Informativa GDPR - La Vezpa PMS

1. Introduzione e Ambito di Applicazione

La presente informativa descrive come La Vezpa di Paolo Vezzola (di seguito "La Vezpa" o "Noi") tratta i dati personali in conformità al:

Regolamento UE 2016/679 (GDPR)
Decreto Legislativo 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018
Provvedimenti e Linee Guida del Garante per la Protezione dei Dati Personali

1.1 A Chi si Applica

Questa informativa si applica a:

👤 Gestori di strutture ricettive che utilizzano La Vezpa (clienti diretti)
🏨 Ospiti che soggiornano in strutture che usano La Vezpa
👔 Partner commerciali e fornitori
🌐 Visitatori del sito web lavezpa.com

1.2 Doppio Ruolo di La Vezpa

La Vezpa opera con due ruoli distinti:

TITOLARE Per i dati dei gestori delle strutture (clienti)
RESPONSABILE Per i dati degli ospiti (trattiamo dati su istruzione del gestore della struttura)

2. Identità e Dati di Contatto del Titolare

Titolare del Trattamento:

La Vezpa di Paolo Vezzola
Sede legale: Desenzano del Garda (BS), 25015, via San Zeno 67
Partita IVA: 04449070988
Codice Fiscale: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Categorie di Dati Personali Trattati

3.1 Dati dei Gestori (Clienti)

Categoria	Tipologia di Dati	Obbligatorietà
Dati identificativi	Nome, cognome, data di nascita, codice fiscale	✅ Obbligatori
Dati di contatto	Email, telefono, indirizzo	✅ Obbligatori
Dati aziendali	Ragione sociale, P.IVA, dati struttura	✅ Obbligatori
Dati di pagamento	IBAN, carta di credito (tramite Stripe)	✅ Obbligatori per abbonamento
Dati di utilizzo	Log accessi, IP, attività sulla piattaforma	⚙️ Automatici
Dati comunicazioni	Email, chat supporto, ticket	📝 Volontari

3.2 Dati degli Ospiti (come Responsabile del Trattamento)

Categoria	Tipologia di Dati	Base Giuridica
Dati anagrafici	Nome, cognome, data e luogo di nascita, cittadinanza	Obbligo di legge (Questura)
Documento identità	Tipo, numero, data rilascio, ente	Obbligo di legge (art. 109 TULPS)
Dati contatto	Email, telefono, indirizzo	Esecuzione contratto
Dati prenotazione	Date soggiorno, numero ospiti, camera, tariffe	Esecuzione contratto
Dati pagamento	Transazioni, ricevute	Esecuzione contratto + obbligo fiscale

⚠️ Dati Particolari (Art. 9 GDPR):

La Vezpa NON raccoglie intenzionalmente dati particolari (dati sensibili) come:

❌ Origine razziale o etnica
❌ Opinioni politiche o religiose
❌ Dati sulla salute
❌ Dati biometrici o genetici
❌ Vita sessuale o orientamento sessuale

Se per errore dovessero essere inseriti tali dati, vanno immediatamente cancellati.

4. Finalità e Base Giuridica del Trattamento

4.1 Per i Gestori (Clienti)

Finalità	Base Giuridica (Art. 6 GDPR)	Conservazione
Fornitura servizio PMS	Art. 6.1.b - Esecuzione contratto	Durata contratto + 10 anni
Fatturazione e contabilità	Art. 6.1.c - Obbligo di legge	10 anni (obbligo fiscale)
Assistenza clienti	Art. 6.1.b - Esecuzione contratto	Durata contratto + 2 anni
Sicurezza e prevenzione frodi	Art. 6.1.f - Legittimo interesse	5 anni
Miglioramento servizio	Art. 6.1.f - Legittimo interesse	2 anni (dati aggregati anonimi)
Marketing diretto	Art. 6.1.a - Consenso	Fino a revoca consenso
Difesa diritti in giudizio	Art. 6.1.f - Legittimo interesse	10 anni

4.2 Per gli Ospiti (su istruzione del Gestore)

Finalità	Base Giuridica	Conservazione
Registrazione ospiti e comunicazione Questura	Art. 6.1.c - Obbligo di legge (Art. 109 TULPS, D.Lgs. 159/2011)	Minimo 2 anni
Comunicazioni ISTAT	Art. 6.1.c - Obbligo di legge	Secondo normativa ISTAT
Imposta di soggiorno (Paytourist)	Art. 6.1.c - Obbligo di legge	Secondo normativa comunale
Gestione prenotazione e soggiorno	Art. 6.1.b - Esecuzione contratto	10 anni (finalità fiscali)
Check-in online e comunicazioni	Art. 6.1.b - Esecuzione contratto	Durata soggiorno + periodo conservazione struttura

📌 Nota sul Consenso:

Per molte attività NON è necessario il consenso perché si basano su:

✅ Esecuzione del contratto (sei tu che hai richiesto il servizio)
✅ Obblighi di legge (comunicazioni obbligatorie alle autorità)
✅ Legittimo interesse (sicurezza, miglioramento servizio)

Il consenso è richiesto SOLO per marketing e profilazione.

