Privacy Policy

Ultimo aggiornamento: 7 maggio 2026

1. Titolare del trattamento

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), Titolare del trattamento dei dati personali è:

  • Denominazione: Viaggio Epico S.r.l.
  • Sede legale: Via Pulei 38, 95030 Mascalucia (CT)
  • P.IVA / C.F.: IT06268510879
  • Email generale: info@viaggioepico.com
  • Email dedicata privacy: privacy@viaggioepico.com [DA VERIFICARE]
  • Telefono: +39 3516819519

2. Categorie di dati trattati

Trattiamo le seguenti categorie di dati personali, raccolti direttamente dall'utente o tramite la navigazione del sito:

2.1 Dati forniti volontariamente tramite il form di contatto

  • Nome e cognome
  • Indirizzo email
  • Numero di telefono (facoltativo)
  • Oggetto del messaggio e contenuto del messaggio

2.2 Dati forniti tramite il form di richiesta prenotazione

  • Nome e cognome
  • Indirizzo email
  • Numero di telefono
  • Data di nascita (necessaria per verificare l'idoneità al pacchetto turistico, in particolare per le partenze con fasce d'età definite)
  • Identificativo della partenza scelta e numero di posti richiesti
  • Eventuali note libere fornite dal viaggiatore
  • Spunta di accettazione consapevolezza fascia d'età (laddove applicabile)

2.3 Dati di navigazione

Durante l'uso del sito, i sistemi informatici e le procedure software preposte al funzionamento acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (indirizzo IP, User-Agent del browser, timestamp delle richieste, URL visitate, codice di stato HTTP). Tali dati vengono trattati esclusivamente per ricavare informazioni statistiche anonime, per garantire il corretto funzionamento del sito e per la sicurezza informatica.

2.4 Cookie e tecnologie simili

Per i dettagli rimandiamo alla Cookie Policy.

2.5 Dati anti-bot (Cloudflare Turnstile)

I form di contatto e prenotazione sono protetti tramite il servizio Cloudflare Turnstile, che verifica la natura umana dell'utente raccogliendo segnali tecnici (pattern di interazione, dati del browser, indirizzo IP). I dettagli sono nella sezione 5 ("Destinatari") e nella Cookie Policy.

2.6 Esigenze speciali e dati di categorie particolari (art. 9 GDPR)

Per la natura del servizio (pacchetti turistici di gruppo) può essere necessario gestire informazioni relative alla salute del viaggiatore (allergie alimentari, intolleranze, terapie in corso, esigenze di mobilità ridotta) o ad altre categorie particolari ai sensi dell'art. 9 GDPR. Tali dati non devono essere comunicati attraverso i form pubblici del sito: il form di contatto e il form di prenotazione recano un avviso esplicito in tal senso e non sono il canale corretto. La raccolta avviene esclusivamente dopo la conferma della richiesta di prenotazione, attraverso un'email dedicata che il Titolare invia al viaggiatore con uno specifico modulo da firmare. Le basi giuridiche di questo trattamento sono cumulative: il consenso dell'interessato (art. 6.1.a GDPR), quale base ordinaria di liceità del trattamento, e il consenso esplicito (art. 9.2.a GDPR), quale eccezione che legittima il trattamento di dati relativi alla salute. Entrambi i consensi sono raccolti contestualmente e in forma documentata. Le finalità sono limitate all'organizzazione operativa del viaggio (es. richiesta di pasti specifici a fornitori, predisposizione di sistemazioni accessibili, gestione di emergenze sanitarie). I dati così raccolti sono accessibili solo al personale autorizzato strettamente necessario e cancellati al termine del viaggio o, se conservati per ragioni assicurative/contrattuali, comunque entro il termine massimo del paragrafo 4. Qualora un viaggiatore inserisca per errore dati di questa natura in un campo libero del form, il Titolare procederà alla cancellazione del dato e tratterà la richiesta nei limiti delle informazioni residue.

2.7 Esclusioni

Salvo il flusso descritto al punto 2.6, non raccogliamo categorie particolari di dati personali (art. 9 GDPR) né dati relativi a condanne penali (art. 10 GDPR). Non trattiamo deliberatamente dati di minori di 14 anni; per le prenotazioni di minori il trattamento avviene attraverso il genitore/tutore che effettua la richiesta.

