Privacy Policy

Ultimo aggiornamento: 1 maggio 2026 · Versione 1.0

Questa Privacy Policy descrive come Budoni Case Vacanze tratta i dati personali raccolti tramite il sito www.budonicasevacanze.com ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

1. Titolare del trattamento

Tonio Tuvoni — gestore di Budoni Case Vacanze
Email: [email protected]
WhatsApp: +39 342 111 4620

2. Tipologie di dati trattati

Quando compili il modulo "Richiedi preventivo" presente nella pagina Prenota, raccogliamo:

Dati identificativi: nome, cognome, indirizzo email, numero di telefono
Dati relativi alla richiesta: date di soggiorno desiderate, numero adulti/bambini, immobile di interesse, eventuale messaggio
Dati tecnici: indirizzo IP, paese di provenienza, user agent del browser (raccolti automaticamente per finalità di sicurezza e prevenzione frodi)
Consensi: consenso al trattamento dei dati, consenso (facoltativo) marketing

3. Finalità e base giuridica del trattamento

Finalità	Base giuridica	Conservazione
Risposta alla richiesta preventivo (contatto telefonico/WhatsApp/email)	Esecuzione di misure precontrattuali (art. 6.1.b GDPR)	2 anni dall'ultimo contatto
Sicurezza del sito (prevenzione frodi, anti-bot, rate limiting)	Legittimo interesse (art. 6.1.f GDPR)	30 giorni (log accessi)
Comunicazioni promozionali (offerte stagionali, last-minute)	Consenso esplicito facoltativo (art. 6.1.a GDPR)	Fino a revoca del consenso
Adempimenti fiscali e contabili (in caso di prenotazione)	Obbligo di legge (art. 6.1.c GDPR)	10 anni (normativa fiscale)

4. Modalità del trattamento e fornitori di servizi

I dati sono trattati con strumenti elettronici e protetti da misure di sicurezza adeguate (cifratura HTTPS, autenticazione amministrativa, firewall, log di sicurezza, backup periodici). Possono essere comunicati ai seguenti soggetti, individuati come responsabili esterni:

Cloudflare, Inc. (USA) — hosting, CDN, sicurezza (DPA firmato, SCC standard contractual clauses)
Resend (Resend.com Inc., USA) — invio email transazionali (DPA, SCC)
Meta Platforms Ireland Ltd. — invio messaggi WhatsApp Business (DPA, dati conservati in EU)
Stripe Payments Europe Ltd. (Irlanda) — solo in caso di pagamento online del deposito

I dati non sono mai venduti o ceduti a terzi per finalità commerciali estranee a quelle dichiarate.

5. Trasferimenti extra-UE

Alcuni fornitori (Cloudflare, Resend) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea o di adesione a meccanismi equivalenti (Data Privacy Framework).

6. Diritti dell'interessato (artt. 15–22 GDPR)

Hai il diritto di:

Accedere ai tuoi dati e ricevere copia
Rettificare dati inesatti
Cancellare i dati (diritto all'oblio), salvo obblighi di legge
Limitare il trattamento
Opporti al trattamento per legittimo interesse o marketing
Ricevere i dati in formato portabile
Revocare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento precedente)
Reclamare al Garante Privacy (Autorità di controllo italiana)

Per esercitare questi diritti scrivi a [email protected]. Risposta entro 30 giorni.

Diritto all'oblio: Per cancellare TUTTI i tuoi dati dal nostro sistema invia una richiesta a [email protected] con oggetto "Richiesta cancellazione dati". La cancellazione è irreversibile.

7. Cookie e tecnologie similari

Il sito NON utilizza cookie di profilazione, di terze parti o tracking. Sono presenti esclusivamente:

Cookie tecnici di sessione (necessari per il funzionamento), durata: sessione browser
Cloudflare Turnstile (verifica anti-bot privacy-friendly, no fingerprinting persistente) sulla pagina di prenotazione
Local storage tecnico (preferenze di lingua, niente PII)

Non utilizziamo Google Analytics né strumenti di profilazione pubblicitaria. I font web sono self-hosted (nessuna richiesta a Google Fonts).

8. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate al rischio (art. 32 GDPR):

Cifratura TLS 1.3 in transito (HTTPS obbligatorio, HSTS preload)
Cifratura at-rest del database (Cloudflare D1)
Autenticazione amministrativa con chiavi crittografiche, audit log delle azioni admin
Firewall applicativo (WAF) e protezione anti-bot (Turnstile, rate limiting)
Backup periodici con retention controllata
Verifica firma HMAC su webhook esterni (Stripe, Meta WhatsApp)
Aggiornamenti di sicurezza regolari e penetration test periodici

9. Conservazione e cancellazione automatica

I dati di lead sono conservati per 2 anni dall'ultimo contatto. I dati tecnici di sicurezza (IP, log) sono cancellati automaticamente dopo 30 giorni. I dati amministrativi (admin audit log) sono conservati per 90 giorni. I dati relativi a prenotazioni effettivamente conferite sono conservati per 10 anni ai fini fiscali.

10. Modifiche alla Privacy Policy

Eventuali aggiornamenti saranno pubblicati su questa pagina con data di aggiornamento. Ti invitiamo a consultarla periodicamente. Modifiche sostanziali saranno comunicate via email a chi ha dato consenso marketing.

← Torna alla home