Informativa Privacy

1. Titolare del trattamento

Il Titolare del trattamento dei dati è Garage Portofino S.R.L., con sede legale in Piazza della Libertà, 28 — 16034 Portofino (GE), P.IVA / Codice Fiscale 02845960992.

Il Titolare non ha designato un Data Protection Officer (DPO) in quanto non ricorrono le condizioni di obbligatorietà previste dall'art. 37 GDPR.

2. Dati personali raccolti

2.1 Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del normale esercizio, alcuni dati la cui trasmissione è implicita nei protocolli di comunicazione di Internet: indirizzi IP, tipo di browser e sistema operativo, pagine visitate, timestamp delle richieste, eventuali codici di errore. Questi dati sono utilizzati al solo scopo di garantire il corretto funzionamento del sito, controllarne la sicurezza e ricavare statistiche anonime sull'uso. Sono conservati per un periodo massimo di 30 giorni, salvo obblighi di conservazione superiori imposti da disposizioni di legge.

2.2 Dati forniti volontariamente tramite il modulo di prenotazione

Compilando il modulo presente nella pagina Contatti e Prenotazioni, l'utente fornisce volontariamente i seguenti dati personali:

• Dati anagrafici e di contatto (obbligatori): nome, cognome, indirizzo email, numero di telefono cellulare con prefisso internazionale.
• Dati relativi al soggiorno (obbligatori): data e orario di arrivo e di partenza presso il garage.
• Dati relativi al veicolo (obbligatori): marca, modello e targa del veicolo.
• Lingua preferita per le comunicazioni (italiano, inglese o francese).
• Dati facoltativi: ragione sociale dell'azienda, messaggio testuale libero (max 1000 caratteri).

Al momento dell'invio del modulo vengono applicate misure tecniche di protezione anti-spam che non comportano il trattamento di dati personali aggiuntivi né l'installazione di cookie.

2.3 Dati raccolti in fase di conferma prenotazione

Qualora la richiesta di disponibilità sia accolta dal Titolare e l'utente prosegua con la conferma, al modulo di conferma vengono richiesti dati ulteriori per la garanzia della prenotazione: estremi della carta di credito (circuito, numero, intestatario, scadenza) o conferma di pagamento in contanti. Sulla carta di credito non viene effettuato alcun addebito al momento della prenotazione, salvo i casi di mancata presentazione (no-show) o cancellazione tardiva, secondo le condizioni indicate al cliente.

3. Finalità e basi giuridiche del trattamento

I dati raccolti sono trattati per le seguenti finalità, con relativa base giuridica:

a) Gestione delle prenotazioni e dei rapporti contrattuali

Trattamento dei dati di prenotazione per fornire il servizio di parcheggio, comunicare con il cliente, confermare la disponibilità ed eventualmente eseguire il contratto.
Base giuridica: esecuzione di un contratto o di misure precontrattuali su richiesta dell'interessato (art. 6.1.b GDPR).
Conferimento: necessario; il rifiuto preclude la possibilità di prenotare.

b) Sicurezza del sito e protezione anti-spam

Adozione di misure tecniche per filtrare invii automatizzati del modulo e proteggere il sito e i sistemi del Titolare da abusi. Tali misure non installano cookie, non profilano l'utente e non trasferiscono dati a terze parti.
Base giuridica: legittimo interesse del Titolare alla protezione dei propri sistemi informatici (art. 6.1.f GDPR).

c) Adempimento di obblighi di legge

Conservazione dei dati di prenotazione e fatturazione per i tempi richiesti dalla normativa fiscale e civilistica.
Base giuridica: obbligo legale (art. 6.1.c GDPR).

d) Mappa interattiva (Google Maps)

Visualizzazione della posizione del garage tramite l'iframe ufficiale di Google Maps.
Base giuridica: consenso esplicito (art. 6.1.a GDPR), revocabile in qualsiasi momento dall'icona "Preferenze cookie" presente in basso a destra del sito.

4. Destinatari dei dati

I dati raccolti possono essere comunicati alle seguenti categorie di destinatari:

• Personale aziendale autorizzato del Titolare, espressamente designato e adeguatamente istruito al trattamento (art. 29 GDPR).
• Amazon Web Services EMEA SARL (AWS), in qualità di Responsabile esterno del trattamento (art. 28 GDPR), per il servizio di hosting del sito e del database. I dati sono ospitati nella regione eu-central-1 (data center di Francoforte, Germania).
• Aruba S.p.A. (società italiana con sede a Bibbiena, AR) come fornitore del servizio email/SMTP utilizzato per la trasmissione delle email di conferma e comunicazione con il cliente. I dati transitano e sono conservati su server localizzati in Italia.
• Google Ireland Limited per il servizio Maps, ove l'utente abbia prestato consenso.
• Consulente fiscale e commercialista del Titolare, per gli adempimenti fiscali relativi alla prenotazione.
• Autorità competenti in caso di obblighi di legge, richieste investigative o tutela giudiziaria.

