OW
Otium WeekTorna alla home

Informativa sulla Privacy

Ultimo aggiornamento: 31 marzo 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è Otium Week(di seguito "Titolare" o "Piattaforma"), con sede legale in Italia, raggiungibile all'indirizzo email privacy@otiumweek.it.

La presente Informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") e della normativa italiana in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018).

2. Categorie di dati raccolti

Nell'ambito dell'erogazione del Servizio, Otium Week raccoglie e tratta le seguenti categorie di dati personali:

2.1 Dati di registrazione e account

Nome, cognome, indirizzo email, password (conservata in forma cifrata tramite hashing bcrypt), ruolo (Host o Amministratore), dati di fatturazione (ragione sociale, partita IVA, codice fiscale, indirizzo, codice SDI, PEC).

2.2 Dati relativi alle prenotazioni

Dati degli ospiti (nome, cognome, data e luogo di nascita, cittadinanza, tipo e numero documento d'identità, codice ISTAT del comune di nascita), date di soggiorno, preferenze relative ai servizi (biancheria, pasti), eventuali note.

2.3 Dati relativi ai pagamenti

Importi, metodi di pagamento selezionati (addebito in camera, contanti, carta, bonifico), ultime 4 cifre della carta (ove fornite dall'utente), stato dei pagamenti. Otium Week non conserva dati completi di carte di credito.

2.4 Dati SPA e benessere

Dichiarazioni cliniche (waiver): stato di gravidanza, allergie, patologie, farmaci in uso, zone del corpo da trattare o evitare, firma digitale. Questi dati sono classificati come dati relativi alla salute ai sensi dell'art. 9 GDPR e vengono trattati previo consenso esplicito dell'interessato.

2.5 Dati di navigazione e tecnici

Indirizzo IP, tipo di browser, sistema operativo, pagine visitate, durata della sessione, dati di log del server. Questi dati sono raccolti automaticamente tramite i sistemi informatici preposti al funzionamento della Piattaforma.

2.6 Dati di comunicazione

Messaggi scambiati tramite la funzione di chat integrata, notifiche, comunicazioni email relative alle prenotazioni e ai promemoria.

3. Finalità e base giuridica del trattamento

I dati personali sono trattati per le seguenti finalità:

  • Esecuzione del contratto(art. 6, par. 1, lett. b GDPR): gestione dell'account, erogazione del servizio di gestione prenotazioni, elaborazione dei pagamenti, comunicazioni operative, generazione di fatture e ricevute.
  • Obbligo legale (art. 6, par. 1, lett. c GDPR): adempimento agli obblighi normativi in materia di pubblica sicurezza (trasmissione dati al portale Alloggiati Web della Questura), conservazione della documentazione fiscale e contabile.
  • Consenso (art. 6, par. 1, lett. a, e art. 9, par. 2, lett. a GDPR): trattamento dei dati sanitari contenuti nelle dichiarazioni cliniche SPA (waiver), invio di comunicazioni promozionali (ove applicabile), consenso alla fotografia.
  • Legittimo interesse (art. 6, par. 1, lett. f GDPR): miglioramento della Piattaforma, analisi statistiche aggregate, prevenzione di frodi e abusi, sicurezza informatica.

4. Cookie e tecnologie di tracciamento

La Piattaforma utilizza le seguenti tipologie di cookie:

  • Cookie necessari: cookie di sessione di NextAuth per l'autenticazione e la gestione della sessione utente. Questi cookie sono indispensabili per il funzionamento della Piattaforma e non richiedono il consenso.
  • Cookie analitici: utilizzati per il monitoraggio degli errori tramite Sentry, al fine di garantire la stabilità e la qualità del servizio. Questi cookie raccolgono dati in forma aggregata.
  • Cookie di preferenza: memorizzazione delle preferenze utente (lingua, tema, consenso cookie). Conservati nel localStorage del browser.

