📌 Precedência jurídica: este documento é uma tradução de cortesia do original italiano. Em caso de divergência entre esta tradução e a versão italiana,
prevalecerá a versão italiana como referência juridicamente vinculativa. Original italiano disponível aqui:
https://vezpa.it/dpa/.
📌 Objeto deste documento: o presente Acordo de tratamento de dados (
DPA) regula o tratamento dos dados pessoais dos
hospedes das unidades de alojamento que utilizam a plataforma Vezpa. A unidade (
Responsavel) confia a Vezpa (
Subcontratante) o tratamento desses dados. O DPA e parte integrante dos
Termos de Servico e e aceite em simultaneo com o registo da unidade.
A quem se aplica: este DPA aplica-se sempre que a unidade utiliza a Vezpa para tratar dados pessoais de pessoas distintas da propria unidade (tipicamente: hospedes, seus acompanhantes, contactos de reserva).
Nao se aplica ao tratamento dos dados dos utilizadores profissionais da unidade, relativamente aos quais a Vezpa opera como Responsavel autonomo (ver
Politica de Privacidade).
1. Partes
| Responsavel pelo tratamento ("Responsavel") |
A unidade de alojamento que subscreve a Vezpa, conforme identificada na respetiva conta (razao social, NIF, sede, representante legal). |
| Subcontratante ("Subcontratante" / "Vezpa") |
Vezpa di Paolo Vezzola, NIF 04449070988, sede em via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] · Email: [email protected] |
2. Objeto e duracao (art. 28.o, n.o 3 RGPD)
O Responsavel encarrega o Subcontratante de tratar dados pessoais por sua conta atraves da plataforma Vezpa. O tratamento tem a duracao do contrato de subscricao entre as partes e cessa com a sua resolucao, sem prejuizo do disposto no §14.
3. Natureza, finalidade e tipo de dados tratados
3.1 Finalidades
- Gestao das reservas, da estadia e do check-in/check-out
- Cumprimento das obrigacoes legais do Responsavel perante as autoridades publicas (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Comunicacao dos dados de reserva aos canais OTA e ao channel manager ativados pela unidade
- Emissao de comunicacoes ao hospede (confirmacoes, pre-check-in, pagamentos)
- Processamento de pagamentos atraves de Booking Engine ou link Stripe
- Producao de relatorios e estatisticas para o Responsavel
3.2 Categorias de titulares
- Hospedes das unidades e seus acompanhantes
- Pessoas que reservam por conta de outras
- Contactos de emergencia eventualmente fornecidos pelo hospede
3.3 Tipo de dados pessoais tratados
- Dados identificativos e de identificacao (nome, apelido, data e local de nascimento, nacionalidade, genero)
- Documentos de identificacao (tipo, numero, data de emissao, entidade emissora, imagem digitalizada ou fotografada)
- Dados textuais extraidos do documento atraves de OCR automatico
- Dados de contacto (email, telefone, morada)
- Dados de reserva e estadia
- Dados de pagamento (geridos pela Stripe, nao armazenados na Vezpa)
⚠️ Dados especiais (art. 9.o RGPD): o documento de identificacao pode conter dados especiais (ex. local de nascimento). O Responsavel declara possuir fundamento juridico idoneo nos termos do art. 9.o, n.o 2 RGPD (tipicamente al. b), f) ou g)) e instrui o Subcontratante a limitar o tratamento de tais dados as comunicacoes exigidas por lei perante as autoridades publicas e a conservacao nos termos previstos.
4. Instrucoes do Responsavel (art. 28.o, n.o 3, al. a) RGPD)
O Subcontratante trata os dados pessoais exclusivamente com base em instrucoes documentadas do Responsavel. As instrucoes gerais estao contidas no presente DPA, na Politica de Privacidade, na Informacao RGPD e nos Termos de Servico. Instrucoes especificas podem ser transmitidas pelo Responsavel atraves de:
- Configuracoes na propria conta (ativacao/desativacao de conectores governamentais, OTA, retention)
- Comunicacao escrita para [email protected] ou por PEC para [email protected]
Caso o Subcontratante considere que uma instrucao viola o RGPD ou outra disposicao aplicavel, informa imediatamente o Responsavel.
5. Obrigacoes do Subcontratante (art. 28.o, n.o 3, al. b) a h) RGPD)
O Subcontratante compromete-se a:
- Confidencialidade: tratar os dados de modo confidencial e garantir que as pessoas autorizadas ao tratamento estejam vinculadas a dever de sigilo;
- Seguranca: adotar as medidas tecnicas e organizativas indicadas no Anexo B, adequadas ao risco;
- Subcontratantes ulteriores: respeitar as condicoes do §6;
- Assistencia ao Responsavel: assistir o Responsavel no cumprimento das suas obrigacoes, em particular:
- Resposta aos pedidos dos titulares (arts. 15.o a 22.o RGPD) em prazos que permitam ao Responsavel responder nos 30 dias legais;
- Notificacao de data breach ao Responsavel no prazo de 24 horas a contar da descoberta (§7);
- Apoio a AIPD (art. 35.o) e consultas previas (art. 36.o);
- Demonstracao de conformidade atraves de documentacao e, quando solicitado, auditoria (§9).
