Informativa sul trattamento dei dati personali
Resa ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 · Versione 1.0 — In vigore dal 3 maggio 2026
1. Premessa
La presente informativa descrive come vengono trattati i dati personali raccolti tramite il sito easybeach.pro(di seguito "Piattaforma") gestito dal Titolare di seguito indicato.
L'informativa si applica esclusivamente al trattamento dei dati effettuato dalla Piattaforma e non si estende ai siti di terze parti eventualmente raggiungibili tramite link, né al trattamento effettuato in autonomia dalle strutture balneari partner una volta ricevuti i dati di prenotazione (i quali agiscono come Titolari autonomi ai propri fini di erogazione del servizio e di adempimenti fiscali).
2. Servizi rivolti a maggiorenni
I servizi offerti dalla Piattaforma sono rivolti esclusivamente a persone che abbiano compiuto la maggiore età (18 anni). I minori possono utilizzare la Piattaforma solo per tramite di un genitore o tutore legale. Qualora il Titolare venga a conoscenza di trattamenti relativi a minori non autorizzati, provvederà a cancellarne i dati senza ritardo.
3. Definizioni
Ai fini della presente informativa si intende per:
- Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4.1 GDPR).
- Interessato: la persona fisica cui si riferiscono i dati personali.
- Titolare del trattamento: la persona fisica o giuridica che determina finalità e mezzi del trattamento.
- Responsabile del trattamento: il soggetto che tratta i dati per conto del Titolare ai sensi dell'art. 28 GDPR.
- Utente: chiunque acceda alla Piattaforma o effettui una prenotazione.
4. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
- Federico Brocco, titolare del brand Easy Beach
- Sede: Via Campo Felice 16, 65126 Pescara (PE), Italia
- P.IVA: IT02322060688 — N. REA: PE-428954
- PEC: [email protected]
- Email per esercizio diritti privacy: [email protected]
Il Titolare non è tenuto alla nomina di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR e non vi ha provveduto in via volontaria.
5. Tipologie di dati trattati
5.1 Dati forniti dall'Utente
- Numero di cellulare (verificato via OTP via SMS al primo accesso al checkout)
- Nome e cognome
- Indirizzo email
- Eventuali note libere aggiunte alla prenotazione
I dati di cui sopra sono i soli dati anagrafici richiesti dalla Piattaforma; sono indispensabili per il buon fine della Prenotazione e per la sua comunicazione allo Struttura. Eventuali dati di fatturazione vanno comunicati direttamente alla Struttura al momento del check-in.
5.2 Dati di pagamento
I dati relativi alle carte di credito/debito o ad altri strumenti di pagamento non sono raccolti né conservati dalla Piattaforma: vengono trasmessi e trattati direttamente da Stripe Payments Europe Ltd. (e, ove applicabile, da Klarna Bank AB) in qualità di Titolari autonomi, conformemente agli standard PCI-DSS. La Piattaforma memorizza esclusivamente un identificativo opaco (payment_method_id) generato da Stripe per consentire — su esplicito consenso dell'Utente — il riutilizzo del metodo di pagamento in prenotazioni successive (off-session payment).
5.3 Dati di prenotazione
- Struttura prescelto, date, postazione, accessori
- Importi (postazione, allestimento, costo di servizio)
- Codice di prenotazione e stato di pagamento
5.4 Dati raccolti automaticamente (navigazione)
- Indirizzo IP, user agent, lingua del browser
- Pagine visitate, durata, referer
- Parametri UTM (
utm_source,utm_medium,utm_campaign) e identificativi pubblicitari (fbclid,fbp) per attribuzione campagne (solo previo consenso cookie) - Log di sicurezza e prevenzione frodi (autenticazioni OTP, tentativi falliti)
6. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Esecuzione della prenotazione (incl. invio OTP via SMS, conferme email, comunicazione alla Struttura) | Art. 6.1.b — esecuzione del contratto | Obbligatorio |
| Adempimenti fiscali, contabili e di legge (incl. conservazione documenti per 10 anni ex art. 2220 c.c.) | Art. 6.1.c — obbligo di legge | Obbligatorio |
| Sicurezza della Piattaforma, prevenzione frodi, tutela in giudizio | Art. 6.1.f — legittimo interesse | Obbligatorio |
| Marketing diretto, profilazione pubblicitaria, analisi comportamento utente | Art. 6.1.a — consenso (revocabile) | Facoltativo |
| Statistiche di traffico aggregate e miglioramento del servizio | Art. 6.1.f — legittimo interesse | Facoltativo (opt-out) |
| Salvataggio del metodo di pagamento per riutilizzo off-session | Art. 6.1.a — consenso espresso | Facoltativo |
7. Comunicazione dei dati e Responsabili esterni
I dati personali possono essere comunicati ai seguenti destinatari, ciascuno per le finalità indicate:
7.1 Destinatari interni e Strutture partner
- Struttura Balneare prenotato(Titolare autonomo): nome, cognome, email, cellulare, dati di prenotazione — necessari all'erogazione del Servizio Balneare.
- Personale collaborativo del Titolare debitamente autorizzato.
