Politica de Privacidade - Aplicacao Vezpa

1. Responsavel pelo tratamento

Vezpa di Paolo Vezzola
Sede: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
NIF (P.IVA): 04449070988 · C.F.: VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Ambito de Aplicacao

A presente informacao aplica-se a Aplicacao Vezpa distribuida atraves de:

Apple App Store (iOS, macOS) - Bundle ID: it.vezpa.pms
Google Play Store (Android) - flavour googleplay
Microsoft Store (Windows) - MSIX
Sideload direto (APK Android, instalador Windows assinado) para utilizacao distribuida diretamente pelo Responsavel

A utilizacao da aplicacao exige a criacao de uma conta dedicada a unidade de alojamento. A aplicacao destina-se a utilizadores profissionais maiores de 18 anos (gestores de unidades de alojamento e respetivo pessoal autorizado).

3. Dados recolhidos pela Aplicacao

3.1 Dados dos utilizadores (Gestores e pessoal)

Dados identificativos: nome, apelido, email, numero de telefone
Dados da unidade de alojamento
Credenciais (palavra-passe com hash no backend, nunca transmitida em texto claro)
Identificadores da conta (User ID)
Papel atribuido (diretor, assistente, governanta, observador)

3.2 Dados dos hospedes (a Vezpa atua como Subcontratante)

Importante: os dados dos hospedes sao da titularidade da unidade. A Vezpa atua como Subcontratante nos termos do art. 28.o RGPD, regulado pelo DPA.

Dados identificativos e de contacto
Documentos de identificacao digitalizados ou fotografados atraves da camara do dispositivo, com extracao OCR dos dados textuais para facilitar o registo
Dados de estadia e de reserva

3.3 Dados tecnicos e de utilizacao

Identificadores do dispositivo: modelo, sistema operativo, versao da aplicacao
Token de notificacoes push (FCM): identificador unico gerido pelo Google Firebase para envio de notificacoes
Hash SHA-256 do dispositivo fidedigno: gerado localmente para permitir acesso biometrico posterior, validade de 90 dias desde a ultima utilizacao
Registos aplicacionais e de diagnostico: transmitidos em lote ao backend atraves do RemoteLogger para fins de estabilidade e seguranca; nao contem conteudo pessoal sensivel
Endereco IP: recolhido pelo backend para fins de seguranca

4. Permissoes exigidas pela Aplicacao

Permissao	Finalidade	Obrigatoria
Camara	Captura de imagens dos documentos de identificacao dos hospedes para OCR e envio as autoridades	Opcional (alternativa: insercao manual)
Notificacoes push	Rececao de notificacoes sobre novas reservas, check-in, pedidos de hospedes	Opcional (a aplicacao funciona sem)
Autenticacao biometrica (Face ID / Touch ID / impressao digital / Windows Hello)	Login rapido apos primeira autenticacao com palavra-passe. Os dados biometricos nunca saem do dispositivo e nao sao comunicados a Vezpa.	Opcional
Armazenamento / Ficheiros	Guardar localmente relatorios PDF, faturas, boletins AlloggiatiWeb gerados pela aplicacao	Opcional
Internet	Comunicacao com os servidores Vezpa	Obrigatoria
REQUEST_INSTALL_PACKAGES (apenas Android sideload)	Instalacao automatica das atualizacoes atraves de APK descarregado dos servidores Vezpa. Nao presente na versao Google Play.	Exigida apenas para o flavour sideload

5. SDK e servicos integrados na Aplicacao

SDK / Servico	Fornecedor	Finalidade	Dados tratados
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Envio de notificacoes push	Token do dispositivo, identificadores tecnicos
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestao de compras e subscricoes in-app	Token de compra, estado da subscricao, ID da conta da store
Stripe SDK (apenas pagamentos da pagina do hospede)	Stripe Payments Europe Ltd	Processamento de pagamentos por cartao	Dados de cartao geridos pela Stripe, nao transmitidos a Vezpa
local_auth (biometria)	Sistema operativo (Apple / Google / Microsoft)	Desbloqueio biometrico local	Nenhum dado biometrico transmitido a Vezpa
Flutter Secure Storage	Plataforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Conservacao local do token JWT e credenciais	Token refresh, cifrado pelo sistema operativo
share_plus	Open Source	Partilha de ficheiros (PDF, relatorios) com aplicacoes do sistema	Ficheiros escolhidos pelo utilizador

A Vezpa nao integra SDK de analiticas comportamentais (ex. AppsFlyer, Mixpanel, Facebook SDK), SDK publicitarios nem SDK de definicao de perfis. Sem rastreamento cross-app nos termos do Apple App Tracking Transparency (ATT).

