Politica de confidentialitate

1. Operatorul de date

Operatorul de date cu caracter personal este:

Vezpa di Paolo Vezzola
Sediu social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Domeniu de aplicare

Prezenta Politica de confidentialitate se aplica platformei Vezpa PMS (web, desktop si mobile) si paginilor site-ului web in care este publicata aceasta informare.

3. Date cu caracter personal colectate

3.1 Datele utilizatorilor serviciului (administratori de structuri)

Cand va inregistrati pe Vezpa in calitate de administrator al unei structuri de cazare, colectam:

Date de identificare: nume, prenume, email, numar de telefon
Datele structurii: denumire, adresa, tipologie, cod fiscal/partida IVA
Date de facturare: adresa de facturare, cod fiscal/partida IVA, cod unic/PEC
Credentiale de acces: email si parola (criptata)
Date de plata: gestionate prin furnizori externi certificati PCI-DSS (nu memoram direct datele cardurilor de credit)

3.2 Datele oaspetilor structurilor

In contul administratorilor structurilor (in calitate de Imputernicit al operatorului conform art. 28 GDPR, reglementat de DPA), sistemul colecteaza:

Date de identificare: nume, prenume, locul si data nasterii, cetatenie, gen
Documente de identitate: tip, numar, loc si data eliberarii, scanare sau fotografie a documentului. Aceste imagini pot fi procesate cu OCR automat pentru extragerea datelor textuale, fara memorarea de date biometrice derivate.
Date de contact: email, numar de telefon
Datele rezervarii: date de sedere, numar oaspeti, tarife, regim
Date de plata: doar daca plata se efectueaza prin booking engine sau link Stripe al Vezpa; datele cardului nu sunt niciodata memorate pe serverele Vezpa

            Documente de identitate si categorii speciale (art. 9 GDPR): documentele de identitate pot contine date calificabile drept "speciale" (ex. locul nasterii din care se poate deduce originea etnica). Vezpa prelucreaza aceste date numai in masura strict necesara obligatiilor legale ale administratorului fata de autoritatile publice, nu efectueaza profilare asupra lor si nu le comunica unor subiecti diferiti de autoritatile si subimputernicitii enumerati la §7.
        

3.3 Date de navigare

Adresa IP
Tip de browser si dispozitiv
Pagini vizitate si timp de sedere
Sistem de operare
Referrer (provenienta)

3.4 Cookie

Folosim cookie-uri tehnice necesare pentru functionarea serviciului. Pentru mai multe detalii consultati Politica cookie.

4. Scopul prelucrarii si temeiul juridic

4.1 Pentru administratorii structurilor

Scop	Temei juridic
Furnizarea serviciului PMS	Executarea contractului (art. 6.1.b GDPR)
Facturare si obligatii fiscale	Obligatie legala (art. 6.1.c GDPR)
Asistenta clienti	Executarea contractului (art. 6.1.b GDPR)
Securitate, prevenirea fraudelor, fiabilitatea serviciului	Interes legitim (art. 6.1.f GDPR)
Trimiterea de comunicari de marketing	Consimtamant (art. 6.1.a GDPR) - numai daca este autorizat

4.2 Pentru oaspetii structurilor

Important: Pentru datele oaspetilor, Operatorul de date este structura de cazare. Vezpa actioneaza ca Imputernicit al operatorului pe baza instructiunilor documentate ale administratorului structurii, conform Acordului de prelucrare a datelor.

Check-in si inregistrarea oaspetilor: obligatie legala (legea italiana TULPS, art. 109, D.Lgs. 159/2011) pentru Italia; reglementare echivalenta pentru celelalte state sustinute
Comunicari guvernamentale obligatorii: AlloggiatiWeb (IT-Politie), ISTAT (IT), PayTourist (IT-Comune), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — fiecare activata numai daca structura este stabilita in statul corespunzator
Gestionarea rezervarii si sederii: executarea contractului (art. 6.1.b)
Comunicari catre OTA si channel manager: executarea contractului de rezervare (art. 6.1.b), numai canalele activate de structura

5. Modalitati de prelucrare

Datele cu caracter personal sunt prelucrate cu instrumente electronice, cu logici strict legate de scopuri si prin adoptarea de masuri de securitate adecvate (art. 32 GDPR):

