Privacy Policy

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

Vezpa di Paolo Vezzola
Sede legale: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Ambito di applicazione

La presente Privacy Policy si applica alla piattaforma Vezpa PMS (web, desktop e mobile) e alle pagine del sito web in cui questa informativa è pubblicata.

3. Dati Personali Raccolti

3.1 Dati degli Utenti del Servizio (Gestori di Strutture)

Quando ti registri a Vezpa come gestore di struttura ricettiva, raccogliamo:

Dati anagrafici: nome, cognome, email, numero di telefono
Dati della struttura: nome, indirizzo, tipologia, partita IVA
Dati di fatturazione: indirizzo di fatturazione, codice fiscale/P.IVA, codice univoco/PEC
Credenziali di accesso: email e password (criptata)
Dati di pagamento: gestiti tramite provider esterni certificati PCI-DSS (non memorizziamo direttamente i dati di carte di credito)

3.2 Dati degli Ospiti delle Strutture

Per conto dei gestori delle strutture (in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, regolato dal DPA), il sistema raccoglie:

Dati identificativi: nome, cognome, luogo e data di nascita, cittadinanza, genere
Documenti di identità: tipo, numero, luogo e data di rilascio, scansione o fotografia del documento. Tali immagini possono essere processate con OCR automatico per l'estrazione dei dati testuali, senza memorizzazione di dati biometrici derivati.
Dati di contatto: email, numero di telefono
Dati della prenotazione: date di soggiorno, numero ospiti, tariffe, trattamento
Dati di pagamento: solo se il pagamento avviene tramite il booking engine o link Stripe di Vezpa; i dati di carta non sono mai memorizzati sui server Vezpa

            ⚠️ Documenti d'identità e categorie particolari (art. 9 GDPR): i documenti d'identità possono contenere dati qualificabili come "particolari" (es. luogo di nascita da cui si può desumere origine etnica). Vezpa tratta tali dati solo nella misura strettamente necessaria agli obblighi di legge del gestore verso le autorità pubbliche, non effettua profilazione su di essi e non li comunica a soggetti diversi dalle autorità e dai sub-responsabili elencati al §7.
        

3.3 Dati di Navigazione

Indirizzo IP
Tipo di browser e dispositivo
Pagine visitate e tempo di permanenza
Sistema operativo
Referrer (provenienza)

3.4 Cookie

Utilizziamo cookie tecnici necessari per il funzionamento del servizio. Per maggiori dettagli consulta la nostra Cookie Policy.

4. Finalità del Trattamento e Base Giuridica

4.1 Per i Gestori delle Strutture

Finalità	Base Giuridica
Fornitura del servizio PMS	Esecuzione del contratto (art. 6.1.b GDPR)
Fatturazione e adempimenti fiscali	Obbligo di legge (art. 6.1.c GDPR)
Assistenza clienti	Esecuzione del contratto (art. 6.1.b GDPR)
Sicurezza, prevenzione frodi, affidabilità del servizio	Legittimo interesse (art. 6.1.f GDPR)
Invio comunicazioni marketing	Consenso (art. 6.1.a GDPR) - solo se autorizzato

4.2 Per gli Ospiti delle Strutture

Importante: Per i dati degli ospiti, il Titolare del trattamento è la struttura ricettiva. Vezpa agisce come Responsabile del Trattamento su istruzione documentata del gestore della struttura, ai sensi del Data Processing Agreement.

