ITA
Agata Ferlito, nella qualità di Titolare del trattamento (di seguito, “Titolare” o “Hotel”), Le fornisce di seguito, ai sensi e per gli effetti del Regolamento UE n. 2016/679 (di seguito, “GDPR”), alcune informazioni relativamente al trattamento dei dati personali raccolti in occasione delle attività di prenotazione delle camere e di acquisto dei propri prodotti e servizi.
1. Dati personali trattati e fonte dei dati
Nell’ambito delle attività di prenotazione delle camere e di acquisto dei prodotti e servizi dell’Hotel, il Titolare tratta i dati personali anagrafici e di contatto (es. nome, cognome, indirizzo e-mail, numero di cellulare, nazionalità, etc.) relativi ai futuri ospiti, i dati di pagamento e di carta di credito parimenti, nonché ogni altra eventuale informazione indicata all’interno del campo “Note”. Tutti questi dati sono forniti direttamente dal soggetto che effettua la prenotazione.
Con riferimento al campo “Note”, il Titolare invita a non indicare categorie particolari di dati particolari quali dati relativi allo stato di salute (informazioni su eventuali disabilità motorie, allergie, intolleranze, etc.), al credo religioso, all’orientamento sessuale, alle opinioni politiche e filosofiche.
2. Finalità, base giuridica del trattamento e natura del conferimento
Nell’ambito delle attività di prenotazione delle camere e di acquisto dei prodotti e servizi dell’Hotel, i Suoi dati verranno trattati per le seguenti finalità:
a) Gestire la prenotazione e la richiesta dei servizi e prodotti accessori alla stessa, nonché riscontrare ad eventuali richieste.
La base giuridica del trattamento è l’esecuzione degli impegni contrattuali ai sensi dell’art 6, par. 1, lett. b), del GDPR.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori.
b) Adempimento agli obblighi normativi cui il Titolare è soggetto, tra cui, a titolo esemplificativo e non esaustivo, adempimenti di natura fiscale connessi all’esecuzione del contratto, altri aventi finalità amministrativo/contabili e obbligazioni relative alla normativa in materia di pagamenti online.
La base giuridica del trattamento è l’obbligo legale da normativa europea e nazionale ai sensi dell’art. 6, par. 1, lett. c) del GDPR e dell’art. 2-ter del D.Lgs. n. 196/2003.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori.
c) Difesa dei diritti del Titolare in sede giudiziaria ed extragiudiziaria.
La base giuridica per il trattamento dei dati è il perseguimento del legittimo interesse ai sensi dell’art. 6, par. 1, lett. f) GDPR consistente nella tutela degli interessi e diritti dell’Hotel.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori. Tuttavia, Lei può chiedere di opporsi in ogni momento, con richiesta motivata al Titolare, al trattamento dei dati personali operato su base di legittimo interesse, ai sensi e per gli effetti dell’art. 21 GDPR; la sua richiesta, in tal senso, sarà oggetto di valutazione e riscontro da parte del Titolare.
3. Destinatari dei dati
I dati possono essere comunicati per il perseguimento delle finalità suindicate ad altri soggetti quali, ad esempio, autorità pubbliche e forze dell’ordine, studi legali, commercialisti, etc. che li tratteranno in qualità di autonomi titolari del trattamento per proprie finalità. Potranno avere accesso ai dati anche:
il personale del Titolare, che è espressamente autorizzato a trattarli, in conformità alle istruzioni impartite, ai sensi degli artt. 29 e 32, par. 4 del GDPR e 2-quaterdecies del D.Lgs. n. 196/2003;
soggetti fornitori di servizi in favore del Titolare, nominati Responsabili del trattamento, tra cui a titolo esemplificativo e non esaustivo fornitori del sistema di prenotazione, fornitori IT, etc. L’elenco aggiornato dei Responsabili è consultabile presso il Titolare.
I dati personali non sono soggetti a diffusione.
4. Periodo di conservazione dei Dati
I dati oggetto di trattamento sono conservati solo per il tempo strettamente necessario all’espletamento delle attività/finalità sopra descritte e, in particolare, per il tempo richiesto da legge in materia fiscale (10 anni) ovvero per il tempo di prescrizione delle possibili azioni giudiziarie.
5. Trasferimento dei Dati al di fuori dello Spazio Economico Europeo
I dati sono conservati e trattanti all’interno dello Spazio Economico Europeo. Per quanto concerne l’eventuale trasferimento dei dati verso Paesi Terzi fuori dallo Spazio Economico Europeo, il Titolare rende noto che il trasferimento avverrà secondo una delle modalità consentite dagli artt. 44 e ss. del GDPR, quali ad esempio l’adozione di Clausole Standard approvate dalla Commissione Europea, la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati od operanti in Paesi considerati sicuri dalla Commissione Europea, nel rispetto delle raccomandazioni 01/2020 adottate il 10 novembre 2020 dal Comitato Europeo per la Protezione dei Dati. In subordine, i trasferimenti potrebbero essere necessari sulla base di una delle deroghe di cui all’art. 49 GDPR, per esempio con il consenso informato dell’interessato o per eseguire un contratto concluso tra l'interessato e il Titolare del trattamento ovvero misure precontrattuali adottate su istanza dell'interessato, o un contratto stipulato tra il Titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato, ovvero per importanti motivi di interesse pubblico o per accertare, esercitare o difendere un diritto in sede giudiziaria o, ancora, per tutelare gli interessi vitali dell'interessato o di altre persone qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso. È possibile ottenere maggiori informazioni, su richiesta, in merito agli eventuali trasferimenti e alle connesse garanzie implementate, presso il Titolare.
