Privacy Policy

Titolare del trattamento è Cristiano Giliberti, in qualità di titolare del progetto MareStay. Per qualsiasi richiesta puoi scrivere a privacy@cristianogilibertitecnicoinformatico.it.

MareStay opera con un duplice ruolo a seconda del tipo di dato:

• Titolare del trattamento per i dati relativi agli account dei titolari di B&B (i nostri clienti diretti), ai dati di fatturazione, agli abbonamenti e ai log tecnici della piattaforma.
• Responsabile del trattamento (art. 28 GDPR) per conto dei titolari di B&B riguardo ai dati degli ospiti finali (prenotazioni, anagrafiche, comunicazioni). Il titolare di B&B è titolare autonomo verso i propri ospiti e si impegna ad avere una propria base giuridica, informativa e finalità lecita per il caricamento di tali dati su MareStay.

Titolari di B&B (clienti MareStay):

• Account: nome, email, password (memorizzata solo come hash bcrypt/scrypt — mai in chiaro).
• Profilo struttura: nome B&B, descrizioni, foto, indirizzo, prezzi, calendari, slug pubblico.
• Dati di fatturazione e abbonamento: ragione sociale, P.IVA/codice fiscale, indirizzo, stato abbonamento, ID cliente Stripe, importi e date di rinnovo.
• Comunicazioni: email transazionali ricevute (conferme abbonamento, fatture, avvisi).

Ospiti finali (caricati dai titolari di B&B):

• Prenotazioni: nome e cognome ospite, email, telefono, date di check-in/out, numero ospiti, note.
• Eventuali dati per adempimenti normativi (es. comunicazione alloggiati): trattati esclusivamente su istruzione del titolare di B&B.

Dati di pagamento (carte di credito):

• I numeri di carta, CVC e dati completi di pagamento non transitano mai dai nostri server e non sono memorizzati nei nostri database. Il pagamento avviene tramite checkout Stripe Payments Europe Ltd., certificato PCI-DSS Level 1 (lo standard più alto del settore).
• MareStay riceve da Stripe esclusivamente token e identificativi non sensibili: ID cliente, ID abbonamento, ultime 4 cifre della carta, brand (Visa/Mastercard), scadenza, esito della transazione.
• Non trattiamo categorie particolari di dati (art. 9 GDPR) né dati di minori. Se vengono caricati per errore dal titolare del B&B, ne è responsabile lui stesso e ti chiediamo di richiederne la rimozione.

Dati tecnici e di sicurezza: indirizzo IP, user-agent, timestamp di accesso, log di errore, cookie tecnici di sessione.

• Erogazione del servizio (art. 6.1.b GDPR — esecuzione del contratto): gestione account, B&B, prenotazioni, abbonamento.
• Pagamenti e antifrode (art. 6.1.b e 6.1.f): elaborazione tramite Stripe e prevenzione di transazioni fraudolente.
• Adempimenti fiscali, contabili e di legge (art. 6.1.c GDPR): emissione fatture, conservazione documenti, risposta ad autorità competenti.
• Sicurezza della piattaforma (art. 6.1.f — legittimo interesse): log, monitoraggio accessi anomali, debug, backup.
• Comunicazioni di servizio (art. 6.1.b): email transazionali strettamente necessarie (non marketing).
• Marketing diretto: solo previo consenso esplicito e revocabile (art. 6.1.a GDPR).

• Cifratura in transito: TLS 1.2+ obbligatorio su tutto il sito (HTTPS) e verso tutti i sub-fornitori.
• Cifratura a riposo: database e storage cifrati AES-256 a livello di infrastruttura cloud (UE).
• Password: salvate esclusivamente come hash crittografico salato; il personale MareStay non può leggerle.
• Controllo accessi: Row-Level Security sul database — ogni titolare di B&B può accedere solo ai propri dati e a quelli dei propri ospiti.
• Autenticazione: token JWT a breve scadenza, refresh sicuro, possibilità di login federato Google.
• Pagamenti: nessun dato di carta sui nostri server (delega completa a Stripe PCI-DSS L1); webhook firmati con HMAC-SHA256.
• Backup automatici giornalieri e disaster recovery.
• Logging e monitoraggio degli accessi privilegiati e degli errori; revisione periodica delle dipendenze e delle vulnerabilità.
• Principio del minimo privilegio: solo personale strettamente autorizzato accede ai sistemi di produzione, sotto vincolo di riservatezza.

• Dati di account e B&B: per tutta la durata del rapporto contrattuale e fino a 12 mesi dopo la chiusura dell'account, salvo obblighi di legge superiori.
• Dati di prenotazione degli ospiti: per la durata necessaria al titolare di B&B e comunque non oltre 24 mesi dalla data di check-out, salvo diversa istruzione del titolare di B&B o obblighi normativi (es. comunicazione alloggiati).
• Documenti fiscali (fatture, ricevute, contratti): 10 anni come da art. 2220 Codice Civile e normativa fiscale italiana.
• Dati di pagamento (token Stripe, ultime 4 cifre): finché l'abbonamento è attivo + 13 mesi per gestione chargeback.
• Log tecnici e di sicurezza: 12 mesi (provvedimento Garante 27/11/2008 e successivi).
• Backup: massimo 35 giorni, dopo i quali vengono sovrascritti automaticamente.

I seguenti sub-responsabili trattano dati per nostro conto, vincolati da DPA conformi all'art. 28 GDPR:

• Supabase (Lovable Cloud) — hosting database, autenticazione, storage. Server in Unione Europea.
• Cloudflare — CDN, protezione DDoS e WAF. Trattamento limitato a metadati di rete.
• Stripe Payments Europe Ltd. (Irlanda) — pagamenti, gestione abbonamenti. Certificato PCI-DSS Level 1.
• Resend / Lovable Email — invio email transazionali (UE).
• Lovable — fornitore della piattaforma di hosting applicativo (UE).

Quando un sub-fornitore opera al di fuori dello SEE, il trasferimento è coperto da Standard Contractual Clauses della Commissione UE (decisione 2021/914) e da misure supplementari (cifratura, pseudonimizzazione). L'elenco aggiornato dei sub-fornitori è disponibile su richiesta.

I dati personali non sono diffusi e non vengono venduti a terzi. Non effettuiamo profilazione né processi decisionali automatizzati che producano effetti giuridici sull'interessato (art. 22 GDPR).

In qualsiasi momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione (oblio), limitazione, portabilità, opposizione e revoca del consenso. La risposta è gratuita e fornita entro 30 giorni. Scrivi a privacy@cristianogilibertitecnicoinformatico.it.

Per gli ospiti finali: le richieste vanno indirizzate in primis al titolare del B&B presso cui hai prenotato (titolare autonomo del trattamento). MareStay collabora come responsabile su istruzione del titolare.

Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

In caso di violazione dei dati personali che comporti rischio per i diritti e le libertà degli interessati, MareStay notificherà l'evento al Garante entro 72 ore dalla conoscenza (art. 33 GDPR) e, ove richiesto dall'art. 34 GDPR, comunicherà tempestivamente l'accaduto agli interessati.

Per i dettagli sui cookie utilizzati consulta la nostra Cookie Policy.

Eventuali aggiornamenti significativi vengono notificati via email e pubblicati su questa pagina con data di revisione aggiornata.