Informativa sulla Privacy

Titolare del Trattamento: Cruvai S.r.l.

Ultimo aggiornamento: 02 Dicembre 2025

La tua privacy è importante per noi. Questo documento descrive come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali, in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa italiana sulla protezione dei dati.

Raccolta dei dati

Raccogliamo informazioni quando crei un account, utilizzi i nostri servizi, interagisci con il sito o comunichi con il nostro team di supporto. I dati vengono raccolti in modo trasparente e con il tuo consenso dove richiesto.

Dati che raccogliamo direttamente:

  • Dati identificativi: nome, cognome, indirizzo email, numero di telefono, data di nascita
  • Dati di contatto: indirizzo di residenza, città, paese, codice postale
  • Dati di account: username, password (criptata), preferenze di lingua, preferenze di comunicazione
  • Dati di viaggio: destinazioni di interesse, itinerari salvati, cronologia di ricerca, prenotazioni e acquisti effettuati
  • Dati di pagamento: informazioni relative a transazioni (ultimi 4 digit della carta, data di scadenza, tipo di carta) - non memorizziamo mai il numero completo della carta
  • Dati di comunicazione: messaggi, richieste di supporto, feedback e valutazioni

Dati raccolti automaticamente:

  • Dati di navigazione: pagine visitate, funzioni utilizzate, tempi di permanenza, movimenti del mouse/touch
  • Dati tecnici: indirizzo IP (anonimizzato), tipo di browser, sistema operativo, risoluzione dello schermo, lingua del dispositivo
  • Dati di geolocalizzazione: posizione approssimativa derivata da IP (non raccogliamo GPS in tempo reale senza consenso esplicito)
  • Dati di cookie e tracciamenti: identificatori di sessione, preferenze utente, identificatori pubblicitari
  • Dati di dispositivo: identificativi unici del dispositivo, informazioni hardware e software

📌 Nota importante: Non raccogliamo deliberatamente dati sensibili (origin etnico, opinioni politiche, convinzioni religiose, dati genetici, biometrici, di salute). Se fornisci tali dati, lo fai volontariamente e noi li tratteremo con il massimo livello di protezione, limitando l'accesso ai soli incaricati autorizzati.

Base legale del trattamento

Secondo l'Articolo 6 del GDPR, trattiamo i tuoi dati sulla base di una o più delle seguenti basi legali:

1. Consenso (Art. 6(1)(a) GDPR)

Raccogliamo il tuo consenso esplicito e informato prima di:

  • Inviare comunicazioni di marketing (newsletter, offerte, promozioni)
  • Utilizzare cookie non essenziali per analytics e personalizzazione
  • Condividere dati con partner commerciali per scopi di marketing
  • Raccogliere dati sensibili o di geolocalizzazione (su richiesta)

Ritiro del consenso: Puoi ritirare il tuo consenso in qualsiasi momento tramite il link "Gestisci consensi" nel footer del sito o contattando privacy@cruvai.com.

2. Esecuzione del contratto (Art. 6(1)(b) GDPR)

Trattiamo i tuoi dati come necessario per:

  • Creare e gestire il tuo account Cruvai
  • Elaborare le tue prenotazioni e acquisti di crociere
  • Fornire assistenza cliente e erogare i servizi richiesti
  • Inviare conferme di ordine, ricevute e informazioni sulla prenotazione
  • Gestire i pagamenti e la fatturazione

3. Obblighi legali (Art. 6(1)(c) GDPR)

Trattiamo i dati quando richiesto da leggi applicabili, incluso:

  • Normative anti-riciclaggio (AML) e Know Your Customer (KYC)
  • Obblighi fiscali e contabili (tracciamento transazioni)
  • Richieste di autorità pubbliche, giudici o forze dell'ordine
  • Disposizioni sulla sicurezza marittima e protezione consumatori

4. Interessi legittimi (Art. 6(1)(f) GDPR)

Trattiamo i dati per perseguire i nostri legittimi interessi, previo test di bilanciamento:

  • Sicurezza e prevenzione frodi: Individuare e prevenire attività fraudolente, abusi e violazioni dei termini di servizio
  • Miglioramento dei servizi: Analizzare l'uso della piattaforma e ottimizzare l'esperienza utente
  • Mantenimento della piattaforma: Monitoraggio delle prestazioni del sistema, correzione di errori, aggiornamenti di sicurezza
  • Comunicazioni amministrative: Notifiche relative ai termini di servizio, modifiche alla privacy policy, manutenzione programmata
  • Scopi di marketing legittimi: Inviare comunicazioni solo se non hai precedentemente rifiutato (opt-out) tramite il nostro form di contatto

Utilizzo dei dati

I tuoi dati vengono utilizzati per erogare, migliorare e personalizzare i servizi Cruvai. Non utilizziamo mai i dati per scopi incompatibili con quelli per cui sono stati raccolti, se non previa acquisizione del tuo nuovo consenso.

