Informativa sul trattamento dei dati personali
Ultimo aggiornamento: 10 luglio 2026 · Versione 2.2
Questa informativa, redatta ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") e del D.Lgs. 196/2003 e successive modifiche (Codice Privacy italiano), descrive come AlloggiatiVeloci tratta i dati personali degli utenti del servizio e degli ospiti delle strutture ricettive che lo utilizzano.
1. Chi sono e come contattarmi
Titolare del trattamento dei dati personali raccolti tramite il servizio AlloggiatiVeloci è:
- Omar Delfo Mascia, persona fisica, residente in Italia;
- Email per richieste in materia di privacy: jackodm@gmail.com
- Email di assistenza generale: ciao@alloggiativeloci.it
Non è prevista la nomina di un Responsabile della protezione dei dati (DPO), non sussistendo i presupposti di cui all'art. 37 GDPR. Per qualunque domanda, richiesta o esercizio dei tuoi diritti, scrivi all'indirizzo sopra indicato: ti risponderò entro 30 giorni.
2. Cos'è AlloggiatiVeloci e quali ruoli si configurano
AlloggiatiVeloci è uno strumento web rivolto a chi gestisce strutture ricettive (case vacanza, B&B, hotel, campeggi) per compilare e trasmettere in automatico:
- la schedina alloggiati al portale "Alloggiati Web" della Polizia di Stato, ai sensi dell'art. 109 del TULPS (R.D. 773/1931);
- i dati di movimentazione turistica al portale ROSS1000 / ISTAT della Regione, ai sensi della normativa regionale e nazionale in materia di statistica turistica;
- le ricevute ufficiali rilasciate dai portali, conservate per 5 anni (obbligo di esibizione in caso di controllo).
Si configurano due ruoli distinti:
- Quando tratto i dati del tuo account (email, nome, password, log di accesso, configurazione delle strutture) sono titolare autonomo del trattamento.
- Quando il tuo account inserisce o trasmette dati di ospiti (anagrafica, documento di identità, dati di soggiorno) per conto di una struttura ricettiva, tu, gestore della struttura, sei titolare del trattamento di quei dati. Io, AlloggiatiVeloci, opero come responsabile esterno ai sensi dell'art. 28 GDPR: mi limito a memorizzarli, trasmetterli alle autorità competenti su tua istruzione e conservarne le ricevute per il tempo previsto dalla legge.
L'uso del servizio costituisce, per quanto necessario, atto di nomina a responsabile esterno ai sensi dell'art. 28 GDPR, con le istruzioni e gli obblighi qui descritti.
3. Quali dati raccolgo
3.1 Dati dell'account utente
| Dato | Origine | Necessario per |
|---|---|---|
| Inserita da te o presa dal tuo account Google (se usi il login OAuth) | Accesso, comunicazioni di servizio, recupero password | |
| Nome e cognome | Inseriti da te | Personalizzare l'interfaccia, firme nelle email, identificarti nelle strutture condivise |
| Password (hash) | Inserita da te | Autenticazione. Memorizzata solo come hash PBKDF2-SHA256, mai in chiaro. Se usi il login con Google, nessuna password è memorizzata. |
| Codici di verifica e reset (a tempo) | Generati dal sistema | Conferma dell'indirizzo email e recupero password. Eliminati alla scadenza (15-60 minuti). |
| Data di registrazione, ultimo accesso, indirizzo IP della richiesta | Generati automaticamente | Sicurezza, prevenzione abusi (rate limit sul login), log applicativi |
3.2 Dati delle strutture ricettive
| Dato | Origine | Necessario per |
|---|---|---|
| Nome, tipo (casa, B&B, hotel...), comune e provincia, numero camere e letti, codice struttura ROSS | Inseriti da te | Compilazione corretta delle trasmissioni |
| Credenziali del portale Alloggiati Web (User ID, password, Web Service Key) | Inserite da te | Trasmissione automatica alla Questura |
| Credenziali del portale Regione/ROSS1000 (regione, username, password) | Inserite da te | Trasmissione automatica alla Regione |
| Profilo tassa di soggiorno collegato alla struttura | Selezionato da te | Calcolare l'importo dovuto per ciascun ospite secondo la delibera comunale |
| Configurazione invio automatico (orario per la Questura, cadenza per la Regione, preferenze email di notifica) | Impostata da te | Eseguire le trasmissioni senza intervento manuale |
Importante sulle credenziali dei portali pubblici. Sono memorizzate nel database in forma cifrata (cifratura simmetrica AES, con chiave conservata separatamente dal database e dai backup). Devono restare riutilizzabili dal sistema per autenticarsi ai web service governativi (i SOAP della Polizia di Stato e della Regione le richiedono a ogni chiamata), quindi sono cifrate e non sottoposte ad hashing irreversibile come le password. Sono accessibili solo al proprietario della struttura e al sottoscritto, in quanto amministratore tecnico del server. I co-gestori invitati a una struttura non vedono né possono usare queste credenziali. Vedi anche la sezione 10 "Sicurezza" per i rischi residui.
