Hostario - Privacy Policy
Informativa sulla privacy per l'applicazione Hostario
PRIVACY POLICY - HOSTARIO
1. DESCRIZIONE DELL'APPLICAZIONE
Nome: Hostario
Piattaforma: iOS (iPhone/iPad)
Scopo: Applicazione per la gestione di check-in e adempimenti burocratici per proprietari di strutture ricettive turistiche in Italia (case vacanze, affitti brevi)
2. FUNZIONALITÀ PRINCIPALI
L'app permette di:
- Gestire immobili: registrare proprietà con dati completi (CIR, CIN, indirizzo, tassa di soggiorno)
- Registrare check-in: inserire prenotazioni con date arrivo/partenza, numero ospiti
- Gestire dati ospiti: raccogliere informazioni complete degli ospiti (anagrafiche, documenti, cittadinanza)
- Scansionare documenti: utilizzare la fotocamera per leggere automaticamente dati da passaporti e carte d'identità tramite codice MRZ
- Generare contratti: creare PDF di contratti di locazione turistica con firma digitale dell'ospite
- Generare ricevute: creare ricevute per la tassa di soggiorno in 3 stili diversi
- Inviare dati ad AlloggiatiWeb: trasmettere le schedine alloggiati alla Polizia di Stato (obbligo di legge)
- Inviare dati ROSS1000: trasmettere statistiche turismo alle Regioni tramite sistema Turismo5
3. DATI RACCOLTI E TRATTATI
3.1 Dati degli Immobili
- Nome della struttura
- Indirizzo completo (via, città, provincia)
- CIR (Codice Identificativo Regionale)
- CIN (Codice Identificativo Nazionale)
- Foto opzionale della proprietà
- Configurazione tassa di soggiorno
3.2 Dati del Proprietario/Locatore
- Nome completo
- Luogo e data di nascita
- Indirizzo di residenza completo
- Codice fiscale
- Firma digitale (acquisita tramite touchscreen)
3.3 Dati degli Ospiti
Dati anagrafici obbligatori:
- Nome e cognome
- Sesso
- Data di nascita
- Cittadinanza (codice e nome paese)
- Paese di nascita (e comune se Italia)
- Paese di residenza (e comune se Italia)
Dati del documento d'identità (solo per ospite principale):
- Tipo documento (passaporto, carta d'identità, patente, ecc.)
- Numero documento
- Paese di rilascio (e comune se Italia)
Dati aggiuntivi per ROSS1000 (statistiche):
- Tipo turismo (lavoro, vacanza, ecc.)
- Mezzo di trasporto
- Canale di prenotazione
- Titolo di studio
- Professione
- Eventuale esenzione imposta
3.4 Dati delle Prenotazioni
- Date di arrivo e partenza
- Numero ospiti
- Numero notti
- Prezzo prenotazione
- Piattaforma di prenotazione (Airbnb, Booking.com, altro)
- Contratto firmato digitalmente (PDF con firma ospite)
3.5 Credenziali Servizi Esterni
- Username e password AlloggiatiWeb
- WsKey AlloggiatiWeb
- Credenziali ROSS1000/Turismo5
NB: Salvate in modo sicuro nel Keychain di iOS, non in chiaro
4. SERVIZI ESTERNI E TRASMISSIONE DATI
4.1 AlloggiatiWeb - Polizia di Stato
- URL: https://alloggiatiweb.poliziadistato.it
- Scopo: Adempimento obbligo legale di comunicazione presenze (art. 109 TULPS)
- Dati trasmessi: Tutti i dati anagrafici e documenti degli ospiti
- Protocollo: SOAP 1.1/1.2
- Base legale: Obbligo di legge
4.2 ROSS1000 / Turismo5 (Sistema Regionale)
- Endpoint: Configurabile per regione
- Scopo: Statistiche movimentazione turistica regionale
- Dati trasmessi: Dati ospiti + statistiche (tipo turismo, mezzo trasporto, ecc.)
- Protocollo: SOAP 1.1
- Autenticazione: Basic Auth
- Base legale: Obbligo di legge (normative regionali sul turismo)
4.3 Apple Inc.
- Fornitore: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA
- Servizi utilizzati: StoreKit (gestione abbonamenti in-app), App Store, eventuale backup iCloud del dispositivo se abilitato dall'utente a livello di sistema operativo
- Dati trattati: Dati di acquisto e abbonamento gestiti da Apple, Apple ID dell'utente (mai visibile all'app), eventuali dati applicativi inclusi nel backup iCloud del dispositivo
- Scopo: Elaborazione pagamenti e abbonamenti in conformità alle policy dell'App Store; backup di sistema se attivato
- Base legale: Esecuzione del contratto (acquisto dell'abbonamento)
- Privacy policy: apple.com/legal/privacy
4.4 TelemetryDeck - Analytics Anonimi
A partire da Aprile 2026 Hostario utilizza TelemetryDeck per raccogliere statistiche di utilizzo completamente anonime, necessarie per capire come viene usata l'app e migliorarla. Nessun dato personale e nessun dato degli ospiti viene mai inviato a TelemetryDeck.