- Devolucao / apagamento dos dados no termo, conforme previsto no §14;
- Informacao: colocar a disposicao do Responsavel todas as informacoes necessarias para demonstrar a conformidade com o presente DPA.
6. Subcontratantes ulteriores (art. 28.o, n.os 2 e 4 RGPD)
6.1 Autorizacao geral
O Responsavel autoriza o Subcontratante a nomear os subcontratantes ulteriores listados em vezpa.it/subprocessors e os que venham a ser posteriormente adicionados segundo o procedimento aqui descrito.
6.2 Aviso previo de alteracao
O Subcontratante comunica ao Responsavel a intencao de adicionar ou substituir um subcontratante ulterior com pelo menos 30 dias de aviso previo, atraves de email para o endereco registado e/ou aviso no painel de controlo. Dentro desse prazo, o Responsavel pode opor-se de forma fundamentada. Em caso de oposicao nao sanavel, cada parte pode resolver o contrato com cessacao do tratamento em causa.
6.3 Obrigacoes para com os subcontratantes ulteriores
O Subcontratante impoe aos subcontratantes ulteriores, por escrito, obrigacoes de protecao de dados equivalentes as aqui previstas, e responde perante o Responsavel pela atuacao dos subcontratantes ulteriores.
7. Data breach (art. 33.o RGPD)
Em caso de violacao de dados pessoais que afete dados tratados por conta do Responsavel, o Subcontratante:
- Notifica o Responsavel sem atraso injustificado e, em qualquer caso, no prazo de 24 horas a contar da descoberta;
- Fornece as informacoes do art. 33.o, n.o 3 RGPD (natureza, categorias e numero aproximado de titulares e de dados, consequencias provaveis, medidas adotadas ou propostas);
- Colabora com o Responsavel nas comunicacoes aos titulares e a Autoridade de controlo;
- Documenta o incidente e as acoes empreendidas.
A notificacao ao Responsavel efetua-se por email para o endereco registado e PEC, se disponivel. O Responsavel permanece responsavel pelas notificacoes externas (autoridade italiana de protecao de dados (Garante), titulares) nos termos dos arts. 33.o e 34.o RGPD.
8. Direitos dos titulares (art. 28.o, n.o 3, al. e) RGPD)
Se um titular se dirigir diretamente ao Subcontratante para exercer direitos relativos a dados tratados por conta do Responsavel, o Subcontratante encaminha o pedido ao Responsavel sem demora e nao responde por conta do Responsavel, salvo instrucoes em contrario.
O Subcontratante disponibiliza ao Responsavel, no painel de controlo e atraves de API, funcionalidades para:
- Exportacao dos dados de um titular (acesso e portabilidade)
- Retificacao
- Apagamento ou anonimizacao
- Limitacao do tratamento
Para pedidos que exijam intervencao tecnica manual, o Subcontratante responde no prazo de 10 dias uteis a contar da rececao da instrucao do Responsavel.
9. Auditoria (art. 28.o, n.o 3, al. h) RGPD)
O Subcontratante fornece ao Responsavel, a pedido, informacoes e documentacao que demonstrem a conformidade com o presente DPA, incluindo:
- Resumo das medidas de seguranca implementadas
- Lista dos subcontratantes ulteriores com sedes e bases de transferencia
- Registo das atividades de tratamento (extratos relevantes)
- Certificacoes dos subcontratantes ulteriores (ISO 27001, SOC 2, DPF) quando disponiveis
O Responsavel pode conduzir auditorias (diretamente ou atraves de terceiros independentes sujeitos a dever de sigilo) com aviso previo de pelo menos 30 dias, em horario de trabalho, sem interromper as operacoes e com uma frequencia nao superior a uma vez por ano (salvo data breach). Cada parte suporta os respetivos custos.
10. Transferencias fora da UE (Capitulo V do RGPD)
A lista dos subcontratantes ulteriores com indicacao da sede e do fundamento juridico da transferencia esta publicada em vezpa.it/subprocessors. Para as transferencias nao abrangidas por decisao de adequacao, o Subcontratante adota:
- Clausulas Contratuais-Tipo 2021/914 e medidas suplementares sempre que necessarias (Transfer Impact Assessment documentado);
- Ou outras garantias adequadas previstas no art. 46.o RGPD.
11. Papel do Responsavel
O Responsavel declara e garante que:
- Forneceu aos titulares a informacao prevista nos arts. 13.o e 14.o RGPD;
- Adquiriu os eventuais fundamentos juridicos (consentimento, contrato, obrigacao legal) necessarios ao tratamento;
- Transmite instrucoes licitas ao Subcontratante;
- Garante a correta conservacao e apagamento dos dados apos a saida da plataforma Vezpa.
