TravelSwallow Note legali

Home / Informativa sulla privacy

Informativa sulla privacy

Come TravelSwallow tratta i dati personali — account, itinerari, chiavi IA BYOK, elaborazione IA, cookie e i tuoi diritti ai sensi del GDPR e della normativa sulla protezione dei dati.

Prendiamo sul serio la protezione dei suoi dati personali. La presente informativa sulla privacy la informa, ai sensi del Regolamento generale sulla protezione dei dati (RGPD) e della legge austriaca sulla protezione dei dati (DSG), quali dati trattiamo quando utilizza TravelSwallow, per quale finalità e su quale base giuridica.

1. Titolare del trattamento

Il titolare del trattamento ai sensi dell’art. 4(7) RGPD è:

Webagentur Hochmeir e.U.
Jonathan Hochmeir
Moorweg 7, 4845 Rutzenmoos, Österreich
E-Mail: hello@webhoch.com
Tel: +43 680 2208354

Per qualsiasi domanda sulla protezione dei dati e per l’esercizio dei suoi diritti può contattarci all’indirizzo hello@webhoch.com.

2. Disposizioni generali

Trattiamo i dati personali solo nella misura necessaria. Per «dati personali» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Un trattamento ha luogo solo se sussiste una base giuridica o se lei ha prestato il consenso. Nella misura in cui raccogliamo il suo consenso per il trattamento, la base giuridica è l’art. 6(1)(a) RGPD; per il trattamento necessario all’esecuzione di un contratto, l’art. 6(1)(b) RGPD; per l’adempimento di obblighi di legge, l’art. 6(1)(c) RGPD; e per la salvaguardia di interessi legittimi, l’art. 6(1)(f) RGPD.

3. File di log del server

Quando accede al nostro sito web, il server (nginx) raccoglie automaticamente informazioni che il suo browser trasmette e le memorizza temporaneamente nei cosiddetti file di log del server. Vengono rilevati:

  • l’indirizzo IP anonimizzato o abbreviato del dispositivo richiedente,
  • la data e l’ora dell’accesso,
  • l’URL o il file richiamato,
  • l’URL referente (la pagina visitata in precedenza),
  • il browser utilizzato e la sua versione,
  • il sistema operativo,
  • il nome host del computer che effettua l’accesso.

Questi dati servono per la fornitura del sito web, per garantire la stabilità e la sicurezza nonché per l’analisi degli errori. La base giuridica è il nostro interesse legittimo a un funzionamento sicuro (art. 6(1)(f) RGPD). I file di log vengono cancellati dopo breve tempo, salvo che siano necessari per chiarire un incidente di sicurezza.

4. Hosting

La nostra applicazione e il nostro database sono gestiti su server situati in Austria o all’interno dell’Unione europea. Con il fornitore di hosting è stato stipulato un contratto di responsabile del trattamento ai sensi dell’art. 28 RGPD, che garantisce che i dati siano trattati esclusivamente secondo le nostre istruzioni e nel rispetto del RGPD. La base giuridica dell’hosting è l’art. 6(1)(b) e (f) RGPD.

5. Account / Registrazione

Per pubblicare e salvare in modo permanente i piani di viaggio, può creare un account. A tal fine trattiamo il suo indirizzo di posta elettronica e la sua password, che viene memorizzata esclusivamente come hash sicuro (procedura: scrypt) — non conosciamo la sua password in chiaro. La base giuridica è l’esecuzione del contratto d’uso (art. 6(1)(b) RGPD). Senza account può utilizzare il builder localmente nel suo browser.

6. Contenuti dei piani di viaggio e dell’utente

Quando crea e salva piani di viaggio, trattiamo i contenuti da lei inseriti (p. es. titoli, giorni, punti del programma, luoghi, note) nonché gli allegati PDF facoltativi (ad esempio biglietti) che carica lei stesso. Trattiamo questi dati per fornirle la funzione «creare, salvare e condividere un piano di viaggio». La base giuridica è l’art. 6(1)(b) RGPD. I contenuti dei piani pubblicati sono accessibili tramite il link da lei condiviso oppure — in caso di protezione con password — solo dopo l’inserimento della password.

7. Chiave IA personale (BYOK)

TravelSwallow segue il principio «Bring Your Own Key»: per le funzioni di IA utilizza la sua chiave API personale del rispettivo fornitore. Per impostazione predefinita, questa chiave viene conservata esclusivamente in locale nel suo browser. Se decide di memorizzare comodamente la chiave nel suo account, la conserviamo cifrata con AES-256-GCM. La chiave non viene mai registrata (log) e mai restituita al lato client. La base giuridica è il suo consenso o l’esecuzione del contratto (art. 6(1)(a) e (b) RGPD). Può eliminare in qualsiasi momento una chiave memorizzata nelle impostazioni.

