landing.nav.privacy

Informativa sulla privacy

Ultimo aggiornamento: 2 giugno 2026

1. Titolare del trattamento

Titolare del trattamento ai sensi del GDPR (Art. 13, par. 1, lett. a): Jacob Wieser, Widumacker 16, 39050 Jenesien (BZ), Italia. Contatto: info@climactra.com. Ulteriori informazioni nelle Note legali. Non è stato nominato un Responsabile della Protezione dei Dati (DPO) poiché le condizioni di cui all'Art. 37 GDPR non sono soddisfatte.

2. Dati raccolti

Raccogliamo e trattiamo i seguenti dati personali:

  • Dati dell'account: Nome, cognome, indirizzo e-mail (base giuridica: Art. 6, par. 1, lett. b GDPR — esecuzione del contratto)
  • Autenticazione: Hash della password (bcrypt con fattore di costo 12), codice monouso hashato per la verifica e-mail (OTP, massimo 5 tentativi, invalidazione automatica alla scadenza), TOTP secret opzionale (crittografato con AES-256-GCM) e codici di recupero hashati per l'autenticazione a due fattori, nonché hash dei token di reset password. Base giuridica: Art. 6, par. 1, lett. b e f GDPR — esecuzione del contratto e sicurezza dell'account.
  • Log di sicurezza: Indirizzo IP, user agent durante i tentativi di accesso (base giuridica: Art. 6, par. 1, lett. f GDPR — interesse legittimo: protezione da attacchi brute-force)
  • Dati dell'hotel: Nome dell'hotel, indirizzo, classificazione a stelle, numero di camere/letti, equivalenti a tempo pieno, stagionalità e indicatori operativi, dati di consumo, e-mail di contatto principale. Per gli hotel italiani, ove forniti dal cliente: Partita IVA, Codice Fiscale, indirizzo PEC, codice ATECO. Per gli hotel DACH eventualmente la partita IVA estera. Base giuridica: Art. 6, par. 1, lett. b GDPR — esecuzione del contratto.
  • Prova del consenso: Indirizzo IP e timestamp al momento dell'accettazione delle CGS/Informativa privacy (base giuridica: Art. 6, par. 1, lett. c GDPR — obbligo di dimostrare il consenso ai sensi dell'Art. 7, par. 1 GDPR)
  • Dati di fatturazione: ID cliente Stripe (per utente; un unico record cliente pagante) e ID abbonamenti Stripe (per hotel — ogni hotel dispone del proprio abbonamento) nonché dati del periodo di fatturazione (base giuridica: Art. 6, par. 1, lett. b GDPR — esecuzione del contratto). I dati della carta di credito, del conto corrente e lo storico delle fatture sono conservati esclusivamente da Stripe, non nel nostro sistema. In caso di eliminazione dell'account, anche il record cliente Stripe associato viene eliminato automaticamente (GDPR art. 17).
  • Documenti: Documenti caricati (fatture, bolle di consegna) come prova dei dati di consumo (base giuridica: Art. 6, par. 1, lett. b GDPR — esecuzione del contratto)
  • Inviti: Indirizzi e-mail dei membri del team invitati (base giuridica: Art. 6, par. 1, lett. f GDPR — interesse legittimo: funzionalità di team). L'indirizzo e-mail viene inserito dal Proprietario che invita (fonte dei dati ai sensi dell'Art. 14, par. 2, lett. f GDPR). La persona invitata viene informata del trattamento tramite l'e-mail di invito e può in qualsiasi momento rifiutare l'invito o opporsi al trattamento scrivendo a info@climactra.com. Gli inviti non accettati vengono eliminati automaticamente dopo 7 giorni.
  • Iscrizioni alla lista d'attesa (AT/DE/CH): In caso di iscrizione alla lista d'attesa per i mercati fuori dall'Italia conserviamo: indirizzo e-mail, nome dell'hotel, paese selezionato, lingua, indirizzo IP e user agent (troncato). Finalità: notifica all'avvio del servizio nel paese di riferimento. Base giuridica: Art. 6, par. 1, lett. a GDPR (consenso espresso mediante l'invio attivo del modulo). L'indirizzo IP e lo user agent vengono utilizzati esclusivamente per il rilevamento spam e non per attività di profilazione. Il consenso può essere revocato in qualsiasi momento con effetto per il futuro scrivendo a info@climactra.com (Art. 7, par. 3 GDPR); la liceità del trattamento effettuato fino alla revoca resta impregiudicata.
  • Modulo di contatto: All'invio del modulo di contatto su /kontakt trattiamo nome, indirizzo e-mail, facoltativamente il nome dell'hotel e il Suo messaggio. Tali dati vengono trasmessi via e-mail a info@climactra.com. Inoltre trattiamo temporaneamente ed esclusivamente lato server il Suo indirizzo IP ai fini del rate-limit (max. 3 richieste all'ora, protezione antispam). L'indirizzo IP non è incluso nell'e-mail e viene eliminato automaticamente alla scadenza della finestra temporale (60 minuti). Base giuridica per la trasmissione e-mail: Art. 6, par. 1, lett. a GDPR (consenso espresso mediante spunta attiva della casella sulla privacy); in via complementare Art. 6, par. 1, lett. b GDPR quando la richiesta avvia un rapporto contrattuale. Base giuridica per il trattamento dell'IP ai fini del rate-limit: Art. 6, par. 1, lett. f GDPR — interesse legittimo alla protezione contro spam e richieste automatizzate. Il consenso può essere revocato in qualsiasi momento con effetto per il futuro scrivendo a info@climactra.com (Art. 7, par. 3 GDPR); la liceità del trattamento effettuato fino alla revoca resta impregiudicata.
  • Cronologia modifiche (audit-trail): Ogni modifica ai dati di consumo, emissione o anagrafici viene registrata con timestamp e attribuzione all'account utente che l'ha effettuata. Base giuridica: Art. 6, par. 1, lett. b e c GDPR — esecuzione del contratto e obbligo di garantire la riproducibilità di calcoli e report storici. Importante per gli account di dipendenti (Membership): il PROPRIETARIO, in qualità di titolare del trattamento, è tenuto a informare i propri collaboratori in merito a tale tracciamento ai sensi dell'Art. 13 GDPR.

