Legale
Privacy Policy
Ultimo aggiornamento: 28 aprile 2026 · Versione 1.0
1. Titolare del trattamento
Il Titolare del trattamento dei dati è Kubeitalia S.r.l.s., con sede legale in Italia, P.IVA in fase di registrazione (DPO: privacy@sicilyexperience.it).
Sicily Experience è un servizio SaaS per la gestione delle strutture ricettive italiane, con funzionalità di check-in compliance, calcolo tassa di soggiorno, sincronizzazione iCal con OTA (Booking.com, Airbnb, Vrbo, channel manager) e generazione documenti F24.
2. Categorie di dati trattati
2.1 Dati Host (titolare struttura ricettiva)
- Dati identificativi: nome, cognome, ragione sociale, P.IVA, codice fiscale
- Dati di contatto: email, telefono, indirizzo struttura
- Credenziali di accesso (password Argon2id hashed, token Alloggiati Web cifrati AES-256-GCM)
- Dati di pagamento (gestiti da Stripe; non memorizziamo PAN o CVV)
- CIN/CIR struttura (obbligo D.L. 145/2023)
2.2 Dati Ospiti (guest del check-in)
Trattati per finalità di adempimento obbligo TULPS art. 109 (comunicazione Polizia di Stato — Alloggiati Web) e adempimento imposta di soggiorno comunale:
- Nome, cognome, sesso, data e luogo di nascita, cittadinanza
- Documento d'identità: tipo, numero, luogo di rilascio (numero cifrato at-rest)
- Indirizzo email/telefono (solo se forniti volontariamente per ricevere link check-in)
- Foto del documento (OCR temporaneo, eliminata entro 30 giorni — Tier B retention)
- Selfie raccolto (opzionale; eliminato entro 30 giorni se non utilizzato per De Visu)
- Dati esenzione tassa: presenza di disabilità (auto-dichiarata, non documento medico), residenza, qualifica accompagnatore turistico
2.3 Dati di navigazione
- IP hashato (SHA-256 + salt) per audit anti-frode
- User-Agent troncato (max 200 caratteri)
- Log applicativi (nessun dato personale completo, solo identificatori interni e hash)
3. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica | Retention |
|---|---|---|
| Erogazione servizio (account host) | Art. 6.1.b GDPR — esecuzione contratto | Durata contratto + 10 anni (norma fiscale) |
| Compliance Polizia (Alloggiati Web) | Art. 6.1.c GDPR — obbligo legale (TULPS art. 109, D.M. 7/1/2013) | 5 anni (Tier A — schedine TULPS) |
| Imposta di soggiorno comunale | Art. 6.1.c GDPR — obbligo legale | 5 anni (delibere comunali) |
| OCR documenti | Art. 6.1.b GDPR — esecuzione check-in | 30 giorni (Tier B) |
| ISTAT statistiche turistiche | Art. 6.1.c GDPR — obbligo legale (L. 322/89) | Aggregati anonimi (Tier C) |
| Marketing diretto | Art. 6.1.a GDPR — consenso esplicito (revocabile) | Fino a revoca o 24 mesi inattività |
4. Trasferimento dati a terze parti
I dati sono comunicati esclusivamente a:
- Polizia di Stato (Alloggiati Web) — schedine TULPS
- PayTourist S.p.A. (Software_ID 59) — per i 4 comuni siciliani convenzionati (Catania, Palermo, Siracusa, Cefalù): gestisce ISTAT + tassa + Polizia in un'unica chiamata
- Comune di residenza struttura — ISTAT mensile + F24 imposta di soggiorno (per gli altri 27 comuni siciliani in modalità manuale)
- Stripe (Stripe Payments Europe Ltd, Irlanda) — pagamenti abbonamento
- Resend (Resend Inc., USA — adeguatezza GDPR via SCC) — email transazionali
- Backblaze B2 (USA — adeguatezza via SCC) — backup cifrato
Per i trasferimenti extra-UE applichiamo Standard Contractual Clauses (SCC) approvate dalla Commissione Europea. I documenti d'identità sono cifrati at-rest con AES-256-GCM e mai trasmessi a soggetti diversi da Polizia/PayTourist.
5. Diritti dell'interessato (artt. 15-22 GDPR)
- Accesso ai dati personali
- Rettifica di dati inesatti
- Cancellazione ("diritto all'oblio") — fatti salvi gli obblighi di legge (Tier A 5 anni)
- Limitazione del trattamento
- Portabilità — esportazione dei tuoi dati in formato JSON
- Opposizione al trattamento per finalità di marketing
- Reclamo al Garante Privacy: garanteprivacy.it
Per esercitare i tuoi diritti scrivi a privacy@sicilyexperience.it
o usa la funzione Cancella account direttamente dalla dashboard host
(DELETE /auth/me).
6. Misure di sicurezza
- Cifratura at-rest dei dati sensibili (AES-256-GCM, chiave versionata)
- Cifratura in transito TLS 1.3
- Password hashing Argon2id (64MB memory, 3 iterations, 4 parallelism)
- Token magic-link memorizzati come SHA-256 hash (mai in chiaro in DB)
- Postgres Row-Level Security (RLS) + tenant scope via
host_id - Audit log completo su tutte le chiamate compliance (PayTourist, Alloggiati)
- Backup cifrato giornaliero off-site (Backblaze B2)
- Accessi amministrativi MFA-enforced (TOTP)
7. Cookie e tecnologie simili
Sicily Experience usa solo cookie tecnici essenziali (sessione, CSRF, language). Per analisi utilizziamo Cloudflare Web Analytics (privacy-first, no cookie, GDPR-compliant by design). Vedi Cookie Policy per dettagli.
8. Modifiche
Eventuali modifiche saranno comunicate tramite email all'host registrato e pubblicate su questa pagina con la data dell'ultima modifica.
Per domande contatta privacy@sicilyexperience.it.