POLITICA DE PRIVACIDAD

1. Responsable del tratamiento

El Responsable del tratamiento de los datos personales es:

Vezpa di Paolo Vezzola
Domicilio social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
NIF italiano (P.IVA): 04449070988
Codigo fiscal: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Ambito de aplicacion

La presente Politica de Privacidad se aplica a la plataforma Vezpa PMS (web, escritorio y movil) y a las paginas del sitio web en las que se publica esta informacion.

3. Datos personales recogidos

3.1 Datos de los usuarios del servicio (Gestores de alojamientos)

Cuando usted se registra en Vezpa como gestor de un establecimiento de alojamiento turistico, recogemos:

• Datos identificativos: nombre, apellidos, correo electronico, numero de telefono
• Datos del establecimiento: nombre, direccion, tipologia, numero de identificacion fiscal
• Datos de facturacion: direccion de facturacion, codigo fiscal/NIF, codigo unico/PEC
• Credenciales de acceso: correo electronico y contrasena (cifrada)
• Datos de pago: gestionados a traves de proveedores externos certificados PCI-DSS (no almacenamos directamente los datos de las tarjetas de credito)

3.2 Datos de los huespedes de los establecimientos

Por cuenta de los gestores de los establecimientos (en calidad de Encargado del tratamiento conforme al art. 28 RGPD, regulado por el DPA), el sistema recoge:

• Datos identificativos: nombre, apellidos, lugar y fecha de nacimiento, nacionalidad, sexo
• Documentos de identidad: tipo, numero, lugar y fecha de expedicion, escaneo o fotografia del documento. Dichas imagenes pueden procesarse con OCR automatico para la extraccion de los datos textuales, sin almacenamiento de datos biometricos derivados.
• Datos de contacto: correo electronico, numero de telefono
• Datos de la reserva: fechas de estancia, numero de huespedes, tarifas, regimen
• Datos de pago: solo si el pago se realiza a traves del motor de reservas o enlace Stripe de Vezpa; los datos de la tarjeta nunca se almacenan en los servidores de Vezpa

3.3 Datos de navegacion

• Direccion IP
• Tipo de navegador y dispositivo
• Paginas visitadas y tiempo de permanencia
• Sistema operativo
• Referente (procedencia)

3.4 Cookies

Utilizamos cookies tecnicas necesarias para el funcionamiento del servicio. Para mas detalles, consulte nuestra Politica de Cookies.

4. Finalidad del tratamiento y base juridica

4.1 Para los gestores de los establecimientos

4.2 Para los huespedes de los establecimientos

Importante: Para los datos de los huespedes, el Responsable del tratamiento es el establecimiento de alojamiento. Vezpa actua como Encargado del tratamiento por instruccion documentada del gestor del establecimiento, conforme al Contrato de encargo del tratamiento (DPA).

• Registro de huespedes (check-in): obligacion legal (ley italiana TULPS, art. 109 y D.Lgs. 159/2011) para Italia; normativa equivalente para los demas Estados admitidos
• Comunicaciones obligatorias a las autoridades: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Municipios), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - cada una se activa solo si el establecimiento reside en el Estado correspondiente
• Gestion de la reserva y de la estancia: ejecucion del contrato (art. 6.1.b)
• Comunicaciones a OTA y channel manager: ejecucion del contrato de reserva (art. 6.1.b), solo canales activados por el establecimiento

5. Modalidades del tratamiento

Los datos personales se tratan mediante herramientas electronicas, con logicas estrictamente relacionadas con las finalidades y adoptando medidas de seguridad adecuadas (art. 32 RGPD):

