Informacao RGPD - Vezpa PMS

1. Introducao e Ambito de Aplicacao

A presente informacao descreve como Vezpa di Paolo Vezzola (adiante "Vezpa" ou "Nos") trata os dados pessoais em conformidade com:

Regulamento UE 2016/679 (RGPD)
Decreto Legislativo italiano 196/2003 (Codigo da Privacidade italiano) conforme alterado pelo D.Lgs. 101/2018
Provimentos e Orientacoes da autoridade italiana de protecao de dados (Garante)

1.1 A Quem se Aplica

Esta informacao aplica-se a:

👤 Gestores de unidades de alojamento que utilizam a Vezpa (clientes diretos)
🏨 Hospedes que se hospedam em unidades que usam a Vezpa
👔 Parceiros comerciais e fornecedores
🌐 Visitantes do sitio na internet vezpa.it

1.2 Duplo Papel da Vezpa

A Vezpa opera em dois papeis distintos:

RESPONSAVEL Para os dados dos gestores das unidades (clientes)
SUBCONTRATANTE Para os dados dos hospedes (tratamos dados com base em instrucoes do gestor da unidade)

2. Identidade e Dados de Contacto do Responsavel

Responsavel pelo Tratamento:

Vezpa di Paolo Vezzola
Sede: Desenzano del Garda (BS), 25015, via San Zeno 67
NIF (P.IVA): 04449070988
Codice Fiscale: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Categorias de Dados Pessoais Tratados

3.1 Dados dos Gestores (Clientes)

Categoria	Tipo de Dados	Obrigatoriedade
Dados identificativos	Nome, apelido, data de nascimento, numero fiscal	✅ Obrigatorios
Dados de contacto	Email, telefone, morada	✅ Obrigatorios
Dados empresariais	Razao social, NIF, dados da unidade	✅ Obrigatorios
Dados de pagamento	IBAN, cartao de credito (atraves da Stripe)	✅ Obrigatorios para subscricao
Dados de utilizacao	Registos de acesso, IP, atividade na plataforma	⚙️ Automaticos
Dados de comunicacoes	Email, chat de suporte, ticket	📝 Voluntarios

3.2 Dados dos Hospedes (como Subcontratante)

Categoria	Tipo de Dados	Fundamento Juridico (do Responsavel)
Dados identificativos	Nome, apelido, data e local de nascimento, nacionalidade, genero	Obrigacao legal (lei italiana TULPS, art. 109 e legislacao UE equivalente)
Documento de identificacao	Tipo, numero, data de emissao, entidade, imagem digitalizada ou fotografica	Obrigacao legal
Extracao OCR	Dados textuais extraidos automaticamente do documento (nome, data, numero)	Execucao do contrato (art. 6.o, n.o 1, al. b)) - apenas para facilitar a insercao de dados
Dados de contacto	Email, telefone, morada	Execucao do contrato
Dados de reserva	Datas de estadia, numero de hospedes, quarto, tarifas, regime	Execucao do contrato
Dados de pagamento	Transacoes, recibos (dados de cartao geridos pela Stripe, nao armazenados na Vezpa)	Execucao do contrato + obrigacao fiscal

⚠️ Dados Especiais (Art. 9.o RGPD):

Os documentos de identificacao recolhidos podem conter elementos qualificaveis como "especiais" nos termos do art. 9.o RGPD, tipicamente:

Local de nascimento (do qual se pode inferir origem etnica)
Imagem fotografica do rosto (nao utilizada para reconhecimento biometrico automatizado)

Licitude do tratamento: art. 9.o, n.o 2, al. b) (cumprimento de obrigacoes em materia de direito do trabalho, seguranca e protecao social), al. g) (motivos de interesse publico importante - registos de seguranca publica) e al. f) (declaracao, exercicio ou defesa de direitos). Finalidades limitadas ao cumprimento de obrigacoes impostas pela lei perante as autoridades publicas.

Medidas adicionais: acesso limitado apenas aos papeis autorizados (diretor, assistente), nenhuma definicao de perfis sobre esses dados, nenhuma comunicacao a terceiros fora das autoridades publicas destinatarias.

