Política de privacidad

Versión 1.0 — En vigor a partir del 26/04/2026

PREÁMBULO

La presente Política de Privacidad (en adelante la "Política de Privacidad" o la "Política") describe de manera transparente las modalidades con las que Inmedia S.r.l. (en adelante "Stravagando" o la "Plataforma"), responsable del tratamiento y operador de la plataforma digital Stravagando accesible en la dirección principal stravagando.com y subdominios asociados, en la aplicación móvil para iOS y Android (en adelante la "App") y en los canales de asistencia, marketing y comunicación asociados, recopila, utiliza, conserva, comunica y transfiere los datos personales de los Interesados, en cumplimiento de:

• (a) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante "RGPD");

• (b) el Decreto Legislativo italiano de 30 de junio de 2003 n.º 196 ("Código italiano de protección de datos"), tal como modificado por el Decreto Legislativo italiano de 10 de agosto de 2018 n.º 101;

• (c) las Directrices de la Autoridad italiana de protección de datos personales (en adelante el "Garante") y las decisiones del Comité Europeo de Protección de Datos (CEPD);

• (d) la Directiva 2002/58/CE (Directiva ePrivacy) en su versión modificada, para los aspectos de marketing directo e Instrumentos de Rastreo;

• (e) para los residentes en los Estados Unidos de América, las regulaciones estatales aplicables, incluidos el California Consumer Privacy Act (CCPA) en su versión modificada por el California Privacy Rights Act (CPRA), el Virginia Consumer Data Protection Act (VCDPA), el Colorado Privacy Act (CPA), el Connecticut Data Privacy Act (CTDPA), el Utah Consumer Privacy Act (UCPA) y las regulaciones estatales posteriores en vigor;

• (f) para el tratamiento de datos con aspectos de naturaleza fiscal o vinculados al procesamiento de pagos, las regulaciones sectoriales aplicables, incluidos el Decreto Legislativo italiano de 1 de marzo de 2023 n.º 32 (DAC7), el Decreto Legislativo italiano de 21 de noviembre de 2007 n.º 231 (prevención del blanqueo de capitales), el Decreto del Presidente de la República italiana 600/1973 (establecimiento de los impuestos sobre la renta) y el D.P.R. italiano 633/1972 (IVA);

• (g) el Reglamento (UE) 2022/2065 (Digital Services Act, "DSA") y el Reglamento (UE) 2019/1150 (Platform-to-Business, "P2B") para los aspectos de transparencia en los servicios digitales y en las relaciones con los usuarios profesionales;

• (h) el Reglamento (UE) 2024/1689 (Artificial Intelligence Act, "AI Act") para los aspectos de transparencia de los sistemas de inteligencia artificial utilizados para la moderación automática de los contenidos generados por los Usuarios y para el cálculo del Trust Score;

• (i) la Directiva (UE) 2022/2555 (NIS2), para los aspectos de seguridad de la información.

La presente Política de Privacidad constituye la información general conforme a los artículos 13 y 14 del RGPD y se complementa, para aspectos específicos, con la Política de Cookies de la Plataforma — a la que se remite para el detalle de los Instrumentos de Rastreo —, las Condiciones Generales de Uso (con particular referencia a las Secciones 5, 6, 7, 8, 8-bis, 9, 11, 12, 12-bis, 16 y 16.1), las Condiciones Generales de Venta para los aspectos relativos al marketplace de Experiencias de pago, las Condiciones del Anfitrión, las Condiciones del Programa de Referidos, las Especificaciones Técnicas del Servicio para los parámetros operativos del tratamiento, así como las políticas de privacidad específicas eventualmente proporcionadas en el momento de la recopilación de datos personales para finalidades adicionales (p. ej., participación en concursos, encuestas, programas piloto, accesos beta).

En caso de divergencia entre la presente Política de Privacidad y otras políticas de privacidad específicas proporcionadas al Interesado para tratamientos individuales, prevalecerán las disposiciones de la política específica más reciente — para el tratamiento específico de referencia; quedan firmes las disposiciones de la presente Política para todo lo no regulado específicamente.

ART. 1 — DEFINICIONES

A los efectos de la presente Política de Privacidad, los siguientes términos tienen el significado que se indica a continuación. Las definiciones se integran con las previstas en las Condiciones Generales de Uso, en las Condiciones Generales de Venta, en las Condiciones del Anfitrión, en las Condiciones del Programa de Referidos y en la Política de Cookies de la Plataforma.

