AV S.r.l., con sede legale in Milano (MI), Piazza Castello n. 26 – 20121, C.F. e P.IVA 10440550969, gestore del Vik Hotel Milano (di seguito, “Hotel”), nella qualità di Titolare del trattamento (di seguito, “Titolare”), Le fornisce di seguito, ai sensi e per gli effetti del Regolamento UE n. 2016/679 (di seguito, “GDPR”), alcune informazioni relativamente al trattamento dei dati personali raccolti in occasione della navigazione del sito web e della pagina di prenotazione, nonché delle attività di prenotazione delle camere e di acquisto dei propri prodotti e servizi.
1. Dati personali trattati e fonte dei dati
Nell’ambito delle attività di prenotazione delle camere e di acquisto dei prodotti e servizi dell’Hotel, il Titolare tratta i dati personali anagrafici e di contatto (es. nome, cognome, indirizzo e-mail, numero di cellulare, nazionalità, etc.) relativi ai futuri ospiti, i dati di pagamento e di carta di credito, nonché ogni altra eventuale informazione indicata all’interno del campo “Note”. Tutti questi dati sono forniti direttamente dal soggetto che effettua la prenotazione. Con riferimento al campo “Note”, il Titolare invita a non indicare categorie particolari di dati particolari quali dati relativi allo stato di salute (informazioni su eventuali disabilità motorie, allergie, intolleranze, etc.), al credo religioso, all’orientamento sessuale, alle opinioni politiche e filosofiche.
Nell’ambito della navigazione del sito web e della pagina di prenotazione, il Titolare tratta i dati di navigazione quali gli indirizzi IP o i nomi a dominio dei device utilizzati e che si connettono, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, etc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.
2. Finalità, base giuridica del trattamento e natura del conferimento
Nell’ambito delle attività di prenotazione delle camere e di acquisto dei prodotti e servizi dell’Hotel, i Suoi dati verranno trattati per le seguenti finalità:
a) Consentire la navigazione del sito web e della pagina di prenotazione e di usufruire dei servizi offerti dal sito web, nonché gestire la prenotazione e la richiesta dei servizi e prodotti accessori alla stessa, nonché riscontrare ad eventuali richieste.
La base giuridica del trattamento è l’esecuzione degli impegni contrattuali ai sensi dell’art 6, par. 1, lett. b), del GDPR.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori.
b) Adempimento agli obblighi normativi cui il Titolare è soggetto, tra cui, a titolo esemplificativo e non esaustivo, adempimenti di natura fiscale connessi all’esecuzione del contratto, altri aventi finalità amministrativo/contabili e obbligazioni relative alla normativa in materia di pagamenti online.
La base giuridica del trattamento è l’obbligo legale da normativa europea e nazionale ai sensi dell’art. 6, par. 1, lett. c) del GDPR e dell’art. 2-ter del D.Lgs. n. 196/2003.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori.
c) Difesa dei diritti del Titolare in sede giudiziaria ed extragiudiziaria.
La base giuridica per il trattamento dei dati è il perseguimento del legittimo interesse ai sensi dell’art. 6, par. 1, lett. f) GDPR consistente nella tutela degli interessi e diritti dell’Hotel.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori. Tuttavia, Lei può chiedere di opporsi in ogni momento, con richiesta motivata al Titolare, al trattamento dei dati personali operato su base di legittimo interesse, ai sensi e per gli effetti dell’art. 21 GDPR; la sua richiesta, in tal senso, sarà oggetto di valutazione e riscontro da parte del Titolare.
d) Attività di soft-spam consistente nell’invio all’indirizzo e-mail di comunicazioni commerciali relative a prodotti o servizi analoghi a quelli già acquistati (ciò include anche l’invio di comunicazione precedenti al soggiorno e relative a servizi e prodotti accessori).
La base giuridica per il trattamento dei dati è il perseguimento del legittimo interesse ai sensi dell’art. 6, par. 1, lett. f) GDPR consistente nell’invio di comunicazioni commerciali relative a servizi affini a quelli acquistati.
Il conferimento dei dati personali è necessario; pertanto, l’eventuale omesso conferimento dei dati personali richiesti determina l’impossibilità di concludere e dare esecuzione alla prenotazione della camera ed all’acquisto dei servizi e prodotti accessori. Tuttavia, Lei può chiedere di opporsi in ogni momento, con richiesta motivata al Titolare ovvero tramite l’apposita funzionalità di unsubscribe, al trattamento dei dati personali operato su base di legittimo interesse, ai sensi e per gli effetti dell’art. 21 GDPR.