7.2 Responsabili esterni del trattamento (art. 28 GDPR)
Il Titolare si avvale dei seguenti fornitori, ciascuno nominato Responsabile del trattamento ove richiesto:
| Fornitore | Finalità | Sede / Trasferimento |
|---|---|---|
| Stripe Payments Europe Ltd. | Processamento dei pagamenti (Stripe Connect) | Irlanda (UE) · gruppo USA con SCC |
| Klarna Bank AB (se attivato dalla Struttura) | Pagamenti rateali | Svezia (UE) |
| Twilio Inc. e altri operatori SMS partner | Invio SMS OTP per verifica numero | USA · SCC + misure aggiuntive |
| WhatsApp Ireland Ltd. (Meta Platforms) | Notifiche di servizio via WhatsApp Business (ove attivato dall'Utente) | Irlanda (UE) · gruppo USA con SCC |
| Provider hosting (UE) | Hosting applicazione e database | Unione Europea (Germania) |
| Cloudflare Inc. | CDN, sicurezza, mitigazione bot | USA · SCC + Data Processing Addendum |
| Google Ireland Ltd. | Google Maps (rendering mappe), Google Analytics 4 (statistiche, solo con consenso), Google Ads (re-targeting, solo con consenso) | Irlanda (UE) · gruppo USA con SCC |
| Meta Platforms Ireland Ltd. | Meta Pixel + Conversions API, re-targeting (solo con consenso) | Irlanda (UE) · gruppo USA con SCC |
| Hotjar Ltd. | Analytics comportamentali, heatmap, registrazioni anonime (solo con consenso) | Malta (UE) |
7.3 Autorità pubbliche
I dati possono essere comunicati ad autorità giudiziarie, di polizia o amministrative su loro richiesta legittima e in ottemperanza a obblighi di legge.
8. Trasferimento dei dati extra-UE
Alcuni dei fornitori sopra elencati (Stripe, Twilio, Cloudflare, Google, Meta) appartengono a gruppi societari con sede negli Stati Uniti e possono trasferire dati personali in Paesi al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento avviene sulla base di:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione 2021/914;
- eventuale adesione del fornitore al EU-US Data Privacy Framework (Decisione di adeguatezza UE 2023/1795);
- misure tecniche e organizzative supplementari (cifratura in transito e a riposo, controlli di accesso, pseudonimizzazione ove possibile).
È possibile richiedere copia delle garanzie applicate scrivendo a [email protected].
9. Periodo di conservazione
| Categoria di dati | Periodo |
|---|---|
| Dati di prenotazione e relativi documenti contabili | 10 anni (art. 2220 c.c.) |
| Account customer (numero verificato, anagrafica, metodi di pagamento salvati) | Fino a richiesta di cancellazione o 5 anni dall'ultima attività |
| JWT customer (autenticazione "remember-me") | 365 giorni dalla verifica OTP |
| OTP via SMS | Cancellati dopo 5 minuti dalla generazione |
| Log di accesso e di sicurezza | 12 mesi |
| Dati di tracciamento marketing (cookie di profilazione, identificativi pubblicitari) | 26 mesi (allineato a Google/Meta) |
| Preferenza di consenso ai cookie | 12 mesi |
| Dati necessari per la difesa in giudizio o per l'esercizio dei diritti | Fino al termine prescrizionale applicabile |
10. Diritti dell'Interessato
In ogni momento l'Interessato può esercitare i seguenti diritti previsti dagli artt. 15-22 del GDPR:
- Accesso (art. 15) — ottenere conferma del trattamento, copia dei dati e informazioni sulle modalità;
- Rettifica (art. 16) — correggere dati inesatti o integrarli;
- Cancellazione / oblio (art. 17) — entro i limiti di legge;
- Limitazione (art. 18) — sospendere temporaneamente il trattamento;
- Portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da un dispositivo automatico;
- Opposizione (art. 21) — al trattamento basato su legittimo interesse o per finalità di marketing diretto;
- Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
- Non essere sottoposti a decisioni automatizzate (art. 22) — vedi sezione 12.
Per esercitare questi diritti l'Interessato può scrivere a [email protected] indicando "Esercizio diritti privacy" nell'oggetto. Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 giorni in caso di richieste complesse.
11. Reclamo all'Autorità di controllo
Resta salvo il diritto dell'Interessato di proporre reclamo all'autorità di controllo competente, in Italia il Garante per la protezione dei dati personali:
- Piazza Venezia 11 — 00187 Roma
- Email: [email protected] · PEC: [email protected]
- Sito: www.garanteprivacy.it
12. Decisioni automatizzate e profilazione
Il Titolare non effettua decisioni esclusivamente automatizzateche producano effetti giuridici sul Cliente o che incidano significativamente sulla sua persona ai sensi dell'art. 22 GDPR. Tutti i processi di pagamento e conferma includono verifiche tecniche automatiche (es. rilevamento frodi di Stripe, verifica disponibilità postazioni) ma non profilano l'Utente per accettare o rifiutare le Prenotazioni.
Le attività di profilazione a fini pubblicitari, ove eseguite dai partner Meta e Google, avvengono esclusivamente con il consenso esplicitodell'Utente prestato tramite il banner cookie. Il consenso è sempre revocabile.
13. Cookie e tecnologie similari
La Piattaforma utilizza cookie tecnici e, previo consenso, cookie di profilazione e analytics. Per il dettaglio completo delle tipologie utilizzate, finalità, durata e istruzioni per la gestione del consenso si rimanda alla Cookie Policy, che costituisce parte integrante della presente informativa.
14. Modifiche all'informativa
La presente informativa potrà essere aggiornata in ragione di variazioni normative, di nuove funzionalità della Piattaforma o di modifiche organizzative del Titolare. La versione vigente è sempre disponibile a questo URL con l'indicazione della data di entrata in vigore. In caso di modifiche sostanziali ne sarà data evidenza all'Utente registrato anche tramite email.
Vedi anche: Termini e Condizioni · Cookie Policy