1.1 "Datos Personales": cualquier información relativa a una persona física identificada o identificable, en los términos del art. 4, apartado 1, n.º 1) del RGPD. Esto incluye, a título de ejemplo: nombre, apellido, dirección, fecha de nacimiento, código fiscal, número de IVA, dirección de correo electrónico, número de teléfono, dirección IP, identificadores únicos, datos de transacción, contenidos de las comunicaciones, coordenadas geográficas, Contenidos UGC.

1.2 "Tratamiento": cualquier operación o conjunto de operaciones, realizadas con o sin la ayuda de procesos automatizados, aplicadas a Datos Personales, en los términos del art. 4, apartado 1, n.º 2) del RGPD. Esto incluye la recopilación, el registro, la organización, la estructuración, la conservación, la adaptación, la modificación, la extracción, la consulta, el uso, la comunicación por transmisión, la difusión, el cotejo, la interconexión, la limitación, el borrado y la destrucción.

1.3 "Responsable del Tratamiento" o "Responsable": la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de Datos Personales, en los términos del art. 4, apartado 1, n.º 7) del RGPD. Para los tratamientos descritos en la presente Política, el Responsable del Tratamiento es Inmedia S.r.l., salvo indicación contraria.

1.4 "Encargado del Tratamiento": la persona física o jurídica que trata Datos Personales por cuenta del Responsable del Tratamiento en los términos del art. 28 del RGPD, sobre la base de un contrato u otro acto jurídico vinculante.

1.5 "Interesado": la persona física identificada o identificable a la que se refieren los Datos Personales. A los efectos de la presente Política, el Interesado corresponde típicamente al Usuario de la Plataforma en una de las calificaciones definidas a continuación.

1.6 "Usuario": cualquier sujeto que accede o utiliza la Plataforma. El Usuario puede ostentar una o más de las siguientes calificaciones, incluso de manera acumulativa en el mismo período, en los términos de la Sección 3-bis de las Condiciones Generales de Uso:

• (a) Visitante no registrado — cualquier persona que accede a la Plataforma sin haberse registrado, incluidos los destinatarios del servicio de asistencia previa al registro ("Guest Help", véase la Sección 17-ter de las Condiciones Generales de Uso);

• (b) Usuario social — persona física registrada en la Plataforma para las funcionalidades no transaccionales (Perfil, Social/Comunidad, Gamificación, exploración del catálogo de Lugares, publicación de Contenidos UGC), en los términos de las Condiciones Generales de Uso. Constituye el régimen base aplicable a cualquier Usuario registrado;

• (c) Cliente o Guest — el Usuario que, además de la calificación de Usuario social, busca, reserva o disfruta de las Experiencias de pago propuestas a través del marketplace integrado, en los términos de las Condiciones Generales de Venta;

• (d) Anfitrión — el Usuario, persona física o entidad jurídica, que publica y propone Experiencias de pago en el marketplace integrado, en los términos de las Condiciones del Anfitrión;

• (e) Promotor (o Referrer) — el Usuario que se adhiere al Programa de Referidos promocionando la Plataforma y recibiendo las ventajas asociadas, en los términos de las Condiciones del Programa de Referidos.

La asunción de una calificación especial (Cliente, Anfitrión, Promotor) no implica la pérdida de la calificación base de Usuario social, sino que comporta la aplicación acumulativa de los tratamientos previstos para las finalidades adicionales. La presente Política describe los tratamientos aplicables a cada calificación en las secciones dedicadas.

1.7 "Experiencia": la actividad experiencial de pago propuesta por el Anfitrión a los Clientes a través del marketplace integrado de la Plataforma, conforme a las definiciones de las Condiciones Generales de Venta.

1.8 "Lugar" o "POI" (Point of Interest): localidad o entidad geográfica individual catalogada en el catálogo de Lugares de la Plataforma (denominación técnica interna: Atlas), identificada por coordenadas geográficas, atributos descriptivos (nombre, categoría, dirección) y categorización temática. Los Lugares pueden incluir aldeas, senderos, castillos, restaurantes, monumentos naturales y otros puntos de interés, sobre los que pueden aplicarse Contenidos UGC como check-ins, reseñas y publicaciones publicadas en el Muro del Lugar.

1.9 "Check-in": el registro geolocalizado efectuado por el Usuario en proximidad de un Lugar presente en el catálogo, validado del lado del servidor mediante cálculo de la distancia respecto a las coordenadas del POI. El check-in constituye la modalidad principal de acumulación de XP en el Sistema de Gamificación y puede asociarse a una Etiqueta UGC en los términos de la siguiente definición 1.13.

