Privacy Policy

1. Introduzione e Titolare del Trattamento

La presente Privacy Policy descrive le modalità di raccolta, utilizzo e protezione dei dati personali degli utenti che utilizzano il sito web di prenotazione di Smeralda Private SPA (di seguito "Sito"), in conformità al Regolamento Generale sulla Protezione dei Dati (GDPR - Reg. UE 2016/679) e alla normativa italiana applicabile.

2. Dati Personali Raccolti e Finalità del Trattamento

2.1 Dati per la Prenotazione (Base Giuridica: Esecuzione del Contratto - Art. 6(1)(b) GDPR)

Per finalizzare una prenotazione presso la nostra spa, raccogliamo i seguenti dati essenziali:

• Dati anagrafici: Nome, cognome, codice fiscale degli ospiti
• Dati di contatto: Indirizzo email, numero di telefono
• Dati di fatturazione: Indirizzo completo (via, città, CAP, paese)
• Dettagli della prenotazione: Data, ora, durata, pacchetto selezionato, numero di ospiti, addon scelti

Questi dati sono necessari per gestire la vostra prenotazione, inviarvi conferme, promemoria e per adempiere agli obblighi contrattuali e fiscali.

2.2 Dati Relativi alla Salute e Servizi di Massaggio (Base Giuridica: Consenso Esplicito - Art. 9(2)(a) GDPR)

Qualora decidiate di prenotare uno o più servizi di massaggio, potremmo raccogliere informazioni aggiuntive fornite volontariamente da voi tramite il campo "Note Aggiuntive" (es. particolari sensibilità fisiche, allergie o desideri specifici). Questi dati rientrano nelle "categorie particolari di dati personali" (dati relativi alla salute) e vengono trattati esclusivamente per:

• Garantire che il massaggio venga eseguito in totale sicurezza e nel rispetto delle vostre condizioni fisiche.
• Organizzare la rotazione dei massaggi: in caso di prenotazioni multiple, i massaggi verranno eseguiti a rotazione nelle ore adiacenti a quella dedicata al massaggio.
• Gestire l'estensione gratuita della prenotazione: l'aggiunta di un massaggio comporta l'aggiunta di un'ora gratuita alla vostra permanenza in spa (il cui costo è coperto dal servizio di massaggio stesso).

Il trattamento di questi dati avviene solo previo vostro consenso esplicito, manifestato al momento dell'inserimento delle note. I dati sulla salute non verranno mai utilizzati per finalità di marketing e saranno accessibili solo al personale strettamente necessario (es. le operatrici del massaggio).

2.3 Dati per Obblighi Fiscali e Legali (Base Giuridica: Obbligo di Legge - Art. 6(1)(c) GDPR)

I dati di fatturazione (nome, cognome, indirizzo, codice fiscale/Partita IVA) sono conservati per 10 anni dalla cessazione del rapporto contrattuale, in conformità agli obblighi fiscali italiani (Art. 2220 Codice Civile).

2.4 Dati per Marketing Diretto (Base Giuridica: Consenso - Art. 6(1)(a) GDPR)

Con il vostro consenso esplicito, possiamo utilizzare il vostro indirizzo email per inviarvi:

• Newsletter con aggiornamenti sui nostri servizi
• Codici sconto, coupon e vantaggi riservati agli iscritti
• Promozioni e offerte speciali
• Informazioni su nuovi pacchetti e addon

In caso di iscrizione alla newsletter tramite il popup dedicato, il trattamento dei dati avviene sulla base del consenso espresso. Iscriversi comporta la possibilità di ricevere vantaggi economici (es. sconti) come incentivo, senza che ciò pregiudichi la libertà del consenso stesso.

Il consenso è facoltativo e può essere revocato in qualsiasi momento tramite il link presente in ogni email o contattandoci direttamente. I dati raccolti per questa finalità sono conservati per un massimo di 24 mesi dall'ultimo rinnovo del consenso o fino alla revoca.

2.5 Dati di Navigazione e Cookie

Il Sito raccoglie automaticamente alcuni dati tecnici durante la navigazione. Per informazioni dettagliate sui cookie, consultare la nostra Cookie Policy.

