Privacy e Cookie Policy

Art. 1 — Titolare del Trattamento

Il Titolare del Trattamento dei dati personali raccolti tramite la piattaforma booking.games è:

• Nome: Booking.games di Stefano Boccabella
• Sede: Civezzano (TN) 38045, Italy (IT)
• P.IVA 02797210222
• Email: info@booking.games
• Sito web: https://booking.games

Per esercitare i propri diritti o per qualsiasi richiesta relativa al trattamento dei dati personali, è possibile contattare il Titolare ai recapiti sopra indicati.

Art. 2 — Ambito di Applicazione

La presente Policy si applica al trattamento dei dati personali effettuato nell'ambito del servizio SaaS booking.games e riguarda le seguenti categorie di interessati:

• Clienti B2B (Licenziatari): persone fisiche o giuridiche che sottoscrivono un piano di licenza per utilizzare la piattaforma nella gestione della propria attività.
• Rappresentanti e referenti aziendali: persone fisiche che agiscono in nome e per conto del Cliente B2B (titolari, amministratori, referenti commerciali).
• Visitatori del sito web booking.games.

I dati degli utenti finali del Cliente (es. i clienti della struttura del Licenziatario che effettuano prenotazioni tramite la piattaforma) sono trattati dal Fornitore in qualità di Responsabile del Trattamento ai sensi dell'art. 28 GDPR, per conto del Cliente che rimane l'unico Titolare del Trattamento autonomo nei confronti dei propri utenti finali. Per tale rapporto è previsto un apposito Accordo sul Trattamento dei Dati (DPA — Data Processing Agreement), disponibile su richiesta all'indirizzo info@booking.games.

Art. 2-bis — Ruoli GDPR: Titolare e Responsabile del Trattamento

Il GDPR (Regolamento UE 2016/679) distingue chiaramente tra il Titolare del Trattamento (colui che determina le finalità e i mezzi del trattamento dei dati) e il Responsabile del Trattamento (colui che tratta dati personali per conto del Titolare, su sua istruzione). Nel contesto della Piattaforma booking.games operano due distinti livelli di trattamento:

2-bis.1 — Il Cliente come Titolare del Trattamento

Il Cliente (Licenziatario) è il Titolare del Trattamento dei dati personali dei propri utenti finali (es. i clienti che effettuano prenotazioni tramite la piattaforma). Ciò significa che il Cliente:

• Determina autonomamente le finalità e le modalità del trattamento dei dati dei propri utenti finali.
• È responsabile dell'adempimento di tutti gli obblighi previsti dal GDPR nei confronti dei propri utenti finali, inclusi: la predisposizione dell'informativa privacy, la raccolta dei consensi ove necessari, la gestione delle richieste di esercizio dei diritti degli interessati, e la notifica degli eventuali data breach al Garante e agli interessati.
• Deve garantire una base giuridica idonea (art. 6 GDPR) per ogni trattamento dei dati dei propri utenti finali effettuato tramite la Piattaforma.
• È responsabile dell'utilizzo lecito della Piattaforma in conformità alla normativa applicabile in materia di protezione dei dati personali.

2-bis.2 — Il Fornitore come Responsabile del Trattamento

Il Fornitore (Booking.games di Stefano Boccabella) agisce in qualità di Responsabile del Trattamento ai sensi dell'art. 28 GDPR per i dati personali degli utenti finali del Cliente inseriti o generati all'interno della Piattaforma. In tale veste, il Fornitore:

• Tratta i dati degli utenti finali esclusivamente su documentata istruzione del Cliente e per le finalità strettamente necessarie all'erogazione del servizio SaaS.
• Non utilizza tali dati per finalità proprie, né li comunica a terzi al di fuori di quanto necessario per l'erogazione del servizio.
• Garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
• Adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (v. art. 9 della presente Policy).
• Assiste il Cliente nell'adempimento degli obblighi GDPR nei limiti delle proprie competenze tecniche.
• Cancella o restituisce i dati degli utenti finali alla cessazione del contratto, come previsto nel DPA e all'art. 7 della presente Policy.

