Privacy Policy

Redatta ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 — aggiornata a febbraio 2026.

Le disposizioni presenti all'interno di questo documento si applicano esclusivamente al sito www.esplorapp.com e sono riferite solo ai dati raccolti attraverso il medesimo sito web.

Glossario

  • Dati personali: quei dati che identificano una persona fisica o la rendono identificabile.
  • Titolare del trattamento: colui che decide e definisce finalità e modalità di trattamento dei dati personali.
  • Responsabile del trattamento: colui che tratta i dati personali per conto del titolare.
  • Interessato: colui del quale i dati personali trattano (tu).

Articolo 1: Titolare del trattamento dei dati personali

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità di trattamento nonché della tipologia e della quantità di dati trattati, non sussistono le condizioni di cui all'art. 37 del GDPR per la nomina obbligatoria di un Responsabile della Protezione dei Dati (DPO). Qualora le condizioni dovessero cambiare, il titolare provvederà alla nomina e ne verrà data comunicazione aggiornando la presente informativa.

Articolo 2: Tipologia di dati trattati

2.1 — Dati forniti direttamente dall'utente

La seguente lista rappresenta l'insieme dei dati che fornirai alla piattaforma:

  • Nome e cognome;
  • Numero di telefono;
  • Indirizzo e-mail;
  • Informazioni relative agli ordini effettuati;
  • Dettagli della carta di credito o dei metodi di pagamento, che non saranno memorizzati dal titolare ma gestiti direttamente da Stripe e PayPal;
  • Dati relativi ai minori: in caso di partecipazione di un minore ad un'esperienza, la prenotazione viene effettuata dal genitore o dal tutore legale. Il titolare raccoglie esclusivamente i dati del genitore o tutore che effettua la prenotazione; non vengono raccolti dati personali direttamente dei minori.

2.2 — Dati raccolti in modo automatico dalla piattaforma

La seguente lista rappresenta l'insieme dei dati che verranno raccolti in modo automatico:

  • Indirizzo IP;
  • Dispositivo;
  • Browser;
  • Pagine visitate;
  • URL di provenienza;
  • Durata della sessione di navigazione;
  • Dati di log del server.

2.3 — Dati esclusi dal trattamento

Il titolare non raccoglie dati relativi alla salute, dichiarazioni mediche, dati biometrici, contatti di emergenza né altre categorie particolari di dati di cui all'art. 9 del GDPR. La valutazione dell'idoneità psicofisica alla partecipazione alle esperienze outdoor è responsabilità esclusiva dell'utente, come specificato all'interno dei termini e condizioni di vendita e utilizzo.

Articolo 3: Finalità e basi giuridiche del trattamento

Ogni trattamento che facciamo ha una ragione precisa e una base giuridica che lo legittima. Eccoli qui uno per uno.

Per fornirti il servizio che hai richiesto

Quando prenoti un'esperienza, acquisti una guida, attivi un abbonamento o ci chiedi assistenza, abbiamo bisogno dei tuoi dati per eseguire la richiesta. Questo include: gestire il tuo account, processare l'ordine, comunicarti informazioni sulla prenotazione, occuparci di eventuali rimborsi e inviarti ricevute o fatture.

Base giuridica: necessità di eseguire il contratto o di adottare misure precontrattuali su tua richiesta.
Tempo di conservazione: 10 anni dalla conclusione del rapporto in linea con gli obblighi fiscali e contabili, salvo tua revoca.

Per rispettare obblighi di legge

Alcune cose siamo obbligati a farle per legge: emettere fatture, conservare documentazione contabile, rispondere a richieste dell'autorità. In questi casi trattiamo i tuoi dati perché non abbiamo alternative.

Base giuridica: adempimento di un obbligo legale.
Tempo di conservazione: 10 anni.

Per rispondere alle tue richieste

Se ci scrivi tramite il form di contatto, via e-mail o in qualsiasi altro modo, usiamo i dati che ci fornisci per ricontattarti e darti le informazioni che cerchi.

Base giuridica: il tuo consenso o l'esecuzione di misure precontrattuali.
Tempo di conservazione: massimo 24 mesi, a meno che nel frattempo non si instauri un rapporto contrattuale.