6. Finalidade do Tratamento

Prestacao das funcionalidades da Aplicacao Vezpa (art. 6.o, n.o 1, al. b) RGPD)
Cumprimento de obrigacoes legais relativas ao registo dos hospedes, delegadas pela unidade (art. 6.o, n.o 1, al. c))
Seguranca, prevencao de fraudes, estabilidade do servico (art. 6.o, n.o 1, al. f), interesse legitimo)
Gestao de subscricoes e pagamentos (art. 6.o, n.o 1, al. b) e c))

Os dados nao sao utilizados para fins publicitarios, de definicao de perfis ou de rastreamento.

7. Modalidades de Tratamento e Seguranca

Transmissao atraves de HTTPS/TLS 1.2+
Autenticacao com JWT em rotacao (access 15 min, refresh 180 dias com blacklist)
Secure Storage do sistema (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP opcional
Servidores backend localizados na UE (Frankfurt) na DigitalOcean
Registos aplicacionais monitorizados para detetar acessos anomalos

8. Conservacao e Apagamento

Os dados dos utilizadores sao conservados durante a duracao do contrato + obrigacoes fiscais (10 anos para faturacao).

O utilizador pode solicitar o apagamento da conta atraves da funcionalidade dedicada na aplicacao ou escrevendo ao Responsavel. Alguns dados poderao ser conservados por obrigacoes legais (faturacao, registos de seguranca).

Os dados dos hospedes (dos quais a Vezpa e Subcontratante) seguem as instrucoes do Responsavel, conforme regulado pelo DPA.

9. Comunicacao dos Dados

Os dados nao sao vendidos nem divulgados. Podem ser comunicados aos subcontratantes ulteriores listados em vezpa.it/subprocessors e, limitadamente aos dados de reserva, aos canais OTA ativados pela unidade.

Para os dados transmitidos as autoridades publicas (Polizia, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem), remete-se para a Politica de Privacidade geral.

10. Transferencias Fora da UE

As comunicacoes com os fornecedores dos EUA certificados DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) efetuam-se com base no EU-U.S. Data Privacy Framework (Decisao (UE) 2023/1795). A Apple nao adere ao DPF: a relacao contratual para os utilizadores UE e com a Apple Distribution International Ltd (Irlanda) e eventuais transferencias para a Apple Inc. (EUA) sao regidas pelas SCC 2021/914. As comunicacoes com a STAAH (channel manager) efetuam-se com base na Decisao de adequacao UE para a Nova Zelandia (2013/65/UE). A Tuya (China, opcional) e regulada pelas SCC 2021/914.

11. Direitos do Utilizador

Nos termos dos arts. 15.o a 22.o do RGPD, o utilizador pode exercer os direitos de acesso, retificacao, apagamento, limitacao, portabilidade e oposicao. Os pedidos podem ser enviados atraves da aplicacao, ou para [email protected].

Reclamacoes a autoridade de controlo: autoridade italiana de protecao de dados (Garante). Os utilizadores em Portugal podem tambem contactar a Comissao Nacional de Protecao de Dados - CNPD (www.cnpd.pt).

12. Menores

A Aplicacao destina-se exclusivamente a utilizadores maiores de idade (gestores profissionais). Nao recolhe conscientemente dados de menores.

13. Alteracoes a Politica de Privacidade

A presente informacao pode ser atualizada. As alteracoes serao publicadas nesta pagina e, se substanciais, comunicadas por email e no painel de controlo com pelo menos 15 dias de aviso previo.

POLITICA DE PRIVACIDADE - APLICACAO VEZPA