PRIVACY POLICY APP

Titolare del Trattamento

Cilentour S.r.l., con Partita IVA 05048970650 e sede legale in Via Parco del Cilento, 9 – 84043 Agropoli (SA), Italia, tramite il suo rappresentante legale, Sig. Peluso Giuseppe, agisce quale Titolare del trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e di ogni ulteriore normativa applicabile.

1. Principi generali applicati al trattamento

Il trattamento dei dati personali avviene nel rigoroso rispetto dei principi di cui all’art. 5 GDPR: liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, nonché responsabilizzazione (accountability). Il Titolare implementa misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 GDPR, operando secondo un modello privacy‑by‑design e privacy‑by‑default.

2. Finalità del trattamento

I dati personali sono trattati per:

  • consentire la navigazione e la sicurezza del Sito;
  • permettere la conclusione ed esecuzione del contratto di acquisto di titoli di viaggio tramite App Cilentomove;
  • dare seguito alle richieste di preventivo per servizi NCC;
  • fornire assistenza e informazioni tramite chatbot WhatsApp;
  • gestire i pagamenti, la fatturazione, gli obblighi fiscali/contabili, l’assistenza post‑vendita e la prevenzione delle frodi;
  • svolgere attività di analytics statistica (previo consenso per cookie non essenziali);
  • svolgere attività di marketing e remarketing (previo consenso);
  • tutelare i diritti del Titolare in sede giudiziaria e stragiudiziale.

3. Base giuridica del trattamento

Il trattamento è lecito in quanto basato su una o più delle seguenti condizioni di cui all’art. 6 GDPR: consenso per tracking non essenziale e marketing [art. 6(1)(a)]; esecuzione del contratto o misure pre‑contrattuali per acquisti e preventivi NCC [art. 6(1)(b)]; obblighi legali fiscali, contabili e amministrativi [art. 6(1)(c)]; legittimo interesse del Titolare per sicurezza, antifrode, assistenza utenti, prevenzione abusi, gestione reclami e tutela legale [art. 6(1)(f), Considerando 47–49]. Per l’elaborazione linguistica dei messaggi tramite LLM, il Provider API è nominato Responsabile del trattamento ex art. 28 GDPR tramite DPA, con esclusione dell’uso per training dei modelli e logging minimizzato.

4. Categorie di dati personali trattati

Il Titolare tratta:

  • Dati tecnici di navigazione e sicurezza: indirizzo IP, user‑agent, parametri del device, eventi diagnostici, log;
  • Identificativi online: cookie e SDK tramite sistemi di tracking (bloccati di default e attivati solo previo consenso quando non essenziali);
  • Dati anagrafici e di contatto: nome, cognome, e‑mail, telefono, numero WhatsApp;
  • Dati contrattuali: titoli di viaggio acquistati, tratte, orari, numero passeggeri, dati di fatturazione, reclami;
  • Dati di transazione di pagamento: token/ID di transazione, importo, valuta, timestamp, paese di emissione, eventuali dati necessari alla riconciliazione contabile, senza memorizzazione di numeri carta completi;
  • Dati di conversazione WhatsApp: contenuto dei messaggi, dettagli della richiesta, allegati condivisi spontaneamente;
  • Prompt testuali inviati all’LLM via API: solo nei limiti dei dati forniti dall’utente nella conversazione, per generare risposte testuali, con sanitizzazione preventiva lato server a cura del Titolare.

5. Pagamenti e trasparenza sulla titolarità del rapporto commerciale e dei flussi d’incasso

I pagamenti per titoli di viaggio e servizi di prenotazione NCC avvengono tramite Stripe (PSP esterno conforme al GDPR e agli standard di sicurezza PCI‑DSS). Il Titolare non memorizza i dati primari degli strumenti di pagamento (es. PAN delle carte), ma esclusivamente identificativi tokenizzati/ID di transazione utili per: contabilità, fatturazione, assistenza e antifrode. Durante il checkout, l’utente visualizza sempre a video:

  • L’identità del soggetto venditore;
  • Il soggetto che incassa il pagamento;
  • Il soggetto che eroga materialmente il servizio di trasporto (se diverso dal venditore/incassante).