2-bis.3 — Accordo sul Trattamento dei Dati (DPA)

Il rapporto tra Cliente (Titolare) e Fornitore (Responsabile) per il trattamento dei dati degli utenti finali è disciplinato da un apposito Accordo sul Trattamento dei Dati (DPA — Data Processing Agreement) ai sensi dell'art. 28 GDPR. Il DPA è parte integrante del Contratto di Licenza e viene stipulato contestualmente all'attivazione del Piano. Il documento è disponibile su richiesta scritta all'indirizzo info@booking.games.

Il Fornitore tratta i dati del Cliente (persona di contatto, dati fiscali e contrattuali) in qualità di Titolare autonomo del trattamento, ai fini dell'esecuzione del Contratto di Licenza. Per tale trattamento si applicano le disposizioni della presente Policy (artt. 3, 4 e seguenti).

Art. 3 — Dati Personali Raccolti

3.1 Dati forniti direttamente (Clienti B2B e Referenti)

• Nome e cognome del referente o titolare.
• Denominazione sociale o ragione sociale (se applicabile).
• Indirizzo email di contatto e fatturazione.
• Numero di telefono o WhatsApp.
• Indirizzo della sede legale/operativa.
• Partita IVA o codice fiscale.
• Dati di pagamento (gestiti tramite provider terzi come Stripe; il Titolare non memorizza i dati della carta di credito).
• Prova dell'accettazione dei documenti legali: data e ora di accettazione dei Termini & Condizioni e della Privacy Policy, versioni dei documenti in vigore al momento dell'accettazione e indirizzo IP utilizzato per la registrazione.
• Consenso alle comunicazioni commerciali (facoltativo): stato del consenso (concesso/revocato), data e ora dell'ultimo aggiornamento, indirizzo IP da cui è stata effettuata la scelta.

3.2 Dati raccolti automaticamente (Visitatori del sito)

• Indirizzo IP e dati di navigazione (pagine visitate, durata della visita, browser e dispositivo utilizzato).
• Dati tecnici del dispositivo (sistema operativo, risoluzione schermo, lingua).
• Cookie tecnici e, previo consenso, cookie analitici e di profilazione (dettaglio nella Sezione Cookie).
• Log di accesso ai server per fini di sicurezza e monitoraggio.

3.3 Dati degli Utenti Finali (trattati come Responsabile)

• Dati di registrazione (nome, cognome, email, telefono).
• Storico prenotazioni e sessioni.
• Dati relativi a coupon, gift card e programmi fedeltà.
• Preferenze e feedback raccolti tramite la piattaforma.

Il trattamento di tali dati avviene esclusivamente su istruzione del Cliente (Titolare autonomo) e in conformità al DPA stipulato.

Art. 4 — Finalità e Basi Giuridiche del Trattamento

Art. 4-bis — Comunicazioni Commerciali (Newsletter B2B)

Qualora il Cliente o il suo referente abbia prestato, in fase di registrazione o successivamente dall'area profilo, il consenso espresso all'invio di comunicazioni commerciali, il Titolare potrà inviare via email:

• Newsletter periodiche con aggiornamenti di prodotto, novità funzionali e guide all'utilizzo.
• Comunicazioni promozionali (offerte, sconti, eventi).
• Contenuti editoriali rilevanti per il settore di riferimento.

4-bis.1 Base giuridica. Il trattamento per finalità di marketing diretto è fondato sul consenso esplicito e informato dell'interessato (art. 6(1)(a) GDPR) e, per le comunicazioni email, sull'art. 130 del D.Lgs. 196/2003 (Codice Privacy).

4-bis.2 Facoltatività e disgiunzione. Il consenso è facoltativo e distinto rispetto ai consensi necessari per l'esecuzione del contratto. Il rifiuto, la mancata concessione o la successiva revoca non incidono in alcun modo sulla fornitura del servizio SaaS né sulla validità del contratto di licenza.

