La presente informativa illustra in modo chiaro e trasparente le modalità con cui trattiamo i dati personali degli ospiti e, più in generale, di tutti coloro che visitano o utilizzano i servizi offerti delle nostre strutture.
Questa informativa viene modificata, integrata o aggiornata periodicamente, anche in considerazione di eventuali modifiche della normativa applicabile o di provvedimenti del Garante per la protezione dei dati personali e/o dello European Data Protection Board. Si invitano, pertanto, gli interessati a consultare regolarmente la presente Informativa disponibile presso i nostri siti e/o le reception delle strutture per conoscerne l’ultima versione aggiornata, in modo da essere sempre informati circa le modalità di raccolta e trattamento dei loro dati personali.
I Titolari del Trattamento dei dati sono le seguenti Società (di seguito tutte definite unitariamente “Titolare” o “Palagina”):
Tiber S.r.l. con sede legale in Via Generale C. A. dalla Chiesa, 13 - 50136 – Firenze (FI), C.F. 01426880587 e P.I. 00995111002, contattabile all’indirizzo e-mail: [email protected]
Il Responsabile della Protezione dei Dati (DPO) è contattabile all’indirizzo e-mail: [email protected]
Società Agricola Le Driadi S.r.l. con sede legale in Via Di Norcenni 21 - 50063 - Figline e Incisa Valdarno (FI), C.F. 05627800484 e P.I. 05627800484, contattabile all’indirizzo e-mail: [email protected]
Il Responsabile della Protezione dei Dati (DPO) è contattabile all’indirizzo e-mail: [email protected]
Riportiamo di seguito le tipologie di dati personali oggetto di trattamento nei limiti delle finalità definite nella presente informativa:
Dati personali forniti dall’interessato
Nel corso del soggiorno/visita, l’interessato può fornire volontariamente i seguenti dati personali necessari per accedere ai servizi offerti presso le strutture:
Dati anagrafici e di contatto, o Dati anagrafici e di contatto, quali ad esempio nome, cognome, data di nascita, nazionalità, indirizzo, numeri di telefono, indirizzi e-mail e gli eventuali altri dati conferiti, ad esempio, per effettuare prenotazioni e/o il Check-In, per registrarsi al servizio Wi-Fi nonché per partecipare ad altre iniziative o eventi organizzati presso le strutture.
Si segnala inoltre che, nell’ambito della prenotazione e/o del Check-In, l’interessato può fornire dati personali relativi ad altre persone (ad esempio, compagni di viaggio, minori che viaggiano con lui nonché i dati di coloro che esercitano la responsabilità genitoriale su tali minori, dai quali l’interessato abbia ottenuto apposita delega scritta). In tali casi, è tenuto a informare le persone interessate circa il trattamento dei loro dati personali, incluse la tipologia di dati raccolti, le finalità e i tempi di conservazione, i soggetti che potranno accedervi, nonché le modalità di esercizio dei diritti previsti dal Regolamento, anche mediante condivisione della presente Informativa sulla privacy.
Dati relativi alle prenotazioni effettuate, ad esempio il numero di prenotazione, la struttura di riferimento, l’alloggio occupato, la data di arrivo e di partenza; nonché i dati relativi ai servizi/esperienze/attività richieste durante la permanenza presso le strutture.
Dati di acquisto, cioè le informazioni relative agli acquisti effettuati, quali ad esempio l'elenco delle prenotazioni effettuate, le date e gli importi di tali acquisti;
Dati di pagamento, quali il numero di carta di credito/debito e/o bancomat (limitatamente ai dati necessari per identificare/tracciare la transazione, mediante oscuramento di parte del numero stesso), compresi i dati relativi ai mezzi di pagamento (tipo di carta di credito) e ai relativi circuiti utilizzati;
Dati demografici, quali la composizione del nucleo familiare o del gruppo
Dati che Human Company riceve da altre fonti per svolgere i propri servizi, come ad esempio servizi di prenotazione
Numero del documento di identità e/o del passaporto.
Dati di fatturazione, come codice fiscale e partita IVA necessari all’emissione della fattura.
Immagine
Dati di navigazione
Nel caso in cui l’interessato usufruisca del servizio di accesso ad Internet via Wi-Fi disponibile presso le strutture, potrebbero essere raccolte automaticamente dai sistemi informatici che ne consentono il funzionamento alcune informazioni tecniche relative all'hardware e al software utilizzati dagli utenti. Si tratta di informazioni la cui trasmissione è implicita nei protocolli di comunicazione Internet e che possono includere, ad esempio, l’indirizzo IP, il nome a dominio del dispositivo utilizzato, l’identificativo delle risorse richieste (URI), il tipo e la versione del browser, la presenza di plug-in, l’identificativo del dispositivo mobile (come IDFA o Android-ID) e ulteriori parametri relativi al sistema operativo e all’ambiente informatico.