Scenari:

  • Incasso diretto ed esecuzione del trasporto in capo al medesimo soggetto: il venditore coincide con l’operatore del trasporto e con il soggetto che incassa il pagamento (es. Cilentour S.r.l. vende, incassa ed esegue il servizio). In tal caso il Titolare del trattamento coincide unicamente con il soggetto venditore‑incassante.
  • Incasso da parte del venditore con riparto del corrispettivo a vettori/aziende terze che eseguono effettivamente il trasporto: l’App/Sito indica a video che il Titolare del trattamento coincide con il soggetto venditore che incassa il corrispettivo tramite Stripe e che successivamente trasferisce la quota parte spettante all’azienda/vettore che eroga effettivamente il servizio. In tale scenario: la titolarità privacy sull’intero rapporto commerciale e sui flussi d’incasso resta esclusivamente in capo al soggetto venditore‑incassante; il vettore/operatore del trasporto riceve esclusivamente i dati minimi indispensabili per l’esecuzione del trasporto, sulla base dell’art. 6(1)(b) GDPR, senza assumere titolarità sul rapporto di vendita né sui flussi di pagamento; il trasferimento dei dati al vettore avviene nel rispetto dell’art. 5(1)(c) GDPR (minimizzazione) e tramite canali cifrati.

Il Titolare conserva la prova delle transazioni e dei riparti degli incassi nei limiti necessari alla compliance normativa (art. 6(1)(c), 6(1)(f) GDPR) e alla gestione dei reclami/contestazioni.

6. Periodo di conservazione dei dati

I dati personali sono conservati per un arco di tempo non superiore al conseguimento delle finalità e comunque entro i limiti di seguito indicati:

  • Log tecnici (inclusi IP): 12 mesi, salvo necessità di sicurezza prolungata;
  • Preferenze/prove del consenso (cookie/marketing): 24 mesi;
  • Dati contrattuali, titoli di viaggio, fatturazione e prove di incasso: 10 anni per obbligo legale e per tutela del Titolare;
  • Chat WhatsApp e prove di customer‑care: 12 mesi (max 24 mesi in caso di reclami/contenziosi);
  • Prompt AI archiviati nei sistemi log del Titolare: non oltre 30 giorni, con cancellazione o anonimizzazione irreversibile alla scadenza.

Decorso tale termine i dati sono distrutti o resi anonimi in modo irreversibile.

7. Destinatari dei dati personali

I dati possono essere comunicati a: (i) fornitori IT e hosting nominati Responsabili ex art. 28 GDPR; (ii) Stripe quale PSP; (iii) operatori/vettori del trasporto solo per i dati minimi necessari all’esecuzione del servizio; (iv) autorità pubbliche, organismi di vigilanza o forze dell’ordine, nei casi in cui la comunicazione sia obbligatoria per legge. Non viene effettuata alcuna comunicazione a terze parti per finalità di marketing/profilazione senza previo consenso valido dell’interessato.

8. Trasferimento di dati personali verso paesi extra‑UE

Poiché alcuni trattamenti (cookie/analytics, API AI, servizi cloud) possono comportare trasferimenti verso paesi non UE, il Titolare adotta garanzie adeguate ai sensi del Capo V GDPR, tra cui: (i) sottoscrizione delle Standard Contractual Clauses (Decisione UE 2021/914), ove applicabili; (ii) misure di sicurezza supplementari (cifratura in transito TLS 1.2+, network isolation, IAM least‑privilege); (iii) Transfer Impact Assessment (TIA) conservate agli atti; (iv) accordi di Data Processing Addendum con verifica della disattivazione del training sui prompt AI, ove previsto contrattualmente.

9. Diritti degli interessati

L’interessato può esercitare in ogni momento i diritti previsti dagli artt. 15–22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità dei dati, opposizione ai trattamenti basati sul legittimo interesse, revoca del consenso per tracking/marketing, nonché proporre reclamo al Garante per la protezione dei dati personali (Italia). Le richieste devono essere inviate ai contatti privacy forniti dal Titolare.

