Vai al contenuto

Privacy Policy

Propertize S.r.l.

Ultimo aggiornamento: 20 maggio 2026

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito "GDPR") e del D.Lgs. 30 giugno 2003 n. 196 come modificato dal D.Lgs. 10 agosto 2018 n. 101 (di seguito "Codice Privacy").

1. Titolare del trattamento

Titolare del trattamento dei dati personali è Propertize S.r.l. (di seguito "Titolare" o "Propertize"), con sede legale in Piazza della Repubblica 19, 20124 Milano (MI), C.F. e P.IVA 13393170967, iscritta al Registro delle Imprese di Milano REA n. MI-2720595.

Contatti per esercizio dei diritti e richieste in materia di protezione dati:

2. Responsabile della Protezione dei Dati (DPO)

Il Titolare, a seguito di valutazione interna ai sensi dell'art. 37 del Regolamento (UE) 2016/679, non rientra nei casi di nomina obbligatoria del Responsabile della Protezione dei Dati. Eventuali richieste in materia di protezione dei dati personali possono essere inviate ai recapiti del Titolare di cui al paragrafo 1.

3. Categorie di dati trattati, finalità, basi giuridiche e periodi di conservazione

Il Titolare tratta le seguenti categorie di dati personali. Per ciascuna sono indicati: finalità, base giuridica ex art. 6 GDPR, periodo di conservazione.

3.1 Dati per la conclusione e l'esecuzione del contratto di locazione breve

Categorie di dati: nome, cognome, data e luogo di nascita, indirizzo di residenza, recapiti telefonici e email, dati di documento di identità (tipo, numero, ente di rilascio, data di rilascio e scadenza), dati di pagamento (a Propertize non sono conservati i dati completi della carta, gestiti direttamente dal fornitore dei servizi di pagamento), dati relativi al soggiorno (date, numero di occupanti, eventuali richieste particolari).

Finalità: conclusione ed esecuzione del contratto di locazione, gestione della prenotazione, comunicazioni di servizio (conferma, istruzioni di check-in, supporto durante il soggiorno), fatturazione e contabilità, restituzione del deposito cauzionale, gestione di eventuali contestazioni e contenzioso, recupero crediti.

Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione del contratto di cui l'interessato è parte o esecuzione di misure precontrattuali); art. 6, par. 1, lett. c) GDPR per gli adempimenti fiscali e contabili.

Periodo di conservazione: per la durata del rapporto contrattuale e successivamente per dieci anni dall'ultima esecuzione di una prenotazione, in conformità agli obblighi di conservazione delle scritture contabili ex art. 2220 c.c. e degli art. 39 del D.P.R. 26 ottobre 1972 n. 633 e art. 22 del D.P.R. 29 settembre 1973 n. 600.

3.2 Dati per l'adempimento degli obblighi di pubblica sicurezza (Alloggiati Web)

Categorie di dati: dati identificativi degli ospiti maggiorenni e dei capofamiglia/capogruppo, tipo e numero del documento di identità, immagine del documento (acquisita per il pre check-in online e per la verifica de visu al check-in).

Finalità: comunicazione alle Questure territorialmente competenti ai sensi dell'art. 109 del R.D. 18 giugno 1931 n. 773 (TULPS), dell'art. 19-bis del D.L. 4/10/2018 n. 113 conv. L. 1/12/2018 n. 132 e del D.M. dell'Interno 7/1/2013 come modificato dal D.M. 16/9/2021. La trasmissione avviene tramite portale "Alloggiati Web" della Polizia di Stato.

Base giuridica: art. 6, par. 1, lett. c) GDPR (obbligo legale al quale è soggetto il Titolare). Il conferimento è obbligatorio: in mancanza, il Titolare e il Proprietario sono tenuti a rifiutare l'alloggio.

Periodo di conservazione:

(a) le ricevute di trasmissione generate dal portale Alloggiati Web sono conservate per cinque anni dalla trasmissione, come prova dell'adempimento e a disposizione delle autorità (FAQ Polizia di Stato; provvedimento Garante doc. web n. 9690786 del 8/7/2021);

(b) i dati grezzi dei documenti di identità (immagini e dati estratti) non sono conservati dal Titolare oltre il tempo strettamente necessario alla trasmissione tramite portale e alla generazione della ricevuta, e sono cancellati immediatamente dopo, in conformità al principio di minimizzazione ex art. 5, par. 1, lett. c) GDPR e alla Nota di chiarimento del Garante per la protezione dei dati personali del 29/4/2026 (doc. web n. 10244289), in materia di trattamento dei documenti di identità degli ospiti di esercizi alberghieri o di altre strutture ricettive.

