Informativa sulla Privacy

Trasparenza completa nella gestione dei vostri dati personali secondo gli standard europei più rigorosi

1. Introduzione e Titolare del Trattamento

La presente informativa sulla privacy descrive le modalità attraverso cui VikeyPoint Italia (di seguito "noi", "nostro" o "la Società") raccoglie, utilizza, archivia e protegge i dati personali degli utenti che accedono al nostro sito web e utilizzano i nostri servizi di analisi e recensione delle tecnologie per il settore alberghiero. In qualità di titolare del trattamento ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR UE 2016/679) e del Codice Privacy italiano (D.Lgs. 196/2003 e successive modifiche), garantiamo che ogni operazione di trattamento dei dati personali avvenga nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

VikeyPoint Italia opera come piattaforma indipendente di analisi e comparazione delle soluzioni tecnologiche dedicate al settore hospitality, con particolare focus sulle piattaforme di check-in digitale come vikey, sistemi di gestione alberghiera, serrature intelligenti e soluzioni di registrazione ospiti. Comprendiamo che la fiducia silenziosa che i nostri utenti ripongono nella gestione dei loro dati costituisce il fondamento stesso della nostra attività, motivo per cui implementiamo misure tecniche e organizzative avanzate per garantire la massima sicurezza delle informazioni trattate attraverso processi verificati e certificati secondo gli standard internazionali di settore.

2. Dati Personali Raccolti

Nel corso dell'utilizzo del nostro sito web e dei servizi correlati, procediamo alla raccolta di diverse categorie di dati personali, ciascuna associata a specifiche finalità e basi giuridiche che illustreremo dettagliatamente nelle sezioni successive di questa informativa. La raccolta avviene sia in modalità attiva (quando l'utente fornisce volontariamente informazioni attraverso i moduli di contatto o richiesta informazioni) sia in modalità passiva (attraverso tecnologie di tracciamento automatico durante la navigazione), sempre nel rispetto dei principi di proporzionalità e necessità stabiliti dalla normativa europea.

2.1 Dati forniti volontariamente dall'utente

  • Dati identificativi: nome, cognome, denominazione sociale dell'azienda rappresentata, ruolo professionale all'interno dell'organizzazione alberghiera o della struttura ricettiva;
  • Dati di contatto: indirizzo email professionale o personale, numero di telefono fisso o mobile, indirizzo postale completo della sede operativa o legale;
  • Dati professionali: informazioni sulla struttura alberghiera gestita (tipologia, numero camere, localizzazione geografica), sistemi tecnologici attualmente utilizzati, esigenze specifiche in termini di digitalizzazione dei processi di check-in e gestione ospiti;
  • Contenuti delle comunicazioni: testi delle richieste di informazioni, domande tecniche relative a vikey o ad altri servizi Hotel Tech Support recensiti, feedback sulle nostre analisi, richieste di consulenza personalizzata;
  • Dati di pagamento: informazioni relative a transazioni economiche eventualmente necessarie per l'accesso a contenuti premium o servizi di consulenza a pagamento (gestite esclusivamente attraverso gateway sicuri di terze parti certificate).

2.2 Dati raccolti automaticamente

  • Dati di navigazione: indirizzo IP (in forma anonimizzata dopo 24 ore), tipo di browser e versione, sistema operativo, risoluzione schermo, lingua impostata, provider di servizi Internet;
  • Dati di utilizzo del sito: pagine visitate (ad esempio recensioni di vikey, comparazioni tra sistemi di check-in digitale, guide tecnologiche), durata delle sessioni, sequenza di navigazione, link cliccati, documenti scaricati, video visualizzati;
  • Dati provenienti da cookie e tecnologie simili: identificatori univoci generati per riconoscere il dispositivo nelle visite successive, preferenze espresse dall'utente (come la lingua selezionata o l'accettazione dei cookie), dati analitici aggregati per comprendere il comportamento collettivo degli utenti;
  • Dati geolocalizzati approssimativi: informazioni sulla regione o città di provenienza (mai dati GPS precisi) derivate dall'indirizzo IP, utili per fornire contenuti localizzati relativi alle soluzioni Hotel Tech Support disponibili in specifiche aree geografiche italiane dove vikey e servizi simili operano con maggiore intensità.

3. Finalità e Base Giuridica del Trattamento

I dati personali raccolti attraverso il nostro sito web vengono trattati esclusivamente per finalità legittime, determinate e esplicite, comunicate agli interessati nel momento della raccolta o prima dell'inizio del trattamento stesso. Ogni operazione di trattamento si fonda su una specifica base giuridica prevista dall'articolo 6 del GDPR, garantendo che non vi siano utilizzi secondari non autorizzati o incompatibili con le finalità originarie per cui i dati sono stati inizialmente raccolti.

