Informativa sulla privacy

Dati di contatto: il tuo indirizzo e-mail, il nome e, facoltativamente, un numero di telefono.

Dati della richiesta: la destinazione, il tipo di visto e le risposte richieste dal modulo ufficiale della destinazione, che possono includere dati del passaporto, date di nascita, indirizzi, piani di viaggio e, per alcune destinazioni, una foto del passaporto caricata da te. Raccogliamo questi dati solo quando inizi una richiesta.

Dati di pagamento: importo, valuta, data, stato del pagamento e un riferimento bancario per ogni pagamento. Non vediamo né conserviamo mai il numero completo della tua carta; i dati della carta sono acquisiti direttamente dal gateway della nostra banca (Redsys / CaixaBank) nel suo riquadro sicuro.

Dati tecnici e di utilizzo: indirizzo IP, informazioni su dispositivo e browser, registri di sicurezza e, solo con il tuo consenso, eventi di analisi e di misurazione pubblicitaria (vedi la nostra Politica sui cookie).

Registri di consenso e comunicazione: le tue scelte sui cookie, i testi legali accettati e quando, le e-mail transazionali inviate e lo stato di disiscrizione.

Per fornirti il servizio richiesto: preparare, verificare, presentare e tracciare la tua richiesta, inclusa la conservazione di una bozza incompleta per 30 giorni. Base giuridica: esecuzione di un contratto, art. 6(1)(b) GDPR.

Per adempiere alla legge: conservazione fiscale e commerciale delle richieste pagate e risposta a richieste legittime delle autorità. Base giuridica: obbligo legale, art. 6(1)(c) GDPR.

Per gestire e proteggere la piattaforma: registri di sicurezza, prevenzione delle frodi, rilevamento degli abusi e monitoraggio degli errori. Base giuridica: legittimo interesse, art. 6(1)(f) GDPR.

Per misurare e migliorare il sito (analisi) e misurare la pubblicità, solo se accetti quelle categorie di cookie. Base giuridica: consenso, art. 6(1)(a) GDPR, revocabile in qualsiasi momento.

Non vendiamo i tuoi dati personali. Usiamo pochi fornitori verificati che agiscono come responsabili del trattamento con contratti ex art. 28 GDPR: un fornitore di database, autenticazione, archiviazione file e hosting (trattamento nell'Unione europea); un fornitore di distribuzione dei contenuti, edge computing e sicurezza (inclusa la protezione anti-bot); Redsys / CaixaBank (elaborazione dei pagamenti con carta); un fornitore di e-mail transazionali; un fornitore di monitoraggio degli errori (con dati personali ripuliti prima dell'invio); Geoapify (completamento automatico facoltativo degli indirizzi) e Google (misurazione di Google Analytics 4 e Google Ads, solo dopo il tuo consenso). Queste categorie di destinatari sono dettagliate nell'allegato dei sub-responsabili (sezione 11).

Quando ci chiedi di presentare una richiesta, i dati richiesti dal modulo ufficiale vengono trasmessi all'autorità di quel governo. L'autorità è titolare autonoma dei dati che riceve.

Possiamo inoltre comunicare dati quando la legge lo impone, ad esempio a tribunali, autorità fiscali o forze dell'ordine nell'esercizio dei loro poteri.

I nostri sistemi principali sono ospitati nell'Unione europea. Quando un fornitore tratta dati fuori dallo Spazio economico europeo (ad esempio alcune operazioni del nostro fornitore di distribuzione dei contenuti e sicurezza, del nostro fornitore di monitoraggio degli errori o di Google negli Stati Uniti), il trasferimento è protetto da una decisione di adeguatezza della Commissione europea (incluso il Data Privacy Framework UE-USA per i fornitori certificati) o dalle clausole contrattuali tipo con garanzie supplementari.

Presentare la tua richiesta a una destinazione fuori dal SEE trasferisce necessariamente i dati della richiesta all'autorità di quel paese. Tale trasferimento è necessario all'esecuzione del tuo contratto con noi (art. 49(1)(b) GDPR) e avviene solo su tua richiesta.

Richieste in bozza: 30 giorni dall'ultimo aggiornamento, poi eliminate, con un'e-mail di promemoria prima della scadenza.

Registri di pagamento e di fatturazione: conservati durante la prestazione del servizio e poi per i periodi richiesti dal diritto fiscale e commerciale spagnolo (in generale quattro anni secondo la legge generale tributaria e sei anni secondo il codice di commercio), quindi eliminati o anonimizzati. I tuoi dati di identità di una richiesta presentata (dati del passaporto, le risposte del tuo modulo governativo ed eventuale foto del passaporto caricata) vengono eliminati o anonimizzati poco dopo la risoluzione della richiesta, in genere entro circa 30 giorni dall'approvazione, dal rifiuto o dalla scadenza, una volta trattata presso l'autorità di destinazione; solo il registro di pagamento anonimizzato viene conservato per il periodo legale.

