GDPR Compliance
Conformità al Regolamento UE 2016/679 — Ultimo aggiornamento: 10 maggio 2026
1. Impegno Vatican Suite
Vatican Suite (gestita da GINGY S.r.l.s.) è progettata privacy by design e privacy by default, in piena conformità al GDPR (Regolamento UE 2016/679) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
2. Ruolo Vatican Suite (DPA)
Vatican Suite agisce in qualità di:
- Titolare del trattamento per i dati dei propri clienti SaaS (host, property manager).
- Responsabile del trattamento ex art. 28 GDPR per i dati degli ospiti finali (i clienti dei nostri clienti). Il Data Processing Agreement (DPA) è disponibile a richiesta scrivendo a dpo@vatican-suite.app.
3. Misure di sicurezza implementate
- ✅ Cifratura TLS 1.3 in transito (tutti gli endpoint API)
- ✅ Cifratura AES-256 at rest (Supabase EU-Frankfurt)
- ✅ Password con bcrypt + salt (12 rounds)
- ✅ Autenticazione 2FA disponibile per gli account staff
- ✅ Role-based access control (RBAC): owner / staff / receptionist / operator
- ✅ Audit log di tutte le operazioni critiche (creazione/modifica/cancellazione)
- ✅ Backup automatici giornalieri cifrati su S3 EU
- ✅ Penetration test annuale
- ✅ Cancellazione documenti ospiti dopo trasmissione Polizia di Stato (max 30 giorni)
- ✅ Right to be forgotten implementato (cancellazione dati on demand)
4. Sub-responsabili (sub-processor)
| Sub-processor | Servizio | Localizzazione | Garanzie |
|---|---|---|---|
| Supabase Inc. | Database + storage | EU (Frankfurt) | DPA + SCC |
| Railway Corp. | Hosting backend | EU (Amsterdam) | DPA + SCC |
| Vercel Inc. | Hosting frontend | EU (Frankfurt) | DPA + SCC |
| Stripe Inc. | Pagamenti | USA (PCI-DSS) | SCC + DPA |
| Anthropic PBC | AI Claude API (bot) | USA | SCC + DPA + SOC 2 |
| Meta Platforms | WhatsApp Business API | USA | SCC + DPA |
| Google Cloud | Cloud Vision OCR | EU (Frankfurt) | DPA + SCC |
L'elenco completo aggiornato dei sub-processor è disponibile a richiesta. I clienti vengono notificati di eventuali nuovi sub-processor con preavviso di 30 giorni.
5. Data Breach Notification
In caso di violazione dei dati personali con rischio per i diritti e le libertà degli interessati, Vatican Suite notificherà:
- Il Garante Privacy entro 72 ore (art. 33 GDPR)
- Gli interessati coinvolti via email entro 96 ore (art. 34 GDPR)
6. Data Protection Officer (DPO)
Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il DPO Vatican Suite: dpo@vatican-suite.app
7. Reclami
L'interessato ha sempre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.gpdp.it) o all'autorità di protezione del proprio Paese di residenza all'interno dell'UE.