Finalità specifiche di utilizzo:

  • Erogazione dei servizi: Fornire accesso alla piattaforma, elaborare prenotazioni, inviare dettagli itinerari e conferme
  • Personalizzazione: Suggerire crociere e destinazioni in base ai tuoi interessi e cronologia di navigazione
  • Comunicazioni: Inviare newsletter (con consenso), aggiornamenti su prenotazioni, nuove feature e offerte esclusive
  • Analisi e miglioramento: Comprendere come usi il sito, identificare problemi tecnici, sviluppare nuove funzionalità
  • Sicurezza: Rilevare e prevenire attività fraudolenta, abusi, accessi non autorizzati e violazioni dei termini
  • Conformità legale: Adempiere obblighi normativi, rispondere a richieste legali e proteggere i diritti legali di Cruvai
  • Ricerche di mercato: Condurre survey e sondaggi per comprendere le tue preferenze (sempre con consenso)
  • Risoluzione controversie: Gestire reclami, disputazioni e procedure legali relative ai tuoi acquisti

Profilazione e processi decisionali automatizzati:

Utilizziamo profiling automatico limitato per:

  • Personalizzazione del contenuto: Algoritmi di machine learning suggeriscono destinazioni in base al profilo di comportamento
  • Rilevamento frodi: Sistemi automatizzati identificano transazioni anomale (non utilizziamo questo per decisioni che ti pregiudicano legalmente senza coinvolgimento umano)
  • Categorizzazione del cliente: Segmentazione per finalità di marketing (se hai fornito il consenso)

Nota: Qualsiasi decisione che ti pregiudica legalmente basata su profiling automatico (es. rifiuto di servizio) sarà sottoposta a revisione umana. Hai il diritto di contestarla contattando il nostro team.

Condivisione dei dati

Condividiamo i tuoi dati personali con terze parti solo quando necessario per erogare i servizi, rispettare obblighi legali o proteggere i diritti di Cruvai. Tutti i destinatari sono vincolati a obblighi di riservatezza.

Categorie di destinatari:

  • Fornitori di servizi tecnici: Hosting provider, piattaforme cloud (Amazon AWS, Google Cloud), provider di email, CDN per la distribuzione di contenuti
  • Fornitori di pagamenti: Gateway di pagamento (Stripe, PayPal), banche, società di gestione rischi e frodi
  • Partner di viaggio: Compagnie di crociera, agenzie partner per elaborazione prenotazioni (solo nome, email, numero prenotazione)
  • Fornitori di comunicazione: Servizi email marketing (Mailchimp, Brevo), SMS gateway, piattaforme di customer support
  • Fornitori di analytics: Google Analytics, Hotjar (con anonimizzazione dell'IP), Mixpanel (solo dati comportamentali aggregati)
  • Fornitori di marketing: Meta Pixel (Facebook), TikTok Pixel, LinkedIn Insight Tag (per re-targeting pubblicitario - solo con consenso)
  • Autorità legali: Forze dell'ordine, giudici, uffici tributari quando richiesto da ordine legale o mandato
  • Società di assicurazione e protezione: Per controversie, reclami o questioni di sicurezza dei viaggi

Accordi di riservatezza:

✓ Importante: Tutti i fornitori di servizi sono vincolati da Accordi di Trattamento dei Dati (Data Processing Agreements - DPA) secondo l'Articolo 28 del GDPR. Questo garantisce che:

  • Possono utilizzare i dati solo per scopi specificati
  • Devono implementare misure di sicurezza adeguate
  • Non possono cedere i dati a terze parti senza nostra autorizzazione
  • Devono subire controlli di conformità periodici

Condivisione non autorizzata:

Non venderemo mai i tuoi dati personali a broker di dati o aziende di marketing senza il tuo consenso esplicito. Useremo i dati solo per scopi dichiarati in questa informativa.

