Informare GDPR - Vezpa PMS

1. Introducere si domeniu de aplicare

Prezenta informare descrie modul in care Vezpa di Paolo Vezzola (denumita in continuare "Vezpa" sau "Noi") prelucreaza datele cu caracter personal in conformitate cu:

Regulamentul UE 2016/679 (GDPR)
Decretul Legislativ italian 196/2003 (Codul italian al confidentialitatii) modificat de D.Lgs. 101/2018
Deciziile si Liniile directoare ale autoritatii italiene de protectia datelor (Garante)

1.1 Cui se aplica

Aceasta informare se aplica pentru:

Administratori de structuri de cazare care utilizeaza Vezpa (clienti directi)
Oaspeti care stau in structuri care folosesc Vezpa
Parteneri comerciali si furnizori
Vizitatori ai site-ului web vezpa.it

1.2 Dublul rol al Vezpa

Vezpa opereaza cu doua roluri distincte:

OPERATOR Pentru datele administratorilor structurilor (clienti)
IMPUTERNICIT Pentru datele oaspetilor (prelucram datele pe baza instructiunilor administratorului structurii)

2. Identitatea si datele de contact ale Operatorului

Operatorul de date:

Vezpa di Paolo Vezzola
Sediu social: Desenzano del Garda (BS), 25015, via San Zeno 67
Partida IVA: 04449070988
Cod fiscal: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Categorii de date cu caracter personal prelucrate

3.1 Datele administratorilor (clienti)

Categorie	Tip de date	Obligativitate
Date de identificare	Nume, prenume, data nasterii, cod fiscal	Obligatorii
Date de contact	Email, telefon, adresa	Obligatorii
Date comerciale	Denumire sociala, P.IVA, date structura	Obligatorii
Date de plata	IBAN, card de credit (prin Stripe)	Obligatorii pentru abonament
Date de utilizare	Log-uri accese, IP, activitate pe platforma	Automate
Date comunicari	Email, chat suport, ticket	Voluntare

3.2 Datele oaspetilor (in calitate de Imputernicit al operatorului)

Categorie	Tip de date	Temei juridic (al Operatorului)
Date de identificare	Nume, prenume, data si locul nasterii, cetatenie, gen	Obligatie legala (legea italiana TULPS, art. 109 si reglementari echivalente UE)
Document de identitate	Tip, numar, data eliberarii, autoritate, imagine scanata sau fotografica	Obligatie legala
Extragere OCR	Date textuale extrase automat din document (nume, data, numar)	Executarea contractului (art. 6.1.b) - doar pentru a facilita introducerea datelor
Date contact	Email, telefon, adresa	Executarea contractului
Date rezervare	Date sedere, numar oaspeti, camera, tarife, regim	Executarea contractului
Date plata	Tranzactii, chitante (date card gestionate de Stripe, nememorate pe Vezpa)	Executarea contractului + obligatie fiscala

Date speciale (Art. 9 GDPR):

Documentele de identitate colectate pot contine elemente calificabile drept "speciale" conform art. 9 GDPR, tipic:

Locul nasterii (din care se poate deduce originea etnica)
Imaginea fotografica a fetei (neutilizata pentru recunoastere biometrica automatizata)

Legalitatea prelucrarii: art. 9.2.b (indeplinirea obligatiilor in materie de drept al muncii, securitate si protectie sociala), 9.2.g (motive de interes public important - inregistrari de siguranta publica) si 9.2.f (constatarea de drepturi). Scopuri limitate la obligatiile impuse de lege fata de autoritatile publice.

Masuri suplimentare: acces limitat doar rolurilor autorizate (director, asistent), nicio profilare pe aceste date, nicio comunicare catre terti in afara autoritatilor publice destinatare.

Vezpa nu colecteaza in mod deliberat alte date speciale (opinii politice/religioase, date de sanatate, date genetice, orientare sexuala). Daca astfel de date sunt introduse din greseala de utilizator, trebuie indepartate imediat.

4. Scopul si temeiul juridic al prelucrarii

4.1 Pentru administratori (clienti)

Scop	Temei juridic (Art. 6 GDPR)	Pastrare
Furnizarea serviciului PMS	Art. 6.1.b - Executarea contractului	Durata contract + 10 ani
Facturare si contabilitate	Art. 6.1.c - Obligatie legala	10 ani (obligatie fiscala)
Asistenta clienti	Art. 6.1.b - Executarea contractului	Durata contract + 2 ani
Securitate si prevenirea fraudelor	Art. 6.1.f - Interes legitim	5 ani
Imbunatatirea serviciului	Art. 6.1.f - Interes legitim	2 ani (date agregate anonime)
Marketing direct	Art. 6.1.a - Consimtamant	Pana la revocarea consimtamantului
Aparare drepturi in instanta	Art. 6.1.f - Interes legitim	10 ani