Per inviarti comunicazioni su esperienze simili (soft spam)

Se hai già acquistato una nostra esperienza, potremmo inviarti e-mail relative ad esperienze o servizi analoghi senza chiederti un consenso specifico. Questa possibilità è prevista dall'art. 130 comma 4 del Codice della Privacy. Puoi bloccare queste comunicazioni in qualsiasi momento: basta cliccare sul link di disiscrizione che trovi in fondo ad ogni e-mail oppure scriverci direttamente.

Base giuridica: legittimo interesse a proporti servizi coerenti con quelli che hai già scelto.
Tempo di conservazione: fino a quando non ci chiederai di smettere e/o di cancellarli.

Articolo 4: Consenso all'utilizzo di immagini e video

Durante l'esperienza outdoor il titolare o le guide incaricate possono realizzare foto, video e registrazioni audio. L'utilizzo di tale materiale per finalità promozionali e commerciali avviene esclusivamente previo consenso esplicito, libero, specifico e informato dell'utente, raccolto tramite check box separato e facoltativo al momento dell'acquisto dell'esperienza.

Il consenso è del tutto facoltativo: il rifiuto non pregiudica in alcun modo la possibilità di partecipare all'esperienza né di fruire degli altri servizi della piattaforma.

L'utente può revocare il consenso in qualsiasi momento inviando comunicazione all'indirizzo e-mail indicato nella sezione contatti della presente policy. A seguito della revoca, il titolare cesserà di utilizzare il materiale in nuovi contesti, fermo restando che la revoca non può avere effetto retroattivo sui materiali già legittimamente pubblicati e diffusi. Il titolare si impegna, per quanto ragionevolmente possibile, a rimuovere il materiale dai propri canali diretti.

Eventuali immagini di volti di minori presenti all'esperienza verranno oscurate tramite tecniche di offuscamento (blur o analoga censura) per tutelare la loro privacy.

Articolo 5: Periodo di conservazione dei dati personali

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti. Di seguito tutti i dettagli.

Tipologia di datiPeriodo di conservazione
Dati dell'accountPer tutta la durata del rapporto contrattuale e, successivamente, fino a revoca da parte dell'utente o per un massimo di 5 anni dalla cessazione del rapporto.
Dati fiscali e contabili10 anni dalla data della transazione, ai sensi dell'art. 2220 del Codice Civile.
Dati per marketing direttoFino alla revoca del consenso o per un massimo di 5 anni dalla raccolta del consenso, salvo rinnovo.
Dati relativi a immagini e videoFino alla revoca del consenso. A seguito della revoca, il materiale verrà rimosso dai canali diretti del titolare nei tempi ragionevolmente necessari.
Log di sicurezza e dati tecniciMassimo 12 mesi, salvo diversa esigenza documentata di sicurezza o obbligo di legge.
Cookie e dati di navigazioneCome specificato nella Cookie Policy.

Al termine del periodo di conservazione i dati personali saranno cancellati in modo sicuro o anonimizzati in modo irreversibile.

Articolo 6: Luogo del trattamento e trasferimento fuori UE

Il trattamento dei dati personali avviene prevalentemente nello Spazio Economico Europeo. Qualora alcuni fornitori o servizi comportino un trasferimento di dati verso paesi terzi, tale trasferimento avverrà nel rispetto degli artt. 44 e ss. del GDPR, sulla base di una decisione di adeguatezza della Commissione Europea oppure mediante le altre garanzie appropriate previste dalla normativa applicabile incluse, ove necessario, clausole contrattuali standard.

  • Stripe (USA): aderisce al EU-U.S. Data Privacy Framework, sulla base della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
  • Brevo (sub-processori in USA e India): per gli USA si appoggia al Data Privacy Framework; per l'India e altri Paesi senza decisione di adeguatezza, utilizza le Clausole Contrattuali Standard (SCC) approvate dalla Commissione con Decisione di esecuzione UE 2021/914.
  • PayPal (Lussemburgo, con possibili trasferimenti USA): eventuali trasferimenti verso gli Stati Uniti avvengono sulla base del Data Privacy Framework.

