Privacy policy

La presente informativa descrive le modalita' con cui Go Easy [da definire] (di seguito, "Fornitore" o "Titolare"), con sede legale in [da definire], P.IVA [da definire], tratta i dati personali raccolti attraverso il software gestionale Go Easy e il relativo sito https://goeasy.boats, ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 30 giugno 2003, n. 196 come modificato.

Per qualsiasi richiesta relativa al trattamento dei dati personali e' possibile scrivere a privacy@goeasy.boats.

Go Easy e' un software multi-ruolo ai sensi del GDPR:

• Per i dati dell'operatore (nostro Cliente) — anagrafica aziendale, dati di contatto, dati di fatturazione, log di accesso — il Fornitore agisce come Titolare del trattamento.
• Per i dati dei clienti finali dell'operatore— anagrafica passeggeri, documenti di identita', firme, dati di contatto e di pagamento dei turisti — il Fornitore agisce come Responsabile del trattamentoai sensi dell'art. 28 GDPR, nominato dall'operatore che agisce come Titolare. L'atto di nomina e' integrato nel Contratto di licenza d'uso.

Responsabile della Protezione dei Dati (DPO).Alla data di ultimo aggiornamento non e' stato nominato un DPO ai sensi dell'art. 37 GDPR, non ricorrendo allo stato attuale i presupposti di obbligatorieta'. Le richieste in materia di protezione dei dati sono gestite dal referente privacy del Fornitore, raggiungibile all'indirizzo privacy@goeasy.boats. Il Titolare valutera' la nomina di un DPO al variare della scala di trattamento.

Il Servizio tratta le seguenti categorie di dati personali:

• Dati dell'operatore: nome, cognome, email, telefono, ragione sociale, P.IVA, codice fiscale, indirizzo, dati di fatturazione, credenziali di accesso (password protetta con hash bcrypt), preferenze di notifica.
• Dati dei clienti finali dell'operatore:nome, cognome, data e luogo di nascita, residenza, documento d'identita' (fotografia del documento + dati estratti tramite OCR), firma autografa digitalizzata, email, telefono. I dati di pagamento (PAN, scadenza carta, CVV) non transitano mai dai server del Fornitore: sono gestiti direttamente da Stripe, certificato PCI-DSS Level 1.
• Dati di navigazione e tecnici: indirizzo IP, timestamp, user agent, pagine visitate, azioni effettuate (log applicativi a fini di sicurezza, diagnosi e audit). Questi dati sono conservati su log strutturati per periodi contenuti (art. 6).
• Contenuti prodotti nell'uso del Servizio: contratti firmati, fotografie dello stato dei mezzi, note interne, comunicazioni email inviate al cliente finale, ricevute e fatture.

I dati sono trattati per le seguenti finalita':

• a. Erogazione del Servizio:creazione e gestione dell'account operatore, gestione delle prenotazioni, generazione dei contratti, comunicazioni con i clienti finali (conferme, QR di accesso, ricevute), processamento dei pagamenti (tramite Stripe Connect).
• b. Adempimenti di legge:emissione e conservazione di fatture, tenuta delle scritture contabili, risposta a richieste di autorita' giudiziarie o di controllo.
• c. Sicurezza: prevenzione di frodi, accessi non autorizzati e abusi del Servizio, monitoraggio di incidenti tecnici.
• d. Comunicazioni di servizio:notifiche di sistema, avvisi di sicurezza, conferme operative, recap settimanali. Non richiedono consenso in quanto strumentali all'uso del Servizio.
• e. Comunicazioni commerciali (marketing diretto): invio di novita' di prodotto, inviti a eventi, offerte commerciali del Fornitore. Queste comunicazioni richiedono consenso esplicito, revocabile in qualsiasi momento tramite link di disiscrizione o scrivendo a privacy@goeasy.boats.

Il trattamento dei dati avviene sulle seguenti basi giuridiche:

• Esecuzione del contratto(art. 6.1.b GDPR) — per le finalita' di cui ai punti 4.a e 4.d.
• Adempimento di obblighi legali(art. 6.1.c GDPR) — per la finalita' 4.b.
• Legittimo interesse del Titolare(art. 6.1.f GDPR) — per la finalita' 4.c, ferma restando la prevalenza dei diritti e delle liberta' degli interessati.
• Consenso(art. 6.1.a GDPR) — per la finalita' 4.e, specifico, libero, inequivoco e revocabile.

