NOTA INFORMATIVA SUL TRATTAMENTO E SULLA TUTELA DEI DATI PERSONALI
I. Premessa
Nell’esercizio della propria attività d’impresa HOTEL LA VECCHIA CARTIERA riserva massima attenzione alla protezione ed alla tutela dei dati personali di tutti coloro che con essa operano o interagiscono (di seguito per brevità “Interessato” e/o “Utente”), adottando a tal fine ogni idonea, adeguata e necessaria procedura e sistema di sicurezza.
Credendo fermamente nei principi di trasparenza e correttezza, la presente informativa viene pertanto resa allo scopo di fornire a tutti i soggetti interessati una descrizione completa circa le modalità e le finalità del trattamento dei dati personali che viene effettuata nella erogazione dei servizi e/o nella commercializzazione dei propri beni (di seguito per brevità ed unitamente tra loro “Servizi”), e ciò anche in conformità a quanto previsto dal Regolamento (UE) n. 2016/679 in tema di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito per brevità “GDPR”).
II. Titolare e Responsabile del trattamento dei dati personali
Titolare del trattamento dei
dati personali è HOTEL LA VECCHIA CARTIERA, con sede in Via Oberdan 5/7/9, iscritta
presso la Camera di Commercio di SI al n.
Il trattamento dei soli dati personali forniti al Titolare del Trattamento per l’utilizzo del Servizio di Booking Engine (di seguito per brevità “Web Booking”) avverrà, per conto del medesimo Titolare del Trattamento (nel ruolo quindi di responsabile del trattamento ai sensi dell’art. 28 del GDPR) dalla società Passepartout S.p.A., società di diritto sammarinese esercente in via prevalente attività di produzione e distribuzione di software e servizi inerenti, con sede nella Repubblica di San Marino in Dogana (Cap 47891) in Via Consiglio dei Sessanta n. 99, iscritta presso il Registro delle Società al n. 6210 in data 6 agosto 2010, con Codice Operatore Economico n. SM03473, capitale sociale € 2.800.000 i.v., contattabile, ai fini della presente informativa, all’indirizzo e-mail privacy@passepartout.sm oppure al numero di telefono 800 414243 (di seguito per brevità anche “Passepartout” e/o “Responsabile del Trattamento”).
Passepartout S.p.A. ha designato (i) come proprio rappresentante nell’Unione Europea, ai sensi dell’art. 27 del GDPR, la società Paci Rappresentante Privacy Srl iscritta presso la Camera di Commercio della Romagna, capitale sociale € 10.000,00, con sede a Rimini, in P.tta Gregorio da Rimini n. 1, contattabile, ai fini della presente informativa, all’indirizzo e-mail passepartout@pacirappresentanteprivacy.eu oppure al numero di telefono 0541 902128 (di seguito per brevità “Rappresentante”); nonché (ii) un responsabile della protezione dei dati (di cui al Capo IV, Sezione 4 del GDPR) contattabile all’indirizzo e-mail rpd.privacy@passepartout.sm oppure al numero di telefono 800 414243.
III. Dati personali
Per dati personali si intendono tutte le informazioni riguardanti una persona fisica, identificata oppure identificabile tramite riferimento ad elementi quali ad esempio il nome, gli estremi del documento d'identità, l'identità fisica, fisiologica, genetica, economica, culturale o sociale di tale persona, nonché tramite gli estremi identificativi sulla sua ubicazione.
I dati personali come sopra descritti vengono trattati prevalentemente quando l’Interessato si avvale dei Servizi e/o del Web Booking.
La fornitura di tutti gli altri dati personali è invece facoltativa ma può essere necessaria per poter utilizzare i Servizi e/o il Web Booking, come i dati per fare proposte, acquistare o vendere che sono necessari per concludere un’operazione contrattuale.
I dati personali vengono conferiti direttamente dall’Interessato e/o acquisiti automaticamente tramite i dispositivi quando vengono utilizzati i Servizi e/o Web Booking, quando vengono forniti i dati in un modulo web sui nostri siti, quando viene creato e/o aggiornato un account oppure quando l’Interessato ci contatta in ogni altro modo o fornisce espressamente e tramite il suo consenso i dati personali, il tutto come nel dettaglio di seguito indicato.
IV. Tipologia e categoria di dati trattati
Dei dati personali come sopra descritti, e per l’erogazione del Web Booking, il Titolare del Trattamento (e per esso il Responsabile del Trattamento) raccoglie solamente le seguenti tipologie.
