privacy policy

Who we are

Our website address is: https://www.onepeopletravels.it.

What personal data we collect and why we collect it

Comments

When visitors leave comments on the site we collect the data shown in the comments form, and also the visitor’s IP address and browser user agent string to help spam detection.

An anonymized string created from your email address (also called a hash) may be provided to the Gravatar service to see if you are using it. The Gravatar service privacy policy is available here: https://automattic.com/privacy/. After approval of your comment, your profile picture is visible to the public in the context of your comment.

Media

If you upload images to the website, you should avoid uploading images with embedded location data (EXIF GPS) included. Visitors to the website can download and extract any location data from images on the website.

Contact forms

Cookies

If you leave a comment on our site you may opt-in to saving your name, email address and website in cookies. These are for your convenience so that you do not have to fill in your details again when you leave another comment. These cookies will last for one year.

If you visit our login page, we will set a temporary cookie to determine if your browser accepts cookies. This cookie contains no personal data and is discarded when you close your browser.

When you log in, we will also set up several cookies to save your login information and your screen display choices. Login cookies last for two days, and screen options cookies last for a year. If you select “Remember Me”, your login will persist for two weeks. If you log out of your account, the login cookies will be removed.

If you edit or publish an article, an additional cookie will be saved in your browser. This cookie includes no personal data and simply indicates the post ID of the article you just edited. It expires after 1 day.

Embedded content from other websites

Articles on this site may include embedded content (e.g. videos, images, articles, etc.). Embedded content from other websites behaves in the exact same way as if the visitor has visited the other website.

These websites may collect data about you, use cookies, embed additional third-party tracking, and monitor your interaction with that embedded content, including tracking your interaction with the embedded content if you have an account and are logged in to that website.

Analytics

Who we share your data with

If you request a password reset, your IP address will be included in the reset email.

How long we retain your data

If you leave a comment, the comment and its metadata are retained indefinitely. This is so we can recognize and approve any follow-up comments automatically instead of holding them in a moderation queue.

For users that register on our website (if any), we also store the personal information they provide in their user profile. All users can see, edit, or delete their personal information at any time (except they cannot change their username). Website administrators can also see and edit that information.

What rights you have over your data

If you have an account on this site, or have left comments, you can request to receive an exported file of the personal data we hold about you, including any data you have provided to us. You can also request that we erase any personal data we hold about you. This does not include any data we are obliged to keep for administrative, legal, or security purposes.

Where we send your data

Visitor comments may be checked through an automated spam detection service.

Your contact information

Additional information

Cos’è il GDPR?

E’ il nuovo regolamento Europeo sulla Privacy, acronimo di General Data Protection Regulation (UE 2016/679) che sancisce la protezione dei dati personali delle persone fisiche come un diritto fondamentale.

Le tutele per l’utente / persona

Tutto l’impianto normativo va in favore dell’utenza, che avrà di fatto una maggior tutela, grazie a:

  • Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
  • Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
  • Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati
  • Forti tutele sui dati personali dei minori
  • Diritto alla conoscenza nel momento in cui i propri dati siano stati violati

Il nuovo regolamento Privacy applica due principi:

  1. Privacy by Design
  2. Privacy By Default

Tali principi base stabiliscono che il consento al trattamento dei dati personali debba essere sempre valido, revocabile ed esplicito. Di fatto, si impone una salvaguardia costante relativa ai dati custoditi da ciascuna impresa fin dalle fasi iniziali di ciascun processo

Il principio della Privacy By Design

Si tratta di un processo “evolutivo” al tema Privacy degli utenti, dove sono proprio gli utenti al centro di tutto. Qualunque progetto va pensato e realizzato pensando a come garantire la riservatezza e la protezione dei dati personali che vengono toccati nello specifico progetto, individuando a priori eventuali rischi Privacy, tramite un Privacy Impact Assessment (una valutazione di impatto Privacy).

Non c’è uno standard fisso e unico per qualunque progetto, ma la tutela deve essere pensata ad hoc per ogni progetto, lungo 3 punti:

  1. sistemi IT;
  2. procedure commerciali (adeguate e corrette);
  3. progettazione strutturale e dell’infrastruttura di progetto.

Sono inoltre 7 i principi chiave di questo nuovo approccio alla Privacy (online e non):

  1. Occorre un approccio proattivo, non reattivo (quindi a favore della prevenzione);
  2. Il rispetto della Privacy è un’impostazione di base;
  3. La tutela della Privacy è una finalità incorporata nella progettazione;
  4. Sicurezza senza se e senza ma;
  5. Protezione piena del ciclo vitale dei dati;
  6. Visibilità e trasparenza nella gestione dei dati;
  7. Rispetto per la privacy dell’utente.

Il principio della Privacy By Default

Questo principio di fondo, invece, sostiene che le aziende devono trattare i dati personali solo nella misura necessaria per gli scopi previsti e per un tempo strettamente necessario a questi fini. Ancora una volta, dunque, la fase di progettazione è fondamentale e deve considerare questo approccio, avendo bene a mente la garanzia della non eccessività dei dati raccolti.