3.3 Dati per la registrazione e accesso all'area riservata

Categorie di dati: email, password (in forma hashata), preferenze di servizio, storico prenotazioni.

Finalità: gestione dell'account utente per consultazione prenotazioni, storico, preferenze.

Base giuridica: art. 6, par. 1, lett. b) GDPR.

Periodo di conservazione: fino alla cancellazione dell'account da parte dell'utente o per inattività superiore a tre anni dall'ultimo accesso.

3.4 Dati di navigazione e cookie

Categorie di dati: indirizzo IP, identificativo del browser e del dispositivo, pagine visitate, durata della sessione, eventuali altri dati raccolti tramite cookie e strumenti di tracciamento.

Finalità: funzionamento tecnico del Sito, sicurezza informatica, analisi statistica anonimizzata, eventualmente marketing mirato se l'utente ha prestato consenso.

Basi giuridiche: art. 6, par. 1, lett. f) GDPR (legittimo interesse del Titolare per finalità di funzionamento e sicurezza); art. 6, par. 1, lett. a) GDPR (consenso) per cookie analitici di terze parti e di profilazione, ai sensi dell'art. 122 del Codice Privacy e delle Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021, provv. n. 231, doc. web n. 9677876, pubblicate in Gazzetta Ufficiale n. 163 del 9 luglio 2021.

Periodo di conservazione: si rinvia alla Cookie Policy pubblicata su https://www.propertize.it/legal/cookie-policy per la lista dettagliata dei cookie e relativa durata.

3.5 Dati per attività di marketing diretto (newsletter, promozioni)

Categorie di dati: email, nome (se conferito), preferenze su contenuti.

Finalità: invio di newsletter, offerte commerciali, comunicazioni promozionali su prodotti e servizi del Titolare.

Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso esplicito e specifico dell'interessato), separato per ciascuna finalità di marketing. È applicabile, ove ricorrano i presupposti, anche l'art. 130, comma 4, del Codice Privacy in materia di soft opt-in nei confronti di clienti esistenti, limitatamente a comunicazioni via email per prodotti e servizi analoghi a quelli già acquistati, con possibilità di opposizione semplice in ogni comunicazione.

Periodo di conservazione: fino a revoca del consenso o opposizione al trattamento. Verifica periodica di interesse ogni ventiquattro mesi: in assenza di interazione in tale periodo, i dati sono cancellati o anonimizzati.

3.6 Dati di profilazione

Categorie di dati: storico prenotazioni, preferenze di destinazione e tipologia di alloggio, dati di interazione con email e Sito.

Finalità: profilazione finalizzata a proposte personalizzate.

Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso specifico, separato dal consenso al marketing).

Periodo di conservazione: fino a revoca del consenso.

3.7 Dati per la gestione di richieste informative e contatti

Categorie di dati: nome, email, telefono, contenuto della richiesta.

Finalità: riscontro a richieste pervenute tramite form di contatto, WhatsApp, email, telefono.

Base giuridica: art. 6, par. 1, lett. b) GDPR (misure precontrattuali su richiesta dell'interessato).

Periodo di conservazione: dodici mesi dalla chiusura della richiesta, salvo che la richiesta evolva in un rapporto contrattuale (nel qual caso si applicano i periodi di cui al par. 3.1).

3.8 Dati per la gestione di recensioni e feedback

Categorie di dati: nome (eventualmente abbreviato), data del soggiorno, contenuto della recensione.

Finalità: pubblicazione di recensioni con autorizzazione, gestione di feedback per miglioramento dei servizi.

Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso dell'interessato per la pubblicazione); art. 6, par. 1, lett. f) GDPR (legittimo interesse) per finalità di analisi interna.

Periodo di conservazione: cinque anni dalla pubblicazione, salvo richiesta di rimozione.