I dati personali raccolti riguardano:
a) informazioni di carattere identificativo come nome, cognome, data e luogo di nascita, luogo di residenza, codice fiscale, partita iva e sede, codice iss, numero di telefono, indirizzo e-mail (anche con posta elettronica certificata), username, password, sesso, o altri dati che siamo tenuti o autorizzati a raccogliere e trattare, ai sensi della normativa vigente, allo scopo di autenticare o identificare l'Utente o di verificare le informazioni fornite e raccolte;
b) indirizzo IP e dati di navigazione ed ogni altro dato che riguarda l’interazione dell’Utente con i Servizi e/o il Web Booking, ad esempio quando si visualizzano o si cercano i contenuti, si creano o si accede al proprio account e/o ad un’area riservata. Vengono inoltre raccolti i dati relativi ai dispositivi e/o ai computer utilizzati dall’Utente per accedere ai Servizi e/o al Web Booking, inclusi il tipo di browser, codice univoco del dispositivo, la lingua, il sistema operativo, la pagina Web di riferimento, le pagine visitate, la posizione e le informazioni sui cookie, i dati sul computer e la connessione (ad esempio, statistiche su visualizzazioni di pagine, traffico in ingresso e in uscita dai siti, URL di provenienza).
c) dati relativi alle offerte, acquisti o vendite relative ai Servizi e/o al Web Booking forniti durante una trattativa precontrattuale ed il suo successivo perfezionamento ed ogni altro dato fornito in riferimento a tali operazioni;
d) dati relativi alla fatturazione (ed eventuale spedizione) dei Servizi e/o del Web Booking;
e) dati finanziari tenuto conto che alcuni Servizi e/o il Web Booking supportano pagamenti e transazioni con terze parti. A tal fine potrebbe rendersi necessario fornire taluni dati per l’identificazione e la verifica dell’identità dell’Interessato e del mezzo di pagamento utilizzato, come ad esempio il nome, il cognome, il numero di carta di credito/debito, la data di scadenza della carta. Tali dati laddove raccolti dal Responsabile del Trattamento verranno salvati solamente in forma crittografata. In alcuni casi per consentire all’Utente di velocizzare, in futuro, nuove ed analoghe operazioni di pagamento, Passepartout potrebbe memorizzare solamente le ultime quattro cifre del numero della carta;
f) dati di geo localizzazione, in particolare tramite l’utilizzo di dispositivi mobili;
g) cookie e tecnologie simili. Nell’erogazione dei Servizi e/o del Web Booking, vengono utilizzati cookie, identificatori univoci e altre analoghe tecnologie per acquisire dati sulle pagine e i collegamenti visitati e altre azioni similari, all'interno dei contenuti pubblicitari o di e-mail, il tutto nei termini, secondo le modalità ed alle condizioni previste nella apposita policy consultabile al seguente link: https://www.passepartout.net/utility/cookie;
h) Trattamento di categorie speciali di dati personali (cd “dati sensibili”)
Non vengono raccolti in alcun modo e quindi non vengono trattati, categorie particolari di dati personali quali ad esempio i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
V. Finalità e modalità del trattamento dei dati
Il trattamento dei dati personali raccolti avviene solo ed esclusivamente per le seguenti finalità:
a) dare esecuzione ai contratti relativi ai Servizi e/o al Web Booking.
Tramite le informazioni ed i dati comunicati, siamo in grado di dare esecuzione alle attività ed alle prestazioni contrattuali previste dai contratti di Servizi e/o dal Web Booking richiesti dall’Interessato (anche in nome e/o per conto di terzi) o per dare esecuzione a misure e/o trattative precontrattuali riferibili ai medesimi Servizi e/o al Web Booking, ivi comprese le attività amministrative e contabili, la gestione di adempimenti fiscali, pagamenti e fatturazione.
Le informazioni raccolte serviranno altresì per contattare l’Utente relativamente al suo account o comunque in merito alla sua posizione contrattuale, risolvere problemi dell’account e/o dell’area riservata, risolvere una controversia, effettuare attività di recupero crediti.
I dati personali potranno essere inoltre trattati per verificare e risolvere eventuali anomalie di funzionamento dei Servizi e/o del Web Booking; per eseguire analisi dei dati e test, per condurre ricerche e indagini e per sviluppare nuove funzionalità e servizi al fine di fornire all’utente un'esperienza sempre migliore.
b) Offrire sicurezza e protezione sia ai dati personali ricevuti che ai sistemi di sicurezza adottati.
