Alloggiati al volo← Torna al sito

Informativa sulla Privacy

Ultimo aggiornamento: 14 giugno 2026 · versione 1.0

Servizio «Alloggiati al volo» — alloggiatialvolo.it. Documento redatto ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 («Codice Privacy»).

1. Titolare del trattamento e ambito di questa informativa

Il Titolare del trattamento per i dati descritti in questa informativa è Sara Riscica (persona fisica), C.F. RSCSRA90P44A123Z, con sede in via Alberto Mancini 51, Roma (di seguito anche «noi», «il Fornitore» o «l’App»).

Per ogni questione relativa alla protezione dei dati personali è possibile scrivere a: vocazioneturistica@gmail.com. Responsabile della protezione dei dati (DPO): non nominato.

1.1 A quali dati si applica questa informativa

Il servizio comporta due piani di trattamento distinti, con ruoli diversi.

  • Dati dell’account host. Rispetto a questi dati il Fornitore agisce come Titolare: sono questi i dati disciplinati dalla presente informativa.
  • Dati degli ospiti comunicati ad Alloggiati Web. Rispetto a questi dati l’host è Titolare e il Fornitore è Responsabile del trattamento. La disciplina è contenuta nella clausola art. 28 dei Termini e Condizioni e riepilogata al § 10.

2. Il servizio in breve

«Alloggiati al volo» è un servizio software (SaaS) che assiste host, B&B, affittacamere e gestori italiani nella comunicazione delle generalità degli alloggiati alla Questura tramite il portale Alloggiati Web della Polizia di Stato (art. 109 TULPS, R.D. 773/1931), entro 24 ore dall’arrivo.

  • La foto del documento dell’ospite non viene mai caricata né salvata sui server. La lettura avviene tramite riconoscimento ottico (OCR) sul dispositivo dell’utente; restano solo i campi di testo verificati dall’utente.
  • L’invio delle schedine avviene con le credenziali Alloggiati dell’host. L’App è lo strumento tecnico e non effettua comunicazioni in proprio all’Autorità.
  • È disponibile un check-in self-service: l’ospite compila i propri dati da un link (in più lingue); il link è revocabile.
  • Le notifiche email all’host hanno contenuto generico e non contengono dati dell’ospite.

3. Categorie di dati trattati (dati dell’account host)

  • Dati di registrazione e di contatto: email e password (conservata esclusivamente come hash, con algoritmo Argon2; mai in chiaro).
  • Credenziali Alloggiati Web dell’host: conservate cifrate (libsodium), con chiave dedicata derivata per ciascun account host (per-tenant), mai memorizzata in chiaro né nei log; utilizzate solo per l’invio delle schedine per conto dell’host.
  • Dati delle strutture/appartamenti gestiti (inclusi gli account «Gestore di Appartamenti»).
  • Indirizzo IP e dati tecnici di connessione, registrati nei log di sicurezza/audit (accessi, azioni rilevanti, check-in) per finalità di sicurezza. Comprendono la prova dell’accettazione di Termini e Privacy (versione, data e IP) raccolta alla registrazione.
  • Log di audit delle azioni compiute nell’account, privi dei dati personali dell’ospite.
  • Eventuali dati di fatturazione: non applicabile (servizio gratuito).
  • Cookie e dati di sessione tecnici (v. § 8).

Non trattiamo categorie particolari di dati (art. 9 GDPR) relative all’host. Per i dati degli ospiti, di norma comuni, v. § 10.

4. Finalità e basi giuridiche del trattamento

  • Erogazione del servizio: esecuzione del contratto (art. 6.1.b GDPR).
  • Sicurezza, prevenzione abusi, log, indirizzo IP e prova del consenso: legittimo interesse e adempimento di obblighi contrattuali (artt. 6.1.f e 6.1.b GDPR).
  • Notifiche email di servizio: esecuzione del contratto e/o legittimo interesse (artt. 6.1.b e 6.1.f GDPR).
  • Cookie di analisi (Hotjar): consenso dell’interessato (art. 6.1.a GDPR), v. § 8.
  • Adempimenti di legge del Fornitore: obbligo legale (art. 6.1.c GDPR).

Per i dati degli ospiti, la base giuridica in capo all’host è l’obbligo legale (art. 6.1.c GDPR, art. 109 TULPS). Il Fornitore li tratta come Responsabile, sulla base del contratto con l’host (§ 10).

5. Periodi di conservazione

Dati dell’account host:

  • conservati per la durata del rapporto; alla chiusura dell’account i dati sono cancellati senza ritardo e comunque entro 30 giorni, salvo obblighi di legge. La cancellazione totale, se richiesta, comporta l’eliminazione definitiva e immediata di tutti i dati collegati.
  • Log di audit (contengono l’IP): cancellati automaticamente dopo 12 mesi.