3.1 Finalità essenziali (base giuridica: esecuzione di misure precontrattuali o contrattuali)

  • Risposta a richieste di informazioni: quando un gestore alberghiero ci contatta attraverso il modulo presente nella sezione Contatti per ricevere dettagli sulle nostre analisi di vikey, sulle alternative disponibili (come sistemi concorrenti di check-in digitale), o per richiedere una consulenza personalizzata sulla scelta delle migliori tecnologie Hotel Tech Support per la propria struttura, utilizziamo i dati forniti (nome, email, telefono, dettagli della richiesta) per elaborare e inviare una risposta adeguata, completa e tempestiva che soddisfi le esigenze espresse;
  • Fornitura di servizi di consulenza: qualora l'utente decida di avvalersi dei nostri servizi di analisi approfondita, comparazione personalizzata o supporto nella selezione e implementazione di soluzioni come vikey presso la propria struttura ricettiva, i dati personali e aziendali forniti vengono utilizzati per eseguire il contratto stipulato, inclusa la comunicazione via email o telefono per coordinare le attività, condividere report dettagliati e documentazione tecnica;
  • Gestione della relazione cliente: mantenimento di un archivio storico delle interazioni precedenti con i gestori alberghieri che hanno già richiesto nostre analisi o consulenze, al fine di garantire continuità nel servizio e personalizzare le comunicazioni future in base alle preferenze e necessità espresse in passato.

3.2 Finalità basate sul legittimo interesse (base giuridica: articolo 6(1)(f) GDPR)

  • Miglioramento del sito web e dei contenuti: analisi delle statistiche di navigazione per comprendere quali sezioni del sito (ad esempio le recensioni dettagliate di vikey, le guide ai sistemi di serrature intelligenti, le comparazioni tra piattaforme di registrazione digitale ospiti) ricevono maggiore attenzione, quali contenuti generano più engagement, quali percorsi di navigazione conducono a richieste di contatto, consentendoci di ottimizzare la struttura del sito, migliorare la qualità delle nostre analisi Hotel Tech Support e produrre contenuti sempre più rilevanti per il pubblico target di albergatori e gestori di strutture ricettive;
  • Sicurezza informatica e prevenzione frodi: monitoraggio degli accessi al sito per identificare e bloccare tentativi di intrusione, attacchi DDoS, bot malevoli, spam attraverso i moduli di contatto, garantendo l'integrità dei sistemi e la protezione dei dati di tutti gli utenti legittimi;
  • Gestione dei reclami e controversie: conservazione delle comunicazioni e dei dati relativi a eventuali contestazioni sollevate dagli utenti riguardo ai nostri servizi, necessaria per documentare le nostre risposte e tutelare i diritti di entrambe le parti in caso di dispute legali;
  • Ricerca e sviluppo: utilizzo di dati aggregati e anonimizzati per condurre studi di mercato sul settore Hotel Tech Support, identificare trend emergenti (come l'adozione crescente di soluzioni vikey in specifiche regioni italiane), sviluppare nuovi servizi di analisi e comparazione richiesti dal mercato dell'hospitality technology.

3.3 Finalità basate sul consenso (base giuridica: articolo 6(1)(a) GDPR)

  • Invio di newsletter e comunicazioni marketing: previo consenso esplicito raccolto attraverso apposita casella di spunta (opt-in attivo, mai pre-selezionato), inviamo periodicamente agli indirizzi email forniti newsletter contenenti approfondimenti sulle ultime novità del settore Hotel Tech Support, aggiornamenti sulle funzionalità di vikey e piattaforme concorrenti, case study di implementazioni di successo presso strutture alberghiere italiane, guide pratiche alla digitalizzazione dei processi di check-in e registrazione ospiti. L'utente può revocare il consenso in qualsiasi momento cliccando sul link di disiscrizione presente in ogni email inviata, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca;
  • Cookie di profilazione e marketing: utilizzo di cookie di terze parti (come Google Analytics con funzionalità pubblicitarie, Facebook Pixel se attivato) per creare profili comportamentali aggregati e mostrare contenuti pubblicitari personalizzati su piattaforme esterne, esclusivamente previo consenso esplicito raccolto attraverso il banner cookie conforme alle Linee Guida del Garante Privacy italiano;
  • Geolocalizzazione precisa: qualora in futuro implementassimo funzionalità che richiedano l'accesso alla posizione GPS precisa del dispositivo (ad esempio per mostrare recensioni di soluzioni Hotel Tech Support disponibili nelle immediate vicinanze della struttura alberghiera dell'utente), richiederemmo un consenso esplicito separato prima di accedere a tali dati sensibili.

