Aviso de Privacidad

1. Responsable del tratamiento

Vezpa di Paolo Vezzola
Domicilio social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988 · C.F.: VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Ambito de aplicacion

El presente aviso se aplica a la App Vezpa distribuida mediante:

Apple App Store (iOS, macOS) - Bundle ID: it.vezpa.pms
Google Play Store (Android) - flavour googleplay
Microsoft Store (Windows) - MSIX
Sideload directo (APK Android, installer Windows firmado) para uso distribuido directamente por el Responsable

El uso de la app requiere la creacion de una cuenta dedicada al establecimiento de hospedaje. La app esta destinada a usuarios profesionales mayores de 18 anos (operadores de establecimientos de hospedaje y su personal autorizado).

3. Datos recabados por la App

3.1 Datos de los usuarios (Operadores y personal)

Datos de identificacion: nombre, apellidos, email, numero telefonico
Datos del establecimiento de hospedaje
Credenciales (contrasenas hashed del lado del backend, nunca transmitidas en claro)
Identificadores de cuenta (User ID)
Rol asignado (director, asistente, gobernanta, observador)

3.2 Datos de los huespedes (Vezpa actua como Encargado)

Importante: los datos de los huespedes son de titularidad del establecimiento. Vezpa actua como Encargado del tratamiento conforme al art. 28 RGPD, regulado por el Contrato de encargo del tratamiento (DPA).

Datos de identificacion y de contacto
Documentos de identidad escaneados o fotografiados mediante la camara del dispositivo, con extraccion OCR de los datos textuales para facilitar el registro
Datos de estancia y reservacion

3.3 Datos tecnicos y de uso

Identificadores del dispositivo: modelo, sistema operativo, version app
Token de notificaciones push (FCM): identificador unico gestionado por Google Firebase para el envio de notificaciones
Hash SHA-256 del dispositivo fiduciario: generado localmente para permitir acceso biometrico sucesivo, vencimiento 90 dias desde el ultimo uso
Logs aplicativos y de diagnostico: transmitidos en batch al backend mediante RemoteLogger con fines de estabilidad y seguridad; no contienen contenido personal sensible
Direccion IP: recabada por el backend con fines de seguridad

4. Permisos solicitados por la App

Permiso	Finalidad	Obligatorio
Camara	Captura de imagenes de los documentos de identidad de los huespedes para OCR y para envio a las autoridades	Opcional (alternativa: ingreso manual)
Notificaciones push	Recepcion de notificaciones sobre nuevas reservaciones, check-in, solicitudes de huespedes	Opcional (la app funciona sin ellas)
Autenticacion biometrica (Face ID / Touch ID / huella / Windows Hello)	Login rapido tras primera autenticacion con contrasena. Los datos biometricos nunca salen del dispositivo y no se comunican a Vezpa.	Opcional
Almacenamiento / Archivos	Guardado local de reportes PDF, facturas, fichas Alloggiati generadas por la app	Opcional
Internet	Comunicacion con los servidores Vezpa	Obligatorio
REQUEST_INSTALL_PACKAGES (solo Android sideload)	Instalacion automatica de las actualizaciones via APK descargado de los servidores Vezpa. No presente en la version Google Play.	Requerido solo para el flavour sideload

5. SDK y servicios integrados en la App

SDK / Servicio	Proveedor	Finalidad	Datos tratados
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Envio de notificaciones push	Token del dispositivo, identificadores tecnicos
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestion de compras y suscripciones in-app	Token de compra, estado de suscripcion, ID de cuenta store
Stripe SDK (solo pagos pagina huesped)	Stripe Payments Europe Ltd	Procesamiento de pagos con tarjeta	Datos de tarjeta gestionados por Stripe, no transmitidos a Vezpa
local_auth (biometria)	Sistema operativo (Apple / Google / Microsoft)	Desbloqueo biometrico local	Ningun dato biometrico transmitido a Vezpa
Flutter Secure Storage	Plataforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Conservacion local de token JWT y credenciales	Token refresh, cifrados por el sistema operativo
share_plus	Open Source	Comparticion de archivos (PDF, reportes) con apps del sistema	Archivos elegidos por el usuario

Vezpa no integra SDK de analytics comportamentales (p. ej., AppsFlyer, Mixpanel, Facebook SDK), SDK publicitarios ni SDK de perfilado. Ningun tracking cross-app conforme al Apple App Tracking Transparency (ATT).

6. Finalidades del tratamiento

Prestacion de las funcionalidades de la App Vezpa (art. 6.1.b RGPD)
Cumplimiento de obligaciones legales relativas al registro de los huespedes, delegadas por el establecimiento (art. 6.1.c)
Seguridad, prevencion de fraude, estabilidad del servicio (art. 6.1.f, interes legitimo)
Gestion de suscripciones y pagos (art. 6.1.b y 6.1.c)

Los datos no se utilizan con fines publicitarios, de perfilado o de seguimiento.

7. Modalidades de tratamiento y seguridad

Transmision mediante HTTPS/TLS 1.2+
Autenticacion con JWT a rotacion (access 15 min, refresh 180 dias con blacklist)
Secure Storage del sistema (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP opcional
Servidores backend ubicados en UE (Frankfurt) en DigitalOcean
Logs aplicativos monitoreados para detectar accesos anomalos

8. Conservacion y supresion

Los datos de los usuarios se conservan por la duracion del contrato + obligaciones fiscales (10 anos para facturacion).

El usuario puede solicitar la supresion de la cuenta mediante la funcion dedicada en la app o escribiendo al Responsable. Algunos datos podrian conservarse por obligaciones legales (facturacion, logs de seguridad).

Los datos de los huespedes (de los que Vezpa es Encargado) siguen las instrucciones del Responsable conforme a lo regulado por el Contrato de encargo del tratamiento (DPA).

9. Comunicacion de los datos

Los datos no se venden ni difunden. Pueden ser comunicados a los subencargados listados en vezpa.it/subprocessors y, limitadamente a los datos de reservacion, a los canales OTA activados por el establecimiento.

Para los datos transmitidos a las autoridades publicas (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) se remite al Aviso de Privacidad (RGPD) general.

10. Transferencias fuera de la UE

Las comunicaciones con los proveedores EE.UU. certificados DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) se realizan sobre la base del EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795). Apple no se adhiere al DPF: la relacion contractual para los usuarios UE es con Apple Distribution International Ltd (Irlanda) y las eventuales transferencias hacia Apple Inc. (EE.UU.) se rigen por SCC 2021/914. Las comunicaciones con STAAH (channel manager) se realizan sobre la base de la Decision de adecuacion UE para Nueva Zelanda (2013/65/UE). Tuya (China, opcional) esta regulado por SCC 2021/914.

11. Derechos del usuario

Conforme a los arts. 15-22 RGPD, el usuario puede ejercer derechos de acceso, rectificacion, supresion, limitacion, portabilidad y oposicion. Las solicitudes pueden enviarse mediante la app, o a [email protected].

Reclamaciones ante la autoridad italiana de proteccion de datos (Garante): Garante per la Protezione dei Dati Personali. Los usuarios en Mexico pueden tambien dirigirse al Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales - INAI (www.inai.org.mx).

12. Menores

La App esta destinada exclusivamente a usuarios mayores de edad (operadores profesionales). No recaba conscientemente datos de menores.

13. Modificaciones al Aviso de Privacidad

El presente aviso puede ser actualizado. Las modificaciones seran publicadas en esta pagina y, si son sustanciales, comunicadas via email y dashboard con al menos 15 dias de preaviso.

AVISO DE PRIVACIDAD – APP VEZPA