12. Confidencialidade
Cada parte mantem estritamente confidenciais todas as informacoes recebidas da outra parte em execucao do presente DPA, por toda a duracao do contrato e pelos 5 anos subsequentes.
13. Responsabilidade
A responsabilidade de cada parte nos termos do art. 82.o RGPD perante os titulares permanece regulada pela lei. Nas relacoes entre as partes, o regime de responsabilidade contratual e o estabelecido nos Termos de Servico (§§9-10), sem prejuizo da repartisicao inderrogavel prevista no art. 82.o RGPD.
14. Cessacao do tratamento
Na cessacao do contrato por qualquer causa, o Subcontratante:
- Disponibiliza ao Responsavel os instrumentos para exportar os seus dados em formato estruturado (CSV/JSON) durante 30 dias a contar da cessacao;
- Decorridos os 30 dias, apaga ou anonimiza os dados tratados por conta do Responsavel nos sistemas de producao;
- Apaga os dados das copias de seguranca dentro do ciclo de rotacao seguinte (tipicamente, no prazo de 90 dias);
- Conserva os dados que a Vezpa esta obrigada a conservar por lei (tipicamente: dados de faturacao e registos de seguranca) apenas pelos prazos impostos pela legislacao aplicavel, mantendo sobre os mesmos medidas de seguranca adequadas.
15. Alteracoes
O Subcontratante pode alterar o presente DPA para acolher evolucoes regulamentares (ex. novas CCT, provimentos da autoridade italiana de protecao de dados (Garante)) ou variacoes organizativas. As alteracoes substanciais sao comunicadas ao Responsavel com pelo menos 30 dias de aviso previo. Caso o Responsavel nao aceite, pode resolver o contrato sem penalidade pela parte nao fruida da subscricao.
16. Lei aplicavel
O presente DPA e regulado pela lei italiana. Para os litigios aplica-se o §16 dos Termos de Servico.
Anexo A - Descricao sintetica do tratamento
| Item |
Descricao |
| Natureza do tratamento |
Recolha, registo, organizacao, estruturacao, conservacao, adaptacao, extracao, consulta, utilizacao, comunicacao, transmissao a canais OTA e autoridades publicas, apagamento |
| Finalidades |
Ver §3.1 |
| Categorias de titulares |
Ver §3.2 |
| Categorias de dados |
Ver §3.3 |
| Duracao |
Durante toda a duracao do contrato. Retention especifica por categorias de dados conforme a Politica de Privacidade §6 |
Anexo B - Medidas tecnicas e organizativas de seguranca (art. 32.o RGPD)
Medidas tecnicas
- Encriptacao em transito: HTTPS/TLS 1.2+, HSTS
- Cifragem at-rest: campos sensiveis com django-cryptography, volumes e snapshots cifrados ao nivel da infraestrutura (DigitalOcean)
- Hashing de palavras-passe com PBKDF2 com salt (predefinicao Django)
- Autenticacao: JWT em rotacao (access 15 min, refresh 180 dias com blacklist), 2FA TOTP opcional
- Bot blocker e rate limiting para prevenir ataques automatizados
- Controlo de acessos baseado em papeis (diretor/assistente/governanta/observador)
- Copias de seguranca geridas pelo prestador de infraestrutura na UE
- Registos aplicacionais e de acesso para detecao de anomalias
- Secure Storage ao nivel da aplicacao: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Medidas organizativas
- A Vezpa opera atualmente como empresa em nome individual sem trabalhadores; eventuais colaboradores externos sao designados por escrito como Subcontratantes ou Pessoas autorizadas com dever de sigilo
- Procedimento documentado de resposta a incidentes
- Registo das atividades de tratamento (art. 30.o) atualizado
- DPA com os principais subcontratantes ulteriores
- Privacy by Design and by Default nas fases de desenvolvimento
- Separacao de ambientes de producao / staging / desenvolvimento
Anexo C - Subcontratantes ulteriores autorizados
A lista vigente esta publicada e e mantida atualizada em vezpa.it/subprocessors. No momento da celebracao do contrato, a lista compreende (entre outros):
- DigitalOcean LLC - infraestrutura (UE Frankfurt + EUA DPF)
- Stripe - pagamentos (UE/EUA DPF)
- Google LLC - Firebase Cloud Messaging (EUA DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, adequacao)
- Apple Distribution International Ltd (IE) / Apple Inc. - compras in-app (a Apple nao adere ao DPF, transferencias para os EUA via SCC 2021/914)
- Google LLC / Microsoft Corp. - compras in-app (EUA DPF certificacao ativa)
- Tuya Smart - fechaduras inteligentes (CN, apenas se ativada pela unidade, CCT)
© 2022-2026 Vezpa - Todos os direitos reservados |
Politica de Privacidade |
Termos de Servico |
Politica de Cookies |
RGPD |
DPA |
Subcontratantes ulteriores