4.2 Pentru oaspeti (pe baza instructiunilor Administratorului)

Scop	Temei juridic	Pastrare
Inregistrarea oaspetilor si comunicare la Politie	Art. 6.1.c - Obligatie legala (legea italiana TULPS, art. 109, D.Lgs. 159/2011)	Minim 2 ani
Comunicari ISTAT	Art. 6.1.c - Obligatie legala	Conform reglementarii ISTAT
Taxa de sedere (Paytourist)	Art. 6.1.c - Obligatie legala	Conform reglementarii comunale
Gestionare rezervare si sedere	Art. 6.1.b - Executarea contractului	10 ani (scopuri fiscale)
Check-in online si comunicari	Art. 6.1.b - Executarea contractului	Durata sederii + perioada pastrare structura

Nota privind consimtamantul:

Pentru multe activitati NU este necesar consimtamantul deoarece se bazeaza pe:

Executarea contractului (dumneavoastra ati solicitat serviciul)
Obligatii legale (comunicari obligatorii catre autoritati)
Interes legitim (securitate, imbunatatirea serviciului)

Consimtamantul este solicitat DOAR pentru marketing si profilare.

5. Modalitatile prelucrarii

5.1 Principiile prelucrarii (Art. 5 GDPR)

Vezpa prelucreaza datele cu caracter personal cu respectarea urmatoarelor principii:

Legalitate, corectitudine, transparenta: prelucram datele in mod legal si va informam clar
Limitarea scopului: utilizam datele doar pentru scopurile declarate
Minimizarea datelor: colectam doar datele strict necesare
Exactitate: mentinem datele actualizate si exacte
Limitarea pastrarii: pastram datele doar pentru timpul necesar
Integritate si confidentialitate: protejam datele cu masuri de securitate adecvate
Responsabilizare (accountability): putem demonstra conformitatea cu GDPR

5.2 Mijloace de prelucrare

Datele sunt prelucrate cu instrumente:

Informatice: servere, baze de date, aplicatii web/mobile
Pe hartie: doar pentru documente necesare (contracte, facturi)

5.3 Modalitati de acces

Datele sunt accesibile:

Personalului autorizat Vezpa (cu credentiale personale)
Acces bazat pe principiul "need to know" (privilegiu minim)
Log-uri de acces urmarite si monitorizate

6. Masuri de securitate (Art. 32 GDPR)

6.1 Masuri tehnice

Criptare in tranzit: HTTPS/TLS 1.2+ pentru toate conexiunile, HSTS

Cifrare at-rest: date sensibile specifice cifrate prin django-cryptography; volume gestionate si snapshot-uri cifrate la nivel de infrastructura (DigitalOcean)

Hashing parole: PBKDF2 (default Django) cu salt aleatoriu

Token: JWT access token TTL 15 minute, refresh cu rotatie si blacklist, TTL 180 zile

2FA TOTP disponibil pe cont (django-otp)

Bot blocker si rate limiting: middleware dedicat care blocheaza scanner si path-uri de atac cunoscute

Backup: snapshot-uri ale bazei de date gestionate de furnizorul de infrastructura, localizate in UE

Controlul accesului bazat pe roluri (RBAC): director, asistent, camerista, observator

Logging aplicativ: urmarirea acceselor, actiunilor critice si anomaliilor

Actualizare dependente: monitorizarea vulnerabilitatilor pe pachete Python si Flutter

6.2 Masuri organizatorice

Accese administrative limitate la Operator (Vezpa este in prezent o intreprindere individuala fara angajati); eventualii colaboratori externi sunt desemnati in scris ca Imputerniciti sau Persoane autorizate

Procedura incident response documentata (§9 infra)

Privacy by Design and by Default integrata in fazele de dezvoltare

Registrul prelucrarilor (art. 30 GDPR) mentinut si actualizat

DPA subscris cu toti subimputernicitii principali

Lista subimputernicitilor publica si actualizata la vezpa.it/subprocessors

6.3 Standarde de referinta

Servere UE: infrastructura primara DigitalOcean regiunea Frankfurt (FRA1)
PCI-DSS: plati gestionate prin Stripe, certificat PCI-DSS Level 1 (Vezpa nu memoreaza date de card)
Sub-furnizori certificati: cand este aplicabil (ISO 27001, SOC 2, DPF) — vezi pagina subimputernicitilor

7. Destinatarii datelor (Art. 13.1.e GDPR)

7.1 Categorii de destinatari

Datele pot fi comunicate urmatoarelor categorii de destinatari. Lista nominala si mereu actualizata este publicata la vezpa.it/subprocessors.

