updata
← Torna alla home
Documenti legali

Informativa sulla Privacy

Versione 1.1 — Ultimo aggiornamento: 27 giugno 2026

Documento redatto ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Non è stato designato un Responsabile della Protezione dei Dati (DPO), in quanto non ricorrono i presupposti di obbligatorietà ex art. 37 GDPR. Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo email sopra indicato.

2. Categorie di dati trattati e modalità di raccolta

Updata tratta dati personali appartenenti alle seguenti categorie, raccolti attraverso modalità diverse:

2.1 Dati di navigazione sul sito

I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione Internet: indirizzi IP, tipo di browser, sistema operativo, pagine visitate, orario e durata della visita, siti di provenienza. Tali dati non sono raccolti per essere associati a interessati identificati, ma per loro natura potrebbero consentire l'identificazione degli utenti.

2.2 Dati forniti volontariamente dall'utente

Nome, cognome, indirizzo email, numero di telefono, nome dell'azienda, ruolo professionale e qualsiasi altro dato inserito nei moduli di contatto, richiesta informazioni o preventivo presenti sul sito.

2.3 Dati di clienti e fornitori B2B

Dati identificativi e di contatto dei referenti aziendali (nome, cognome, email, telefono, ruolo) delle aziende che acquistano i servizi Updata, necessari per l'esecuzione del contratto, la fatturazione e le comunicazioni operative.

2.4 Dati raccolti da fonti pubblicamente accessibili

Nell'ambito della propria attività principale di costruzione di database commerciali sul mercato alberghiero italiano, Updata raccoglie e tratta dati personali di referenti di strutture ricettive (direttori, general manager, proprietari, responsabili commerciali) reperiti da fonti pubblicamente accessibili quali: siti web degli hotel, portali di settore, registri camerali, profili LinkedIn aziendali, Google Maps e directory online. Per questa categoria di dati si rinvia specificamente alla Sezione 4.

2.5 Cookie e tecnologie simili

Per i dettagli relativi ai cookie installati dal sito si rinvia alla Cookie Policy.

Nota: Updata non tratta categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati sulla salute, origine etnica, opinioni politiche, ecc.) né dati relativi a condanne penali o reati (art. 10 GDPR).

3. Finalità e base giuridica del trattamento

I dati personali sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR:

FinalitàBase giuridica (art. 6 GDPR)
Risposta a richieste di contatto, informazioni e preventivi Art. 6.1.b — misure precontrattuali adottate su richiesta dell'interessato
Esecuzione del contratto di servizio con i clienti Art. 6.1.b — esecuzione di un contratto di cui l'interessato è parte
Adempimenti fiscali, contabili e legali Art. 6.1.c — obbligo legale (D.P.R. 633/72, D.P.R. 917/86, D.Lgs. 231/2001)
Costruzione e gestione del database alberghiero da fonti pubbliche Art. 6.1.f — legittimo interesse del Titolare (vedi Sezione 4)
Attività di email outbound B2B verso referenti di aziende clienti potenziali Art. 6.1.f — legittimo interesse del Titolare; art. 130 co. 4 D.Lgs. 196/2003 per destinatari persone giuridiche (vedi Sezione 5)
Profilazione e segmentazione commerciale degli hotel Art. 6.1.f — legittimo interesse del Titolare (vedi Sezione 6)
Miglioramento del sito e analisi statistica aggregata del traffico Art. 6.1.f — legittimo interesse del Titolare, previa anonimizzazione dei dati; ovvero art. 6.1.a — consenso, per cookie analitici non anonimizzati
Attività di marketing diretto e remarketing verso utenti del sito Art. 6.1.a — consenso esplicito e liberamente revocabile dell'interessato
Difesa in giudizio e tutela dei diritti del Titolare Art. 6.1.f — legittimo interesse del Titolare

4. Trattamento di dati raccolti da fonti pubbliche (art. 14 GDPR)

L'attività principale di Updata consiste nel costruire database commerciali sul mercato alberghiero italiano per conto di aziende B2B che vendono prodotti e servizi agli hotel. Per questa finalità, il Titolare raccoglie e tratta dati personali di referenti di strutture ricettive — quali direttori, general manager, proprietari e responsabili commerciali — reperiti da fonti pubblicamente accessibili.