3.3 Collaboratori invitati su una struttura
Se condividi una struttura con altri utenti (per gestirla in più persone), il proprietario invita l'email del collaboratore. Il sistema invia all'invitato una email con un link di adesione; l'accettazione collega quell'account utente alla struttura come "collaboratore" (in sola gestione operativa). I co-gestori vedono prenotazioni, ospiti, log e ricevute ma non hanno accesso alle credenziali dei portali pubblici né alla configurazione di invio automatico.
Per ogni collaborazione conservo: email invitato, data di invito, data di accettazione, identità del proprietario invitante.
3.4 Profili tassa di soggiorno
Puoi creare profili tassa di soggiorno riutilizzabili che descrivono regolamento, tariffe, esenzioni e categorie di una specifica delibera comunale. Per velocizzare la compilazione il sistema può chiedere all'AI (Google Gemini, vedi §7) di leggere automaticamente la delibera ufficiale, sia da una ricerca sul web sia da un PDF caricato sia da un link. L'AI riceve solo testo o file pubblici della delibera: nessun dato di ospiti viene trasmesso in quel passaggio. Il riepilogo prodotto dall'AI resta nel tuo profilo come campo "Note".
3.5 Dati degli ospiti
Per ogni ospite registrato in una prenotazione vengono trattati i dati richiesti dalla normativa Questura/Regione:
- cognome, nome, sesso, data e luogo di nascita, cittadinanza;
- tipo, numero, data e luogo di rilascio del documento di identità, data di scadenza;
- tipo di alloggiato (capofamiglia, ospite singolo, familiare, membro gruppo) e dettagli del soggiorno (camera, durata, eventuali note operative).
Questi dati vengono trasmessi al portale Alloggiati Web entro 24 ore dall'arrivo (obbligo di legge) e, in forma aggregata, al portale ROSS1000 della Regione di competenza.
3.6 Foto dei documenti di identità (OCR con AI)
Per velocizzare la compilazione, il servizio offre una funzione di lettura automatica (OCR) della foto del documento. La foto viene inviata in tempo reale al modello Google Gemini Vision tramite chiamata HTTPS, per estrarre i dati testuali (cognome, nome, numero documento, scadenza, ecc.); questi dati pre-compilano il form dell'ospite, che tu verifichi prima del salvataggio.
La foto del documento non viene conservata nel database di AlloggiatiVeloci né su filesystem del server: viene gestita in memoria durante la chiamata e poi eliminata. Restano solo i dati testuali estratti, salvati nel record dell'ospite. Per le condizioni di trattamento sul lato Google vedi §7 e §8.
3.7 Prenotazioni e dati di soggiorno
Per ogni prenotazione vengono memorizzati: date di check-in e check-out, numero di notti, camera o unità, eventuali note operative inserite dal gestore (es. "arrivo tardi"). Le prenotazioni sono legate alla struttura e visibili a proprietario e collaboratori.
3.8 Ricevute, prove di trasmissione e log
Per ogni invio effettuato per tuo conto conservo:
- il file PDF della ricevuta giornaliera rilasciato dal portale "Alloggiati Web" della Polizia di Stato, scaricato automaticamente dal nostro sistema entro pochi giorni dall'invio (il portale lo mantiene online per soli ~30 giorni, dopodiché lo perderesti);
- il corpo XML della risposta SOAP ricevuta dal web service ROSS1000 per ciascun invio alla Regione: contiene il numero di protocollo e costituisce la prova legale dell'avvenuta trasmissione (per la Regione non esiste un PDF di ricevuta separato);
- il log applicativo dell'invio con data/ora, esito, codice di risposta del portale, eventuale messaggio di errore;
- il riferimento all'identità del collaboratore che ha eventualmente fatto partire un invio manuale.