10. Misure di sicurezza

Il Titolare ha implementato misure adeguate ex art. 32 GDPR, incluse: crittografia dei database e dei backup, firewall, sistemi IDS/IPS, Identity & Access Management con privilegi minimi, secret rotation, network isolation, logging limitato, monitoraggio e incident‑response con escalation plan documentato per Data Breach Response (artt. 33–34 GDPR).

11. Natura del conferimento dei dati

Il conferimento dei dati per l’acquisto di titoli di viaggio e la richiesta/pre‑notazione di servizi NCC è necessario per la conclusione ed esecuzione del contratto, mentre il conferimento per tracking analytics/marketing è facoltativo e subordinato al consenso.

12. Minori

I servizi non sono diretti a minori <16 anni. Eventuali dati di minori acquisiti involontariamente o comunicati via chat sono cancellati senza ritardo salvo consenso del tutore ove richiesto (art. 8 GDPR).

13. Assenza di processi decisionali automatizzati

I modelli linguistici (LLM) impiegati tramite API generano esclusivamente output testuale informativo/di assistenza e non assumono decisioni automatizzate con effetti giuridici vincolanti sull’interessato (art. 22 GDPR non applicabile).

14. Aggiornamenti e versioning

La presente informativa potrà essere soggetta ad aggiornamenti. La versione applicabile è quella pubblicata alla data di raccolta del dato o dell’interazione.

PRIVACY E COOKIE POLICY SITO WEB

Ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679, anche denominato General Data Protection Regulation (di seguito il "GDPR"), La informiamo che i Suoi dati personali (di seguito i "Dati"), saranno trattati nel rispetto di quanto previsto dal GDPR e di ogni normativa applicabile in riferimento al trattamento dei dati personali in conformità all'informativa che segue.

1. Titolare del trattamento. Responsabile della protezione dei Dati.

Il Titolare del trattamento dei dati è PELUSO GIUSEPPE, rappresentante legale dell'azienda Cilentour S.r.l., con Partita IVA 05048970650 e sede legale in Via Parco del Cilento, 9 – 84043 Agropoli (SA), Italia (di seguito il "Titolare"). Il Responsabile della protezione dei Dati è contattabile all'e-mail booking@cilentour.it per informazioni sul trattamento dei Dati.

2. Categorie di Dati

I Dati trattati dal Titolare includono:

  • dati anagrafici (nome, cognome)
  • indirizzo di residenza o domicilio e recapiti (telefono, indirizzo e-mail)

3. Finalità del trattamento

I Dati saranno trattati unicamente per l'adempimento delle attività di comunicazione legate alle richieste di informazioni pervenute tramite l'utilizzo del sito web e per l'invio di comunicazioni di natura informativa, commerciale e promozionale relative a progetti, sondaggi e ricerche riservati agli utenti e ad altri soggetti che hanno in precedenza manifestato interesse alle azioni del Titolare, al fine di informare e sensibilizzare il pubblico riguardo a progetti, attività e servizi.

4. Liceità e Modalità del trattamento

I Suoi Dati, liberamente comunicati e da noi acquisiti in ragione dell’attività svolta e per le finalità sopra indicate, sono utilizzati in modo lecito, secondo correttezza e trasparenza.

Il trattamento prevede l'attuazione di misure di sicurezza idonee e proporzionate ai rischi possibili di acquisizioni e/o di non lecito utilizzo dei Dati.

I Vs. Dati NON saranno ceduti o resi visibili a soggetti terzi tranne nel caso in cui sussista un obbligo di legge come quelli riguardanti la sicurezza nazionale o la sicurezza comune dell'Unione.

5. Periodo di conservazione

I Dati saranno conservati per un periodo di tempo non superiore a 12 (dodici) mesi per finalità amministrative e, comunque, per il tempo strettamente necessario al perseguimento dell'interesse legittimo del Titolare.

6. Utilizzo dei Cookie

Questo sito web raccoglie Dati anonimi dagli utenti che lo consultano attraverso l'utilizzo dei cookie. Controlla tutte le informazioni rilevanti sull'uso dei cookie attraverso la nostra Policy sui cookie che può trovare in fondo alla pagina.

7. Trasferimento dei dati personali verso Paesi non appartenenti all'U.E.

Il Titolare del trattamento NON trasferirà i Vs. Dati ad un paese terzo, rispetto a paesi della U.E. o ad una organizzazione internazionale.

