Informativa sulla privacy

Informativa privacy

Nei paragrafi seguenti sono illustrate le modalità del trattamento dei Suoi dati personali, raccolti durante la navigazione del sito web del ristorante Anton1929, Hotel Touring Dolomites (Santa Cristina Val Gardena) e nell’utilizzo dei servizi offerti. Per poterLe fornire tutti i servizi del nostro sito (es. prenotazione di un tavolo al ristorante, richiesta di informazioni, iscrizione a newsletter), è necessario trattare alcuni Suoi dati personali. Il trattamento di dati personali può consistere in qualsiasi operazione o insieme di operazioni effettuate con o senza l’ausilio di processi automatizzati, come la raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione e distruzione dei dati. Tali operazioni vengono svolte nel rispetto dei principi di liceità, correttezza e trasparenza e in ottemperanza alle normative vigenti, incluso il Regolamento (UE) 2016/679 (GDPR). La presente informativa ha lo scopo di illustrarLe quali dati raccogliamo, perché è necessario trattarli e quali sono i Suoi diritti in merito.

Responsabile del trattamento dei dati

Il responsabile (titolare) del trattamento dei dati personali raccolti attraverso questo sito è Hotel Touring KG di Senoner Ivo, con sede in Str. Dursan 17, 39047 S. Cristina (BZ), Alto Adige, Italia, P. IVA IT02738760210. Per qualsiasi informazione o per esercitare i diritti indicati di seguito può contattarci ai seguenti recapiti:

Telefono: +39 0471 793 119
E-mail: info@hoteltouring.bz

Non è stato designato un Responsabile della Protezione dei Dati (DPO), in quanto non ricorrono i presupposti legali per tale nomina.

Analisi e conformità GDPR: Questa sezione identifica chiaramente il titolare del trattamento fornendo denominazione, indirizzo e dati di contatto (telefono, email) come richiesto dall’art. 13, par.1 lett. a) del GDPRagendadigitale.eu. L’assenza di un DPO dedicato è lecita poiché non obbligatorio per questa tipologia di attività; la mancata nomina è in linea con il GDPR, che la richiede solo in specifici casi. Il titolare è correttamente individuato e i recapiti sono forniti, consentendo agli interessati di rivolgersi facilmente per informazioni o per l’esercizio dei diritti. Ciò soddisfa i requisiti di trasparenza e informazione preliminare imposti dal GDPR.

Finalità del trattamento

Trattiamo i Suoi dati personali per le seguenti finalità specifiche:

Adempimento di obblighi di legge: ottemperare a requisiti normativi, regolamenti o disposizioni di autorità (Base giuridica: art. 6 par.1 lett. c GDPR – obbligo legale).
Adempimento di obblighi contrattuali: gestire e onorare i rapporti contrattuali con Lei, inclusa la fornitura di servizi da Lei richiesti (Base giuridica: art. 6 par.1 lett. b GDPR – esecuzione di un contratto).
Fornitura di informazioni e servizi richiesti: rispondere a domande, fornire preventivi o informazioni precontrattuali e prestare i servizi concordati con Lei, ad esempio confermare prenotazioni e ospitalità (Base giuridica: art. 6 par.1 lett. b GDPR – misure precontrattuali e contratto).
Analisi dell’efficienza del sistema: monitorare e verificare il corretto funzionamento del nostro sito web e dei sistemi informatici, al fine di migliorarne le prestazioni e la sicurezza (Base giuridica: art. 6 par.1 lett. f GDPR – legittimo interesse del titolare alla gestione tecnica e sicurezza dei sistemi).
Attività di marketing e promozionali: svolgere attività di marketing, come l’invio di newsletter, comunicazioni commerciali e materiale pubblicitario, oltre a ricerche di mercato per sondare l’interesse della clientela verso i nostri servizi (Base giuridica: art. 6 par.1 lett. a GDPR – consenso dell’interessato). Tali comunicazioni saranno inviate solo previo Suo esplicito consenso, che potrà in ogni momento revocare.
Tutela di obbligazioni e diritti: garantire l’adempimento di obblighi contrattuali da parte della clientela, ad esempio gestire i pagamenti dovuti, prevenire frodi e tutelare i nostri diritti in caso di inadempimenti (Base giuridica: art. 6 par.1 lett. b e f GDPR – esecuzione contrattuale e legittimo interesse a tutela dei nostri diritti).
Customer satisfaction e miglioramento dei servizi: rilevare il grado di soddisfazione della clientela riguardo alla qualità dei prodotti e servizi offerti, così da migliorare la nostra offerta. Ad esempio, potremmo analizzare le recensioni volontariamente pubblicate dai clienti su Google, TripAdvisor o altre piattaforme esterne, oppure invitarLa a fornire un riscontro dopo aver usufruito dei nostri servizi (Base giuridica: art. 6 par.1 lett. f GDPR – legittimo interesse del titolare a migliorare i propri servizi sulla base del feedback dei clienti).

Nota: Qualora fossero trattati dati personali appartenenti a categorie particolari (art. 9 GDPR) – ad esempio informazioni sanitarie su allergie alimentari da Lei eventualmente fornite per la prenotazione – tali dati verranno trattati esclusivamente per soddisfare la Sua richiesta specifica (ad esempio per adattare il servizio alle Sue esigenze) e previo Suo consenso esplicito (Base giuridica aggiuntiva: art. 9 par.2 lett. a GDPR).

Tipologia di trattamento

I Suoi dati personali vengono trattati sia con modalità manuali sia tramite strumenti informatici e telematici. Utilizziamo prevalentemente mezzi e processi automatizzati, servendoci di banche dati e piattaforme informatiche gestite da noi oppure da terze parti contrattualmente autorizzate, in linea con le finalità sopra descritte. In ogni caso, adottiamo procedure che garantiscono la riservatezza e la sicurezza dei dati trattati.

Durante la navigazione del nostro sito web, alcuni dati tecnici indispensabili al funzionamento del sito vengono raccolti in modo automatico dai nostri sistemi e conservati in appositi database o file di log sul server. Questi dati includono, ad esempio: il tipo e la versione del browser utilizzato, il sistema operativo del dispositivo, il sito web di provenienza (referrer), le pagine visitate sul nostro dominio, la data e l’ora della visita, l’indirizzo IP del dispositivo, oltre ad altre informazioni tecniche simili. Tali informazioni vengono raccolte in forma anonima o aggregata quando possibile, e utilizzate in un primo momento a fini statistici, per analizzare l’uso del sito, e successivamente per migliorare il livello di sicurezza e protezione del sistema.

La base giuridica di questa tipologia di trattamento tecnico è il nostro legittimo interesse (art. 6 par.1 lett. f GDPR) a garantire il corretto funzionamento e la sicurezza del sito web e, per quanto riguarda gli elementi necessari alla fruizione del servizio richiesto (ad esempio l’indirizzo IP per visualizzare le pagine), l’esecuzione di misure precontrattuali su richiesta dell’interessato (art. 6 par.1 lett. b GDPR). Il conferimento di questi dati è implicito nell’uso dei protocolli di comunicazione Internet: senza di essi, il sito non potrebbe fornire le pagine richieste.