Registro delle e-mail inviate: fino a 365 giorni. Registri di audit di sicurezza: fino a 1 anno. Registri di accesso ai dati di identità: fino a 2 anni. Registri di consenso: conservati come prova di conformità finché la legge può richiedercelo.

Le foto del passaporto caricate in bozze non pagate vengono rimosse con la bozza; per le richieste presentate vengono rimosse poco dopo la risoluzione della richiesta, insieme al resto dei tuoi dati di identità, lasciando solo il registro di pagamento anonimizzato per il periodo legale fiscale e commerciale.

Hai il diritto di accedere, rettificare, cancellare, limitare e ricevere i tuoi dati in formato portabile, di opporti ai trattamenti basati sul legittimo interesse e di revocare il consenso in qualsiasi momento. Per esercitare questi diritti, scrivi al nostro responsabile della protezione dei dati all'indirizzo sopra indicato; verifichiamo la tua identità (tramite l'e-mail registrata o il tuo codice di tracciamento) prima di agire.

Rispondiamo entro un mese, prorogabile di altri due mesi per richieste complesse, e possiamo chiederti di verificare la tua identità. I registri di pagamento e di fatturazione che dobbiamo conservare per obblighi fiscali o commerciali non possono essere cancellati prima della scadenza di tali periodi; i tuoi dati di identità, invece, vengono rimossi poco dopo la risoluzione della tua richiesta. Ti indicheremo quando si applica una conservazione legale.

Hai inoltre il diritto di presentare reclamo all'autorità spagnola per la protezione dei dati (Agencia Española de Protección de Datos, AEPD; C/ de Jorge Juan, 6, 28001 Madrid; www.aepd.es; ufficio elettronico sedeagpd.gob.es) o all'autorità di controllo del tuo paese di residenza nell'UE.

Tutto il traffico è cifrato in transito (TLS). I dati di identità delle richieste sono cifrati a riposo, l'accesso è a privilegio minimo, registrato e auditato, e l'accesso al database è protetto da sicurezza a livello di riga. I pagamenti sono elaborati nel perimetro PCI DSS della banca; non deteniamo mai il numero della tua carta.

In caso di violazione dei dati personali che comporti un rischio per i tuoi diritti, notificheremo l'AEPD e, ove necessario, te, entro i termini di legge.

Il nostro servizio non è rivolto ai minori. Le richieste per viaggiatori minori di 18 anni devono essere create da un genitore o tutore legale, che fornisce i dati del minore sotto la propria responsabilità.

Non prendiamo decisioni con effetti giuridici su di te basate esclusivamente su trattamenti automatizzati. Ogni richiesta è verificata dal nostro team prima della presentazione; la decisione sul tuo visto o autorizzazione spetta al governo della destinazione, non a noi.

Pubblicheremo ogni modifica sostanziale di questa informativa su questa pagina e, ove opportuno, te la notificheremo via e-mail. La data della versione in vigore è la data di pubblicazione di questa pagina.

Questo allegato dettaglia, per categoria, i fornitori (sub-responsabili) che trattano dati personali per nostro conto, descritti nella sezione 3. Ciascuno agisce in virtù di un contratto scritto ex art. 28 GDPR, tratta i dati solo secondo le nostre istruzioni documentate ed è vincolato a obblighi equivalenti di sicurezza e riservatezza. Manteniamo aggiornato questo elenco e pubblichiamo qui le modifiche sostanziali.

Fornitore di database, autenticazione, archiviazione dei file e hosting dell'applicazione. Regione di trattamento: l'Unione europea.

Fornitore di distribuzione dei contenuti, edge computing e sicurezza (inclusa la protezione anti-bot). Rete edge globale; qualsiasi trattamento fuori dallo Spazio economico europeo è protetto da una decisione di adeguatezza della Commissione europea o dalle clausole contrattuali tipo.

Redsys / CaixaBank: elaborazione dei pagamenti con carta nel perimetro PCI DSS della banca. Regione di trattamento: Spagna e Unione europea.

Fornitore di e-mail transazionali: consegna delle e-mail transazionali. Qualsiasi trattamento fuori dallo Spazio economico europeo è protetto dalle clausole contrattuali tipo.

Fornitore di monitoraggio degli errori: monitoraggio degli errori, con i dati personali ripuliti prima dell'invio. Qualsiasi trattamento fuori dallo Spazio economico europeo è protetto da una decisione di adeguatezza (il Data Privacy Framework UE-USA) o dalle clausole contrattuali tipo.

Geoapify: completamento automatico facoltativo degli indirizzi mentre digiti un indirizzo. Regione di trattamento: l'Unione europea.

Google (Google Analytics 4 e Google Ads): misurazione di analisi e pubblicità, utilizzata solo dopo il tuo consenso a tali categorie di cookie. Trattamento negli Stati Uniti, protetto dal Data Privacy Framework UE-USA e dalle clausole contrattuali tipo.

Non incarichiamo un nuovo sub-responsabile con accesso ai tuoi dati personali senza un contratto scritto ex art. 28 che imponga obblighi equivalenti, e restiamo responsabili verso di te dei dati che trattano.