5. Modalità del Trattamento

5.1 Principi del Trattamento (Art. 5 GDPR)

La Vezpa tratta i dati personali nel rispetto dei seguenti principi:

✅ Liceità, correttezza, trasparenza: trattiamo i dati in modo lecito e ti informiamo chiaramente
✅ Limitazione della finalità: usiamo i dati solo per gli scopi dichiarati
✅ Minimizzazione dei dati: raccogliamo solo i dati strettamente necessari
✅ Esattezza: manteniamo i dati aggiornati e accurati
✅ Limitazione della conservazione: conserviamo i dati solo per il tempo necessario
✅ Integrità e riservatezza: proteggiamo i dati con misure di sicurezza adeguate
✅ Responsabilizzazione (accountability): possiamo dimostrare la conformità al GDPR

5.2 Mezzi di Trattamento

I dati sono trattati con strumenti:

💻 Informatici: server, database, applicazioni web/mobile
📄 Cartacei: solo per documenti necessari (contratti, fatture)

5.3 Modalità di Accesso

I dati sono accessibili a:

👥 Personale autorizzato di La Vezpa (con credenziali personali)
🔐 Accesso basato sul principio del "need to know" (minimo privilegio)
📝 Log di accesso tracciati e monitorati

6. Misure di Sicurezza (Art. 32 GDPR)

6.1 Misure Tecniche

✅ Crittografia TLS/SSL: tutti i dati sono trasmessi cifrati (HTTPS)

✅ Crittografia database: dati sensibili criptati at-rest

✅ Hashing password: algoritmi sicuri (bcrypt/Argon2)

✅ Firewall: protezione perimetrale avanzata

✅ Antivirus e Anti-malware: aggiornati costantemente

✅ Backup giornalieri: cifrati e georidondanti

✅ Disaster Recovery Plan: procedure di ripristino testate

✅ Autenticazione multi-fattore (MFA): per accessi amministrativi

✅ Monitoring 24/7: rilevamento anomalie e intrusioni

✅ Vulnerability Assessment: scan di sicurezza periodici

6.2 Misure Organizzative

✅ Formazione personale: training GDPR e sicurezza

✅ Accordi NDA: tutti i dipendenti firmano accordi di riservatezza

✅ Politiche di sicurezza: procedure documentate

✅ Gestione incidenti: piano di risposta a data breach

✅ Audit periodici: verifiche di conformità regolari

✅ Data Protection by Design: privacy integrata nello sviluppo

✅ Controllo accessi: autorizzazioni basate su ruoli (RBAC)

6.3 Certificazioni e Standard

🏆 Server EU: tutti i server sono ubicati nell'Unione Europea
🏆 PCI-DSS Compliant: tramite payment provider certificati (Stripe)

7. Destinatari dei Dati (Art. 13.1.e GDPR)

7.1 Categorie di Destinatari

I tuoi dati possono essere comunicati alle seguenti categorie di destinatari:

Categoria	Destinatari	Ruolo	Finalità
Autorità pubbliche	Questura, ISTAT, Comune, Agenzia Entrate	Titolari autonomi	Obbligo di legge
Hosting provider	DigitalOcean - Server EU	Responsabile	Infrastruttura IT
Payment gateway	Stripe	Responsabile	Pagamenti
Email provider	IONOS	Responsabile	Invio comunicazioni
OTA	Booking.com, Airbnb, Expedia, ecc.	Titolari autonomi	Gestione prenotazioni
Professionisti	Commercialisti, avvocati, consulenti	Responsabili	Consulenze specialistiche

7.2 Elenco Responsabili del Trattamento

Un elenco aggiornato di tutti i Responsabili del Trattamento (art. 28 GDPR) nominati da La Vezpa è disponibile su richiesta scrivendo a: [email protected]

7.3 Trasferimenti Extra-UE

⚠️ Trasferimenti di Dati al di fuori dell'UE:

Alcuni servizi potrebbero comportare trasferimenti di dati verso paesi extra-UE:

Stati Uniti: Stripe (Payment) - Clausole Contrattuali Standard approvate dalla Commissione UE

In tutti i casi, garantiamo che i trasferimenti avvengano nel rispetto del Capo V GDPR.

