Politica de confidentialitate

1. Operatorul de date

Vezpa di Paolo Vezzola
Sediu social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988 · C.F.: VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Domeniu de aplicare

Prezenta informare se aplica Aplicatiei Vezpa distribuita prin:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Sideload direct (APK Android, installer Windows semnat) pentru utilizare distribuita direct de Operator

Utilizarea aplicatiei necesita crearea unui cont dedicat structurii de cazare. Aplicatia este destinata utilizatorilor profesionali cu varsta de peste 18 ani (administratori de structuri de cazare si personalul lor autorizat).

3. Date colectate de aplicatie

3.1 Datele utilizatorilor (administratori si personal)

Date de identificare: nume, prenume, email, numar de telefon
Datele structurii de cazare
Credentiale (parole hashed la nivel de backend, niciodata transmise in clar)
Identificatori cont (User ID)
Rol atribuit (director, asistent, camerista, observator)

3.2 Datele oaspetilor (Vezpa actioneaza in calitate de Imputernicit)

Important: datele oaspetilor apartin structurii. Vezpa actioneaza in calitate de Imputernicit al operatorului conform art. 28 GDPR, reglementat de DPA.

Date de identificare si de contact
Documente de identitate scanate sau fotografiate prin camera dispozitivului, cu extragere OCR a datelor textuale pentru a facilita inregistrarea
Date de sedere si rezervare

3.3 Date tehnice si de utilizare

Identificatori ai dispozitivului: model, sistem de operare, versiune app
Token notificari push (FCM): identificator unic gestionat de Google Firebase pentru trimiterea notificarilor
Hash SHA-256 al dispozitivului de incredere: generat local pentru a permite accesul biometric ulterior, scadenta 90 de zile de la ultima utilizare
Log-uri aplicative si de diagnostic: transmise in batch catre backend prin RemoteLogger in scop de stabilitate si securitate; nu contin continut personal sensibil
Adresa IP: colectata de backend in scop de securitate

4. Permisiuni solicitate de aplicatie

Permisiune	Scop	Obligatorie
Camera	Capturarea imaginilor documentelor de identitate ale oaspetilor pentru OCR si pentru trimitere catre autoritati	Optional (alternativa: introducere manuala)
Notificari push	Primirea notificarilor privind noile rezervari, check-in, cereri oaspeti	Optional (aplicatia functioneaza si fara)
Autentificare biometrica (Face ID / Touch ID / amprenta / Windows Hello)	Login rapid dupa prima autentificare cu parola. Datele biometrice nu parasesc niciodata dispozitivul si nu sunt comunicate catre Vezpa.	Optional
Stocare / Fisiere	Salvarea locala a rapoartelor PDF, facturilor, formularelor Alloggiati generate de aplicatie	Optional
Internet	Comunicare cu serverele Vezpa	Obligatorie
REQUEST_INSTALL_PACKAGES (numai Android sideload)	Instalarea automata a actualizarilor prin APK descarcat de pe serverele Vezpa. Nu este prezenta in versiunea Google Play.	Solicitata numai pentru flavour sideload

5. SDK si servicii integrate in aplicatie

SDK / Serviciu	Furnizor	Scop	Date prelucrate
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Trimitere notificari push	Token dispozitiv, identificatori tehnici
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestionare achizitii si abonamente in-app	Token de achizitie, stare abonament, ID cont store
Stripe SDK (numai plati pagina oaspete)	Stripe Payments Europe Ltd	Procesare plati card	Date card gestionate de Stripe, netransmise catre Vezpa
local_auth (biometrie)	Sistem de operare (Apple / Google / Microsoft)	Deblocare biometrica locala	Nicio data biometrica transmisa catre Vezpa
Flutter Secure Storage	Platforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Stocare locala token JWT si credentiale	Token refresh, cifrate de sistemul de operare
share_plus	Open Source	Partajare fisiere (PDF, rapoarte) cu aplicatii ale sistemului	Fisiere alese de utilizator

Vezpa nu integreaza SDK-uri de analytics comportamentale (ex. AppsFlyer, Mixpanel, Facebook SDK), SDK-uri publicitare sau SDK-uri de profilare. Nicio urmarire cross-app conform Apple App Tracking Transparency (ATT).

6. Scopul prelucrarii

Furnizarea functionalitatilor aplicatiei Vezpa (art. 6.1.b GDPR)
Indeplinirea obligatiilor legale privind inregistrarea oaspetilor, delegate de structura (art. 6.1.c)
Securitate, prevenirea fraudelor, stabilitatea serviciului (art. 6.1.f, interes legitim)
Gestionare abonamente si plati (art. 6.1.b si 6.1.c)

Datele nu sunt utilizate in scopuri publicitare, de profilare sau de urmarire.

7. Modalitati de prelucrare si securitate

Transmisie prin HTTPS/TLS 1.2+
Autentificare cu JWT cu rotatie (access 15 min, refresh 180 zile cu blacklist)
Secure Storage sistem (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP optional
Servere backend situate in UE (Frankfurt) pe DigitalOcean
Log-uri aplicative monitorizate pentru a detecta accesele anomale

8. Pastrare si stergere

Datele utilizatorilor sunt pastrate pe durata contractului + obligatii fiscale (10 ani pentru facturare).

Utilizatorul poate solicita stergerea contului prin functia dedicata din aplicatie sau scriind Operatorului. Unele date ar putea fi pastrate pentru obligatii legale (facturare, log-uri de securitate).

Datele oaspetilor (pentru care Vezpa este Imputernicit) urmeaza instructiunile Operatorului conform reglementarii din DPA.

9. Comunicarea datelor

Datele nu sunt vandute sau diseminate. Pot fi comunicate subimputernicitilor enumerati la vezpa.it/subprocessors si, limitat la datele de rezervare, canalelor OTA activate de structura.

Pentru datele transmise autoritatilor publice (Politie, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) se face trimitere la Politica de confidentialitate generala.

10. Transferuri in afara UE

Comunicarile cu furnizorii SUA certificati DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) au loc pe baza EU-U.S. Data Privacy Framework (Decizia (UE) 2023/1795). Apple nu adera la DPF: raportul contractual pentru utilizatorii UE este cu Apple Distribution International Ltd (Irlanda), iar eventualele transferuri catre Apple Inc. (SUA) sunt guvernate de SCC 2021/914. Comunicarile cu STAAH (channel manager) au loc pe baza Deciziei de adecvare UE pentru Noua Zeelanda (2013/65/UE). Tuya (China, optional) este reglementat de SCC 2021/914.

11. Drepturile utilizatorului

Conform art. 15-22 GDPR, utilizatorul isi poate exercita drepturile de acces, rectificare, stergere, restrictionare, portabilitate si opozitie. Cererile pot fi transmise prin aplicatie sau la [email protected].

Plangeri la autoritatea de supraveghere: autoritatea italiana de protectia datelor (Garante). Utilizatorii din Romania se pot adresa si Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP (www.dataprotection.ro).

12. Minori

Aplicatia este destinata exclusiv utilizatorilor majori (administratori profesionali). Nu colecteaza cu buna stiinta date ale minorilor.

13. Modificari ale Politicii de confidentialitate

Prezenta informare poate fi actualizata. Modificarile vor fi publicate pe aceasta pagina si, daca sunt substantiale, comunicate prin email si dashboard cu cel putin 15 zile preaviz.

POLITICA DE CONFIDENTIALITATE – APP VEZPA