1.10 "Contenidos Generados por los Usuarios" o "UGC" (User-Generated Content): cualquier contenido publicado por el Usuario en la Plataforma, que incluye, a título de ejemplo, fotografías, reseñas con puntuación, publicaciones-narración publicadas en el Muro de un Lugar, propuestas de nuevos Lugares, sugerencias de modificación a Lugares existentes, comentarios, listas personales (Cuadernos), etiquetas, likes, check-ins y mensajes directos intercambiados a través del sistema de mensajería integrado.

1.11 "Muro": la interfaz de visualización de los Contenidos UGC en la Plataforma, declinada en dos formas:

• (a) Feed personal (ruta /{locale}/feed) — la agregación personalizada de los Contenidos relevantes para el Usuario, incluidos los Contenidos que lo mencionan a través de Etiquetas UGC;

• (b) Muro de un Lugar — el espacio público asociado a cada POI en el que los Usuarios pueden publicar publicaciones-narración y otros Contenidos contextuales al Lugar.

1.12 "Sistema de Gamificación": el sistema lúdico de la Plataforma que incluye XP (puntos de experiencia), Niveles, Logros (denominación técnica interna: Achievement), Streaks (rachas consecutivas de actividades), Level Perks (ventajas asociadas a la consecución de Niveles) y Year Review (resumen periódico de actividad). Los elementos del Sistema de Gamificación tienen naturaleza exclusivamente simbólica y lúdica y no constituyen moneda virtual ni bien convertible en dinero, en los términos de la Sección 9.1 de las Condiciones Generales de Uso.

1.13 "Etiqueta UGC": la asociación, en el interior de un Contenido publicado por un Usuario, de la referencia a otro Usuario registrado. La Etiqueta UGC es aplicable dentro de los límites y según las reglas de la Sección 8-bis de las Condiciones Generales de Uso y, para el caso específico del companion tagging en los check-ins, de la Sección 8.

1.14 "Trust Score": el indicador técnico numérico (entre 0 y 100) calculado automáticamente sobre la base de la coherencia técnica de los check-ins de un Usuario, descrito en la Sección 11 de las Condiciones Generales de Uso. El Trust Score incide en la atribución de XP por check-ins, en la aprobación automática de las reseñas y en el acceso a funcionalidades reservadas.

1.15 "Moderación automática": el tratamiento de análisis preventivo de los Contenidos UGC efectuado mediante sistemas de inteligencia artificial de Terceros, que incluye en particular un modelo lingüístico para la clasificación textual y un servicio de análisis de imágenes, descrito en la Sección 12 de las Condiciones Generales de Uso y en cumplimiento del Reglamento (UE) 2024/1689 (AI Act).

1.16 "Categorías particulares de Datos Personales" o "Datos Sensibles": los Datos Personales a los que se refiere el art. 9, apartado 1 del RGPD — es decir, aquellos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia sindical, los datos genéticos, biométricos, relativos a la salud, a la vida sexual o a la orientación sexual. La Plataforma normalmente no solicita la aportación de Datos Sensibles a los Usuarios; si un Usuario aporta voluntariamente Datos Sensibles (p. ej., mencionando en comunicaciones con el Anfitrión una condición de salud relevante para el disfrute de la Experiencia, o publicando un Contenido UGC que los revele), su tratamiento se realiza sobre la base del consentimiento explícito en los términos del art. 9, apartado 2, letra a) del RGPD o, cuando aplicable, sobre la base del art. 9, apartado 2, letra f) del RGPD (ejercicio o defensa de un derecho en juicio).

1.17 "Datos Penales": los Datos Personales relativos a condenas e infracciones penales o a medidas de seguridad conexas en los términos del art. 10 del RGPD. La Plataforma puede tratar dichos datos exclusivamente en los supuestos previstos por la ley, en particular en aplicación de las medidas de prevención del blanqueo de capitales, antifraude y de sanciones internacionales.

1.18 "Instrumentos de Rastreo": cookies y otras tecnologías análogas para el rastreo del Usuario, como se definen en la Política de Cookies de la Plataforma a la que se remite íntegramente.

1.19 "Stripe Connect": la infraestructura de pago suministrada por Stripe Payments Europe Ltd, utilizada por la Plataforma para el cobro de los pagos de los Clientes, la ejecución de las transferencias a los Anfitriones y de los Cashouts a los Promotores.