8. Diritti di accesso, cancellazione, limitazione e portabilità.

Il Titolare La informa che Le sono riconosciuti i diritti di cui agli artt. da 15 a 20 del GDPR. A titolo esemplificativo, inviando specifica richiesta all'indirizzo email booking@cilentour.it, Lei potrà:

  • ottenere la conferma che sia o meno in corso un trattamento di dati personali che La riguardano;
  • qualora un trattamento sia in corso, ottenere l'accesso ai dati e alle informazioni relative al trattamento, nonché richiedere una copia dei dati stessi;
  • ottenere la rettifica dei dati inesatti e l'integrazione dei dati personali incompleti;
  • ottenere, qualora sussista una delle condizioni previste dall'art. 17 del GDPR, la cancellazione dei Dati che La riguardano;
  • ottenere, nei casi previsti dall'art. 18 del GDPR, la limitazione del trattamento dei Dati che La riguardano;
  • ricevere i Dati che La riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e richiedere la loro trasmissione ad un altro titolare, se tecnicamente fattibile.

9. Diritto di opposizione

Ai sensi dell'art. 21 del GDPR, Lei godrà altresì del diritto di opporsi in qualsiasi momento al trattamento dei propri Dati effettuato per il perseguimento del legittimo interesse del Titolare scrivendo all'indirizzo email booking@cilentour.it. In caso di opposizione, i Dati non saranno più oggetto di trattamento, sempre che non sussistano motivi legittimi per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà degli interessati, oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

10. Diritto di proporre reclamo al Garante

Il Titolare La informa altresì che potrà proporre reclamo al Garante per la Protezione dei Dati Personali nel caso in cui ritenga che siano stati violati i diritti di cui è titolare ai sensi del GDPR o di qualsiasi altra normativa applicabile, secondo le modalità indicate sul sito internet del Garante per la Protezione dei Dati Personali accessibile all'indirizzo: www.garanteprivacy.it.

Cookie Policy

Che cos'è un cookie e a cosa serve?

Un cookie è un piccolo file di testo che viene inviato al browser e salvato sul tuo dispositivo quando visiti un sito internet come www.cilentomove.it. I cookie permettono il funzionamento efficiente del sito, migliorano le prestazioni e forniscono informazioni al proprietario per fini statistici, contribuendo a personalizzare l’esperienza di navigazione.

Quali cookie utilizziamo e per quali finalità?

Questo sito utilizza esclusivamente Cookie Analitici anonimizzati, che non consentono l’identificazione diretta dell’utente. I dati raccolti sono trattati in forma aggregata e servono unicamente a monitorare il traffico e migliorare i contenuti.

Tipologie di Cookie e Funzione

  • Cookie Analitici (anonimi): utilizzati per analisi statistiche aggregate e non riconducibili a singoli utenti. Google Analytics è configurato per anonimizzare gli indirizzi IP e impedire la raccolta di dati personali.
  • Cookie di Navigazione: garantiscono il funzionamento tecnico del sito (non utilizzati su questo sito).
  • Cookie Funzionali: migliorano la qualità della navigazione (non utilizzati su questo sito).
  • Cookie di Marketing e Profilazione: creano profili utente per finalità pubblicitarie (non utilizzati su questo sito).

Servizi di terze parti

Per maggiori dettagli, consulta le privacy policy dei servizi utilizzati:

Come gestire o disabilitare i cookie

La maggior parte dei browser consente di gestire le preferenze sui cookie. Consulta le guide specifiche del tuo browser:

  • Internet Explorer
  • Safari
  • Chrome
  • Firefox

Per maggiori informazioni e per gestire le preferenze sui cookie di terze parti, visita www.youronlinechoices.com.

Per disabilitare Google Analytics e impedire la raccolta dei dati, puoi installare il Componente aggiuntivo del browser per la disattivazione di Google Analytics.

TORNA INDIETRO

Iniziativa finanziata con risorse del PR Campania FESR 2021-2027 - Asse prioritario 1, RSO1.3, Azione 1.3.1 - Avviso pubblico per il sostegno allo sviluppo delle imprese culturali e creative.