3. Finalità e basi giuridiche del trattamento

FinalitàBase giuridicaDati interessati
Rispondere a richieste di informazioni inviate tramite il form di contattoEsecuzione di misure precontrattuali su richiesta dell'interessato — art. 6.1.b GDPR2.1
Gestire la richiesta di prenotazione e l'eventuale contratto di pacchetto turisticoEsecuzione del contratto e misure precontrattuali — art. 6.1.b GDPR2.2
Adempiere a obblighi di legge (fiscali, contabili, conservazione dei contratti turistici)Obbligo legale — art. 6.1.c GDPR2.2 + dati di pagamento gestiti da soggetti terzi
Sicurezza informatica del sito e prevenzione di abusi/frodi sui formLegittimo interesse del Titolare a proteggere i propri sistemi — art. 6.1.f GDPR2.3, 2.5
Misurazione dell'utilizzo del sito (Google Analytics 4)Consenso dell'interessato — art. 6.1.a GDPR (revocabile in qualsiasi momento). Senza consenso lo script Google non viene caricato e nessuna richiesta raggiunge i server di Google.Cookie di analytics — vedi Cookie Policy
Gestione esigenze speciali del viaggiatore raccolte post-conferma (es. allergie, mobilità, intolleranze)Cumulative: consenso dell'interessato — art. 6.1.a GDPR (base di liceità) e consenso esplicito — art. 9.2.a GDPR (eccezione per dati relativi alla salute). Raccolti separatamente via email dedicata, mai dai form pubblici del sito.2.6
Difesa in giudizioLegittimo interesse del Titolare — art. 6.1.f GDPRTutti i dati pertinenti a un eventuale contenzioso

Non effettuiamo attività di marketing diretto né profilazione senza consenso esplicito. [DA VERIFICARE]

4. Periodi di conservazione

I dati sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, come dettagliato di seguito:

  • Richieste tramite form di contatto: fino a 12 mesi dall'ultima interazione utile, poi cancellazione o anonimizzazione.
  • Richieste di prenotazione non confermate: 12 mesi dalla richiesta.
  • Contratti di pacchetto turistico (richieste confermate): 10 anni dalla conclusione del viaggio, in conformità all'art. 2220 c.c. e agli obblighi fiscali.
  • Log tecnici e dati di sicurezza (incluso Turnstile): fino a 12 mesi, salvo necessità investigative.
  • Dati di esigenze speciali post-conferma (par. 2.6): conservati fino al termine del viaggio. Se necessari per ragioni assicurative o per la gestione di reclami, comunque entro i termini di prescrizione del diritto al risarcimento (2 anni dal rientro, art. 43 c. 5 Codice Turismo).
  • Cookie analytics (Google Analytics 4): attivati solo previo consenso; conservazione lato Google con retention impostata a 14 mesi (livello minimo configurabile in GA4); dati identificativi degli utenti (cookie _ga*) durano 2 anni nel browser dell'utente fino alla revoca del consenso.
  • Cookie di consenso (cc_cookie): 12 mesi dall'ultima scelta, poi richiediamo nuovamente il consenso.

5. Destinatari dei dati e responsabili del trattamento

I dati possono essere comunicati ai seguenti soggetti, debitamente nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR (laddove applicabile) o autonomi Titolari nei casi previsti dalla legge:

  • Personale autorizzato del Titolare (coordinatori dei viaggi, area amministrativa) — autorizzato e istruito ai sensi dell'art. 29 GDPR e art. 2-quaterdecies del Codice Privacy.
  • Fornitore di hosting: [XXXX]. La piattaforma Strapi che gestisce contenuti e form è ospitata su tale infrastruttura.
  • Cloudflare, Inc. (101 Townsend Street, San Francisco, CA, USA) — fornitore del servizio anti-bot Turnstile e, se attivo, del CDN/WAF. Privacy policy Cloudflare.
  • Google LLC / Google Ireland Ltd. — fornitore di Google Analytics 4 (attivato solo previo consenso). Privacy policy Google.
  • Provider di posta elettronica e infrastruttura email transazionale: [DA VERIFICARE].
  • Consulenti e fornitori di servizi professionali (commercialista, consulente legale, eventuale gestore garanzia di insolvenza), nei limiti delle rispettive competenze.
  • Autorità giudiziarie e di pubblica sicurezza, su richiesta legittima.