8. Diritti dell'Interessato (Artt. 15-22 GDPR)

8.1 Diritti Esercitabili

Diritto	Art. GDPR	Descrizione
Accesso	Art. 15	Ottenere conferma dell'esistenza dei tuoi dati e riceverne copia
Rettifica	Art. 16	Correggere dati inesatti o integrarli
Cancellazione ("oblio")	Art. 17	Ottenere la cancellazione dei dati (con eccezioni per obblighi di legge)
Limitazione	Art. 18	Limitare il trattamento in determinate condizioni
Portabilità	Art. 20	Ricevere i dati in formato strutturato (CSV, JSON) e trasferirli ad altro titolare
Opposizione	Art. 21	Opporsi al trattamento basato su legittimo interesse
Revoca consenso	Art. 7.3	Revocare il consenso al marketing in qualsiasi momento
Reclamo	Art. 77	Proporre reclamo al Garante Privacy
Non profilazione automatizzata	Art. 22	Non essere soggetto a decisioni basate unicamente su trattamento automatizzato

8.2 Come Esercitare i Diritti

Puoi esercitare i tuoi diritti attraverso:

📧 Email: [email protected]
📧 PEC: [email protected]
📮 Raccomandata A/R: La Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Area riservata: Sezione "Privacy e Dati" nella dashboard (per alcuni diritti)

8.3 Tempi di Risposta

La Vezpa risponde alle richieste entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in casi complessi, con comunicazione motivata).

8.4 Limitazioni ai Diritti

Alcuni diritti (cancellazione, limitazione) potrebbero non essere esercitabili quando:

⚖️ Esistono obblighi di legge che ci impongono di conservare i dati
⚖️ I dati sono necessari per difendere diritti in giudizio
⚖️ Prevale un interesse pubblico

9. Data Breach e Notifiche (Artt. 33-34 GDPR)

9.1 Procedura in Caso di Violazione Dati

In caso di data breach (violazione dei dati personali), La Vezpa:

📊 Valuta l'incidente entro 24 ore dalla scoperta
📢 Notifica al Garante entro 72 ore (se c'è rischio per i diritti degli interessati)
📧 Comunica agli interessati senza ingiustificato ritardo (se c'è alto rischio)
📝 Documenta l'incidente nel registro delle violazioni
🔧 Adotta misure correttive per prevenire future violazioni

9.2 Trasparenza

In caso di data breach che ti riguarda, riceverai una comunicazione contenente:

Natura della violazione
Dati coinvolti
Possibili conseguenze
Misure adottate e consigliate
Contatti del DPO

10. Data Protection Impact Assessment (DPIA)

La Vezpa ha condotto una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR per valutare i rischi del trattamento su larga scala.

Risultati della DPIA:

✅ Rischio complessivo: MEDIO-BASSO
✅ Misure di mitigazione implementate
✅ Nessuna necessità di consultazione preventiva con il Garante

11. Responsabile del Trattamento (Art. 28 GDPR)

11.1 Accordi con i Clienti (per dati ospiti)

Quando il gestore della struttura utilizza La Vezpa per trattare dati degli ospiti:

Il gestore è il Titolare del trattamento
La Vezpa è il Responsabile del trattamento
Viene stipulato un Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR

11.2 Contenuto del DPA

Il Data Processing Agreement contiene:

📋 Oggetto e durata del trattamento
📋 Natura e finalità del trattamento
📋 Tipo di dati personali e categorie di interessati
📋 Obblighi e diritti del titolare
📋 Istruzioni documentate sul trattamento
📋 Misure di sicurezza implementate
📋 Sub-responsabili autorizzati
📋 Assistenza al titolare per diritti degli interessati

Il DPA è parte integrante dei Termini di Servizio.

12. Privacy by Design e by Default (Art. 25 GDPR)

12.1 Privacy by Design

La Vezpa integra la protezione dei dati fin dalla progettazione:

🔒 Crittografia nativa in tutte le comunicazioni
🔒 Pseudonimizzazione dove possibile
🔒 Minimizzazione dei dati raccolti
🔒 Controlli di accesso granulari
🔒 Audit trail completo di tutte le operazioni

12.2 Privacy by Default

Le impostazioni predefinite massimizzano la privacy:

✅ Solo dati strettamente necessari sono obbligatori
✅ Conservazione automatica per il periodo minimo legale
✅ Marketing opt-in (non opt-out)
✅ Visibilità dati limitata al minimo necessario

13. Registro delle Attività di Trattamento (Art. 30 GDPR)

La Vezpa mantiene un registro completo di tutte le attività di trattamento, contenente:

Nome e dati di contatto del titolare e DPO
Finalità del trattamento
Descrizione delle categorie di interessati e dati
Categorie di destinatari
Trasferimenti verso paesi terzi
Tempi di conservazione previsti
Descrizione delle misure di sicurezza

Il registro è disponibile su richiesta del Garante.

14. Modifiche all'Informativa

Questa informativa può essere modificata per:

Evoluzioni normative
Nuove funzionalità del servizio
Cambiamenti organizzativi

Le modifiche sostanziali saranno comunicate via email con almeno 30 giorni di preavviso.

La data di ultimo aggiornamento è sempre indicata in cima al documento.

INFORMATIVA GDPR COMPLETA