A Vezpa nao recolhe deliberadamente outros dados especiais (opinioes politicas/religiosas, dados de saude, dados geneticos, orientacao sexual). Caso tais dados sejam inseridos por engano pelo utilizador, devem ser imediatamente removidos.

4. Finalidades e Fundamento Juridico do Tratamento

4.1 Para os Gestores (Clientes)

Finalidade	Fundamento Juridico (Art. 6.o RGPD)	Conservacao
Prestacao do servico PMS	Art. 6.o, n.o 1, al. b) - Execucao do contrato	Duracao do contrato + 10 anos
Faturacao e contabilidade	Art. 6.o, n.o 1, al. c) - Obrigacao legal	10 anos (obrigacao fiscal)
Assistencia a clientes	Art. 6.o, n.o 1, al. b) - Execucao do contrato	Duracao do contrato + 2 anos
Seguranca e prevencao de fraudes	Art. 6.o, n.o 1, al. f) - Interesse legitimo	5 anos
Melhoria do servico	Art. 6.o, n.o 1, al. f) - Interesse legitimo	2 anos (dados agregados anonimos)
Marketing direto	Art. 6.o, n.o 1, al. a) - Consentimento	Ate revogacao do consentimento
Defesa de direitos em juizo	Art. 6.o, n.o 1, al. f) - Interesse legitimo	10 anos

4.2 Para os Hospedes (com base em instrucoes do Gestor)

Finalidade	Fundamento Juridico	Conservacao
Registo de hospedes e comunicacao a Policia	Art. 6.o, n.o 1, al. c) - Obrigacao legal (lei italiana TULPS, art. 109, D.Lgs. 159/2011)	Minimo 2 anos
Comunicacoes ISTAT	Art. 6.o, n.o 1, al. c) - Obrigacao legal	Segundo a legislacao ISTAT
Taxa municipal turistica (Paytourist)	Art. 6.o, n.o 1, al. c) - Obrigacao legal	Segundo a legislacao municipal
Gestao da reserva e estadia	Art. 6.o, n.o 1, al. b) - Execucao do contrato	10 anos (fins fiscais)
Check-in online e comunicacoes	Art. 6.o, n.o 1, al. b) - Execucao do contrato	Duracao da estadia + periodo de conservacao da unidade

📌 Nota sobre o Consentimento:

Para muitas atividades NAO e necessario o consentimento porque se baseiam em:

✅ Execucao do contrato (foi voce que solicitou o servico)
✅ Obrigacoes legais (comunicacoes obrigatorias as autoridades)
✅ Interesse legitimo (seguranca, melhoria do servico)

O consentimento e exigido APENAS para marketing e definicao de perfis.

5. Modalidades do Tratamento

5.1 Principios do Tratamento (Art. 5.o RGPD)

A Vezpa trata os dados pessoais no respeito dos seguintes principios:

✅ Licitude, lealdade, transparencia: tratamos os dados de forma licita e informamos com clareza
✅ Limitacao da finalidade: usamos os dados apenas para os fins declarados
✅ Minimizacao dos dados: recolhemos apenas os dados estritamente necessarios
✅ Exatidao: mantemos os dados atualizados e exatos
✅ Limitacao da conservacao: conservamos os dados apenas pelo tempo necessario
✅ Integridade e confidencialidade: protegemos os dados com medidas de seguranca adequadas
✅ Responsabilizacao (accountability): podemos demonstrar a conformidade com o RGPD

5.2 Meios de Tratamento

Os dados sao tratados com instrumentos:

💻 Informaticos: servidores, bases de dados, aplicacoes web/movel
📄 Em papel: apenas para documentos necessarios (contratos, faturas)

5.3 Modalidades de Acesso

Os dados sao acessiveis a:

👥 Pessoal autorizado da Vezpa (com credenciais pessoais)
🔐 Acesso baseado no principio do "need to know" (privilegio minimo)
📝 Registos de acesso monitorizados e rastreados

6. Medidas de Seguranca (Art. 32.o RGPD)

6.1 Medidas Tecnicas

✅ Encriptacao em transito: HTTPS/TLS 1.2+ para todas as ligacoes, HSTS

✅ Cifragem at-rest: dados sensiveis especificos cifrados atraves de django-cryptography; volumes geridos e snapshots cifrados ao nivel da infraestrutura (DigitalOcean)

