📌 Prelación jurídica: este documento es una traducción de cortesía del original italiano. En caso de discrepancia entre esta traducción y la versión italiana,
prevalecerá la versión italiana como referencia jurídicamente vinculante. Original italiano disponible aquí:
https://vezpa.it/dpa/.
Objeto de este documento: el presente Contrato de encargo del tratamiento (
DPA) regula el tratamiento de los datos personales de los
huespedes de los establecimientos de alojamiento que utilizan la plataforma Vezpa. El establecimiento (
Responsable del tratamiento) encomienda a Vezpa (
Encargado del tratamiento) el tratamiento de tales datos. El DPA forma parte integrante de los
Terminos del Servicio y se acepta al mismo tiempo que el registro del establecimiento.
A quien se aplica: este DPA se aplica cada vez que el establecimiento utiliza Vezpa para tratar datos personales de sujetos distintos del propio establecimiento (tipicamente: huespedes, sus acompanantes, contactos de reserva).
No se aplica al tratamiento de los datos de los usuarios profesionales del establecimiento, para los que Vezpa actua como Responsable autonomo (vease
Politica de Privacidad).
1. Partes
| Responsable del tratamiento ("Responsable") |
El establecimiento de alojamiento que suscribe la suscripcion de Vezpa, segun lo identificado en su cuenta (razon social, NIF, domicilio, representante legal). |
| Encargado del tratamiento ("Encargado" / "Vezpa") |
Vezpa di Paolo Vezzola, P.IVA 04449070988, domicilio en via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] - Email: [email protected] |
2. Objeto y duracion (art. 28.3 RGPD)
El Responsable encarga al Encargado tratar datos personales por su cuenta mediante la plataforma Vezpa. El tratamiento tiene la duracion del contrato de suscripcion entre las partes y cesa con su resolucion, sin perjuicio de lo previsto en el §14.
3. Naturaleza, finalidad y tipologia de los datos tratados
3.1 Finalidad
- Gestion de las reservas, de la estancia y del check-in/check-out
- Cumplimiento de las obligaciones legales del Responsable frente a las autoridades publicas (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Comunicacion de los datos de reserva a los canales OTA y al channel manager activados por el establecimiento
- Emision de comunicaciones al huesped (confirmaciones, pre-check-in, pagos)
- Procesamiento de pagos mediante Booking Engine o enlace Stripe
- Produccion de informes y estadisticas para el Responsable
3.2 Categorias de interesados
- Huespedes de los establecimientos y sus acompanantes
- Personas que reservan por cuenta de terceros
- Contactos de emergencia eventualmente proporcionados por el huesped
3.3 Tipologia de datos personales tratados
- Datos identificativos y personales (nombre, apellidos, fecha y lugar de nacimiento, nacionalidad, genero)
- Documentos de identidad (tipo, numero, fecha de expedicion, organismo emisor, imagen escaneada o fotografiada)
- Datos de texto extraidos del documento mediante OCR automatico
- Datos de contacto (email, telefono, direccion)
- Datos de reserva y estancia
- Datos de pago (gestionados por Stripe, no almacenados en Vezpa)
Categorias especiales de datos (art. 9 RGPD): el documento de identidad puede contener categorias especiales de datos (p. ej. lugar de nacimiento). El Responsable declara disponer de una base juridica adecuada conforme al art. 9.2 RGPD (tipicamente lett. b, f o g) e instruye al Encargado para limitar el tratamiento de tales datos a las comunicaciones requeridas por la ley frente a las autoridades publicas y a la conservacion en los plazos previstos.
4. Instrucciones del Responsable (art. 28.3.a RGPD)
El Encargado trata los datos personales exclusivamente sobre la base de instrucciones documentadas del Responsable. Las instrucciones generales estan contenidas en el presente DPA, en la Politica de Privacidad, en la Informacion RGPD y en los Terminos del Servicio. Pueden impartirse instrucciones especificas por el Responsable a traves de:
- Configuraciones en su cuenta (activacion/desactivacion de conectores gubernamentales, OTA, retencion)
- Comunicacion escrita a [email protected] o via PEC a [email protected]
Si el Encargado considera que una instruccion infringe el RGPD u otras disposiciones aplicables, informa inmediatamente al Responsable.
5. Obligaciones del Encargado (art. 28.3.b-h RGPD)
El Encargado se compromete a:
- Confidencialidad: tratar los datos de forma confidencial y garantizar que las personas autorizadas al tratamiento estan obligadas a la confidencialidad;
- Seguridad: adoptar las medidas tecnicas y organizativas del Anexo B, adecuadas al riesgo;
- Subencargados: respetar las condiciones del §6;
- Asistencia al Responsable: asistir al Responsable en el cumplimiento de sus obligaciones, en particular:
- Respuesta a las solicitudes de los interesados (arts. 15-22 RGPD) en plazos que permitan al Responsable responder en los 30 dias legales;
- Notificacion de data breach al Responsable en un plazo de 24 horas desde el descubrimiento (§7);
- Soporte en DPIA (art. 35) y consultas previas (art. 36);
- Demostracion de cumplimiento mediante documentacion y, cuando sea requerido, auditorias (§9).