4. Categorie particolari di dati

Il Titolare non tratta abitualmente categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati relativi alla salute, all'origine etnica, alle convinzioni religiose, all'orientamento sessuale, ecc.). Qualora l'interessato comunichi spontaneamente tali dati (a titolo esemplificativo: richieste connesse a disabilità, allergie, esigenze alimentari particolari), il trattamento è basato sul consenso esplicito ex art. 9, par. 2, lett. a) GDPR o sull'esecuzione del contratto ex art. 6, par. 1, lett. b) GDPR limitatamente a quanto strettamente necessario per ospitare l'esigenza segnalata.

5. Conferimento obbligatorio o facoltativo

Il conferimento dei dati di cui ai par. 3.1, 3.2 e 3.3 è necessario per la conclusione e l'esecuzione del contratto e per l'adempimento degli obblighi di legge. In assenza, il Titolare non può erogare il servizio richiesto.

Il conferimento dei dati di cui ai par. 3.5, 3.6, 3.8 è facoltativo: il rifiuto non pregiudica la prestazione dei servizi essenziali, ma impedisce l'erogazione delle relative funzionalità.

6. Decisioni automatizzate e profilazione (art. 22 GDPR)

Il Titolare non effettua decisioni esclusivamente automatizzate con effetti giuridici significativi sull'interessato ai sensi dell'art. 22 GDPR. La profilazione di cui al par. 3.6, ove attivata con consenso, è finalizzata esclusivamente a personalizzare contenuti commerciali e non incide su decisioni rilevanti per i diritti dell'interessato.

7. Destinatari e categorie di destinatari

I dati personali possono essere comunicati ai seguenti soggetti, ciascuno nei limiti delle proprie funzioni e nel rispetto del GDPR:

7.1 Soggetti interni

Dipendenti, collaboratori e amministratori del Titolare debitamente autorizzati al trattamento e formati ai sensi degli artt. 29 e 32, par. 4, GDPR.

7.2 Responsabili del trattamento esterni (art. 28 GDPR)

Fornitori di servizi che trattano dati per conto del Titolare, nominati con specifico accordo (DPA) ai sensi dell'art. 28 GDPR. Categorie e fornitori principali:

(a) Piattaforma PMS e Channel Manager: Avantio S.L.U. (Spagna, UE), per la gestione del sistema di prenotazione su booking.propertize.it, il PMS, il Channel Manager e la trasmissione ad Alloggiati Web;

(b) Hosting del sito istituzionale ed email aziendali: Hostinger International Ltd. (UE);

(c) Hosting delle applicazioni interne e database: Railway Corp. (USA);

(d) DNS, CDN e sicurezza perimetrale: Cloudflare Inc. (USA);

(e) Productivity e collaborazione: Google Ireland Ltd. (Irlanda, UE) per Google Workspace (Gmail, Drive, Sheets);

(f) Provider di pagamento: Stripe Payments Europe Ltd. (Irlanda, UE);

(g) Newsletter ed email marketing: The Rocket Science Group LLC d/b/a Mailchimp (USA);

(h) CRM e project management: ClickUp Inc. (USA);

(i) Comunicazioni operative interne: Telegram FZ-LLC (Emirati Arabi Uniti), per i canali di notifica e gestione operativa interna del team;

(j) Voice agent AI: Retell AI Inc. (USA), per la gestione di chiamate automatizzate;

(k) Fornitori di modelli linguistici (LLM): Anthropic PBC (USA), OpenAI Ireland Ltd. (Irlanda, UE), Groq Inc. (USA);

(l) Gestione imposta di soggiorno: PayTourist S.r.l. (Italia);

(m) Fornitori di servizi di pulizia, manutenzione, accoglienza: limitatamente ai dati strettamente necessari (es. nominativo Cliente, data e orario di check-in/out);

(n) Consulenti professionali: commercialista, consulente del lavoro, legale, in qualità di autonomi titolari del trattamento o responsabili a seconda della natura del rapporto.

L'elenco aggiornato dei sub-responsabili è disponibile su richiesta scritta al Titolare.

7.3 Titolari autonomi

Soggetti che trattano i dati per finalità proprie, ai quali Propertize trasmette dati nell'ambito della propria attività:

(a) OTA: Airbnb Ireland UC, Booking.com B.V. (Olanda), Vrbo / Expedia Group Inc., HomeToGo SE e altre piattaforme di intermediazione che gestiscono in autonomia il rapporto con il Cliente secondo i propri termini;

(b) Proprietario dell'Immobile: nei limiti necessari alla esecuzione del Contratto e all'eventuale contestazione di danni;

(c) Pubbliche autorità: Questure (alloggiati web), Agenzia delle Entrate (Certificazione Unica e dichiarativi), Comuni (imposta di soggiorno), autorità giudiziaria su richiesta motivata.

