Privacy Policy
Redatta ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 — aggiornata a febbraio 2026.
Le disposizioni presenti all'interno di questo documento si applicano esclusivamente al sito www.esplorapp.com e sono riferite solo ai dati raccolti attraverso il medesimo sito web.
Glossario
- Dati personali: quei dati che identificano una persona fisica o la rendono identificabile.
- Titolare del trattamento: colui che decide e definisce finalità e modalità di trattamento dei dati personali.
- Responsabile del trattamento: colui che tratta i dati personali per conto del titolare.
- Interessato: colui del quale i dati personali trattano (tu).
Articolo 1: Titolare del trattamento dei dati personali
Il Titolare del trattamento dei dati personali è EsplorApp di Daniele Cesaro, con sede in Via Sant'Antonio Abate 20, Ponte San Nicolò (PD), P.IVA IT05551810285. Per qualsiasi domanda su questa informativa o per esercitare i tuoi diritti puoi scriverci a: e-mail [email protected] — PEC [email protected].
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità di trattamento nonché della tipologia e della quantità di dati trattati, non sussistono le condizioni di cui all'art. 37 del GDPR per la nomina obbligatoria di un Responsabile della Protezione dei Dati (DPO). Qualora le condizioni dovessero cambiare, il titolare provvederà alla nomina e ne verrà data comunicazione aggiornando la presente informativa.
Il sito e il titolare non affidano ad alcun sistema di intelligenza artificiale le decisioni che ti riguardano. Per gestire la piattaforma e organizzare le attività operative utilizziamo diversi strumenti digitali: alcuni di questi potrebbero integrare funzionalità basate su intelligenza artificiale, machine learning o automazione algoritmica. Quando questo accade, li impieghiamo esclusivamente come strumenti di supporto operativo; nessuna decisione che ti riguarda viene affidata a una macchina senza supervisione umana.
Articolo 2: Tipologia di dati trattati
2.1 — Dati forniti direttamente dall'utente
La seguente lista rappresenta l'insieme dei dati che fornirai alla piattaforma:
- Nome e cognome;
- Numero di telefono;
- Indirizzo e-mail;
- Informazioni relative agli ordini effettuati;
- Dettagli della carta di credito o dei metodi di pagamento, che non saranno memorizzati dal titolare ma gestiti direttamente da Stripe e PayPal;
- Dati relativi ai minori: in caso di partecipazione di un minore ad un'esperienza, la prenotazione viene effettuata dal genitore o dal tutore legale. Il titolare raccoglie esclusivamente i dati del genitore o tutore che effettua la prenotazione; non vengono raccolti dati personali direttamente dei minori.
2.2 — Dati raccolti in modo automatico dalla piattaforma
La seguente lista rappresenta l'insieme dei dati che verranno raccolti in modo automatico:
- Indirizzo IP;
- Dispositivo;
- Browser;
- Pagine visitate;
- URL di provenienza;
- Durata della sessione di navigazione;
- Dati di log del server.
2.3 — Dati esclusi dal trattamento
Il titolare non raccoglie dati relativi alla salute, dichiarazioni mediche, dati biometrici, contatti di emergenza né altre categorie particolari di dati di cui all'art. 9 del GDPR. La valutazione dell'idoneità psicofisica alla partecipazione alle esperienze outdoor è responsabilità esclusiva dell'utente, come specificato all'interno dei termini e condizioni di vendita e utilizzo.
Articolo 3: Finalità e basi giuridiche del trattamento
Ogni trattamento che facciamo ha una ragione precisa e una base giuridica che lo legittima. Eccoli qui uno per uno.
Per fornirti il servizio che hai richiesto
Quando prenoti un'esperienza, acquisti una guida, attivi un abbonamento o ci chiedi assistenza, abbiamo bisogno dei tuoi dati per eseguire la richiesta. Questo include: gestire il tuo account, processare l'ordine, comunicarti informazioni sulla prenotazione, occuparci di eventuali rimborsi e inviarti ricevute o fatture.
Base giuridica: necessità di eseguire il contratto o di adottare misure precontrattuali su tua richiesta.
Tempo di conservazione: 10 anni dalla conclusione del rapporto in linea con gli obblighi fiscali e contabili, salvo tua revoca.
Per rispettare obblighi di legge
Alcune cose siamo obbligati a farle per legge: emettere fatture, conservare documentazione contabile, rispondere a richieste dell'autorità. In questi casi trattiamo i tuoi dati perché non abbiamo alternative.
Base giuridica: adempimento di un obbligo legale.
