Privacy Policy - App Vezpa

1. Titolare del Trattamento

Vezpa di Paolo Vezzola
Sede legale: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988 · C.F.: VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Ambito di Applicazione

La presente informativa si applica all'App Vezpa distribuita tramite:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Sideload diretto (APK Android, installer Windows firmato) per uso distribuito direttamente dal Titolare

L'utilizzo dell'app richiede creazione di un account dedicato alla struttura ricettiva. L'app e' destinata a utenti professionali maggiori di 18 anni (gestori di strutture ricettive e loro personale autorizzato).

3. Dati raccolti dall'App

3.1 Dati degli utenti (Gestori e personale)

Dati anagrafici: nome, cognome, email, numero di telefono
Dati della struttura ricettiva
Credenziali (password hashed lato backend, mai trasmesse in chiaro)
Identificativi account (User ID)
Ruolo assegnato (direttore, assistente, governante, osservatore)

3.2 Dati degli ospiti (Vezpa agisce come Responsabile)

Importante: i dati degli ospiti sono di titolarita' della struttura. Vezpa agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR, regolato dal DPA.

Dati anagrafici e di contatto
Documenti di identita' scansionati o fotografati tramite la fotocamera del dispositivo, con estrazione OCR dei dati testuali per facilitare la registrazione
Dati di soggiorno e prenotazione

3.3 Dati tecnici e di utilizzo

Identificativi del dispositivo: modello, sistema operativo, versione app
Token notifiche push (FCM): identificatore univoco gestito da Google Firebase per l'invio di notifiche
Hash SHA-256 del dispositivo fiduciato: generato localmente per consentire accesso biometrico successivo, scadenza 90 giorni dall'ultimo uso
Log applicativi e diagnostici: trasmessi in batch al backend tramite RemoteLogger per finalita' di stabilita' e sicurezza; non contengono contenuto personale sensibile
Indirizzo IP: raccolto dal backend a fini di sicurezza

4. Permessi richiesti dall'App

Permesso	Finalita'	Obbligatorio
Fotocamera	Acquisizione immagini dei documenti di identita' ospiti per OCR e per invio alle autorita'	Opzionale (alternativa: inserimento manuale)
Notifiche push	Ricezione notifiche su nuove prenotazioni, check-in, richieste ospiti	Opzionale (l'app funziona senza)
Autenticazione biometrica (Face ID / Touch ID / impronta / Windows Hello)	Login rapido dopo la prima autenticazione con password. I dati biometrici non lasciano mai il dispositivo dell'utente: sono gestiti esclusivamente dal sistema operativo tramite API native (Keychain iOS/macOS, BiometricPrompt Android, Windows Hello) e non sono accessibili a Vezpa in alcuna forma, neanche sotto forma di hash o derivati. Vezpa riceve solo un esito booleano (successo/insuccesso) e un identificativo del dispositivo fiduciato.	Opzionale
Archiviazione / File	Salvataggio locale di report PDF, fatture, schedine Alloggiati generati dall'app	Opzionale
Internet	Comunicazione con i server Vezpa	Obbligatorio
REQUEST_INSTALL_PACKAGES (solo Android sideload)	Installazione automatica degli aggiornamenti via APK scaricato dai server Vezpa. Non presente nella versione Google Play.	Richiesto solo per il flavour sideload

5. SDK e servizi integrati nell'App

SDK / Servizio	Fornitore	Finalita'	Dati trattati
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Invio notifiche push	Token dispositivo, identificatori tecnici
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Gestione acquisti e abbonamenti in-app	Token d'acquisto, stato subscription, ID account store
Stripe SDK (solo pagamenti pagina ospite)	Stripe Payments Europe Ltd	Elaborazione pagamenti carta	Dati carta gestiti da Stripe, non trasmessi a Vezpa
local_auth (biometria)	Sistema operativo (Apple / Google / Microsoft)	Sblocco biometrico locale	Nessun dato biometrico trasmesso a Vezpa
Flutter Secure Storage	Piattaforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Conservazione locale token JWT e credenziali	Token refresh, cifrati dal sistema operativo
share_plus	Open Source	Condivisione file (PDF, report) con app del sistema	File scelti dall'utente

Vezpa non integra SDK di analytics comportamentali (es. AppsFlyer, Mixpanel, Facebook SDK), SDK pubblicitari ne' SDK di profilazione. Nessun tracciamento cross-app ai sensi dell'Apple App Tracking Transparency (ATT).