Articolo 7: Tracking nelle e-mail

Le e-mail promozionali e le newsletter che inviamo tramite Brevo possono contenere dei tracking pixel: immagini microscopiche (1×1 pixel), di solito invisibili a occhio nudo, che ci permettono di sapere se un'e-mail è stata aperta e raccogliere alcune informazioni tecniche sul dispositivo usato per leggerla. In particolare possono rilevare:

  • se hai aperto il messaggio, quando e quante volte;
  • quale dispositivo o client di posta hai usato;
  • il tuo indirizzo IP al momento dell'apertura;
  • eventuali clic sui link contenuti nell'e-mail.

Utilizziamo questi strumenti in conformità al GDPR, alla direttiva ePrivacy (2002/58/CE), all'art. 122 del Codice Privacy e alle Linee Guida emanate dal Garante per la protezione dei dati personali con il provvedimento n. 284 del 17 aprile 2026, specificamente dedicate all'uso dei tracking pixel nella posta elettronica.

Il tracciamento viene attivato solo con il tuo consenso specifico, raccolto al momento dell'iscrizione alla newsletter. Hai diverse opzioni per gestirlo:

  • puoi cancellare l'iscrizione alla newsletter (e con essa il tracciamento) dal link in fondo a ogni e-mail;
  • dove tecnicamente possibile, puoi revocare solo il consenso al tracciamento, continuando a ricevere le newsletter senza pixel;
  • puoi disattivare il caricamento automatico delle immagini dalle impostazioni del tuo client di posta.

Da parte nostra, ci impegniamo ad applicare i principi di privacy by design e by default (art. 25 GDPR), riducendo al minimo i dati raccolti e gestendo in modo trasparente le tue preferenze.

Articolo 8: Strumenti e fornitori terzi

Ecco nel dettaglio i servizi e le piattaforme tecniche su cui ci appoggiamo, con tutte le informazioni su chi sono, cosa fanno con i tuoi dati e dove li trattano.

8.1 — Hosting e server

La piattaforma web e l'app girano su un'infrastruttura server con data center a Francoforte, in Germania. Questo servizio gestisce il funzionamento tecnico del sito, i backup, la protezione dagli attacchi e la continuità operativa. Attraverso l'hosting possono transitare dati come indirizzi IP, log di accesso, informazioni tecniche sui dispositivi e backup di sistema.

Base giuridica: esecuzione del contratto, obblighi di legge e nostro legittimo interesse alla sicurezza dei sistemi (art. 6.1 lett. b, c, f GDPR).
Sede: Germania. Privacy Policy Hostinger.

8.2 — CDN: DigitalOcean, LLC

Per distribuire i contenuti media in modo veloce e affidabile ci appoggiamo a DigitalOcean, che opera come Content Delivery Network. Il data center di riferimento è a Francoforte.

Sede: data center europeo (Francoforte). Privacy Policy DigitalOcean.

8.3 — E-mail marketing: Brevo

Per gestire la newsletter e le comunicazioni promozionali utilizziamo Brevo (ex Sendinblue), una piattaforma di e-mail marketing con sede a Parigi. Brevo tratta il tuo nome e la tua e-mail, e ci fornisce statistiche sull'interazione con le e-mail (tassi di apertura, clic sui link).

Base giuridica: il tuo consenso prestato al momento dell'iscrizione (art. 6.1 lett. a GDPR).
Disiscrizione: cliccando il link in fondo a ogni e-mail. La cancellazione è immediata.
Sede e trasferimenti: Francia (UE). Brevo utilizza sub-processori negli USA (coperti dal Data Privacy Framework) e in India (coperti da Clausole Contrattuali Standard ai sensi della Decisione di esecuzione UE 2021/914). Puoi chiederci copia delle garanzie adottate.
Privacy Policy Brevo.

8.4 — Pagamenti: Stripe, Inc.

Per processare i pagamenti con carta di credito e tramite Stripe Link ci affidiamo a Stripe. I dati della tua carta vengono trattati direttamente da Stripe: noi riceviamo solo la conferma che il pagamento è andato a buon fine, senza mai vedere né memorizzare i numeri della carta.

Base giuridica: esecuzione del contratto (art. 6.1 lett. b GDPR), obblighi di legge (art. 6.1 lett. c GDPR) e nostro legittimo interesse alla prevenzione delle frodi (art. 6.1 lett. f GDPR).
Sede e trasferimenti: USA. Il trasferimento avviene sulla base dell'adesione di Stripe al EU-U.S. Data Privacy Framework, ai sensi della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023.
Privacy Policy Stripe.