Tempo di conservazione: 10 anni.
Per rispondere alle tue richieste
Se ci scrivi tramite il form di contatto, via e-mail o in qualsiasi altro modo, usiamo i dati che ci fornisci per ricontattarti e darti le informazioni che cerchi.
Base giuridica: il tuo consenso o l'esecuzione di misure precontrattuali.
Tempo di conservazione: massimo 24 mesi, a meno che nel frattempo non si instauri un rapporto contrattuale.
Per inviarti comunicazioni su esperienze simili (soft spam)
Se hai già acquistato una nostra esperienza, potremmo inviarti e-mail relative ad esperienze o servizi analoghi senza chiederti un consenso specifico. Questa possibilità è prevista dall'art. 130 comma 4 del Codice della Privacy. Puoi bloccare queste comunicazioni in qualsiasi momento: basta cliccare sul link di disiscrizione che trovi in fondo ad ogni e-mail oppure scriverci direttamente.
Base giuridica: legittimo interesse a proporti servizi coerenti con quelli che hai già scelto.
Tempo di conservazione: fino a quando non ci chiederai di smettere e/o di cancellarli.
Per tenerti aggiornato tramite la newsletter
Se ti iscrivi alla nostra newsletter, utilizziamo il tuo nome e il tuo indirizzo e-mail per inviarti aggiornamenti sulle nostre attività, nuove esperienze in programma, contenuti e promozioni. L'iscrizione è completamente libera e non influisce in alcun modo sull'utilizzo della piattaforma o dei servizi che hai acquistato.
Base giuridica: il tuo consenso esplicito, prestato al momento dell'iscrizione.
Tempo di conservazione: fino a quando non revochi il consenso, e comunque non oltre 24 mesi dalla raccolta, salvo rinnovo. Per cancellarti puoi usare il link di disiscrizione presente in fondo a ogni e-mail oppure scriverci direttamente.
Articolo 4: A chi comunichiamo i tuoi dati
I tuoi dati non vengono diffusi pubblicamente né ceduti a soggetti terzi per finalità estranee a quelle indicate in questa informativa. In nessun caso li vendiamo o li mettiamo a disposizione di qualcuno per i suoi scopi pubblicitari.
Possono accedervi solo le seguenti categorie di soggetti:
- I nostri collaboratori: le persone che lavorano con noi e che hanno bisogno dei tuoi dati per svolgere le proprie mansioni. Sono formalmente autorizzate al trattamento ai sensi dell'art. 29 del GDPR e dell'art. 2-quaterdecies del Codice Privacy, adeguatamente istruite e vincolate alla riservatezza.
- Le guide esperte: le guide che conducono le esperienze outdoor ricevono da noi esclusivamente il tuo nome e cognome, cioè il minimo indispensabile per gestire l'attività sul campo. Operano come soggetti autorizzati al trattamento ai sensi dell'art. 29 del GDPR, hanno ricevuto istruzioni specifiche e sono vincolate da accordi di riservatezza.
- I fornitori di servizi esterni: i soggetti terzi che ci forniscono servizi essenziali per il funzionamento della piattaforma (hosting, CDN, e-mail marketing, sistemi di pagamento, consulenza fiscale). I dettagli su ciascun fornitore li trovi nell'articolo dedicato agli strumenti e fornitori terzi. Dove la normativa lo richiede, li abbiamo designati Responsabili del Trattamento con un contratto specifico ai sensi dell'art. 28 del GDPR. Puoi chiederci l'elenco aggiornato in qualsiasi momento.
- Autorità e soggetti previsti dalla legge: se la legge ce lo impone, comunichiamo i tuoi dati a enti pubblici, autorità fiscali, giudiziarie o amministrative, organismi di vigilanza e qualsiasi altro soggetto previsto dalla normativa vigente.
Articolo 5: Consenso all'utilizzo di immagini e video
Durante l'esperienza outdoor il titolare o le guide incaricate possono realizzare foto, video e registrazioni audio. L'utilizzo di tale materiale per finalità promozionali e commerciali avviene esclusivamente previo consenso esplicito, libero, specifico e informato dell'utente, raccolto tramite check box separato e facoltativo al momento dell'acquisto dell'esperienza.
Il consenso è del tutto facoltativo: il rifiuto non pregiudica in alcun modo la possibilità di partecipare all'esperienza né di fruire degli altri servizi della piattaforma.