8. Trattamento mediante IA/LLM

Quando avvia una generazione tramite IA, gli input necessari (contenuto del prompt, p. es. preferenze di viaggio) vengono trasmessi al rispettivo fornitore di IA e ivi trattati. Occorre distinguere due situazioni:

  • Generazioni finanziate da noi (impostazione predefinita): le generazioni gratuite nel free tier nonché le generazioni provenienti da formule e pacchetti a pagamento sono trattate tramite il nostro fornitore di IA Anthropic (Claude), a nostre spese e con la nostra chiave.
  • Con la propria chiave (BYOK): se ha memorizzato una propria chiave API, il trattamento avviene tramite il fornitore da lei scelto (Anthropic, OpenAI o Google) con la sua chiave.

Si applicano le disposizioni sulla protezione dei dati del fornitore di volta in volta utilizzato. A seconda del fornitore, può verificarsi un trasferimento verso un paese terzo (in particolare gli USA); in tal caso i fornitori si basano su garanzie adeguate quali le clausole contrattuali tipo dell’UE (SCC). I contenuti dei prompt non vengono da noi conservati più a lungo di quanto necessario alla fornitura della funzione. La preghiamo di non includere dati personali sensibili di terzi negli input dell’IA. La base giuridica è l’art. 6(1)(b) RGPD (fornitura della funzione) o (a) (consenso).

9. Meteo in tempo reale

I piani di viaggio possono visualizzare dati meteorologici attuali. Questa richiesta avviene lato client (nel suo browser) direttamente verso api.open-meteo.com, con trasmissione delle coordinate del luogo del piano di viaggio in questione. In tal caso il fornitore Open-Meteo può, per ragioni tecniche, trattare il suo indirizzo IP. Si applicano le disposizioni sulla protezione dei dati di Open-Meteo. La base giuridica è l’art. 6(1)(f) RGPD (fornitura della funzione richiesta).

10. Cookie

Utilizziamo esclusivamente cookie tecnicamente necessari. In concreto si tratta di:

  • un cookie di sessione che, dopo il login, mantiene attiva la sua autenticazione, e
  • cookie di sblocco che ricordano che ha già inserito correttamente la password di un piano protetto da password.

Non utilizziamo cookie di analisi, tracciamento o marketing e non integriamo alcun servizio di questo tipo. Poiché i cookie menzionati sono strettamente necessari al funzionamento delle funzioni da lei richieste, non richiedono il consenso; la base giuridica è l’art. 6(1)(f) RGPD.

11. Trattamento dei pagamenti

Per le formule a pagamento (Plus, Pro), il modulo aggiuntivo «+5 piani» e i pacchetti una tantum di generazioni IA trattiamo i pagamenti tramite il prestatore di servizi di pagamento Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublino, Irlanda). A tal fine vengono trattati in particolare i seguenti dati:

  • il suo nome e il suo indirizzo di posta elettronica,
  • i dati di pagamento (p. es. dati della carta di credito o bancari) che lei inserisce direttamente presso Stripe e che noi stessi non possiamo né visualizzare né memorizzare,
  • gli identificativi cliente, di abbonamento e di pagamento che Stripe ci restituisce per associare il suo ordine.

La base giuridica è l’esecuzione del contratto relativo alla prestazione a pagamento (art. 6(1)(b) RGPD). Stripe tratta i dati in qualità di titolare autonomo secondo le proprie disposizioni; i dettagli sono reperibili nell’informativa sulla privacy di Stripe all’indirizzo stripe.com/privacy. Finché non ordina alcuna prestazione a pagamento, tramite Stripe non viene trattato alcun dato.

12. Partner di affiliazione e link di prenotazione

I piani di viaggio possono contenere link di prenotazione o di biglietteria verso fornitori terzi (p. es. GetYourGuide, Tiqets). Si tratta di link di affiliazione contrassegnati come «pubblicità» («Anzeige»): se prenota qualcosa tramite un tale link, potremmo percepire una provvigione — senza alcun sovrapprezzo per lei. Quando fa clic su un link di affiliazione o di prenotazione, viene reindirizzato al partner in questione; l’accesso al sito del partner è effettuato da lei stesso. In tale operazione non trasmettiamo attivamente alcun dato personale al partner. Sul sito di destinazione possono tuttavia attivarsi cookie o meccanismi di tracciamento del partner, sui quali non abbiamo alcuna influenza; a essi si applicano le disposizioni sulla protezione dei dati del rispettivo partner. La base giuridica è il nostro interesse legittimo al finanziamento dell’offerta gratuita (art. 6(1)(f) RGPD).

