Aviso: Esta e uma traducao de cortesia do original italiano. Em caso de conflito ou ambiguidade, prevalece a versao italiana.
๐ Em resumo: a Vezpa respeita a sua privacidade. Recolhemos apenas os dados necessarios para prestar o servico de gestao hoteleira, protegemo-los com medidas de seguranca adequadas e nunca os vendemos a terceiros. Para o tratamento dos dados dos
hospedes, a Vezpa atua como
Subcontratante (art. 28.o RGPD): o contrato dedicado e o
DPA.
1. Responsavel pelo tratamento
O Responsavel pelo tratamento dos dados pessoais e:
Vezpa di Paolo Vezzola
Sede: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
NIF (P.IVA): 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]
2. Ambito de aplicacao
A presente Politica de Privacidade aplica-se a plataforma Vezpa PMS (web, desktop e movel) e as paginas do sitio na internet onde esta informacao e publicada.
3. Dados pessoais recolhidos
3.1 Dados dos utilizadores do servico (Gestores de unidades)
Quando se regista na Vezpa como gestor de empreendimento turistico, recolhemos:
- Dados identificativos: nome, apelido, email, numero de telefone
- Dados da unidade: nome, morada, tipologia, numero de contribuinte
- Dados de faturacao: morada de faturacao, numero fiscal, codigo de faturacao eletronica/PEC
- Credenciais de acesso: email e palavra-passe (encriptada)
- Dados de pagamento: geridos atraves de prestadores externos certificados PCI-DSS (nao armazenamos diretamente os dados de cartoes de credito)
3.2 Dados dos hospedes das unidades
Por conta dos gestores das unidades (na qualidade de Subcontratante nos termos do art. 28.o RGPD, regulado pelo DPA), o sistema recolhe:
- Dados identificativos: nome, apelido, local e data de nascimento, nacionalidade, genero
- Documentos de identificacao: tipo, numero, local e data de emissao, digitalizacao ou fotografia do documento. Tais imagens podem ser processadas com OCR automatico para extracao dos dados textuais, sem armazenamento de dados biometricos derivados.
- Dados de contacto: email, numero de telefone
- Dados da reserva: datas de estadia, numero de hospedes, tarifas, regime
- Dados de pagamento: apenas se o pagamento for efetuado atraves do booking engine ou link Stripe da Vezpa; os dados de cartao nunca sao armazenados nos servidores Vezpa
โ ๏ธ Documentos de identificacao e categorias especiais (art. 9.o RGPD): os documentos de identificacao podem conter dados qualificaveis como "especiais" (ex. local de nascimento do qual se pode inferir origem etnica). A Vezpa trata esses dados apenas na medida estritamente necessaria as obrigacoes legais do gestor perante as autoridades publicas, nao efetua definicao de perfis com base neles e nao os comunica a entidades distintas das autoridades e dos subcontratantes ulteriores listados no ยง7.
3.3 Dados de navegacao
- Endereco IP
- Tipo de navegador e dispositivo
- Paginas visitadas e tempo de permanencia
- Sistema operativo
- Referenciador (proveniencia)
3.4 Cookies
Utilizamos cookies tecnicos necessarios ao funcionamento do servico. Para mais detalhes consulte a nossa Politica de Cookies.
4. Finalidades do tratamento e fundamento juridico
4.1 Para os gestores das unidades
| Finalidade |
Fundamento juridico |
| Prestacao do servico PMS |
Execucao do contrato (art. 6.o, n.o 1, al. b) RGPD) |
| Faturacao e obrigacoes fiscais |
Obrigacao legal (art. 6.o, n.o 1, al. c) RGPD) |
| Assistencia a clientes |
Execucao do contrato (art. 6.o, n.o 1, al. b) RGPD) |
| Seguranca, prevencao de fraudes, fiabilidade do servico |
Interesse legitimo (art. 6.o, n.o 1, al. f) RGPD) |
| Envio de comunicacoes de marketing |
Consentimento (art. 6.o, n.o 1, al. a) RGPD) - apenas se autorizado |
4.2 Para os hospedes das unidades
Importante: para os dados dos hospedes, o Responsavel pelo tratamento e o empreendimento turistico. A Vezpa atua como Subcontratante com base em instrucoes documentadas do gestor da unidade, nos termos do Acordo de tratamento de dados.