1.20 "KYC" (Know Your Customer): el conjunto de los procedimientos de verificación de la identidad de los Usuarios, conducidos directamente por Stravagando o a través de proveedores especializados como Stripe Identity, con finalidades de seguridad, antifraude, prevención del blanqueo de capitales y cumplimiento de la normativa fiscal.

1.21 "DAC7": la Directiva (UE) 2021/514, transpuesta en Italia por el Decreto Legislativo italiano de 1 de marzo de 2023 n.º 32, que impone a los operadores de plataformas digitales la recopilación, verificación y comunicación a la Agencia Tributaria italiana de los datos relativos a los sujetos que ejercen "Actividades Relevantes" a través de la Plataforma.

1.22 "UIF": la Unidad de Información Financiera instituida en el Banco de Italia conforme al art. 6 del Decreto Legislativo italiano 231/2007, destinataria de los informes de operaciones sospechosas con finalidades de prevención del blanqueo de capitales.

1.23 "Garante": la Autoridad italiana de protección de datos personales, autoridad de control italiana en los términos del RGPD, con sede en Roma, Piazza Venezia n.º 11.

1.24 "EEE": el Espacio Económico Europeo, que comprende los Estados miembros de la Unión Europea, Islandia, Liechtenstein y Noruega.

1.25 "Transferencia fuera del EEE": la transferencia de Datos Personales a destinatarios establecidos en Países que no forman parte del Espacio Económico Europeo, sujeta a las garantías del Capítulo V del RGPD.

1.26 "Violación de Datos" (Data Breach): toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, en los términos del art. 4, apartado 1, n.º 12) del RGPD.

1.27 "DSA": el Reglamento (UE) 2022/2065 (Digital Services Act), que regula los servicios digitales en el mercado único europeo.

1.28 "AI Act": el Reglamento (UE) 2024/1689, que establece normas armonizadas en materia de inteligencia artificial.

1.29 "P2B": el Reglamento (UE) 2019/1150 (Platform-to-Business Regulation), que promueve la equidad y la transparencia para los usuarios profesionales de los servicios de intermediación en línea.

1.30 "Legal Hold": la prórroga, en derogación de los plazos ordinarios de conservación, de la conservación de Datos Personales o Contenidos específicos para necesidades de ley, de tutela en juicio, de cumplimiento de obligaciones imperativas o de investigación por parte de las Autoridades competentes, en los términos del art. 9-bis de la presente Política y de la Sección 16.1 de las Condiciones Generales de Uso.

1.31 "DPD" (Delegado de Protección de Datos, también DPO — Data Protection Officer): la persona encargada de velar por el cumplimiento del RGPD en los términos de los arts. 37-39 del RGPD. El DPD, cuando esté nombrado, puede ser contactado en la dirección legal@stravagando.com.

ART. 2 — RESPONSABLE DEL TRATAMIENTO Y DPD

2.A — Responsable del tratamiento

2.1 Identificación. El Responsable del tratamiento de los Datos Personales recopilados a través de la Plataforma es:

Inmedia S.r.l. Sede social: Via L'Aquila, 22, 65122 Pescara (PE), Italia Código Fiscal / N.º de IVA: 02017520681 Correo electrónico general de asistencia: support@stravagando.com Correo electrónico para solicitudes en materia de privacidad: legal@stravagando.com PEC (correo electrónico certificado): inmediasrl@pec.it

2.2 Identidad comercial. La Plataforma es conocida comercialmente bajo la marca "Stravagando" y sus declinaciones gráficas, propiedad exclusiva de Inmedia S.r.l.

2.B — Delegado de Protección de Datos (DPD)

2.3 DPD. Cuando la designación sea obligatoria conforme al art. 37 del RGPD o cuando Inmedia S.r.l. la prevea de forma voluntaria, el Delegado de Protección de Datos (DPD / DPO — Data Protection Officer) podrá ser contactado en la dirección:

legal@stravagando.com (asunto: "DPO")

Inmedia S.r.l. se reserva la facultad de instituir en el futuro una dirección de correo electrónico dedicada (a título de ejemplo: dpo@stravagando.com), que será comunicada a los Interesados mediante actualización de la presente Política conforme al Art. 14. Las solicitudes dirigidas al DPD se gestionan según el principio de confidencialidad ex art. 38, apartado 5 del RGPD.

2.C — Representante UE (para sujetos fuera del EEE)

2.4 Representante UE. Para los Interesados residentes en el Espacio Económico Europeo, Inmedia S.r.l. está ella misma establecida en la Unión Europea (Italia) y, por tanto, no necesita designar un Representante UE conforme al art. 27 del RGPD.