L'archivio annuale completo (PDF Questura + XML Regione + indice CSV) è scaricabile in formato ZIP dalla schermata "Ricevute Questura" dell'app, pronto per essere consegnato al commercialista o esibito in caso di controllo di Questura, Guardia di Finanza o autorità regionali.
3.9 Log tecnici applicativi
Per ragioni di sicurezza, debugging e diagnostica sono mantenuti log dei principali eventi (login riusciti e falliti, errori applicativi, esecuzioni automatiche del robot di invio). Questi log non contengono dati anagrafici degli ospiti ma possono contenere identificativi tecnici (booking id, user id, IP della richiesta).
4. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Fornire il servizio: registrazione account, autenticazione, gestione strutture, prenotazioni, ospiti, esecuzione delle trasmissioni manuali e automatiche. | Esecuzione del contratto (art. 6.1.b) |
| Trasmettere i dati degli ospiti alla Polizia di Stato (Alloggiati Web) e alla Regione (ROSS1000). | Adempimento di un obbligo legale cui è soggetto il gestore della struttura, di cui sono responsabile esterno (art. 6.1.c) |
| Conservare le ricevute e le prove di trasmissione per 5 anni, per consentirne l'esibizione su richiesta delle autorità. | Obbligo legale (art. 6.1.c). Vedi §6 per il dettaglio. |
| Calcolo della tassa di soggiorno dovuta per ciascun ospite secondo la delibera comunale. | Esecuzione del contratto (art. 6.1.b). Il calcolo è puramente locale al server, nessun dato lascia il sistema. |
| Lettura automatica dei dati dalle foto dei documenti (OCR). | Esecuzione del contratto (art. 6.1.b), avviata da una azione esplicita dell'utente. L'immagine non viene conservata. |
| Lettura automatica delle delibere comunali per la compilazione assistita dei profili tassa. | Esecuzione del contratto (art. 6.1.b). Vengono trasmessi al servizio AI solo documenti pubblici della delibera, mai dati degli ospiti. |
| Inviare email transazionali (verifica email, recupero password, invito collaboratori, esiti degli invii automatici). | Esecuzione del contratto (art. 6.1.b) |
| Inviare agli utenti registrati email informative sulle novità del servizio e consigli d'uso (newsletter). Disattivabili in ogni momento dalla schermata "Il mio profilo" o dal link in fondo a ogni email. | Legittimo interesse (art. 6.1.f) nell'informare i propri utenti su un servizio che già usano, con diritto di opposizione immediato (opt-out). |
| Mantenere log di sicurezza e prevenire abusi (rate limit sul login, blocco account in caso di abuso). | Legittimo interesse (art. 6.1.f) del titolare nel garantire l'integrità del servizio. |
5. Quando trasmettiamo dati a terzi
I dati degli ospiti vengono trasmessi esclusivamente alle seguenti autorità, in adempimento di obblighi di legge:
- Polizia di Stato, Servizio Alloggiati tramite il portale Alloggiati Web (web service SOAP);
- Regione di competenza tramite il portale ROSS1000 (web service SOAP), che a sua volta li gira a ISTAT in forma aggregata anonima.
Non sono previste altre comunicazioni dei dati degli ospiti a terzi. I dati non sono diffusi, non sono venduti né utilizzati per profilazione o pubblicità.
6. Per quanto tempo conservo i dati
- Dati dell'account utente: finché il tuo account è attivo. Dopo l'eliminazione vengono rimossi entro 30 giorni, fatto salvo quanto previsto dai log di sicurezza (massimo 12 mesi) e dalle ricevute (5 anni, vedi sotto).
- Dati di ospiti e prenotazioni: conservati per consentirti la consultazione storica e per l'eventuale richiesta delle autorità. Puoi eliminarli in qualunque momento dalla tua area, oppure tutti insieme eliminando l'account. In ogni caso conservati per non oltre 5 anni dalla data di check-out, salvo obbligo di legge superiore.
- Foto dei documenti: non conservate. Trasmesse al servizio OCR e scartate al termine dell'estrazione dei dati testuali (che invece restano, come da §3.5).