- Fornitore: TelemetryDeck GmbH, Augsburg, Germania
- Server: Germania (Unione Europea), soggetto al GDPR
- Privacy policy: telemetrydeck.com/privacy
- Base legale: Legittimo interesse (art. 6(1)(f) GDPR) al miglioramento dell'applicazione, con possibilità per l'utente di opporsi disattivando l'opzione in qualsiasi momento
Dati raccolti (anonimi):
- Eventi di utilizzo dell'app (es. avvio app, completamento onboarding, creazione di un check-in, invio dati ad AlloggiatiWeb / ROSS1000, apertura paywall, acquisto abbonamento)
- Modello del dispositivo (es. "iPhone 15 Pro")
- Versione di iOS / iPadOS
- Lingua di sistema
- Hash SHA-256 dell'
identifierForVendordi Apple, utilizzato come identificatore anonimo e non reversibile all'identità dell'utente
Dati NON raccolti:
- Indirizzo IP (non memorizzato da TelemetryDeck)
- IDFA, Advertising Identifier o altri identificatori pubblicitari
- Nome, email, codice fiscale o qualunque altro dato personale dell'utente
- Qualsiasi dato relativo agli ospiti, agli immobili, alle prenotazioni o ai documenti
- Posizione geografica (GPS)
- Contenuto delle schermate, testi inseriti o screenshot
Disattivazione: è possibile disattivare completamente la raccolta di analytics in qualsiasi momento dall'app, nel pannello Impostazioni → Privacy. La modifica ha effetto immediato, senza bisogno di riavviare l'app.
NB giuridico: poiché TelemetryDeck tratta esclusivamente dati anonimizzati e non correlabili a persone fisiche identificate o identificabili, secondo la documentazione ufficiale del fornitore non opera come responsabile del trattamento ai sensi degli artt. 26 e 28 GDPR. Ciononostante, viene elencato in questa informativa per completezza e trasparenza.
5. MODALITÀ DI CONSERVAZIONE DATI
5.1 Storage Locale
- Tecnologia: SwiftData (database locale Apple)
- Ubicazione: Dispositivo iOS dell'utente
- NO cloud: I dati NON vengono sincronizzati su cloud (salvo backup iCloud del dispositivo gestito dall'utente)
- Crittografia: Protetti dalla crittografia del dispositivo iOS
5.2 Keychain iOS
- Credenziali AlloggiatiWeb e ROSS1000
- Salvate in iOS Keychain con attributo kSecAttrAccessibleWhenUnlockedThisDeviceOnly
- Non sincronizzate tra dispositivi
- Protette da hardware security enclave
5.3 File Temporanei
- PDF generati (contratti, ricevute) salvati temporaneamente in directory temporanea
- Eliminati automaticamente dal sistema
5.4 Eventi Analytics
- Gli eventi di analytics anonimi (vedi sezione 4.4) NON vengono memorizzati in SwiftData né nel Keychain
- Sono inviati in modalità "fire-and-forget" ai server di TelemetryDeck in Germania e scartati localmente dopo l'invio
- In caso di assenza di connessione, gli eventi vengono bufferizzati temporaneamente dall'SDK di TelemetryDeck e scartati al successivo invio o al termine della sessione
6. FUNZIONALITÀ CAMERA E SCANSIONE
- Scopo: Leggere automaticamente dati da passaporti/carte d'identità (MRZ - Machine Readable Zone)
- Accesso: Richiede permesso fotocamera
- Dati estratti: Nome, cognome, data nascita, nazionalità, numero documento
- Foto: Le foto NON vengono salvate, viene solo estratto il testo MRZ
7. SICUREZZA
- Nessun server proprietario dello sviluppatore: nessun account, nessun login, nessuna sincronizzazione cloud sotto il nostro controllo
- Comunicazioni verso l'esterno limitate a servizi governativi ufficiali (AlloggiatiWeb, ROSS1000), Apple (StoreKit) e TelemetryDeck (analytics anonimi), sempre su HTTPS
- Credenziali AlloggiatiWeb / ROSS1000 salvate nel Keychain iOS, protetto dalla Secure Enclave
- Dati degli ospiti e dei listing protetti dalla crittografia a livello di file system di iOS
- Analytics anonimi e disattivabili (vedi sezione 4.4)
- NO tracking pubblicitario, NO IDFA, NO profilazione, NO pubblicità in-app
- NO condivisione di dati con broker, social network o terze parti commerciali
8. RETENTION / CONSERVAZIONE
- Dati gestiti dall'utente: L'utente può cancellare manualmente check-in e listing
- Nessuna retention automatica: L'app non cancella automaticamente i dati
- Responsabilità: È responsabilità del proprietario conservare i dati per i termini di legge (attualmente 2 anni per AlloggiatiWeb)
9. DIRITTI GDPR
Gli ospiti i cui dati vengono inseriti nell'app hanno diritto a:
- Accesso ai propri dati
- Rettifica
- Cancellazione
