Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
La presente Privacy Policy si applica al sito nerostay.it e alle sue eventuali estensioni e sottodomini gestiti da Punto Nero Studio, ivi inclusi nerostay.puntonero.studio e sitiperhotel.com.
Ultimo aggiornamento: 29 aprile 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite questo sito è:
Punto Nero Studio di Carlo Simone — Partita IVA 02865890418, Codice Fiscale SMNCRL97R28A662S, con sede in Via Sarnano 7, 61122 Pesaro (PU).
Contatti: e-mail privacy@nerostay.it — PEC carlo.simone@pec.it.
Non è stata nominata una figura di Responsabile della Protezione dei Dati (DPO), in quanto non ricorrono i presupposti di obbligatorietà previsti dall'art. 37 GDPR. Per qualsiasi richiesta in materia di protezione dei dati è possibile rivolgersi direttamente al titolare ai contatti sopra indicati.
2. Tipologie di dati trattati
Tramite il sito web possono essere trattate le seguenti categorie di dati:
Dati di navigazione — indirizzi IP, tipo di browser, sistema operativo, pagine visitate, durata della visita, referrer. Questi dati sono raccolti automaticamente per il funzionamento del sito e per finalità statistiche aggregate.
Dati forniti volontariamente — nome, cognome, indirizzo e-mail, numero di telefono, nome della struttura ricettiva e altri dati eventualmente inseriti nei moduli di contatto, di richiesta demo o di iscrizione alla newsletter.
Dati raccolti tramite cookie — si rinvia alla Cookie Policy.
3. Finalità del trattamento e basi giuridiche
I dati sono trattati per le finalità indicate nella tabella seguente, sulla base delle basi giuridiche corrispondenti.
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Permettere la navigazione e garantire la sicurezza del sito (log tecnici) | Legittimo interesse del titolare alla sicurezza dei sistemi (art. 6.1.f GDPR) | Massimo 12 mesi, salvo necessità di accertamento di reati |
| Riscontro a richieste di contatto, demo o preventivi | Esecuzione di misure precontrattuali su richiesta dell'interessato (art. 6.1.b GDPR) | Fino alla conclusione della relazione precontrattuale e per i 24 mesi successivi |
| Invio di newsletter e comunicazioni commerciali | Consenso esplicito (art. 6.1.a GDPR) | Fino a revoca del consenso |
| Adempimento di obblighi di legge (fiscali, contabili) | Obbligo legale (art. 6.1.c GDPR) | 10 anni dalla data del documento |
| Statistiche aggregate sull'uso del sito | Legittimo interesse / consenso (cfr. Cookie Policy) | Cfr. Cookie Policy |
Il conferimento dei dati per le finalità di legittimo interesse e adempimento di obblighi è necessario al funzionamento del sito; il rifiuto può rendere impossibile la fruizione di alcuni servizi. Il conferimento per le finalità di newsletter è facoltativo.
4. Modalità del trattamento
Il trattamento avviene con strumenti elettronici, mediante l'adozione di misure tecniche e organizzative adeguate a garantire la sicurezza, l'integrità e la riservatezza dei dati, in conformità all'art. 32 GDPR. I dati sono accessibili solo al titolare e ai responsabili del trattamento debitamente nominati.
5. Soggetti destinatari dei dati
I dati possono essere comunicati ai seguenti soggetti, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR o agenti come autonomi titolari:
| Fornitore | Servizio | Sede / Garanzie |
|---|---|---|
| Vercel Inc. | Hosting del sito | Stati Uniti — adesione al Data Privacy Framework UE-USA e Standard Contractual Clauses |
| Supabase Inc. | Database e archiviazione (regione UE) | Trattamento all'interno dell'Unione Europea; società madre con sede USA, copertura tramite SCC e DPF |
| Stripe Payments Europe Ltd. | Gestione pagamenti | Irlanda — UE |
| Consulenti e professionisti | Adempimenti contabili, fiscali, legali | Italia / UE |
L'elenco aggiornato dei responsabili del trattamento è disponibile su richiesta scritta al titolare. I dati non saranno diffusi né comunicati a soggetti terzi al di fuori dei casi sopra indicati o di obblighi di legge.