6. Finalita' del Trattamento

Fornitura delle funzionalita' dell'App Vezpa (art. 6.1.b GDPR)
Adempimenti di legge relativi alla registrazione degli ospiti, delegati dalla struttura (art. 6.1.c)
Sicurezza, prevenzione frodi, stabilita' del servizio (art. 6.1.f, legittimo interesse)
Gestione abbonamenti e pagamenti (art. 6.1.b e 6.1.c)

I dati non sono utilizzati per finalita' pubblicitarie, di profilazione o di tracciamento.

7. Modalita' di Trattamento e Sicurezza

Trasmissione tramite HTTPS/TLS 1.2+
Autenticazione con JWT a rotazione (access 15 min, refresh 180 giorni con blacklist)
Secure Storage sistema (Keychain / EncryptedSharedPreferences / DPAPI)
2FA TOTP opzionale
Server backend ubicati in UE (Francoforte) su DigitalOcean
Log applicativi monitorati per rilevare accessi anomali

8. Conservazione e Cancellazione

I dati degli utenti sono conservati per la durata del contratto + obblighi fiscali (10 anni per fatturazione).

L'utente puo' richiedere la cancellazione dell'account tramite la funzione dedicata nell'app o scrivendo al Titolare. Alcuni dati potrebbero essere conservati per obblighi di legge (fatturazione, log di sicurezza).

I dati degli ospiti (di cui Vezpa e' Responsabile) seguono le istruzioni del Titolare secondo quanto regolato dal DPA.

9. Comunicazione dei Dati

I dati non vengono venduti ne' diffusi. Possono essere comunicati ai sub-responsabili elencati a vezpa.it/subprocessors e, limitatamente ai dati di prenotazione, ai canali OTA attivati dalla struttura.

Per i dati trasmessi alle autorita' pubbliche (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) si rinvia alla Privacy Policy generale.

10. Trasferimenti Extra-UE

Le comunicazioni con i fornitori USA certificati DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) avvengono sulla base dell'EU-U.S. Data Privacy Framework (Decisione UE 2023/1795). Apple non aderisce al DPF: il rapporto contrattuale per gli utenti UE e' con Apple Distribution International Ltd (Irlanda) ed eventuali trasferimenti verso Apple Inc. (USA) sono governati da SCC 2021/914. Le comunicazioni con STAAH (channel manager) avvengono sulla base della Decisione di adeguatezza UE per la Nuova Zelanda (2013/65/UE). Tuya (Cina, opzionale) e' regolato da SCC 2021/914.

11. Diritti dell'Utente

Ai sensi degli artt. 15-22 GDPR, l'utente puo' esercitare diritti di accesso, rettifica, cancellazione, limitazione, portabilita' e opposizione. Le richieste possono essere inoltrate tramite l'app, oppure a [email protected].

Reclami all'autorita' di controllo: Garante per la Protezione dei Dati Personali.

12. Minori

L'App e' destinata esclusivamente a utenti maggiorenni (gestori professionali). Non raccoglie consapevolmente dati di minori.

13. Modifiche alla Privacy Policy

La presente informativa puo' essere aggiornata. Le modifiche saranno pubblicate su questa pagina e, se sostanziali, comunicate via email e dashboard con almeno 15 giorni di preavviso.

PRIVACY POLICY – APP VEZPA