Privacy Policy
Trattamento dei dati personali
Ultimo aggiornamento: 21/05/2026
1. Premessa
La presente informativa è resa ai sensi del Regolamento UE 2016/679 (GDPR), del D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018, e dei provvedimenti del Garante per la Protezione dei Dati Personali. Descrive come Academy House Catana & Cavallo S.r.l.s. raccoglie, utilizza, conserva e protegge i dati personali degli utenti del sito casinaitreolivi.it e dei clienti della struttura ricettiva Casina I Tre Olivi.
2. Titolare del trattamento
Academy House Catana & Cavallo S.r.l.s.
Sede legale: Strada Provinciale Braccianese Claudia km 19,700 — 00059 Tolfa (RM), Italia
P.IVA e Codice Fiscale: 17729021000
Email ordinaria: info@casinaitreolivi.it
PEC: housecatana@pec.it
Telefono: +39 0766 92xxxx
Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti dell'art. 37 GDPR.
3. Definizioni
- Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile.
- Trattamento: qualsiasi operazione compiuta con o senza l'ausilio di processi automatizzati (raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, uso, comunicazione, cancellazione).
- Interessato: la persona fisica cui si riferiscono i dati personali.
- Titolare: il soggetto che determina le finalità e i mezzi del trattamento (Academy House Catana & Cavallo S.r.l.s.).
- Responsabile esterno: il soggetto che tratta dati per conto del Titolare (es. hosting, gateway di pagamento).
4. Tipologie di dati raccolti
4.1 Dati di contatto e identificazione
Nome, cognome, indirizzo email, numero di telefono, indirizzo postale, lingua di preferenza, codice fiscale (solo per fatturazione), partita IVA (clienti business). Raccolti tramite: form contatti, prenotazioni online, area clienti registrata, ordini shop online, comunicazioni dirette via email/telefono/WhatsApp.
4.2 Dati di prenotazione del soggiorno
Date di check-in/check-out, numero ospiti adulti/bambini, camera/unità prenotata, richieste speciali (esigenze alimentari, accessibilità, animali al seguito), preferenze (orario check-in, esperienze prenotate), eventuali codici sconto.
4.3 Dati degli ospiti per registrazione di Pubblica Sicurezza
Ai sensi del DM 7 gennaio 2013 e dell'art. 109 TULPS, raccogliamo per ogni ospite: nome, cognome, data e luogo di nascita, cittadinanza, sesso, tipologia e numero del documento di identità, comune di emissione. Questi dati vengono trasmessi al portale Alloggiati Web della Polizia di Stato entro 24 ore dall'arrivo.
4.4 Dati di pagamento
I dati di pagamento (numeri di carta, credenziali bancarie, codici CVV) non sono mai conservati dai nostri sistemi. Vengono gestiti direttamente dai gateway di pagamento autorizzati e PCI-DSS compliant: Stripe, PayPal, Nexi. Conserviamo solo l'identificativo della transazione, l'importo, la data, lo stato del pagamento.
4.5 Dati di fatturazione
Ragione sociale, P.IVA o codice fiscale, indirizzo di fatturazione, codice destinatario SDI o PEC, indirizzo di spedizione (per ordini shop). Conservati per i 10 anni previsti dalla normativa fiscale.
4.6 Dati di navigazione e tecnici
Indirizzo IP, user-agent del browser, sistema operativo, lingua del browser, pagine visitate, durata della sessione, log degli accessi all'area riservata. Vedi sezione dedicata nella Cookie Policy.
4.7 Dati delle comunicazioni dirette
Contenuto delle email, messaggi WhatsApp/SMS, registrazioni delle telefonate al servizio clienti (solo se preventivamente comunicato). Recensioni e feedback lasciati su piattaforme terze (Google, Booking, TripAdvisor).
5. Modalità di raccolta
I dati sono raccolti:
- direttamente dall'interessato attraverso i moduli del sito (contatti, prenotazione, registrazione area clienti, checkout shop);
- tramite comunicazioni dirette (email, telefono, WhatsApp, messaggi sul sito);
- automaticamente durante la navigazione (cookie tecnici, log server) — vedi Cookie Policy;
- attraverso piattaforme di prenotazione di terze parti (Booking, Airbnb, Expedia) qualora il cliente prenoti tramite questi canali.
6. Finalità del trattamento e basi giuridiche
6.1 Gestione della prenotazione e del soggiorno
Base giuridica: esecuzione del contratto (art. 6.1.b GDPR). Comprende la conferma della prenotazione, l'invio di istruzioni di check-in, la gestione delle richieste speciali, l'erogazione dei servizi accessori prenotati (esperienze, navette, ristorazione).