Trasferimenti internazionali:

Se i tuoi dati vengono trasferiti a Paesi terzi (es. USA per servizi cloud):

  • Paesi con decisione di adeguatezza: Giappone, Repubblica di Corea, Canada - trasferimento diretto
  • USA e altri Paesi: Utilizziamo Standard Contractual Clauses (SCC) approvate dalla Commissione Europea, conformi alla sentenza Schrems II
  • Protezione: Implementiamo misure di safeguarding supplementari (crittografia end-to-end, pseudonimizzazione) quando necessario

Potrai consultare le SCC e i transfer impact assessments contattando privacy@cruvai.com.

Conservazione dei dati

Conserviamo i tuoi dati personali solo per il tempo necessario a raggiungere le finalità per cui sono stati raccolti, o come richiesto dalla legge.

Periodi di conservazione:

  • Account utente: Conservato fintanto che l'account rimane attivo, successivamente anonimizzato o eliminato entro 12 mesi (salvo obblighi legali)
  • Dati di transazione: Conservati per 10 anni per conformità tributaria e anti-riciclaggio (o quanto richiesto dalla legge italiana)
  • Log di sicurezza: Conservati per 6 mesi per il monitoraggio di minacce e investigazioni di sicurezza
  • Comunicazioni di marketing: Conservate per la durata del rapporto o fino al ritiro del consenso, quindi eliminate
  • Cookie analytics: Conservati secondo il periodo di scadenza specifico (generalmente 2 anni)
  • Dati controversi: Conservati per la durata della controversia più 5 anni per scopi di prescrizione

⚖️ Principio di minimizzazione: Revisioni regolari (almeno annuali) garantiscono che i dati non necessari vengano cancellati secondo il principio di data minimization del GDPR.

Diritti dell'utente

Hai i seguenti diritti relativi ai tuoi dati personali, esercitabili gratuitamente secondo il Capo III del GDPR:

1. Diritto di accesso (Art. 15 GDPR)

Hai il diritto di ottenere una copia dei dati personali che abbiamo raccolto su di te, in un formato leggibile e facilmente trasportabile.

2. Diritto di rettifica (Art. 16 GDPR)

Hai il diritto di correggere dati inesatti o incompleti relative al tuo profilo (es. indirizzo, email, preferenze).

3. Diritto di cancellazione ("Diritto all'oblio") (Art. 17 GDPR)

Puoi richiedere la cancellazione dei tuoi dati, salvo:

  • Obblighi legali di conservazione (es. registri tributari per 10 anni)
  • Controversie in corso o reclami
  • Esigenze di sicurezza (es. indagini su frodi)

4. Diritto di limitazione del trattamento (Art. 18 GDPR)

Puoi richiedere di sospendere il trattamento dei dati (mentre ne verifichiamo l'esattezza o mentre contesti il trattamento).

5. Diritto alla portabilità (Art. 20 GDPR)

Hai il diritto di ricevere i tuoi dati in un formato strutturato, leggibile e trasportabile (es. CSV, JSON) per trasferirli a un'altra piattaforma.

6. Diritto di opposizione (Art. 21 GDPR)

Puoi opporti a:

  • Comunicazioni di marketing (newsletter, offerte)
  • Profiling per scopi commerciali
  • Trattamento basato su interessi legittimi (se hai motivi comprovati)

7. Diritto di non essere sottoposto a decisioni automatizzate (Art. 22 GDPR)

Hai il diritto di non essere sottoposto a decisioni basate esclusivamente su profiling automatico che producono effetti giuridici su di te (es. rifiuto automatico del servizio). Tali decisioni richiederanno revisione umana.

8. Diritto di reclamo (Art. 77 GDPR)

Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi presentare reclamo:

  • All'Autorità Garante per la Protezione dei Dati Personali: www.garanteprivacy.it (Italia)
  • All'autorità di controllo competente: Nel Paese dove risiedi, lavori o dove è avvenuta la presunta violazione

Come esercitare i tuoi diritti:

📧 Invia una richiesta a: privacy@cruvai.com

Includi nella richiesta:

  • Nome completo e indirizzo email
  • Descrizione del diritto che desideri esercitare
  • Una copia di un documento di identità (per verificare la tua identità)

Tempi di risposta: Risponderemo entro 30 giorni dalla ricezione della richiesta (eventualmente estendibili a 60/90 giorni per richieste complesse). Se la richiesta è manifesto infonda o eccessiva, potremmo rifiutare o addebitare una tassa ragionevole.