8.5 — Pagamenti: PayPal

Per alcune esperienze offriamo anche PayPal come opzione di pagamento. PayPal funziona come intermediario finanziario indipendente: collega il tuo conto o la tua carta senza condividere i dati finanziari con noi. Per quanto riguarda i dati raccolti durante la transazione, PayPal agisce come titolare autonomo del trattamento.

Base giuridica: esecuzione del contratto (art. 6.1 lett. b GDPR) e obblighi fiscali (art. 6.1 lett. c GDPR).
Sede: Lussemburgo (UE). Eventuali trasferimenti verso gli USA sono coperti dal Data Privacy Framework.
Privacy Policy PayPal.

8.6 — Pulsanti social

Sulla piattaforma trovi pulsanti che rimandano ai nostri profili social. Attenzione: anche se non ci clicchi sopra, le piattaforme social potrebbero comunque raccogliere alcuni dati sul traffico delle pagine dove questi pulsanti sono installati. Il trattamento che ne fanno segue le loro regole, non le nostre.

  • Instagram (Meta Platforms, Inc.) — dati trattati: cookie e dati di utilizzo. Sede: Irlanda. Privacy Policy Instagram.
  • Facebook (Meta Platforms, Inc.) — dati trattati: cookie e dati di utilizzo. Sede: Irlanda. Privacy Policy Facebook.

Per limitare il tracciamento da parte dei social puoi agire dal cookie banner del nostro sito, dalle impostazioni privacy del tuo account social, oppure bloccando i cookie di terze parti nel browser.

Articolo 9: Sistemi di protezione

Prendiamo la sicurezza dei tuoi dati molto seriamente. Adottiamo misure tecniche e organizzative adeguate al rischio, come richiesto dall'art. 32 del GDPR. In concreto, questo significa:

  • crittografia dei dati sia in transito sia a riposo;
  • autenticazione a due fattori (2FA) disponibile per il tuo account, tramite e-mail o app TOTP;
  • rotazione delle chiavi di sicurezza ogni 90 giorni, comprese quelle dei sistemi di pagamento;
  • controlli di accesso a più livelli con verifiche delle autorizzazioni lato backend;
  • gestione sicura delle sessioni: se cambi la password o cancelli l'account, tutte le sessioni attive vengono invalidate immediatamente;
  • backup periodici;
  • hosting su infrastruttura europea (data center di Francoforte) conforme agli standard di sicurezza del settore.

Articolo 10: Tutela dei minori

EsplorApp è pensata per utenti maggiorenni. Per creare un account devi avere almeno 18 anni. I minori possono partecipare alle esperienze outdoor solo se la prenotazione è fatta da un genitore, un tutore legale o un adulto con delega scritta.

Non raccogliamo consapevolmente dati da minori. Se scoprissimo di averlo fatto per errore, li cancelleremo subito non appena ne verremo a conoscenza o su segnalazione del genitore/tutore.

Come già detto nelle sezioni precedenti, i volti di eventuali minori presenti in foto o video delle esperienze vengono sempre oscurati prima di qualsiasi utilizzo.

Articolo 11: Cookie

Questo sito web utilizza cookie, piccoli frammenti di testo impiegati per diverse finalità. Possono essere di natura tecnica e, previo consenso ove richiesto, anche analitica, di marketing e di profilazione, sia di prima parte sia di terza parte. Questi possono essere:

  • necessari: utili al corretto funzionamento del sito web;
  • analitici: come quelli di marketing, profilazione e tracciamento;
  • di terze parti: appartenenti a soggetti terzi;
  • di profilazione.

Per saperne di più ti invitiamo a consultare la Cookie Policy.

Articolo 12: I tuoi diritti

Ecco un breve elenco di tutti i diritti che potrai esercitare mandando una e-mail all'indirizzo del titolare:

  • chiedere la conferma dell'esistenza o meno di propri dati personali;
  • ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
  • ottenere la rettifica e la cancellazione dei dati;
  • ottenere la limitazione del trattamento;
  • ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
  • opporti al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto;
  • opporti ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione;
  • chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • proporre reclamo a un'autorità di controllo.

Così come stabilito dagli articoli dal 15 al 22 del Regolamento UE n. 2016/679.

Privacy Policy aggiornata a maggio 2026.