Privacy Policy

Informativa sul trattamento dei dati personali

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 — GDPR. Ultimo aggiornamento: 14 Luglio 2026

1. Titolare del trattamento

CostabileRent Two S.R.L.S., P.IVA IT09111881216
Via Iasolino 94 — 80077 Ischia, Italy
E-mail: info@openbustourischia.com
Telefono: +39 320 421 8039

Il Titolare non ha designato un Responsabile per la Protezione dei Dati (DPO) non rientrando nei casi di obbligo di cui all'art. 37 GDPR.

2. Tipologie di dati raccolti

Trattiamo le seguenti categorie di dati personali:

  • Dati di contatto e identificativi: nome, cognome, e-mail, numero di telefono, lingua preferita.
  • Dati di prenotazione: data, slot, numero adulti/bambini, posti selezionati, importo, eventuali note al fornitore.
  • Dati di pagamento: identificativo della transazione Stripe (PaymentIntent ID), importo, valuta, stato. Non memorizziamo il numero completo della carta di credito né il codice di sicurezza CVV.
  • Dati di accesso (utenti registrati): e-mail, hash della password, IP di accesso, log delle sessioni.
  • Dati tecnici: indirizzo IP, user-agent, pagine visitate, riferimenti di provenienza, timestamp delle visite, identificatori di sessione.
  • Dati di consenso: registriamo le tue scelte sul banner cookie (categorie accettate/rifiutate, data, IP in forma anonimizzata) per dimostrare l'avvenuto consenso ai sensi dell'art. 7 GDPR.
  • Dati di comunicazione marketing (solo se hai dato consenso): preferenze, aperture e clic delle e-mail promozionali.

Non raccogliamo intenzionalmente categorie particolari di dati personali (art. 9 GDPR — origine razziale, opinioni politiche, dati sanitari, ecc.).

3. Finalità e basi giuridiche del trattamento

FinalitàBase giuridicaConservazione
Esecuzione della prenotazione e fornitura del ServizioEsecuzione di un contratto — art. 6.1.b GDPR10 anni (art. 2220 c.c. per obblighi contabili)
Emissione fatture, registrazioni contabili, obblighi fiscaliObbligo legale — art. 6.1.c GDPR10 anni
Comunicazioni transazionali (conferma, ricordi, modifiche, rimborsi)Esecuzione del contratto — art. 6.1.b GDPRFino al completamento del servizio + 3 anni
Gestione del tuo account utenteEsecuzione del contratto — art. 6.1.b GDPRFino alla cancellazione dell'account
Comunicazioni promozionali (offerte, novità)Consenso — art. 6.1.a GDPR (revocabile in qualsiasi momento)Fino alla revoca del consenso
Analisi statistiche aggregate del sitoLegittimo interesse — art. 6.1.f GDPR (misurazione anonima) o consenso (se cookie analytics)14 mesi
Sicurezza, prevenzione frodi e abusi, audit logLegittimo interesse — art. 6.1.f GDPR12 mesi (log generici) / 24 mesi (audit di sicurezza)
Adempimento di obblighi di legge e difesa in giudizioObbligo legale e legittimo interesse — art. 6.1.c e 6.1.f GDPRPer la durata necessaria a far valere o difendere un diritto

4. Destinatari dei dati

I tuoi dati possono essere comunicati a:

  • Stripe Payments Europe, Ltd. — fornitore di servizi di pagamento (sede in Irlanda; conformità GDPR e PCI-DSS Level 1).
  • Fornitore di hosting: server europei conformi GDPR; i dati restano fisicamente all'interno dell'Unione Europea.
  • Fornitore di e-mail transazionali (es. SMTP relay): per la consegna affidabile delle e-mail di conferma e promemoria.
  • Consulenti contabili e fiscali autorizzati: per l'adempimento degli obblighi normativi.
  • Autorità competenti: ove richiesto dalla legge o da un ordine dell'autorità giudiziaria.

Tutti i fornitori esterni operano come Responsabili del trattamento nominati ai sensi dell'art. 28 GDPR. I dati non sono venduti a terzi a fini commerciali.

5. Trasferimenti extra-UE

Non effettuiamo trasferimenti sistematici di dati al di fuori dello Spazio Economico Europeo. Qualora un fornitore (es. Stripe) dovesse trasferire dati a una società del gruppo extra-UE, il trasferimento avviene sulla base di Clausole Contrattuali Standard approvate dalla Commissione Europea (decisione 2021/914/UE) e di adeguate misure di sicurezza supplementari.

6. I tuoi diritti

In qualità di interessato hai il diritto di:

  • Accesso (art. 15) — ottenere conferma del trattamento e una copia dei tuoi dati;
  • Rettifica (art. 16) — chiedere la correzione di dati inesatti o incompleti;
  • Cancellazione (art. 17) — chiedere l'eliminazione dei tuoi dati nei casi previsti;
  • Limitazione (art. 18) — chiedere la sospensione temporanea del trattamento;
  • Portabilità (art. 20) — ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico;
  • Opposizione (art. 21) — opporti al trattamento basato sul legittimo interesse;
  • Revoca del consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento basata sul consenso prima della revoca;
  • Reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo del proprio Stato membro.

Per esercitare i tuoi diritti scrivi a info@openbustourischia.com. Risponderemo senza ingiustificato ritardo e comunque entro 30 giorni.

Il pannello “La mia area” del sito offre inoltre strumenti self-service per esportare e cancellare i tuoi dati, integrati con gli strumenti privacy nativi di WordPress (art. 20 GDPR).

7. Cookie e tecnologie simili

Il sito utilizza cookie tecnici necessari al corretto funzionamento e, previo consenso, cookie di preferenza, di analytics e di marketing. Per il dettaglio completo, le finalità e la durata di ciascun cookie consulta la Cookie Policy. Puoi modificare in qualsiasi momento le tue preferenze attraverso il pulsante “Gestisci cookie” presente in fondo a ogni pagina.

8. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate al rischio: connessione HTTPS, hashing delle password (algoritmo phpass/bcrypt), controlli di accesso per ruolo (amministratore, manager, cliente), registrazione delle attività sensibili (audit log), backup cifrati, segregazione degli ambienti di sviluppo e produzione, aggiornamento regolare delle dipendenze.

9. Conferimento dei dati

Il conferimento dei dati identificativi e di contatto è necessario per perfezionare la prenotazione e ricevere il biglietto: l'eventuale rifiuto rende impossibile l'erogazione del Servizio. Il conferimento del consenso marketing è facoltativo e non incide sull'accesso al Servizio.

10. Processo decisionale automatizzato

Non effettuiamo decisioni interamente automatizzate, inclusa la profilazione, che producano effetti giuridici o significativi sulla tua persona (art. 22 GDPR).

11. Modifiche alla presente informativa

Eventuali modifiche sostanziali ti saranno comunicate via e-mail (se sei un utente registrato) o mediante avviso ben visibile sul sito. La versione aggiornata è sempre disponibile su questa pagina.