Salta al contenuto
OperhiveTorna al sito

Informativa privacy

Ultimo aggiornamento: 11 aprile 2026

Questa informativa descrive come Operhive raccoglie, usa e protegge i dati personali ai sensi del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

1. Titolare del trattamento

Il titolare del trattamento è Operhive (di seguito "Operhive", "noi"), con sede legale in Italia.

I dati anagrafici completi (denominazione sociale, partita IVA, sede legale) vengono pubblicati al termine della fase pilota, contestualmente all'apertura commerciale. Durante la fase pilota il servizio è offerto da persona fisica operante come sviluppatore indipendente e sperimentatore, senza corrispettivo.

2. Dati personali trattati

Trattiamo le seguenti categorie di dati:

  • Dati di registrazione host: nome, cognome, email, numero di telefono, password (hashata con bcrypt).
  • Dati della struttura: nome, tipologia, indirizzo, numero di stanze, informazioni operative fornite durante l'onboarding.
  • Dati degli ospiti: nome, numero WhatsApp, date di soggiorno, contenuto delle conversazioni, richieste. Raccolti dalla struttura ricettiva per conto della quale operiamo (vedi §5).
  • Documenti di identità ospiti (solo per Alloggiati Web): tipo documento, numero, rilascio, dati anagrafici richiesti dall'art. 109 TULPS. Vedi §6.
  • Dati di pagamento: gestiti direttamente da Stripe, Operhive non memorizza i dati della carta.
  • Dati tecnici: indirizzo IP, user agent, log di autenticazione, eventi di sistema necessari al funzionamento del servizio.

Non raccogliamo dati appartenenti a categorie particolari (art. 9 GDPR) se non esplicitamente forniti dall'ospite e strettamente necessari (es. esigenze dietetiche, allergie). Non vendiamo né cediamo dati a terzi per finalità di marketing.

3. Finalità e basi giuridiche

  • Erogazione del servizio (art. 6.1.b — esecuzione di un contratto): gestione account, prenotazioni, comunicazioni ospite, pagamenti.
  • Valutazione richieste (art. 6.1.b): revisione manuale delle candidature durante la fase pilota.
  • Obblighi legali (art. 6.1.c): fatturazione, conservazione documenti fiscali, comunicazioni Alloggiati Web alle autorità di pubblica sicurezza ex art. 109 TULPS (vedi §6).
  • Legittimo interesse (art. 6.1.f): sicurezza della piattaforma, prevenzione frodi, miglioramento del servizio. L'interesse è stato bilanciato con i diritti degli interessati.
  • Consenso (art. 6.1.a): solo per comunicazioni facoltative (newsletter, sondaggi, marketing). Revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

4. Processo decisionale automatizzato e AI

Ai sensi dell'art. 13.2.f e art. 22 GDPR, ti informiamo che Operhive utilizza modelli di intelligenza artificiale (Large Language Models) per:

  • Generare risposte automatiche ai messaggi degli ospiti via WhatsApp (guest agent).
  • Fornire suggerimenti operativi all'host (host agent): pricing, gestione prenotazioni, report.
  • Analizzare contenuti multimediali inviati dall'ospite (foto tramite GPT Vision, audio tramite Whisper).
  • Suggerire prezzi dinamici in base a domanda di mercato e competitor (sempre soggetti ad approvazione manuale host).

Logica applicata: i modelli ricevono in input il messaggio dell'ospite, la cronologia recente della conversazione e informazioni sulla struttura; generano una risposta testuale basata su probabilità statistiche. Non vengono presi decisioni legali o con effetti significativi senza supervisione umana: approvazione/rifiuto prenotazione, cancellazioni, pagamenti e comunicazioni sensibili restano sotto controllo dell'host.

Conseguenze previste: la qualità della risposta dipende dai dati di addestramento del modello e può contenere errori. L'ospite ha diritto di richiedere in ogni momento l'intervento umano, esprimere la propria opinione, contestare la risposta scrivendo "parlare con umano" nella chat o contattando direttamente la struttura.

