Informativa sulla Privacy

Servizio: Deep World Travel Versione: 1.0 Ultimo aggiornamento: 17 maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei tuoi dati personali ai sensi del Regolamento UE 2016/679 ("GDPR") è:

Polignando S.r.l.s. Via Dante Alighieri, 61 — 70044 Polignano a Mare (BA), Italia P.IVA e Codice Fiscale: IT08178760727 Iscrizione Registro Imprese di Bari, REA BA-609692 Rappresentante legale pro tempore: Sig. Francesco Roppo Email contatto privacy: [email protected] PEC: da pubblicare

Polignando S.r.l.s. (di seguito anche "Polignando" o "Noi") opera commercialmente con il brand Deep World Travel, di cui detiene la licenza esclusiva di sfruttamento commerciale concessa dal Sig. Michele Roppo, autore originale del software.

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti obbligatori di cui all'art. 37 GDPR.

2. A chi si applica questa informativa

Questa informativa descrive il trattamento dei dati personali di:

Visitatori e turisti che accedono all'app map.deepworldtravel.com da web o da QR code di una struttura partner;
Strutture ricettive (host) che si registrano su hosts.deepworldtravel.com;
Partner di interesse turistico (ristoranti, esperienze, shop) che si registrano su partners.deepworldtravel.com o presentano candidatura spontanea;
Organizzatori di eventi che si registrano su events.deepworldtravel.com;
Candidati spontanei che inviano una manifestazione di interesse tramite il modulo della landing page.

Per ciascuna categoria di interessati sono riportate specifiche informative aggiuntive in fase di registrazione, che integrano e specificano questa informativa generale.

3. Quali dati raccogliamo

3.1 Visitatori e turisti dell'app

Quando usi l'app, raccogliamo:

Sempre (necessari al servizio):

Identificatore di sessione casuale (session_id) — non collegato a te in alcun modo;
Sistema operativo del dispositivo (es. iOS, Android, macOS);
Lingua del browser;
Indirizzo IP (raccolto solo dai sistemi di hosting per finalità di sicurezza tecnica — non aggregato a profilo utente).

Solo se ce lo consenti esplicitamente nel banner iniziale:

Posizione GPS: usata in tempo reale per guidarti sulla mappa e attivare il radar di prossimità. Le coordinate GPS NON vengono mai memorizzate sui nostri server in forma puntuale. Salviamo solo l'informazione che sei passato vicino a un POI specifico (aggregato).
Permesso notifiche: per messaggi di prossimità quando ti trovi vicino a un POI selezionato.
Statistiche d'uso anonime: eventi comportamentali (quale POI hai aperto, quale categoria hai cercato, quanto tempo hai trascorso vicino a un punto di interesse). Tutti questi dati sono aggregati e non riconducibili a te individualmente.

Sul tuo dispositivo (localStorage):

Le tue preferenze (città scelta, categorie attive, modalità Live/Planning);
Il "Diario di viaggio" personale (POI visitati, note, voti) — resta solo sul tuo telefono, non viene mai inviato ai nostri server;
Il consenso che ci hai dato (con data e versione);
Se sei stato invitato da una struttura, il suo identificativo (stay_slug).

3.2 Strutture ricettive (host)

Al momento della registrazione (su invito o spontanea) e in fase di gestione:

Email di accesso + password (cifrata con algoritmo Argon2);
Nome della struttura, slug pubblico, indirizzo;
Codice Identificativo Nazionale (CIN), P.IVA o codice fiscale;
Telefono, WhatsApp, eventuali contatti pubblici;
Foto e contenuti caricati per la propria scheda;
Consigli personalizzati ai propri ospiti (con eventuali note libere);
Dati di fatturazione per il tier Pro (se attivato);
Tier di abbonamento, stato dell'account, eventuale firma Charter Pilota.

