Vezpa - Property Management System
Compliance al Regolamento UE 2016/679
Ultimo aggiornamento: 19 aprile 2026
La presente informativa descrive come Vezpa di Paolo Vezzola (di seguito "Vezpa" o "Noi") tratta i dati personali in conformità al:
Questa informativa si applica a:
Vezpa opera con due ruoli distinti:
Titolare del Trattamento:
Vezpa di Paolo Vezzola
Sede legale: Desenzano del Garda (BS), 25015, via San Zeno 67
Partita IVA: 04449070988
Codice Fiscale: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]
| Categoria | Tipologia di Dati | Obbligatorietà |
|---|---|---|
| Dati identificativi | Nome, cognome, data di nascita, codice fiscale | ✅ Obbligatori |
| Dati di contatto | Email, telefono, indirizzo | ✅ Obbligatori |
| Dati aziendali | Ragione sociale, P.IVA, dati struttura | ✅ Obbligatori |
| Dati di pagamento | IBAN, carta di credito (tramite Stripe) | ✅ Obbligatori per abbonamento |
| Dati di utilizzo | Log accessi, IP, attività sulla piattaforma | ⚙️ Automatici |
| Dati comunicazioni | Email, chat supporto, ticket | 📝 Volontari |
| Categoria | Tipologia di Dati | Base Giuridica (del Titolare) |
|---|---|---|
| Dati anagrafici | Nome, cognome, data e luogo di nascita, cittadinanza, genere | Obbligo di legge (art. 109 TULPS e normative equivalenti UE) |
| Documento identità | Tipo, numero, data rilascio, ente, immagine scansionata o fotografica | Obbligo di legge |
| Estrazione OCR | Dati testuali estratti automaticamente dal documento (nome, data, numero) | Esecuzione contratto (art. 6.1.b) — solo per facilitare l'inserimento dati da parte dell'operatore, senza finalita' analitiche, di profilazione o decisionali autonome |
| Dati contatto | Email, telefono, indirizzo | Esecuzione contratto |
| Dati prenotazione | Date soggiorno, numero ospiti, camera, tariffe, trattamento | Esecuzione contratto |
| Dati pagamento | Transazioni, ricevute (dati carta gestiti da Stripe, non memorizzati su Vezpa) | Esecuzione contratto + obbligo fiscale |
I documenti d'identita' acquisiti possono contenere elementi qualificabili come "particolari" ai sensi dell'art. 9 GDPR, tipicamente:
Liceita' del trattamento: art. 9.2.b (adempimento di obblighi in materia di diritto del lavoro, sicurezza e protezione sociale), 9.2.g (motivi di interesse pubblico rilevante - registrazioni di pubblica sicurezza) e 9.2.f (accertamento di diritti). Finalita' limitate agli adempimenti imposti dalla legge verso le autorita' pubbliche.
Misure aggiuntive: accesso limitato ai soli ruoli autorizzati (direttore, assistente), nessuna profilazione su tali dati, nessuna comunicazione a terzi al di fuori delle autorita' pubbliche destinatarie.
Vezpa non raccoglie deliberatamente altri dati particolari (opinioni politiche/religiose, dati sanitari, dati genetici, orientamento sessuale). Se tali dati vengono inseriti per errore dall'utente, vanno immediatamente rimossi.
| Finalità | Base Giuridica (Art. 6 GDPR) | Conservazione |
|---|---|---|
| Fornitura servizio PMS | Art. 6.1.b - Esecuzione contratto | Durata contratto + 10 anni |
| Fatturazione e contabilità | Art. 6.1.c - Obbligo di legge | 10 anni (obbligo fiscale) |
| Assistenza clienti | Art. 6.1.b - Esecuzione contratto | Durata contratto + 2 anni |
| Sicurezza e prevenzione frodi (log applicativi, anomalie) | Art. 6.1.f - Legittimo interesse | 12 mesi standard, fino a 24 mesi per indagini attive documentate (Provv. Garante 352/2022) |
| Miglioramento servizio | Art. 6.1.f - Legittimo interesse | 2 anni (dati aggregati anonimi) |
| Marketing diretto | Art. 6.1.a - Consenso | Fino a revoca consenso |
| Difesa diritti in giudizio | Art. 6.1.f - Legittimo interesse | 10 anni |
| Finalità | Base Giuridica | Conservazione |
|---|---|---|
| Registrazione ospiti e comunicazione Questura | Art. 6.1.c - Obbligo di legge (Art. 109 TULPS, D.Lgs. 159/2011) | Minimo 2 anni |
| Comunicazioni ISTAT | Art. 6.1.c - Obbligo di legge | Secondo normativa ISTAT |
| Imposta di soggiorno (Paytourist) | Art. 6.1.c - Obbligo di legge | Secondo normativa comunale |
| Gestione prenotazione e soggiorno | Art. 6.1.b - Esecuzione contratto | 10 anni (finalità fiscali) |
| Check-in online e comunicazioni | Art. 6.1.b - Esecuzione contratto | Durata soggiorno + periodo conservazione struttura |
Per molte attività NON è necessario il consenso perché si basano su:
Il consenso è richiesto SOLO per marketing e profilazione.