✅ Hashing de palavras-passe: PBKDF2 (predefinicao Django) com salt aleatorio

✅ Tokens: JWT access token TTL 15 minutos, refresh com rotacao e blacklist, TTL 180 dias

✅ 2FA TOTP disponivel na conta (django-otp)

✅ Bot blocker e rate limiting: middleware dedicado que bloqueia scanners e caminhos de ataque conhecidos

✅ Copias de seguranca: snapshots da base de dados geridos pelo prestador de infraestrutura, localizacao UE

✅ Controlo de acessos baseado em papeis (RBAC): diretor, assistente, governanta, observador

✅ Logging aplicacional: rastreamento de acessos, acoes criticas e anomalias

✅ Atualizacao de dependencias: monitorizacao de vulnerabilidades em pacotes Python e Flutter

6.2 Medidas Organizativas

✅ Acessos administrativos limitados ao Responsavel (a Vezpa e atualmente uma empresa em nome individual sem trabalhadores); eventuais colaboradores externos sao designados por escrito como Subcontratantes ou Pessoas autorizadas

✅ Procedimento de resposta a incidentes documentado (§9 infra)

✅ Privacy by Design and by Default integrada nas fases de desenvolvimento

✅ Registo das atividades de tratamento (art. 30.o RGPD) mantido e atualizado

✅ DPA celebrado com todos os subcontratantes ulteriores principais

✅ Lista publica de subcontratantes ulteriores atualizada em vezpa.it/subprocessors

6.3 Normas de referencia

🏆 Servidores UE: infraestrutura principal DigitalOcean regiao Frankfurt (FRA1)
🏆 PCI-DSS: pagamentos geridos atraves da Stripe, certificado PCI-DSS Level 1 (a Vezpa nao armazena dados de cartao)
🏆 Subfornecedores certificados: quando aplicavel (ISO 27001, SOC 2, DPF) - ver pagina subcontratantes ulteriores

7. Destinatarios dos Dados (Art. 13.o, n.o 1, al. e) RGPD)

7.1 Categorias de Destinatarios

Os dados podem ser comunicados as seguintes categorias de destinatarios. A lista nominativa e sempre atualizada esta publicada em vezpa.it/subprocessors.

Categoria	Destinatarios	Papel	Finalidade
Autoridades publicas IT	AlloggiatiWeb (Polizia), ISTAT, Municipios (PayTourist), Agenzia Entrate	Responsaveis autonomos	Obrigacao legal
Autoridades publicas UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Responsaveis autonomos	Obrigacao legal do Responsavel (unidade)
Hosting / Storage / CDN	DigitalOcean LLC (servidores Frankfurt, Spaces, Redis)	Subcontratante ulterior	Infraestrutura TI
Pagamentos	Stripe Payments Europe Ltd / Stripe Inc.	Subcontratante ulterior	Processamento de pagamentos
Email	IONOS SE (DE)	Subcontratante ulterior	Envio de emails transacionais e PEC
Notificacoes push em movel	Google LLC (Firebase Cloud Messaging)	Subcontratante ulterior	Envio de notificacoes push para dispositivos moveis
Channel Manager OTA	STAAH Limited (Nova Zelandia)	Subcontratante ulterior	Sincronizacao de reservas com OTA
Compras in-app - Apple	Apple Distribution International Ltd (IE) / Apple Inc. (EUA)	Responsavel autonomo (store)	Gestao de subscricoes App Store. A Apple nao adere ao DPF: transferencias para os EUA regidas pelas SCC 2021/914
Compras in-app - Google / Microsoft	Google Ireland Ltd / Google LLC (EUA, DPF), Microsoft Ireland / Microsoft Corp. (EUA, DPF)	Responsaveis autonomos (store)	Gestao de subscricoes Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda e cerca de 55 outros canais	Responsaveis autonomos	Gestao de reservas junto do viajante
Fechaduras inteligentes (opcional)	Tuya Smart (CN)	Subcontratante ulterior	Gestao de acessos domoticos, apenas se ativada pela unidade
Profissionais	Contabilistas, advogados, consultores TI	Subcontratantes ulteriores / Responsaveis autonomos	Consultorias especializadas, apenas quando necessarias

7.2 Lista de Subcontratantes Ulteriores (art. 28.o, n.o 4 RGPD)

A lista atualizada esta publicada e sempre consultavel em vezpa.it/subprocessors. Eventuais variacoes (novos subcontratantes ulteriores, substituicoes) sao comunicadas aos Responsaveis (unidades) com aviso previo de pelo menos 30 dias para permitir oposicao (art. 28.o, n.o 2 RGPD).