13. E-mail transazionali

Nell’ambito dell’esecuzione del contratto inviamo all’indirizzo di posta elettronica da lei indicato le e-mail transazionali necessarie (p. es. conferme relative a ordini, abbonamenti o operazioni sull’account). L’invio avviene tramite il nostro server di posta. La base giuridica è l’art. 6(1)(b) RGPD (esecuzione del contratto) o l’art. 6(1)(f) RGPD (interesse legittimo a informarla in merito a operazioni rilevanti per il servizio).

14. Periodo di conservazione

Conserviamo i dati dell’account e dei piani fino alla cessazione del rapporto d’uso o fino all’eliminazione del suo account. Può eliminare lei stesso il suo account e tutti i dati a esso associati in qualsiasi momento nelle impostazioni; i dati vengono quindi cancellati. I dati relativi agli ordini a pagamento vengono conservati per la durata di volta in volta prescritta al fine di adempiere agli obblighi legali di conservazione (in particolare di natura fiscale e commerciale). I file di log del server vengono cancellati a breve termine, come descritto al punto 3.

15. Destinatari / categorie di destinatari

I suoi dati vengono comunicati solo ai destinatari necessari per il funzionamento, in particolare:

  • il fornitore di hosting (responsabile del trattamento, server in Austria/UE),
  • il nostro fornitore di IA Anthropic (per le generazioni finanziate da noi) o il fornitore di IA da lei scelto (Anthropic, OpenAI o Google) in caso di utilizzo di una chiave personale,
  • il prestatore di servizi di pagamento Stripe (solo per gli ordini a pagamento, vedere il punto 11),
  • i partner di affiliazione — esclusivamente tramite il suo clic su un link di prenotazione (vedere il punto 12),
  • Open-Meteo (richiesta meteo lato client),
  • le autorità, nella misura in cui siamo legalmente tenuti a farlo.

Escludiamo la vendita dei suoi dati o la loro comunicazione a fini pubblicitari.

16. Trasferimento dei dati verso paesi terzi

Un trasferimento verso paesi terzi avviene in particolare in relazione al trattamento mediante IA (vedere il punto 8), quando il fornitore utilizzato vi tratta i dati, nonché, se del caso, nell’ambito del trattamento dei pagamenti tramite Stripe. Tale trasferimento avviene sulla base di garanzie adeguate (in particolare le clausole contrattuali tipo dell’UE) o di una decisione di adeguatezza, ove esistente.

17. Misure tecniche e organizzative (MTO)

Adottiamo misure tecniche e organizzative adeguate per proteggere i suoi dati, tra cui la cifratura del trasporto (TLS/HTTPS), la memorizzazione delle password sotto forma di hash (scrypt), la cifratura AES-256-GCM delle chiavi IA memorizzate, limitazioni di accesso nonché l’aggiornamento periodico del software utilizzato.

18. I suoi diritti

In qualità di interessato, le spettano i seguenti diritti:

  • diritto di accesso (art. 15 RGPD),
  • diritto di rettifica (art. 16 RGPD),
  • diritto alla cancellazione (art. 17 RGPD),
  • diritto alla limitazione del trattamento (art. 18 RGPD),
  • diritto alla portabilità dei dati (art. 20 RGPD),
  • diritto di opposizione al trattamento (art. 21 RGPD),
  • diritto di revocare un consenso prestato con effetto per il futuro (art. 7(3) RGPD).

Per esercitare i suoi diritti è sufficiente un messaggio informale a hello@webhoch.com.

19. Diritto di reclamo

Fatto salvo ogni altro mezzo di ricorso, lei ha il diritto di proporre reclamo a un’autorità di controllo. Per l’Austria si tratta dell’Autorità austriaca per la protezione dei dati, Barichgasse 40–42, 1030 Vienna (www.dsb.gv.at).

20. Assenza di processi decisionali automatizzati

Non ha luogo alcun processo decisionale automatizzato, compresa la profilazione ai sensi dell’art. 22 RGPD. I risultati delle funzioni di IA sono semplici suggerimenti e non producono alcun effetto giuridico nei suoi confronti.

21. Modifiche della presente informativa sulla privacy

Ci riserviamo il diritto di adeguare la presente informativa sulla privacy affinché sia sempre conforme ai requisiti di legge vigenti o per attuare modifiche delle nostre prestazioni. Per la sua prossima visita si applicherà la versione di volta in volta vigente.