Informativa sul trattamento dei dati personali (Privacy Policy)

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)

1) Titolare del trattamento e contatti

Il Titolare del trattamento è Diomira Travel S.r.l., con sede legale in Via Ada Negri, 20 – 20042 Pessano con Bornago (MI), P. IVA 06617910960.
Per richieste o per l’esercizio dei diritti indicati nella presente informativa:

Diomira Travel S.r.l. non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti di legge. Le richieste privacy possono essere indirizzate direttamente al Titolare.

2) Tipologie di dati trattati

  • Dati identificativi e di contatto (nome, cognome, data/luogo di nascita, indirizzo, e-mail, telefono/WhatsApp).
  • Dati per prenotazioni/viaggi (estremi documento d’identità/passaporto, nazionalità, codice fiscale, riferimenti pratica, preferenze di viaggio, nominativi di accompagnatori).
  • Dati di pagamento e fatturazione (dati necessari all’operazione e dati fiscali; eventuali dati carta gestiti da PSP esterni).
  • Dati relativi all’assistenza clienti (comunicazioni via e-mail/telefono/WhatsApp).
  • Dati per marketing e preferenze (consensi, categorie di interesse, storico interazioni).
  • Dati tecnici di navigazione (es. IP, log): si rimanda alla Cookie Policy pubblicata separatamente.
  • Categorie particolari di dati (art. 9 GDPR) eventuali e solo se necessari, forniti dall’interessato per esigenze connesse al viaggio (es. condizioni/necessità sanitarie, allergie, disabilità, esigenze alimentari). Tali dati sono trattati solo con consenso esplicito e nei limiti di necessità; ove pertinenti, possono applicarsi le basi di cui all’art. 9, par. 2, lett. c) e/o f).

Minori: ove vengano forniti dati di minori, il trattamento avverrà nel rispetto della normativa applicabile e, se richiesto, con il consenso del titolare della responsabilità genitoriale.

3) Provenienza dei dati

I dati sono conferiti principalmente direttamente dall’interessato. In alcuni casi possono provenire da terzi (es. capogruppo che inserisce i partecipanti, agenzie intermediarie, partner). Chi comunica dati di terzi garantisce di averli informati e di disporre di idonea base giuridica per la comunicazione a Diomira Travel.

4) Finalità del trattamento e basi giuridiche

  1. A. Finalità contrattuali e precontrattuali
    Gestione richieste/preventivi, registrazione al sito, gestione prenotazioni (viaggi/servizi connessi), emissione documenti di viaggio, assistenza clienti, comunicazioni operative (conferme, variazioni, cancellazioni).
    Base giuridica: esecuzione di misure precontrattuali e/o di un contratto (art. 6, par. 1, lett. b GDPR). Natura del conferimento: necessaria.
  2. B. Adempimenti di legge
    Obblighi contabili/fiscali, di pubblica sicurezza, trasporto e turismo; riscontro a richieste di Autorità.
    Base giuridica: adempimento di un obbligo legale (art. 6, par. 1, lett. c GDPR). Natura del conferimento: obbligatoria.
  3. C. Sicurezza e tutela
    Prevenzione abusi/frodi, tutela dei diritti del Titolare (stragiudiziale/giudiziale).
    Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR), con bilanciamento di interessi.
  4. D. Statistiche interne su dati anonimizzati/aggregati
    Miglioramento servizi e pianificazione commerciale senza identificare gli utenti.
    Base giuridica: attività su dati non personali (fuori GDPR) o legittimo interesse (art. 6, par. 1, lett. f) con anonimizzazione.
  5. E. Marketing diretto di Diomira Travel
    Invio di newsletter, offerte, sconti, inviti a eventi, comunicazioni promozionali via canali automatizzati (e-mail/SMS/messaggistica) e/o tradizionali (posta/chiamate con operatore).
    Base giuridica: consenso (art. 6, par. 1, lett. a GDPR). Soft-spam: se sei già cliente, potremo inviare e-mail su servizi analoghi a quelli acquistati (art. 130, co. 4 Codice Privacy IT), fermo il tuo diritto di opposizione in ogni momento.
  6. F. Marketing di terzi (partner)
    Invio di comunicazioni promozionali di partner del settore turistico/ricettivo da parte nostra e/o comunicazione dei tuoi dati ai partner perché ti contattino direttamente.
    Base giuridica: consenso separato (art. 6, par. 1, lett. a GDPR). Natura del conferimento: facoltativa.
  7. G. Profilazione e customer satisfaction
    Analisi di preferenze/abitudini/area geografica per offerte personalizzate; sondaggi/questionari di soddisfazione. La profilazione consiste nel raggruppare gli interessati in cluster omogenei in base a viaggi/servizi fruiti, interazioni e preferenze. Non sono adottate decisioni unicamente automatizzate che producano effetti giuridici o simili significativi (art. 22 GDPR).
    Base giuridica: consenso separato (art. 6, par. 1, lett. a GDPR; per dati particolari art. 9, par. 2, lett. a). Natura del conferimento: facoltativa.

Conseguenze del mancato conferimento/consenso: per A-B non potremo erogare i servizi; per E-F-G nessuna conseguenza sui servizi principali, ma non potremo svolgere le attività corrispondenti (newsletter/promozioni, comunicazioni partner, profilazione).