3.4 Finalità basate su obblighi di legge (base giuridica: articolo 6(1)(c) GDPR)

Trattiamo determinati dati personali in adempimento a specifici obblighi previsti dalla legislazione italiana ed europea, tra cui la conservazione delle fatture e documenti contabili per i periodi stabiliti dal Codice Civile e dalle normative fiscali, la risposta a richieste legittime provenienti da autorità giudiziarie o forze dell'ordine nell'ambito di indagini penali o amministrative, l'adempimento agli obblighi di comunicazione al Garante Privacy in caso di violazioni di dati personali (data breach) che comportino rischi per i diritti e le libertà degli interessati.

4. Cookie e Tecnologie di Tracciamento

Il nostro sito web utilizza cookie e tecnologie analoghe (web beacon, pixel tag, local storage) per migliorare l'esperienza di navigazione, analizzare il traffico, memorizzare preferenze utente e, previo consenso, per finalità di marketing e profilazione. La risposta è più semplice di quanto pensi: i cookie sono piccoli file di testo che il sito deposita sul dispositivo dell'utente durante la navigazione, contenenti informazioni che vengono rilette nelle visite successive per riconoscere l'utente e personalizzare la sua esperienza.

4.1 Tipologie di cookie utilizzati

Cookie tecnici (non richiedono consenso):

  • Cookie di navigazione o di sessione: garantiscono la normale navigazione e fruizione del sito web, permettendo ad esempio di mantenere l'utente autenticato durante la sessione o di ricordare la lingua selezionata. Sono essenziali per il funzionamento del sito e vengono automaticamente eliminati alla chiusura del browser;
  • Cookie analitici di prima parte configurati per l'anonimizzazione: raccolgono informazioni aggregate su come gli utenti utilizzano il sito (pagine visitate, tempo di permanenza, tasso di rimbalzo) senza identificare il singolo visitatore, utilizzati esclusivamente per migliorare le prestazioni del sito. Sono assimilati ai cookie tecnici dal Garante Privacy italiano se configurati per mascherare porzioni significative dell'indirizzo IP e disabilitare la condivisione con terze parti;
  • Cookie di funzionalità: memorizzano scelte effettuate dall'utente (ad esempio preferenze di visualizzazione, accettazione del banner cookie) per offrire funzionalità avanzate e personalizzate durante le visite successive.

Cookie di profilazione e marketing (richiedono consenso esplicito):

  • Google Analytics con funzionalità pubblicitarie: raccoglie dati demografici approssimativi (età, sesso, interessi) e comportamentali per creare report aggregati sulle tipologie di utenti che visitano le nostre pagine di analisi di vikey e altri servizi Hotel Tech Support. Questi dati vengono anche utilizzati da Google per mostrare annunci pubblicitari personalizzati su altri siti web della rete Display. L'utente può disattivare questa funzionalità installando il componente aggiuntivo di opt-out disponibile sul sito di Google Analytics;
  • Facebook Pixel: se attivo e previo consenso, traccia le visite al nostro sito provenienti da campagne pubblicitarie su Facebook e Instagram, permettendoci di misurare l'efficacia degli annunci, creare pubblici personalizzati (ad esempio "gestori alberghieri che hanno visitato la recensione di vikey negli ultimi 30 giorni") e ottimizzare le campagne future. Gli utenti possono gestire le preferenze pubblicitarie direttamente dalle impostazioni del proprio account Facebook;
  • Cookie di remarketing: utilizzati per mostrare annunci mirati agli utenti che hanno già visitato il nostro sito quando navigano su altre piattaforme (Google, Facebook, LinkedIn), ricordando loro i nostri servizi di analisi Hotel Tech Support o contenuti specifici visualizzati in precedenza (come le guide all'implementazione di vikey).

4.2 Gestione delle preferenze sui cookie

Al primo accesso al sito, l'utente visualizza un banner informativo che descrive l'utilizzo dei cookie e richiede il consenso esplicito per quelli non tecnici attraverso pulsanti chiaramente distinguibili ("Accetta tutti", "Rifiuta", "Personalizza"). Cliccando su "Personalizza" è possibile visualizzare l'elenco dettagliato di tutti i cookie utilizzati, raggruppati per categoria (tecnici, analitici, marketing), con la possibilità di attivare o disattivare selettivamente ciascuna categoria. La prosecuzione della navigazione senza esprimere una scelta equivale al rifiuto dei cookie non tecnici (approccio "privacy by default" conforme alle Linee Guida del Garante). L'utente può modificare le proprie preferenze in qualsiasi momento accedendo alla sezione "Gestione Cookie" presente nel footer del sito o attraverso le impostazioni del proprio browser (consultare le guide specifiche per Chrome, Firefox, Safari, Edge disponibili sui siti ufficiali dei rispettivi produttori).

