La presente Política describe cómo Orizzonti Web di Donà Mario (en adelante "BoatPilot") trata los datos personales de Proveedores (chárteres náuticos) y de Clientes finales que utilizan la plataforma boatpilot.eu y sus servicios, incluidos el widget de reservas y las comunicaciones transaccionales, de conformidad con el Reglamento (UE) 2016/679 (GDPR) y la normativa italiana sobre protección de datos personales.

1. Responsable del tratamiento

El Responsable del tratamiento de los datos recogidos en la Plataforma es: Orizzonti Web di Donà Mario Via Monte Asolon 70/B, 36022 Cassola (VI) — Italia NIF 04625930245 Email: [email protected] No se ha designado un DPO (Delegado de Protección de Datos) en virtud del art. 37 GDPR al no concurrir los supuestos obligatorios.

2. Rol de BoatPilot (Responsable vs. Encargado)

BoatPilot actúa como: • RESPONSABLE autónomo del tratamiento para los datos de los Proveedores (chárteres) que se registran y utilizan la Plataforma como servicio SaaS (finalidad: ejecución del contrato SaaS, facturación, soporte, analítica de la plataforma). • ENCARGADO del tratamiento (Art. 28 GDPR) para los datos de los Clientes finales recogidos a través del widget de reservas o del área administrativa del Proveedor. En este caso, el RESPONSABLE es el propio Proveedor, que determina las finalidades y las modalidades del tratamiento de los datos de su cliente. La relación se regula mediante el Acuerdo de Tratamiento de Datos (DPA) facilitado a petición del Proveedor.

3. Tipos de datos recogidos

Datos de los Proveedores: datos identificativos (razón social, NIF, domicilio, contactos), credenciales de acceso, datos de facturación, datos de uso de la Plataforma (logs, analítica), datos de pago tratados a través de Stripe. Datos de los Clientes finales (recogidos por cuenta del Proveedor): nombre, apellidos, email, número de teléfono, número de pasajeros, idioma preferido, notas libres, datos de la reserva (barco, fechas, importe). Si pagan con tarjeta: solo metadatos de la transacción (no los datos completos de la tarjeta, tratados por Stripe en modalidad PCI-DSS). Datos de navegación: dirección IP, user agent, páginas visitadas, interacciones con el widget.

4. Finalidades y bases jurídicas

• Ejecución del contrato SaaS con el Proveedor — base: art. 6(1)(b) GDPR. • Ejecución de la reserva del Cliente final — base: art. 6(1)(b) GDPR (ejecución del contrato entre Cliente y Proveedor, con BoatPilot como Encargado). • Obligaciones fiscales y contables — base: art. 6(1)(c) GDPR. • Prevención del fraude y seguridad de la Plataforma — base: art. 6(1)(f) GDPR (interés legítimo). • Comunicaciones transaccionales (confirmaciones de reserva, notificaciones de pago) — base: art. 6(1)(b) GDPR. • Comunicaciones de marketing a los Proveedores (opcionales) — base: art. 6(1)(a) GDPR (consentimiento).

5. Modalidades de tratamiento

Los datos se tratan con herramientas informáticas en modalidad automatizada, con medidas técnicas y organizativas idóneas (cifrado en tránsito TLS, hashing de contraseñas, copias de seguridad, registro de los accesos) proporcionadas al riesgo. El acceso está limitado al personal autorizado y a los Encargados externos debidamente designados.

6. Destinatarios de los datos — Encargados externos

Para prestar el Servicio, BoatPilot se sirve de los siguientes Encargados externos (todos con acuerdos conforme al art. 28 GDPR): • Stripe Payments Europe Ltd. — procesamiento de pagos (https://stripe.com/privacy). Para las operaciones con tarjeta, los datos son tratados directamente por Stripe en calidad de responsable autónomo para algunos tratamientos (antifraude, compliance). • Laravel Cloud (proveedor de hosting de la aplicación) — infraestructura de hosting. • Cloudflare, Inc. — CDN, protección DDoS, enrutamiento DNS y email. • Resend (https://resend.com) — envío de los emails transaccionales. • Proveedores de servicios contables y fiscales — obligaciones legales. Los datos no se venden ni se ceden a terceros con finalidades de marketing externas.

7. Transferencia de datos fuera de la UE

Algunos Encargados (Cloudflare, Stripe Inc. EE. UU. para algunas operaciones) pueden conllevar la transferencia de datos personales fuera del Espacio Económico Europeo. Dichas transferencias se realizan sobre la base de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (art. 46 GDPR) o, en su caso, sobre la base de la decisión de adecuación EU-US Data Privacy Framework. Una copia de las garantías está disponible previa solicitud por escrito a [email protected].

8. Periodo de conservación

• Datos de la cuenta del Proveedor: durante toda la vigencia del contrato SaaS + 10 años desde su cese por obligaciones fiscales/contables. • Datos de las reservas y de los Clientes finales: durante todo el tiempo necesario para que el Proveedor preste el servicio y cumpla con las obligaciones legales (normalmente 10 años para la facturación). • Datos de navegación y logs técnicos: 12 meses. • Datos de marketing (si se recogen): hasta la revocación del consentimiento.

9. Derechos del interesado

En calidad de Interesado tienes los siguientes derechos (Arts. 15-22 GDPR): • Acceso a tus datos. • Rectificación de datos inexactos o incompletos. • Supresión (derecho al olvido), salvo obligaciones de conservación. • Limitación del tratamiento. • Portabilidad de los datos en formato estructurado. • Oposición al tratamiento basado en el interés legítimo. • Revocación del consentimiento en cualquier momento (para los tratamientos que lo requieran). • Reclamación ante la Autoridad de Control para la Protección de Datos Personales (www.garanteprivacy.it). Las solicitudes pueden remitirse a [email protected]. Si eres un Cliente final de un Proveedor, puedes dirigirte directamente al Proveedor (Responsable) o a nosotros: remitiremos la solicitud sin dilación indebida.

10. Cookies y tecnologías similares

La Plataforma utiliza cookies técnicas esenciales para su funcionamiento y, en algunas áreas, cookies analíticas y de preferencia. Para conocer los detalles sobre los tipos de cookies, finalidades y modalidades de gestión, consulta la Política de Cookies disponible en boatpilot.eu/cookie-policy.

11. Procesos de decisión automatizados

BoatPilot no adopta decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o incidan de modo análogo significativamente sobre los interesados. Los eventuales sistemas antifraude adoptados por Stripe pueden contribuir a una preevaluación automatizada: en caso de impactos significativos, tienes derecho a una intervención humana y a impugnar la decisión.

12. Modificaciones de la Política

La presente Política puede actualizarse por adaptaciones normativas u organizativas. La fecha de la última actualización figura arriba. En caso de modificaciones sustanciales, los usuarios interesados serán informados por email o notificación in-app.

Contacto Privacidad

Para ejercer tus derechos o para cualquier consulta sobre el tratamiento de los datos personales puedes escribirnos a:

[email protected]

Política de Privacidad