Categorie	Destinatari	Rol	Scop
Autoritati publice IT	AlloggiatiWeb (Politie), ISTAT, Comune (PayTourist), Agentia Veniturilor	Operatori autonomi	Obligatie legala
Autoritati publice UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Operatori autonomi	Obligatia legala a Operatorului (structura)
Hosting / Storage / CDN	DigitalOcean LLC (servere Frankfurt, Spaces, Redis)	Imputernicit	Infrastructura IT
Plati	Stripe Payments Europe Ltd / Stripe Inc.	Imputernicit	Procesare plati
Email	IONOS SE (DE)	Imputernicit	Trimitere email tranzactionale si PEC
Push notifications mobile	Google LLC (Firebase Cloud Messaging)	Imputernicit	Trimitere notificari push catre dispozitive mobile
Channel Manager OTA	STAAH Limited (Noua Zeelanda)	Imputernicit	Sincronizare rezervari cu OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (SUA)	Operator autonom (store)	Gestionare abonamente App Store. Apple nu adera la DPF: transferurile catre SUA sunt guvernate de SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (SUA, DPF), Microsoft Ireland / Microsoft Corp. (SUA, DPF)	Operatori autonomi (store)	Gestionare abonamente Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda si aproximativ 55 de alte canale	Operatori autonomi	Gestionare rezervari catre calator
Broaste smart (optional)	Tuya Smart (CN)	Imputernicit	Gestionare accese domotice, numai daca este activata de structura
Profesionisti	Contabili, avocati, consultanti IT	Imputerniciti / Operatori autonomi	Consultanta specializata, numai acolo unde este necesar

7.2 Lista subimputernicitilor (art. 28.4 GDPR)

Lista actualizata este publicata si mereu consultabila la vezpa.it/subprocessors. Eventualele variatii (noi subimputerniciti, substituiri) sunt comunicate Operatorilor (structurilor) cu preaviz de cel putin 30 de zile pentru a permite opozitia (art. 28.2 GDPR).

7.3 Transferuri in afara UE

Temeiul juridic al transferurilor (Capitolul V GDPR):

SUA — EU-U.S. Data Privacy Framework (Decizia (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — certificari active la DPF (verificare pe dataprivacyframework.gov/list)
SUA — Clauze Contractuale Standard (SCC) 2021/914: Apple Inc. nu adera la DPF; raportul contractual pentru utilizatorii UE este cu Apple Distribution International Ltd (Irlanda), iar eventualele transferuri interne grupului Apple catre SUA sunt guvernate de SCC si mecanisme de adecvare interne
Noua Zeelanda — Decizie de adecvare (Decizia 2013/65/UE): STAAH Limited
China (optional): Tuya Smart — Clauze Contractuale Standard (SCC) 2021/914 + masuri suplimentare (minimizare si pseudonimizare). Transfer efectuat numai pentru structurile care activeaza broastele smart.

Pentru fiecare subimputernicit in afara UE este documentat mecanismul de transfer aplicabil. SCC si eventualele Transfer Impact Assessment sunt disponibile Operatorului la cerere.

8. Drepturile persoanei vizate (Art. 15-22 GDPR)

8.1 Drepturi ce pot fi exercitate

Drept	Art. GDPR	Descriere
Acces	Art. 15	Obtinerea confirmarii existentei datelor dumneavoastra si primirea unei copii
Rectificare	Art. 16	Corectarea datelor inexacte sau completarea lor
Stergere ("uitare")	Art. 17	Obtinerea stergerii datelor (cu exceptii pentru obligatii legale)
Restrictionare	Art. 18	Restrictionarea prelucrarii in anumite conditii
Portabilitate	Art. 20	Primirea datelor in format structurat (CSV, JSON) si transferul lor catre alt operator
Opozitie	Art. 21	Opozitia la prelucrarea bazata pe interes legitim
Revocarea consimtamantului	Art. 7.3	Revocarea consimtamantului pentru marketing in orice moment
Plangere	Art. 77	Depunerea unei plangeri la autoritatea de supraveghere
Nesupunere profilarii automatizate	Art. 22	A nu fi supus unor decizii bazate exclusiv pe prelucrare automatizata

8.2 Cum va exercitati drepturile

Va puteti exercita drepturile prin:

Email: [email protected]
PEC: [email protected]
Scrisoare recomandata cu confirmare de primire: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
Zona rezervata: Sectiunea "Confidentialitate si date" din dashboard (pentru unele drepturi)

8.3 Timpi de raspuns

Vezpa raspunde la cereri in termen de 30 de zile de la primire (prorogabili cu inca 60 de zile in cazuri complexe, cu comunicare motivata).