4.1 Fonti dei dati

  • Siti web ufficiali degli hotel e strutture ricettive
  • Portali e directory di settore (Booking.com, TripAdvisor, ecc.) nella parte pubblica
  • Profili LinkedIn aziendali e pagine professionali pubbliche
  • Google Maps, Google My Business e Places
  • Registri camerali e albi pubblici
  • Siti istituzionali di associazioni di categoria (Federalberghi, ecc.)

4.2 Categorie di dati raccolti

  • Nome e cognome del referente
  • Ruolo professionale e qualifica
  • Indirizzo email professionale e/o numero di telefono professionale
  • Nome e dati identificativi della struttura ricettiva di appartenenza
  • Informazioni professionali accessorie (servizi della struttura, posizionamento, ecc.)

4.3 Base giuridica e test di bilanciamento (art. 6.1.f GDPR)

La base giuridica è il legittimo interesse del Titolare ai sensi dell'art. 6.1.f GDPR, corroborato dall'art. 9 co. 1 D.Lgs. 196/2003 che consente il trattamento di dati personali contenuti in registri, elenchi e documenti conoscibili da chiunque, se il trattamento è effettuato per scopi determinati, espliciti e legittimi.

Test di bilanciamento sintetico (Considerando 47 GDPR — Linee Guida WP29/EDPB):

Interesse perseguito: Updata svolge un'attività commerciale legittima di intermediazione informativa B2B, fornendo ai propri clienti dati strutturati e verificati sul mercato alberghiero italiano per supportare l'attività commerciale verso un settore professionale.

Necessità e proporzionalità: I dati trattati sono limitati a quelli strettamente necessari all'identificazione del referente professionale e al contatto commerciale; non vengono trattati dati sensibili né dati eccedenti la sfera professionale dell'interessato.

Ragionevole aspettativa degli interessati: I referenti di strutture alberghiere che rendono pubblici i propri dati professionali su siti web, portali di settore o reti professionali possono ragionevolmente attendersi di essere contattati nell'ambito della propria attività lavorativa da soggetti che operano nel settore hospitality e affini.

Bilanciamento: L'interesse legittimo del Titolare è bilanciato dai diritti degli interessati, garantiti dall'accesso alle misure di sicurezza adottate, dal diritto di opposizione immediato e incondizionato ai sensi dell'art. 21 GDPR, e dalla limitazione delle finalità ai soli scopi commerciali B2B.

Conclusione: Il trattamento supera positivamente il test di bilanciamento, non prevalendo sui diritti fondamentali degli interessati.

4.4 Obbligo di informativa ex art. 14 GDPR

In conformità all'art. 14 GDPR, i referenti i cui dati sono raccolti da fonti pubbliche ricevono l'informativa sul trattamento al momento del primo contatto, tipicamente mediante il primo messaggio di posta elettronica inviato nell'ambito dell'attività di outbound, che contiene un chiaro riferimento alla presente informativa e alla possibilità di opporsi al trattamento.

Ogni comunicazione commerciale inviata dal Titolare include un link alla presente informativa e istruzioni chiare per esercitare il diritto di opposizione, con effetto immediato e senza necessità di motivazione.

4.5 Durata della conservazione per questa categoria

I dati dei referenti alberghieri sono conservati per un massimo di 24 mesi dalla raccolta. In caso di opposizione al trattamento, i dati sono cancellati entro 30 giorni dalla ricezione della richiesta e il referente è inserito in una lista di esclusione per evitare futuri contatti involontari.

5. Attività di email outbound B2B

Updata conduce, per conto proprio o dei propri clienti, campagne di email outbound B2B verso referenti di aziende del settore alberghiero e settori affini.