I dati personali dell’interessato sono trattati esclusivamente per le finalità descritte in questa sezione, nel rispetto delle basi giuridiche previste dal GDPR
Gestione della prenotazione e dei servizi ad essa connessi
I dati personali dell’interessato raccolti al momento della prenotazione saranno trattati per consentire al Titolare di gestire la prenotazione presso le strutture e dare seguito a tutte le richieste ad essa collegate, comprese quelle relative ai servizi accessori e complementari offerti durante il soggiorno. Tali dati sono, inoltre, utilizzati per inviare avvisi di servizio relativi alla prenotazione e, più in generale, per garantire all’ospite la piena fruizione dei servizi durante tutto il periodo di permanenza all’interno della nostra struttura.
Durante il soggiorno, l’interessato può indicare eventuali richieste specifiche legate ai servizi desiderati. Il Titolare invita l’interessato a non comunicare dati appartenenti a categorie particolari ai sensi dell’art. 9 GDPR (ad esempio: informazioni relative alla salute, come l’indicazione di patologie, allergie o intolleranze alimentari, richieste connesse a ridotta mobilità o disabilità, appartenenza a categorie protette, convinzioni religiose legate a preferenze alimentari o esigenze di servizio, dati idonei a rivelare l’origine razziale o etnica, ecc.); tuttavia, qualora decida di fornirli, tali dati saranno trattati esclusivamente per evadere la richiesta e solo se strettamente necessari alla gestione della prenotazione.
La base giuridica del trattamento è l’esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR) e per ciò che concerne le eventuali categorie particolari di dati di cui sopra, il consenso dell’interessato (art. 9, par. II, lett. a), GDPR). Il conferimento dei dati è obbligatorio, in quanto necessario per dare seguito alle richieste connesse alla prenotazione e il mancato conferimento degli stessi potrebbe rendere impossibile la completa gestione della stessa e dei servizi richiesti.
Servizio di check-in
I dati anagrafici, di contatto e di prenotazione, inclusi i dati contenuti nel passaporto o in altro documento di identità, saranno trattati dal Titolare per consentire all’interessato di effettuare il Check-In presso la struttura. Tali dati saranno, inoltre, trattati per verificare l’identità della persona che soggiornerà e per svolgere tutte le attività necessarie all’erogazione del servizio richiesto.
In particolare, i dati personali contenuti nel passaporto o in altri documenti identificativi saranno condivisi con le competenti autorità di pubblica sicurezza, limitatamente alle informazioni necessarie affinché il Titolare possa adempiere agli obblighi di cui all’articolo 109 del R.D. 18 giugno 1931, n. 773 (Testo unico delle leggi di pubblica sicurezza, TULPS) secondo le modalità stabilite con i relativi Decreti.
Si segnala che, nel caso di minori accompagnati da soggetti diversi dagli esercenti la responsabilità genitoriale, Palagina potrà richiedere l’esibizione di una delega scritta e della copia del documento d’identità del delegante. Tale copia sarà unicamente visionata al fine di verificare la veridicità della delega e non sarà acquisita né conservata dalle strutture.
La base giuridica del trattamento è l’esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR) e l’assolvimento di obblighi di legge (art. 6, par. 1, lett. c), GDPR).
Il conferimento dei dati è obbligatorio, in quanto necessario per dare seguito alle attività connesse al servizio di Check-In e il mancato conferimento degli stessi potrà comportare l’impossibilità di soddisfare la richiesta di prenotazione presso le nostre strutture.
Acquisto di prodotti o servizi all’interno delle strutture
I dati di contatto, i dati di pagamento e, eventualmente, i dati di fatturazione dell’interessato saranno trattati dal Titolare per tutte le finalità connesse all’evasione dei suoi acquisti effettuati presso le strutture e per la gestione dei relativi ordini, quali, ad esempio, la ricezione di eventuali richieste di informazioni relativamente ai prodotti e servizi acquistati e/o segnalazioni, la gestione dei pagamenti, oltre che per fornire assistenza al consumatore.
La base giuridica del trattamento è l’ esecuzione di misure precontrattuali/contrattuali ai sensi dell’art. 6, par. I, lett. b), GDPR . Il conferimento dei dati dell’interessato è obbligatorio, in quanto necessario per l’evasione e la gestione degli ordini, e il mancato conferimento degli stessi potrà comportare l’impossibilità di dare corso all’ordine di acquisto.