I dati personali non sono ceduti a terzi per finalità di marketing né diffusi pubblicamente.

5. Localizzazione e trasferimento dati extra-UE

I dati personali raccolti sono ospitati fisicamente all'interno dell'Unione Europea, nello specifico nei data center di Amazon Web Services nella regione di Francoforte (Germania, eu-central-1).

Alcuni Responsabili del trattamento sono tuttavia società con sede negli Stati Uniti d'America o società europee facenti parte di gruppi statunitensi. Per tali trasferimenti, anche solo potenziali, si applicano le garanzie previste dal Capo V del GDPR:

• Amazon Web Services EMEA SARL — fornitore di hosting con sede in Lussemburgo, appartenente al gruppo Amazon (USA). I dati sono ospitati esclusivamente nei data center europei. Il trasferimento si basa sul EU-U.S. Data Privacy Framework (Amazon è certificata) e su Standard Contractual Clauses incluse nel AWS Data Processing Addendum. Sono inoltre attive misure tecniche aggiuntive (cifratura at-rest e in-transit) per mitigare il rischio di accesso da parte di autorità statunitensi (CLOUD Act).
• Google LLC (USA) — servizio Maps. Il trasferimento si basa sul EU-U.S. Data Privacy Framework (decisione di adeguatezza del 10 luglio 2023) e su Standard Contractual Clauses approvate dalla Commissione Europea.

L'elenco aggiornato dei sub-responsabili Google e AWS è consultabile sui rispettivi siti ufficiali.

6. Periodo di conservazione

• Dati di navigazione: massimo 30 giorni dalla raccolta.
• Dati di prenotazione e contatto: per il tempo necessario alla gestione della richiesta e fino a 10 anni dall'ultima interazione, in conformità agli obblighi di conservazione documentale fiscale (art. 2220 Codice Civile, D.P.R. 633/1972).
• Dati di pagamento (carta di credito): cancellati al termine della validità della pre-autorizzazione e comunque entro il completamento della prenotazione. Non vengono conservati in chiaro nei sistemi del Titolare oltre il tempo strettamente necessario.
• Cookie e identificatori online: secondo quanto indicato nella Cookie Policy.

Decorsi tali termini, i dati saranno cancellati o resi anonimi in modo irreversibile, salvo necessità di conservazione per obblighi di legge, contenziosi pendenti o azioni di tutela del Titolare.

7. Diritti dell'interessato

In qualunque momento e in conformità agli artt. 15-22 GDPR, l'utente ha diritto di:

• Accedere ai propri dati personali e ottenere copia degli stessi (art. 15);
• Richiedere la rettifica di dati inesatti o l'integrazione di dati incompleti (art. 16);
• Ottenere la cancellazione dei dati (diritto all'oblio), nei casi previsti dall'art. 17;
• Limitare il trattamento ai casi previsti dall'art. 18;
• Ricevere i dati in formato strutturato e di uso comune (portabilità — art. 20);
• Opporsi al trattamento basato su legittimo interesse (art. 21);
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca (art. 7);
• Proporre reclamo all'Garante per la protezione dei dati personali (art. 77).

Per esercitare tali diritti è sufficiente inviare una richiesta all'indirizzo info@garageportofino.it o alla PEC garageportofinosrl@pec.it. Il Titolare risponderà entro 30 giorni dal ricevimento.

8. Sicurezza e modalità del trattamento

Il trattamento avviene mediante strumenti elettronici e cartacei, con misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio (art. 32 GDPR), tra cui:

• Trasmissione dei dati in HTTPS con cifratura TLS;
• Cifratura dei dati a riposo (encryption-at-rest) sui server AWS;
• Hosting in data center certificati ISO 27001, SOC 2 Type II e conformi GDPR (AWS Frankfurt, eu-central-1);
• Accesso ai sistemi limitato al solo personale autorizzato, mediante credenziali individuali;
• Backup periodici dei dati con conservazione cifrata;
• Misure tecniche di protezione anti-spam e protezione CSRF nelle operazioni che modificano lo stato del sistema;
• Procedure di risposta alle violazioni dei dati (data breach) ai sensi degli artt. 33-34 GDPR.

9. Cookie e tracker

Il sito utilizza cookie tecnici necessari al funzionamento e, previo consenso, cookie funzionali (Google Maps) per la mappa interattiva. Per l'elenco dettagliato dei cookie, le finalità e le durate consulta la Cookie Policy.

Puoi modificare in qualsiasi momento le tue scelte cliccando l'icona "Preferenze cookie" in basso a destra di ogni pagina del sito.

10. Modifiche all'informativa

Il Titolare si riserva il diritto di aggiornare la presente informativa in qualsiasi momento per adeguarla a modifiche normative, organizzative o tecniche. Le versioni aggiornate saranno pubblicate su questa pagina, con indicazione della data di ultimo aggiornamento. Si invitano gli utenti a consultare periodicamente la pagina.