• Cifrado en transito: todos los datos se transmiten mediante protocolo HTTPS/TLS 1.2+
• Contrasenas: almacenadas con algoritmos de hashing seguros (PBKDF2 Django por defecto)
• Token: JWT access 15 minutos, refresh con rotacion y blacklist, 2FA TOTP disponible
• Control de accesos: autorizaciones basadas en el rol (director/asistente/gobernanta/observador), principio de minimo privilegio
• Copias de seguridad: realizadas periodicamente por el proveedor de infraestructura (DigitalOcean), ubicacion UE (Francfort)
• Hosting: servidores DigitalOcean ubicados en la Union Europea (region FRA1), almacenamiento DigitalOcean Spaces Francfort
• Monitorizacion: logs de acceso y aplicativos, deteccion automatizada de anomalias, bloqueo de bots y escaneres

6. Conservacion de los datos

Los datos personales se conservan durante el tiempo estrictamente necesario:

• Datos de los gestores (clientes): duracion del contrato + 10 anos para obligaciones fiscales y contables
• Datos de facturacion: 10 anos (art. 2220 c.c., obligacion fiscal)
• Datos de los huespedes (tratados por Vezpa como Encargado):
  • Comunicaciones AlloggiatiWeb: el periodo de conservacion lo establece el Responsable (establecimiento) segun la normativa aplicable
  • Comunicaciones ISTAT: conforme a la normativa ISTAT
  • Otros datos de la reserva: conforme a las instrucciones del Responsable en el DPA (tipicamente 10 anos por finalidades fiscales)
  • Al finalizar el contrato con el Responsable, Vezpa elimina o devuelve los datos de los huespedes en un plazo de 30 dias, salvo obligaciones de conservacion autonomas (por ejemplo, facturacion)
• Logs de acceso y aplicativos: hasta 24 meses por razones de seguridad y defensa en juicio (interes legitimo)
• Token de autenticacion y dispositivos de confianza: 90 dias desde el ultimo uso
• Datos para marketing (newsletter, campanas): hasta la revocacion del consentimiento, con revision bienal
• Tickets de soporte: duracion del contrato + 2 anos

7. Comunicacion y difusion de los datos

7.1 Destinatarios de los datos

Sus datos pueden comunicarse a las siguientes categorias de destinatarios. La lista nominal siempre actualizada de los subencargados del tratamiento se publica en vezpa.it/subprocessors.

Autoridades publicas (Responsables autonomos, obligacion legal)

• Italia: Questura / AlloggiatiWeb, ISTAT, Municipios (a traves de PayTourist para la tasa de estancia), Agenzia delle Entrate
• Austria: Feratel/Meldeamt
• Espana: SES.HOSPEDAJES (Ministerio del Interior)
• Hungria: NTAK
• Croacia: eVisitor
• Portugal: SEF
• Republica Checa: UbyPort
• Eslovenia: eTurizem / AJPES

Cada conector gubernamental se activa solo si el establecimiento reside en el Estado correspondiente. Las credenciales las configura el propio establecimiento.

Subencargados del tratamiento (art. 28.4 RGPD)

• Infraestructura: DigitalOcean LLC (servidor Francfort, base de datos, Spaces/CDN, Redis) - EE.UU./UE con DPF y SCC
• Pagos: Stripe Payments Europe Ltd (UE) / Stripe Inc. (EE.UU.) - PCI-DSS, certificada DPF
• Correo transaccional y PEC: IONOS SE (DE)
• Notificaciones push movil: Google LLC - Firebase Cloud Messaging (EE.UU., certificada DPF)
• Channel Manager OTA: STAAH Limited (Nueva Zelanda) - pais con decision de adecuacion UE (2012)
• Compras in-app y suscripciones:
  • Apple Distribution International Ltd (IE) - entidad UE; las eventuales transferencias hacia Apple Inc. (EE.UU.) se rigen por SCC 2021/914 (Apple no se adhiere al DPF)
  • Google Ireland Ltd / Google LLC (EE.UU., certificacion DPF activa)
  • Microsoft Ireland / Microsoft Corp. (EE.UU., certificacion DPF activa)
• Cerraduras inteligentes (opcional, si se activan): Tuya Smart (CN) - SCC UE y medidas complementarias
• Asesores profesionales: asesor fiscal, abogado, consultores TI, designados como Encargados o Responsables autonomos segun necesidad

