onbordi

Privacy Policy

Come trattiamo i dati personali tuoi e dei tuoi ospiti. Ai sensi del Regolamento UE 679/2016 (GDPR).

Ultimo aggiornamento: 23 aprile 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite il sito onbordi.com e la piattaforma Onbordi è Nower Srls (Onbordi è un brand di Nower Srls), con sede legale in Via Bordighera 22, 20142 Milano, Italia, P.IVA IT11641930968, REA MI - 2616609, contattabile a privacy@onbordi.com.

Per i dati dei tuoi ospiti che processi tramite Onbordi (es. dati anagrafici per trasmissioni a ROSS 1000 e Alloggiati Web), tu sei titolare del trattamento e Onbordi è responsabile del trattamento. Vedi la sezione 9 per i dettagli.

2. Dati che raccogliamo

Quando visiti il sito

  • Indirizzo IP e metadati di navigazione (log server)
  • Preferenze cookie (vedi Cookie Policy)
  • Dati di performance e crash (anonimi, solo se hai consentito gli analytics)

Quando crei un account

  • Email, nome e cognome
  • Nome dell'organizzazione
  • Lingua e preferenze UI

Quando sottoscrivi un piano a pagamento

  • Dati di fatturazione (ragione sociale, P.IVA, indirizzo) gestiti da Stripe · noi non conserviamo numeri di carta di credito
  • Storico fatture e stato abbonamento

Quando usi il Servizio

  • Prenotazioni e relativi dati operativi
  • Dati degli ospiti (anagrafica, documenti) necessari per trasmissioni legali · ruolo di responsabile del trattamento
  • Log tecnici per sicurezza e debugging

3. Finalità e basi giuridiche

Esecuzione del contratto · art. 6.1.b GDPR

Registrazione, fornitura del Servizio, fatturazione, supporto tecnico.

Obblighi legali · art. 6.1.c GDPR

Conservazione dati contabili, adempimenti fiscali.

Legittimo interesse · art. 6.1.f GDPR

Sicurezza del sistema, prevenzione frodi, comunicazioni di servizio legate al tuo account.

Consenso · art. 6.1.a GDPR

Cookie non essenziali (preferenze, analytics) e comunicazioni di marketing. Revocabile in qualsiasi momento.

4. Come conserviamo i dati

I dati sono cifrati at-rest (Postgres con crittografia a livello di colonna per campi sensibili) e in-transit (TLS 1.3). I server sono localizzati in UE (Irlanda, via AWS/Supabase). I backup sono incrementali cifrati e conservati per 30 giorni.

I documenti d'identità caricati al check-in sono archiviati in storage privato con URL firmati a tempo limitato · nessun accesso pubblico al file.

5. Quanto conserviamo i dati

  • Account attivi · conserviamo i dati finché l'account esiste
  • Account chiusi · grace period di 30 giorni per riattivazione, poi cancellazione definitiva entro 90 giorni
  • Dati fiscali e contabili · 10 anni come previsto dalla normativa italiana
  • Dati di navigazione anonimizzati (analytics) · max 26 mesi
  • Log di sicurezza · 12 mesi

6. Con chi condividiamo i dati

Condividiamo dati solo con fornitori essenziali al funzionamento del Servizio (responsabili del trattamento ex art. 28 GDPR):

  • Supabase (server EU) · database, autenticazione, storage file
  • Vercel (server EU) · hosting applicativo
  • Stripe · pagamenti e fatturazione (sede UE · Irlanda)
  • Resend · invio email transazionali (sede UE)
  • Autorità italiane · ROSS 1000 (Regione competente) e Alloggiati Web (Polizia di Stato) per trasmissioni obbligatorie

Non vendiamo né affittiamo dati personali a terzi. Non utilizziamo i dati per profilazione pubblicitaria di terze parti.

7. Trasferimenti extra-UE

I nostri fornitori principali hanno server nell'Unione Europea. Nel caso in cui un sub-fornitore operasse fuori dall'UE, adottiamo Standard Contractual Clauses approvate dalla Commissione Europea come base legale del trasferimento.

8. I tuoi diritti

Ai sensi del GDPR hai diritto di:

  • Accedere ai tuoi dati personali (art. 15)
  • Rettificarli se inesatti (art. 16)
  • Ottenerne la cancellazione (art. 17)
  • Limitarne il trattamento (art. 18)
  • Ricevere i tuoi dati in formato portabile (art. 20)
  • Opporti al trattamento basato su legittimo interesse (art. 21)
  • Revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità precedente
  • Presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it)

Per esercitare i tuoi diritti scrivi a privacy@onbordi.com. Rispondiamo entro 30 giorni.

9. Ruolo di Onbordi come responsabile del trattamento

Rispetto ai dati dei tuoi ospiti, Onbordi agisce come responsabile del trattamento (Data Processor) ai sensi dell'art. 28 GDPR. I termini di questo rapporto sono descritti nel Data Processing Agreement (DPA) disponibile su richiesta a privacy@onbordi.com.

Sei responsabile di raccogliere il consenso dei tuoi ospiti e di fornire loro un'informativa privacy conforme. Il portale di check-in di Onbordi mostra un'informativa privacy di base, ma la configurazione specifica per la tua struttura resta in capo a te.

10. Cookie

Per il dettaglio sui cookie utilizzati vedi la Cookie Policy. Puoi gestire le tue preferenze in qualsiasi momento dal link «Preferenze cookie» presente nel footer.

11. Minori

Il Servizio non è rivolto a minori di 18 anni. Non raccogliamo intenzionalmente dati di minori. Se vieni a conoscenza che un minore ci ha fornito dati personali, contattaci e procederemo all'eliminazione.

12. Modifiche a questa informativa

Possiamo aggiornare questa policy per riflettere cambiamenti legali o di prodotto. Le modifiche rilevanti saranno comunicate via email. La data di ultimo aggiornamento è indicata in cima a questa pagina.