5. Condivisione dei Dati con Terze Parti

VikeyPoint Italia non vende, affitta o cede a titolo oneroso i dati personali degli utenti a terze parti per scopi commerciali. Tuttavia, per garantire il corretto funzionamento del sito web e l'erogazione dei servizi offerti, può essere necessario condividere determinate informazioni con partner tecnologici, fornitori di servizi e collaboratori esterni accuratamente selezionati, che agiscono in qualità di responsabili del trattamento ai sensi dell'articolo 28 del GDPR o, in casi limitati, come titolari autonomi secondo le proprie informative privacy.

5.1 Categorie di destinatari

  • Fornitori di servizi di hosting e infrastruttura cloud: il sito web è ospitato su server situati all'interno dell'Unione Europea forniti da aziende certificate ISO 27001 per la sicurezza delle informazioni, che garantiscono elevati standard di protezione fisica e logica dei dati, backup regolari, ridondanza geografica e piani di disaster recovery;
  • Piattaforme di email marketing: gli indirizzi email degli utenti che hanno prestato consenso alla ricezione di newsletter vengono caricati su piattaforme specializzate (come Mailchimp, Sendinblue, o alternative europee conformi GDPR) che gestiscono tecnicamente l'invio massivo, il tracciamento delle aperture e dei click, la gestione delle disiscrizioni automatiche. Tali piattaforme operano come responsabili del trattamento sotto le nostre istruzioni e sono vincolate contrattualmente a utilizzare i dati esclusivamente per le finalità concordate;
  • Servizi di analisi web: Google Analytics (con indirizzo IP anonimizzato e data retention ridotto), Hotjar per analisi comportamentali aggregate (heatmap, registrazioni anonime delle sessioni previo consenso), Matomo in modalità self-hosted per statistiche completamente interne senza condivisione con terzi;
  • Piattaforme pubblicitarie: Google Ads, Facebook Business Manager, LinkedIn Campaign Manager ricevono identificatori pseudonimizzati (ID cookie, ID pubblicitari mobili) per gestire campagne di acquisizione clienti rivolte a gestori alberghieri interessati a soluzioni Hotel Tech Support come vikey;
  • Gateway di pagamento: nel caso di transazioni economiche per servizi premium o consulenze a pagamento, i dati di pagamento (numero carta, CVV, dati bancari) vengono trasmessi esclusivamente attraverso connessioni cifrate SSL/TLS direttamente ai gateway certificati PCI-DSS (come Stripe, PayPal, Satispay) senza mai transitare o essere memorizzati sui nostri server. VikeyPoint Italia riceve solo conferme dell'avvenuto pagamento con identificativi transazione;
  • Consulenti e collaboratori professionali: commercialisti, avvocati, consulenti IT, agenzie di comunicazione che operano per nostro conto potrebbero avere accesso limitato ai dati personali strettamente necessari per svolgere specifiche attività (ad esempio gestione contabile delle fatture emesse, assistenza legale in caso di reclami, manutenzione tecnica del sito web), sempre vincolati da accordi di riservatezza e obblighi contrattuali di protezione dati;
  • Autorità pubbliche: in ottemperanza a obblighi di legge o in risposta a richieste legittime formulate da autorità giudiziarie, forze dell'ordine, Garante Privacy, Agenzia delle Entrate, potremmo essere tenuti a comunicare dati personali senza poter richiedere preventivamente il consenso dell'interessato.

5.2 Trasferimenti internazionali di dati

I dati personali raccolti attraverso il nostro sito vengono prevalentemente trattati all'interno del territorio dell'Unione Europea presso data center localizzati in Italia, Germania, Paesi Bassi, Francia. Tuttavia, alcuni dei fornitori di servizi tecnologici sopra elencati (in particolare Google LLC, Facebook Inc., LinkedIn Corporation) sono società con sede principale negli Stati Uniti d'America e potrebbero trattare i dati su server localizzati in paesi extra-UE. In tali casi, garantiamo che i trasferimenti avvengano esclusivamente verso destinatari che offrono garanzie adeguate di protezione attraverso meccanismi riconosciuti dal GDPR, quali le Clausole Contrattuali Standard approvate dalla Commissione Europea (SCC 2021), certificazioni Privacy Shield 2.0 o equivalenti (ove applicabili), Binding Corporate Rules per gruppi multinazionali, valutazioni di adeguatezza pubblicate dalla Commissione Europea. Prima di condividere dati con qualsiasi fornitore extra-UE, conduciamo una Transfer Impact Assessment per verificare che il livello di protezione garantito nel paese terzo sia sostanzialmente equivalente a quello europeo, tenendo conto della legislazione locale sulla sorveglianza governativa e sui diritti degli interessati.