Quando si dà a un utente la possibilità di registrarsi a un sito web, per prenotare una visita o per iscriversi a una newsletter, etc…, occorre prestare attenzione a quali dati vengono raccolti e perché.

Non ci può essere arbitrarietà, ma devono essere esplicitate le modalità di raccolta dei dati, le finalità di ciascun dato raccolto, quali soggetti sono autorizzati ad accedere al database che conserva i dati, quali rischi per la sicurezza potrebbero esserci e quali misure per proteggere tale database verranno adottate.

Data Breach

Il GDPR è chiaro: ogni azienda deve spiegare e documentare come agirebbe in caso di violazione dei dati; inoltre, sempre in tale caso, va informata l’autorità di vigilanza entro 72 ore dal fatto.

Il già menzionato “PIA” – Privacy Impact Assessment – ha proprio lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure vengono messe in campo per ridurre al minimo i rischi. Inoltre, vanno previste anche delle modalità di comunicazione agli utenti in caso di data breach.

Cosa ha fatto One People Travels Italy di fronte al GDPR

In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:

  1. Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
  2. Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
  3. Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
  4. Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
  5. Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.

Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.

La normativa è un po’ più morbida per le piccole aziende. I punti elencati sopra per tutte le aziende, peró è bene sapere che:

  • le PMI sono di fatto sollevate dall’obbligo di nominare un DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa (quali One People Travels Italy);
  • in caso di richieste di accesso ai dati con costi elevati (come tempo o denaro), potrà essere richiesta una tariffa per fornire l’accesso o per garantire una modifica dei dati;
  • il Privacy Impact Assessment non è obbligatorio, salvo rischi specifici dovuti a una grande mole di dati trattati, soprattutto tramite internet;
  • le notifiche ordinarie all’autorità garante della Privacy non saranno più da fare; rimarranno solamente le comunicazioni straordinarie, per questioni che mettono a rischio la Privacy degli utenti.

Noi di One People Travels Italy ci teniamo in particolar modo al “diritto all’oblio”.

Diritto all’oblio nel GDPR

Il GDPR, infatti, si limita a prevedere che l’interessato ha il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati che lo riguardano in casi specificamente individuati:

  • qualora i dati personali non siano più necessari in relazione alle finalità per le quali erano stati originariamente forniti, raccolti, trattati;
  • quando l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
  • quando l’interessato si oppone al trattamento;
  • qualora i dati personali sono stati trattati illecitamente;
  • quando i dati personali devono essere cancellati per adempiere ad un obbligo legale;
  • quando i dati personali sono trattati in relazione all’offerta di servizi della società dell’informazione a minori inferiori a 16 o età inferiore (non inferiore a 13) prevista dagli Stati membri.

effezeta Distribution Italy, in ottemperanza del General Data Protection Regulation (GDPR, UE 2016/679), vi informa di quanto segue.

Per qualsiasi informazione vi invitiamo a contattarci via email a: info@onepeopletravels.it e darci notizia delle vostre necessità. Queste sono le regole che applichiamo in ottemperanza alla direttiva UE 2016/679:

Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda

In ogni momento é possibile accedere al proprio account e modificare o cancellare i dati o eliminare tutto ció che esiste (di dati e di storico). Il provider di cui ci avvaliamo é ARUBA, i dati sono inseriti nei loro server.

Diritto alla trasferibilità dei dati tra diversi fornitori di servizi

Non daremo mai a nessuno i dati che ci vengono forniti, tantomeno li trasferiremo ad altri, senza previa autorizzazione scritta e concessa.

Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati

Qualora decideste di cancellarvi dal nostro sito ed eliminare il vostro account o voleste eliminarvi dalla newsletter, potrete comunicarcelo e immediatamente ci attiveremo per soddisfare la vostra esigenza.

Forti tutele sui dati personali dei minori

Siamo tutti genitori, i minori avranno precedenza su tutto e tutti.

Diritto alla conoscenza nel momento in cui i propri dati siano stati violati

Non accadrà mai che i vostri dati possano essere violati, qualora succedesse sarete informati per tempo e via email (utilizzeremo quella da voi rilasciata in fase di registrazione) di quanto sia accaduto. Ricordiamo che i dati sono allocati nei server di ARUBA.

Finalita’ dei dati

Tratteniamo i vostri dati per:

  • completare gli ordini effettuati
  • inviarvi newsletter (dalle quali potete autonomamente cancellarvi)

A chi possiamo trasmettere i vostri dati?

  • ai corrieri che necessitano dei recapiti (indirizzo, email, numero telefonico) per poter effettuare le consegne
  • ad ARUBA, che ha il nostro database in gestione
  • a PayPal, ma qui vi trasferiamo direttamente al loro sito, quindi facciamo solo da tramite
  • a Google, per eventuali indagini di mercato, ma sui loro servers

Tutte le comunicazioni avverranno per via telematica, direttamente nel sito o tramite email.

Ricordiamo il contatto email: info@onepeopletravels.it

PERCHÉ NOI, LE REGOLE, LE SCRIVIAMO IN GRANDE PER POTER ESSERE LETTE E CAPITE MEGLIO!