I dati raccolti vengono altresì utilizzati per verificare l’identità ed autenticare gli Utenti, consentire di effettuare e/o ricevere pagamenti, proteggere dalle possibili frodi e/o abusi, rispondere ad una richiesta o ad un reclamo, eseguire controlli, per prevenire, rilevare, mitigare e/o accertare violazioni della sicurezza e/o attività anche solo potenzialmente vietate, illegali e/o illecite.
c) Comunicare con l’Interessato.
I dati potrebbero essere utilizzati per contattare l’Utente per le finalità contenute nella presente informativa e nei casi previsti dalle legge. Il contatto e la comunicazione potrebbe avvenire via e-mail (anche con posta elettronica certificata), telefono, SMS, posta cartacea, notifiche push su dispositivi mobili .
Possiamo utilizzare le informazioni dell’Utente per inviare comunicazioni di servizio e/o rispondere alle sue richieste, per offrire sconti e promozioni speciali, per conoscere le sue opinioni tramite sondaggi o questionari.
d) Effettuare attività di marketing.
Con l’espresso ed apposito consenso dell’Utente da manifestarsi secondo le modalità specificamente indicate di volta in volta, potremmo utilizzare le informazioni dell’Utente stesso per promuovere nuovi prodotti o servizi a cui potrebbe essere interessato, effettuare attività di marketing tramite telefonate, e-mail (anche con posta elettronica certificata) o SMS, via posta cartacea, notifiche push su dispositivi mobili, nonché anche per il tramite di soggetti terzi appositamente incaricati.
L’Utente potrà in ogni caso revocare il consenso espresso sulle attività di marketing seguendo le apposite indicazioni inserite all’interno dei medesimi strumenti utilizzati (es. newsletter, e-mail etc.) oppure inviando un’email all’indirizzo info@lavecchiacartiera.it.
Il trattamento dei dati personali raccolti avverrà in modo lecito e secondo correttezza nel rispetto delle norme del GDPR, con utilizzo di sistemi manuali o automatizzati che consentano di memorizzare, gestire e trasmettere (sia in formato cartaceo che elettronico) i dati stessi unicamente per le finalità indicate nella presente informativa.
Solo il personale debitamente autorizzato potrà accedere ai dati personali raccolti.
VI. base giuridica del trattamento dei dati
Le basi giuridiche tramite le quali trattiamo i dati personali dell’Interessato possono essere diverse, e precisamente:
a) i contratti instaurati o da instaurarsi (con gli interessati) per avvalersi dei Servizi; nonché
b) il consenso manifestato dell’interessato. Tale consenso potrà essere revocato nei termini e secondo le modalità indicate nel successivo paragrafo X, lett. a);
c) i nostri legittimi interessi [rispetto i quali è possibile proporre opposizione ai sensi del successivo paragrafo X, lett. a)], per tali intendendosi ad esempio l’interesse: a prevenire le frodi; ad effettuare attività di marketing dirette, il miglioramento, la personalizzazione e lo sviluppo dei Servizi; ad effettuare la commercializzazione di nuovi servizi o prodotti che potrebbero essere di interesse per l’Utente; ad effettuare la promozione della sicurezza e della protezione dei dati; ad effettuare il trattamento dei dati all’interno di un gruppo di imprese o di enti collegati a fini amministrativi interni, fatti salvi i principi generali e le prescrizioni normative per il trasferimento di dati personali all’interno di un gruppo imprenditoriale anche verso un’impresa situata in un Paese Terzo (per tale intendendosi un Paese non facente parte dell’Unione Europea).
Costituisce altresì legittimo interesse il trattamento di dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, per tale intendendosi la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o ad atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti.
d) Dati raccolti presso terzi o tramite altre fonti;
Potremmo raccogliere ulteriori dati personali oppure integrare quelli già in nostro possesso con altri dati ed informazioni raccolti da soggetti terzi (ad esempio i nostri fornitori o partner commerciali), utilizzando altresì dati ed informazioni di pubblico dominio, informazioni raccolte tramite apposite banche dati oppure ulteriori informazioni di contatto, dati di verifica del credito ed informazioni relative alla solvibilità fornite dagli uffici preposti, in conformità con la vigente normativa.