5.1 Regime giuridico applicabile

Per i destinatari che agiscono in qualità di persone giuridiche (hotel, aziende, enti), il quadro di riferimento è l'art. 130 co. 4 del D.Lgs. 196/2003, che non richiede il consenso preventivo per comunicazioni commerciali B2B, purché venga garantita la possibilità di opporsi in modo semplice e gratuito.

Per i destinatari che agiscono in qualità di persone fisiche titolari o liberi professionisti, la base giuridica è il legittimo interesse del Titolare ai sensi dell'art. 6.1.f GDPR, con diritto di opposizione incondizionato.

5.2 Garanzie per i destinatari

  • Ogni email commerciale contiene un meccanismo chiaro e immediato per opporsi a ulteriori comunicazioni (link di opt-out o istruzione testuale)
  • Le richieste di opt-out sono elaborate entro 5 giorni lavorativi
  • I contatti che si oppongono sono inseriti in una lista di soppressione permanente
  • Le comunicazioni sono pertinenti all'attività professionale del destinatario

5.3 Strumenti utilizzati

Le campagne email sono gestite tramite la piattaforma Smartlead (responsabile del trattamento ex art. 28 GDPR, con DPA stipulato). I dati di risposta e classificazione commerciale sono gestiti tramite Notion e/o Google Sheets (vedi Sezione 9).

6. Profilazione e segmentazione

Nell'ambito del proprio servizio, Updata effettua attività di profilazione e segmentazione ai sensi dell'art. 4 n. 4 GDPR, consistente nell'analisi e classificazione degli hotel e dei loro referenti in gruppi commerciali omogenei (es. spa hotel, business hotel, strutture premium, per zona geografica, per categoria stelle, per servizi presenti).

6.1 Natura della profilazione

La profilazione effettuata da Updata è di tipo commerciale e descrittivo, basata su caratteristiche oggettive e pubblicamente verificabili delle strutture ricettive. Non vengono effettuate valutazioni su aspetti della personalità, comportamento privato, situazione finanziaria personale o altri aspetti sensibili degli individui.

La profilazione non produce effetti giuridici né effetti significativi analoghi nella sfera degli interessati ai sensi dell'art. 22 GDPR: i referenti non sono soggetti a decisioni automatizzate che li riguardino individualmente, ma al massimo all'inserimento in un segmento commerciale che determina il tipo di messaggio ricevuto.

6.2 Base giuridica

Legittimo interesse del Titolare e dei propri clienti a condurre attività commerciale mirata ed efficiente nel settore alberghiero (art. 6.1.f GDPR). L'interessato ha diritto di opporsi in qualsiasi momento alla profilazione scrivendo a privacy@updata.it.

7. Modalità del trattamento e misure di sicurezza

I dati personali sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate nella presente informativa. Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

  • Accesso ai dati limitato ai soli soggetti autorizzati e istruiti sul trattamento
  • Utilizzo di connessioni cifrate (TLS/HTTPS) per la trasmissione dei dati
  • Autenticazione a due fattori per l'accesso alle piattaforme operative
  • Backup periodici e procedure di ripristino
  • Valutazione periodica dell'adeguatezza delle misure adottate

Il trattamento è effettuato prevalentemente presso la sede operativa del Titolare e tramite i sistemi cloud dei fornitori indicati nella Sezione 9, situati nell'Unione Europea o in Paesi con adeguate garanzie (vedi Sezione 10).

8. Periodi di conservazione

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto dei principi di minimizzazione e limitazione della conservazione (art. 5.1.e GDPR):