Il conferimento dei dati e' obbligatorio per i punti da 4.a a 4.d; l'eventuale rifiuto impedisce l'utilizzo del Servizio. Il conferimento per finalita' di marketing e' facoltativo.

Bilanciamento del legittimo interesse.Per la finalita' 4.c il Titolare ha valutato che il legittimo interesse alla sicurezza del Servizio e' strettamente necessario, proporzionato e non sostituibile con misure meno invasive; il trattamento avviene con tecniche di minimizzazione (log strutturati, dati pseudonimizzati ove possibile) e per tempi contenuti (art. 6 della presente informativa). Gli interessati possono in ogni momento opporsi al trattamento ai sensi dell'art. 21 GDPR.

Il trattamento avviene con strumenti elettronici, adottando misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (crittografia in transito via TLS 1.2+, crittografia at-rest, autenticazione a piu' fattori sui sistemi amministrativi, Row Level Security per isolamento multi-tenant, backup giornalieri).

I dati sono conservati su server collocati nell'Unione Europea (Supabase, regione eu-west; Vercel Functions in regioni EU). La conservazione rispetta i seguenti limiti temporali:

• Dati dell'account operatore: per tutta la durata del rapporto contrattuale; fino a 2 anni dalla cessazione per gestione di reclami, controversie e rinnovo, poi archiviazione in forma anonima o cancellazione.
• Documenti contabili e fiscali (fatture, contratti): 10 anniai sensi dell'art. 2220 c.c. e della normativa fiscale.
• Dati dei clienti finali dell'operatore (contratti di noleggio/escursione, copie dei documenti di riconoscimento, firme): 5 annidalla data della prenotazione, coerentemente con l'art. 2946 c.c. sull'ordinaria prescrizione e con gli obblighi antiterrorismo per il comparto nautico.
• Log tecnici e di sicurezza: 12 mesi, salvo diverse esigenze in caso di incidenti di sicurezza o richieste dell'autorita'.
• Dati di pagamento: non sono conservati dal Titolare; sono trattati esclusivamente da Stripe secondo la propria policy e la certificazione PCI-DSS Level 1.
• Dati raccolti per finalita' di marketing:fino alla revoca del consenso o, se non revocato, fino a 2 anni dall'ultimo contatto significativo.

Il Titolare si avvale dei seguenti soggetti terzi, tutti regolarmente nominati responsabili del trattamento ai sensi dell'art. 28 GDPR e selezionati in base a garanzie sufficienti di conformita':

• Supabase Inc. — database PostgreSQL, storage oggetti, autenticazione. Dati ospitati in UE.
• Vercel Inc. — hosting applicativo (Vercel Fluid Compute), funzioni server-side, rete CDN. Regioni UE privilegiate.
• Stripe Payments Europe, Ltd. — processing dei pagamenti elettronici tramite Stripe Connect, sede UE (Irlanda), certificato PCI-DSS Level 1.
• Resend, Inc. — invio delle email transazionali (conferme, ricevute, notifiche di sistema).
• Anthropic, PBC e OpenAI, LLC— elaborazione OCR sui documenti di identita' e generazione di testi di briefing / risposte automatiche. I dati inviati ai modelli sono minimizzati (nessun indirizzo email o riferimento anagrafico quando non necessario) e non utilizzati per l'addestramento (modalita' "zero data retention" / "no training" ove disponibile).

L'elenco aggiornato dei responsabili del trattamento e' disponibile su richiesta scrivendo a privacy@goeasy.boats. I responsabili sono vincolati a trattare i dati solo su istruzione del Titolare, a garantire la riservatezza dei propri addetti, a cooperare in caso di richieste degli interessati e a cancellare o restituire i dati al termine del servizio.

Autorizzazione generale e notifica preventiva.Gli operatori-clienti, in qualita' di Titolari del trattamento dei dati dei propri clienti finali, autorizzano in via generale il Fornitore a ricorrere ai responsabili esterni sopra elencati. Il Fornitore si impegna a notificare via email, con un preavviso di almeno 30 giorni, l'ingresso o la sostituzione di un responsabile esterno, riconoscendo all'operatore il diritto di opposizione motivata. In caso di opposizione non superabile tecnicamente, ciascuna parte puo' recedere dal Contratto di licenza senza penalita'.

Alcuni responsabili esterni (Anthropic, OpenAI, Vercel per alcune regioni di CDN, Stripe per operazioni globali) possono comportare trasferimenti di dati personali verso paesi fuori dallo Spazio Economico Europeo, tipicamente gli Stati Uniti.