Quando ci si collega al nostro sito, i sistemi informatici registrano automaticamente queste informazioni tecniche; il trattamento non viene utilizzato per identificare l’utente, ma per permettere la fruizione dei contenuti online e garantirne la sicurezza. Non effettuiamo alcuna profilazione o analisi personalizzata basata su tali dati tecnici, salvo quanto descritto nella sezione “Profilazione” più avanti e nella nostra Cookie Policy.

Analisi e conformità GDPR: Questa sezione descrive in modo trasparente come vengono trattati i dati (modalità del trattamento) e quali tipologie di dati tecnici vengono raccolte automaticamente durante la navigazione. Ciò risponde al requisito di informare l’interessato sulle modalità del trattamento e sulle categorie di dati personali trattatiagendadigitale.eu. Abbiamo chiarito che i dati di navigazione (log tecnici) sono raccolti automaticamente per finalità di funzionamento e sicurezza, specificando la base giuridica appropriata (legittimo interesse e necessità contrattuale). Questo allineamento è conforme all’art. 13 GDPR, che richiede di indicare le informazioni pertinenti sulla natura dei dati raccolti. La menzione esplicita delle categorie di dati (IP, browser, ecc.) soddisfa anche le indicazioni del Garante, assicurando che l’utente sappia esattamente quali informazioni vengono acquisite durante la navigazione. È stato inoltre chiarito che tali dati non vengono utilizzati per scopi ulteriori (profilazione individuale) senza consenso, prevenendo possibili ambiguità. In sintesi, la sezione Tipologia di trattamento risulta conforme ai principi di trasparenza, illustrando i mezzi del trattamento (manuali e automatizzati) e rassicurando sugli standard di sicurezza adottati.

Periodo di conservazione dei dati

Conserviamo i dati personali dell’interessato solo per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto dei principi di limitazione della conservazione e minimizzazione sanciti dal GDPR. In particolare, sono previsti diversi periodi di conservazione a seconda del tipo di trattamento:

Richieste di informazioni e contatti generici: i dati personali forniti per formulare domande, richiedere informazioni su prodotti/servizi o altre comunicazioni saranno conservati per il tempo strettamente necessario ad evadere la richiesta ricevuta e a fornire un riscontro completo. Ad esempio, i dati inviati tramite il modulo di contatto verranno cancellati una volta soddisfatta la Sua richiesta, salvo ulteriori necessità legate a obblighi contrattuali o di legge (ad es. un successivo rapporto contrattuale).
Prenotazioni online tramite il sito: i dati personali forniti per prenotare un tavolo al ristorante o altri servizi saranno conservati per il periodo necessario a gestire ed eseguire la prenotazione (ad esempio fino alla data della prenotazione e completamento del servizio). Successivamente, potranno essere conservati per un periodo aggiuntivo se necessario per tutelare eventuali diritti (es. gestione di reclami relativi alla prenotazione) o per adempiere a obblighi legali (es. registrazioni contabili della caparra versata), comunque entro i termini di legge applicabili.
Dati di navigazione del sito: le informazioni tecniche raccolte durante la navigazione (vedi sezione “Tipologia di trattamento”) vengono conservate per il tempo necessario a svolgere le attività di analisi aggregate e di miglioramento della sicurezza, di norma per un periodo limitato (ad esempio alcuni mesi) salvo necessità di ulteriore conservazione per accertamento di reati informatici in caso di attacchi al sito.
Obblighi legali, fiscali e amministrativi: i dati personali utilizzati per adempiere obblighi di legge (ad esempio dati contenuti in documenti contabili, fatture, registri amministrativi) saranno conservati per il periodo obbligatorio previsto dalle normative applicabili. In Italia, i documenti rilevanti a fini fiscali e civilistici (come fatture e scritture contabili) vengono normalmente conservati per 10 anni o per altro termine richiesto dalla legge.
Gestione di contenziosi: in caso di eventuali controversie, reclami o azioni legali, i dati personali necessari saranno conservati per il tempo strettamente necessario alla tutela in giudizio dei nostri diritti, e comunque non oltre i termini di prescrizione applicabili dalla legge per far valere tali diritti.
Finalità di marketing e profilazione: i dati personali trattati per l’invio di comunicazioni commerciali (newsletter, offerte promozionali) o per attività di profilazione saranno conservati fino a revoca del Suo consenso o alla Sua opposizione al trattamento. In ogni caso, in linea con le indicazioni dell’Autorità Garante, non conserveremo tali dati oltre un periodo di 24 mesi dall’ultima interazione per i dati di marketing, né oltre 12 mesi per i dati eventualmente trattati per profilazione, salvo necessità di conservarli ulteriormente esclusivamente in forma aggregata o anonimaroedl.it. Trascorsi tali termini, i dati saranno cancellati o resi anonimi in modo permanente.

Allo scadere dei periodi sopra indicati, i dati personali saranno eliminati oppure resi anonimi in maniera irreversibile, salvo che non sussista un ulteriore fondamento giuridico che ne giustifichi la conservazione (ad esempio un obbligo di legge sopravvenuto) di cui l’interessato sarà informato.

Analisi e conformità GDPR: Questa sezione soddisfa il requisito di indicare per quanto tempo (o secondo quali criteri) verranno conservati i dati personali, come previsto dall’art. 13, par.1 lett. e) GDPRagendadigitale.eu. Abbiamo specificato i periodi di conservazione distinti per tipologia di dato o finalità, includendo le nuove casistiche (prenotazioni online, dati di marketing) non presenti esplicitamente nella versione precedente. In particolare, è stata aggiunta un’indicazione chiara per i dati di marketing e profilazione, conformemente alle raccomandazioni del Garante Privacy, che suggeriscono di non eccedere rispettivamente 24 mesi e 12 mesi di conservazioneroedl.it. Ciò risponde alle osservazioni normative secondo cui termini troppo estesi senza adeguata giustificazione violerebbero il principio di limitazione della conservazioneroedl.it. La sezione è ora completa, coprendo tutte le ipotesi: dalle richieste informazioni (trattenute solo finché necessario) ai dati contrattuali/fiscali (conservati secondo legge), fino ai dati per marketing (limitati temporalmente e soggetti a cancellazione alla revoca del consenso). Questa granularità e trasparenza assicurano conformità sia al GDPR che alle Linee guida del Garante, offrendo all’utente una chiara comprensione di quanto a lungo i suoi dati resteranno nei nostri sistemi e dei criteri utilizzati per determinarlo.

Utilizzo di Cookies

Per migliorare la Sua esperienza di navigazione sul nostro sito web utilizziamo i Cookies. I cookie sono piccoli file di testo che il sito, o servizi di terze parti ad esso collegati, posizionano sul Suo dispositivo tramite il browser Internet quando visita il nostro sito. Queste informazioni vengono poi ritrasmesse al sito ad ogni successivo collegamento, permettendo di riconoscere gli utenti e memorizzare alcune preferenze.