Categoria di datiPeriodo di conservazioneMotivazione
Dati di contatto e richieste informazioni (non seguite da contratto) 24 mesi dalla richiesta Interesse legittimo a gestire richieste e potenziali follow-up
Dati contrattuali e di fatturazione (clienti) 10 anni dalla fine del rapporto Obbligo fiscale e contabile (art. 2220 c.c.; D.P.R. 633/72)
Dati di navigazione sul sito Massimo 26 mesi Analisi statistica e sicurezza del sistema
Dati per marketing e remarketing (con consenso) Fino alla revoca del consenso, e comunque non oltre 24 mesi dall'ultima interazione Consenso revocabile in ogni momento
Dati referenti alberghieri da fonti pubbliche Massimo 24 mesi dalla raccolta; cancellazione entro 30 giorni da opposizione Legittimo interesse; durata proporzionata alle finalità commerciali
Dati campagne outbound B2B (risposte, classificazioni) Massimo 36 mesi dalla campagna Legittimo interesse a conservare lo storico commerciale
Dati per difesa in giudizio Fino a prescrizione del diritto tutelato (massimo 10 anni) Art. 2946 c.c. — prescrizione ordinaria
Lista di soppressione (opt-out) Illimitata (necessaria per non ricontattare chi si è opposto) Tutela dei diritti dell'interessato

Decorsi i periodi indicati, i dati sono cancellati o anonimizzati in modo irreversibile.

9. Destinatari e responsabili del trattamento

I dati personali possono essere comunicati o resi accessibili alle seguenti categorie di soggetti, che operano in qualità di Responsabili del trattamento ex art. 28 GDPR (con i quali è stipulato un apposito accordo sul trattamento dei dati) o di autonomi Titolari:

9.1 Fornitori di servizi tecnologici (Responsabili ex art. 28 GDPR)

FornitoreServizioSede / Trasferimento extra-UE
Smartlead Piattaforma di email outbound e sequenze USA — SCC ex art. 46 GDPR
Google LLC (Google Workspace, Google Sheets) Email aziendale, fogli di calcolo, storage USA — SCC ex art. 46 GDPR + Data Privacy Framework
Notion Labs Inc. CRM, gestione lead, note operative USA — SCC ex art. 46 GDPR
Airtable Inc. Database operativo e gestione pipeline USA — SCC ex art. 46 GDPR
Apify Technologies s.r.o. Raccolta e arricchimento dati da fonti web pubbliche Repubblica Ceca (UE)
Fornitore hosting sito web Hosting e CDN del sito updata.it Da definire — preferibilmente UE

9.2 Altri destinatari

  • Professionisti e consulenti (commercialisti, avvocati) — vincolati da obbligo di riservatezza professionale, in qualità di autonomi titolari o responsabili
  • Aziende clienti di Updata — ricevono database e lead caldi nell'ambito del servizio contrattuale; agiscono come autonomi titolari del trattamento per i dati ricevuti
  • Autorità pubbliche — in caso di obbligo legale o richiesta dell'autorità giudiziaria
Nota per i clienti Updata: Le aziende che ricevono database o lead da Updata sono autonomi titolari del trattamento per i dati che utilizzano nei propri sistemi commerciali e sono responsabili del rispetto del GDPR per le attività condotte con tali dati.

10. Trasferimenti di dati verso Paesi terzi extra-UE

Alcuni dei fornitori di servizi indicati nella Sezione 9 hanno sede negli Stati Uniti d'America. I trasferimenti di dati verso tali Paesi avvengono esclusivamente sulla base di garanzie adeguate ai sensi del Capitolo V GDPR, in particolare:

  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione del 4 giugno 2021 (artt. 46.2.c e 46.2.d GDPR)
  • EU-US Data Privacy Framework, per i fornitori che vi hanno aderito (verificabile sul sito del Dipartimento del Commercio USA)

L'interessato può richiedere copia delle garanzie adottate scrivendo a privacy@updata.it.

Il Titolare si impegna a verificare periodicamente l'adeguatezza delle garanzie adottate, in conformità alle Raccomandazioni EDPB 01/2020.

