SpeedyHost

Accordo sul Trattamento dei Dati (DPA)

Ultimo aggiornamento: 15 aprile 2026

Il presente Accordo sul Trattamento dei Dati (“DPA”) è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (“GDPR”) tra:

  • Responsabile del Trattamento: Speedy Host Ltd, Company Number 12630524, di seguito “Speedy Host” o “Responsabile”.
  • Titolare del Trattamento: l'host (persona fisica o giuridica) che utilizza la piattaforma SpeedyHost per la gestione dei propri ospiti, di seguito “Titolare”.

Il presente DPA è incorporato nei Termini e Condizioni di Speedy Host e si applica automaticamente a tutti gli utenti della piattaforma. L'utilizzo del Servizio implica l'accettazione del presente Accordo.

1. Oggetto e durata del trattamento

Speedy Host tratta dati personali per conto del Titolare al fine di erogare il Servizio descritto nei Termini e Condizioni: raccolta dei dati degli ospiti tramite il modulo di check-in online, archiviazione sicura e trasmissione al Portale Alloggiati Web della Polizia di Stato ai sensi dell'art. 109 T.U.L.P.S.

Il trattamento ha durata pari a quella del contratto di servizio tra il Titolare e Speedy Host. Alla cessazione del contratto, i dati vengono trattati come descritto all'art. 9 del presente DPA.

2. Natura e finalità del trattamento

Il trattamento comprende le seguenti operazioni:

  • Raccolta dei dati degli ospiti tramite modulo web (check-in)
  • Conservazione sicura nel database della piattaforma
  • Preparazione e validazione delle schedine alloggiati
  • Trasmissione delle schedine al Portale Alloggiati Web via protocollo SOAP
  • Invio di notifiche email al Titolare relative allo stato delle schedine
  • Visualizzazione e gestione dei dati tramite la dashboard del Titolare

3. Categorie di dati personali trattati

Il Responsabile tratta, per conto del Titolare, le seguenti categorie di dati personali degli ospiti:

  • Dati anagrafici: cognome, nome, sesso, data di nascita
  • Dati di nascita: comune, provincia e stato di nascita
  • Cittadinanza
  • Documento d'identità: tipo, numero, luogo e data di rilascio
  • Date di check-in e check-out, piattaforma di prenotazione

Il Responsabile tratta inoltre i dati dell'account del Titolare (email, credenziali Alloggiati Web, dati della struttura ricettiva) necessari per l'erogazione del Servizio.

4. Categorie di interessati

Gli interessati sono gli ospiti (persone fisiche) che soggiornano presso le strutture ricettive gestite dal Titolare e che compilano il modulo di check-in online.

5. Obblighi del Responsabile del Trattamento

Speedy Host si impegna a:

5.1 Istruzioni del Titolare

Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, come definite dai Termini e Condizioni e dal presente DPA. Speedy Host informà il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati.

5.2 Riservatezza

Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza adeguato.

5.3 Misure di sicurezza (art. 32 GDPR)

Adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, tra cui:

  • Cifratura delle comunicazioni tramite HTTPS/TLS
  • Cifratura dei dati a riposo nel database
  • Row Level Security (RLS) per l'isolamento dei dati tra tenant
  • Controllo degli accessi basato sul principio del privilegio minimo
  • Autenticazione sicura con supporto OAuth 2.0 e MFA
  • Monitoraggio degli errori e degli incidenti tramite Sentry

5.4 Sub-responsabili (art. 28, par. 2 GDPR)

Il Titolare autorizza Speedy Host a ricorrere ai seguenti sub-responsabili per l'erogazione del Servizio. Speedy Host si assicura che tali sub-responsabili siano soggetti a obblighi equivalenti a quelli del presente DPA:

  • Supabase Inc. — database, autenticazione e archiviazione dei dati. I dati sono conservati in server situati nell'Unione Europea (regione West EU).
  • Vercel Inc. — hosting dell'applicazione web e infrastruttura serverless. Dati processati in Europa ove disponibile.
  • Resend Inc. — invio di email transazionali (notifiche di approvazione schedine, conferme). Nessun dato ospite incluso nelle email.
  • Stripe Inc. — elaborazione dei pagamenti e gestione degli abbonamenti. Tratta esclusivamente i dati di fatturazione del Titolare; nessun dato ospite viene condiviso con Stripe.
  • Functional Software, Inc. (Sentry): monitoraggio degli errori applicativi e osservabilità tecnica. Riceve esclusivamente stack trace e contesto tecnico di eccezioni generate dal server; non tratta dati identificativi degli ospiti né traccia la navigazione dell'utente. Con sede negli Stati Uniti.
  • Google LLC (solo se il Titolare utilizza il login con Google): Google processa esclusivamente l'indirizzo email e il nome del Titolare per completare l'autenticazione OAuth. Non tratta dati personali degli ospiti. L'utilizzo di Google per l'accesso è facoltativo. Con sede negli Stati Uniti.