L'utente può revocare il consenso in qualsiasi momento inviando comunicazione all'indirizzo e-mail indicato nella sezione contatti della presente policy. A seguito della revoca, il titolare cesserà di utilizzare il materiale in nuovi contesti, fermo restando che la revoca non può avere effetto retroattivo sui materiali già legittimamente pubblicati e diffusi. Il titolare si impegna, per quanto ragionevolmente possibile, a rimuovere il materiale dai propri canali diretti.
Eventuali immagini di volti di minori presenti all'esperienza verranno oscurate tramite tecniche di offuscamento (blur o analoga censura) per tutelare la loro privacy.
Articolo 6: Periodo di conservazione dei dati personali
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti. Di seguito tutti i dettagli.
| Tipologia di dati | Periodo di conservazione |
|---|---|
| Dati dell'account | Per tutta la durata del rapporto contrattuale e, successivamente, fino a revoca da parte dell'utente o per un massimo di 5 anni dalla cessazione del rapporto. |
| Dati fiscali e contabili | 10 anni dalla data della transazione, ai sensi dell'art. 2220 del Codice Civile. |
| Dati per marketing diretto | Fino alla revoca del consenso o per un massimo di 5 anni dalla raccolta del consenso, salvo rinnovo. |
| Dati relativi a immagini e video | Fino alla revoca del consenso. A seguito della revoca, il materiale verrà rimosso dai canali diretti del titolare nei tempi ragionevolmente necessari. |
| Log di sicurezza e dati tecnici | Massimo 12 mesi, salvo diversa esigenza documentata di sicurezza o obbligo di legge. |
| Cookie e dati di navigazione | Come specificato nella Cookie Policy. |
Al termine del periodo di conservazione i dati personali saranno cancellati in modo sicuro o anonimizzati in modo irreversibile.
Articolo 7: Luogo del trattamento e trasferimento fuori UE
Il trattamento dei dati personali avviene prevalentemente nello Spazio Economico Europeo. Qualora alcuni fornitori o servizi comportino un trasferimento di dati verso paesi terzi, tale trasferimento avverrà nel rispetto degli artt. 44 e ss. del GDPR, sulla base di una decisione di adeguatezza della Commissione Europea oppure mediante le altre garanzie appropriate previste dalla normativa applicabile incluse, ove necessario, clausole contrattuali standard.
- Stripe (USA): aderisce al EU-U.S. Data Privacy Framework, sulla base della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
- Brevo (sub-processori in USA e India): per gli USA si appoggia al Data Privacy Framework; per l'India e altri Paesi senza decisione di adeguatezza, utilizza le Clausole Contrattuali Standard (SCC) approvate dalla Commissione con Decisione di esecuzione UE 2021/914.
- PayPal (Lussemburgo, con possibili trasferimenti USA): eventuali trasferimenti verso gli Stati Uniti avvengono sulla base del Data Privacy Framework.
- LogRocket (USA): i dati raccolti tramite LogRocket possono essere trasferiti e conservati su server situati negli Stati Uniti; tale trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione con Decisione di esecuzione UE 2021/914.
Articolo 8: Tracking nelle e-mail
Le e-mail promozionali e le newsletter che inviamo tramite Brevo possono contenere dei tracking pixel: immagini microscopiche (1×1 pixel), di solito invisibili a occhio nudo, che ci permettono di sapere se un'e-mail è stata aperta e raccogliere alcune informazioni tecniche sul dispositivo usato per leggerla. In particolare possono rilevare:
- se hai aperto il messaggio, quando e quante volte;
- quale dispositivo o client di posta hai usato;
- il tuo indirizzo IP al momento dell'apertura;
- eventuali clic sui link contenuti nell'e-mail.
Utilizziamo questi strumenti in conformità al GDPR, alla direttiva ePrivacy (2002/58/CE), all'art. 122 del Codice Privacy e alle Linee Guida emanate dal Garante per la protezione dei dati personali con il provvedimento n. 284 del 17 aprile 2026, specificamente dedicate all'uso dei tracking pixel nella posta elettronica.
Il tracciamento viene attivato solo con il tuo consenso specifico, raccolto al momento dell'iscrizione alla newsletter. Hai diverse opzioni per gestirlo:
- puoi cancellare l'iscrizione alla newsletter (e con essa il tracciamento) dal link in fondo a ogni e-mail;
- dove tecnicamente possibile, puoi revocare solo il consenso al tracciamento, continuando a ricevere le newsletter senza pixel;
- puoi disattivare il caricamento automatico delle immagini dalle impostazioni del tuo client di posta.
Da parte nostra, ci impegniamo ad applicare i principi di privacy by design e by default (art. 25 GDPR), riducendo al minimo i dati raccolti e gestendo in modo trasparente le tue preferenze.