Sul nostro sito utilizziamo sia cookie tecnici (necessari per il funzionamento del sito e l’erogazione dei servizi da Lei richiesti) sia cookie di terze parti per finalità statistiche e di marketing. In particolare, potremmo avvalerci di servizi esterni come Google Analytics (analisi delle visite), Google Ads e il Meta Pixel di Facebook/Instagram (per attività pubblicitarie e di remarketing), che installano cookie finalizzati a raccogliere informazioni sul comportamento di navigazione e a proporre contenuti personalizzati. L’uso di tali strumenti avviene solo previo ottenimento del Suo consenso, tramite il banner cookie che Le consente di accettare o rifiutare le diverse categorie di cookie non essenziali.

Lei ha sempre la possibilità di gestire e disabilitare i cookie attraverso le impostazioni del Suo browser. Può cancellare in qualsiasi momento i cookie memorizzati sul Suo dispositivo e configurare il browser affinché in futuro non ne consenta l’installazione. Tenga presente che la disattivazione dei cookie tecnici indispensabili potrebbe compromettere alcune funzionalità del sito e l’erogazione di determinati servizi (ad esempio, il sistema di prenotazione online potrebbe non funzionare correttamente senza cookie). Per maggiori dettagli sui cookie utilizzati e su come gestirli, La invitiamo a consultare la nostra Cookie Policy dedicata, dove trova informazioni aggiornate su tipologie di cookie, finalità, durate e modalità di configurazione degli stessi.

Analisi e conformità GDPR: Questa sezione informa l’utente sull’utilizzo dei cookie, adempiendo all’obbligo di chiarezza previsto sia dal GDPR sia dalla normativa ePrivacy e dalle Linee guida del Garante sui cookie (2021). Abbiamo esplicitamente menzionato l’uso di cookie di terze parti come Google Analytics, Google Ads e Meta Pixel, in linea con la richiesta di integrare tali elementi nell’informativa. Ciò garantisce trasparenza sull’eventuale profilazione online e sul trasferimento di dati a terzi per finalità di marketing. Viene inoltre chiarito che l’utente può rifiutare i cookie non essenziali e che il sito ha implementato un meccanismo (banner) per la raccolta del consenso in modo conforme alle prescrizioni del Garante (ad esempio, pulsanti “Accetta” e “Rifiuta”, cookie disabilitati di default fino al consenso, ecc.)gdprlab.itgdprlab.it. La presenza di una Cookie Policy separata e richiamata nell’informativa principale è conforme alle prassi di trasparenza, permettendo di dettagliare in un documento dedicato tutte le informazioni tecniche senza appesantire l’informativa generale. In sintesi, la sezione Cookie assolve ai requisiti di informazione (artt. 12 e 13 GDPR) riguardanti i meccanismi di tracciamento e indica chiaramente i diritti dell’utente (rifiuto, revoca del consenso, configurazione libera), in linea con le norme europee e nazionali.

Contatti via WhatsApp

Se ci scrive su WhatsApp al +39 0471 793119, trattiamo il numero e il contenuto dei messaggi per gestire la richiesta. Il servizio è fornito da WhatsApp/Meta, che opera quale titolare autonomo per le proprie finalità secondo la relativa informativa. Conserviamo le conversazioni solo per il tempo necessario a evadere la richiesta e secondo i nostri tempi di conservazione.

Modulo di contatto

Se decide di contattarci tramite il modulo di contatto presente sul nostro sito web, Le saranno richiesti alcuni dati personali (ad esempio nome, cognome, indirizzo email e altri recapiti) necessari per poter prendere in carico e gestire la Sua richiesta. I campi del modulo contrassegnati da asterisco (o altra indicazione) sono obbligatori, in quanto la mancata fornitura di tali informazioni essenziali potrebbe impedirci di fornire il riscontro o il servizio richiesto. L’inserimento di ulteriori dati personali (non obbligatori) o di dati appartenenti a categorie particolari (come informazioni di salute, opinioni, etc.) è facoltativo e avviene su Sua esclusiva iniziativa: Le consigliamo di fornire tali dati aggiuntivi solo se strettamente necessario per la natura della Sua richiesta. In ogni caso, eventuali informazioni di natura sensibile da Lei inserite saranno trattate unicamente per soddisfare la specifica richiesta e, ove necessario, previo Suo consenso esplicito.

L’invio di una comunicazione attraverso il modulo di contatto implica la consapevolezza e accettazione del trattamento dei dati personali forniti per le finalità connesse alla gestione della richiesta. I dati trasmessi mediante il form saranno utilizzati esclusivamente per rispondere al Suo messaggio e per attività strettamente correlate (es. successivi chiarimenti) e verranno conservati per il tempo necessario all’evasione completa della richiesta, come indicato nella sezione “Periodo di conservazione dei dati”. Terminate tali finalità, i dati verranno cancellati, salvo che non derivi un’ulteriore esigenza di conservarli per obblighi di legge o finalità diverse (nel qual caso Le saranno fornite ulteriori informazioni).

Analisi e conformità GDPR: La sezione Modulo di contatto chiarisce in modo completo le informazioni relative alla raccolta dati tramite il form online, soddisfacendo diversi requisiti normativi. In primo luogo, informa l’utente se il conferimento dei dati è obbligatorio o facoltativo, nonché le conseguenze di un eventuale rifiuto di fornirliagendadigitale.eu. Infatti, viene specificato che i campi obbligatori sono contrassegnati e che la loro mancata compilazione comporta l’impossibilità di dare seguito alla richiesta – questo è un elemento previsto dall’art. 13, par.2 lett. e) GDPR. Inoltre, il testo ribadisce che l’invio del modulo equivale a prestare consenso (laddove necessario) al trattamento dei dati per rispondere, il che copre la base giuridica (esecuzione di misure precontrattuali su richiesta dell’interessato, art.6(1)(b), e il consenso implicito per eventuali dati sensibili ex art.9(2)(a) se l’utente li inserisce volontariamente). Abbiamo integrato un avviso circa i dati sensibili, in ottemperanza al principio di privacy by design e alle indicazioni del Garante di evitare, ove possibile, la raccolta di dati eccedenti o particolarmente delicati a meno che sia necessario. Questa aggiunta tutela sia l’utente (che viene avvisato di non inserire dati non richiesti) sia il titolare (che dimostra di aver preso misure per prevenire trattamenti non conformi). Il periodo di conservazione è richiamato sinteticamente, rinviando alla sezione specifica per maggiori dettagli: ciò garantisce coerenza interna nell’informativa e facilita l’utente nel trovare tutte le informazioni senza ripetizioni ridondanti. In sintesi, la sezione appare conforme al GDPR e alle linee guida: informa su finalità, base giuridica implicita, obbligatorietà dei dati, periodo di conservazione e diritti (tramite l’accenno al consenso e revoca), risultando completa e chiara.