Sicurezza dei dati

Implementiamo misure di sicurezza tecniche e organizzative per proteggere i tuoi dati personali da accessi non autorizzati, perdite, alterazioni e abusi.

Misure di sicurezza implementate:

  • Crittografia: Trasmissione dati tramite HTTPS/TLS (certificato SSL) ; dati sensibili crittografati a riposo (AES-256)
  • Autenticazione: Password salted e hashed (bcrypt), autenticazione a due fattori (2FA) disponibile
  • Controllo di accesso: Limitazione dell'accesso ai soli incaricati autorizzati, con ruoli e permessi definiti
  • Audit e logging: Registrazione di accessi ai dati sensibili per investigazioni di sicurezza
  • Firewall e DDoS protection: Protezione da attacchi informatici e intrusioni
  • Backup e disaster recovery: Backup regolari (almeno settimanali) per prevenire perdita di dati
  • Monitoraggio continuo: Sistemi di rilevamento di anomalie e intrusioni 24/7
  • Privacy by design: Minimizzazione dati, pseudonimizzazione, anonimizzazione dove possibile

Notifica in caso di breach:

Se si verifica una violazione di dati personali che pone a rischio i tuoi diritti:

  • Ti notificheremo entro 72 ore dalla scoperta (come richiesto dall'Art. 33-34 GDPR)
  • Ti comunicheremo la natura del breach, i dati interessati, possibili conseguenze e misure di mitigazione
  • Avremo già notificato l'Autorità Garante (salvo quando il rischio è basso)

⚠️ Importante: Nessun sistema è 100% sicuro. Anche se implementiamo le migliori pratiche, non possiamo garantire assoluta sicurezza dai rischi cibernetici. Sei responsabile della custodia della tua password e dell'accesso al tuo account.

Contatti e informazioni di contatto

Per domande sulla privacy, richiedere di esercitare i tuoi diritti o segnalare violazioni, contattaci:

Informazioni di contatto

  • 📧 Email privacy: privacy@cruvai.com
  • 📞 Telefono: +39 081 123 4567
  • 🏢 Sede legale: Cruvai S.r.l., Via Caracciolo 11, 80122 Napoli (NA), Italia
  • 🆔 Codice Fiscale: [Inserire Codice Fiscale]
  • 📋 Partita IVA: [Inserire Partita IVA]
  • 📝 Registro Imprese: Napoli, n. [Inserire numero]

Responsabile della Protezione dei Dati (DPO)

In conformità all'Articolo 37 del GDPR, abbiamo designato un Responsabile della Protezione dei Dati:

  • 📧 Email DPO: dpo@cruvai.com
  • Ruolo: Supervisione della conformità GDPR, punto di contatto con l'Autorità Garante

Autorità competente di controllo

Autorità Garante per la Protezione dei Dati Personali (Italia):

Tempistiche di risposta

  • Richieste di accesso/portabilità: Entro 30 giorni (eventualmente 60-90 giorni per richieste complesse)
  • Richieste di cancellazione: Entro 30 giorni (salvo obblighi di conservazione legale)
  • Reclami informali: Risposta entro 7-10 giorni lavorativi
  • Notifiche di breach: Entro 72 ore dalla scoperta

Modifiche a questa informativa

Cruvai si riserva il diritto di aggiornare questa Informativa sulla Privacy per riflettere cambiamenti nelle nostre pratiche, evoluzione della normativa GDPR o per altri motivi organizzativi.

Notifica di modifiche:

  • Le modifiche saranno pubblicate su questa pagina con una nuova data di "Ultimo aggiornamento"
  • Se le modifiche sono sostanziali, ti notificheremo via email o tramite banner sul sito
  • L'uso continuato del sito dopo le modifiche implica l'accettazione della nuova informativa

Data ultimo aggiornamento: 02 Dicembre 2025

Data prossima revisione pianificata: 02 Dicembre 2026 (o quando richiesto da cambiamenti normativi)

Versione: 1.0 | Ultimo aggiornamento: 02 Dicembre 2025 | Lingua: Italiano

Questa informativa sulla privacy è conforme al Regolamento UE 2016/679 (GDPR) e al Codice della Privacy italiano (D.Lgs. 196/2003 come modificato).