Criptare in tranzit: toate datele sunt transmise prin protocol HTTPS/TLS 1.2+
Parole: memorate cu algoritmi de hashing siguri (PBKDF2 Django default)
Token: JWT access 15 minute, refresh cu rotatie si blacklist, 2FA TOTP disponibil
Controlul accesului: autorizatii bazate pe rol (director/asistent/camerista/observator), principiul privilegiului minim
Backup: efectuate regulat de furnizorul de infrastructura (DigitalOcean), localizate in UE (Frankfurt)
Hosting: servere DigitalOcean situate in Uniunea Europeana (regiunea FRA1), storage DigitalOcean Spaces Frankfurt
Monitorizare: log-uri de acces si aplicative, detectare automata a anomaliilor, blocare bot si scanner

6. Pastrarea datelor

Datele cu caracter personal sunt pastrate pentru timpul strict necesar:

Datele administratorilor (clientilor): durata contractului + 10 ani pentru obligatii fiscale si contabile
Date de facturare: 10 ani (art. 2220 c.c. italian, obligatie fiscala)
Datele oaspetilor (prelucrate de Vezpa in calitate de Imputernicit):
- Comunicari AlloggiatiWeb: perioada de pastrare este stabilita de Operator (structura) in baza reglementarii aplicabile
- Comunicari ISTAT: conform reglementarii ISTAT
- Alte date ale rezervarii: conform instructiunilor Operatorului din DPA (tipic 10 ani pentru scopuri fiscale)
- La incetarea contractului cu Operatorul, Vezpa sterge sau returneaza datele oaspetilor in termen de 30 de zile, cu exceptia obligatiilor autonome de pastrare (ex. facturare)
Log-uri de acces si aplicative: pana la 24 de luni in scop de securitate si aparare in instanta (interes legitim)
Token de autentificare si dispozitive de incredere: 90 de zile de la ultima utilizare
Date pentru marketing (newsletter, campanii): pana la revocarea consimtamantului, cu revizuire bianuala
Ticket-uri de suport: durata contractului + 2 ani

7. Comunicarea si diseminarea datelor

7.1 Destinatarii datelor

Datele dumneavoastra pot fi comunicate urmatoarelor categorii de destinatari. Lista nominala mereu actualizata a subimputernicitilor este publicata la adresa vezpa.it/subprocessors.

Autoritati publice (Operatori autonomi, obligatie legala)

Italia: Politia / AlloggiatiWeb, ISTAT, Comune (prin PayTourist pentru taxa de sedere), Agentia Veniturilor
Austria: Feratel/Meldeamt
Spania: SES.HOSPEDAJES (Ministerul de Interne)
Ungaria: NTAK
Croatia: eVisitor
Portugalia: SEF
Republica Ceha: UbyPort
Slovenia: eTurizem / AJPES

Fiecare conector guvernamental este activat numai daca structura este stabilita in statul corespunzator. Credentialele sunt configurate de structura insasi.

Subimputerniciti (art. 28.4 GDPR)

Infrastructura: DigitalOcean LLC (servere Frankfurt, baza de date, Spaces/CDN, Redis) — SUA/UE cu DPF si SCC
Plati: Stripe Payments Europe Ltd (UE) / Stripe Inc. (SUA) — PCI-DSS, DPF certificat
Email tranzactional si PEC: IONOS SE (DE)
Push notifications mobile: Google LLC — Firebase Cloud Messaging (SUA, DPF certificat)
Channel Manager OTA: STAAH Limited (Noua Zeelanda) — tara cu decizie de adecvare UE (2012)
In-app purchase si abonamente:
- Apple Distribution International Ltd (IE) — entitate UE; eventualele transferuri catre Apple Inc. (SUA) sunt guvernate de SCC 2021/914 (Apple nu adera la DPF)
- Google Ireland Ltd / Google LLC (SUA, DPF certificat activ)
- Microsoft Ireland / Microsoft Corp. (SUA, DPF certificat activ)
Broaste smart (optional, daca sunt activate): Tuya Smart (CN) — SCC UE si masuri integrative
Consultanti profesionali: contabili, avocati, consultanti IT, desemnati ca Imputerniciti sau Operatori autonomi dupa caz