4-bis.3 Modalità di revoca. L'interessato può revocare il consenso in qualsiasi momento, senza oneri e senza formalità, tramite:

• L'apposito toggle presente nella pagina /profile dell'area riservata.
• Il link di disiscrizione (unsubscribe) presente in ogni comunicazione email.
• Una richiesta scritta all'indirizzo info@booking.games.

La revoca è efficace immediatamente: a partire dalla data di revoca non saranno più inviate ulteriori comunicazioni commerciali, fermo restando che resta legittimo il trattamento già effettuato fino a tale data.

4-bis.4 Prova del consenso. Il Titolare conserva — a fini difensivi e di conformità — la data e l'ora di ogni variazione del consenso (concessione o revoca) e l'indirizzo IP utilizzato dall'interessato. Tali informazioni sono conservate per il periodo indicato all'art. 7.

4-bis.5 Tracciamento delle comunicazioni. Ai soli fini statistici interni e di miglioramento del servizio, le email commerciali possono contenere pixel di tracciamento per la rilevazione delle aperture e meccanismi di riscrittura dei link per la rilevazione dei click. I dati così raccolti sono conservati in forma aggregata e utilizzati esclusivamente per valutare l'efficacia delle campagne. L'interessato può opporsi a tale tracciamento disattivando il caricamento delle immagini nel proprio client di posta o revocando il consenso alle comunicazioni commerciali.

4-bis.6 Nessun profiling automatizzato. Il Titolare non effettua processi decisionali automatizzati (art. 22 GDPR) né profilazione individuale sulla base dei dati di apertura/click, se non per segmentazioni aggregate non produttive di effetti giuridici per l'interessato.

Art. 5 — Comunicazione e Condivisione dei Dati

I dati personali non sono venduti, ceduti a terzi per finalità proprie o diffusi in forma non aggregata, salvo nei casi di seguito indicati:

• Fornitori di servizi tecnici e infrastrutturali (es. provider hosting, servizi cloud, gateway di pagamento Stripe): accesso limitato ai dati necessari all'erogazione del servizio, vincolati da adeguate garanzie contrattuali.
• Servizi di invio email transazionali (es. SMTP provider): necessari per l'invio di notifiche, conferme e comunicazioni di servizio.
• Autorità competenti: in presenza di obblighi di legge, ordini giudiziari o richieste delle autorità di pubblica sicurezza.
• Consulenti professionali (commercialisti, avvocati): nei limiti strettamente necessari per l'adempimento di obblighi legali e contabili, vincolati da obblighi di riservatezza.

I soggetti terzi che trattano dati per conto del Titolare sono nominati Responsabili del Trattamento ai sensi dell'art. 28 GDPR.

Art. 6 — Trasferimento dei Dati Extra-UE

I dati personali sono trattati prevalentemente all'interno dell'Unione Europea. Qualora alcuni fornitori di servizi tecnici operino al di fuori dello Spazio Economico Europeo (SEE), il Titolare garantisce che il trasferimento avviene nel rispetto di adeguate garanzie, tra cui:

• Decisioni di adeguatezza della Commissione Europea.
• Clausole contrattuali standard approvate dalla Commissione Europea (Standard Contractual Clauses — SCC).
• Altre garanzie riconosciute dall'art. 46 GDPR.

Art. 7 — Conservazione dei Dati

Al termine dei periodi indicati, i dati vengono eliminati o resi anonimi in modo irreversibile.

Art. 8 — Diritti degli Interessati

In qualità di interessato, il Cliente (o il suo referente) ha il diritto di:

• Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati personali trattati.
• Rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
• Cancellazione («diritto all'oblio») (art. 17 GDPR): richiedere l'eliminazione dei dati personali, ove non sussistano obblighi legali di conservazione.
• Limitazione del trattamento (art. 18 GDPR): richiedere la restrizione del trattamento in determinati casi.
• Portabilità dei dati (art. 20 GDPR): ricevere i dati in formato strutturato e leggibile da macchina, o richiederne il trasferimento a un altro titolare.
• Opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse o a finalità di marketing diretto. L'opposizione al marketing diretto è sempre ammessa, senza necessità di motivazione.
• Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente alla revoca. In particolare, il consenso alle comunicazioni commerciali può essere revocato in autonomia dall'area riservata alla pagina /profile, oppure tramite il link di disiscrizione presente in ogni email commerciale.
• Reclamo: proporre reclamo all'autorità di controllo competente. In Italia: Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare i propri diritti, è sufficiente inviare una richiesta scritta all'indirizzo info@booking.games. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta.

