.2 Privacy by Default

Los ajustes predeterminados maximizan la privacidad:

Solo los datos estrictamente necesarios son obligatorios
Conservacion automatica durante el periodo minimo legal
Marketing opt-in (no opt-out)
Visibilidad de los datos limitada al minimo necesario

13. Registro de actividades de tratamiento (Art. 30 RGPD)

Vezpa mantiene un registro completo de todas las actividades de tratamiento, que contiene:

Nombre y datos de contacto del responsable y DPD
Finalidad del tratamiento
Descripcion de las categorias de interesados y datos
Categorias de destinatarios
Transferencias a paises terceros
Plazos de conservacion previstos
Descripcion de las medidas de seguridad

El registro esta disponible a peticion de la autoridad de control.

14. Modificaciones a la informacion

Esta informacion puede modificarse por:

Evoluciones normativas
Nuevas funcionalidades del servicio
Cambios organizativos

Las modificaciones sustanciales seran comunicadas por email con al menos 30 dias de preaviso.

La fecha de la ultima actualizacion se indica siempre al inicio del documento.