OTA (Responsables autonomos para la relacion con el viajero)

• Booking.com, Airbnb, Expedia, VRBO, Agoda y alrededor de 55 canales mas conectados a traves de STAAH: los datos de la reserva transitan en funcion del contrato entre el establecimiento y la OTA

7.2 Transferencia de datos fuera de la UE

Algunos tratamientos conllevan transferencias de datos personales fuera de la Union Europea. En todos los casos se adoptan garantias conforme al Capitulo V del RGPD:

• EE.UU. - EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certificaciones activas en el Framework (verificacion en dataprivacyframework.gov/list)
• EE.UU. - Clausulas Contractuales Tipo (SCC) 2021/914: Apple Inc. - Apple no se adhiere al DPF; la relacion contractual para los usuarios UE es con Apple Distribution International Ltd (Irlanda), y las eventuales transferencias hacia Apple Inc. (EE.UU.) se realizan mediante SCC y mecanismos internos de Apple
• Nueva Zelanda - Decision de adecuacion (Decision UE 2013/65): STAAH Limited
• China (opcional) - Clausulas Contractuales Tipo (SCC) 2021/914 + medidas complementarias: Tuya Smart, solo para los establecimientos que activan cerraduras inteligentes
• Para cualquier transferencia en ausencia de DPF activo o adecuacion, Vezpa adopta SCC UE 2021/914 y, cuando corresponda, Transfer Impact Assessment (TIA) documentado

7.3 Difusion

Los datos personales no son objeto de difusion (comunicacion a sujetos indeterminados) y no se venden.

8. Derechos del interesado

Conforme a los articulos 15-22 del RGPD, usted tiene derecho a:

• Acceso (art. 15): obtener confirmacion de la existencia de sus datos y recibir copia de los mismos
• Rectificacion (art. 16): corregir datos inexactos o incompletos
• Supresion (art. 17): obtener la supresion de los datos (derecho al olvido) cuando concurran los requisitos
• Limitacion (art. 18): limitar el tratamiento en determinadas condiciones
• Portabilidad (art. 20): recibir los datos en formato estructurado y transmitirlos a otro responsable
• Oposicion (art. 21): oponerse al tratamiento por motivos legitimos
• Revocacion del consentimiento: retirar en cualquier momento el consentimiento al marketing

Marketing y newsletter

La suscripcion a comunicaciones comerciales requiere consentimiento explicito con doble opt-in (confirmacion mediante enlace por email). Cada comunicacion contiene un enlace de baja inmediato. Para los clientes existentes, Vezpa puede enviar comunicaciones sobre productos y servicios similares conforme al art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), con posibilidad siempre activa de oponerse.

Como ejercer los derechos

Puede ejercer sus derechos escribiendo a:

• Email: [email protected]
• PEC: [email protected]
• Correo certificado con acuse de recibo a la direccion indicada en el encabezado

Le responderemos en un plazo de 30 dias desde la solicitud.

Derecho de reclamacion

Si considera que el tratamiento de sus datos infringe el RGPD, tiene derecho a presentar reclamacion ante la autoridad de control:

Autoridad italiana de proteccion de datos (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Los usuarios en Espana pueden tambien dirigirse a la Agencia Espanola de Proteccion de Datos - AEPD (www.aepd.es).

9. Menores

El servicio Vezpa PMS esta destinado exclusivamente a personas mayores de 18 anos. No recogemos conscientemente datos de menores. Si un progenitor o tutor considera que un menor ha facilitado datos personales, puede ponerse en contacto con nosotros para su supresion inmediata.

10. Modificaciones de la Politica de Privacidad

Esta Politica de Privacidad puede modificarse con el tiempo. Cualquier modificacion sustancial se comunicara con la debida antelacion mediante:

• Publicacion de la nueva version en el sitio web
• Notificacion por correo electronico a los usuarios registrados
• Banner informativo en el area reservada

La fecha de ultima actualizacion siempre se indica en la parte superior del documento.