Art. 9 — Misure di Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, tra cui:

• Cifratura dei dati in transito tramite protocollo HTTPS/TLS.
• Hashing delle password con algoritmi moderni (Argon2).
• Backup automatici con frequenza configurabile e archiviazione sicura.
• Accesso ai dati limitato al personale autorizzato e necessario.
• Monitoraggio continuo dell'infrastruttura per rilevamento anomalie.
• Aggiornamenti di sicurezza periodici del software e delle dipendenze.
• Autenticazione tramite sessioni firmate crittograficamente.

In caso di violazione dei dati personali (data breach) che presenti un rischio per i diritti e le libertà degli interessati, il Titolare notifica l'accaduto all'Autorità Garante entro 72 ore dalla scoperta e, ove necessario, informa gli interessati direttamente coinvolti.

Art. 10 — Cookie Policy

Il sito booking.games utilizza cookie e tecnologie similari. I cookie sono piccoli file di testo memorizzati sul dispositivo dell'utente alla visita del sito.

10.1 Cookie Tecnici (Necessari)

Questi cookie sono indispensabili per il funzionamento del sito e non possono essere disabilitati senza compromettere le funzionalità di base. Non richiedono consenso.

10.2 Cookie Analitici (Previo Consenso)

Utilizzati per raccogliere informazioni aggregate sulle modalità di utilizzo del sito, al fine di migliorare il servizio. Vengono attivati solo previo consenso esplicito dell'utente.

10.3 Gestione dei Cookie

L'utente può gestire le preferenze cookie in qualsiasi momento tramite:

• Il banner cookie presente alla prima visita del sito.
• Le impostazioni del proprio browser (guida per i principali browser disponibile su www.aboutcookies.org).

La disabilitazione dei cookie tecnici può compromettere il corretto funzionamento di alcune funzionalità del sito e del sistema di autenticazione.

Art. 11 — Dati Personali dei Minori

Il servizio booking.games è destinato esclusivamente a operatori professionali (persone fisiche adulte o soggetti giuridici). Il Titolare non raccoglie consapevolmente dati personali di soggetti minori di 18 anni nel contesto del rapporto contrattuale B2B.

Qualora il Cliente utilizzi la piattaforma per raccogliere dati di utenti finali minorenni (es. prenotazioni per bambini), è responsabilità esclusiva del Cliente ottenere il consenso dei genitori o tutori e adottare le misure previste dalla normativa applicabile.

Art. 12 — Aggiornamenti alla Privacy Policy

Il Titolare si riserva il diritto di aggiornare la presente Policy per adeguarla a modifiche normative, tecnologiche o operative. In caso di modifiche sostanziali, il Titolare ne darà comunicazione ai Clienti B2B tramite email con almeno 30 giorni di preavviso. La versione aggiornata è sempre disponibile alla pagina /privacy della Piattaforma.

L'utilizzo continuato della Piattaforma dopo la data di entrata in vigore delle modifiche equivale all'accettazione della Policy aggiornata.

Art. 13 — Legge Applicabile e Autorità di Controllo

La presente Policy è disciplinata dal diritto italiano e dalla normativa europea in materia di protezione dei dati personali (GDPR — Regolamento UE 2016/679).

L'Autorità di controllo competente in Italia è:

• Garante per la Protezione dei Dati Personali
• Piazza Venezia 11 — 00187 Roma
• Sito web: www.garanteprivacy.it
• Email: garante@gpdp.it