Prenotazioni online (servizio di ristorante)

Attraverso il nostro sito è attivo un sistema di prenotazione online dei tavoli presso il ristorante dell’hotel. Tale servizio è implementato mediante una piattaforma esterna (Wix Bookings), che agisce in qualità di fornitore tecnico per conto nostro. Per effettuare una prenotazione Le verranno richiesti dati personali quali nome e cognome, recapito telefonico e/o email, oltre ai dettagli della prenotazione (data, orario, numero di persone ed eventuali richieste particolari). In alcuni casi, al fine di garantire la Sua prenotazione, potremmo richiedere l’inserimento di dati di carta di credito per la pre-autorizzazione o il pagamento di una caparra confirmatoria: questo processo di pagamento elettronico è gestito in modalità sicura tramite il servizio Wix Payments, senza che la nostra organizzazione conservi direttamente i dettagli completi della Sua carta di credito. I dati di pagamento vengono trasmessi con protocolli cifrati al gestore del pagamento e trattati secondo standard di sicurezza elevati; noi riceviamo solo conferma dell’esito della transazione e un riferimento (token) per associarla alla Sua prenotazione.

L’utilizzo del sistema di prenotazione è facoltativo: in alternativa può sempre contattarci telefonicamente o via email per riservare un tavolo. Tuttavia, se sceglie di utilizzare il modulo online, il conferimento dei dati richiesti è necessario per poter processare la prenotazione. L’eventuale rifiuto di inserire informazioni obbligatorie (come i recapiti) o di fornire i dettagli di pagamento (quando richiesti per caparra) comporterà l’impossibilità di completare la procedura di prenotazione online. Al momento dell’invio della richiesta di prenotazione, Le verrà chiesto di confermare di aver letto la presente informativa privacy e, con la conferma, Lei acconsente al trattamento dei dati per finalità legate alla gestione della prenotazione stessa.

I dati raccolti verranno utilizzati per: inserirLa nel nostro sistema di prenotazioni, riservare correttamente il Suo tavolo per la data e l’ora richieste, eventualmente inviarLe comunicazioni di conferma o promemoria della prenotazione (via email o SMS), e gestire la caparra (con accredito o eventuale addebito solo in caso di Sua mancata presentazione, secondo i termini comunicati al momento della prenotazione). Il tutto avviene nel rispetto della presente informativa e per le sole finalità connesse al servizio richiesto.

I dati relativi alle prenotazioni online saranno conservati per il periodo indicato nella sezione “Periodo di conservazione dei dati” (in sintesi: per il tempo necessario alla gestione della prenotazione e dell’eventuale servizio usufruito, ed eventualmente più a lungo solo se richiesto da obblighi di legge – ad esempio per finalità fiscali – o per tutelare nostri diritti in caso di contestazioni). Tali dati non verranno utilizzati per altre finalità (es. marketing) senza il Suo specifico consenso.

Profilazione

La profilazione è definita dal GDPR come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare o predire determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere preferenze, interessi, comportamento e simili. Nel contesto delle nostre attività, eventuali forme di profilazione sono limitate all’ambito marketing e avvengono esclusivamente previo Suo consenso. Ad esempio, potremmo elaborare dati relativi alle Sue prenotazioni o interazioni con il nostro sito (come le pagine visitate o i servizi di cui ha usufruito) per inferire i Suoi possibili interessi, al fine di proporLe offerte personalizzate o sconti dedicati.

Per svolgere questo tipo di marketing mirato, abbiamo concluso accordi con terze parti specializzate (ad es. piattaforme pubblicitarie come Google o Meta) che ci supportano nelle analisi. In tali casi, proteggiamo la privacy degli utenti adottando tecniche di minimizzazione e sicurezza: se, ad esempio, condividiamo con partner esterni elenchi di clienti per campagne promozionali (come l’invio di messaggi mirati su social network), gli identificativi personali (email, numero di telefono) vengono preventivamente cifrati o pseudonimizzati attraverso tecnologie come l’hashing. Questo garantisce che le terze parti non possano risalire ai dati originali degli interessati, utilizzandoli solo per gli scopi contrattualmente stabiliti e secondo le nostre istruzioni.

Decisioni automatizzate: Si precisa che non adottiamo processi decisionali interamente automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sull’interessato, ai sensi dell’art. 22 GDPR. Eventuali attività di profilazione da noi condotte hanno l’unico obiettivo di personalizzare l’esperienza di marketing (es. inviando promozioni in linea con le preferenze espresse) e vengono effettuate solo con il consenso dell’utente, che rimane libero di negarlo o revocarlo in qualsiasi momento. In ogni caso, l’utente ha diritto di ottenere intervento umano, esprimere la propria opinione e contestare qualsiasi decisione basata su profilazione, come dettagliato nella sezione “Diritti dell’interessato”.

Analisi e conformità GDPR: La sezione Profilazione fornisce all’interessato informazioni precise su eventuali trattamenti automatizzati aventi ad oggetto i suoi dati, adempiendo all’obbligo di informativa ex art. 13, par.2 lett. f) del GDPR (esistenza di processi decisionali automatizzati, compresa la profilazione, e logica utilizzata)agendadigitale.eu. Abbiamo chiarito, in linea generale, cosa intendiamo per profilazione e in che misura la applichiamo: l’ambito è limitato al marketing personalizzato, e sempre subordinato al consenso. Inoltre, descriviamo misure di tutela come l’hashing degli identificativi, che è un particolare significativo – ciò dimostra che applichiamo i principi di privacy by design, riducendo i rischi per gli interessati quando coinvolgiamo soggetti terzi. Viene esplicitamente dichiarato che non vi sono decisioni automatizzate con effetti giuridici o gravemente impattanti: questa affermazione, assente nella versione precedente, è importante per la completezza dell’informativa, poiché rassicura l’utente sul fatto che non subirà conseguenze legali o significative da algoritmi senza intervento umano. Allo stesso tempo, per massima trasparenza, si informa che la profilazione potrà portare solo a vantaggi quali offerte su misura, e che rimane facoltativa e revocabile. Ciò risponde alle raccomandazioni del Garante di spiegare in modo semplice le logiche di eventuale profilazione e le conseguenze previste per l’interessato. La sezione fa rinvio ai diritti dell’interessato in caso di profilazione (intervento umano, opposizione, ecc.), collegandosi coerentemente con la parte dedicata ai diritti. In definitiva, la sezione Profilazione risulta conforme e allineata sia al GDPR che alle linee guida nazionali: delimita l’uso di tali tecniche, ne comunica la base legale (consenso), e rassicura sull’assenza di trattamenti automatizzati invasivi.

Collaborazioni con terze parti

Nell’erogazione dei nostri servizi ci avvaliamo di fornitori terzi di fiducia, con i quali sono stati sottoscritti specifici accordi per garantire che adottino standard di sicurezza e privacy equivalenti ai nostri. Questi terzi agiscono per lo più in qualità di Responsabili del trattamento su istruzione nostra (ai sensi dell’art. 28 GDPR), impegnandosi contrattualmente a trattare i dati personali solo per le finalità concordate e a non utilizzarli per scopi propri non autorizzati.

