Informativa sulla privacy

Versione 1.1 — ultimo aggiornamento: 17 aprile 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il sito gestito da Sand S.R.L. ("il Titolare") ai sensi dell'art. 13 del Regolamento UE 2016/679 ("GDPR").

1. Titolare del trattamento

Email dedicata alla privacy: [email protected]

2. Categorie di dati trattati

• Dati di registrazione: nome, cognome, email, password (in forma crittografata), numero di telefono.
• Dati di prenotazione: data di nascita, luogo di nascita, codice fiscale, tipo e numero del documento di identità, nazionalità, indirizzo, contatto di emergenza. Raccolti solo quando necessari per la gestione di una prenotazione.
• Dati tecnici: indirizzo IP, user agent, log di accesso, identificatori di sessione.
• Dati analitici e di marketing (facoltativi): raccolti solo previo consenso tramite i cookie di analisi e marketing.

3. Finalità e base giuridica del trattamento

• Esecuzione del contratto (art. 6.1.b GDPR) — registrazione, gestione prenotazioni, emissione di contratti e ricevute, comunicazioni transazionali.
• Obblighi di legge (art. 6.1.c GDPR) — conservazione di documenti fiscali, trasmissione dei dati degli alloggiati alla Pubblica Sicurezza.
• Legittimo interesse (art. 6.1.f GDPR) — sicurezza informatica, prevenzione di frodi, audit log.
• Consenso (art. 6.1.a GDPR) — cookie di analisi e marketing. Il consenso è revocabile in qualsiasi momento tramite il link "Gestisci cookie" nel footer del sito.

4. Destinatari e trasferimenti extra-UE

I dati possono essere comunicati ai seguenti responsabili del trattamento, che forniscono servizi strettamente necessari al funzionamento del sito:

• Brevo (Francia) — invio di email transazionali.
• DigitalOcean Spaces (Francoforte, Germania) — archiviazione di allegati e contratti in PDF. I contratti contenenti dati personali sono caricati con ACL privata: l'accesso avviene esclusivamente tramite URL firmato a scadenza breve (15 minuti) generato server-side solo per il personale autorizzato.
• Upstash Redis — cache e rate limiting su operazioni sensibili (login, MFA, reset password, export GDPR).
• Sentry (Stati Uniti) — monitoraggio errori con pseudonimizzazione applicata: indirizzo IP, email e cookie sono rimossi prima dell'invio (sendDefaultPii: false). Trasferimento soggetto a Clausole Contrattuali Standard (SCC). Il traffico passa da un endpoint di proxy sul nostro dominio (/monitoring) per non essere bloccato da ad-blocker.
• Google Analytics e Google Ads (Stati Uniti) — solo previo consenso esplicito via banner cookie. È implementato Google Consent Mode v2 con valori di default impostati a denied: nessun dato è trasmesso finché l'utente non accetta. Trasferimento soggetto a SCC.

5. Periodo di conservazione

• Dati di registrazione: fino alla cancellazione dell'account.
• Dati di prenotazione: 10 anni per obblighi fiscali (art. 2220 c.c.).
• Log di sicurezza: 18 mesi.
• Cookie di analisi e marketing: fino a 180 giorni o fino alla revoca.

6. Diritti dell'interessato

Ai sensi degli artt. 15–22 GDPR puoi esercitare in qualsiasi momento i seguenti diritti:

• Accesso e portabilità (art. 15, 20): scaricare una copia completa dei tuoi dati in formato JSON dall'area Profilo → sezione "I tuoi diritti (GDPR)" → Scarica i miei dati. Limite: 3 export ogni 24 ore per prevenire abusi.
• Cancellazione / oblio (art. 17): eliminare l'account dall'area Profilo → Elimina il mio account. I dati identificativi vengono anonimizzati; le prenotazioni già emesse restano collegate in forma anonima per gli obblighi fiscali (vedi §5).
• Rettifica (art. 16): modificare i tuoi dati personali dal pulsante "Modifica profilo" nell'area Profilo.
• Opposizione al marketing (art. 21): disattivare le comunicazioni promozionali dall'area Profilo → switch "Comunicazioni marketing".
• Limitazione del trattamento (art. 18) e altre richieste: scrivere a [email protected]. Rispondiamo entro 30 giorni.

Puoi inoltre proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

7. Cookie

Il sito utilizza cookie tecnici necessari al funzionamento e, previo consenso esplicito, cookie di analisi (Google Analytics) e marketing (Google Ads). È implementato Google Consent Mode v2 con valori di default impostati a denied, per cui nessun dato analitico o pubblicitario viene raccolto senza la tua autorizzazione.

Puoi modificare la tua scelta in qualsiasi momento tramite tre controlli sempre disponibili: il link "Gestisci cookie" nel footer, il pulsante flottante 🍪 in basso a sinistra, o la sezione "Preferenze cookie" nell'area Profilo.

Per il dettaglio completo dei cookie utilizzati, delle loro finalità e durate consulta la Cookie Policy.

8. Misure di sicurezza

Ai sensi dell'art. 32 GDPR applichiamo le seguenti misure tecniche ed organizzative:

• Password: memorizzate come hash bcrypt con cost factor 12. Mai in chiaro, mai leggibili dal personale.
• Autenticazione a due fattori (2FA) obbligatoria per tutto il personale con accesso amministrativo (TOTP o email OTP).
• Controllo accessi falliti: blocco account dopo 5 tentativi sbagliati, rate limiting Redis sugli endpoint di autenticazione.
• TLS 1.2+ su tutto il traffico (HSTS con max-age=2 anni).
• Content-Security-Policy con allowlist esplicita per ridurre il rischio di XSS.
• Contratti PDF memorizzati su storage cifrato con ACL privata; accessibili solo tramite URL firmato di durata limitata (15 minuti) generato solo per il personale autorizzato.
• Audit log di tutti gli eventi di autenticazione e delle operazioni sui dati personali (IP pseudonimizzato, email mascherata), conservati per 18 mesi.
• Validazione input: ogni operazione sensibile sull'account passa attraverso schema di validazione con protezione da mass-assignment.

Eventuali aggiornamenti a questa informativa saranno pubblicati su questa pagina con indicazione della data di revisione. In caso di modifiche sostanziali, il banner di consenso tornerà a comparire per richiedere un nuovo consenso.