Tali trasferimenti avvengono esclusivamente in presenza di garanzie adeguate ai sensi degli artt. 44 ss. GDPR:

• Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione (UE) 2021/914), integrate nei contratti con i fornitori;
• Adesione al Data Privacy Framework (DPF) per i fornitori USA che ne beneficiano, con conseguente presunzione di adeguatezza;
• Misure supplementari tecniche (crittografia, minimizzazione, pseudonimizzazione) e organizzative, a rafforzamento delle SCC.

L'interessato ha il diritto di ottenere dal Titolare:

• l'accesso ai propri dati personali (art. 15 GDPR);
• la rettifica dei dati inesatti o incompleti (art. 16);
• la cancellazione dei dati (art. 17), salvo obblighi di conservazione previsti dalla legge;
• la limitazione del trattamento (art. 18);
• la portabilita' dei dati (art. 20);
• l'opposizione al trattamento per motivi connessi alla propria situazione particolare o per finalita' di marketing diretto (art. 21);
• la revoca del consenso in qualsiasi momento (art. 7.3), senza pregiudicare la liceita' dei trattamenti gia' svolti;
• di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici significativi (art. 22).

Le richieste vanno inviate a privacy@goeasy.boats. Il Titolare risponde senza ingiustificato ritardo e comunque entro 30 giornidalla ricezione, prorogabili di ulteriori 60 giorni in caso di richieste particolarmente complesse, con motivazione inviata all'interessato.

L'interessato ha inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it) o all'autorita' di controllo del proprio Stato membro di residenza abituale, luogo di lavoro o dove si sarebbe verificata la violazione.

In caso di violazione dei dati personali (accesso non autorizzato, perdita, distruzione accidentale, esfiltrazione) che presenti un rischio per i diritti e le liberta' degli interessati, il Titolare ne da' notifica al Garante entro 72 ore dalla presa di conoscenza, ai sensi dell'art. 33 GDPR. Se la violazione presenta un rischio elevato, gli interessati sono informati direttamente e senza ingiustificato ritardo ai sensi dell'art. 34.

Il Servizio non adotta decisioni interamente automatizzate ai sensi dell'art. 22 GDPRidonee a produrre effetti giuridici o significativi sugli interessati. Non e' effettuata alcuna profilazione. Alcune funzionalita' (ad es. OCR automatico sui documenti, generazione di proposte di risposta AI) sono strumenti di ausilio operativo: la decisione finale (conferma del check-in, accettazione di una prenotazione, invio di una comunicazione) resta sempre in capo all'operatore umano.

In considerazione del trattamento su larga scala di documenti di identita', firme, dati di clienti finali e dell'utilizzo di strumenti di intelligenza artificiale (OCR, risposte assistite), il Titolare ha condotto (e mantiene aggiornata) una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 GDPR, documentando rischi, misure tecniche e organizzative adottate, decisioni in merito ai trasferimenti extra-UE e controlli periodici. La DPIA e' conservata internamente ed e' messa a disposizione, in forma coerente con il segreto industriale, a richiesta delle autorita' di controllo o degli operatori-Titolari che ne facciano ragionevole richiesta.

Il Servizio non e' rivolto direttamente a minori di eta' e non raccoglie consapevolmente dati di minori per uso proprio del Fornitore. Nel contesto dell'attivita' dell'operatore (ad esempio escursioni, noleggi, attivita' da spiaggia) possono essere trattati dati di clienti finali minorenni: in tal caso l'operatore, in qualita' di Titolare, e' responsabile di raccogliere il consenso di chi esercita la responsabilita' genitoriale ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003 (eta' del consenso digitale fissata a 14 anni in Italia), e di fornire informativa chiara e adeguata.

Il Fornitore, in qualita' di Responsabile, supporta l'operatore mettendo a disposizione strumenti che consentono di raccogliere il consenso e di tracciarne la versione (firma elettronica, log applicativi).

Per informazioni sui cookie utilizzati sul sito e nell'applicazione si rimanda alla Cookie Policy.

La presente informativa puo' essere aggiornata a seguito di modifiche normative, di evoluzione del Servizio o di introduzione di nuove funzionalita'. Le modifiche saranno pubblicate in questa pagina con indicazione della data di ultimo aggiornamento. Le modifiche sostanziali saranno comunicate anche via email e/o in-app con congruo preavviso.