6. Diritti dell’interessato
L’interessato potrà far valere i propri diritti e/o chiedere informazioni sul trattamento dei propri dati, rivolgendosi al Titolare del trattamento. Il GDPR conferisce all’interessato:
a) il diritto di revoca del consenso prestato, fermo restando che la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca;
b) il diritto di accesso, ossia la possibilità di ottenere copia dei dati personali nonché di conoscere: le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; il diritto di proporre reclamo a un'autorità di controllo; qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; l'esistenza di un processo decisionale esclusivamente automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché
l'importanza e le conseguenze previste di tale trattamento per l'interessato; c) il diritto alla rettifica e all’integrazione dei dati inesatti o non aggiornati;
d) il diritto alla loro cancellazione, ogniqualvolta i dati non si rivelino necessari rispetto alle finalità perseguite, oppure qualora l’interessato decida di revocare il consenso o si opponga al trattamento e non vi siano altre basi giuridiche per la loro conservazione, o ancora qualora i dati siano trattati illecitamente, o debbano essere cancellati per un obbligo di legge;
e) il diritto alla limitazione del trattamento se l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; se il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, se i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; se l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
Nei casi di esercizio dei diritti di cui alle lettere c), d), ed e), l’interessato ha il diritto di conoscere i destinatari cui sono stati trasmessi i dati personali e il diritto che il Titolare comunichi ad essi le rettifiche, cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.
f) il diritto alla portabilità dei dati, cioè di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano, ivi incluso il trasferimento diretto degli stessi da parte del Titolare ad altri Titolari, qualora il trattamento avvenga con mezzi automatizzati e sia basato sul consenso o sul contratto;
g) il diritto di opporsi al trattamento qualora il trattamento si basi sul legittimo interesse del Titolare, come già specificato nel precedente punto 2;
h) il diritto a proporre reclamo avanti all’Autorità di Controllo competente (per l’Italia, il Garante per la protezione dei dati personali, https://www.garanteprivacy.it).
7. Dati di contatto
I dati di contatto del Titolare e del Data Protection Officer, ove nominato, sono disponibili presso la privacy policy accessibile dal footer del sito web dell’Hotel.
ENG
Agata Ferlito, as Data Controller (hereinafter, “ Data Controller” or “Hotel”), hereby provides you, pursuant to and for the purposes of EU Regulation No. 2016/679 (hereinafter, “GDPR”), with information regarding the processing of personal data collected during the activities of booking rooms and purchasing its products and services.
1. Personal data and source of the data
As part of the activities of booking rooms and purchasing hotel products and services, the Data Controller processes personal data and contact details (e.g., name, surname, e-mail address, mobile phone number, nationality, etc.) relating to future guests, payment and credit card details, as well as any other information indicated in the “Notes” field. All this information is provided directly by the person making the booking. With reference to the “Notes” field, the Data Controller invites you not to provide particular categories of data such as data relating to your state of health (information on any motor disabilities, allergies, intolerances, etc.), religious beliefs, sexual orientation, political and philosophical opinions.
2. Purpose, legal basis of the processing and nature of the provision of data
As part of the activities of booking rooms and purchasing hotel products and services, your data will be processed for the following purposes:
a) Managing the booking and the reservation of ancillary services and products, as well as responding to any requests.
The legal basis of the processing is the performance of contractual obligations pursuant to Article 6(1)(b) of the GDPR.
The provision of personal data is necessary; therefore, the omission of the personal data requested makes it impossible to conclude and execute the room booking and the purchase of services and ancillary products.
b) Fulfilment of regulatory obligations to which the Data Controller is subject, including but not limited to tax obligations related to the execution of the contract, other administrative/accounting obligations and obligations related to the legislation on online payments.
The legal basis of the processing is the fulfilment of regulatory obligations pursuant to Article 6(1)(c) of the GDPR.
The provision of personal data is necessary; therefore, the omission of the personal data requested makes it impossible to conclude and execute the room booking and the purchase of services and ancillary products.
c) Defence of the Data Controller's rights in judicial and extrajudicial proceedings.
The legal basis for the processing of the data is the pursuit of the legitimate interest consisting in the protection of the interests and rights of the Hotel pursuant to Article 6(1)(f) GDPR.