Di seguito elenchiamo, a titolo esemplificativo, alcune categorie di soggetti terzi (e relativi servizi) con cui possiamo condividere dati dell’utente, nell’ambito dei trattamenti descritti in questa informativa:

Fornitori di servizi IT e piattaforme web: ad esempio, Wix.com Ltd., fornitore della nostra piattaforma di prenotazione online e hosting del sito, che gestisce i dati delle prenotazioni e i relativi pagamenti per nostro conto; servizi di cloud o database in cui possono essere archiviati i dati raccolti.
Servizi di analisi e marketing online: ad esempio Google LLC (servizi Google Analytics e Google Ads) e Meta Platforms, Inc. (Facebook/Instagram – Meta Pixel), che ci forniscono strumenti per analisi statistiche sull’uso del sito e per condurre campagne pubblicitarie mirate. Queste società possono trattare alcuni Suoi dati di navigazione (previo consenso, tramite i cookie di cui sopra) al fine di fornirci report aggregati o servizi di targeting pubblicitario. Le informazioni condivise con tali partner sono limitate a quanto necessario (ad esempio, identificatori online pseudonimi) e, dove possibile, vengono applicate misure di salvaguardia come la pseudonimizzazione o l’anonimizzazione degli IP per Google Analytics.
Servizi di pagamento e istituti bancari: ad esempio il gateway Wix Payments (che a sua volta può utilizzare sub-fornitori bancari o circuiti come Stripe) per la gestione di transazioni con carta di credito relative alle prenotazioni, oppure le banche con cui intratteniamo rapporti commerciali per gestire incassi e pagamenti. Questi soggetti trattano dati finanziari (es. estremi carta, coordinate bancarie) come titolari autonomi o responsabili a seconda dei casi, al solo scopo di garantire la corretta esecuzione dei pagamenti dovuti.
Consulenti e professionisti esterni: soggetti che ci supportano in ambito legale, fiscale, tributario o di auditing (ad esempio studi legali, commercialisti, consulenti del lavoro), i quali potrebbero accedere a dati dell’utente ove ciò sia necessario per lo svolgimento delle loro mansioni e sempre nel rispetto di un obbligo di riservatezza e di specifiche istruzioni da parte nostra.

Tutti i suddetti soggetti terzi sono contrattualmente vincolati a requisiti di riservatezza e sicurezza. Ci assicuriamo, tramite adeguati Data Processing Agreement (accordi di nomina a responsabile) o clausole contrattuali, che essi non utilizzino i dati per finalità proprie e li proteggano secondo gli standard previsti dalla normativa privacy. Ad esempio, nel caso di partner pubblicitari come Google o Meta, aderiamo ai termini contrattuali da essi predisposti per utenti business, che includono Clausole Contrattuali Standard approvate dalla Commissione Europea per i trasferimenti internazionali (vedi oltre) e impegni specifici sul trattamento conforme al GDPR.

In alcuni casi, uno o più di questi fornitori potrebbero avere sede in Paesi al di fuori dello Spazio Economico Europeo (SEE) oppure potrebbero conservare i dati su server internazionali. Ciò significa che alcuni dati potrebbero essere trasferiti verso Paesi terzi. Nel paragrafo seguente spieghiamo come garantiamo la protezione dei dati in tali circostanze.

Diffusione dei dati

I dati personali raccolti non sono soggetti a diffusione indiscriminata. Ciò significa che non pubblichiamo né rendiamo disponibili a un numero indefinito di soggetti i Suoi dati personali. Tuttavia, in determinati casi circoscritti, alcuni dati potranno essere comunicati a specifici destinatari, come in parte già elencato sopra, appartenenti alle seguenti categorie:

Soggetti esterni tecnici o commerciali: ad esempio subappaltatori e aziende partner che forniscono servizi di analisi tecnica, manutenzione informatica, gestione dei pagamenti, servizi di identificazione e recapito di comunicazioni, piattaforme di web analytics o assicurazione del credito (come dettagliato nella sezione precedente “Collaborazioni con terze parti”).
Pubbliche autorità e Pubblica Amministrazione: organi ed enti pubblici, autorità governative o giudiziarie (es. Autorità Garante Privacy, Forze dell’Ordine, Autorità fiscali) ma solo nei casi in cui la comunicazione dei dati sia obbligatoria per legge o su ordine delle suddette autorità.
Istituti bancari e intermediari finanziari: banche o società di pagamento con cui intratteniamo rapporti nell’ambito della gestione di incassi e pagamenti, nella misura necessaria all’esecuzione delle transazioni (ad esempio per l’addebito della caparra o il rimborso di importi dovuti).
Consulenti professionali o altri soggetti privati per legittimo interesse: persone fisiche o giuridiche in ambito privato – quali consulenti legali, fiscali, assicurativi, società di recupero crediti, autorità garanti di settore, compagnie di assicurazione – nel caso in cui la comunicazione dei dati risulti necessaria o pertinente allo svolgimento della nostra attività e alla tutela dei nostri diritti (si pensi alla comunicazione di dati a un avvocato per gestire un contenzioso, o a un consulente del lavoro per una pratica riguardante un dipendente).

In ogni ipotesi di comunicazione a terzi come sopra delineata, ci assicuriamo di operare nel rispetto del principio di minimizzazione: verranno comunicati solo i dati strettamente richiesti dalla specifica finalità per cui avviene la trasmissione (ad esempio, alle banche solo i dati necessari a identificare la transazione, all’autorità giudiziaria solo quelli richiesti nell’ambito di un’indagine, ecc.). Ribadiamo che in assenza di un obbligo di legge o di un Suo specifico consenso, i Suoi dati personali non saranno diffusi o comunicati a soggetti terzi diversi da quelli indicati nella presente informativa.

Analisi e conformità GDPR: La sezione Diffusione dei dati completa le informazioni relative ai destinatari, sottolineando che i dati personali non vengono diffusi pubblicamente (concetto di “diffusione” in senso tecnico, distinto dalla “comunicazione” a soggetti determinati). Questo chiarimento è spesso richiesto in ambito di informativa, specialmente secondo le linee guida italiane pre-GDPR, e fornisce all’interessato una rassicurazione aggiuntiva: i suoi dati non saranno messi online né ceduti indiscriminatamente. Inoltre, la sezione riprende e sintetizza le categorie di soggetti terzi già elencati, contestualizzandoli in casi concreti (ciò risponde alla necessità di rendere l’informativa comprensibile e concreta). In termini di conformità, è in linea con l’art. 13 GDPR che impone di indicare eventuali destinatari dei dati: qui lo facciamo con un doppio livello di dettaglio (prima in “Collaborazioni”, poi in “Diffusione” per chiarire la non diffusione generalizzata). Questa struttura è conforme anche alle indicazioni del Garante, che nelle sue guide ricorda di specificare se i dati saranno diffusi (ad esempio pubblicati su internet) – nel nostro caso, dichiariamo di no. La sezione, unita alla precedente, assicura che l’informativa copra sia i destinatari (chi riceve i dati) sia la natura della comunicazione (se circoscritta o diffusa). Il linguaggio utilizzato (“solo in determinati casi”, “strettamente necessario”, ecc.) riflette i principi di limitazione delle finalità e minimizzazione dei dati. Ciò risulta coerente con le normative e rende l’informativa ben allineata alle aspettative delle Linee guida del Garante italiano, secondo cui il titolare deve sempre indicare chiaramente chi può venire a conoscenza dei dati personali trattati e per quali scopi, evitando formulazioni vaghe o ambigue. Possiamo dunque ritenere questa parte conforme e completa.