11. Diritti dell'interessato (artt. 15–22 GDPR)

L'interessato può esercitare in ogni momento i seguenti diritti:

DirittoContenutoArt. GDPR
AccessoOttenere conferma del trattamento e copia dei dati trattatiArt. 15
RettificaOttenere la correzione di dati inesatti o il completamento di dati incompletiArt. 16
Cancellazione ("diritto all'oblio")Ottenere la cancellazione dei dati quando non più necessari o in caso di revoca del consensoArt. 17
LimitazioneOttenere la limitazione del trattamento in determinati casi (es. contestazione dell'esattezza)Art. 18
PortabilitàRicevere i dati in formato strutturato e leggibile da macchina, o trasmetterli a un altro titolare (per dati trattati su base contrattuale o di consenso)Art. 20
OpposizioneOpporsi al trattamento fondato su legittimo interesse, incluse profilazione e marketing diretto. Per il marketing diretto, l'opposizione è assoluta. Per le altre finalità, il Titolare valuta se sussistono motivi legittimi prevalenti.Art. 21
Revoca del consensoRevocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revocaArt. 7.3
Non essere sottoposto a decisioni automatizzateNon essere sottoposto a decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici significativi (non applicabile per l'attuale attività di Updata)Art. 22

Come esercitare i diritti

Le richieste possono essere inoltrate:

Il Titolare risponde entro 30 giorni dal ricevimento della richiesta. In caso di richieste particolarmente complesse o numerose, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione all'interessato entro il primo mese (art. 12.3 GDPR). Il servizio è gratuito, salvo richieste manifestamente infondate o eccessive (art. 12.5 GDPR).

12. Protezione dei dati dei minori

Il sito e i servizi di Updata sono destinati esclusivamente a soggetti maggiorenni che operano in ambito professionale e aziendale. Il Titolare non raccoglie consapevolmente dati personali di minori di 14 anni, che rappresentano la soglia di consenso digitale prevista dalla normativa italiana ai sensi dell'art. 8 GDPR e dell'art. 2-quinquies D.Lgs. 196/2003.

Qualora il Titolare dovesse venire a conoscenza di aver raccolto dati di un minore, provvederà alla cancellazione immediata. Genitori o tutori che ritengano che dati di un minore siano stati trattati possono contattare privacy@updata.it.

13. Comunicazioni non sollecitate ricevute dal Titolare

Qualora il Titolare riceva comunicazioni non sollecitate contenenti dati personali (es. candidature spontanee, proposte commerciali non richieste), tali dati saranno trattati esclusivamente per valutare la comunicazione ricevuta e rispondere al mittente, sulla base del legittimo interesse di entrambe le parti.

I dati saranno conservati per il tempo necessario alla valutazione e, in assenza di un rapporto successivo, cancellati entro 12 mesi dalla ricezione. Il mittente può in qualsiasi momento richiedere la cancellazione scrivendo a privacy@updata.it.

14. Limitazione di responsabilità per siti di terze parti

Il sito di Updata può contenere link a siti web di terze parti. La presente informativa si applica esclusivamente al sito updata.it e ai servizi gestiti direttamente dal Titolare. Il Titolare non è responsabile delle pratiche privacy di siti web esterni raggiungibili tramite link presenti nel proprio sito, né dei contenuti o dei servizi da essi offerti.

Si raccomanda di consultare l'informativa privacy di ciascun sito terzo prima di fornire dati personali.

15. Reclamo all'Autorità di controllo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali qualora ritenga che il trattamento che lo riguarda violi il GDPR o la normativa nazionale applicabile:

L'interessato può altresì adire l'Autorità di controllo competente del proprio Stato membro di residenza abituale o luogo di lavoro, o del luogo in cui si è verificata la presunta violazione (art. 77 GDPR).

16. Aggiornamenti alla presente informativa

Il Titolare si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento, in particolare a seguito di:

  • Modifiche normative o nuovi provvedimenti del Garante o dell'EDPB
  • Variazioni nei servizi offerti o negli strumenti tecnologici utilizzati
  • Aggiunta di nuove categorie di dati trattati o nuove finalità

Le modifiche sono pubblicate su questa pagina con aggiornamento della data e del numero di versione in intestazione. Per modifiche sostanziali che riguardano trattamenti fondati sul consenso, gli interessati saranno informati tramite email o avviso in evidenza sul sito.

Le versioni precedenti della presente informativa possono essere richieste scrivendo a privacy@updata.it.

Versione corrente: 1.1 — 27 giugno 2026
Versione precedente: 1.0 — 24 giugno 2026
← Torna alla home