Vezpa tratta i dati personali nel rispetto dei seguenti principi:
I dati sono trattati con strumenti:
I dati sono accessibili a:
I dati possono essere comunicati alle seguenti categorie di destinatari. L'elenco nominativo e sempre aggiornato e' pubblicato a vezpa.it/subprocessors.
| Categoria | Destinatari | Ruolo | Finalità |
|---|---|---|---|
| Autorità pubbliche IT | AlloggiatiWeb (Questura), ISTAT, Comuni (PayTourist), Agenzia Entrate | Titolari autonomi | Obbligo di legge |
| Autorità pubbliche UE | Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) | Titolari autonomi | Obbligo di legge del Titolare (struttura) |
| Hosting / Storage / CDN | DigitalOcean LLC (server Francoforte, Spaces, Redis) | Responsabile | Infrastruttura IT |
| Pagamenti | Stripe Payments Europe Ltd / Stripe Inc. | Responsabile | Elaborazione pagamenti |
| IONOS SE (DE) | Responsabile | Invio email transazionali e PEC | |
| Push notifications mobile | Google LLC (Firebase Cloud Messaging) | Responsabile | Invio notifiche push a dispositivi mobili |
| Channel Manager OTA | STAAH Limited (Nuova Zelanda) | Responsabile | Sincronizzazione prenotazioni con OTA |
| In-app purchase — Apple | Apple Distribution International Ltd (IE) / Apple Inc. (USA) | Titolare autonomo (store) | Gestione abbonamenti App Store. Apple non aderisce al DPF: trasferimenti USA governati da SCC 2021/914 |
| In-app purchase — Google / Microsoft | Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF) | Titolari autonomi (store) | Gestione abbonamenti Play Store / Microsoft Store |
| OTA | Booking.com, Airbnb, Expedia, VRBO, Agoda e circa 55 altri canali | Titolari autonomi | Gestione prenotazioni verso il viaggiatore |
| Serrature smart (opzionale) | Tuya Smart (CN) | Responsabile | Gestione accessi domotici, solo se attivata dalla struttura |
| Professionisti | Commercialisti, avvocati, consulenti IT | Responsabili / Titolari autonomi | Consulenze specialistiche, solo ove necessarie |
L'elenco aggiornato e' pubblicato e sempre consultabile a vezpa.it/subprocessors. Eventuali variazioni (nuovi sub-responsabili, sostituzioni) sono comunicate ai Titolari (strutture) con preavviso di almeno 30 giorni per consentire opposizione (art. 28.2 GDPR).
Per ogni sub-responsabile extra-UE e' documentato il meccanismo di trasferimento applicabile. Le SCC e gli eventuali Transfer Impact Assessment sono disponibili al Titolare su richiesta.
| Diritto | Art. GDPR | Descrizione |
|---|---|---|
| Accesso | Art. 15 | Ottenere conferma dell'esistenza dei tuoi dati e riceverne copia |
| Rettifica | Art. 16 | Correggere dati inesatti o integrarli |
| Cancellazione ("oblio") | Art. 17 | Ottenere la cancellazione dei dati (con eccezioni per obblighi di legge) |
| Limitazione | Art. 18 | Limitare il trattamento in determinate condizioni |
| Portabilità | Art. 20 | Ricevere i dati in formato strutturato (CSV, JSON) e trasferirli ad altro titolare |
| Opposizione | Art. 21 | Opporsi al trattamento basato su legittimo interesse |
| Revoca consenso | Art. 7.3 | Revocare il consenso al marketing in qualsiasi momento |
| Reclamo | Art. 77 | Proporre reclamo al Garante Privacy |
| Non profilazione automatizzata | Art. 22 | Non essere soggetto a decisioni basate unicamente su trattamento automatizzato |
Puoi esercitare i tuoi diritti attraverso:
Vezpa risponde alle richieste entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in casi complessi, con comunicazione motivata).
Alcuni diritti (cancellazione, limitazione) potrebbero non essere esercitabili quando:
In caso di data breach (violazione dei dati personali), Vezpa:
In caso di data breach che ti riguarda, riceverai una comunicazione contenente:
Vezpa ha avviato la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR, in considerazione del trattamento sistematico di documenti d'identita' di interessati di piu' Stati UE e dei trasferimenti verso sub-responsabili extra-UE.
La DPIA e le eventuali misure di mitigazione aggiuntive vengono aggiornate periodicamente. In caso di rischio residuo elevato, Vezpa procedera' alla consultazione preventiva con il Garante ai sensi dell'art. 36 GDPR. Il Titolare (struttura) puo' richiedere sintesi della DPIA scrivendo a [email protected].
Quando il gestore della struttura utilizza Vezpa per trattare dati degli ospiti:
Il Data Processing Agreement contiene, ai sensi dell'art. 28.3 GDPR:
Il DPA e' parte integrante dei Termini di Servizio e viene accettato alla registrazione della struttura.
Vezpa integra la protezione dei dati fin dalla progettazione:
Le impostazioni predefinite massimizzano la privacy:
Vezpa mantiene un registro completo di tutte le attività di trattamento, contenente:
Il registro è disponibile su richiesta del Garante.
Questa informativa può essere modificata per:
Le modifiche sostanziali saranno comunicate via email con almeno 30 giorni di preavviso.
La data di ultimo aggiornamento è sempre indicata in cima al documento.
Ufficio Privacy:
📧 Email: [email protected]
📧 PEC: [email protected]
📮 Indirizzo: Desenzano del Garda, via San Zeno 67
Garante per la Protezione dei Dati Personali:
Piazza Venezia, 11 - 00187 Roma
📧 Email: [email protected]
📧 PEC: [email protected]
📞 Tel: +39 06.696771
🌐 Web: www.garanteprivacy.it
© 2022-2026 Vezpa - Tutti i diritti riservati | Privacy Policy | Termini di Servizio | Cookie Policy | GDPR | DPA | Sub-responsabili
Documento redatto in conformità al Regolamento UE 2016/679 (GDPR)
e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018