Speedy Host informerà il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi a tali modifiche.

5.5 Assistenza al Titolare

Assistere il Titolare, nella misura del possibile, nell'adempimento dei seguenti obblighi:

  • Risposta alle richieste degli interessati per l'esercizio dei diritti di cui agli artt. 15–22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione)
  • Adempimento degli obblighi in materia di sicurezza (art. 32 GDPR)
  • Notifica di violazioni dei dati personali all'autorità di controllo e agli interessati (artt. 33–34 GDPR)
  • Valutazioni d'impatto sulla protezione dei dati (DPIA, art. 35 GDPR), ove applicabile

5.6 Notifica di violazioni (Data Breach)

Speedy Host notificherà al Titolare qualsiasi violazione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza. La notifica conterrà, come minimo:

  • La descrizione della natura della violazione
  • Le categorie e il numero approssimativo di interessati coinvolti
  • Le misure adottate o proposte per porre rimedio alla violazione

Il Titolare rimane responsabile della notifica al Garante per la Protezione dei Dati Personali entro i termini previsti dall'art. 33 GDPR.

5.7 Messa a disposizione delle informazioni e audit

Speedy Host metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e consentirà e contribuirà alle attività di revisione, incluse ispezioni, realizzate dal Titolare o da un auditor da esso incaricato, previo ragionevole preavviso scritto e senza interruzione dell'operatività del Servizio.

6. Obblighi del Titolare del Trattamento

Il Titolare si impegna a:

  • Disporre di una base giuridica valida per il trattamento dei dati personali degli ospiti (ad esempio, obbligo legale ai sensi dell'art. 109 T.U.L.P.S.)
  • Fornire agli ospiti un'informativa sul trattamento dei dati personali adeguata ai sensi degli artt. 13–14 GDPR, prima della raccolta dei dati tramite il modulo di check-in
  • Impartire istruzioni a Speedy Host esclusivamente per finalità lecite e compatibili con quelle descritte nel presente DPA
  • Garantire che le credenziali di accesso alla piattaforma siano conservate in modo sicuro e non condivise con soggetti non autorizzati
  • Comunicare tempestivamente a Speedy Host qualsiasi richiesta di esercizio dei diritti da parte degli interessati

7. Trasferimento di dati al di fuori dell'UE

Il trattamento dei dati personali avviene principalmente all'interno dell'Unione Europea. Nella misura in cui i sub-responsabili di cui all'art. 5.4 del presente DPA (Stripe, Resend, Sentry, Google) trasferiscono dati al di fuori dell'UE/SEE, Speedy Host si assicura che tali trasferimenti avvengano in conformità al Capo V del GDPR, tramite:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021
  • EU-U.S. Data Privacy Framework per i sub-responsabili statunitensi certificati nell'ambito della Decisione di Adeguatezza della Commissione Europea del 10 luglio 2023
  • Misure supplementari tecniche e organizzative ove necessarie a seguito della valutazione d'impatto sul trasferimento (Transfer Impact Assessment)

8. Durata e cessazione

Il presente DPA ha la stessa durata del contratto di servizio tra Titolare e Speedy Host. In caso di cessazione del contratto per qualsiasi motivo:

  • Speedy Host cesserà il trattamento dei dati personali degli ospiti del Titolare
  • I dati dell'account e delle strutture saranno eliminati entro 30 giorni dalla cessazione, salvo diversa istruzione scritta del Titolare
  • Il Titolare può richiedere la cancellazione immediata dei propri dati tramite la funzione “Elimina account” nelle Impostazioni della piattaforma, oppure contattando info@speedyhost.app

9. Contatti e DPO

Per qualsiasi questione relativa al presente DPA o al trattamento dei dati personali, contattare Speedy Host all'indirizzo: info@speedyhost.app.

Speedy Host non è attualmente soggetta all'obbligo di designazione di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Qualora tale obbligo dovesse sorgere, i dati di contatto del DPO saranno pubblicati su questa pagina.

10. Legge applicabile

Il presente DPA è disciplinato dal Regolamento (UE) 2016/679 (GDPR) e, per quanto non espressamente disciplinato dal GDPR, dalla legge inglese (England and Wales), in conformità a quanto previsto dai Termini e Condizioni.

← Torna alla home