- Devolucion / supresion de los datos al final, segun lo previsto en el §14;
- Informacion: poner a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento del presente DPA.
6. Subencargados (art. 28.2 y 28.4 RGPD)
6.1 Autorizacion general
El Responsable autoriza al Encargado a designar los subencargados enumerados en vezpa.it/subprocessors y aquellos que se anadiran posteriormente segun el procedimiento aqui descrito.
6.2 Preaviso de modificacion
El Encargado comunica al Responsable la intencion de anadir o sustituir a un subencargado con al menos 30 dias de preaviso, mediante email a la direccion registrada y/o aviso en el dashboard. Dentro de dicho plazo, el Responsable puede oponerse motivadamente. En caso de oposicion no resoluble, cualquiera de las partes puede rescindir el contrato con cese del tratamiento afectado.
6.3 Obligaciones frente a los subencargados
El Encargado impone por escrito a los subencargados obligaciones de proteccion de datos equivalentes a las aqui previstas, y responde frente al Responsable de la actuacion de los subencargados.
7. Data breach (art. 33 RGPD)
En caso de violacion de datos personales que afecte a los datos tratados por cuenta del Responsable, el Encargado:
- Notifica al Responsable sin demora injustificada y en cualquier caso en un plazo de 24 horas desde el descubrimiento;
- Proporciona la informacion del art. 33.3 RGPD (naturaleza, categorias y numero aproximado de interesados y de datos, consecuencias probables, medidas adoptadas o propuestas);
- Colabora con el Responsable en las comunicaciones a los interesados y a la Autoridad de control;
- Documenta el incidente y las acciones emprendidas.
La notificacion al Responsable se realiza via email a la direccion registrada y PEC, si esta disponible. El Responsable sigue siendo responsable de las notificaciones externas (autoridad de control, interesados) en virtud de los arts. 33-34 RGPD.
8. Derechos de los interesados (art. 28.3.e RGPD)
Si un interesado se dirige directamente al Encargado para ejercer derechos relativos a datos tratados por cuenta del Responsable, el Encargado traslada la solicitud al Responsable sin demora y no responde por cuenta del Responsable salvo instrucciones diferentes.
El Encargado pone a disposicion del Responsable, en el dashboard y via API, funcionalidades para:
- Exportacion de los datos de un interesado (acceso y portabilidad)
- Rectificacion
- Supresion o anonimizacion
- Limitacion del tratamiento
Para las solicitudes que requieran intervencion tecnica manual, el Encargado responde en un plazo de 10 dias laborables desde la recepcion de la instruccion del Responsable.
9. Auditorias (art. 28.3.h RGPD)
El Encargado proporciona al Responsable, a peticion, informacion y documentacion que demuestre el cumplimiento del presente DPA, entre ellas:
- Resumen de las medidas de seguridad aplicadas
- Lista de los subencargados con domicilio y bases de transferencia
- Registro de las actividades de tratamiento (extractos relevantes)
- Certificaciones de los subencargados (ISO 27001, SOC 2, DPF) cuando esten disponibles
El Responsable puede llevar a cabo auditorias (directamente o a traves de terceros independientes sujetos a confidencialidad) con un preaviso de al menos 30 dias, durante el horario laboral, sin interrumpir las operaciones y con una frecuencia no superior a una vez al ano (salvo data breach). Cada parte asume sus propios costes.
10. Transferencias extra-UE (Capitulo V RGPD)
La lista de los subencargados con indicacion del domicilio y de la base juridica de la transferencia se publica en vezpa.it/subprocessors. Para las transferencias no cubiertas por decision de adecuacion, el Encargado adopta:
- Clausulas Contractuales Tipo 2021/914 y medidas suplementarias cuando sean necesarias (Transfer Impact Assessment documentado);
- O bien otras garantias adecuadas previstas por el art. 46 RGPD.
11. Rol del Responsable
El Responsable declara y garantiza haber:
- Proporcionado a los interesados la informacion prevista en los arts. 13-14 RGPD;
- Obtenido las eventuales bases juridicas (consentimiento, contrato, obligacion legal) necesarias para el tratamiento;
- Impartido instrucciones licitas al Encargado;
- Garantizado la correcta conservacion y supresion de los datos tras la baja de la plataforma Vezpa.