Potremmo raccogliere dati anche tramite i social media utilizzati dall’Utente. Laddove infatti l’Utente colleghi il proprio account al rispettivo sito di social media, tali social media potrebbero autorizzarci ad accedere automaticamente a determinati dati in loro possesso. Con tale possibilità l’Interessato ci fornisce espressamente accesso a siti con i vari contenuti in esso previsti.
VII.Responsabile del Trattamento dei dati
Come già anticipato nel precedente Paragrafo II, il trattamento dei soli dati personali forniti al Titolare del Trattamento per l’utilizzo del Web Booking avverrà da parte di Passepartout, società proprietaria del programma software avente ad oggetto il Web Booking e concesso in licenza d’uso al Titolare del Trattamento.
Tale trattamento dei dati avverrà nei termini, secondo le modalità ed alle condizioni contrattuali intercorse tra il Titolare del Trattamento ed il Responsabile del Trattamento ed in ogni caso nel pieno rispetto di quanto previsto nella presente informativa (di seguito per brevità “Accordo Titolare-Responsabile del Trattamento”).
Passepartout tratterà e conserverà i dati personali raccolti nei server di cui dispone (anche presso la Repubblica di San Marino). A tale riguardo si precisa che nella regolamentazione dell’Accordo Titolare-Responsabile del Trattamento si è tenuto conto (recependole integralmente) delle garanzie richieste dal GDPR (ex art. 46) per il caso di trasferimento dei dati personali presso Paesi non facenti parte dell’Unione Europea.
VIII.Modalità di condivisione delle informazioni con terze parti
I dati personali forniti potranno essere condivisi con soggetti terzi solamente nei casi che seguono:
a) Consenso dell’Interessato:
L’Interessato può autorizzarci a condividere (o divulgare) i propri dati con (e ad) altri soggetti terzi, ad esempio laddove utilizzi la nostra community (come i forum o altri strumenti social) oppure laddove abbia espresso il proprio intendimento di essere contattato e/o ricontattato per ogni necessità o chiarimento relativamente ai Servizi.
b) Trattamento da parte di entità esterne:
I dati personali potrebbero essere forniti ad entità collegate e/o affiliate alla nostra società, ai fornitori di servizi e/o partner commerciali che li trattano secondo le istruzioni da noi (es partner che forniscono servizi di assistenza clienti, tecnologie informatiche, gestione dei pagamenti e/o delle vendite, di marketing, di analisi dei dati, e di ricerca e indagine).
I dati personali potrebbero essere inoltre condivisi con:
· soggetti nostri fornitori che eseguono: elaborazione dei pagamenti, personalizzazione della pubblicità, prevenzione, rilevamento, accertamento di atti potenzialmente illeciti, di violazioni dei Servizi; riscossione di fatture; attività di consulenza, formazione ed organizzazione di eventi;
· fornitori terzi di servizi di spedizione (es., DHL, UPS, GLS, Poste Italiane etc.) con i quali condividiamo indirizzi di consegna, informazioni di contatto e codici delle spedizioni;
· fornitori di siti web, applicazioni, servizi e strumenti con cui collaboriamo per l’erogazione dei Servizi e/o del Web Booking.
c) Esigenze di giustizia, legali e/o in genere di tutela.
Potremmo conservare o divulgare i dati personali laddove necessario per soddisfare esigenze di giustizia ad esempio perché richiesti da un’Autorità amministrativa, un’Autorità di controllo e/o vigilanza ovvero nell’ambito di un procedimento giudiziario o, comunque, in ottemperanza a disposizioni di legge, o comunque per l’esercizio di diritti legali o per la difesa contro denunce e/o azioni legali oppure per prevenire, individuare o indagare su attività illegali, frodi, abusi, violazioni delle posizioni giuridiche soggettive o laddove vi siano minacce anche solo potenziali alla sicurezza del Web Booking o alla sicurezza fisica di qualsiasi persona.
IX.Periodo di conservazione dei dati
Il periodo di conservazione dei dati personali è determinato (o determinabile) a seconda della finalità oppure della base giuridica in virtù della quale il trattamento debba avvenire.
I dati personali per dare esecuzione al contratto che ha ad oggetto, tra l’altro, il Web Booking, verranno conservati per il tempo necessario per eseguire correttamente ed integralmente le prestazioni previste nel contratto stesso (comprese quelle strettamente connesse e collegate alla sua cessazione) ed in ogni caso per un periodo di tempo non superiore a n. 10 (dieci) anni dalla cessazione del Web Booking.