- Ricevute Questura (PDF) e corpi XML degli invii ROSS1000: conservati per 5 anni dalla data dell'invio. La conservazione è necessaria perché il gestore della struttura, in quanto obbligato per legge alla trasmissione (art. 109 TULPS per la Polizia, normativa regionale tassa di soggiorno e ISTAT per la Regione), deve poter esibire la prova dell'avvenuto adempimento in caso di controllo. Base giuridica: art. 6.1.c GDPR (obbligo legale gravante sul titolare-gestore, di cui AlloggiatiVeloci è responsabile esterno ex art. 28 GDPR). L'archivio completo annuale è scaricabile in qualunque momento dalla schermata "Ricevute Questura" dell'app.
- Log di sicurezza, login, errori applicativi: conservati per massimo 12 mesi. I log direttamente legati alle ricevute conservate (data, esito, codice di risposta) seguono la retention di 5 anni del punto precedente.
- Inviti a collaboratori non accettati: scadono e vengono eliminati 7 giorni dopo l'invio.
- Email transazionali: conservate dal provider Resend per il tempo strettamente necessario alla consegna e al monitoraggio bounce/spam (generalmente fino a 30 giorni nei log Resend).
- Backup del database: giornalieri, conservati 14 giorni sul server, poi sovrascritti.
7. Dove finiscono i tuoi dati (responsabili esterni)
Per il funzionamento del servizio mi avvalgo dei seguenti soggetti, che operano come responsabili del trattamento ai sensi dell'art. 28 GDPR. Per i fornitori extra-UE sono in essere o sono richiamate le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
| Fornitore | Scopo | Dati trattati | Sede / Trasferimento |
|---|---|---|---|
| Hosting, server domestico | Esecuzione dell'applicazione e database SQLite | Tutti i dati del servizio | Italia. I dati risiedono su un server autogestito direttamente dal titolare (il database non è affidato a fornitori cloud terzi), raggiunto via dominio alloggiativeloci.it attraverso Cloudflare. |
| Cloudflare, Inc. | CDN, mitigazione DDoS, certificato TLS, anti-bot | Metadati di rete (IP, user agent), nessun contenuto memorizzato permanentemente | USA, con SCC dell'UE. |
| Google LLC (Gemini Vision) | Estrazione automatica dei dati testuali da: (a) foto dei documenti di identità inviate per OCR; (b) testo/PDF/URL delle delibere comunali per la compilazione assistita dei profili tassa | (a) immagine del documento e dati testuali estratti; (b) testo o file della delibera (documento pubblico, nessun dato personale di ospite) | USA, SCC. Secondo la policy dell'API Gemini i dati non vengono usati per addestrare modelli. |
| Google LLC (OAuth, opzionale) | Login con Google se l'utente sceglie questa modalità | Email, nome e cognome del profilo Google dell'utente | USA, SCC. |
| Resend Inc. | Invio email transazionali (verifica account, recupero password, esiti invii automatici, inviti collaboratori) | Indirizzo email e contenuto del messaggio per il tempo necessario alla consegna | USA, SCC. |
| Polizia di Stato, Servizio Alloggiati Web | Trasmissione obbligatoria dei dati degli ospiti, art. 109 TULPS | Dati anagrafici e documento degli ospiti | Italia. Titolare autonomo del trattamento nel proprio ambito. |
| Portali regionali ROSS1000/ISTAT | Trasmissione dei dati di movimentazione turistica | Numero di arrivi, partenze, presenze per categoria di ospite | Italia. Titolare autonomo del trattamento nel proprio ambito. |
8. Trasferimenti di dati al di fuori dell'Unione Europea
Alcuni fornitori (Cloudflare, Google, Resend) hanno sede negli Stati Uniti d'America. Per quanto possa accadere che i dati vengano trasferiti o trattati al di fuori dello Spazio Economico Europeo, ogni trasferimento avviene sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea con decisione 2021/914, o di altri strumenti riconosciuti dal GDPR (decisioni di adeguatezza, certificazioni). Per richiedere copia degli strumenti applicati scrivi al titolare.
9. I tuoi diritti
In qualsiasi momento, ai sensi degli articoli da 15 a 22 del GDPR, hai diritto a:
- Accedere ai tuoi dati (art. 15)
- Rettificarli se inesatti (art. 16). Puoi farlo direttamente dalla schermata "Il mio profilo".
- Cancellarli ("diritto all'oblio", art. 17). Puoi eliminare l'account dalla schermata "Il mio profilo". Resteranno conservati solo i dati necessari ad adempiere obblighi di legge (es. ricevute Questura/Regione per 5 anni).