- Check-in e registo de hospedes: obrigacao legal (lei italiana TULPS, art. 109, D.Lgs. 159/2011) para a Italia; legislacao equivalente para os outros Estados suportados
- Comunicacoes governamentais obrigatorias: AlloggiatiWeb (IT-Polizia), ISTAT (IT), PayTourist (IT-Municipios), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - cada uma ativada apenas se a unidade residir no Estado correspondente
- Gestao da reserva e da estadia: execucao do contrato (art. 6.o, n.o 1, al. b))
- Comunicacoes a OTA e channel manager: execucao do contrato de reserva (art. 6.o, n.o 1, al. b)), apenas canais ativados pela unidade
5. Modalidades de tratamento
Os dados pessoais sao tratados com instrumentos eletronicos, com logicas estritamente relacionadas com as finalidades e mediante a adocao de medidas de seguranca adequadas (art. 32.o RGPD):
- ๐ Encriptacao em transito: todos os dados sao transmitidos atraves de protocolo HTTPS/TLS 1.2+
- ๐ Palavras-passe: armazenadas com algoritmos de hashing seguros (PBKDF2, predefinicao Django)
- ๐ Tokens: JWT access 15 minutos, refresh com rotacao e blacklist, 2FA TOTP disponivel
- ๐ Controlo de acessos: autorizacoes baseadas em funcoes (diretor/assistente/governanta/observador), principio do privilegio minimo
- ๐ Copias de seguranca: executadas regularmente pelo prestador de infraestrutura (DigitalOcean), localizacao UE (Frankfurt)
- ๐ Alojamento: servidores DigitalOcean localizados na Uniao Europeia (regiao FRA1), armazenamento DigitalOcean Spaces Frankfurt
- ๐ Monitorizacao: registos de acesso e aplicacionais, detecao automatizada de anomalias, bloqueio de bots e scanners
6. Conservacao dos dados
Os dados pessoais sao conservados pelo tempo estritamente necessario:
- Dados dos gestores (clientes): duracao do contrato + 10 anos para cumprimento de obrigacoes fiscais e contabilisticas
- Dados de faturacao: 10 anos (art. 2220 c.c. italiano, obrigacao fiscal)
- Dados dos hospedes (tratados pela Vezpa como Subcontratante):
- Comunicacoes AlloggiatiWeb: o periodo de conservacao e estabelecido pelo Responsavel (unidade) com base na legislacao aplicavel
- Comunicacoes ISTAT: segundo a legislacao ISTAT
- Outros dados da reserva: segundo as instrucoes do Responsavel no DPA (tipicamente 10 anos para fins fiscais)
- Na cessacao do contrato com o Responsavel, a Vezpa elimina ou devolve os dados dos hospedes no prazo de 30 dias, salvo obrigacoes de conservacao autonomas (ex. faturacao)
- Registos de acesso e aplicacionais: ate 24 meses para fins de seguranca e defesa em juizo (interesse legitimo)
- Tokens de autenticacao e dispositivos fidedignos: 90 dias a contar da ultima utilizacao
- Dados para marketing (newsletter, campanhas): ate revogacao do consentimento, com revisao bienal
- Tickets de suporte: duracao do contrato + 2 anos
7. Comunicacao e divulgacao dos dados
7.1 Destinatarios dos dados
Os seus dados podem ser comunicados as seguintes categorias de destinatarios. A lista nominativa sempre atualizada dos subcontratantes ulteriores e publicada em vezpa.it/subprocessors.
Autoridades publicas (Responsaveis autonomos, obrigacao legal)
- Italia: Policia / AlloggiatiWeb, ISTAT, Municipios (via PayTourist para taxa municipal turistica), Agenzia delle Entrate
- Austria: Feratel/Meldeamt
- Espanha: SES.HOSPEDAJES (Ministerio del Interior)
- Hungria: NTAK
- Croacia: eVisitor
- Portugal: SEF
- Republica Checa: UbyPort
- Eslovenia: eTurizem / AJPES
Cada conector governamental so e ativado se a unidade residir no Estado correspondente. As credenciais sao configuradas pela propria unidade.