The provision of personal data is necessary; therefore, the omission of the personal data requested makes it impossible to conclude and execute the room booking and the purchase of services and ancillary products. However, you may request to object at any time, by sending a motivated request to the Data Controller, to the processing of personal data carried out on the basis of legitimate interest, pursuant to and for the purposes of Article 21 GDPR; your request, in this sense, will be subject to evaluation and response by the Data Controller.
3. Recipients of the data
The data may be communicated for the pursuit of the aforementioned purposes to other entities such as, for example, public authorities and law enforcement agencies, law firms, accountants, etc., who will process the data as independent data controllers for their own purposes. The following subjects may also have access to the data:
the staff of the Data Controller, who are expressly authorised to process them, in accordance with the instructions given, pursuant to Articles 29 and 32(4) of the GDPR and 2-quaterdecies of Legislative Decree no. 196/2003;
service providers in favour of the Data Controller, appointed as Data Processors, including but not limited to booking system providers, IT providers, etc. The updated list of Data Processors may be requested to the Data Controller.
Personal data are not disseminated.
4. Data retention periods
The processed data are kept only for the time strictly necessary to carry out the activities/purposes described above and, in particular, for the time required by the tax law (10 years) or for the period of prescription of possible legal actions.
5. Extra-EEA Data transfer
The data are stored and processed within the European Economic Area. With regard to the possible transfer of data to Third Countries outside the European Economic Area, the Data Controller informs you that the transfer will be carried out according to one of the modalities set out in Articles 44 et seq. of the GDPR, such as, for example, the adoption of Standard Clauses approved by the European Commission, the selection of subjects participating in international programmes for the free movement of data or operating in countries considered safe by the European Commission, in compliance with Recommendations 01/2020 adopted on 10 November 2020 by the European Data Protection Committee. Alternatively, transfers may be necessary on the basis of one of the exceptions set out in Article 49 of the GDPR, for example with the informed consent of the data subject or to perform a contract concluded between the data subject and the Data Controller or pre-contractual measures taken at the request of the data subject, or a contract concluded between the Data Controller and another natural or legal person for the benefit of the data subject, or for important reasons of public interest or to establish, exercise or defend a right in court or, again, to protect the vital interests of the data subject or of other persons where the data subject is physically or legally incapable of giving consent. Further information on possible transfers and the related safeguards implemented can be obtained, upon request, from the Data Controller.
6. Data subject’s rights
Data subjects may assert their rights and/or request information on the processing of their data by contacting the Data Controller. The GDPR grants the right to:
a) withdraw the consent given, with the understanding that withdrawal of consent shall not affect the lawfulness of the processing based on the consent prior to the withdrawal;
b) access or obtain a copy of the personal data as well as to know the purposes of the processing; the categories of personal data concerned; the recipients or categories of recipients to whom the personal data have been or will be disclosed, in particular if they are recipients in third countries or international organisations; where possible, the period for which the personal data are to be stored or, if this is not possible, the criteria used to determine that period; the existence of the data subject’s right to request from the data controller the rectification or erasure of personal data or the restriction of the processing of personal data concerning him or her or to object to their processing; the right to lodge a complaint with a supervisory authority; where the data are not collected from the data subject, all available information on their source; the existence of an exclusively automated decision-making process, including profiling,and, at least in such cases, meaningful information on the logic used, as well as the importance and the envisaged consequences of such processing for the data subject; c) rectification and integration of inaccurate or outdated data;
d) erasure, whenever the data are no longer necessary in relation to the purposes pursued, or if the data subject decides to withdraw consent or objects to the processing and there are no other legal grounds for keeping the data, or if the data are processed unlawfully, or have to be erased because of a legal obligation;
e) restriction of processing if the data subject contests the accuracy of the personal data, for the period necessary for the controller to verify the accuracy of the personal data; if the processing is unlawful and the data subject objects to the erasure of the personal data and requests instead that their use be restricted; even though the controller no longer needs them for the purposes of the processing, if the personal data are necessary for the establishment, exercise or defence of legal claims; if the data subject has objected to the processing, pending verification as to whether or not the legitimate reasons of the controller prevail over those of the data subject.
In cases of exercise of the rights referred to in points c), d), and e), the data subject has the right to know the recipients to whom the personal data have been transmitted and the right that the Controller communicates to them the rectification, erasure or restriction of the processing, unless this proves impossible or involves a disproportionate effort.
f) data portability, i.e. to receive in a structured, commonly used and machine-readable format the personal data concerning him/her, including the direct transfer of the same by the Controller to other Controllers, where the processing is carried out by automated means and is based on consent or contract;
g) object to the processing where the processing is based on the legitimate interest of the Controller, as already specified in point 2 above;
h) lodge a complaint to the competent Supervisory Authority (for Italy, the Garante per la protezione dei dati personali, https://www.garanteprivacy.it).
7. Contact details
The contact details of the Data Controller and the Data Protection Officer, where appointed, are available in the privacy policy accessible from the footer of the Hotel website.