6. Trasferimento dei dati al di fuori dello Spazio Economico Europeo
Alcuni dei fornitori sopra indicati hanno sede o utilizzano infrastrutture al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Il trasferimento avviene esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR, quali:
Decisioni di adeguatezza adottate dalla Commissione Europea, ivi inclusa quella relativa al EU-U.S. Data Privacy Framework, applicabile ai fornitori certificati;
Clausole contrattuali standard (Standard Contractual Clauses) approvate dalla Commissione Europea;
Misure supplementari tecniche e organizzative ove necessarie a garantire un livello di protezione equivalente.
L'interessato può ottenere copia delle garanzie adottate facendo richiesta scritta al titolare.
7. Periodo di conservazione
I dati sono conservati per i periodi indicati nella tabella delle finalità (sezione 3). Al termine del periodo di conservazione i dati sono cancellati o resi anonimi, salvo obblighi legali di conservazione ulteriore.
8. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR, l'interessato ha diritto di:
ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati;
ottenere la rettifica dei dati inesatti o l'integrazione di quelli incompleti;
ottenere la cancellazione dei dati nei casi previsti dalla legge;
ottenere la limitazione del trattamento;
ottenere la portabilità dei dati forniti, in formato strutturato e leggibile da dispositivo automatico;
opporsi al trattamento per motivi legittimi;
revocare in qualsiasi momento il consenso prestato, senza pregiudizio della liceità del trattamento basato sul consenso prima della revoca;
non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o significativi (il titolare non effettua trattamenti di questo tipo).
I diritti possono essere esercitati inviando una richiesta scritta a privacy@nerostay.it o tramite PEC a carlo.simone@pec.it. Il titolare si impegna a riscontrare la richiesta entro un mese dal ricevimento, prorogabili di ulteriori due mesi nei casi di particolare complessità.
Qualora l'interessato ritenga che il trattamento avvenga in violazione del GDPR, ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o ad altra autorità di controllo competente.
9. Trattamento dei documenti d'identità degli ospiti (per le strutture clienti)
Quando una struttura ricettiva (hotel, B&B, affittacamere, casa vacanze) utilizza la piattaforma NeroStay per la gestione del check-in dei propri ospiti, il rapporto si configura come segue:
Titolare del trattamento dei dati degli ospiti: la struttura ricettiva cliente.
Responsabile del trattamento ai sensi dell'art. 28 GDPR: Punto Nero Studio (in qualita' di gestore della piattaforma NeroStay).
Il rapporto è regolato da un Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR, sottoscritto al momento della registrazione della struttura sulla piattaforma. Il testo integrale del DPA è disponibile come documento scaricabile in PDF e in copia dalla dashboard del cliente.
I documenti d'identità degli ospiti caricati tramite la web app NeroStay sono trattati in conformita' alla nota del Garante per la protezione dei dati personali del 29 aprile 2026. Il principio guida è la cancellazione del documento d'identità nello stesso momento in cui la struttura carica la ricevuta Alloggiati Web sulla piattaforma: lo stesso atto opera come prova di avvenuta trasmissione e come trigger di cancellazione, in linea con la nota Garante. I meccanismi automatici di cancellazione (al check-out, cron giornaliero per record orfani) sono attivi come safety net per eventuali dimenticanze degli operatori, non come flusso di default. Modalità operative:
Storage cifrato in Unione Europea — i file sono archiviati in regione UE, cifrati a riposo (AES-256) e in transito (TLS 1.3).
Cancellazione immediata al caricamento ricevuta — il flusso di default prevede che la struttura cliente, dopo l'inserimento dei dati nel sistema Alloggiati Web della Polizia di Stato, carichi la ricevuta di trasmissione in dashboard. L'upload della ricevuta attiva la cancellazione immediata del documento d'identità dal sistema. Sono inoltre disponibili azioni di emergenza (es. ospite no-show, ricevuta indisponibile) all'interno del menu della prenotazione per gestire casi eccezionali. Ogni cancellazione è registrata in un audit log esportabile.
Meccanismi automatici di sicurezza (safety net) — per gestire eventuali dimenticanze degli operatori sono attivi meccanismi automatici secondari che cancellano i documenti al check-out dell'ospite e tramite cron giornaliero per record orfani. Si tratta di tutele di emergenza, non del flusso di default.