Subcontratantes ulteriores (art. 28.o, n.o 4 RGPD)
- Infraestrutura: DigitalOcean LLC (servidores Frankfurt, base de dados, Spaces/CDN, Redis) - EUA/UE com DPF e CCT
- Pagamentos: Stripe Payments Europe Ltd (UE) / Stripe Inc. (EUA) - PCI-DSS, DPF certificado
- Email transacional e PEC: IONOS SE (DE)
- Notificacoes push em dispositivos moveis: Google LLC - Firebase Cloud Messaging (EUA, DPF certificado)
- Channel Manager OTA: STAAH Limited (Nova Zelandia) - pais com decisao de adequacao UE (2012)
- Compras in-app e subscricoes:
- Apple Distribution International Ltd (IE) - entidade UE; eventuais transferencias para Apple Inc. (EUA) regidas pelas SCC 2021/914 (a Apple nao adere ao DPF)
- Google Ireland Ltd / Google LLC (EUA, certificacao DPF ativa)
- Microsoft Ireland / Microsoft Corp. (EUA, certificacao DPF ativa)
- Fechaduras inteligentes (opcional, se ativadas): Tuya Smart (CN) - CCT UE e medidas complementares
- Consultores profissionais: contabilista, advogado, consultores TI, designados como Subcontratantes ou Responsaveis autonomos conforme necessario
OTA (Responsaveis autonomos pela relacao com o viajante)
- Booking.com, Airbnb, Expedia, VRBO, Agoda e cerca de 55 outros canais ligados atraves da STAAH: os dados de reserva transitam com base no contrato entre a unidade e a OTA
7.2 Transferencia de dados fora da UE
Alguns tratamentos implicam transferencias de dados pessoais para fora da Uniao Europeia. Em todos os casos sao adotadas garantias nos termos do Capitulo V do RGPD:
- EUA - EU-U.S. Data Privacy Framework (Decisao (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certificacoes ativas no Framework (verificacao em dataprivacyframework.gov/list)
- EUA - Clausulas Contratuais Tipo (SCC 2021/914): Apple Inc. - a Apple nao adere ao DPF; a relacao contratual para os utilizadores UE e com a Apple Distribution International Ltd (Irlanda), e eventuais transferencias para a Apple Inc. (EUA) efetuam-se atraves de SCC e mecanismos internos da Apple
- Nova Zelandia - Decisao de adequacao (Decisao (UE) 2013/65): STAAH Limited
- China (opcional) - Clausulas Contratuais-Tipo (CCT) 2021/914 + medidas suplementares: Tuya Smart, apenas para as unidades que ativam fechaduras inteligentes
- Para cada transferencia na ausencia de DPF ativo ou adequacao, a Vezpa adota CCT UE 2021/914 e, quando aplicavel, Transfer Impact Assessment (TIA) documentado
7.3 Divulgacao
Os dados pessoais nao sao objeto de divulgacao (comunicacao a entidades indeterminadas) e nao sao vendidos.
8. Direitos do titular dos dados
Nos termos dos artigos 15.o a 22.o do RGPD, tem direito a:
- ๐ง Acesso (art. 15.o): obter confirmacao da existencia dos seus dados e receber copia
- โ๏ธ Retificacao (art. 16.o): corrigir dados inexatos ou incompletos
- ๐๏ธ Apagamento (art. 17.o): obter o apagamento dos dados (direito ao esquecimento) quando verificados os pressupostos
- โธ๏ธ Limitacao (art. 18.o): limitar o tratamento em determinadas condicoes
- ๐ค Portabilidade (art. 20.o): receber os dados em formato estruturado e transmiti-los a outro responsavel
- ๐ซ Oposicao (art. 21.o): opor-se ao tratamento por motivos legitimos
- โ Revogacao do consentimento: revogar a qualquer momento o consentimento para marketing
โ ๏ธ Nota importante: para os dados dos hospedes, estes direitos devem ser exercidos junto do empreendimento turistico (que e o Responsavel pelo tratamento), e nao diretamente junto da Vezpa. A Vezpa, como Subcontratante, assiste o Responsavel na resposta aos pedidos nos termos do art. 28.o, n.o 3, al. e) do RGPD.
Marketing e newsletter
A subscricao de comunicacoes comerciais exige consentimento explicito com duplo opt-in (confirmacao atraves de link por email). Cada comunicacao contem um link de anulacao de subscricao imediato. Para os clientes existentes, a Vezpa pode enviar comunicacoes sobre produtos e servicos analogos ao abrigo do art. 130.o, n.o 4, do D.Lgs. 196/2003 ("soft opt-in"), com possibilidade sempre ativa de oposicao.
Como exercer os direitos
Pode exercer os seus direitos escrevendo para:
Responderemos no prazo de 30 dias a contar do pedido.
Direito de reclamacao
Se considerar que o tratamento dos seus dados viola o RGPD, tem o direito de apresentar reclamacao junto da autoridade de controlo:
autoridade italiana de protecao de dados (Garante)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Os utilizadores em Portugal podem tambem contactar a Comissao Nacional de Protecao de Dados - CNPD (www.cnpd.pt).
9. Menores
O servico Vezpa PMS destina-se exclusivamente a pessoas maiores de 18 anos. Nao recolhemos conscientemente dados de menores. Se um progenitor ou tutor considerar que um menor forneceu dados pessoais, pode contactar-nos para a sua eliminacao imediata.
10. Alteracoes a Politica de Privacidade
Esta Politica de Privacidade pode ser alterada ao longo do tempo. Qualquer alteracao substancial sera comunicada com aviso previo adequado atraves de:
- Publicacao da nova versao no sitio na internet
- Notificacao por email aos utilizadores registados
- Banner informativo na area reservada
A data da ultima atualizacao esta sempre indicada no topo do documento.
ยฉ 2022-2026 Vezpa - Todos os direitos reservados |
Politica de Privacidade |
Termos de Servico |
Politica de Cookies |
RGPD |
DPA |
Subcontratantes ulteriores