8. Trasferimenti extra-UE

Alcuni Responsabili e fornitori sono ubicati al di fuori dello Spazio Economico Europeo. Tali trasferimenti avvengono sulla base di adeguate garanzie ai sensi del Capo V GDPR, in particolare:

(a) Decisione di adeguatezza UE-USA "Data Privacy Framework" del 10 luglio 2023 (Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023), per i fornitori statunitensi certificati DPF. La certificazione è verificabile su https://www.dataprivacyframework.gov/. La validità della decisione di adeguatezza è stata confermata dal Tribunale dell'Unione europea con sentenza del 3 settembre 2025, causa T-553/23 (Latombe c. Commissione);

(b) Clausole Contrattuali Tipo (SCC) della Commissione UE approvate con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, ove la decisione di adeguatezza non sia applicabile, con eventuali misure supplementari ai sensi della sentenza CGUE C-311/18 del 16/7/2020 (Schrems II). In particolare, per i fornitori ubicati in Paesi privi di decisione di adeguatezza (a titolo esemplificativo: Emirati Arabi Uniti, per il servizio di messaggistica utilizzato per comunicazioni operative interne), il trasferimento avviene sulla base delle Clausole Contrattuali Tipo, ove disponibili, ovvero, in subordine, ai sensi delle deroghe previste dall'art. 49 GDPR, limitatamente ai dati strettamente necessari per le finalità di gestione operativa, con esclusione di categorie particolari di dati;

(c) Decisioni di adeguatezza UE per altri Paesi (Regno Unito, Svizzera, Israele, Giappone, Corea del Sud).

Su richiesta dell'interessato, il Titolare fornisce copia delle garanzie adottate o indicazioni su come ottenerle.

9. Diritti dell'interessato (artt. 15-22 GDPR)

L'interessato ha diritto di:

(a) accesso ai propri dati personali (art. 15 GDPR);

(b) rettifica dei dati inesatti o integrazione dei dati incompleti (art. 16);

(c) cancellazione ("diritto all'oblio"), ove ricorrano le condizioni (art. 17);

(d) limitazione del trattamento, ove ricorrano le condizioni (art. 18);

(e) opposizione al trattamento, in particolare a finalità di marketing diretto (art. 21);

(f) portabilità dei dati forniti, in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20);

(g) revoca del consenso prestato, in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca (art. 7, par. 3 GDPR);

(h) di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (art. 22 GDPR).

Le richieste possono essere inviate ai recapiti del Titolare indicati al par. 1. Il Titolare risponde senza ingiustificato ritardo e comunque entro un mese dalla richiesta (prorogabile di ulteriori due mesi in casi complessi, con motivata comunicazione). La risposta è gratuita salvo richieste manifestamente infondate o eccessive (art. 12 GDPR).

10. Reclamo al Garante

L'interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, email protocollo@gpdp.it, PEC protocollo@pec.gpdp.it, sito www.garanteprivacy.it, ai sensi dell'art. 77 GDPR, fatta salva ogni altra forma di tutela ai sensi degli artt. 78-79 GDPR.

11. Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate al rischio ai sensi dell'art. 32 del Regolamento (UE) 2016/679, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Le misure adottate, periodicamente riviste in funzione dell'evoluzione tecnologica e dei rischi, sono finalizzate a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. La selezione dei Responsabili del trattamento di cui al paragrafo 7.2 avviene sulla base delle garanzie sufficienti previste dall'art. 28, par. 1, GDPR.

In caso di violazione dei dati personali, il Titolare provvede agli adempimenti previsti dagli artt. 33 e 34 GDPR, ivi inclusa la notifica al Garante per la protezione dei dati personali entro 72 ore ove ricorrano le condizioni di legge, e la comunicazione agli interessati ove il rischio sia elevato.

12. Modifiche

La presente Privacy Policy può essere aggiornata. Le modifiche sono pubblicate sul Sito con indicazione della data di aggiornamento. Per modifiche sostanziali sarà data informativa specifica agli interessati registrati.

13. Contatti

Per ogni richiesta in materia di protezione dati: