Information sur la protection des données personnelles conformément au Règlement (UE) 2016/679

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

• Nom / Dénomination : Guida Siena – Antonella Tanzini
• Siège légal / opérationnel : Via della Resistenza, Monteriggioni 53035 (SI, Italie)
• E-mail : [email protected]
• Téléphone : +39 320 329 9964
• N° TVA / Code fiscal : 00296358880

(ci-après également le "Responsable").

Les coordonnées à jour du Responsable sont également indiquées dans le footer du Site et/ou sur la page "Contacts".

2. Types de données traitées

Dans le cadre de la navigation sur le site https://guidasiena.com (ci-après le "Site") et/ou de l’utilisation des services associés, le Responsable peut traiter les catégories de données personnelles suivantes.

2.1 Données de navigation

Les systèmes informatiques et les procédures logicielles utilisés pour le fonctionnement du Site acquièrent, au cours de leur fonctionnement normal, certaines données personnelles dont la transmission est implicite dans l’utilisation des protocoles de communication d’Internet, telles que, à titre d’exemple :

• adresses IP ;
• noms de domaine des ordinateurs utilisés par les utilisateurs se connectant au Site ;
• URI/URL des ressources demandées ;
• heure de la requête ;
• méthode utilisée pour soumettre la requête au serveur ;
• taille du fichier obtenu en réponse ;
• code numérique indiquant l’état de la réponse du serveur (succès, erreur, etc.) ;
• autres paramètres relatifs au système d’exploitation et à l’environnement informatique de l’utilisateur.

Ces informations sont utilisées exclusivement afin de :

• obtenir des informations statistiques anonymes sur l’utilisation du Site ;
• contrôler le bon fonctionnement du Site ;
• établir la responsabilité en cas d’infractions informatiques au détriment du Site ou de tiers.

2.2 Cookies et autres outils de traçage

Le Site utilise des cookies techniques et, le cas échéant, des cookies d’analyse et/ou de profilage, y compris de tiers.

Pour plus d’informations sur les catégories de cookies utilisées, les finalités spécifiques et les durées de conservation, veuillez consulter la Politique de cookies dédiée et le bannière de gestion des consentements affichée lors de la première visite du Site.

2.3 Données fournies volontairement par l’utilisateur

L’envoi facultatif, explicite et volontaire de messages aux adresses de contact du Responsable, ainsi que le remplissage des éventuels formulaires présents sur le Site, entraîne l’acquisition des données personnelles fournies par l’utilisateur, notamment :

• nom et prénom ;
• adresse e-mail ;
• numéro de téléphone ;
• contenu du message (texte libre) ;
• toute autre donnée saisie par l’utilisateur (ex. préférences de visite, langue, demandes particulières).

2.4 Données relatives aux réservations et aux services de visite guidée

Lorsque l’utilisateur demande ou confirme une réservation de tour / visite guidée, le Responsable peut traiter d’autres données telles que :

• date et heure souhaitées pour la visite ;
• nombre de participants ;
• langue du service ;
• lieu de rendez-vous ;
• données nécessaires à la facturation (ex. NIF / TVA, adresse de facturation) ;
• éventuelles notes d’organisation (ex. présence d’enfants, besoins particuliers).

2.5 Données particulières (catégories particulières de données)

En principe, le Responsable ne demande ni n’a l’intention de traiter des catégories particulières de données personnelles (ex. données de santé, relatives à un handicap, etc.).

Si l’utilisateur décide de communiquer spontanément des informations utiles à l’organisation du tour (ex. besoins d’accessibilité, difficultés motrices), ces données seront traitées exclusivement afin de donner suite à la demande et pour la durée strictement nécessaire. L’utilisateur est invité à limiter ces données au strict nécessaire.

3. Finalités et bases juridiques du traitement

Les données personnelles sont traitées pour les finalités et sur les bases juridiques indiquées ci-dessous.

• a) Gestion du Site et sécurité technique (logs, prévention des abus, maintenance) – base juridique : intérêt légitime du Responsable (art. 6, § 1, let. f RGPD).
• b) Gestion des demandes d’information (formulaire de contact, e-mail, téléphone) – base juridique : exécution de mesures précontractuelles à la demande de l’intéressé (art. 6, § 1, let. b RGPD).
• c) Gestion des réservations de tours / visites guidées et des activités administratives, comptables et fiscales associées – base juridique : exécution d’un contrat ou de mesures précontractuelles (art. 6, § 1, let. b) et respect d’obligations légales (art. 6, § 1, let. c RGPD).
• d) Réponse à d’éventuelles réclamations, exercice ou défense d’un droit en justice – base juridique : intérêt légitime du Responsable (art. 6, § 1, let. f RGPD).
• e) Envoi de communications relatives à des services et tours analogues à ceux déjà achetés (dit "soft spam" par e-mail) – base juridique : intérêt légitime du Responsable, dans le respect de l’art. 130, al. 4, du Code italien de la confidentialité, sans préjudice du droit d’opposition.
• f) Activités de marketing direct et newsletter (le cas échéant), avec communications promotionnelles concernant les services, événements ou initiatives du Responsable – base juridique : consentement de l’intéressé (art. 6, § 1, let. a RGPD).
• g) Analyse statistique agrégée de l’utilisation du Site (analytics) – base juridique : intérêt légitime (analytics techniques anonymisés) ou consentement via la bannière de cookies, s’ils ne sont pas anonymisés.
• h) Respect d’obligations légales, réglementaires ou d’ordres de l’Autorité – base juridique : obligation légale (art. 6, § 1, let. c RGPD).

Lorsque la base juridique est le consentement, l’utilisateur peut le retirer à tout moment, sans affecter la licéité du traitement effectué avant ce retrait.

4. Modalités du traitement

Le traitement des données est effectué au moyen d’outils manuels, informatiques et télématiques, dans le respect des principes de licéité, loyauté, transparence, minimisation et limitation de la conservation.

Le traitement est effectué par du personnel expressément autorisé par le Responsable et/ou par des tiers désignés comme sous-traitants au sens de l’art. 28 RGPD, avec l’adoption de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

Aucun processus décisionnel automatisé produisant des effets juridiques à l’égard de l’intéressé n’est mis en œuvre, ni de profilage ayant un impact significatif sur ses droits et libertés, hormis d’éventuelles activités de profilage liées aux cookies de marketing, le cas échéant et toujours sur la base du consentement exprimé via la bannière.

5. Destinataires des données personnelles

Les données personnelles peuvent être communiquées, dans la limite des finalités indiquées, aux catégories de destinataires suivantes :

• des sujets agissant en qualité de sous-traitants, notamment les fournisseurs de services d’hébergement et de maintenance du Site, de services de messagerie électronique et/ou de newsletter, les agences web et consultants informatiques, les consultants administratifs, fiscaux et juridiques ;
• des sujets agissant en qualité de personnes autorisées au traitement sous l’autorité du Responsable (collaborateurs, personnel interne) ;
• des autorités publiques et organes de contrôle, lorsque la loi ou un ordre d’une Autorité l’exige.

Les données ne font pas l’objet d’une diffusion indiscriminée.

La liste à jour des sous-traitants peut être obtenue à tout moment auprès du Responsable via les coordonnées mentionnées à la section 1.

6. Transfert de données vers des pays hors UE

Les données personnelles sont généralement traitées au sein de l’Espace économique européen (EEE).

Si, pour des raisons techniques ou organisationnelles (par exemple, recours à des prestataires de services cloud dont les serveurs sont situés en dehors de l’EEE), il s’avérait nécessaire de transférer des données vers des pays tiers, ce transfert serait effectué dans le respect des art. 44 et suivants du RGPD, vers des pays bénéficiant d’une décision d’adéquation de la Commission européenne ou, à défaut, sur la base de Clauses Contractuelles Types (SCC) ou d’autres garanties appropriées.

L’utilisateur peut demander des informations plus détaillées sur les pays tiers concernés et les garanties appliquées en contactant le Responsable.

7. Durée de conservation des données

Les données personnelles sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et, en tout état de cause, selon les critères suivants :

• Données de navigation : en principe jusqu’à 30 jours après leur collecte, sauf nécessité de conservation plus longue en lien avec des enquêtes ou des demandes des autorités.
• Données collectées via formulaires de contact / e-mail / téléphone : pendant le temps nécessaire au traitement de la demande, et en tout état de cause pas plus de 24 mois à compter du dernier contact utile, sauf conclusion d’une relation contractuelle.
• Données relatives aux réservations et contrats (clients) : pendant toute la durée du rapport contractuel et, ensuite, pour une période maximale de 10 ans à compter de la clôture du rapport, conformément aux obligations civiles, fiscales et comptables.
• Données de marketing / newsletter : jusqu’à 24 mois à compter de la collecte ou du dernier contact, sauf retrait du consentement ou opposition antérieure.
• Données traitées pour la défense en justice : pendant la durée nécessaire à l’exercice de cette défense et dans le respect des délais de prescription applicables.
• Cookies : conformément à la Politique de cookies ; chaque cookie a sa propre durée (session, jours, mois, années).

À l’expiration de la durée de conservation, les données sont supprimées, anonymisées ou rendues non identifiables, sauf obligations de conservation supplémentaires prévues par la loi.

8. Caractère obligatoire ou facultatif de la fourniture de données

• La fourniture des données de navigation est nécessaire pour la consultation du Site ; un blocage technique absolu peut rendre la navigation impossible.
• La fourniture des données indiquées comme obligatoires dans les formulaires de contact ou de réservation est nécessaire pour que le Responsable puisse traiter la demande de l’utilisateur ; le refus de fournir ces données peut empêcher l’obtention du service ou des informations souhaités.
• La fourniture de données à des fins de marketing et newsletter est facultative : l’absence de fourniture ou de consentement ne compromet pas l’utilisation des autres services offerts par le Site.
• En ce qui concerne les cookies non techniques, l’utilisateur peut exprimer son consentement ou son refus via la bannière ; le refus entraîne la simple non-activation de ces cookies, sans affecter la navigation ordinaire.