Per informazioni dettagliate sui cookie utilizzati, si rimanda alla nostra Cookie Policy.

5. Destinatari e trasferimenti di dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

  • Fornitori di servizi infrastrutturali: Vercel Inc. (hosting e CDN, server nell'Unione Europea), Neon Inc. (database PostgreSQL, server nell'Unione Europea), Sentry (monitoraggio errori, server nell'Unione Europea).
  • Fornitori di servizi di comunicazione: servizi di posta elettronica per l'invio di conferme, promemoria e notifiche transazionali.
  • Autorità pubbliche: Questura (tramite il portale Alloggiati Web), Agenzia delle Entrate (fatturazione elettronica), ove richiesto dalla legge.
  • Host: le strutture ricettive (Host) accedono ai dati degli ospiti relativi alle proprie prenotazioni nell'ambito dell'esecuzione del contratto.

I dati sono trattati prevalentemente su server ubicati nell'Unione Europea. Qualora sia necessario un trasferimento verso Paesi terzi, questo avverrà nel rispetto delle garanzie previste dal Capo V del GDPR (decisioni di adeguatezza, clausole contrattuali tipo della Commissione Europea, o altri meccanismi di garanzia appropriati).

6. Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti:

  • Dati di account: per tutta la durata del rapporto contrattuale e per i successivi 10 anni, in conformità agli obblighi di legge in materia fiscale e contabile.
  • Dati delle prenotazioni: per la durata del soggiorno e per i successivi 10 anni (obblighi fiscali) o 5 anni (obblighi di pubblica sicurezza), a seconda della normativa applicabile.
  • Dati sanitari (waiver SPA): per la durata dell'appuntamento e per un periodo massimo di 24 mesi successivi, salvo diversa indicazione normativa.
  • Dati di navigazione: per un periodo massimo di 12 mesi dalla raccolta.
  • Dati di fatturazione: per 10 anni dalla data di emissione, in conformità alla normativa fiscale italiana.

Decorsi i termini di conservazione, i dati personali saranno cancellati o resi anonimi in modo irreversibile.

7. Diritti dell'interessato

Ai sensi degli articoli da 15 a 22 del GDPR, l'interessato ha il diritto di:

  • Accesso(art. 15): ottenere conferma dell'esistenza di un trattamento dei propri dati e accedere alle informazioni relative.
  • Rettifica(art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
  • Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge.
  • Limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla normativa.
  • Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
  • Opposizione (art. 21): opporsi al trattamento dei dati fondato sul legittimo interesse del Titolare.
  • Revoca del consenso (art. 7): revocare in qualsiasi momento il consenso precedentemente prestato, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.

8. Come esercitare i diritti

L'interessato può esercitare i propri diritti inviando una richiesta scritta a:

Il Titolare fornirà riscontro entro 30 giorni dalla ricezione della richiesta, salvo proroga di ulteriori 60 giorni in caso di complessità o numerosità delle richieste, nel qual caso l'interessato sarà informato entro il primo mese.

L'interessato ha inoltre il diritto di proporre reclamo all'autorità di controllo competente, ovvero il Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, tra cui:

  • Cifratura delle comunicazioni tramite protocollo HTTPS/TLS
  • Hashing delle password con algoritmo bcrypt
  • Autenticazione basata su token JWT con scadenza
  • Isolamento multi-tenant dei dati (ogni Host accede esclusivamente ai propri dati)
  • Controllo degli accessi basato su ruoli (RBAC)
  • Backup periodici del database
  • Monitoraggio continuo degli errori e delle anomalie

10. Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento, dandone comunicazione agli utenti registrati tramite email o avviso sulla Piattaforma. La versione aggiornata sarà sempre disponibile a questa pagina con indicazione della data di ultimo aggiornamento.

L'utilizzo continuato della Piattaforma successivamente alla pubblicazione delle modifiche costituisce accettazione delle stesse.

Consulta anche: Termini di Servizio · Cookie Policy

← Torna alla home