Cookie Policy
Ultimo aggiornamento: 1 luglio 2026
Cookie e altri strumenti di tracciamento
La presente sezione descrive le tipologie di cookie e di altri strumenti di tracciamento (cookie pixel, web beacon, identificatori del dispositivo, localStorage) utilizzati sul Sito, in attuazione delle Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021 e dell'art. 122 del D.Lgs. 196/2003 come modificato.
Le categorie di cookie utilizzate dal Sito sono tre:
- Cookie tecnici (necessari): indispensabili al funzionamento del Sito o ai servizi richiesti dall'utente (sessione, autenticazione, preferenze interfaccia, sicurezza). Sono installati direttamente dal Titolare e non richiedono consenso preventivo ai sensi dell'art. 122 Cod. Privacy.
- Cookie di analisi/statistica: raccolgono informazioni in forma aggregata sull'utilizzo del Sito. Richiedono consenso preventivo dell'utente, salvo quelli assimilabili a tecnici secondo le Linee Guida del Garante del 10 giugno 2021 (IP anonimizzato, no incrocio con altri dati, no condivisione con terzi).
- Cookie di profilazione/marketing: creano profili sull'utente per mostrare pubblicità personalizzata e contenuti mirati. Richiedono consenso preventivo esplicito e granulare.
Banner consenso: al primo accesso al Sito viene mostrato un banner che consente di accettare, rifiutare o personalizzare l'uso di cookie analitici e di marketing, con tre azioni di pari evidenza grafica (Garante 2021 + EDPB Guidelines 03/2022). Il consenso ha durata 6 mesi: trascorso tale periodo il banner viene riproposto per ottenere un consenso aggiornato.
L'utente può modificare o revocare il consenso in qualsiasi momento, dalla sezione "Gestione del consenso" accessibile in ogni pagina del Sito o dalle impostazioni del proprio browser. Per dettagli su ciascun identificatore utilizzato si rinvia alla tabella nella sezione "Cookie tecnici e identificatori".
Cookie tecnici e identificatori di prima parte
Il Sito utilizza cookie e identificatori strettamente necessari per il suo funzionamento. Tali identificatori tecnici sono installati direttamente dal Titolare e non richiedono il consenso dell'interessato, in conformità all'art. 122 del D.Lgs. 196/2003 e alle Linee Guida del Garante del 10 giugno 2021.
Gli identificatori tecnici utilizzati sul Sito sono i seguenti:
| Nome | Tipo | Finalità | Durata |
|---|---|---|---|
session_id / PHPSESSID / connect.sid | cookie | Sessione applicativa: garantisce il funzionamento di base del Sito durante la navigazione | Sessione del browser |
locale / NEXT_LOCALE / i18n_redirected | cookie | Memorizza la lingua selezionata dall'utente | 1 anno |
cookie_consent / cookie-consent-* (con suffisso identificativo del Sito) | localStorage | Registra la scelta espressa dall'utente nel cookie banner (proof of consent) | 6 anni (Art. 7.1 GDPR) |
visitor_uid / *-visitor-uid | localStorage | Identificatore tecnico anonimo del browser (UUID generato lato client) per associare il consent record al visitatore — costituisce identificatore online ex art. 4(1) GDPR | Fino a cancellazione manuale (localStorage) |
csrf_token / __Host-csrf / _csrf | cookie | Protezione contro attacchi cross-site request forgery (sicurezza) | Sessione |
auth_token / next-auth.session-token (se utenti autenticati) | cookie | Mantenimento della sessione di autenticazione per gli utenti registrati | 30 giorni o sessione |
Replica server-side del consent record: la scelta espressa nel cookie banner (categorie accettate/rifiutate, identificatore tecnico anonimo del visitatore, timestamp e sorgente) viene trasmessa al Titolare attraverso la propria infrastruttura di compliance e conservata per 6 anni ai fini di assolvimento dell'onere della prova del consenso (Art. 7.1 GDPR). Il consent record server-side non contiene dati anagrafici diretti, solo l'identificatore tecnico anonimo del browser.
Nota: l'elenco sopra include gli identificatori tecnici tipicamente presenti; l'insieme effettivo dipende dalla configurazione tecnica del Sito al momento della visita. La presenza di identificatori aggiuntivi non elencati può essere verificata in qualsiasi momento dall'utente attraverso gli strumenti di sviluppo del browser (DevTools → Application → Cookies / Storage).
Per disabilitare gli identificatori tecnici è necessario intervenire direttamente sulle impostazioni del browser. La disabilitazione potrà compromettere il funzionamento del Sito.
Gestione del consenso e revoca
Al primo accesso al Sito viene mostrato un banner che consente di accettare, rifiutare o personalizzare l'utilizzo di cookie analitici e di profilazione. I cookie strettamente tecnici sono installati a prescindere dal consenso, in conformità all'art. 122 del D.Lgs. 196/2003 e alle Linee Guida del Garante del 10 giugno 2021.
L'interessato può modificare o revocare in qualsiasi momento il consenso prestato:
- cliccando sul link permanente "Modifica preferenze cookie" presente in ogni pagina del Sito;
- cancellando i cookie già installati dalle impostazioni del browser (la procedura varia in base al browser utilizzato).