2.D — Corresponsables y Responsables autónomos

2.5 Corresponsables. Para algunos tratamientos específicos, Inmedia S.r.l. puede actuar en calidad de Corresponsable conjuntamente con otros Responsables, en los términos del art. 26 del RGPD. En esos casos, la configuración específica de las respectivas obligaciones es objeto de un acuerdo formal entre los Corresponsables, cuyo contenido sintético se pone a disposición de los Interesados que lo soliciten en legal@stravagando.com. Las configuraciones típicas de Corresponsabilidad incluyen — a título de ejemplo — el uso de Meta Business Tools (Facebook Pixel, Custom Audiences) con finalidades de marketing conjuntas entre Inmedia S.r.l. y Meta Platforms Ireland Limited.

2.6 Responsables autónomos. Numerosos Terceros que reciben Datos Personales en el contexto de la Plataforma actúan en calidad de Responsables autónomos del tratamiento para las finalidades determinadas por ellos mismos, en particular: (a) Stripe Payments Europe Ltd, para los pagos y los servicios financieros; (b) las Autoridades judiciales, fiscales, administrativas y de control nacionales y extranjeras; (c) las entidades bancarias para la ejecución de los pagos; (d) los Anfitriones y los Clientes para la comunicación y ejecución de las Experiencias reservadas, cada uno dentro de los límites del propio rol; (e) los demás Usuarios de la comunidad social para el disfrute de los Contenidos UGC publicados con visibilidad pública o extendida a la red de seguimiento recíproco. La presente Política describe los tratamientos efectuados por Inmedia S.r.l. en calidad de Responsable; para los tratamientos efectuados por los Terceros en calidad de Responsables autónomos, se remite a sus respectivas políticas de privacidad.

ART. 3 — CATEGORÍAS DE DATOS PERSONALES TRATADOS

Inmedia S.r.l. trata diferentes categorías de Datos Personales según la relación con el Interesado y las funcionalidades de la Plataforma utilizadas. Las categorías enumeradas a continuación se detallan por tipo de Usuario (Visitante, Usuario social, Cliente, Anfitrión, Promotor); el tratamiento de cada categoría se efectúa para las finalidades y sobre las bases jurídicas descritas en el siguiente Art. 4.

3.A — Datos de registro y de Perfil

3.1 Visitantes no registrados. Para los Visitantes no registrados, Inmedia S.r.l. no recopila datos de registro. Se recopilan automáticamente los Datos de Uso descritos en el siguiente apartado 3.K. En caso de que el Visitante contacte la asistencia previa al registro ("Guest Help" en los términos de la Sección 17-ter de las Condiciones Generales de Uso), se recopilan la dirección de correo electrónico proporcionada, el contenido de la solicitud y los metadatos del token de acceso temporal emitido por el sistema.

3.2 Usuarios sociales y Clientes registrados. Para los Usuarios registrados a las funcionalidades no transaccionales (social, gamificación, exploración, UGC) — que constituyen el régimen base aplicable a cualquier Usuario registrado — y para los Clientes que acceden al marketplace integrado, se recopilan, en la creación de la cuenta y en la posterior actualización:

• (a) datos identificativos mínimos: nombre, apellido;

• (b) datos de contacto: dirección de correo electrónico (verificada mediante mensaje de confirmación con enlace de verificación, según las modalidades descritas en la Sección 4.1 de las Condiciones Generales de Uso), número de teléfono móvil cuando sea requerido para funcionalidades específicas (con verificación mediante SMS OTP), dirección postal cuando sea proporcionada para Experiencias reservadas en el marketplace;

• (c) credenciales de acceso: contraseña (almacenada en forma hasheada con algoritmos criptográficos seguros como bcrypt o Argon2; en ningún caso conservada en claro), eventuales tokens de autenticación de dos factores (2FA) basados en TOTP y códigos de recuperación, eventuales identificadores únicos recibidos de los proveedores de autenticación federada (SSO Google, Meta/Facebook);

• (d) fecha de nacimiento, cuando la Plataforma prevea su recopilación en aplicación de las obligaciones de verificación de la edad conforme al art. 28 del DSA o con finalidades de participación en Experiencias con restricciones de edad; en su defecto, el Usuario confirma en el registro que posee la edad mínima de acceso prevista por la Sección 3 de las Condiciones Generales de Uso (14 años para los residentes en Italia, en aplicación del art. 8 del RGPD y del art. 2-quinquies del Código italiano de protección de datos);