9. Droits des personnes concernées

L’utilisateur, en tant que personne concernée, peut exercer à tout moment les droits prévus aux articles 15 à 22 du RGPD, notamment :

• Droit d’accès ;
• Droit de rectification ;
• Droit à l’effacement (droit à l’oubli) ;
• Droit à la limitation du traitement ;
• Droit à la portabilité des données ;
• Droit d’opposition au traitement fondé sur l’intérêt légitime, ainsi qu’au traitement à des fins de marketing direct ;
• Droit de retirer le consentement, lorsque le traitement est fondé sur celui-ci, sans porter atteinte à la licéité du traitement effectué avant ce retrait.

Pour exercer ces droits, l’utilisateur peut adresser une demande écrite à l’adresse e-mail du Responsable indiquée à la section 1, ou utiliser, le cas échéant, les mécanismes de désinscription inclus dans les communications e-mail (lien "se désabonner").

Plainte auprès de l’Autorité de contrôle

Si l’intéressé estime que le traitement de ses données personnelles viole la réglementation en matière de protection des données, il a le droit d’introduire une réclamation auprès de l’Autorité de contrôle compétente (en Italie : le Garante per la protezione dei dati personali, www.garanteprivacy.it), ou de saisir les juridictions compétentes.

10. Réseaux sociaux et liens externes

Le Site peut contenir des boutons et widgets de réseaux sociaux (ex. Facebook, Instagram, TikTok, etc.) ainsi que des liens vers des sites ou ressources de tiers.

L’utilisation de ces boutons et liens peut entraîner la communication de données (ex. adresse IP, pages visitées) aux opérateurs des plateformes tierces. Le traitement de ces données est régi par les politiques de confidentialité desdits réseaux sociaux / sites tiers, auxquelles il est fait référence.

Le Responsable n’est pas responsable du traitement des données effectué de manière autonome par ces tiers.

11. Informations synthétiques sur les cookies (référence à la Politique de cookies)

Le Site peut utiliser notamment :

• des cookies techniques, nécessaires au bon fonctionnement du Site ;
• des cookies d’analytics, y compris de tiers, utilisés pour recueillir des informations agrégées et anonymes sur le nombre d’utilisateurs et l’usage du Site. Lorsqu’ils sont anonymisés, ils peuvent être assimilés à des cookies techniques ; s’ils ne sont pas anonymisés, ils nécessitent le consentement préalable via la bannière ;
• des cookies de profilage / marketing, le cas échéant, pour envoyer des messages publicitaires adaptés aux préférences exprimées par l’utilisateur dans le cadre de sa navigation ; ces cookies ne sont activés qu’avec le consentement de l’utilisateur.

Lors de la première visite, l’utilisateur peut accepter tous les cookies, refuser ceux qui ne sont pas nécessaires ou personnaliser ses choix via le panneau de gestion des consentements.

Pour plus de détails (liste actualisée des cookies, durées, fournisseurs tiers), veuillez consulter la Politique de cookies disponible sur le Site.

12. Traitement des données des mineurs

Les services du Site sont destinés aux personnes majeures (18+). Le Responsable ne collecte ni ne souhaite collecter sciemment des données personnelles de mineurs.

Si des informations concernant des mineurs sont communiquées par leurs parents ou les titulaires de l’autorité parentale (par exemple pour l’organisation du tour), ces données seront utilisées uniquement pour répondre aux besoins liés à la prestation demandée et dans le respect de la réglementation applicable.

Si le Responsable prend connaissance de la collecte involontaire de données d’un mineur sans le consentement du parent / tuteur, il procédera à la suppression de ces données dans les plus brefs délais.

13. Sécurité des données

Le Responsable adopte des mesures techniques et organisationnelles appropriées au sens de l’art. 32 RGPD afin de prévenir les accès non autorisés, les traitements illicites, les divulgations non autorisées et de garantir l’intégrité et la disponibilité des données personnelles traitées.

14. Violation de données (data breach)

En cas d’événement entraînant une violation de données personnelles (data breach), le Responsable évaluera la probabilité que la violation présente un risque pour les droits et libertés des personnes physiques et, le cas échéant, notifiera la violation à l’Autorité de contrôle compétente dans un délai de 72 heures à compter du moment où il en a eu connaissance, conformément à l’art. 33 RGPD.

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le Responsable en informera également l’intéressé, selon les modalités prévues à l’art. 34 RGPD.

15. Modifications de la présente information

Le Responsable se réserve le droit de modifier ou de mettre à jour la présente information afin de l’adapter à d’éventuelles évolutions législatives ou aux changements des services offerts.

Les modifications seront publiées sur le Site et, lorsque cela est techniquement et juridiquement possible, pourront être communiquées aux utilisateurs par des moyens appropriés (ex. bannière, e-mail, notifications sur le Site). L’utilisateur est invité à consulter régulièrement cette page pour prendre connaissance de la version la plus récente.