3.3 Partner POI

Al momento dell'invito o candidatura:

Email + (se ha account) password;
Nome dell'attività, categoria, sottocategoria;
Telefono, indirizzo, sito web, social;
Foto e descrizione;
Coordinate del POI sulla mappa;
Eventuale livello partner (Diamond/Gold/Expert).

3.4 Organizzatori di eventi

Al momento della registrazione su invito:

Email + password (Argon2);
Nome organizzatore, codice fiscale/P.IVA (campo "registration_number");
Telefono, logo, descrizione, eventuale città di riferimento;
Eventi e cartelloni pubblicati, con relative coordinate.

3.5 Candidati spontanei (landing partner)

Tramite il modulo della landing:

Nome, email, telefono, città;
Categoria di attività, descrizione libera della propria storia.

3.6 Dati che NON raccogliamo

Per chiarezza, riportiamo cosa non raccogliamo:

Dati appartenenti a categorie particolari (sanitari, biometrici, religiosi, ecc.);
Dati di pagamento con carta di credito o IBAN — il Software attualmente NON gestisce transazioni economiche tra utenti finali e operatori turistici;
Documenti di identità o copie di documenti;
Storico di navigazione su altri siti (no cross-site tracking);
Contatti della tua rubrica;
Foto della tua galleria (a meno che tu non le carichi volontariamente come host/partner);
Numeri di carta di credito (non li gestiamo);
Dati biometrici;
Dati di minori al di sotto dei 14 anni in modo consapevole.

4. Per quali finalità trattiamo i tuoi dati

Finalità	Categorie di dati interessati	Base giuridica (Art. 6 GDPR)
Erogare il servizio (mappa, navigazione, accesso ai contenuti)	Tutti	Esecuzione del contratto / misure precontrattuali (art. 6.1.b)
Gestire registrazione, autenticazione, accesso ai portali	Host, partner, organizer	Esecuzione del contratto (art. 6.1.b)
Tracciare prossimità geografica e visite	Posizione GPS, aggregati comportamentali	Consenso (art. 6.1.a)
Statistiche d'uso anonime per migliorare l'app	Eventi comportamentali aggregati	Consenso (art. 6.1.a)
Invio email transazionali (conferme, inviti, password)	Email	Esecuzione del contratto (art. 6.1.b)
Adempimenti fiscali e contabili (per host Pro paganti)	Dati di fatturazione	Obbligo legale (art. 6.1.c)
Sicurezza, prevenzione abusi, error logging	IP, log tecnici, errori applicativi	Legittimo interesse (art. 6.1.f)
Difesa in giudizio	Tutti, ove necessario	Legittimo interesse (art. 6.1.f)
Marketing diretto (newsletter, comunicazioni promozionali)	Email	Consenso separato (art. 6.1.a) — solo se sottoscritto

Decisioni automatizzate: non utilizziamo processi decisionali automatizzati né effettuiamo profilazione individuale ai sensi dell'art. 22 GDPR.

5. Per quanto tempo conserviamo i tuoi dati

Dato	Periodo di conservazione
Statistiche d'uso "tecniche" (heartbeat, log errori, metriche performance)	30 giorni (cancellazione automatica via cron)
Statistiche d'uso "business" (POI aperti, navigazioni, visite, ecc.)	13 mesi (cancellazione automatica via cron)
Account host / partner / organizer attivi	Per la durata del rapporto + 10 anni dalla cessazione (obblighi civilistici e fiscali)
Email transazionali (log SMTP Aruba)	12 mesi
Fatture e documenti contabili	10 anni (art. 2220 c.c.)
Log di sicurezza	6 mesi
Candidature spontanee non accettate	12 mesi dalla ricezione
Cookie e dati nel browser dell'utente	A discrezione dell'utente — può cancellare via "Impostazioni > Privacy" del browser

Trascorsi questi periodi, i dati vengono cancellati o resi anonimi in modo irreversibile.