Provider AI: OpenAI (USA) con Zero Data Retention Policy attiva — i dati non vengono utilizzati per l'addestramento dei modelli.

5. Informativa per ospiti (art. 14 GDPR)

Quando un ospite scrive via WhatsApp a una struttura che utilizza Operhive, i suoi dati personali (numero di telefono, contenuto messaggio, foto e audio inviati) vengono elaborati dalla nostra piattaforma per conto della struttura ricettiva, che agisce come titolare del trattamento per il rapporto diretto con l'ospite. Operhive agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR.

Fonte dei dati: i dati sono raccolti direttamente dall'ospite tramite il canale WhatsApp della struttura o forniti dalla struttura stessa (es. prenotazioni sincronizzate da portali OTA come Booking.com).

Diritti dell'ospite: l'ospite può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR contattando direttamente la struttura oppure scrivendo a hello@operhive.com: instraderemo la richiesta al titolare competente entro 72 ore.

Categorie coinvolte: vedi §2 (dati ospiti, eventuali documenti di identità, conversazioni). I dati non vengono utilizzati per finalità diverse dall'erogazione del servizio di ospitalità.

6. Alloggiati Web (art. 109 TULPS)

Le strutture ricettive italiane sono obbligate per legge (art. 109 del R.D. 773/1931, Testo Unico delle Leggi di Pubblica Sicurezza) a comunicare entro 24 ore dal check-in i dati anagrafici degli ospiti al sistema Alloggiati Web gestito dalla Polizia di Stato.

  • Base giuridica: art. 6.1.c GDPR (obbligo legale) + art. 109 TULPS.
  • Dati trasmessi: tipo documento, numero, rilascio, cognome, nome, sesso, data e luogo di nascita, cittadinanza, luogo di residenza. Nessun altro dato viene condiviso con l'autorità.
  • Destinatario: Ministero dell'Interno — Dipartimento di Pubblica Sicurezza (alloggiatiweb.poliziadistato.it).
  • Conservazione: i dati vengono conservati per 5 anni in conformità alle linee guida della Polizia di Stato (circolare Ministero Interno). Sono archiviati separatamente dai dati operativi e soggetti a cifratura a riposo.
  • Diritti limitati: il diritto alla cancellazione (art. 17 GDPR) non è esercitabile per questi dati finché persiste l'obbligo legale di conservazione.

7. Responsabili del trattamento e sub-processori

Per erogare il servizio utilizziamo fornitori selezionati, ognuno nominato responsabile del trattamento ai sensi dell'art. 28 GDPR:

  • Supabase (database, storage, autenticazione) — dati conservati in regione EU (Francoforte).
  • OpenAI (elaborazione AI delle conversazioni) — i contenuti delle chat vengono inviati per generare risposte. OpenAI non li utilizza per allenare i modelli (zero data retention policy abilitata).
  • Langfuse (osservabilità AI) — tracciamento anonimo di latenza, costi e qualità delle risposte AI. Istanza self-hosted su infrastruttura Hetzner (EU).
  • Meta / WhatsApp Business (canale di messaggistica) — i messaggi transitano attraverso l'infrastruttura WhatsApp secondo i loro termini.
  • Resend (email transazionali) — invio di conferme, notifiche e recuperi password.
  • Stripe (pagamenti online) — elaborazione caparre e saldi secondo policy PCI-DSS Stripe.
  • Hetzner (infrastruttura server) — server fisici in Germania (EU).
  • Cloudflare R2 (backup offsite cifrati) — storage ridondato per disaster recovery, retention 30 giorni.

Qualsiasi cambiamento ai sub-processori verrà comunicato via email agli utenti attivi con almeno 30 giorni di preavviso.

8. Trasferimenti extra-UE

Alcuni sub-processori (es. OpenAI, Stripe) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914) e, dove applicabile, del EU-US Data Privacy Framework. Operhive ha sottoscritto Data Processing Agreement conformi al GDPR con tutti i sub-processori.