Audit log per ispezioni — il sistema mantiene una traccia esportabile in PDF di tutti gli accessi, consultazioni e cancellazioni effettuate sui documenti, a disposizione delle Autorità competenti.
Sistema senza download — il personale della struttura può visualizzare un'anteprima del documento ai soli fini dell'inserimento dei dati in Alloggiati Web, ma non può scaricare il file.
Per il dettaglio completo del flusso compliance e per leggere la nota del Garante, vedi la pagina Conformita' Garante.
Ricevute Alloggiati Web — Le ricevute caricate dalla struttura ricettiva sono conservate per 5 anni in storage cifrato (Supabase EU, region Frankfurt) come prova dell'avvenuto adempimento all'obbligo di trasmissione ex art. 109 TULPS. Il portale ufficiale Alloggiati Web mantiene le ricevute scaricabili solo per 30 giorni dalla generazione: NeroStay copre il restante quinquennio coprendo il gap con archiviazione automatica. La conservazione di durata quinquennale è allineata al termine prescrizionale degli obblighi del titolare ricettivo. La struttura può scaricare le ricevute in formato PDF in qualsiasi momento dalla propria dashboard. Le ricevute possono contenere riferimenti agli ospiti trasmessi (nome, cognome, dati identificativi). Base giuridica del trattamento: esecuzione del contratto (art. 6.1.b GDPR) e adempimento di obblighi di legge cui è soggetta la struttura titolare ex art. 109 TULPS. NeroStay agisce come responsabile del trattamento ex art. 28 GDPR, nei limiti di quanto definito nel DPA sottoscritto con la struttura. La struttura può disattivare la funzione di archiviazione dalle Impostazioni della dashboard; in tal caso la conservazione ex art. 109 TULPS resta integralmente a carico della struttura.
10. Attivazione dei pagamenti online (Stripe Connect)
Le strutture clienti che, in fase di iscrizione o successivamente dalla dashboard, scelgono di attivare la raccolta pagamenti dagli ospiti tramite la piattaforma NeroStay forniscono dati ulteriori necessari alla creazione di un account merchant dedicato presso il nostro fornitore di pagamenti. Questi dati comprendono in particolare: data di nascita del rappresentante legale, codice fiscale del rappresentante legale (per ditte individuali e liberi professionisti), IBAN bancario su cui accreditare gli incassi.
I dati raccolti per l'attivazione dei pagamenti online vengono conservati temporaneamente da Punto Nero Studio nel proprio database (tabella hotels, campo stripe_connect_request_payload) per consentirci di creare il tuo account Stripe, e successivamente trasmessi a Stripe Payments Europe Ltd. (Irlanda — UE), il nostro fornitore di pagamenti, per la verifica antiriciclaggio (KYC) e la creazione del Connected Account Express previsto dal servizio Stripe Connect. Stripe agisce come titolare autonomo del trattamento dei dati raccolti in tale contesto, ai sensi della propria informativa privacy.
Dopo l'attivazione finale del Connected Account, il codice fiscale del rappresentante legale e l'IBAN restano gestiti da Stripe sul tuo account Express; il payload locale presso Punto Nero Studio viene rimosso. La finestra di conservazione temporanea presso NeroStay corrisponde indicativamente alle 24 ore lavorative necessarie al team interno per completare l'attivazione manuale.
Base giuridica: esecuzione del contratto (art. 6.1.b GDPR) per quanto riguarda la creazione del merchant account; adempimento di obblighi di legge (art. 6.1.c GDPR) per quanto riguarda gli adempimenti antiriciclaggio cui Stripe è soggetta in qualità di istituto di pagamento autorizzato. Il conferimento dei dati è facoltativo: la mancata attivazione dei pagamenti online non pregiudica in alcun modo l'uso della piattaforma NeroStay per la gestione degli ospiti.
11. Modifiche alla presente informativa
Il titolare si riserva il diritto di aggiornare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate sul sito con indicazione della data di ultimo aggiornamento. Si invita l'interessato a consultare periodicamente questa pagina.