6. Diritti degli Interessati

In qualità di soggetto interessato dal trattamento dei dati personali, l'utente gode di una serie di diritti fondamentali sanciti dagli articoli 15-22 del GDPR e dal Codice Privacy italiano, che possono essere esercitati gratuitamente inviando una richiesta scritta agli indirizzi di contatto indicati al termine di questa informativa. VikeyPoint Italia si impegna a rispondere a ogni richiesta entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in casi di particolare complessità, previa comunicazione motivata all'interessato), fornendo riscontro completo attraverso modalità sicure che garantiscano l'identità del richiedente e la riservatezza delle informazioni trasmesse.

6.1 Diritto di accesso (art. 15 GDPR)

L'utente ha il diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di accedere a tali dati ricevendo una copia degli stessi in formato strutturato e leggibile. Unitamente alla copia dei dati, forniamo le seguenti informazioni: finalità del trattamento, categorie di dati trattati, destinatari o categorie di destinatari a cui i dati sono stati o saranno comunicati (inclusi eventuali destinatari in paesi terzi o organizzazioni internazionali), periodo di conservazione previsto, esistenza di processi decisionali automatizzati (inclusa la profilazione), fonte dei dati se non raccolti direttamente dall'interessato.

6.2 Diritto di rettifica (art. 16 GDPR)

L'utente ha il diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalità del trattamento, l'interessato ha inoltre il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa scritta. Esempio pratico: se un gestore alberghiero ci ha fornito un indirizzo email aziendale che successivamente è cambiato a seguito di rebranding o fusione societaria, può richiedere l'aggiornamento dei nostri archivi con il nuovo recapito attivo.

6.3 Diritto alla cancellazione / "diritto all'oblio" (art. 17 GDPR)

L'utente ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo nelle seguenti circostanze: i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti (ad esempio è trascorso il periodo di conservazione e non sussistono più obblighi legali di archiviazione); l'interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico (applicabile ad esempio alle newsletter); l'interessato si oppone al trattamento basato su legittimo interesse e non sussistono motivi legittimi cogenti per proseguire il trattamento; i dati sono stati trattati illecitamente; la cancellazione è necessaria per adempiere un obbligo legale previsto dal diritto dell'Unione o nazionale. Il diritto alla cancellazione non trova applicazione quando il trattamento è necessario per adempiere un obbligo legale (come la conservazione delle fatture per 10 anni), per accertare, esercitare o difendere un diritto in sede giudiziaria, o per motivi di interesse pubblico.

6.4 Diritto di limitazione (art. 18 GDPR)

L'utente ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi: l'interessato contesta l'esattezza dei dati personali (la limitazione dura per il periodo necessario a verificare l'esattezza dei dati); il trattamento è illecito ma l'interessato si oppone alla cancellazione preferendo richiedere la limitazione; i dati non sono più necessari ai fini del trattamento ma sono necessari all'interessato per accertare, esercitare o difendere un diritto in sede giudiziaria; l'interessato si è opposto al trattamento basato su legittimo interesse in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell'interessato. Durante il periodo di limitazione, i dati possono essere conservati ma non ulteriormente trattati salvo consenso dell'interessato o per finalità giudiziarie.

6.5 Diritto alla portabilità (art. 20 GDPR)

L'utente ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a VikeyPoint Italia, e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati. Esempio: un gestore alberghiero che ha utilizzato i nostri servizi di consulenza e desidera migrare verso un altro consulente specializzato in Hotel Tech Support può richiedere l'esportazione di tutti i dati personali e aziendali forniti in formato JSON o CSV per importarli nel sistema del nuovo fornitore.

6.6 Diritto di opposizione (art. 21 GDPR)

L'utente ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano basato sul legittimo interesse del titolare (ad esempio profilazione per miglioramento servizi, marketing diretto via email basato su soft-spam per clienti esistenti, ricerche di mercato aggregate). In caso di opposizione, VikeyPoint Italia cessa il trattamento salvo che dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato, oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Per quanto riguarda il marketing diretto (newsletter, comunicazioni commerciali), l'interessato ha sempre il diritto di opporsi senza dover fornire motivazioni specifiche, semplicemente cliccando sul link "Disiscrivi" presente in ogni email o inviando richiesta ai nostri contatti.

6.7 Processo decisionale automatizzato e profilazione (art. 22 GDPR)

Allo stato attuale, VikeyPoint Italia non adotta processi decisionali interamente automatizzati che producano effetti giuridici o incidano significativamente sulla persona dell'interessato senza intervento umano (ad esempio approvazione o rifiuto automatico di richieste di servizi basato esclusivamente su algoritmi). Qualora in futuro dovessimo implementare tali sistemi (ad esempio scoring automatico per valutare l'idoneità di una struttura alberghiera a implementare vikey basandosi su parametri oggettivi), garantiremo il diritto dell'interessato di ottenere l'intervento umano da parte del titolare, esprimere la propria opinione, contestare la decisione automatizzata e ricevere spiegazioni dettagliate sulla logica utilizzata dall'algoritmo, conformemente alle disposizioni dell'articolo 22 GDPR.