Diritti dell’interessato

In qualità di interessato (ovvero soggetto a cui si riferiscono i dati personali trattati), Lei può esercitare una serie di diritti previsti dagli artt. 15-22 del GDPR. Tali diritti possono essere esercitati in qualsiasi momento, gratuitamente, contattandoci ai recapiti indicati all’inizio di questa informativa (preferibilmente via email all’indirizzo info@hoteltouring.bz, oppure mediante richiesta scritta inviata alla sede legale). Le risponderemo senza ingiustificato ritardo, e comunque entro il termine massimo stabilito dal GDPR. In alcuni casi potremmo avere bisogno di verificare la Sua identità prima di poter dare seguito alla richiesta, per garantire che i dati non vengano divulgati a soggetti non autorizzati.

Di seguito, riepiloghiamo i diritti riconosciuti dalla normativa:

Diritto di accesso e conferma dell’avvenuto trattamento: Lei ha il diritto di sapere se sia in corso un trattamento di dati personali che La riguardano e, in tal caso, di ottenere l’accesso a tali dati insieme a numerose informazioni sul trattamento stesso. Ciò include, ad esempio, le finalità, le categorie di dati trattati, i destinatari a cui i dati sono stati o saranno comunicati (soprattutto se situati fuori dallo SEE, con garanzie relative), il periodo di conservazione previsto, l’esistenza di eventuali processi decisionali automatizzati (compresa la profilazione) e, se i dati non sono raccolti presso di Lei, tutte le informazioni disponibili sulla loro origine. (V. art. 15 GDPR – Diritto di accesso).
Diritto di rettifica: Qualora alcuni dati personali in nostro possesso risultino inesatti o incompleti, Lei ha il diritto di ottenerne la rettifica o l’integrazione senza ingiustificato ritardo. (V. art. 16 GDPR – Diritto di rettifica).
Diritto alla cancellazione (“diritto all’oblio”): Lei ha il diritto di chiedere la cancellazione dei Suoi dati personali, e noi avremo l’obbligo di cancellarli, qualora sussista uno dei motivi previsti dall’art. 17 GDPR. Ad esempio, se i dati non sono più necessari rispetto alle finalità per cui erano stati raccolti, se Lei revoca il consenso (e non sussiste altro fondamento giuridico per il trattamento), se Lei si oppone al trattamento per finalità di marketing, o se i dati fossero stati trattati illecitamente. La cancellazione non sarà invece effettuata (o potrà essere limitata) nella misura in cui il trattamento sia necessario per obbligo di legge o per l’accertamento/esercizio di nostri diritti in sede giudiziaria.
Diritto di limitazione del trattamento: Ha il diritto di ottenere la limitazione del trattamento dei Suoi dati in presenza di alcune circostanze specifiche previste dall’art. 18 GDPR. È il caso, ad esempio, in cui Lei contesti l’esattezza dei dati (per il periodo a noi necessario a verificarne l’accuratezza), oppure se il trattamento è illecito ma Lei ci chiede di non cancellare i dati bensì di limitarne l’uso, o ancora se, benché noi non ne abbiamo più bisogno, i dati Le servono per far valere un Suo diritto in sede giudiziaria. Quando il trattamento è limitato, i dati saranno da noi conservati ma non ulteriormente trattati se non per determinate eccezioni (ad esempio con il Suo consenso o per proteggere altre persone).
Diritto alla portabilità dei dati: Per i trattamenti automatizzati basati sul Suo consenso o su un contratto, Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ci ha fornito. Inoltre, può richiederci – se tecnicamente fattibile – di trasmettere tali dati direttamente ad un altro titolare da Lei indicato. (V. art. 20 GDPR – Diritto alla portabilità). Questo diritto Le consente, ad esempio, di recuperare agilmente i dati che ci ha fornito per trasferirli ad altri fornitori di servizi.
Diritto di opposizione: Lei può opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati personali che La riguardano quando esso è basato sul nostro legittimo interesse (art. 6 par.1 lett. f GDPR). In caso di opposizione, ci asterremo dal trattare ulteriormente i dati personali salvo che dimostriamo l’esistenza di motivi legittimi cogenti che prevalgono sui Suoi interessi, diritti e libertà, oppure per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria. Inoltre, qualora i Suoi dati siano trattati per finalità di marketing diretto, Lei ha il diritto di opporsi in qualsiasi momento a tale trattamento, inclusa la profilazione nella misura in cui sia connessa a tale marketing. In caso di opposizione al marketing diretto, i Suoi dati non saranno più oggetto di trattamento per tali finalità. (V. art. 21 GDPR – Diritto di opposizione).
Diritto di revoca del consenso: Nel caso in cui un trattamento dei Suoi dati personali sia basato sul Suo consenso, Lei ha il diritto di revocare in qualsiasi momento tale consenso. La revoca non pregiudica la liceità del trattamento che è stato effettuato prima della revoca stessa, ma dal momento in cui viene comunicata, ci asterremo dal proseguire il trattamento dei dati per le finalità per cui aveva consentito. È altrettanto facile revocare il consenso quanto lo è stato prestarlo: ad esempio, potrà cancellare l’iscrizione alla newsletter in ogni momento tramite l’apposito link in calce alle email, oppure gestire i consensi sui cookie tramite le impostazioni dedicate. (V. art. 7 par.3 GDPR).
Diritto di non essere sottoposto a decisioni automatizzate: Come anticipato, Lei ha il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato – compresa la profilazione – che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla Sua persona. Abbiamo dichiarato in precedenza che il nostro sito non adotta tali decisioni automatizzate senza intervento umano; qualora in futuro dovessimo implementare processi di questo tipo (ad esempio sistemi di rating automatico dei clienti), Le assicureremo le garanzie previste dall’art. 22 GDPR, tra cui il diritto di ottenere l’intervento umano, di esprimere la Sua opinione e di contestare la decisione.

Oltre a questi diritti, Le ricordiamo che Lei ha sempre il diritto di proporre reclamo a un’Autorità di controllo, qualora ritenga che il trattamento dei Suoi dati avvenga in violazione della normativa applicabile. In Italia, l’Autorità di controllo è il Garante per la protezione dei dati personali (Piazza Venezia n. 11, 00187 – Roma, www.garanteprivacy.it). Lei può dunque rivolgersi al Garante privacy per segnalare o lamentare eventuali violazioni, fatto salvo ogni altro ricorso amministrativo o giurisdizionale.

Infine, precisiamo che l’esercizio dei Suoi diritti è gratuito. Tuttavia, in caso di richieste manifestamente infondate o eccessive (ad esempio per carattere ripetitivo), potremo addebitarLe un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti, oppure rifiutare di dare seguito alla richiesta (in tale eventualità Le forniremo adeguata motivazione).