L'elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scrivendo a privacy@viaggioepico.com.

6. Trasferimenti di dati al di fuori dell'Unione Europea

Alcuni fornitori menzionati al paragrafo 5 (in particolare Google e Cloudflare) sono società con sede negli Stati Uniti d'America. Per tali trasferimenti la conformità è garantita attraverso:

  • Le Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914;
  • L'adesione del fornitore al EU-U.S. Data Privacy Framework (Decisione di adeguatezza UE del 10 luglio 2023). Sia Google sia Cloudflare sono iscritte alla lista delle organizzazioni certificate.

L'utente può ottenere copia delle garanzie adottate scrivendo a privacy@viaggioepico.com.

7. Diritti dell'interessato

L'utente può esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15-22 GDPR:

  • Accesso ai propri dati e copia degli stessi (art. 15);
  • Rettifica dei dati inesatti o incompleti (art. 16);
  • Cancellazione ("diritto all'oblio") nei casi previsti (art. 17);
  • Limitazione del trattamento (art. 18);
  • Portabilità dei dati forniti (art. 20);
  • Opposizione al trattamento basato su legittimo interesse (art. 21);
  • Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato, inclusa la profilazione (art. 22).

Per esercitare tali diritti è sufficiente inviare una richiesta a privacy@viaggioepico.com indicando in oggetto "Esercizio diritti privacy". Risponderemo senza ingiustificato ritardo e comunque entro un mese dalla richiesta (estensibile di due mesi in caso di complessità).

7.1 Revoca del consenso

Quando il trattamento è basato sul consenso, l'utente può revocarlo in qualsiasi momento, senza pregiudicare la liceità dei trattamenti effettuati prima della revoca. Per i cookie di analytics può utilizzare il pulsante "Gestisci cookie" presente nel footer del sito.

7.2 Reclamo all'Autorità di controllo

L'interessato ha sempre il diritto di proporre reclamo al Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o all'autorità di controllo dello Stato membro UE in cui risiede.

8. Conferimento dei dati: obbligatorio o facoltativo

Il conferimento dei dati contrassegnati come obbligatori nei form (nome, email, soggetto, messaggio per il contatto; nome, email, telefono, data di nascita, partenza per la prenotazione) è necessario per dar seguito alla richiesta. Il rifiuto di fornirli rende impossibile l'erogazione del servizio richiesto. Il conferimento di dati facoltativi (es. numero di telefono nel form di contatto, note libere) non condiziona la trattazione della richiesta.

9. Processi decisionali automatizzati e profilazione

Il Titolare non effettua processi decisionali automatizzati né attività di profilazione che producano effetti giuridici sull'utente o che incidano significativamente sulla sua persona ai sensi dell'art. 22 GDPR.

10. Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative ai sensi dell'art. 32 GDPR adeguate al rischio del trattamento, tra cui: comunicazioni cifrate via HTTPS/TLS, controlli di accesso al backend di gestione contenuti limitati al personale autorizzato con sessioni a durata limitata, segregazione degli ambienti di sviluppo e di produzione, e salvataggi giornalieri della base dati. In caso di violazione dei dati personali, il Titolare ottempera agli obblighi di notifica al Garante e, ove ne ricorrano i presupposti, di comunicazione all'interessato nei termini e con le modalità previsti dagli artt. 33 e 34 GDPR.

11. Modifiche all'informativa

La presente informativa può essere aggiornata in qualsiasi momento. La versione vigente è quella pubblicata su questa pagina, con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali sarà richiesto nuovamente il consenso laddove necessario, anche tramite riapparizione del banner cookie.

12. Contatti

Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile scrivere a:

Ultimo aggiornamento: 7 maggio 2026 — Versione policy: 1.2.0