6.8 Diritto di proporre reclamo al Garante Privacy

Ferma restando la possibilità di rivolgersi direttamente a VikeyPoint Italia per qualsiasi contestazione o chiarimento riguardo al trattamento dei dati personali, l'interessato ha sempre il diritto di proporre reclamo all'Autorità di controllo competente (Garante per la Protezione dei Dati Personali italiano) se ritiene che il trattamento dei dati che lo riguardano violi il GDPR o la normativa nazionale applicabile. Il reclamo può essere presentato online attraverso il sito ufficiale del Garante (www.garanteprivacy.it), via posta ordinaria o PEC agli indirizzi pubblicati sul portale istituzionale, oppure recandosi personalmente presso gli uffici dell'Autorità. Il Garante è tenuto a esaminare il reclamo, condurre eventuali accertamenti istruttori presso il titolare del trattamento e comunicare l'esito entro i termini previsti dalla legge, disponendo se del caso misure correttive o sanzionatorie nei confronti del titolare inadempiente.

7. Tempi di Conservazione dei Dati

VikeyPoint Italia conserva i dati personali degli utenti per il tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione sancito dall'articolo 5 del GDPR e applicando criteri differenziati in base alla tipologia di dato, alla finalità del trattamento e agli obblighi legali applicabili al nostro settore di attività.

7.1 Criteri generali di conservazione

  • Dati di contatto per richieste di informazioni: conservati per 24 mesi dalla data dell'ultima interazione significativa (ultima email, ultima telefonata, ultima richiesta) per garantire continuità nel servizio qualora l'utente ci ricontatti in futuro, dopodiché vengono automaticamente anonimizzati o cancellati a meno che l'interessato non abbia espresso consenso per la ricezione di comunicazioni marketing (in tal caso si applica il periodo seguente);
  • Contatti iscritti alla newsletter: conservati fino al momento della disiscrizione esplicita tramite link unsubscribe o revoca del consenso, oppure fino a 36 mesi di completa inattività (nessuna apertura email, nessun click, nessuna interazione) dopo i quali procediamo a una verifica di interesse inviando una email di re-engagement; in assenza di risposta entro 30 giorni, il contatto viene rimosso dalla lista e i dati cancellati;
  • Dati relativi a rapporti contrattuali e consulenze: conservati per tutta la durata del contratto e successivamente per 10 anni dalla conclusione del rapporto in adempimento agli obblighi di conservazione delle scritture contabili previsti dall'articolo 2220 del Codice Civile e dalle normative fiscali (possibilità di accertamenti fiscali fino al quinto anno successivo alla presentazione della dichiarazione, estesi a 10 anni in caso di omessa presentazione);
  • Dati di navigazione e log di accesso: gli indirizzi IP in forma completa vengono conservati nei log del server per un massimo di 7 giorni per finalità di sicurezza informatica e troubleshooting tecnico, dopodiché vengono anonimizzati mascherando l'ultimo ottetto; i log anonimizzati vengono conservati per ulteriori 12 mesi per analisi statistiche aggregate, poi definitivamente cancellati;
  • Dati raccolti tramite cookie: i cookie tecnici hanno durata massima di 12 mesi; i cookie di profilazione e marketing hanno durata non superiore a 6 mesi come raccomandato dal Garante Privacy italiano, dopodiché è necessario richiedere nuovamente il consenso attraverso il banner; i dati analitici raccolti tramite Google Analytics sono soggetti a data retention configurato a 14 mesi;
  • Curriculum vitae e candidature spontanee: qualora raccogliessimo CV di professionisti interessati a collaborare con VikeyPoint Italia, li conserveremmo per 24 mesi dalla ricezione previo consenso esplicito del candidato, decorsi i quali procederebbero alla cancellazione salvo rinnovo del consenso;
  • Dati oggetto di controversie legali: in deroga ai termini ordinari, i dati personali coinvolti in reclami, contenziosi giudiziali, accertamenti del Garante Privacy o altre procedure legali vengono conservati fino alla conclusione definitiva della controversia (compreso l'esaurimento di tutti i gradi di giudizio e la scadenza dei termini per impugnazione) più eventuale periodo di prescrizione dei diritti esercitabili.