OTA (Operatori autonomi pentru raportul cu calatorul)

Booking.com, Airbnb, Expedia, VRBO, Agoda si aproximativ 55 de alte canale conectate prin STAAH: datele rezervarii circula in baza contractului dintre structura si OTA

7.2 Transferul datelor in afara UE

Unele prelucrari implica transferuri de date cu caracter personal in afara Uniunii Europene. In toate cazurile sunt adoptate garantii conform Capitolului V GDPR:

SUA — EU-U.S. Data Privacy Framework (Decizia (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certificari active in Framework (verificare pe dataprivacyframework.gov/list)
SUA — Clauze Contractuale Standard (SCC) 2021/914: Apple Inc. — Apple nu adera la DPF; raportul contractual pentru utilizatorii UE este cu Apple Distribution International Ltd (Irlanda), iar eventualele transferuri catre Apple Inc. (SUA) au loc prin SCC si mecanisme interne Apple
Noua Zeelanda — Decizie de adecvare (Decizia (UE) 2013/65): STAAH Limited
China (optional) — Clauze Contractuale Standard (SCC) 2021/914 + masuri suplimentare: Tuya Smart, numai pentru structurile care activeaza broaste smart
Pentru orice transfer in absenta DPF activ sau adecvare, Vezpa adopta SCC UE 2021/914 si, cand este aplicabil, Transfer Impact Assessment (TIA) documentat

7.3 Diseminare

Datele cu caracter personal nu fac obiectul diseminarii (comunicare catre subiecti nedeterminati) si nu sunt vandute.

8. Drepturile persoanei vizate

Conform articolelor 15-22 din GDPR, aveti dreptul la:

Acces (art. 15): obtinerea confirmarii existentei datelor dumneavoastra si primirea unei copii
Rectificare (art. 16): corectarea datelor inexacte sau incomplete
Stergere (art. 17): obtinerea stergerii datelor (dreptul la uitare) cand sunt indeplinite conditiile
Restrictionare (art. 18): restrictionarea prelucrarii in anumite conditii
Portabilitate (art. 20): primirea datelor intr-un format structurat si transmiterea lor catre alt operator
Opozitie (art. 21): opozitia la prelucrare din motive legitime
Revocarea consimtamantului: revocarea in orice moment a consimtamantului pentru marketing

            Nota importanta: Pentru datele oaspetilor, aceste drepturi trebuie exercitate la structura de cazare (care este Operatorul), nu direct catre Vezpa. Vezpa, in calitate de Imputernicit, asista Operatorul in solutionarea cererilor conform art. 28.3.e GDPR.
        

Marketing si newsletter

Inscrierea la comunicari comerciale necesita consimtamant explicit cu dublu opt-in (confirmare prin link email). Fiecare comunicare contine un link de dezabonare imediata. Pentru clientii existenti, Vezpa poate trimite comunicari despre produse si servicii similare conform art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), cu posibilitatea intotdeauna activa de a se opune.

Cum va exercitati drepturile

Va puteti exercita drepturile scriind la:

Email: [email protected]
PEC: [email protected]
Scrisoare recomandata cu confirmare de primire la adresa din antet

Va vom raspunde in termen de 30 de zile de la cerere.

Dreptul de a depune plangere

Daca considerati ca prelucrarea datelor dumneavoastra incalca GDPR, aveti dreptul sa depuneti plangere la autoritatea de supraveghere:

Autoritatea italiana de protectia datelor (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Utilizatorii din Romania se pot adresa si Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP (www.dataprotection.ro).

9. Minori

Serviciul Vezpa PMS este destinat exclusiv persoanelor cu varsta de peste 18 ani. Nu colectam cu buna stiinta date ale minorilor. Daca un parinte sau tutore considera ca un minor a furnizat date cu caracter personal, ne poate contacta pentru stergerea imediata.

10. Modificari ale Politicii de confidentialitate

Aceasta Politica de confidentialitate poate fi modificata in timp. Orice modificare substantiala va fi comunicata cu preaviz adecvat prin:

Publicarea noii versiuni pe site-ul web
Notificare prin email catre utilizatorii inregistrati
Banner informativ in zona rezervata

Data ultimei actualizari este intotdeauna indicata in partea de sus a documentului.

POLITICA DE CONFIDENTIALITATE