Check-in e registrazione ospiti: obbligo di legge (art. 109 TULPS, D.Lgs. 159/2011) per l'Italia; normativa equivalente per gli altri Stati supportati
Comunicazioni governative obbligatorie: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Comuni), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — ciascuna attivata solo se la struttura risiede nello Stato corrispondente
Gestione della prenotazione e del soggiorno: esecuzione del contratto (art. 6.1.b)
Comunicazioni a OTA e channel manager: esecuzione del contratto di prenotazione (art. 6.1.b), solo canali attivati dalla struttura

5. Modalità di Trattamento

I dati personali sono trattati con strumenti elettronici, con logiche strettamente correlate alle finalità e mediante l'adozione di misure di sicurezza adeguate (art. 32 GDPR):

🔐 Crittografia in transito: tutti i dati sono trasmessi tramite protocollo HTTPS/TLS 1.2+
🔐 Password: memorizzate con algoritmi di hashing sicuri (PBKDF2 Django default)
🔐 Token: JWT access 15 minuti, refresh con rotazione e blacklist, 2FA TOTP disponibile
🔐 Controllo accessi: autorizzazioni basate sul ruolo (direttore/assistente/governante/osservatore), principio del minimo privilegio
🔐 Backup: eseguiti regolarmente dal provider infrastrutturale (DigitalOcean), ubicazione UE (Francoforte)
🔐 Hosting: server DigitalOcean ubicati nell'Unione Europea (regione FRA1), storage DigitalOcean Spaces Francoforte
🔐 Monitoraggio: log di accesso e applicativi, rilevamento anomalie automatizzato, blocco bot e scanner

6. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario:

Dati dei gestori (clienti): durata del contratto + 10 anni per adempimenti fiscali e contabili
Dati di fatturazione: 10 anni (art. 2220 c.c., obbligo fiscale)
Dati degli ospiti (trattati da Vezpa come Responsabile):
- Comunicazioni AlloggiatiWeb: il periodo di conservazione è stabilito dal Titolare (struttura) in base alla normativa applicabile
- Comunicazioni ISTAT: secondo normativa ISTAT
- Altri dati della prenotazione: secondo le istruzioni del Titolare nel DPA (tipicamente 10 anni per finalità fiscali)
- Alla cessazione del contratto col Titolare, Vezpa cancella o restituisce i dati degli ospiti entro 30 giorni, salvo obblighi di conservazione autonomi (es. fatturazione)
Log di accesso e applicativi: fino a 24 mesi per finalità di sicurezza e difesa in giudizio (legittimo interesse)
Token autenticazione e device fiduciati: 90 giorni dall'ultimo utilizzo
Dati per marketing (newsletter, campagne): fino a revoca del consenso, con revisione biennale
Ticket di supporto: durata del contratto + 2 anni

7. Comunicazione e Diffusione dei Dati

7.1 Destinatari dei Dati

I tuoi dati possono essere comunicati alle seguenti categorie di destinatari. L'elenco nominativo sempre aggiornato dei sub-responsabili del trattamento e' pubblicato all'indirizzo vezpa.it/subprocessors.

Autorità pubbliche (Titolari autonomi, obbligo di legge)

Italia: Questura / AlloggiatiWeb, ISTAT, Comuni (tramite PayTourist per imposta di soggiorno), Agenzia delle Entrate
Austria: Feratel/Meldeamt
Spagna: SES.HOSPEDAJES (Ministerio del Interior)
Ungheria: NTAK
Croazia: eVisitor
Portogallo: SEF
Repubblica Ceca: UbyPort
Slovenia: eTurizem / AJPES

Ogni connettore governativo viene attivato solo se la struttura risiede nello Stato corrispondente. Le credenziali vengono configurate dalla struttura stessa.

Sub-responsabili del trattamento (art. 28.4 GDPR)

Infrastruttura: DigitalOcean LLC (server Francoforte, database, Spaces/CDN, Redis) — USA/UE con DPF e SCC
Pagamenti: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, DPF certificato
Email transazionale e PEC: IONOS SE (DE)
Push notifications mobile: Google LLC — Firebase Cloud Messaging (USA, DPF certificato)
Channel Manager OTA: STAAH Limited (Nuova Zelanda) — paese con decisione di adeguatezza UE (2012)
In-app purchase e subscription: Apple Distribution International Ltd (IE) / Apple Inc. (USA, DPF), Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)
Serrature smart (opzionale, se attivate): Tuya Smart (CN) — SCC UE e misure integrative
Consulenti professionali: commercialista, avvocato, consulenti IT, designati come Responsabili o Titolari autonomi secondo necessita'