7.2 Modalità di cancellazione sicura

Al termine del periodo di conservazione applicabile, procediamo alla cancellazione o anonimizzazione irreversibile dei dati personali utilizzando metodi conformi agli standard industriali di data destruction: cancellazione sicura dei file attraverso sovrascrittura multipla (standard DoD 5220.22-M o superiori) che impedisce il recupero dei dati tramite strumenti forensi; eliminazione fisica dei supporti di memorizzazione (hard disk, backup tape) attraverso distruzione meccanica certificata presso centri specializzati per i dati particolarmente sensibili; anonimizzazione aggregata per dati statistici che vogliamo conservare in forma irreversibilmente anonima per analisi di lungo periodo (ad esempio trend di adozione di vikey in Italia negli ultimi 10 anni) rimuovendo qualsiasi elemento che consenta la re-identificazione anche incrociando fonti esterne.

8. Misure di Sicurezza

VikeyPoint Italia implementa misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio di trattamento dei dati personali, tenendo conto dello stato dell'arte delle tecnologie disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati che potrebbe derivare da violazioni accidentali o illecite (perdita, furto, accesso non autorizzato, distruzione, modifica, divulgazione), in conformità agli articoli 32 e 25 del GDPR (sicurezza del trattamento e privacy by design/by default).

8.1 Misure tecniche implementate

  • Cifratura dei dati in transito: tutte le comunicazioni tra il browser dell'utente e i nostri server avvengono attraverso protocollo HTTPS con certificato SSL/TLS aggiornato (TLS 1.2 o superiore) che cifra end-to-end le informazioni scambiate impedendo intercettazioni durante la trasmissione su reti pubbliche; forzamento automatico del reindirizzamento da HTTP a HTTPS per qualsiasi tentativo di connessione non sicura;
  • Cifratura dei dati a riposo: i database contenenti dati personali (anagrafica utenti, richieste di contatto, iscrizioni newsletter) sono cifrati a livello di file system (AES-256) con chiavi crittografiche gestite separatamente dai dati e sottoposte a rotazione periodica; i backup vengono anch'essi cifrati prima della memorizzazione su supporti fisici o cloud storage;
  • Controllo degli accessi: accesso ai sistemi informatici e ai database protetto tramite autenticazione multifattore (password complesse rotanti ogni 90 giorni + codice OTP temporaneo inviato via SMS o app authenticator) per tutti gli account amministrativi; principio del privilegio minimo (least privilege) per cui ogni utente del sistema ha accesso esclusivamente ai dati e alle funzionalità strettamente necessarie al proprio ruolo operativo; log dettagliati di tutti gli accessi ai dati personali con tracciamento di chi ha consultato quali informazioni, quando e per quale finalità;
  • Protezione perimetrale: firewall applicativi (WAF) che filtrano il traffico in ingresso bloccando tentativi di SQL injection, cross-site scripting (XSS), attacchi DDoS e altre minacce comuni identificate dall'OWASP Top 10; sistemi di intrusion detection (IDS) e intrusion prevention (IPS) che monitorano comportamenti anomali e bloccano automaticamente sorgenti malevole;
  • Aggiornamenti e patch management: tutti i componenti software (CMS, plugin, librerie, sistema operativo server) vengono mantenuti costantemente aggiornati alle ultime versioni stabili con applicazione tempestiva di patch di sicurezza critiche entro 48 ore dalla pubblicazione da parte dei vendor; vulnerability scanning trimestrale condotto da società specializzate esterne per identificare e correggere eventuali falle residue;
  • Pseudonimizzazione: dove tecnicamente possibile e compatibile con le finalità del trattamento, adottiamo tecniche di pseudonimizzazione sostituendo gli identificativi diretti (nome, cognome, email) con codici alfanumerici univoci, conservando la tabella di mappatura in un database separato con controlli di accesso ancora più restrittivi, riducendo così l'impatto di eventuali violazioni.