7.3 Transferencias Fora da UE

Fundamento juridico das transferencias (Capitulo V do RGPD):

EUA - EU-U.S. Data Privacy Framework (Decisao (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - certificacoes ativas no DPF (verificacao em dataprivacyframework.gov/list)
EUA - Clausulas Contratuais Tipo (SCC 2021/914): Apple Inc. nao adere ao DPF; a relacao contratual para os utilizadores UE e com a Apple Distribution International Ltd (Irlanda) e eventuais transferencias internas ao grupo Apple para os EUA sao regidas por SCC e mecanismos de adequacao internos
Nova Zelandia - Decisao de adequacao (Decisao 2013/65/UE): STAAH Limited
China (opcional): Tuya Smart - Clausulas Contratuais-Tipo (CCT) 2021/914 + medidas suplementares (minimizacao e pseudonimizacao). Transferencia efetuada apenas para as unidades que ativam as fechaduras inteligentes.

Para cada subcontratante ulterior fora da UE esta documentado o mecanismo de transferencia aplicavel. As CCT e eventuais Transfer Impact Assessment estao disponiveis ao Responsavel a pedido.

8. Direitos do Titular dos Dados (Arts. 15.o a 22.o RGPD)

8.1 Direitos Exerciveis

Direito	Art. RGPD	Descricao
Acesso	Art. 15.o	Obter confirmacao da existencia dos seus dados e receber copia
Retificacao	Art. 16.o	Corrigir dados inexatos ou completa-los
Apagamento ("esquecimento")	Art. 17.o	Obter o apagamento dos dados (com excecoes para obrigacoes legais)
Limitacao	Art. 18.o	Limitar o tratamento em determinadas condicoes
Portabilidade	Art. 20.o	Receber os dados em formato estruturado (CSV, JSON) e transferi-los a outro responsavel
Oposicao	Art. 21.o	Opor-se ao tratamento baseado em interesse legitimo
Revogacao do consentimento	Art. 7.o, n.o 3	Revogar o consentimento para marketing a qualquer momento
Reclamacao	Art. 77.o	Apresentar reclamacao a autoridade italiana de protecao de dados (Garante)
Nao definicao de perfis automatizada	Art. 22.o	Nao ficar sujeito a decisoes baseadas unicamente em tratamento automatizado

8.2 Como Exercer os Direitos

Pode exercer os seus direitos atraves de:

📧 Email: [email protected]
📧 PEC: [email protected]
📮 Carta registada com A/R: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Area reservada: Seccao "Privacidade e Dados" no painel de controlo (para alguns direitos)

8.3 Prazos de Resposta

A Vezpa responde aos pedidos no prazo de 30 dias a contar da rececao (prorrogaveis por mais 60 dias em casos complexos, com comunicacao fundamentada).

8.4 Limitacoes aos Direitos

Alguns direitos (apagamento, limitacao) poderao nao ser exerciveis quando:

⚖️ Existam obrigacoes legais que nos imponham conservar os dados
⚖️ Os dados sejam necessarios para defender direitos em juizo
⚖️ Prevaleca um interesse publico

9. Data Breach e Notificacoes (Arts. 33.o-34.o RGPD)

9.1 Procedimento em Caso de Violacao de Dados

Em caso de data breach (violacao de dados pessoais), a Vezpa:

📊 Avalia o incidente no prazo de 24 horas a contar da descoberta
📢 Notifica a autoridade italiana de protecao de dados (Garante) no prazo de 72 horas (se houver risco para os direitos dos titulares)
📧 Comunica aos titulares sem atraso injustificado (se houver risco elevado)
📝 Documenta o incidente no registo de violacoes
🔧 Adota medidas corretivas para prevenir futuras violacoes