Iscrizione, prenotazione e partecipazione ad esperienze ed eventi
I dati di contatto, e, ove sia richiesto, i dati di pagamento dell’interessato potranno essere utilizzati per consentirgli di iscriversi e/o prenotarsi e partecipare alle esperienze presso le strutture e altri eventi organizzati da Palagina.
La base giuridica è l’esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei dati è obbligatorio, in quanto necessario per l’iscrizione e la partecipazione alle esperienze e/o agli eventi e il mancato conferimento degli stessi potrà comportare l’impossibilità di partecipare a tali iniziative.
Si informano, inoltre, gli interessati che durante gli eventi organizzati presso le strutture, potranno essere effettuate foto o registrazioni video a scopi promozionali, di comunicazione istituzionale o di documentazione delle attività svolte nonché per la valorizzazione dell’immagine delle strutture e dei servizi offerti, mediante la pubblicazione sul sito web e sui canali social ufficiali.
Le immagini e videoregistrazioni saranno realizzate avendo cura di non riprendere direttamente gli interessati e di evitare, per quanto possibile, la registrazione di soggetti identificati o identificabili. Le foto e i video saranno, pertanto, focalizzate su ambienti, contesti generali o dettagli che non consentano l’identificazione delle persone presenti.
Qualora, per la natura dell’evento o dell’attività proposta, si rendesse necessario riprendere o fotografare partecipanti in modo riconoscibile, il Titolare provvederà a richiedere preventivamente agli interessati la sottoscrizione di una specifica liberatoria, mediante la quale viene prestato il consenso al trattamento della propria immagine, nel rispetto del Regolamento e della normativa applicabile in materia di diritto all’immagine. In assenza del consenso, l’interessato non potrà essere ripreso o, se ciò non fosse tecnicamente possibile, le immagini saranno oscurate o rese non identificabili. In ogni caso, l’interessato potrà revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Utilizzo del Wi-Fi
I dati di contatto dell’interessato, insieme ai dati di navigazione, saranno trattati dal Titolare per tutte le finalità necessarie alla registrazione, all’accesso e all’utilizzo del servizio Wi-Fi disponibile presso le strutture; nonché per garantire la sicurezza della rete ossia in caso di necessità, per attività di controllo e manutenzione.
La base giuridica del trattamento è l’esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR) nonché il legittimo interesse del titolare del trattamento a garantire il corretto funzionamento e la sicurezza della rete Wi-Fi anche in ottica di miglioramento del servizio (art. 6 par. 1, lett. f GDPR).
Videosorveglianza
I dati personali dell’interessato saranno trattati mediante il sistema di videosorveglianza installato presso le strutture esclusivamente per le seguenti finalità: tutelare la sicurezza del personale, dei beni, del patrimonio e delle persone all’interno delle strutture, prevenire atti illeciti di qualsivoglia natura e agevolare il diritto di difesa del Titolare in caso di eventuali fatti illeciti. Le videoregistrazioni prodotte dal sistema potranno, inoltre, essere utilizzate per adempiere a disposizioni impartite dall’Autorità Giudiziaria e/o della Polizia Giudiziaria; per far valere o difendere un diritto anche da parte di un terzo; eventualmente, per completare la documentazione a corredo delle denunce di sinistro inoltrate a Compagnie di assicurazione.
Le immagini vengono rilevate automaticamente quando si transita o si accede presso i locali sottoposti alla videosorveglianza e la sua presenza è segnalata all’interno della struttura da appositi cartelli collocati in prossimità delle telecamere.
L’impianto di videosorveglianza è stato installato nel rispetto delle normative vigenti (tra cui art. 4 della Legge n. 300/1970) e delle indicazioni fornite dall’Autorità Garante per la protezione dei dati personali (Provvedimento generale in materia di videosorveglianza del 8 aprile 2010).
La base giuridica del trattamento è il legittimo interesse del titolare del trattamento a garantire la sicurezza all’interno delle strutture e prevenire atti illeciti di qualsivoglia natura; nonché per accertare, difendere ed esercitare i diritti del Titolare o di terzi. (art. 6 par. 1, lett. f GDPR).
Finalità connesse ad esigenze di tutela dei diritti, anche dell'interessato
I dati personali saranno trattati dal Titolare per tutelare i propri diritti, anche rispetto a eventuali richieste, o per agire in giudizio, anche avanzando pretese nei confronti suoi o di terze parti, nonché per poter provare di aver fornito riscontro alle eventuali richieste di esercizio di uno o più diritti dell'interessato.