6.2 Adempimenti di legge
Base giuridica: obbligo legale (art. 6.1.c GDPR). Include: fatturazione e conservazione delle scritture contabili (10 anni, art. 2220 c.c.), comunicazione dell'imposta di soggiorno al Comune, registrazione degli ospiti al portale Alloggiati Web della Questura entro 24h (art. 109 TULPS), comunicazioni ISTAT ai sensi del DPR 322/1998.
6.3 Vendita di beni online
Base giuridica: esecuzione del contratto (art. 6.1.b GDPR). Gestione ordini shop, preparazione e spedizione, comunicazioni relative alla consegna, gestione resi e diritto di recesso.
6.4 Sicurezza informatica e prevenzione frodi
Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR). Conservazione dei log di accesso, monitoraggio anomalie, identificazione tentativi di accesso non autorizzato all'area riservata, prevenzione frodi nei pagamenti.
6.5 Risposta a richieste di contatto e preventivi
Base giuridica: misure precontrattuali su richiesta dell'interessato (art. 6.1.b GDPR). Gestione delle richieste pervenute tramite form contatti, email, telefono.
6.6 Comunicazioni di servizio e operative
Base giuridica: esecuzione del contratto (art. 6.1.b GDPR). Comprende email di conferma prenotazione, promemoria check-in, comunicazioni durante il soggiorno, follow-up post-soggiorno per fatturazione/recensioni, comunicazioni relative agli ordini shop.
6.7 Newsletter e marketing diretto
Base giuridica: consenso libero, specifico, informato e revocabile (art. 6.1.a GDPR). Solo previa esplicita opt-in tramite checkbox dedicata al momento della prenotazione, della registrazione o tramite form newsletter. Il consenso può essere revocato in qualsiasi momento cliccando sul link di disiscrizione presente in ogni email o scrivendo a info@casinaitreolivi.it.
6.8 Statistiche aggregate e miglioramento del servizio
Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR). Analisi statistica aggregata e anonima dei dati di prenotazione, dei comportamenti sul sito (post-consenso analitico), dei feedback per ottimizzare l'offerta.
6.9 Difesa in giudizio
Base giuridica: legittimo interesse e tutela di diritti (art. 6.1.f / art. 9.2.f GDPR). Conservazione dei dati per la difesa o l'esercizio di un diritto in sede giudiziaria o stragiudiziale, per il tempo necessario.
7. Tempi di conservazione
- Dati di prenotazione e fatturazione: 10 anni dalla chiusura dell'esercizio (obbligo fiscale art. 2220 c.c.).
- Dati degli ospiti per Alloggiati Web: trasmessi alla Questura, conservati localmente per il tempo strettamente necessario alla trasmissione e poi cancellati (max 5 anni per audit interni).
- Dati di contatto da form (non seguiti da contratto): 24 mesi dall'ultima interazione.
- Dati di registrazione area clienti: fino a richiesta di cancellazione dell'account o 36 mesi di inattività.
- Newsletter: fino a revoca del consenso.
- Log tecnici server: 12 mesi.
- Cookie tecnici di sessione: fine sessione browser.
- Recensioni e feedback: conservati a tempo indeterminato come patrimonio aziendale, in forma pseudonimizzata se richiesto.
- Documenti legali (contratti, contenziosi): 10 anni dall'eventuale chiusura del contenzioso.
8. Modalità del trattamento e sicurezza
I dati sono trattati con strumenti elettronici e cartacei, in modo lecito, corretto e trasparente. Le misure tecniche e organizzative adottate includono:
- cifratura TLS 1.3 sulle comunicazioni del sito (certificato HTTPS);
- cifratura at-rest del database e dei backup;
- backup periodici giornalieri con conservazione su sistemi separati;
- controllo accessi basato su ruoli all'area amministrativa (2FA obbligatorio);
- logging delle modifiche ai dati sensibili (audit log);
- aggiornamento regolare di sistemi operativi, framework e dipendenze;
- formazione periodica del personale autorizzato al trattamento;
- procedure di gestione degli incidenti di sicurezza (data breach response).
9. Comunicazione e categorie di destinatari
I dati non vengono diffusi e non vengono comunicati a soggetti terzi se non nelle ipotesi seguenti:
- Pubbliche autorità in adempimento di obblighi di legge (Questura — Alloggiati Web; Agenzia delle Entrate — fatturazione elettronica; Comune di Tolfa — imposta di soggiorno; ISTAT);
- Responsabili esterni nominati ex art. 28 GDPR (hosting, gateway di pagamento, servizio fatturazione elettronica, servizio email transazionale, gestore CRM se utilizzato);
- Professionisti (commercialista, avvocato) in qualità di responsabili esterni o titolari autonomi per le rispettive prestazioni professionali;
- Corrieri per la spedizione degli ordini shop (BRT, Poste Italiane, GLS o altro);
- OTA (Booking, Airbnb, Expedia) per le prenotazioni effettuate tramite questi canali.