Analisi e conformità GDPR: La sezione Diritti dell’interessato è stata mantenuta e ulteriormente perfezionata per assicurare piena aderenza all’art. 13, par.2 lett. b) e c) del GDPR, che impone di informare l’interessato sui propri diritti e sulla possibilità di proporre reclamo all’autorità di controlloagendadigitale.eu. Abbiamo optato per un elenco puntato chiaro e di facile consultazione, in cui ogni diritto è stato evidenziato in grassetto e spiegato con un linguaggio comprensibile ma accurato. Questa presentazione permette all’utente di scansionare rapidamente i vari diritti e di comprenderne il contenuto essenziale (corrispondendo alla richiesta dell’utente di avere paragrafi brevi e ben strutturati). Rispetto alla versione precedente, sono stati apportati piccoli miglioramenti terminologici (ad esempio “revoca del consenso” al posto di “opposizione di un consenso”) per allinearsi al linguaggio normativo corrente e rendere più chiaro il significato. Inoltre, abbiamo aggiunto riferimenti espliciti al diritto di proporre reclamo al Garante, completo di indicazione dei recapiti web, colmando così un punto che prima era accennato solo implicitamente: ora è una sezione a sé stante e facilmente individuabile dall’interessato, come raccomandato dalle best practice. Questa modifica risponde a quanto richiesto dall’art. 13, par.2 lett. d) GDPR (diritto di reclamo all’autorità) e dalle Linee guida WP260 sulla trasparenza, che suggeriscono di evidenziare chiaramente tale diritto. Tutti gli altri diritti (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, non profilazione) sono stati spiegati conformemente agli articoli 15-22 GDPR e alle descrizioni fornite dal Considerando 63 e seguenti. Abbiamo anche contestualizzato il modo pratico di esercitare i diritti (contattandoci via email o posta) e ricordato che è gratuito, salvo eccezioni: questo dettaglio risponde all’art. 12, par.5 GDPR e dimostra trasparenza. In sintesi, la sezione risulta completa, accurata e conforme, offrendo all’utente tutte le informazioni necessarie per far valere i propri diritti e quindi facilitando l’effettività di tali diritti, obiettivo primario del GDPR.

Luogo del trattamento dei dati personali e trasferimenti extra-SEE

Il trattamento dei dati personali da Lei forniti avviene prevalentemente presso la nostra sede operativa e comunque all’interno di Stati membri dell’Unione Europea o dello Spazio Economico Europeo (SEE). L’infrastruttura informatica che utilizziamo (server, database) è in gran parte localizzata in UE. Tuttavia, alcuni dei nostri fornitori esterni – come menzionato – potrebbero risiedere o utilizzare server in Paesi al di fuori del SEE (c.d. “Paesi terzi”). Ad esempio, Wix.com ha sede legale in Israele, Google e Meta hanno sede negli Stati Uniti, ecc.

Ogni qualvolta sia necessario trasferire dati personali verso un Paese terzo, ci assicureremo che ricorra una delle condizioni di legittimità previste dal Capo V del GDPR (artt. 44 e seguenti) per garantire un adeguato livello di tutela dei dati. In particolare, i trasferimenti potranno avvenire verso Paesi che hanno ottenuto una decisione di adeguatezza da parte della Commissione Europea (come ad esempio Israele, riconosciuto adeguato in materia di protezione datifederprivacy.org), oppure saranno regolati tramite l’adozione di appropriate Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) approvate dalla Commissione Europea, con eventuali misure supplementari di sicurezza se necessarie. In certi casi, potrebbe esserLe richiesto un specifico consenso informato al trasferimento, ad esempio qualora si rendesse necessario comunicare i dati a un fornitore in assenza di altre garanzie adeguate.

Desideriamo rassicurarLa che, anche in caso di trattamento extra-SEE, i Suoi dati saranno gestiti con tutti gli accorgimenti di sicurezza e riservatezza richiesti. Monitoriamo costantemente l’evoluzione normativa e gli orientamenti delle Autorità (come le sentenze “Schrems II” sul trasferimento di dati verso gli USA) e adegueremo di conseguenza i nostri rapporti contrattuali e misure tecniche per mantenere sempre un livello di protezione conforme agli standard europei.

Per ulteriori informazioni sulle specifiche garanzie adottate per i trasferimenti verso Paesi terzi (ad esempio per ottenere copia delle Clausole Contrattuali Standard sottoscritte), può contattarci in qualsiasi momento ai nostri recapiti.

Analisi e conformità GDPR: Questo paragrafo unisce le informazioni sul luogo del trattamento e sui trasferimenti internazionali di dati, rispondendo pienamente all’art. 13, par.1 lett. f) GDPRagendadigitale.eu. Abbiamo mantenuto l’indicazione che, di regola, il trattamento avviene in ambito UE/SEE (questo rassicura l’utente e riflette il fatto che la struttura principale è in Italia). Al tempo stesso, abbiamo esplicitato – cosa prima solo accennata – quali trasferimenti extra-UE possono verificarsi (esempi concreti: Israele per Wix, USA per Google/Meta). Questo soddisfa la richiesta di trasparenza sulle destinazioni dei dati al di fuori dell’Unione e sulle relative condizioni. In particolare, si indicano espressamente le garanzie adottate: decisioni di adeguatezza (con l’esempio di Israele, giustamente citato con riferimento normativo che attesta il riconoscimento di adeguatezzafederprivacy.org) e clausole contrattuali standard per gli altri casi, in linea con le misure previste dagli artt. 45 e 46 GDPR. Si sottolinea l’eventuale richiesta di consenso esplicito in casi residuali, a norma dell’art. 49 GDPR, se nessun’altra base fosse applicabile – evenienza poco probabile ma che denota un’informativa prudente e completa. Questa sezione recepisce anche le Linee guida del Garante post-Schrems II, che richiedono ai titolari di informare gli utenti sui trasferimenti verso gli USA e sulle misure adottate: facciamo cenno infatti al monitoraggio costante e alla volontà di implementare misure supplementari dove opportuno. Nel complesso, l’informativa su questo punto è notevolmente migliorata rispetto alla versione precedente: ora l’utente non solo sa che i dati potrebbero uscire dall’UE, ma anche dove, perché e come vengono protetti in tal caso. Ciò rappresenta un allineamento con il principio di trasparenza sostanziale evidenziato dal Considerando 13 del GDPR e con il dovere di accountability del titolare nel dimostrare di aver valutato i rischi dei trasferimenti e predisposto salvaguardie. La possibilità offerta all’interessato di ottenere copia delle garanzie (SCC) e di avere maggiori dettagli su richiesta completa la conformità anche sul piano procedurale. Pertanto, questa sezione rispetta integralmente gli obblighi normativi in materia di trasferimenti extra-SEE ed è conforme alle aspettative dell’Autorità Garante.

Misure di sicurezza

Attribuiamo grande importanza alla sicurezza dei Suoi dati personali. Abbiamo implementato adeguate misure tecniche e organizzative per proteggere i dati da accessi non autorizzati, divulgazione, alterazione o distruzione non autorizzata. Ad esempio, il nostro sito web utilizza protocolli di comunicazione sicuri HTTPS/SSL, assicurando che i dati inseriti (come quelli delle prenotazioni o dei moduli) vengano trasmessi in forma crittografata. I server e i sistemi informatici sono protetti da firewall, antivirus e sistemi di monitoraggio atti a rilevare e bloccare attività sospette. L’accesso ai dati personali è strettamente limitato al personale autorizzato e adeguatamente formato in materia di protezione dei dati, e ai fornitori esterni che abbiano necessità di accedervi per fornire i servizi concordati (sempre nel rispetto degli accordi di riservatezza descritti sopra).