OTA (Titolari autonomi per il rapporto col viaggiatore)

Booking.com, Airbnb, Expedia, VRBO, Agoda e circa 55 altri canali collegati tramite STAAH: i dati di prenotazione transitano in base al contratto tra la struttura e l'OTA

7.2 Trasferimento Dati Extra-UE

Alcuni trattamenti comportano trasferimenti di dati personali al di fuori dell'Unione Europea. In tutti i casi sono adottate garanzie ai sensi del Capo V GDPR:

USA — EU-U.S. Data Privacy Framework (Decisione UE 2023/1795): Stripe Inc., Google LLC (FCM), Apple Inc., Microsoft Corp., DigitalOcean LLC, in quanto certificati attivi nel Framework
Nuova Zelanda — Decisione di adeguatezza (Decisione UE 2013/65): STAAH Limited
Cina (opzionale) — Clausole Contrattuali Standard (SCC) 2021/914 + misure supplementari: Tuya Smart, solo per le strutture che attivano serrature smart
Per ogni trasferimento in assenza di DPF attivo o adeguatezza, Vezpa adotta SCC UE 2021/914 e, quando applicabile, Transfer Impact Assessment (TIA) documentato

7.3 Diffusione

I dati personali non sono oggetto di diffusione (comunicazione a soggetti indeterminati) e non vengono venduti.

8. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, hai diritto di:

📧 Accesso (art. 15): ottenere conferma dell'esistenza dei tuoi dati e riceverne copia
✏️ Rettifica (art. 16): correggere dati inesatti o incompleti
🗑️ Cancellazione (art. 17): ottenere la cancellazione dei dati (diritto all'oblio) quando ricorrono i presupposti
⏸️ Limitazione (art. 18): limitare il trattamento in determinate condizioni
📤 Portabilità (art. 20): ricevere i dati in formato strutturato e trasmetterli ad altro titolare
🚫 Opposizione (art. 21): opporti al trattamento per motivi legittimi
❌ Revoca consenso: revocare in qualsiasi momento il consenso al marketing

            ⚠️ Nota importante: Per i dati degli ospiti, questi diritti devono essere esercitati presso la struttura ricettiva (che è il Titolare del trattamento), non direttamente verso Vezpa. Vezpa, come Responsabile, assiste il Titolare nell'evasione delle richieste ai sensi dell'art. 28.3.e GDPR.
        

Marketing e newsletter

L'iscrizione a comunicazioni commerciali richiede consenso esplicito con doppio opt-in (conferma via link email). Ogni comunicazione contiene un link di disiscrizione immediato. Per i clienti esistenti, Vezpa puo' inviare comunicazioni su prodotti e servizi analoghi ai sensi dell'art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), con possibilita' sempre attiva di opporsi.

Come esercitare i diritti

Puoi esercitare i tuoi diritti scrivendo a:

📧 Email: [email protected]
✉️ PEC: [email protected]
📮 Raccomandata A/R all'indirizzo in intestazione

Ti risponderemo entro 30 giorni dalla richiesta.

Diritto di reclamo

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo all'autorità di controllo:

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

9. Minori

Il servizio Vezpa PMS è destinato esclusivamente a persone maggiori di 18 anni. Non raccogliamo consapevolmente dati di minori. Se un genitore o tutore ritiene che un minore abbia fornito dati personali, può contattarci per la loro immediata cancellazione.

10. Modifiche alla Privacy Policy

Questa Privacy Policy può essere modificata nel tempo. Ogni modifica sostanziale sarà comunicata con adeguato preavviso tramite:

Pubblicazione della nuova versione sul sito web
Notifica via email agli utenti registrati
Banner informativo nell'area riservata

La data di ultimo aggiornamento è sempre indicata in cima al documento.