1. Chi siamo
La presente Informativa descrive come HOSPITALITY OPTIMAL MANAGEMENT ENGINEERING ltd, The Whispers Floor 3 Office 6, Triq Ross Paceville, St Julian’s, STJ 3109, Malta — P.IVA MT29286701 ("noi", il "Fornitore") tratta i dati personali in relazione alla piattaforma Optimal Management (il "Servizio"), un software di revenue management per strutture ricettive. Per ogni questione privacy è possibile contattarci all’indirizzo privacy@ho-me.consulting.
2. I nostri due ruoli ai sensi del GDPR
Trattiamo dati personali in due distinte qualità:
- Come titolare del trattamento per i dati personali dei referenti e degli utenti dei nostri clienti — dati di account, fatturazione, comunicazioni di assistenza e log di utilizzo. La presente Informativa disciplina tale trattamento.
- Come responsabile del trattamento per conto dei nostri clienti per i dati personali dei loro ospiti (es. nominativi e recapiti contenuti nelle prenotazioni sincronizzate dal gestionale del cliente). Tale trattamento è disciplinato dall’Accordo sul trattamento dei dati allegato al contratto di servizio; il cliente resta titolare dei dati degli ospiti. Gli ospiti devono rivolgere le proprie richieste alla struttura presso cui hanno prenotato.
3. Dati personali trattati
| Categoria |
Esempi |
Fonte |
| Dati di account |
Username, indirizzo email, telefono, ruolo, organizzazione |
Forniti dalla tua organizzazione o da te |
| Dati di autenticazione |
Password (conservata come hash bcrypt), segreto per autenticazione a due fattori opzionale (cifrato), codici di recupero (hash) |
Forniti da te |
| Dati di fatturazione |
Ragione sociale, P.IVA, indirizzo, IBAN per addebito SEPA |
Forniti dalla tua organizzazione |
| Log di utilizzo e sicurezza |
Indirizzo IP, timestamp, azioni svolte sulla piattaforma (registro di audit) |
Generati dal Servizio |
| Comunicazioni di assistenza |
Email e messaggi scambiati con noi |
Forniti da te |
| Dati degli ospiti (trattati per conto dei clienti) |
Nome, email, telefono dell’ospite, dettagli della prenotazione |
Sincronizzati dal PMS/channel manager del cliente |
4. Finalità e basi giuridiche
Non utilizziamo i tuoi dati personali per profilazione a fini di marketing, non vendiamo dati personali e non li cediamo a terzi per finalità proprie di questi ultimi.
| Finalità |
Base giuridica (GDPR) |
| Erogazione del Servizio, gestione account e autenticazione |
Art. 6(1)(b) — esecuzione del contratto |
| Fatturazione e incasso |
Art. 6(1)(b) e 6(1)(c) — contratto e obblighi di legge |
| Sicurezza: registro di audit, controllo accessi, prevenzione di frodi e abusi |
Art. 6(1)(f) — legittimo interesse alla sicurezza del Servizio |
| Assistenza e comunicazioni relative al Servizio |
Art. 6(1)(b) — esecuzione del contratto |
| Adempimento di obblighi di legge (fiscali, contabili) |
Art. 6(1)(c) — obbligo legale |
| Miglioramento del Servizio mediante statistiche aggregate e anonimizzate |
Art. 6(1)(f) — legittimo interesse (nessuna identificazione possibile) |
5. Accesso amministrativo e impersonificazione per assistenza
Il personale autorizzato del Fornitore (account master della piattaforma) può accedere agli account delle organizzazioni per finalità di assistenza e amministrazione, inclusa una funzione di "accesso come utente" utilizzata per riprodurre e risolvere problemi. Ogni accesso di questo tipo è registrato in un registro di audit a prova di manomissione e le azioni compiute durante l’impersonificazione sono attribuite all’amministratore, non all’utente.
6. Destinatari e sub-responsabili
I dati personali sono trattati per nostro conto dalle seguenti categorie di fornitori, sulla base di accordi sul trattamento dei dati:
| Fornitore |
Finalità |
Ubicazione |
| Render Services, Inc. (regione Francoforte) |
Hosting cloud, database, infrastruttura applicativa |
UE (Germania) |
| Brevo (Sendinblue SAS) |
Email transazionali (reset password, notifiche) |
UE (Francia) |
| Microsoft Ireland Operations Ltd |
Archiviazione a fini di conformità delle evidenze di audit (SharePoint) |
UE |
Le piattaforme PMS e channel manager (es. Smoobu, WuBook, KrossBooking) sono connesse su indicazione del cliente in forza dei contratti propri del cliente con tali fornitori.
7. Trasferimenti internazionali
Il Servizio è ospitato nell’Unione Europea (Francoforte, Germania). L’eventuale trasferimento di dati personali al di fuori dell’UE/SEE avverrà solo con garanzie adeguate ai sensi del Capo V del GDPR (es. decisioni di adeguatezza o Clausole Contrattuali Standard).
8. Conservazione
- Dati di account: per la durata del contratto e fino a 60 giorni dopo la cessazione, periodo entro il quale i dati del cliente sono esportati su richiesta e poi cancellati o anonimizzati.
- Dati di fatturazione: 10 anni, come richiesto dalla normativa fiscale e contabile.
- Registri di audit: conservati in forma de-identificata (riferiti al solo identificativo dell’account) per finalità di accountability; copie archiviate sono conservate come evidenza di conformità.
- Dati degli ospiti: trattati per il tempo indicato dal cliente; il cliente può richiederne in ogni momento l’anonimizzazione o la cancellazione.
9. Sicurezza
Applichiamo misure tecniche e organizzative adeguate, tra cui: cifratura in transito (TLS) e a riposo per le credenziali conservate (AES-256-GCM con chiavi per organizzazione), hashing bcrypt delle password, autenticazione a due fattori opzionale (TOTP), token di sessione a breve durata con rotazione, segregazione dei dati per organizzazione, accessi basati su ruoli, rate limiting e un registro di audit a prova di manomissione (hash-chained) con archiviazione settimanale off-site nell’UE.
10. I tuoi diritti
Ai sensi degli articoli 15–22 del GDPR hai diritto di accedere, rettificare, cancellare, limitare od opporti al trattamento dei tuoi dati personali, nonché diritto alla portabilità. Puoi esercitare tali diritti scrivendo a privacy@ho-me.consulting. Rispondiamo entro un mese. Hai inoltre diritto di proporre reclamo a un’autorità di controllo — a Malta, l’Information and Data Protection Commissioner (idpc.org.mt); in Italia, il Garante per la protezione dei dati personali (gpdp.it).
11. Cookie e archiviazione locale
Il Servizio utilizza esclusivamente memorizzazione tecnica di sessione strettamente necessaria all’autenticazione e al funzionamento dell’applicazione. Non utilizziamo cookie pubblicitari né di profilazione di terze parti.
12. Modifiche alla presente Informativa
Potremmo aggiornare periodicamente la presente Informativa. Le modifiche rilevanti saranno comunicate ai clienti via email o tramite la piattaforma prima della loro efficacia. La data in alto indica l’ultima revisione.