5) Destinatari / categorie di destinatari

I dati non sono diffusi. Possono essere comunicati a:

  • Personale interno autorizzato, istruito e vincolato alla riservatezza.
  • Fornitori turistici coinvolti nella prenotazione/organizzazione (corrispondenti locali, compagnie aeree/navali/terrestri, strutture ricettive, compagnie assicurative viaggio), di norma Titolari autonomi per le rispettive finalità e informative.
  • Responsabili esterni (art. 28 GDPR): servizi IT/cloud, piattaforme di prenotazione/CRM, manutenzione sistemi, e-mail marketing/newsletter, customer care/call center, consulenti privacy/IT, indagini di mercato, vincolati da Data Processing Agreement.
  • Consulenti e professionisti (legali, fiscali, contabili), di regola Titolari autonomi.
  • Autorità/enti pubblici per obblighi di legge o ordini dell’Autorità.
  • Partner commerciali terzi (solo con consenso per finalità F): operatori del settore turistico/ricettivo, assicurazioni viaggio, sponsor di iniziative, quali Titolari autonomi delle proprie comunicazioni.

Elenco Responsabili esterni: disponibile presso la sede del Titolare e su richiesta via e-mail.

6) Trasferimenti di dati verso Paesi extra-UE

Il trattamento avviene principalmente nello SEE. Se per le finalità descritte (in particolare per prenotazioni/servizi in Paesi extra-UE) è necessario trasferire dati verso Paesi terzi:

  • se esiste decisione di adeguatezza (art. 45 GDPR), il trasferimento avviene su tale base;
  • in mancanza, il Titolare adotta garanzie adeguate (art. 46 GDPR), es. Clausole Contrattuali Standard;
  • ove non praticabili, il trasferimento può avvenire nelle deroghe dell’art. 49 GDPR, in particolare quando necessario all’esecuzione del contratto di viaggio di cui sei parte (art. 49, par. 1, lett. b), o previo consenso esplicito.

Informazioni su Paesi destinatari e copie delle garanzie ex artt. 45-46 possono essere richieste al Titolare.

7) Periodi di conservazione

  • Finalità contrattuali/precontrattuali (A): per tutta la durata del rapporto e, successivamente, fino a 10 anni per obblighi civilistici/fiscali e tutela giudiziale; in caso di contenzioso, fino alla definizione.
  • Obblighi di legge (B): per il tempo imposto dalle specifiche normative (es. 10 anni per documenti fiscali/contabili).
  • Sicurezza/tutela (C): per il tempo strettamente necessario al perseguimento del legittimo interesse e alla difesa in giudizio.
  • Marketing diretto (E) e marketing di terzi (F): fino a revoca del consenso e/o opposizione (opt-out), senza termine prefissato. In caso di revoca/opposizione, i dati sono immediatamente esclusi dall’uso per marketing.
  • Profilazione e customer satisfaction (G): massimo 12 mesi dalla raccolta/ultimo aggiornamento del profilo, salvo revoca anticipata; poi cancellazione o anonimizzazione/aggregazione.
  • Statistiche anonimizzate (D): senza limiti, poiché non costituiscono dati personali.

8) Modalità del trattamento e sicurezza

I dati sono trattati con strumenti cartacei, informatici e telematici, applicando misure tecniche e organizzative adeguate (art. 32 GDPR) per garantirne riservatezza, integrità e disponibilità, inclusi controlli di accesso, cifratura/pseudonimizzazione ove appropriato, segregazione ambienti e procedure di gestione di eventuali data breach.

9) Consensi, disiscrizione e opposizione (opt-out)

I consensi per marketing, marketing di terzi e profilazione sono raccolti separatamente (es. caselle distinte). Puoi revocare i consensi o opporti al marketing diretto (inclusa la profilazione correlata) in qualsiasi momento tramite:

  • link di disiscrizione presente in ogni e-mail promozionale;
  • contatto all’e-mail privacy@diomiratravel.it;
  • canali ufficiali indicati sul sito (es. telefono/WhatsApp) richiedendo la cancellazione.

La revoca/opposizione non pregiudica la liceità pregressa e comporta la cessazione immediata dei trattamenti per tali finalità.

10) Diritti dell’interessato

L’interessato può esercitare, nei limiti e alle condizioni degli artt. 15–22 GDPR, i diritti di:

  • accesso ai dati e alle informazioni sul trattamento;
  • rettifica dei dati inesatti e integrazione di quelli incompleti;
  • cancellazione (“diritto all’oblio”) nei casi previsti;
  • limitazione del trattamento nei casi di legge;
  • portabilità dei dati (se il trattamento è basato su consenso o contratto ed effettuato con mezzi automatizzati);
  • opposizione al trattamento basato su legittimo interesse e, in qualsiasi momento, al marketing diretto (inclusa la profilazione connessa);
  • revoca dei consensi prestati, in qualunque momento.

Per esercitare i diritti: privacy@diomiratravel.it o indirizzo postale del Titolare. Il riscontro sarà fornito senza ingiustificato ritardo e comunque entro un mese (prorogabile nei casi consentiti).

11) Reclamo all’Autorità

In caso di violazioni della normativa privacy, l’interessato può proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all’Autorità di controllo del proprio Stato membro, fermo restando il diritto di adire le sedi giudiziarie competenti. È comunque possibile rivolgersi preliminarmente al Titolare ai contatti indicati.

12) Aggiornamenti

La presente informativa potrà essere aggiornata in caso di modifiche dei trattamenti o della normativa. La versione aggiornata sarà pubblicata sul sito e, ove opportuno, notificata con mezzi idonei.

Ultimo aggiornamento: 11 ottobre 2025