Abbiamo predisposto procedure interne per gestire eventuali violazioni di dati personali (data breach): in caso di incidenti di sicurezza che comportino rischi elevati per gli interessati, saranno attivate le previste comunicazioni al Garante Privacy e, se necessario, agli interessati stessi, in conformità agli artt. 33-34 GDPR. Inoltre, sottoponiamo a periodico riesame le nostre politiche e misure di sicurezza per adeguarle all’evoluzione tecnologica e alle nuove minacce, in modo da mantenere un livello di protezione sempre aggiornato.

Riassumendo, pur non potendo garantire una sicurezza assoluta (nessun sistema informatico ne è esente al 100%), mettiamo in atto ogni accorgimento ragionevole e conforme all’art. 32 GDPR per salvaguardare i Suoi dati personali.

Analisi e conformità GDPR: La sezione Misure di sicurezza, assente nella versione originaria, è stata inserita per evidenziare il rispetto dell’art. 32 GDPR e delle buone pratiche suggerite dal Garante in termini di accountability del titolare. Sebbene il GDPR non richieda espressamente di dettagliare nell’informativa le misure di sicurezza adottate, includere un accenno in proposito aumenta la fiducia dell’utente e dimostra proattività. La descrizione – pur senza rivelare dettagli sensibili – comunica che il titolare ha implementato misure adeguate (crittografia, controlli di accesso, firewall, ecc.) e che esiste un processo di gestione degli incidenti. Ciò è coerente col Considerando 39 GDPR, secondo cui gli interessati dovrebbero essere informati anche delle protezioni applicate ai loro dati. Dal punto di vista della completezza, questa sezione colma un aspetto che nelle linee guida nazionali è spesso suggerito: informare in modo sintetico circa l’adozione di misure di sicurezza fisiche, logiche e organizzative. L’utente ottiene così una rassicurazione sulla serietà con cui i suoi dati vengono custoditi. Inoltre, il riferimento all’obbligo di notifica dei data breach mostra che il titolare è consapevole e preparato a gestire tali eventualità, il che si allinea all’obbligo generale di accountability e all’art. 34 (informare gli interessati in caso di violazione grave). In conclusione, pur non essendo formalmente obbligatoria, l’aggiunta di questa sezione rende l’informativa più solida e affidabile, rispondendo alle aspettative implicite di trasparenza dell’utente e alle raccomandazioni del Garante (che nei suoi provvedimenti valuta positivamente quando un titolare comunica gli standard di sicurezza adottati). Si può dunque considerare conforme e in linea con un livello elevato di tutela sostanziale.

Minori

I servizi offerti tramite il nostro sito (come prenotazioni, iscrizione a newsletter, richieste di informazioni) sono destinati a utenti di età maggiore di 14 anni. In base alla normativa italiana, un minorenne sotto i 14 anni non può prestare autonomamente un valido consenso al trattamento dei propri dati nell’ambito dei servizi della società dell’informazionefederprivacy.org. Pertanto, non raccogliamo né trattiamo consapevolmente dati personali di minori di anni 14 senza il consenso verificabile dei genitori o di chi esercita la potestà genitoriale.

Invitiamo i genitori o tutori a vigilare sulle attività online dei minori a loro affidati. Qualora venissimo a conoscenza di aver inavvertitamente raccolto informazioni riguardanti un minore di 14 anni senza l’autorizzazione genitoriale, provvederemo a cancellarle tempestivamente dai nostri archivi.

Per i minori di età compresa tra i 14 e i 18 anni, incoraggiamo in ogni caso l’utilizzo dei nostri servizi previo coinvolgimento e supervisione di un genitore/tutore, specialmente in relazione all’eventuale iscrizione a servizi di marketing (newsletter) o alla prenotazione di servizi alberghieri/ristorativi.

Analisi e conformità GDPR: La sezione Minori è stata aggiunta in ottemperanza all’art. 8 GDPR e all’art. 2-quinquies del Codice Privacy italiano, che fissano condizioni specifiche per il trattamento dei dati di minori nell’ambito di servizi online. Indicando esplicitamente il limite di 14 anni previsto dalla legge italianafederprivacy.org, l’informativa si allinea perfettamente alla normativa nazionale (che, come noto, ha abbassato a 14 anni il limite rispetto ai 16 standard del GDPR). Ciò mostra attenzione alle Linee guida del Garante e alle esigenze di maggiore protezione per gli utenti minori. Abbiamo dichiarato di non raccogliere consapevolmente dati di under 14 e predisposto un meccanismo di rimedio (cancellazione dei dati) qualora ciò avvenga inavvertitamente: questa è una misura di accountability importante e segue i suggerimenti di buone pratiche (es. WP29 e Garante raccomandano di inserire tali previsioni). Si informa anche della necessità del consenso dei genitori sotto quella soglia, adempiendo così all’obbligo di trasparenza su questo punto peculiare. L’informativa risulta quindi completa anche sotto il profilo della tutela dei minori, tema che spesso viene trascurato ma che qui è affrontato in modo chiaro. Questo presidio aggiuntivo rende il documento conforme alle previsioni degli artt. 8 e 13 GDPR, ed è in linea con il Considerando 38 GDPR che sottolinea la necessità di un linguaggio chiaro e semplice per i minori (aspetto di cui abbiamo tenuto conto mantenendo la formulazione accessibile). In sintesi, l’aggiunta di questa sezione colma una lacuna e garantisce conformità alle normative nazionali ed europee in materia di consenso digitale dei minori, rispondendo anche alle esigenze di completezza richieste.

Aggiornamenti dell’informativa

La presente informativa privacy è soggetta a revisione periodica. Ci riserviamo il diritto di apportare modifiche o aggiornamenti in qualsiasi momento, in caso di variazioni nelle nostre attività di trattamento o per adeguamenti a cambiamenti normativi. L’informativa aggiornata sarà pubblicata su questa stessa pagina del nostro sito, con indicazione della data di ultimo aggiornamento.

Le consigliamo di consultare regolarmente questo documento per rimanere informato sulle modalità di trattamento dei Suoi dati personali. Qualora le modifiche siano particolarmente significative o richiedano un nuovo consenso (ad esempio perché introducono nuove finalità per cui è necessario il Suo assenso), provvederemo a notificarLe tali cambiamenti attraverso i canali di contatto disponibili (ad esempio via email, se ci ha fornito il recapito e ci ha autorizzati a contattarLa).

La presente informativa è regolata dalla legge italiana. Per ogni controversia relativa alla sua validità, interpretazione o esecuzione è competente in via esclusiva il Foro di Bolzano (BZ). In caso di divergenza tra versioni in lingue diverse, prevale la versione italiana.