6. A chi comunichiamo i tuoi dati (Destinatari e Responsabili esterni)

Non vendiamo né cediamo i tuoi dati a terzi per finalità commerciali. Per erogare il servizio condividiamo alcuni dati con i seguenti fornitori, vincolati da Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR:

Fornitore	Ruolo	Localizzazione	Dati trattati
Hetzner Online GmbH	Hosting backend (server + database)	Germania (UE)	Tutti i dati di backend
Cloudflare Inc.	CDN, deploy frontend, sicurezza	Edge globale; sede USA	Traffico HTTP, asset statici, log accessi
Aruba S.p.A.	Email transazionale (SMTP) e DNS	Italia (UE)	Email, log invii
GitHub, Inc. (Microsoft)	Repository del codice sorgente (no dati utente)	USA (con SCC)	Solo codice
Sig. Michele Roppo (autore del software)	Manutenzione tecnica del software (Responsabile esterno)	Italia	Solo i dati strettamente necessari alla risoluzione di problemi tecnici, su richiesta esplicita di Polignando

L'elenco aggiornato dei sub-processor è disponibile su richiesta scrivendo a [email protected].

Possiamo inoltre comunicare i dati a:

Autorità giudiziarie, di pubblica sicurezza, fiscali, ove richiesto da legge;
Consulenti professionali (commercialisti, avvocati) vincolati da segreto professionale;
Eventuali acquirenti di Polignando, in caso di operazioni straordinarie (con preavviso e diritto di opposizione).

7. Trasferimento dati extra-UE

I dati personali sono principalmente trattati in Unione Europea (Germania e Italia).

Alcuni servizi (Cloudflare, GitHub) hanno sede negli Stati Uniti o operano con edge globali. Il trasferimento extra-UE avviene esclusivamente sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (decisione 2021/914), che garantiscono un livello di protezione adeguato.

Per servizi statunitensi aderenti al EU-US Data Privacy Framework, il trasferimento avviene anche su questa base giuridica.

8. I tuoi diritti

In qualità di interessato, hai il diritto di:

Diritto	Cosa significa
Accesso (art. 15)	Sapere quali tuoi dati trattiamo e ricevere copia
Rettifica (art. 16)	Correggere dati inesatti o incompleti
Cancellazione (art. 17)	Ottenere la cancellazione ("diritto all'oblio")
Limitazione (art. 18)	Limitare temporaneamente il trattamento
Portabilità (art. 20)	Ricevere i tuoi dati in formato strutturato e portarli altrove
Opposizione (art. 21)	Opporti al trattamento basato su legittimo interesse
Revoca consenso (art. 7)	Revocare in qualsiasi momento i consensi prestati
Reclamo Garante (art. 77)	Presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

Come esercitare i tuoi diritti: scrivici a [email protected] indicando: (a) il tuo nome o identificativo riconducibile (es. email account, slug struttura); (b) il diritto che intendi esercitare. Risponderemo entro 30 giorni (prorogabili a 90 in casi complessi, con motivazione).

Per gli utenti turisti anonimi senza account, l'esercizio del diritto di accesso/cancellazione è tecnicamente limitato dal fatto che non disponiamo di un identificativo per ricondurre i dati aggregati a te individualmente. Puoi comunque cancellare i dati locali (Diario, preferenze) dalle impostazioni del tuo browser.

Modalità di esercizio facilitate (self-service): per host, partner e organizer registrati, il portale prevede funzionalità di:

"Esporta i miei dati" (portabilità);
"Elimina il mio account" (cancellazione con periodo di grazia di 30 giorni — i dati di fatturazione restano per gli obblighi di legge);
"Modifica i miei dati" (rettifica).

9. Cookie e tecnologie simili

Vedi la nostra Cookie Policy dedicata per il dettaglio.