9. Conservazione dei dati

  • Account attivi: per tutta la durata del rapporto contrattuale.
  • Account chiusi: cancellazione entro 30 giorni dalla richiesta, salvo obblighi legali sottostanti.
  • Documenti fiscali e contabili: 10 anni (art. 2220 Codice Civile, D.P.R. 633/1972).
  • Dati Alloggiati Web: 5 anni (circolare Ministero dell'Interno).
  • Messaggi di chat: 12 mesi dal termine del soggiorno, poi anonimizzazione o cancellazione.
  • Log di sicurezza: 90 giorni.
  • Backup offsite: 30 giorni con rotazione. I backup contengono snapshot cifrati del database e delle conversazioni: la cancellazione di un dato avviene anche dai backup alla successiva rotazione.

10. I tuoi diritti

Ai sensi degli artt. 15-22 GDPR, hai diritto di:

  • Accedere ai tuoi dati e riceverne copia (art. 15)
  • Rettificare dati inesatti (art. 16)
  • Richiedere la cancellazione — diritto all'oblio (art. 17)
  • Limitare il trattamento (art. 18)
  • Ricevere i dati in formato portabile (art. 20)
  • Opporti al trattamento (art. 21)
  • Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (art. 22)
  • Revocare il consenso in qualsiasi momento (art. 7.3)

Per esercitare questi diritti scrivi a hello@operhive.com. Risponderemo entro 30 giorni. Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.

11. Minori (art. 8 GDPR)

Il servizio Operhive è rivolto esclusivamente a maggiorenni che gestiscono una struttura ricettiva. Non raccogliamo consapevolmente dati di minori come utenti registrati (host).

Gli ospiti minori possono tuttavia essere inclusi in una prenotazione effettuata dai genitori o da chi ne esercita la responsabilità genitoriale. In questo caso, il titolare del trattamento dei dati del minore è la struttura ricettiva, che raccoglie esclusivamente i dati strettamente necessari al soggiorno (nome, data di nascita, eventuali esigenze dietetiche e, se richiesto dall'art. 109 TULPS, documento di identità).

I dati dei minori non vengono utilizzati per profilazione, marketing o processi decisionali automatizzati. Se ritieni che Operhive tratti dati di un minore in modo non conforme, contattaci immediatamente a privacy@operhive.com: provvederemo alla cancellazione entro 72 ore, salvo obblighi legali sovrastanti.

12. Notifica di violazione dei dati (artt. 33-34 GDPR)

In caso di violazione dei dati personali (data breach) che comporti un rischio per i diritti e le libertà degli interessati, Operhive:

  • Notifica la violazione al Garante per la protezione dei dati personali entro 72 oredalla scoperta, ai sensi dell'art. 33 GDPR.
  • Comunica la violazione agli interessati coinvolti senza ingiustificato ritardo quando la violazione presenta un rischio elevato, ai sensi dell'art. 34 GDPR.
  • Mantiene un registro interno di tutte le violazioni, anche quelle non notificabili, ai sensi dell'art. 33.5 GDPR.

Se sei a conoscenza di una possibile violazione puoi segnalarcela scrivendo a security@operhive.com. Trattiamo ogni segnalazione con priorità e senza ritorsioni verso chi segnala in buona fede.

13. Sicurezza

Applichiamo misure tecniche e organizzative adeguate: cifratura in transito (TLS 1.3), cifratura a riposo, autenticazione multi-fattore per gli amministratori, row-level security sul database, backup crittografati offsite, audit di sicurezza periodici, security headers conformi OWASP (CSP, HSTS, X-Frame-Options).

14. Cookie e tecnologie simili

Utilizziamo esclusivamente cookie tecnici necessari al funzionamento della piattaforma (sessione di autenticazione, preferenze di interfaccia). Non utilizziamo cookie di profilazione, tracker pubblicitari o strumenti di analytics di terze parti. Non è richiesto consenso cookie ai sensi della direttiva ePrivacy.

15. Modifiche all'informativa

Potremmo aggiornare questa informativa per riflettere modifiche al servizio o alla normativa. Le versioni sostanziali verranno comunicate via email agli utenti attivi con almeno 15 giorni di preavviso.