10. Responsabili esterni del trattamento
I principali responsabili esterni con cui sono in atto contratti ex art. 28 GDPR:
- cPanel hosting (provider del servizio di hosting del sito) — server localizzato in UE;
- Stripe Payments Europe Ltd. (gateway di pagamento) — server in UE/USA con SCC;
- PayPal (Europe) S.à r.l. (gateway di pagamento) — server in UE/USA con SCC;
- Nexi S.p.A. (gateway POS/online) — server in UE;
- Google LLC (Google Maps per la sezione "Dove siamo", caricata solo dopo consenso) — server con SCC;
- Servizio di fatturazione elettronica (provider in UE accreditato SDI).
L'elenco completo e aggiornato è disponibile su richiesta scrivendo a info@casinaitreolivi.it.
11. Trasferimenti extra-UE
Alcuni fornitori (Stripe, PayPal, Google) sono basati o operano con server negli Stati Uniti. I trasferimenti extra-UE avvengono esclusivamente:
- verso Paesi con decisione di adeguatezza della Commissione UE; o
- sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) approvate dalla Commissione UE; o
- nel quadro del EU-US Data Privacy Framework, se applicabile al fornitore.
12. Diritti dell'interessato
In qualità di interessato, ai sensi degli articoli 15-22 del GDPR, hai diritto di:
- Accesso (art. 15): ottenere conferma del trattamento, copia dei dati e informazioni sulle finalità, categorie, destinatari, tempi.
- Rettifica (art. 16): correggere dati inesatti o integrarli se incompleti.
- Cancellazione / oblio (art. 17): ottenere la cancellazione dei dati nei casi previsti (dati non più necessari, revoca del consenso, trattamento illecito, ecc.).
- Limitazione (art. 18): richiedere la sospensione del trattamento in attesa di verifica.
- Opposizione (art. 21): opporti per motivi legittimi al trattamento basato su legittimo interesse; opposizione sempre accolta per il marketing diretto.
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare.
- Revoca del consenso: ritirare in qualsiasi momento i consensi prestati, senza pregiudizio della liceità del trattamento basato sul consenso prima della revoca.
- Reclamo al Garante: proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (art. 77 GDPR).
13. Come esercitare i diritti
Per esercitare qualsiasi dei diritti sopra elencati, invia una richiesta scritta a:
- Email ordinaria: info@casinaitreolivi.it
- PEC: housecatana@pec.it
- Posta ordinaria: Academy House Catana & Cavallo S.r.l.s., SP Braccianese Claudia km 19,700, 00059 Tolfa (RM)
La richiesta deve contenere: identificazione dell'interessato (allegato documento di identità), specifica del diritto esercitato, eventuale recapito per la risposta. Risposta entro 30 giorni dalla ricezione, estendibili di ulteriori 60 giorni in caso di richieste particolarmente complesse (con comunicazione motivata). La risposta è gratuita salvo richieste manifestamente infondate o eccessive.
14. Minori
I servizi del sito non sono diretti a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se un genitore o tutore venisse a conoscenza che il proprio figlio ha conferito dati senza la sua autorizzazione, è pregato di contattarci per la cancellazione. Per i soggiorni con minori al seguito, i dati identificativi sono raccolti dal genitore/tutore che ha effettuato la prenotazione e ne è responsabile.
15. Decisioni automatizzate e profilazione
Non vengono effettuate decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, che producano effetti giuridici o incidano significativamente sull'interessato (art. 22 GDPR).
16. Cookie e tecnologie simili
Per le informazioni sui cookie utilizzati dal sito, sulle modalità di gestione del consenso e sulla disabilitazione, consulta la Cookie Policy.
17. Modifiche all'informativa
La presente informativa può essere aggiornata in qualsiasi momento per adeguarla a modifiche normative, organizzative o tecnologiche. La versione aggiornata è sempre disponibile su questa pagina; la data dell'ultima revisione è indicata in alto. In caso di modifiche sostanziali, ne daremo comunicazione ai clienti registrati via email.
18. Contatti
Per qualsiasi domanda sul trattamento dei dati personali:
- Email: info@casinaitreolivi.it
- PEC: housecatana@pec.it
- Telefono: +39 0766 92xxxx