Il conferimento dei dati dell'account è un prerequisito contrattuale per l'utilizzo del servizio. Senza tali dati non è possibile creare un account. La raccolta dei log di sicurezza avviene automaticamente ed è tecnicamente necessaria per il funzionamento. L'iscrizione alla lista d'attesa e l'utilizzo del modulo di contatto sono facoltativi e si fondano esclusivamente sul consenso prestato.

3. Verifica della sicurezza della password

Durante la registrazione e la modifica della password, verifichiamo la Sua password confrontandola con un database di password compromesse note (HaveIBeenPwned). La Sua password non viene trasmessa: vengono inviati solo i primi 5 caratteri di un valore hash SHA-1 (metodo k-anonymity). Il servizio è gestito da Troy Hunt (Australia/USA).

Base giuridica: Art. 6, par. 1, lett. f GDPR (interesse legittimo: protezione del Suo account). Il trasferimento avviene in forma crittografata (HTTPS). Sulla base del modello k-anonymity, l'identificazione della Sua password è tecnicamente impossibile.

4. Periodi di conservazione

  • Log di accesso (IP, user agent): 90 giorni, poi eliminati automaticamente
  • Sessioni attive: 30 giorni di inattività, poi eliminate automaticamente
  • Log di audit di sicurezza: 365 giorni, poi eliminati automaticamente
  • Dati dell'account: Fino all'eliminazione dell'account da parte dell'utente
  • Dati dell'hotel e dei consumi: I dati di consumo, i report e i dati anagrafici dell'hotel rimangono memorizzati fino a quando il PROPRIETARIO elimina l'hotel o l'account associato viene eliminato.
  • Documenti/allegati: 10 anni dalla data di caricamento, ai sensi dell'obbligo di conservazione delle scritture contabili previsto dall'Art. 2220 del Codice Civile italiano. In caso di eliminazione anticipata dell'account o dell'hotel viene eseguita una soft-deletion — il file resta criptato nello storage fino alla scadenza del periodo di conservazione, dopodiché viene eliminato definitivamente in modo automatico.
  • Inviti: 7 giorni dalla creazione, poi eliminati automaticamente
  • Iscrizioni alla lista d'attesa: Al massimo 24 mesi dall'iscrizione (per l'invio della notifica di lancio nel paese di riferimento), dopodiché cancellazione automatica. Cancellazione immediata in caso di revoca del consenso.
  • Messaggi del modulo di contatto: (e-mail nella casella del titolare): fino alla conclusione della trattazione della Sua richiesta, al più tardi cancellazione dopo 6 mesi — salvo obblighi di conservazione previsti dalla legge. Cancellazione immediata in caso di revoca del consenso.
  • Log e-mail: (destinatario, oggetto, tipo, stato di consegna): 90 giorni, poi eliminati automaticamente
  • Voci rate limit: (basate su IP, riguardano anche il modulo di contatto): alcune ore, eliminate automaticamente alla scadenza
  • Log di sistema: (log errori): 180 giorni, poi eliminati automaticamente
  • Cronologia modifiche dati di consumo: 7 anni (obbligo di conservazione legale ai sensi dell'Art. 2220 del Codice Civile italiano)
  • Cronologia modifiche fattori di emissione: 10 anni (riproducibilità dei report storici)