- Portabilità
- Opposizione al trattamento
Chi è il titolare del trattamento? Il proprietario della struttura che utilizza l'app (NON lo sviluppatore dell'app)
10. BASE GIURIDICA DEL TRATTAMENTO
- Obbligo legale: Art. 109 TULPS per comunicazione presenze
- Adempimento contrattuale: Generazione contratto di locazione
- Legittimo interesse: Gestione amministrativa della struttura
- Consenso: Per eventuali finalità aggiuntive
11. TRASFERIMENTI INTERNAZIONALI
- Dati degli ospiti e della struttura: restano sul dispositivo dell'utente; quando trasmessi, vengono inviati esclusivamente a server italiani (Polizia di Stato, enti regionali)
- Analytics anonimi: trasmessi a TelemetryDeck GmbH, con server in Germania — quindi all'interno dell'Unione Europea / Spazio Economico Europeo, con piena applicazione del GDPR
- Abbonamenti e App Store: gestiti da Apple Inc., che può trattare i dati di acquisto anche al di fuori dell'UE secondo la propria privacy policy e sulla base di clausole contrattuali standard approvate dalla Commissione Europea
- Nessun altro trasferimento extra-UE di dati personali viene effettuato dall'app
12. INFORMAZIONI AGGIUNTIVE
La privacy è uno dei punti forti di Hostario. Per essere chiari su cosa succede e cosa non succede:
NO:
- Nessun cookie
- Nessun tracker pubblicitario, nessun IDFA, nessun SDK di terze parti a fini di marketing
- Nessuna profilazione dell'utente o degli ospiti
- Nessuna condivisione di dati personali con terze parti commerciali
- Nessun server proprietario dello sviluppatore che raccoglie dati degli utenti o degli ospiti
- Nessun account cloud, nessun login
- Nessuna sincronizzazione automatica al di fuori del normale backup iCloud del dispositivo (gestito dall'utente)
SÌ:
- Tutti i dati di ospiti, immobili, prenotazioni e documenti restano locali sul dispositivo
- Nessun dato identificativo degli ospiti lascia mai il dispositivo, salvo invio esplicito ai portali ufficiali (AlloggiatiWeb, ROSS1000) dietro azione diretta dell'utente
- Analytics anonimi e completamente opzionali, disattivabili in qualsiasi momento dalle impostazioni dell'app
- Comunicazioni verso servizi esterni limitate a Polizia di Stato, enti regionali, Apple (StoreKit) e TelemetryDeck (analytics anonimi)
- Pieno controllo dell'utente sui dati, sempre esportabili e cancellabili
13. ELENCO DEI FORNITORI E RESPONSABILI DEL TRATTAMENTO
Riepilogo dei soggetti esterni con cui Hostario può scambiare dati, con relativa finalità, tipologia di dati e base giuridica:
| Fornitore | Ruolo / Servizio | Dati trattati | Ubicazione | Base giuridica |
|---|---|---|---|---|
| Apple Inc. | StoreKit (abbonamenti), App Store, eventuale backup iCloud del dispositivo | Dati di acquisto e abbonamento, Apple ID, eventuali dati applicativi inclusi nel backup iCloud | USA + data center globali (clausole contrattuali standard) | Esecuzione del contratto |
| Polizia di Stato – AlloggiatiWeb | Comunicazione schedine alloggiati | Dati anagrafici e documenti degli ospiti (su azione esplicita dell'utente) | Italia | Obbligo di legge (art. 109 TULPS) |
| Enti regionali – ROSS1000 / Turismo5 | Statistiche sui movimenti turistici | Dati ospiti + informazioni statistiche (su azione esplicita dell'utente) | Italia | Obbligo di legge (normative regionali) |
| TelemetryDeck GmbH | Statistiche di utilizzo anonime (non è responsabile del trattamento ai sensi artt. 26/28 GDPR poiché tratta solo dati anonimi) | Eventi di utilizzo anonimi, modello device, versione iOS, lingua, hash SHA-256 dell'identifierForVendor |
Germania (UE) | Legittimo interesse (opt-out disponibile) |
Titolare del trattamento dei dati degli ospiti: il proprietario della struttura ricettiva che utilizza Hostario. Lo sviluppatore dell'app non è titolare né responsabile del trattamento dei dati inseriti dall'utente riguardo agli ospiti.
14. NOTE LEGALI IMPORTANTI
- L'app è uno strumento: Il titolare del trattamento è il proprietario della struttura, NON lo sviluppatore
- Obbligo di legge: La comunicazione ad AlloggiatiWeb è obbligatoria per legge
- Responsabilità del proprietario: È il proprietario responsabile della corretta raccolta e conservazione dati
- No garanzie: L'app non garantisce l'accettazione dei dati da parte dei sistemi governativi (che possono avere problemi tecnici)