9.2 Transparencia

Em caso de data breach que lhe diga respeito, recebera uma comunicacao contendo:

Natureza da violacao
Dados envolvidos
Consequencias possiveis
Medidas adotadas e recomendadas
Contactos do Gabinete de Privacidade

10. Avaliacao de Impacto sobre a Protecao de Dados (AIPD / DPIA)

A Vezpa iniciou a Avaliacao de Impacto sobre a Protecao de Dados (AIPD) nos termos do art. 35.o RGPD, em consideracao do tratamento sistematico de documentos de identificacao de titulares de varios Estados-Membros da UE e das transferencias para subcontratantes ulteriores fora da UE.

Ambito da AIPD:

Tratamento de dados identificativos e documentos de identificacao de hospedes atraves de varios conectores governamentais
Fluxos para channel manager OTA e transferencias fora da UE
OCR automatico em imagens de documentos
Integracao com servicos de autenticacao biometrica ao nivel do dispositivo

A AIPD e as eventuais medidas de mitigacao adicionais sao atualizadas periodicamente. Em caso de risco residual elevado, a Vezpa procedera a consulta previa junto da autoridade italiana de protecao de dados (Garante) nos termos do art. 36.o RGPD. O Responsavel (unidade) pode solicitar um resumo da AIPD escrevendo para [email protected].

11. Subcontratante (Art. 28.o RGPD)

11.1 Acordos com os Clientes (para dados dos hospedes)

Quando o gestor da unidade utiliza a Vezpa para tratar dados dos hospedes:

O gestor e o Responsavel pelo tratamento
A Vezpa e o Subcontratante
E celebrado um Acordo de tratamento de dados (DPA) nos termos do art. 28.o RGPD

11.2 Conteudo do DPA

O Acordo de tratamento de dados contem, nos termos do art. 28.o, n.o 3 RGPD:

📋 Objeto e duracao do tratamento
📋 Natureza e finalidade do tratamento
📋 Tipo de dados pessoais e categorias de titulares
📋 Obrigacoes e direitos do Responsavel
📋 Instrucoes documentadas sobre o tratamento
📋 Medidas de seguranca implementadas
📋 Subcontratantes ulteriores autorizados com aviso previo de substituicao
📋 Assistencia ao Responsavel para direitos dos titulares, AIPD e data breach
📋 Obrigacoes de apagamento ou devolucao no termo

O DPA e parte integrante dos Termos de Servico e e aceite no momento do registo da unidade.

12. Privacy by Design e by Default (Art. 25.o RGPD)

12.1 Privacy by Design

A Vezpa integra a protecao dos dados desde a conceo:

🔒 Encriptacao nativa em todas as comunicacoes
🔒 Pseudonimizacao sempre que possivel
🔒 Minimizacao dos dados recolhidos
🔒 Controlos de acesso granulares
🔒 Audit trail completo de todas as operacoes

12.2 Privacy by Default

As definicoes predefinidas maximizam a privacidade:

✅ Apenas os dados estritamente necessarios sao obrigatorios
✅ Conservacao automatica pelo periodo minimo legal
✅ Marketing opt-in (nao opt-out)
✅ Visibilidade dos dados limitada ao minimo necessario

13. Registo das Atividades de Tratamento (Art. 30.o RGPD)

A Vezpa mantem um registo completo de todas as atividades de tratamento, contendo:

Nome e dados de contacto do responsavel e EPD
Finalidades do tratamento
Descricao das categorias de titulares e dados
Categorias de destinatarios
Transferencias para paises terceiros
Prazos de conservacao previstos
Descricao das medidas de seguranca

O registo esta disponivel a pedido da autoridade italiana de protecao de dados (Garante).

14. Alteracoes a Informacao

Esta informacao pode ser alterada por:

Evolucoes regulamentares
Novas funcionalidades do servico
Alteracoes organizativas

As alteracoes substanciais serao comunicadas por email com pelo menos 30 dias de aviso previo.

A data da ultima atualizacao esta sempre indicada no topo do documento.