8.2 Misure organizzative implementate

  • Formazione del personale: tutti i dipendenti e collaboratori di VikeyPoint Italia che hanno accesso a dati personali ricevono formazione iniziale obbligatoria sui principi di protezione dati, sulle norme GDPR applicabili alle loro attività, sulle procedure interne di sicurezza e sulla gestione di eventuali incidenti; aggiornamenti formativi annuali per mantenere la consapevolezza su nuove minacce e best practice emergenti nel settore della cybersecurity e della privacy;
  • Accordi di riservatezza: ogni persona autorizzata al trattamento sottoscrive un impegno specifico di riservatezza che vincola all'utilizzo dei dati personali esclusivamente per le finalità lavorative assegnate, al divieto di divulgazione a terzi non autorizzati, all'obbligo di segnalazione immediata di anomalie o violazioni sospette;
  • Procedure di gestione incidenti: abbiamo definito un Data Breach Response Plan che stabilisce ruoli, responsabilità e tempistiche di intervento in caso di violazione di dati personali: rilevamento dell'incidente attraverso sistemi di monitoraggio automatizzati o segnalazioni; contenimento immediato dell'incidente isolando i sistemi compromessi; valutazione dell'impatto sui diritti e libertà degli interessati; notifica al Garante Privacy entro 72 ore se la violazione comporta rischi (articolo 33 GDPR); comunicazione agli interessati coinvolti senza ingiustificato ritardo se la violazione comporta rischi elevati (articolo 34 GDPR); documentazione completa dell'incidente nel registro delle violazioni; analisi post-incidente per identificare cause e implementare misure correttive;
  • Limitazione dell'accesso fisico: i server e i dispositivi di storage contenenti dati personali sono collocati in data center certificati ISO 27001 con accesso fisico controllato tramite badge personali, videosorveglianza 24/7, guardie di sicurezza, sistemi antincendio e di controllo ambientale; divieto di utilizzo di dispositivi USB o supporti rimovibili personali sui computer aziendali per prevenire esfiltrazione dati;
  • Backup e disaster recovery: backup automatici giornalieri dei database con conservazione delle copie in località geograficamente distanti dal sistema primario; test trimestrali delle procedure di ripristino per verificare l'integrità dei backup e i tempi di recovery; obiettivi RTO (Recovery Time Objective) di 24 ore e RPO (Recovery Point Objective) di 4 ore per garantire continuità operativa anche in caso di disastri.

9. Privacy dei Minori

I servizi offerti da VikeyPoint Italia sono rivolti esclusivamente a persone maggiorenni (18 anni compiuti nell'ordinamento italiano) operanti in ambito professionale nel settore hospitality (albergatori, property manager, responsabili IT di strutture ricettive). Non raccogliamo consapevolmente dati personali di minori di 16 anni (età minima per il consenso digitale secondo l'articolo 8 GDPR) senza il consenso esplicito dei genitori o di chi esercita la responsabilità genitoriale. Qualora venissimo a conoscenza di aver raccolto inavvertitamente dati di un minore senza le autorizzazioni richieste, procederemmo immediatamente alla cancellazione delle informazioni dai nostri sistemi. I genitori o tutori che ritengano che un minore sotto la loro responsabilità ci abbia fornito dati personali sono invitati a contattarci immediatamente agli indirizzi indicati in questa informativa.

10. Modifiche alla Privacy Policy

VikeyPoint Italia si riserva il diritto di modificare, aggiornare o integrare la presente informativa sulla privacy in qualsiasi momento per riflettere cambiamenti nelle nostre pratiche di trattamento dei dati, nell'evoluzione normativa (ad esempio recepimento di nuove linee guida del Garante o del Comitato Europeo per la Protezione dei Dati), nell'introduzione di nuove funzionalità del sito web, nell'adozione di nuove tecnologie di sicurezza, nell'aggiunta di nuovi fornitori di servizi terzi. Le modifiche sostanziali che incidono significativamente sui diritti degli interessati verranno comunicate attraverso banner visibili sulla homepage del sito, invio di email notifica agli utenti registrati, pubblicazione di avviso nella sezione news. La versione aggiornata dell'informativa sarà sempre disponibile su questa pagina con indicazione in testa della data di ultimo aggiornamento. L'utilizzo continuato del sito dopo la pubblicazione delle modifiche costituisce accettazione della nuova versione dell'informativa per quanto riguarda i trattamenti basati su legittimo interesse o obblighi di legge; per i trattamenti basati sul consenso, richiederemo invece una nuova manifestazione esplicita di consenso attraverso banner o form dedicati.

11. Contatti e Titolare del Trattamento

Per qualsiasi informazione, richiesta di chiarimenti, esercizio dei diritti previsti dal GDPR relativi alla presente informativa sulla privacy e al trattamento dei vostri dati personali, potete contattare il Titolare del Trattamento:

VikeyPoint Italia
Indirizzo: Via Francesco Crispi 84, 20121 Milano MI, Italia
Email: privacy@vikeypointitalia.it
Telefono: +39 02 8715 9423

Responsabile della Protezione dei Dati (Data Protection Officer - DPO):
Qualora la nostra organizzazione raggiunga le soglie dimensionali o le tipologie di trattamento che rendono obbligatoria la designazione di un DPO ai sensi dell'articolo 37 GDPR, provvederemo tempestivamente alla nomina e pubblicheremo i relativi recapiti diretti su questa pagina. Allo stato attuale, le funzioni di supervisione privacy sono svolte direttamente dal management aziendale con il supporto di consulenti legali specializzati in protezione dati.

Ultima modifica: 1 giugno 2026
Versione: 3.2
Questa informativa è redatta in conformità agli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, alle Linee Guida del Garante per la Protezione dei Dati Personali italiano e alle Linee Guida del Comitato Europeo per la Protezione dei Dati (EDPB).