8.4 Limitari ale drepturilor

Unele drepturi (stergere, restrictionare) ar putea sa nu fie exercitabile cand:

Exista obligatii legale care ne impun sa pastram datele
Datele sunt necesare pentru apararea drepturilor in instanta
Prevaleaza un interes public

9. Data breach si notificari (Art. 33-34 GDPR)

9.1 Procedura in caz de incalcare a datelor

In caz de data breach (incalcarea datelor cu caracter personal), Vezpa:

Evalueaza incidentul in 24 de ore de la descoperire
Notifica autoritatea (Garante) in 72 de ore (daca exista risc pentru drepturile persoanelor vizate)
Comunica persoanelor vizate fara intarziere nejustificata (daca exista risc ridicat)
Documenteaza incidentul in registrul incalcarilor
Adopta masuri corective pentru a preveni viitoare incalcari

9.2 Transparenta

In caz de data breach care va priveste, veti primi o comunicare care contine:

Natura incalcarii
Date implicate
Consecinte posibile
Masuri adoptate si recomandate
Contactele Biroului de confidentialitate

10. Data Protection Impact Assessment (DPIA)

Vezpa a demarat Evaluarea de impact asupra protectiei datelor (DPIA) conform art. 35 GDPR, avand in vedere prelucrarea sistematica a documentelor de identitate ale persoanelor vizate din mai multe state UE si transferurile catre subimputerniciti in afara UE.

Domeniul DPIA:

Prelucrarea datelor de identificare si a documentelor de identitate ale oaspetilor prin multipli conectori guvernamentali
Fluxuri catre channel manager OTA si transferuri in afara UE
OCR automat pe imagini ale documentelor
Integrare cu servicii de autentificare biometrica la nivel de dispozitiv

DPIA si eventualele masuri de atenuare suplimentare sunt actualizate periodic. In caz de risc rezidual ridicat, Vezpa va proceda la consultarea preventiva cu autoritatea (Garante) conform art. 36 GDPR. Operatorul (structura) poate solicita un rezumat al DPIA scriind la [email protected].

11. Imputernicit al operatorului (Art. 28 GDPR)

11.1 Acorduri cu clientii (pentru datele oaspetilor)

Cand administratorul structurii utilizeaza Vezpa pentru a prelucra datele oaspetilor:

Administratorul este Operatorul de date
Vezpa este Imputernicitul operatorului
Se incheie un Acord de prelucrare a datelor (DPA) conform art. 28 GDPR

11.2 Continutul DPA

Acordul de prelucrare a datelor contine, conform art. 28.3 GDPR:

Obiect si durata prelucrarii
Natura si scopul prelucrarii
Tip de date cu caracter personal si categorii de persoane vizate
Obligatii si drepturi ale Operatorului
Instructiuni documentate privind prelucrarea
Masuri de securitate implementate
Subimputerniciti autorizati cu preaviz de substituire
Asistenta Operatorului pentru drepturile persoanelor vizate, DPIA si data breach
Obligatii de stergere sau restituire la incheiere

DPA este parte integranta a Termenilor si conditiilor si este acceptat la inregistrarea structurii.

12. Privacy by Design si by Default (Art. 25 GDPR)

12.1 Privacy by Design

Vezpa integreaza protectia datelor inca din faza de proiectare:

Criptare nativa in toate comunicarile
Pseudonimizare acolo unde este posibil
Minimizarea datelor colectate
Controale de acces granulare
Audit trail complet al tuturor operatiunilor

12.2 Privacy by Default

Setarile implicite maximizeaza confidentialitatea:

Doar datele strict necesare sunt obligatorii
Pastrare automata pentru perioada minima legala
Marketing opt-in (nu opt-out)
Vizibilitatea datelor limitata la minimul necesar

13. Registrul activitatilor de prelucrare (Art. 30 GDPR)

Vezpa mentine un registru complet al tuturor activitatilor de prelucrare, care contine:

Numele si datele de contact ale operatorului si DPO
Scopul prelucrarii
Descrierea categoriilor de persoane vizate si date
Categorii de destinatari
Transferuri catre tari terte
Termene de pastrare prevazute
Descrierea masurilor de securitate

Registrul este disponibil la cererea autoritatii (Garante).

14. Modificari ale informarii

Aceasta informare poate fi modificata pentru:

Evolutii reglementare
Noi functionalitati ale serviciului
Schimbari organizatorice

Modificarile substantiale vor fi comunicate prin email cu cel putin 30 de zile preaviz.

Data ultimei actualizari este intotdeauna indicata in partea de sus a documentului.