- Limitarne il trattamento (art. 18)
- Ricevere i tuoi dati in formato strutturato e leggibile e trasferirli a altro titolare (portabilità, art. 20). Dalla schermata "Il mio profilo" puoi scaricare i tuoi dati in formato JSON. L'archivio annuale delle ricevute è scaricabile in ZIP dalla schermata "Ricevute Questura".
- Opporti al trattamento (art. 21)
- Non essere sottoposto a decisioni completamente automatizzate con effetti significativi (art. 22). Il servizio non ne prevede: la trasmissione automatica esegue la tua scelta esplicita e i calcoli (tassa, scadenze) sono deterministici e sotto il tuo controllo.
Per esercitare uno qualunque di questi diritti, scrivi a jackodm@gmail.com. Mi impegno a risponderti entro 30 giorni.
Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi proporre reclamo al Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it).
10. Misure di sicurezza
Adotto misure tecniche e organizzative ragionevoli e proporzionate al trattamento, fra cui:
- connessioni cifrate in transito (HTTPS / TLS, certificato gestito da Cloudflare);
- hashing irreversibile delle password con PBKDF2-SHA256;
- cookie di sessione firmati crittograficamente, con flag
HttpOnly,SecureeSameSite=Lax; - verifica email obbligatoria prima del primo accesso;
- rate limit sul login per prevenire attacchi a forza bruta (blocco temporaneo per IP ed email dopo 5 tentativi falliti);
- confronti timing-safe per token e codici sensibili;
- separazione dei dati per utente e per struttura (controlli di autorizzazione su ogni operazione);
- cifratura at-rest delle credenziali dei portali pubblici (AES), con chiave conservata separatamente dal database e dai backup;
- backup giornalieri del database cifrati e custoditi anche fuori sede, con conservazione a finestra mobile (tutti gli ultimi 30 giorni, poi un backup per ogni mese passato);
- aggiornamenti regolari di sistema operativo, runtime e dipendenze.
Limiti dichiarati onestamente. Il servizio è oggi una beta gratuita con un numero limitato di utenti. Per essere trasparente:
- l'infrastruttura è gestita direttamente dal titolare, senza un presidio tecnico attivo 24 ore su 24: in caso di guasto il ripristino può richiedere più tempo rispetto a un grande fornitore cloud (i dati restano comunque protetti dai backup cifrati giornalieri, conservati anche fuori sede);
- le credenziali dei portali, pur cifrate, devono restare decifrabili per poter essere riusate a ogni invio: la chiave di cifratura risiede sullo stesso server. Un singolo backup trafugato non basta a leggerle, ma un attaccante che comprometta interamente il server potrebbe comunque accedervi. Per questo resta consigliato mantenere una copia indipendente delle credenziali e impostarne una rotazione periodica;
- non è disponibile l'autenticazione a due fattori (in roadmap).
Nessun sistema è invulnerabile: in caso di violazione di dati personali che presenti un rischio per i tuoi diritti, ti notificherò entro 72 ore come previsto dall'art. 33 GDPR e avviserò il Garante secondo le procedure di legge.
11. Minori
Il servizio è destinato a maggiorenni (gestori di strutture ricettive). Non raccolgo intenzionalmente dati relativi a minori per quanto riguarda i titolari di account. La schedina alloggiati può ovviamente contenere ospiti minorenni, quando questi soggiornino in una struttura ricettiva, conformemente alla normativa di pubblica sicurezza.
12. Cookie
Il servizio utilizza esclusivamente cookie tecnici essenziali al funzionamento (cookie di sessione per il login, cookie di preferenza per ricordare lo stato dei menù collassabili). Non vengono utilizzati cookie di profilazione né strumenti analitici di terze parti. Per il dettaglio vedi la Cookie Policy.
13. Modifiche all'informativa
Eventuali aggiornamenti saranno pubblicati in questa pagina con indicazione della nuova data di "ultimo aggiornamento" e della versione. Per modifiche sostanziali (es. nuovo fornitore esterno che riceve dati personali, nuova finalità di trattamento) sarai avvisato via email all'indirizzo dell'account.
14. Contatti
Per qualunque domanda o richiesta in materia di privacy:
jackodm@gmail.com.
Per assistenza generale: ciao@alloggiativeloci.it.