5. I Suoi diritti (GDPR)

Ha i seguenti diritti riguardo ai Suoi dati personali:

  • Accesso (Art. 15): Esportazione di tutti i Suoi dati in formato JSON nelle impostazioni dell'account
  • Rettifica (Art. 16): I dati del profilo (nome, e-mail, password) possono essere modificati in qualsiasi momento nelle impostazioni dell'account
  • Cancellazione (Art. 17): Eliminazione completa dell'account, inclusi tutti i dati associati, nelle impostazioni dell'account
  • Limitazione del trattamento (Art. 18): Contattateci via e-mail a info@climactra.com
  • Portabilità dei dati (Art. 20): Esportazione JSON leggibile da macchina
  • Opposizione (Art. 21): Contattateci via e-mail a info@climactra.com
  • Diritto di reclamo (Art. 77): Ha il diritto di presentare un reclamo all'autorità di controllo competente. Per l'Italia: Garante per la protezione dei dati personali, www.garanteprivacy.it. Per l'Austria: Österreichische Datenschutzbehörde, www.dsb.gv.at. Per la Germania: l'autorità per la protezione dei dati del Suo Land.

6. Cookie e archiviazione locale

Utilizziamo esclusivamente cookie tecnicamente necessari e l'archiviazione locale del browser per preferenze di comodità. Tutte le operazioni di impostazione avvengono o automaticamente nell'ambito dell'autenticazione o dopo un'azione attiva dell'utente — nessun tracciamento automatico, nessun cookie di marketing o pubblicità.

Cookie utilizzati

  • Cookie di sessione (next-auth, JWT, 30 giorni, HttpOnly, Secure, SameSite=Lax) — impostato dopo l'accesso, necessario per l'autenticazione.
  • Cookie token CSRF (next-auth, durata sessione, HttpOnly) — protezione contro Cross-Site-Request-Forgery, necessario per l'invio sicuro di form.
  • Cookie preferenza linguistica (NEXT_LOCALE, 1 anno) — impostato quando cambia la lingua o alla prima visita al sito.
  • Marcatore di cambio lingua (locale_decided, 1 anno) — evita reindirizzamenti linguistici automatici ripetuti.

LocalStorage (non un cookie)

  • Preferenza tema (theme = light | dark) — impostata quando attiva la modalità scura nella dashboard. Resta solo nel browser, non viene trasmessa ai nostri server.

Misurazione del traffico

Se attivata, utilizziamo esclusivamente una misurazione del traffico self-hosted e priva di cookie (Umami). Non vengono impostati cookie, non vengono assegnati ID utente e non viene effettuato alcun tracciamento cross-site. Il browser genera invece un hash anonimizzato a rotazione giornaliera dall'indirizzo IP e dallo user agent, utilizzato esclusivamente per distinguere le sessioni nell'arco della singola giornata. Base giuridica: Art. 6, par. 1, lett. f GDPR (legittimo interesse alla misurazione del traffico). Poiché non avviene alcuna operazione di archiviazione o accesso ai sensi dell'Art. 5, par. 3 della Direttiva ePrivacy, non è richiesto il consenso.

Attualmente non viene richiesto un consenso separato per i cookie (Art. 5, par. 3, Direttiva ePrivacy — tutti i cookie impostati sono strettamente necessari per il servizio espressamente richiesto dall'utente).

7. Misure di sicurezza (Art. 32 GDPR)

  • Password: bcrypt con fattore di costo 12
  • Segreti TOTP: crittografia AES-256-GCM
  • Token: hash SHA-256 + confronto timing-safe
  • Trasporto: HTTPS con HSTS (1 anno, preload)
  • Protezione brute-force: rate limiting persistente + blocco dell'account
  • Rilevamento violazioni: rilevamento automatico di pattern di accesso sospetti
  • Protezione CSRF: validazione dell'origine + enforcement del content-type
  • Content Security Policy: header CSP restrittivi senza unsafe-eval

8. Servizi di terze parti e trasferimento dati

Per finalità chiaramente delimitate impieghiamo i seguenti servizi esterni. Tre di essi hanno sede negli USA, sulla base giuridica indicata di volta in volta qui sotto:

  • Hetzner Online GmbH (Gunzenhausen, Germania): Hosting (VPS) e archiviazione cifrata dei backup di tutti i dati anagrafici e di consumo degli hotel. Esclusivamente server UE (data center in Germania e Finlandia), nessun trasferimento verso paesi terzi. Base giuridica: Art. 6, par. 1, lett. b e f GDPR. Accordo sul trattamento dei dati in essere.
  • API HaveIBeenPwned: Verifica di password compromesse durante la registrazione/modifica (vedi sezione 3). Trasferimento: USA, basato su k-anonymity — nessun trasferimento di dati personali.
  • Stripe Payments Europe Ltd. (Irlanda): Elaborazione pagamenti (carta di credito) e fatturazione. A Stripe vengono trasmessi i dati di pagamento e i dati anagrafici necessari per la fattura: ragione sociale, partita IVA, indirizzo di fatturazione, PEC e codice fiscale. Nessun dato su emissioni/consumi e nessuna credenziale di accesso/account viene condivisa con Stripe. La controparte contrattuale è Stripe Payments Europe Ltd. (Dublino, Irlanda); per parte dell'infrastruttura Stripe utilizza sub-responsabili negli USA (Stripe Inc.) sulla base dell'EU-US Data Privacy Framework e delle Clausole Contrattuali Standard.
  • Sentry (Functional Software Inc., USA): Monitoraggio errori e performance. Sentry riceve dati tecnici sugli errori (stack trace, tipo di browser, URL). Gli indirizzi IP vengono anonimizzati lato server; nessun dato personale viene trasmesso intenzionalmente. Trasferimento: USA, sulla base delle Standard Contractual Clauses (SCCs).
  • Brevo SAS (Parigi, Francia): Invio di e-mail transazionali e notifiche relative alla lista d'attesa (codici di verifica, avvisi di sicurezza, notifiche di fatturazione, comunicazioni di avvio del servizio nei nuovi mercati). Brevo tratta esclusivamente l'indirizzo e-mail del destinatario, oggetto e contenuto del messaggio. Sede e trattamento principale nell'UE (Francia); Brevo si avvale di sub-responsabili anche con sede negli USA (Amazon Web Services) per la propria infrastruttura di mailing, sulla base delle Clausole Contrattuali Standard e dell'EU-US Data Privacy Framework. Accordo sul trattamento dei dati con Brevo in essere.
  • IONOS SE (Montabaur, Germania): Registrar di dominio, risoluzione DNS e casella e-mail per info@climactra.com (ricezione della corrispondenza commerciale). Server UE, nessun trasferimento verso paesi terzi. Accordo sul trattamento dei dati in essere.

Nessun dato personale viene condiviso con terze parti a fini pubblicitari o di marketing.

9. Processo decisionale automatizzato

Non viene effettuato alcun processo decisionale automatizzato o profilazione ai sensi dell'Art. 22 GDPR. I calcoli delle emissioni CO₂ sono operazioni puramente matematiche basate sui dati di consumo inseriti dall'utente e su fattori di emissione pubblicamente accessibili.

10. Ruolo nel trattamento dei dati

A seconda della categoria di dati, Climactra agisce in ruoli diversi ai sensi della normativa sulla protezione dei dati:

  • Titolare del trattamento (Art. 4, n. 7 GDPR): Per tutte le operazioni di trattamento descritte nella presente Informativa — ossia visite al sito di marketing, dati account e di autenticazione, dati di pagamento Stripe, iscrizioni alla lista d'attesa, log di sicurezza e tutti gli altri dati indicati nelle sezioni da 2 a 8. Fornitore e titolare: Jacob Wieser (indirizzo nelle Note legali).
  • Responsabile del trattamento (Art. 4, n. 8 GDPR): Per i dati personali che Lei in qualità di cliente (hotel) carica o tratta all'interno della piattaforma nell'ambito dell'esecuzione del contratto — in particolare dati di dipendenti e dati di occupazione. In questo caso Lei (l'hotel) è titolare del trattamento, Climactra è responsabile del trattamento. I diritti e gli obblighi di entrambe le parti sono disciplinati dall'Accordo sul trattamento dei dati (DPA), che costituisce l'Allegato 1 ed è parte integrante delle CGS, concluso all'atto della stipula del contratto.

11. Modifiche alla presente informativa

Ci riserviamo il diritto di aggiornare la presente informativa in caso di modifiche al servizio o di nuovi requisiti di legge. La versione attuale è sempre disponibile su /datenschutz. In caso di modifiche sostanziali, i clienti registrati vengono informati via e-mail.