La base giuridica del trattamento è il legittimo interesse del Titolare alla tutela dei propri diritti (art. 6, par. I, lett. f), GDPR).
Assolvimento di richieste giuridicamente vincolanti per adempiere a obblighi legali, regolamenti o provvedimenti / richieste delle autorità competenti, anche di vigilanza.
I dati personali dell’interessato potrebbero essere trattati per adempiere a un obbligo legale e/o a provvedimenti / richieste delle autorità competenti, anche di vigilanza.
In questo caso la base giuridica è l’assolvimento di obblighi di legge, ai quali il Titolare è soggetta (art. 6, par. I, lett. c, GDPR).
I dati personali sono conservati per periodi di tempo differenti in funzione della specifica finalità per cui sono stati raccolti. La durata della conservazione è stabilita nel rispetto dei principi di limitazione e minimizzazione previsti dal GDPR, e i dati vengono cancellati o anonimizzati una volta esaurite le finalità per cui sono stati trattati.
Qui di seguito riportiamo i tempi di conservazione in relazione alle differenti finalità sopra elencate:
Gestione della prenotazione e del servizio di Check-in: I dati trattati per il perseguimento delle presenti finalità saranno conservati per un periodo di tempo non superiore a 10 anni dalla data della prenotazione o di effettuazione del Check-In. In particolare, i dati relativi al passaporto o ad altro documento di identità e le informazioni in essi contenute e raccolte al fine di consentire al Titolare l’espletamento dei propri obblighi di legge, saranno conservati esclusivamente per il tempo strettamente necessario all’espletamento dell’obbligo relativo alla comunicazione degli alloggiati alle Autorità di Pubblica Sicurezza previsto dal dall’art. 109 del Regio Decreto n. 773 del 18 giugno 1931 e successive modifiche.
Acquisto di prodotti o servizi all’interno delle strutture: I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a 10 anni dalla data dell'acquisto.
Iscrizione, prenotazione e partecipazione ad esperienze ed eventi: I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a 10 anni dalla data di svolgimento dell’esperienza e/o evento, o comunque, della fruizione del servizio.
Utilizzo del servizio Wi-Fi: I dati di navigazione sono conservati per un massimo di 6 mesi dall’ultimo utilizzo.
Videosorveglianza: Le immagini del sistema di videosorveglianza sono conservate dal Titolare per un periodo massimo di 48 ore, decorso il quale le immagini saranno automaticamente cancellate.
Finalità connesse ad esigenze di tutela dei diritti, anche dell'interessato: I dati trattati per il perseguimento della presente finalità saranno conservati per tutta la durata dei relativi procedimenti, e comunque per il tempo ritenuto ragionevolmente necessario dal Titolare per la tutela dei propri diritti, anche in relazione ai relativi termini prescrizionali.
Adempimento di richieste giuridicamente vincolanti per adempiere a obblighi legali, regolamenti o provvedimenti / richieste delle autorità competenti, anche di vigilanza: I dati trattati per il perseguimento della presente finalità saranno conservati per tutta la durata dei procedimenti presso le pertinenti autorità competenti, oltre ai relativi tempi di prescrizione.
Il trattamento viene effettuato mediante strumenti cartacei, informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate, sempre nel pieno rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, integrità, riservatezza e sicurezza previsti dal GDPR.
I trattamenti vengono effettuati con modalità idonee a garantire la protezione dei dati in ogni fase, dalla raccolta alla conservazione, fino all’eventuale cancellazione. Il Titolare adotta le opportune misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati personali.
Possono avere accesso ai dati solo soggetti debitamente autorizzati e istruiti dal Titolare. In particolare, per lo svolgimento di talune attività di trattamento, Palagina potrà comunicare i dati alle seguenti categorie di soggetti esterni, i quali tratteranno tali dati, a seconda del ruolo che svolgono in relazione al trattamento, in qualità di titolari autonomi del trattamento oppure in qualità di responsabili del trattamento ai sensi dell’articolo 28 GDPR, se e nei limiti di quanto strettamente necessario per il perseguimento delle finalità descritte dalla presente informativa:
- altre società del Gruppo Human Company;
- altri soggetti consulenti e fornitori esterni che svolgono attività ausiliarie alle finalità sopra dichiarate, quali ad esempio cloud service provider, IT provider o hosting provider, corrieri postali, agenzie di comunicazione che forniscono supporto nell’ambito della organizzazione di eventi e/ esperienze, agenzie di viaggio o tour operator, società che gestiscono alcuni servizi interni della struttura presso cui alloggia l’ospite (quali ad esempio, i servizi di ristorazione, noleggio mezzi, servizi di escursioni o gite etc.);
- studi professionali, specialmente ove necessario per la tutela dei diritti del Titolare;
- banche e istituti di credito, imprese di assicurazione
- società terze anche operanti per la promozione di prodotti e/o l’offerta di servizi. In particolare, per l’erogazione del servizio Wi-Fi Palagina si affida alla società AMG Srl (Corso Giacomo Matteotti, 42 – 10121, Torino (TO) – P.Iva: IT12066830014); mentre per il servizio di Check-in si affida alla società GlobeID Limited (The Black Church, St. Mary’s Place, Dublin 7 – Ireland) tramite l’applicazione PassportScan.