3. Destinatari dei Dati Personali

I vostri dati personali possono essere comunicati ai seguenti soggetti:

• Fornitori di servizi tecnici: Provider di hosting (Vercel), servizi di gestione database (PostgreSQL/Supabase)
• Processori di pagamento: Stripe per la gestione sicura dei pagamenti online
• Servizi di email: Resend per l'invio di conferme di prenotazione e comunicazioni
• Servizi di analisi: Vercel Analytics (analisi anonime delle performance del sito), Meta Pixel (previa raccolta del consenso per cookie di profilazione)
• Consulenti fiscali e legali: Per adempiere agli obblighi di legge
• Autorità competenti: In caso di richieste legittime da parte di forze dell'ordine o autorità giudiziarie

Tutti i soggetti terzi che trattano dati per nostro conto agiscono come Responsabili del Trattamento e sono vincolati da accordi che garantiscono la sicurezza e la riservatezza dei dati.

4. Trasferimenti Internazionali di Dati

Alcuni dei nostri fornitori di servizi (es. Vercel, Stripe) possono trovarsi al di fuori dello Spazio Economico Europeo (SEE). In tali casi, adottiamo le seguenti garanzie:

• Utilizzo di Clausole Contrattuali Standard approvate dalla Commissione Europea
• Adesione dei fornitori a framework riconosciuti (es. Data Privacy Framework UE-USA)
• Certificazioni ISO/IEC 27001 per la sicurezza dei dati

5. Periodo di Conservazione dei Dati

Conserviamo i dati personali solo per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

Al termine di questi periodi, i dati vengono cancellati in modo sicuro o resi irreversibilmente anonimi.

6. Diritti dell'Interessato

In qualità di interessato, ai sensi degli Artt. 15-22 del GDPR, avete il diritto di:

• Accesso (Art. 15): Ottenere conferma dell'esistenza di dati personali che vi riguardano e riceverne una copia
• Rettifica (Art. 16): Richiedere la correzione di dati inesatti o l'integrazione di dati incompleti
• Cancellazione (Art. 17): Richiedere la cancellazione dei dati ("diritto all'oblio"), salvo obblighi di legge
• Limitazione (Art. 18): Richiedere la limitazione del trattamento in circostanze specifiche
• Portabilità (Art. 20): Ricevere i dati in un formato strutturato e trasferirli a un altro titolare
• Opposizione (Art. 21): Opporsi al trattamento per motivi legittimi
• Revoca del consenso: Revocare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento pregresso)

Per esercitare questi diritti, potete contattarci via email all'indirizzo info@smeraldaprivatespa.it indicando nell'oggetto "Esercizio Diritti GDPR".

7. Misure di Sicurezza

Adottiamo misure tecniche e organizzative appropriate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione illecita (Art. 32 GDPR), tra cui:

• Cifratura dei dati in transito (TLS/SSL) e a riposo nel database
• Controlli di accesso basati su ruoli con autenticazione sicura
• Backup regolari e procedure di disaster recovery
• Audit periodici della sicurezza e test di vulnerabilità
• Formazione del personale sulla protezione dei dati

8. Gestione delle Violazioni dei Dati (Data Breach)

In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà degli interessati, notificheremo tempestivamente l'incidente al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta (Art. 33 GDPR). Se la violazione presenta un rischio elevato, ne informeremo direttamente anche gli interessati coinvolti (Art. 34 GDPR).

9. Diritto di Reclamo all'Autorità di Controllo

Se ritenete che il trattamento dei vostri dati personali violi il GDPR, avete il diritto di presentare un reclamo al Garante per la Protezione dei Dati Personali:

10. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare o aggiornare questa Privacy Policy in qualsiasi momento per adeguarci a cambiamenti normativi o operativi. Le modifiche sostanziali saranno comunicate agli utenti registrati tramite email o mediante un avviso ben visibile sul Sito. Vi invitiamo a consultare periodicamente questa pagina per rimanere informati.

Ultimo aggiornamento: 13 dicembre 2025