12. Confidencialidad
Cada parte mantiene estrictamente confidencial toda la informacion recibida de la otra parte en ejecucion del presente DPA, durante toda la duracion del contrato y durante los 5 anos siguientes.
13. Responsabilidad
La responsabilidad de cada parte conforme al art. 82 RGPD frente a los interesados sigue estando regulada por la ley. En las relaciones entre las partes, el regimen de responsabilidad contractual es el establecido en los Terminos del Servicio (§9-10), sin perjuicio del reparto inderogable previsto en el art. 82 RGPD.
14. Cese del tratamiento
Al cesar el contrato por cualquier causa, el Encargado:
- Pone a disposicion del Responsable las herramientas para exportar sus datos en formato estructurado (CSV/JSON) durante 30 dias desde el cese;
- Transcurridos los 30 dias, suprime o anonimiza los datos tratados por cuenta del Responsable de los sistemas de produccion;
- Suprime los datos de las copias de seguridad en el siguiente ciclo de rotacion (tipicamente en un plazo de 90 dias);
- Conserva los datos que Vezpa esta obligada a conservar por ley (tipicamente: datos de facturacion y registros de seguridad) solo durante los plazos impuestos por la normativa aplicable, manteniendo sobre ellos medidas de seguridad adecuadas.
15. Modificaciones
El Encargado puede modificar el presente DPA para adaptarlo a evoluciones normativas (p. ej. nuevas SCC, resoluciones de la autoridad de control) o variaciones organizativas. Las modificaciones sustanciales se comunican al Responsable con al menos 30 dias de preaviso. Si el Responsable no las acepta, puede rescindir sin penalizacion por la parte no disfrutada de la suscripcion.
16. Ley aplicable
El presente DPA esta regulado por la ley italiana. Para las controversias se aplica el §16 de los Terminos del Servicio.
Anexo A - Descripcion sintetica del tratamiento
| Punto |
Descripcion |
| Naturaleza del tratamiento |
Recogida, registro, organizacion, estructuracion, conservacion, adaptacion, extraccion, consulta, uso, comunicacion, transmision a canales OTA y autoridades publicas, supresion |
| Finalidad |
Vease §3.1 |
| Categorias de interesados |
Vease §3.2 |
| Categorias de datos |
Vease §3.3 |
| Duracion |
Durante toda la duracion del contrato. Retencion especifica por categorias de datos segun Politica de Privacidad §6 |
Anexo B - Medidas tecnicas y organizativas de seguridad (art. 32 RGPD)
Medidas tecnicas
- Cifrado en transito: HTTPS/TLS 1.2+, HSTS
- Cifrado en reposo: campos sensibles con django-cryptography, volumenes y snapshots cifrados a nivel de infraestructura (DigitalOcean)
- Hashing de contrasenas con PBKDF2 salado (por defecto en Django)
- Autenticacion: JWT con rotacion (access 15 min, refresh 180 dias con lista negra), 2FA TOTP opcional
- Bot blocker y rate limiting para prevenir ataques automatizados
- Control de acceso basado en roles (director/asistente/gobernanta/observador)
- Copias de seguridad gestionadas por el proveedor de infraestructura en UE
- Registros de aplicacion y de acceso para deteccion de anomalias
- Secure Storage a nivel de app: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Medidas organizativas
- Vezpa opera actualmente como empresa individual sin empleados; los eventuales colaboradores externos son designados por escrito como Encargados o Personas autorizadas con obligaciones de confidencialidad
- Procedimiento documentado de respuesta a incidentes
- Registro de actividades de tratamiento (art. 30) actualizado
- DPA con los subencargados principales
- Privacy by Design and by Default en las fases de desarrollo
- Separacion de entornos produccion / staging / desarrollo
Anexo C - Subencargados autorizados
La lista vigente se publica y se mantiene actualizada en vezpa.it/subprocessors. En el momento del inicio del contrato, la lista incluye (entre otros):
- DigitalOcean LLC - infraestructura (UE Francfort + EE.UU. DPF)
- Stripe - pagos (UE/EE.UU. DPF)
- Google LLC - Firebase Cloud Messaging (EE.UU. DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, adecuacion)
- Apple Distribution International Ltd (IE) / Apple Inc. - compras dentro de la app (Apple no se adhiere al DPF, transferencias a EE.UU. via SCC 2021/914)
- Google LLC / Microsoft Corp. - compras dentro de la app (EE.UU. DPF certificacion activa)
- Tuya Smart - cerraduras inteligentes (CN, solo si es activado por el establecimiento, SCC)
© 2022-2026 Vezpa - Todos los derechos reservados |
Politica de Privacidad |
Terminos del Servicio |
Politica de Cookies |
RGPD |
DPA |
Subencargados