La revoca del consenso non pregiudica la liceità dei trattamenti effettuati prima della revoca stessa.
Prova del consenso (art. 7.1 GDPR): al momento della scelta, una registrazione anonima del consenso viene conservata server-side per finalità di prova come richiesto dall'art. 7.1 GDPR. I dati conservati sono: identificatore casuale anonimo (UUID), categorie di cookie scelte, timestamp, hash crittografico dello user-agent, paese di provenienza (no indirizzo IP completo). Nessun dato personale identificativo viene salvato o comunicato a terzi. Conservazione: 6 anni dalla registrazione (prescrizione ordinaria art. 2946 c.c.).
Memorizzazione locale (localStorage e sessionStorage)
Il Sito utilizza tecnologie di memorizzazione lato browser (localStorage e sessionStorage) per migliorare l'esperienza utente e fornire le funzionalità richieste. Tali tecnologie sono assimilate ai cookie ai sensi dell'art. 122 del D.Lgs. 196/2003.
I dati salvati localmente comprendono tipicamente:
- Lingua selezionata dall'utente;
- Preferenze di layout e disposizione UI;
- Stato del consenso ai cookie selezionato dall'utente (replicato server-side per proof of consent — vedi sezione cookie tecnici);
- Dati di sessione applicativa (form parzialmente compilati, prenotazioni in corso);
- Token di autenticazione (per gli utenti registrati).
La maggior parte di questi dati resta sul dispositivo dell'utente e non viene trasmessa al Titolare. Le sole eccezioni — espressamente dichiarate — sono il consent record (replicato server-side per onere della prova ex art. 7.1 GDPR) e, ove attivata, la telemetria audit privacy-safe (vedi clausola dedicata).
I dati locali restano memorizzati fino a cancellazione manuale (impostazioni browser → Cancella dati di navigazione) o utilizzo del bottone "Elimina dati locali" presente, ove disponibile, nelle preferenze del Sito.
Google Tag Manager (GTM)
Fornitore: Google Ireland Ltd (Irlanda) — capogruppo Google LLC (USA).
Finalità: orchestrazione e caricamento condizionale di tag analytics, marketing e funzionali (es. GA4, Meta Pixel) sul Sito.
Dati trattati: il caricamento del container GTM trasmette ai server Google l'indirizzo IP dell'utente, lo user-agent e l'URL della pagina, anche prima dell'attivazione di tag specifici.
Conservazione: log Google Cloud secondo le policy del fornitore (tipicamente 14-30 giorni per i log di rete).
Trasferimento: i dati sono trasferiti negli Stati Uniti sulla base del Data Privacy Framework (DPF) UE-USA + Standard Contractual Clauses art. 46 GDPR.
Base giuridica: consenso esplicito preventivo dell'interessato ex art. 6.1.a GDPR e art. 122 del D.Lgs. 196/2003, raccolto tramite cookie banner prima del caricamento del container. La qualificazione come "trattamento tecnico esente da consenso" è stata superata dalle Linee Guida del Garante del 10 giugno 2021, che impongono consenso preventivo per qualsiasi identificatore non strettamente necessario al funzionamento del Sito.
Privacy policy del fornitore: business.safety.google/privacy
Google Analytics 4 (Google Ireland Limited)
Utilizziamo Google Analytics 4 per analizzare in forma aggregata l'utilizzo del sito, identificare aree di miglioramento e ottimizzare l'esperienza utente.
- Finalità: Analisi statistica del traffico e comportamento utenti
- Dati raccolti: Identificatori del dispositivo, indirizzo IP (mascherato lato Google, non memorizzato in chiaro per le proprietà GA4), pagine visitate, tempo di permanenza, interazioni, eventi personalizzati
- Base giuridica: Consenso ex art. 6.1.a GDPR + art. 122 Codice Privacy (cookie analitici non assimilabili a tecnici secondo Provv. Garante 9 giugno 2022)
- Conservazione: 14 mesi (impostazione property GA4)
- Configurazione: single domain, no cross-tracking; opzioni "Google Signals" e "Data Sharing > Modeling" DISATTIVATE per evitare commistione con finalità di profilazione pubblicitaria che richiederebbero base giuridica separata (Provv. Garante 9 giugno 2022).
- Trasferimento: USA (Google LLC) tramite Data Privacy Framework UE-USA + SCC art. 46 GDPR
- Privacy policy del fornitore: policies.google.com/privacy
Brevo SAS (ex Sendinblue)
Utilizziamo Brevo come provider per email transazionali (conferme, notifiche di servizio) e, previo consenso, per email marketing e newsletter. Brevo agisce come Responsabile del trattamento ex art. 28 GDPR.