In sintesi:

Cookie tecnici strettamente necessari: usati per autenticazione e funzionamento del sito. Non richiedono consenso.
localStorage (memoria del browser): usata per preferenze utente, diario, consensi. Non è un cookie tecnicamente, ma rientra nella stessa disciplina.
Statistiche d'uso anonime: gestite tramite Umami self-hosted (server UE), senza cookie e senza fingerprint. Caricato solo dopo il tuo consenso esplicito dal banner GDPR.
NO Google Analytics, NO cookie pubblicitari, NO social plugin terzi.

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:

Trasmissione cifrata HTTPS/TLS 1.3 su tutti i sub-domini;
Password utenti cifrate con algoritmo Argon2 (stato dell'arte);
Token di sessione con scadenza automatica;
Database accessibile solo da rete interna Docker (no esposizione pubblica);
Backup giornalieri cifrati su storage separato;
Accessi amministrativi tracciati e ristretti per ruolo (RBAC);
Aggiornamenti di sicurezza tempestivi su tutti i componenti software.

In caso di violazione dei dati personali ("data breach") che possa comportare un rischio per i diritti degli interessati, notificheremo l'evento al Garante entro 72 ore dalla scoperta e — se il rischio è elevato — agli interessati senza ingiustificato ritardo, ai sensi degli artt. 33-34 GDPR.

11. Minori

Il servizio è destinato a un pubblico maggiore di 14 anni (soglia italiana per la prestazione del consenso digitale ex art. 2-quinquies Codice Privacy).

Non raccogliamo consapevolmente dati di minori sotto i 14 anni. Se un genitore o tutore venisse a conoscenza che il proprio figlio minore di 14 anni ha fornito dati personali a Deep World Travel, può scriverci a [email protected] per ottenerne la cancellazione.

Per gli host che gestiscono strutture ricettive con presenza di minori (es. famiglie in vacanza): Polignando non raccoglie dati identificativi degli ospiti delle strutture — è la struttura stessa, in qualità di autonomo titolare, a gestire tali dati nel rispetto delle proprie obbligazioni.

12. Funzionalità future

Polignando potrebbe in futuro attivare nuove funzionalità che comportino trattamenti aggiuntivi, ad esempio:

Intermediazione di prenotazioni (booking diretto di strutture o esperienze), con eventuale gestione di dati di pagamento e documenti di identità ai sensi della direttiva DAC7 (UE 2021/514);
Sistema di recensioni pubbliche con identificazione del recensore;
Marketing personalizzato sulla base dei comportamenti d'uso.

Tali funzionalità non sono attualmente operative. Quando saranno attivate, ti chiederemo un consenso specifico aggiuntivo, pubblicando un'informativa dedicata e — se applicabile — aggiornando questa Privacy Policy con preavviso non inferiore a 30 giorni.

13. Modifiche all'informativa

Possiamo modificare questa informativa nel tempo. La versione vigente è sempre disponibile su https://map.deepworldtravel.com/privacy.html (e domini speculari).

Le modifiche sostanziali (es. nuove finalità di trattamento, nuovi destinatari, riduzione dei diritti) saranno comunicate con preavviso di almeno 30 giorni via email agli utenti registrati o tramite avviso in evidenza all'apertura dell'app. Le modifiche meramente formali o di chiarimento entrano in vigore senza preavviso.

14. Foro competente

Per ogni controversia derivante o connessa al presente trattamento dei dati personali, fatta salva la competenza territoriale del Garante per la Protezione dei Dati Personali e dell'autorità giudiziaria di residenza dell'interessato (consumatore), il foro competente è quello di Bari.

15. Contatti

Per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei tuoi dati personali:

Email: [email protected]
Posta ordinaria: Polignando S.r.l.s. — Attn. Privacy — Via Dante Alighieri 61, 70044 Polignano a Mare (BA), Italia
PEC: da pubblicare

Versione 1.0 del 17 maggio 2026. Questo documento è una bozza tecnica predisposta dal Licenziante del Software per conto della Licenziataria, da validare con consulente legale prima della pubblicazione definitiva.