Articolo 9: Strumenti e fornitori terzi
Ecco nel dettaglio i servizi e le piattaforme tecniche su cui ci appoggiamo, con tutte le informazioni su chi sono, cosa fanno con i tuoi dati e dove li trattano.
9.1 — Hosting e server
La piattaforma web e l'app girano su un'infrastruttura server con data center a Francoforte, in Germania. Questo servizio gestisce il funzionamento tecnico del sito, i backup, la protezione dagli attacchi e la continuità operativa. Attraverso l'hosting possono transitare dati come indirizzi IP, log di accesso, informazioni tecniche sui dispositivi e backup di sistema.
Base giuridica: esecuzione del contratto, obblighi di legge e nostro legittimo interesse alla sicurezza dei sistemi (art. 6.1 lett. b, c, f GDPR).
Sede: Germania. Privacy Policy Hostinger.
9.2 — CDN: DigitalOcean, LLC
Per distribuire i contenuti media in modo veloce e affidabile ci appoggiamo a DigitalOcean, che opera come Content Delivery Network. Il data center di riferimento è a Francoforte.
Sede: data center europeo (Francoforte). Privacy Policy DigitalOcean.
9.3 — E-mail marketing: Brevo
Per gestire la newsletter e le comunicazioni promozionali utilizziamo Brevo (ex Sendinblue), una piattaforma di e-mail marketing con sede a Parigi. Brevo tratta il tuo nome e la tua e-mail, e ci fornisce statistiche sull'interazione con le e-mail (tassi di apertura, clic sui link).
Base giuridica: il tuo consenso prestato al momento dell'iscrizione (art. 6.1 lett. a GDPR).
Disiscrizione: cliccando il link in fondo a ogni e-mail. La cancellazione è immediata.
Sede e trasferimenti: Francia (UE). Brevo utilizza sub-processori negli USA (coperti dal Data Privacy Framework) e in India (coperti da Clausole Contrattuali Standard ai sensi della Decisione di esecuzione UE 2021/914). Puoi chiederci copia delle garanzie adottate.
Privacy Policy Brevo.
9.4 — Pagamenti: Stripe, Inc.
Per processare i pagamenti con carta di credito e tramite Stripe Link ci affidiamo a Stripe. I dati della tua carta vengono trattati direttamente da Stripe: noi riceviamo solo la conferma che il pagamento è andato a buon fine, senza mai vedere né memorizzare i numeri della carta.
Base giuridica: esecuzione del contratto (art. 6.1 lett. b GDPR), obblighi di legge (art. 6.1 lett. c GDPR) e nostro legittimo interesse alla prevenzione delle frodi (art. 6.1 lett. f GDPR).
Sede e trasferimenti: USA. Il trasferimento avviene sulla base dell'adesione di Stripe al EU-U.S. Data Privacy Framework, ai sensi della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
Privacy Policy Stripe.
9.5 — Pagamenti: PayPal
Per alcune esperienze offriamo anche PayPal come opzione di pagamento. PayPal funziona come intermediario finanziario indipendente: collega il tuo conto o la tua carta senza condividere i dati finanziari con noi. Per quanto riguarda i dati raccolti durante la transazione, PayPal agisce come titolare autonomo del trattamento.
Base giuridica: esecuzione del contratto (art. 6.1 lett. b GDPR) e obblighi fiscali (art. 6.1 lett. c GDPR).
Sede: Lussemburgo (UE). Eventuali trasferimenti verso gli USA sono coperti dal Data Privacy Framework.
Privacy Policy PayPal.
9.6 — Pulsanti social
Sulla piattaforma trovi pulsanti che rimandano ai nostri profili social. Attenzione: anche se non ci clicchi sopra, le piattaforme social potrebbero comunque raccogliere alcuni dati sul traffico delle pagine dove questi pulsanti sono installati. Il trattamento che ne fanno segue le loro regole, non le nostre.
- Instagram (Meta Platforms, Inc.) — dati trattati: cookie e dati di utilizzo. Sede: Irlanda. Privacy Policy Instagram.
- Facebook (Meta Platforms, Inc.) — dati trattati: cookie e dati di utilizzo. Sede: Irlanda. Privacy Policy Facebook.
Per limitare il tracciamento da parte dei social puoi agire dal cookie banner del nostro sito, dalle impostazioni privacy del tuo account social, oppure bloccando i cookie di terze parti nel browser.
9.7 — Registrazione delle sessioni: LogRocket, Inc.
Per analizzare il comportamento degli utenti, individuare errori tecnici e migliorare l'esperienza d'uso utilizziamo LogRocket, fornito da LogRocket, Inc., società con sede negli Stati Uniti. Tramite questo servizio vengono raccolti e registrati dati relativi all'interazione con la piattaforma, tra cui — a titolo esemplificativo e non esaustivo — movimenti del mouse, clic, scroll, contenuto delle pagine visitate, dati inseriti nei form (ove non esplicitamente esclusi tramite mascheramento), informazioni sul dispositivo e sul browser, indirizzo IP, errori di sistema e prestazioni tecniche. Tali dati vengono utilizzati per ricostruire, in forma di riproduzione visiva, la sessione di navigazione, al fine di identificare problemi tecnici, errori applicativi e criticità nell'esperienza d'uso.
Base giuridica: il tuo consenso (art. 6.1 lett. a GDPR).
Sede e trasferimenti: USA. Il trasferimento avviene sulla base delle Clausole Contrattuali Standard ai sensi della Decisione di esecuzione UE 2021/914.
Privacy Policy LogRocket.
Articolo 10: Sistemi di protezione
Prendiamo la sicurezza dei tuoi dati molto seriamente. Adottiamo misure tecniche e organizzative adeguate al rischio, come richiesto dall'art. 32 del GDPR. In concreto, questo significa:
- crittografia dei dati sia in transito sia a riposo;
- autenticazione a due fattori (2FA) disponibile per il tuo account, tramite e-mail o app TOTP;
- rotazione delle chiavi di sicurezza ogni 90 giorni, comprese quelle dei sistemi di pagamento;
- controlli di accesso a più livelli con verifiche delle autorizzazioni lato backend;
- gestione sicura delle sessioni: se cambi la password o cancelli l'account, tutte le sessioni attive vengono invalidate immediatamente;
- backup periodici;
- hosting su infrastruttura europea (data center di Francoforte) conforme agli standard di sicurezza del settore.
Violazione dei dati (data breach)
Se i tuoi dati personali dovessero subire una violazione (ad esempio accesso non autorizzato, perdita accidentale, divulgazione non prevista) che comporti un rischio per i tuoi diritti e le tue libertà, notificheremo il Garante per la protezione dei dati personali entro 72 ore dalla scoperta, come previsto dall'art. 33 del GDPR. Se il rischio dovesse essere particolarmente elevato, ti contatteremo direttamente e senza indugio ai sensi dell'art. 34 del GDPR, spiegandoti cosa è accaduto, quali conseguenze potrebbe avere e quali misure stiamo adottando per rimediare ed evitare che si ripeta.
Articolo 11: Tutela dei minori
EsplorApp è pensata per utenti maggiorenni. Per creare un account devi avere almeno 18 anni. I minori possono partecipare alle esperienze outdoor solo se la prenotazione è fatta da un genitore, un tutore legale o un adulto con delega scritta.
Non raccogliamo consapevolmente dati da minori. Se scoprissimo di averlo fatto per errore, li cancelleremo subito non appena ne verremo a conoscenza o su segnalazione del genitore/tutore.
Come già detto nelle sezioni precedenti, i volti di eventuali minori presenti in foto o video delle esperienze vengono sempre oscurati prima di qualsiasi utilizzo.
Articolo 12: Cookie
Questo sito web utilizza cookie, piccoli frammenti di testo impiegati per diverse finalità. Possono essere di natura tecnica e, previo consenso ove richiesto, anche analitica, di marketing e di profilazione, sia di prima parte sia di terza parte. Questi possono essere:
- necessari: utili al corretto funzionamento del sito web;
- analitici: come quelli di marketing, profilazione e tracciamento;
- di terze parti: appartenenti a soggetti terzi;
- di profilazione.
Per saperne di più ti invitiamo a consultare la Cookie Policy.
Articolo 13: I tuoi diritti
Ecco un breve elenco di tutti i diritti che potrai esercitare mandando una e-mail all'indirizzo del titolare:
- chiedere la conferma dell'esistenza o meno di propri dati personali;
- ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
- ottenere la rettifica e la cancellazione dei dati;
- ottenere la limitazione del trattamento;
- ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
- opporti al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto;
- opporti ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione;
- chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- proporre reclamo a un'autorità di controllo.
Così come stabilito dagli articoli dal 15 al 22 del Regolamento UE n. 2016/679.
Puoi inoltre proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — sito web www.garanteprivacy.it, e-mail [email protected], PEC [email protected].
Privacy Policy aggiornata a maggio 2026.