- Finalità: Invio email transazionali e, con consenso, marketing
- Dati raccolti: Email, nome, eventi di apertura/click delle email inviate
- Base giuridica: Esecuzione contratto (transazionali, art. 6.1.b GDPR) + consenso esplicito per marketing (art. 6.1.a GDPR)
- Conservazione: Per la durata del rapporto e fino alla disiscrizione dell'utente; 10 anni dopo la disiscrizione, in forma minimizzata, esclusivamente come prova del consenso prestato ai sensi dell'art. 7.1 GDPR
- Trasferimento: Francia (Brevo SAS), server UE — nessun trasferimento Extra-UE
- Privacy policy del fornitore: brevo.com/legal/privacypolicy
Stripe
Fornitore: Stripe Payments Europe Ltd (Irlanda) — gruppo Stripe Inc. (USA).
Finalità: elaborazione pagamenti online, prevenzione frodi (Stripe Radar), tokenizzazione carte di credito. Strettamente necessario per i pagamenti.
Dati raccolti: identificatori cookie (__stripe_mid, __stripe_sid), token carta, importo, currency, indirizzo IP, fingerprint browser (anti-frode).
Conservazione: __stripe_mid 1 anno, __stripe_sid 30 minuti.
Trasferimento: Irlanda (UE) per il trattamento, USA per fraud detection sotto SCC art. 46 GDPR.
Base giuridica: esecuzione contratto ex art. 6.1.b GDPR (necessario per il pagamento, esente da consenso).
Privacy policy: stripe.com/privacy
PayPal
Fornitore: PayPal (Europe) S.à r.l. et Cie, S.C.A. (Lussemburgo) — gruppo PayPal Holdings Inc. (USA).
Finalità: elaborazione pagamenti online tramite account PayPal o carta di credito, prevenzione frodi. Strettamente necessario per i pagamenti.
Dati raccolti: identificatori cookie (x-pp-s, l7_az, ts, tsrce), dati transazione (importo, currency, ID ordine), indirizzo IP, dati account PayPal del pagatore, fingerprint dispositivo (anti-frode).
Conservazione: 10 anni per obblighi di legge antiriciclaggio (D.Lgs. 231/2007).
Trasferimento: Lussemburgo (UE) per il trattamento, USA per fraud detection sotto SCC art. 46 GDPR.
Base giuridica: esecuzione contratto ex art. 6.1.b GDPR (necessario per il pagamento, esente da consenso).
Privacy policy: paypal.com/it/legalhub/privacy-full
Sentry (Functional Software, Inc. — region dati UE)
Il Sito utilizza Sentry, strumento tecnico di monitoraggio degli errori applicativi, per individuare e correggere malfunzionamenti e garantire la stabilità e la sicurezza del servizio.
- Finalità: monitoraggio tecnico degli errori, diagnostica e sicurezza/stabilità del Sito (strumento essenziale, nessuna profilazione).
- Dati raccolti: dati tecnici dell'errore (tipo di browser e sistema operativo, pagina interessata, traccia tecnica dell'eccezione). Per impostazione predefinita non sono raccolti dati personali; gli eventuali indirizzi email presenti nei messaggi sono oscurati e non è attiva la registrazione delle sessioni (Session Replay).
- Base giuridica: legittimo interesse del Titolare alla sicurezza e al corretto funzionamento del Sito (art. 6, par. 1, lett. f, GDPR; cfr. Considerando 49). Non sono utilizzati cookie e non è richiesto il consenso.
- Conservazione: gli eventi di errore sono conservati per un periodo limitato secondo le impostazioni di Sentry (tipicamente 90 giorni), al termine del quale sono eliminati.
- Trasferimento: i dati sono ospitati su infrastruttura nell'Unione Europea (Francoforte, Germania). L'eventuale accesso da parte del fornitore, con sede negli Stati Uniti, è regolato da garanzie adeguate ai sensi dell'art. 46 GDPR (clausole contrattuali tipo / Data Privacy Framework; cfr. Considerando 113).
- Privacy policy del fornitore: sentry.io
Come gestire le preferenze
Puoi gestire le preferenze cookie in due modi:
- Dal banner Emerge: clicca su "Gestisci preferenze cookie" presente in fondo a ogni pagina per riaprire il pannello delle scelte.
- Dalle impostazioni del browser:
- Google Chrome: Impostazioni → Privacy e sicurezza → Cookie e altri dati dei siti
- Mozilla Firefox: Impostazioni → Privacy e sicurezza → Cookie e dati dei siti web
- Safari: Preferenze → Privacy → Cookie e dati dei siti web
- Microsoft Edge: Impostazioni → Privacy, ricerca e servizi → Cookie
Per newsletter ed email promozionali: clicca su "Annulla iscrizione" in fondo a ogni email. La revoca è immediata.
Nota: la disattivazione dei cookie tecnici di prima parte può impedire il corretto funzionamento del Sito (es. mantenimento della lingua, sessione carrello).
Strumenti di opt-out aggiuntivi per network pubblicitari:
- Inserzionisti EDAA: youronlinechoices.eu
- Google Ads: adssettings.google.com
- Meta (Facebook/Instagram): facebook.com/settings/ads
Contatti per domande sui cookie
Per qualsiasi domanda sull'uso dei cookie su questo sito:
- Email: info@palace.it
- Sede: Via Cavour 2/4, 39012 Merano (BZ), Italia
Per maggiori dettagli sui trattamenti dei dati raccolti via cookie consulta la Privacy Policy del sito.