I dati personali trattati invece per finalità di marketing e commerciali verranno conservati fin al momento in cui l’Interessato non abbia espresso l’intendimento di revocare il consenso a tal fine manifestato.
Rimane salvo il caso in cui l’Interessato abbia espressamente manifestato, anche per ragioni diverse, il consenso per un periodo più lungo (nel qual caso il periodo di conservazione corrisponderà a quello consentito) oppure si debba soddisfare i propri legittimi interessi come sopra individuati (nel qual caso il periodo di conservazione corrisponderà a quello in cui tale interesse venga soddisfatto).
Rimane altresì salvo il caso in cui la maggior (o minore) conservazione dei dati debba essere effettuata per soddisfare esigenze di giustizia ad esempio per ottemperare ad una richiesta dell’autorità amministrativa, autorità di controllo e/o di vigilanza ovvero per l’esercizio e/o per la tutela (in via giudiziale e/o stragiudiziale) dei propri diritti o per esercitare la difesa contro denunce e/o azioni legali.
Una volta terminato il periodo di conservazione, i dati personali verranno rimossi in modo sicuro.
X.I diritti dell’interessato
Tutti gli Interessati a cui sono riferibili i dati personali trattati, conformemente e nei termini e modalità previsti dal GDPR, possono esercitare i diritti di seguito descritti.
a) Diritto di accesso, rettifica e cancellazione dei dati, limitazione ed opposizione all’uso dei dati e diritto di revoca del consenso.
Fatto salvo quanto sopra previsto in tema di conservazione, l’Interessato potrà in ogni momento ottenere l’accesso ai propri dati personali, nonché di ottenerne l’aggiornamento, la modifica, la limitazione del trattamento o richiederne la cancellazione.
Se si sceglie di cancellare i dati, occorre tenere presente che nonostante la maggior parte delle informazioni conservate verrà cancellata entro 60 (sessanta) giorni, potrebbero essere necessari fino a 180 (centoottanta) giorni per eliminare tutti i dati inseriti nei nostri sistemi in ragione delle dimensioni o della complessità dei sistemi e delle procedure utilizzate.
Laddove il trattamento dei dati sia basato sul consenso rilasciato dall’Interessato, in ogni momento tale consenso potrà essere da questo revocato. Ci si potrà pertanto sempre opporre all’invio di newsletter e al trattamento dei dati per tutte o solo alcune delle finalità di marketing o commerciali.
L’interessato potrà altresì opporsi al trattamento dei dati anche laddove effettuato rispetto ai nostri interessi legittimi.
Laddove venga richiesto di revocare il consenso, di limitare l’utilizzo dei dati o di cancellare i dati personali in precedenza forniti, potremmo non essere più in grado di fornire i Servizi .
In ogni caso le richieste di cancellazione dei dati sono subordinate agli obblighi vigenti di legge e di conservazione dei documenti imposti da norme di legge o regolamentari.
b) Diritto alla portabilità
L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento.
c) Diritto di proporre reclamo
L’Interessato avrà sempre diritto di proporre reclamo alla competente Autorità di controllo laddove ravvisi problematiche afferenti l’utilizzo dei propri dati personali.
d) Processo decisionale automatizzato
Vengono utilizzate tecnologie automatizzate per l'assunzione di decisioni o la profilazione. Non verranno in ogni caso assunte decisioni automatizzate sull’Interessato che possano avere conseguenze significative nei suoi confronti, salvo circostanze in cui tale decisione sia necessaria per dare esecuzione ad un contratto oppure perché l’Utente abbia espressamente rilasciato il suo consenso.
L’esercizio dei diritti sopra descritti potrà essere richiesto dall’Interessato tramite comunicazione all’indirizzo di posta elettronica: info@lavecchiacartiera.it.
XI.Misure di sicurezza
Si garantisce la messa in atto ed il mantenimento di misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato ad ogni possibile rischio, effettuando altresì costantemente una serie di controlli tecnici, amministrativi e fisici per mantenere riservati e sicuri i dati personali dell’Interessato.
XII.Completezza e Modifiche
La presente informativa privacy viene rilasciata a completa ed integrale sostituzione di ogni altra regolamentazione eventualmente prima d’oggi esistente in tema di protezione dei dati personali dell’Utente trattati per le medesime finalità qui contenute.