3. Destinatari dei dati
I dati possono essere comunicati per il perseguimento delle finalità suindicate ad altri soggetti quali, ad esempio, autorità pubbliche e forze dell’ordine, studi legali, commercialisti, etc. che li tratteranno in qualità di autonomi titolari del trattamento per proprie finalità. Potranno avere accesso ai dati anche:
· il personale del Titolare, che è espressamente autorizzato a trattarli, in conformità alle istruzioni impartite, ai sensi degli artt. 29 e 32, par. 4 del GDPR e 2-quaterdecies del D.Lgs. n. 196/2003;
· soggetti fornitori di servizi in favore del Titolare, nominati Responsabili del trattamento, tra cui a titolo esemplificativo e non esaustivo fornitori del sistema di prenotazione e di gestionali amministrativi, fornitori IT, fornitori di servizi di prenotazione (Expedia, Booking), etc. L’elenco aggiornato dei Responsabili è consultabile presso il Titolare.
I dati personali non sono soggetti a diffusione.
4. Periodo di conservazione dei Dati
I dati personali trattati per finalità indicate alle lett. a), b) e c) del precedente punto 2 sono conservati solo per il tempo strettamente necessario all’espletamento delle attività/finalità sopra descritte e, in particolare, per il tempo richiesto da legge in materia fiscale (10 anni) ovvero per il tempo di prescrizione delle possibili azioni giudiziarie.
I dati personali trattati per la finalità di soft spam indicata alla lett. d) del precedente punto 2 saranno conservati sino all’opposizione al trattamento ovvero per 24 mesi dal momento dell’ultima comunicazione .
5. Trasferimento dei Dati al di fuori dello Spazio Economico Europeo
I dati personali potranno essere trasferiti verso il Regno Unito e/o gli Stati Uniti d’America sulla base di apposite decisioni di adeguatezza adottate dalla Commissione Europea e, nel caso degli Stati Uniti d’America, dell’adesione dei destinatari al programma EU-US Data Privacy Framework.
6. Diritti dell’interessato
L’interessato potrà far valere i propri diritti e/o chiedere informazioni sul trattamento dei propri dati, rivolgendosi al Titolare del trattamento. Il GDPR conferisce all’interessato:
a) il diritto di revoca del consenso prestato, fermo restando che la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca;
b) il diritto di accesso, ossia la possibilità di ottenere copia dei dati personali nonché di conoscere: le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; il diritto di proporre reclamo a un'autorità di controllo; qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; l'esistenza di un processo decisionale esclusivamente automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato;
c) il diritto alla rettifica e all’integrazione dei dati inesatti o non aggiornati;
d) il diritto alla loro cancellazione, ogniqualvolta i dati non si rivelino necessari rispetto alle finalità perseguite,
oppure qualora l’interessato decida di revocare il consenso o si opponga al trattamento e non vi siano altre basi giuridiche per la loro conservazione, o ancora qualora i dati siano trattati illecitamente, o debbano essere cancellati per un obbligo di legge;
e) il diritto alla limitazione del trattamento se l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; se il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, se i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; se l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
Nei casi di esercizio dei diritti di cui alle lettere c), d), ed e), l’interessato ha il diritto di conoscere i destinatari cui sono stati trasmessi i dati personali e il diritto che il Titolare comunichi ad essi le rettifiche, cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.
f) il diritto alla portabilità dei dati, cioè di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano, ivi incluso il trasferimento diretto degli stessi da parte del Titolare ad altri Titolari, qualora il trattamento avvenga con mezzi automatizzati e sia basato sul consenso o sul contratto;
g) il diritto di opporsi al trattamento qualora il trattamento si basi sul legittimo interesse del Titolare, come già specificato nel precedente punto 2;
h) il diritto a proporre reclamo avanti all’Autorità di Controllo competente (per l’Italia, il Garante per la protezione dei dati personali, https://www.garanteprivacy.it).
7. Dati di contatto e canale di esercizio dei diritti degli interessati
Per esercitare i diritti indicati nel paragrafo che precede e contattare il Titolare è possibile scrivere una e-mail a privacy@galleriavikmilano.com.