- soggetti che possono accedere ai dati in forza di disposizione di legge, di regolamento o di normativa comunitaria, nei limiti previsti da tali norme.
L'elenco aggiornato dei soggetti destinatari dei dati è disponibile richiedendolo all’indirizzo mail del Titolare.
Il Titolare non trasferisce dati personali in Paesi al di fuori dello Spazio Economico Europeo (SEE). Qualora ve ne sia la necessità, saranno previamente informati gli interessati, e verranno adottate misure di garanzia per il trasferimento nei confronti dei destinatari, che a seconda delle casistiche potranno essere: verifica dell’esistenza di decisioni di adeguatezza per il Paese destinatario da parte della Commissione, sottoscrizione di clausole contrattuali standard, verifica dell’adozione di eventuali misure supplementari in recepimento della raccomandazione 01/2020 EDPB.
I dati personali dell’interessato non vengono diffusi pubblicamente.
Il Regolamento (UE) 2016/679 (GDPR) conferisce agli interessati l’esercizio di specifici diritti. In particolare, in relazione al trattamento dei propri dati personali oggetto della presente informativa, l’interessato ha diritto di chiedere al Titolare del Trattamento di:
- l’accesso: l’interessato può chiedere conferma che sia o meno in essere un trattamento di dati che lo riguardi, oltre a maggiori chiarimenti circa le informazioni di cui alla presente informativa (art. 15 GDPR);
- la rettifica: l’interessato può chiedere di rettificare o integrare i dati che ha fornito, qualora inesatti o incompleti (art. 16 GDPR);
- la cancellazione: l’interessato può chiedere che i suoi dati vengano cancellati, qualora non siano più necessari alle suddette finalità, in caso di revoca del consenso o sua opposizione al trattamento, in caso di trattamento illecito, ovvero sussista un obbligo legale di cancellazione (art. 17 GDPR);
- la limitazione: l’interessato può chiedere che il trattamento dei suoi dati personali sia limitato, nel caso in cui ne contesti l’esattezza per il tempo necessario a verificarla, nel caso di trattamento illecito per il quale si oppone alla cancellazione dei suoi dati personali, nel caso in cui i suoi dati personali siano necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, ed infine nel caso di opposizione al trattamento in attesa della verifica in merito alla eventuale prevalenza dei motivi legittimi della Società Titolare rispetto ai suoi (art. 18 GDPR);
- la portabilità: l’interessato può chiedere di ricevere i suoi dati, o di farli trasmettere ad altro Titolare dallo stesso indicato, in un formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20 GDPR);
- l’opposizione: l’interessato può opporsi in qualunque momento al trattamento dei suoi dati, salvo che vi siano motivi legittimi per procedere al trattamento che prevalgano sui suoi, per esempio per l’esercizio o la difesa in sede giudiziaria della Società Titolare (art. 21 GDPR).
Per esercitare questi diritti, gli interessati possono rivolgersi in qualsiasi momento alla Società Titolare del trattamento, inviando una richiesta all’indirizzo e-mail riportato in tabella
Società | |
|---|---|
Tiber S.r.l. | |
Società Agricola Le Driadi S.r.l. |
Per garantire la corretta gestione della richiesta e la tutela dei dati, la Società verificherà l’identità del richiedente prima di procedere. Una volta verificata l’identità, il Titolare del trattamento provvederà a rispondere entro 30 giorni dal ricevimento della richiesta, salvo casi complessi che richiedano una proroga, nei termini previsti dalla normativa.
Gli utenti hanno inoltre il diritto di proporre un reclamo al Garante per la protezione dei dati personali, qualora ritengano che il trattamento dei loro dati violi la normativa vigente. Il Garante è contattabile tramite il centralino telefonico 06.696771, via e-mail [email protected] o tramite posta certificata [email protected].
Data di ultimo aggiornamento: 18/03/2026