Dati degli ospiti (trattati come Responsabile per conto dell’host):

  • Foto del documento: mai conservata; trattata solo in memoria, sul dispositivo, durante la lettura.
  • Dati anagrafici della schedina: cancellati (azzerati) subito dopo l’invio riuscito. In caso di invio non riuscito, i dati restano disponibili al solo scopo di consentire la correzione e il nuovo invio, e sono cancellati una volta completato l’invio.
  • Prova/metadati dell’invio (stato, esito, data): conservati e cancellati automaticamente a data di arrivo + 5 anni.
  • Ricevute ufficiali del portale: non conservate dall’App; scaricate e conservate dall’host.

6. Destinatari e responsabili del trattamento

Per erogare il servizio ci avvaliamo di fornitori che agiscono come Responsabili (art. 28 GDPR), nominati con apposito accordo:

  • Vercel — hosting dell’applicazione web. (Società USA — v. § 7.)
  • Render — hosting delle API, regione Frankfurt (UE).
  • Neon / PostgreSQL — database (infrastruttura in Unione Europea).
  • Upstash / Redis — gestione delle sessioni/cache (infrastruttura in Unione Europea).
  • Hotjar — strumento di analisi dell’uso del sito, attivato esclusivamente previo consenso (v. § 8). (Hotjar Ltd, Malta — UE.)
  • Resend — invio delle notifiche email all’host. Le email non contengono dati dell’ospite. (Società USA — v. § 7.)

Un servizio SMTP per la verifica dell’email dell’host non è attualmente utilizzato in produzione. Una lista aggiornata dei fornitori è disponibile su richiesta all’indirizzo del § 1.

Alloggiati Web / Polizia di Stato è il destinatario istituzionale delle schedine in forza di un obbligo di legge dell’host: non è un sub-responsabile.

7. Trasferimenti verso Paesi terzi (extra-UE)

Alcuni fornitori sono società con sede negli Stati Uniti (in particolare Vercel e Resend). Per tali trasferimenti adottiamo le garanzie del Capo V del GDPR: Clausole Contrattuali Standard (SCC) e, ove applicabile, l’adesione all’EU-U.S. Data Privacy Framework, secondo i contratti in essere con ciascun fornitore.

8. Cookie e tecnologie di sessione

Il servizio utilizza cookie e tecnologie tecnici/di sessione necessari all’autenticazione e al funzionamento (es. token di sessione/JWT). Tali strumenti non richiedono il consenso preventivo.

Utilizziamo inoltre Hotjar, uno strumento di analisi dell’uso del sito a fini di miglioramento dell’esperienza. Hotjar è disattivato per impostazione predefinita e viene attivato esclusivamente dopo un consenso esplicito prestato tramite l’apposito banner; la scelta «Rifiuta» impedisce ogni tracciamento. La base giuridica è il consenso (art. 6.1.a GDPR), revocabile in qualsiasi momento (eliminando le preferenze del browser per questo sito). In assenza di consenso nessun cookie di analisi viene installato.

9. Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate, tra cui:

  • conservazione delle password tramite hash con algoritmo Argon2;
  • cifratura delle credenziali Alloggiati con libsodium (XSalsa20-Poly1305) e chiave derivata per account (per-tenant), conservata solo in ambiente sicuro e mai persistita né registrata nei log;
  • connessioni protette tramite HTTPS/TLS;
  • autenticazione mediante token (JWT) e logout automatico per inattività;
  • lettura del documento tramite OCR sul dispositivo, senza caricamento della foto;
  • cancellazione (azzeramento) dei dati dell’ospite subito dopo l’invio riuscito;
  • registrazione di log di audit privi dei dati personali dell’ospite.

10. Dati degli ospiti: ruolo di Responsabile del trattamento

Rispetto ai dati degli ospiti, l’host è Titolare e il Fornitore agisce come Responsabile, trattandoli solo su istruzione dell’host. I termini sono nella clausola art. 28 GDPR dei Termini e Condizioni, accettata con la registrazione. Per i dati degli ospiti l’interessato esercita i diritti verso l’host (Titolare); il Fornitore lo assiste come Responsabile.

11. Diritti degli interessati

Gli interessati possono esercitare i diritti di cui agli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) e proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

  • Per i dati dell’account host: richieste a vocazioneturistica@gmail.com. L’host può inoltre, direttamente dal Servizio, esportare i propri dati (con esclusione dei dati segreti, quali credenziali e password) e richiedere la cancellazione totale dell’account, che elimina definitivamente tutti i dati collegati.
  • Per i dati degli ospiti: l’interessato si rivolge all’host (Titolare); il Fornitore lo assiste come Responsabile.

12. Minori

Il servizio è rivolto a operatori e non è destinato all’uso diretto da parte di minori. I dati degli ospiti possono includere dati di minori (es. componenti del nucleo familiare): il trattamento avviene in capo all’host quale Titolare, in adempimento dell’obbligo di legge, e il Fornitore li tratta come Responsabile.

13. Modifiche all’informativa

La presente informativa può essere aggiornata. In caso di modifiche sostanziali ne daremo comunicazione con mezzi adeguati. La versione vigente è pubblicata su alloggiatialvolo.it.

14. Contatti

Sara Riscica — C.F. RSCSRA90P44A123Z — Sede: via Alberto Mancini 51, Roma. Email per privacy e diritti: vocazioneturistica@gmail.com.

Vedi anche: Termini e Condizioni