• (e) preferencias: idioma de interfaz, divisa, ciudades de destino preferidas, categorías de Experiencias de interés, preferencias de marketing, accesibilidad, huso horario;

• (f) datos de Perfil público: username (generado automáticamente por el sistema en el momento del registro sobre la base de los datos proporcionados, conforme a lo dispuesto en la Sección 4 de las Condiciones Generales de Uso; la modificación posterior se hará eventualmente disponible como funcionalidad en evolución, véase la Sección 29 de las Condiciones Generales de Uso), imagen de perfil (facultativa), bio breve (facultativa);

• (g) ajustes de visibilidad y privacidad del Perfil, gestionados de forma autónoma por el Interesado desde la página de privacidad de la cuenta (ruta account.privacy), como previsto en la Sección 5 de las Condiciones Generales de Uso. Los ajustes — independientes entre sí — incluyen en particular:

  • (i) visibilidad del Perfil (profile_visibility, valor predeterminado: privado);

  • (ii) indexación del Perfil en motores de búsqueda externos (allow_search_indexing, valor predeterminado: desactivada; opera conjuntamente con el Perfil público y la consecución de un umbral mínimo de actividad);

  • (iii) visibilidad en clasificaciones públicas (show_in_leaderboards, valor predeterminado: activada);

  • (iv) consentimiento a la Etiqueta UGC (allow_ugc_tagging, valor predeterminado: activado).

• (h) dirección IP y user-agent del navegador, conservados en las sesiones y en los principales eventos (a título de ejemplo: inicio de sesión, check-in) con finalidades de seguridad, auditoría y detección de abusos, en los términos de la Sección 4.4 de las Condiciones Generales de Uso.

3.3 Anfitriones. Para los Anfitriones registrados en el marketplace integrado, se recopilan, además de los datos del apartado 3.2 cuando sean aplicables:

• (a) datos identificativos y fiscales ampliados: nombre y apellido o razón social, denominación social, sede legal, número de inscripción en el Registro de Empresas, código fiscal, número de IVA con indicación del régimen fiscal de adhesión (ordinario, simplificado, forfettario, régimen especial agriturismo o B&B), eventual código REA, indicación de la calidad de consumidor o empresa;

• (b) datos del beneficiario efectivo conforme al Decreto Legislativo italiano 231/2007 para las entidades jurídicas;

• (c) datos del representante legal: nombre, apellido, código fiscal, cargo, documento de identidad en vigor;

• (d) datos bancarios: IBAN para los pagos, titular de la cuenta, BIC/SWIFT para IBAN extra-SEPA, eventuales documentos de titularidad de la cuenta;

• (e) datos de seguro: póliza RC profesional o RC frente a terceros (denominación de la compañía, número, límite máximo, fecha de caducidad);

• (f) datos de cumplimiento: declaraciones autocertificadas conforme al D.P.R. italiano 445/2000, atestaciones de conformidad higiénico-sanitaria/seguridad cuando sean requeridas para la categoría de Experiencia, eventual Código Identificativo Nacional (CIN) para las estructuras turísticas conforme a la Ley italiana 191/2023;

• (g) datos relativos a la actividad: tipologías de Experiencias propuestas, sedes operativas, calendarios de disponibilidad, descripciones textuales y visuales de la oferta;

• (h) datos de las Experiencias (limitadamente a la parte relativa al Anfitrión): descripción, precio, duración, capacidad, ubicación, material fotográfico/video, reseñas recibidas.

3.4 Promotores. Para los Promotores registrados al Programa de Referidos, se recopilan, además de los datos del apartado 3.2 cuando sean aplicables:

• (a) datos identificativos y fiscales ampliados: como para los Anfitriones, distinguiendo entre el régimen ocasional (persona física sin n.º de IVA) y el régimen profesional (persona física con n.º de IVA o entidad jurídica);

• (b) datos bancarios: IBAN para los Cashouts, BIC/SWIFT;

• (c) datos de canal promocional: identificación de los canales promocionales utilizados (sitio web, redes sociales, blog, newsletter, podcast), URLs principales, audiencia indicativa, descripción de la actividad de promoción;

• (d) Código de Referido y Enlace de Referido asignados al Promotor;

• (e) datos de rendimiento del Referido: número de Referidos, número de Acciones Cualificantes, Remuneraciones acumuladas, Cashouts efectuados.

3.B — Datos de transacción y de pago

3.5 Datos de transacción. Para cada operación transaccional efectuada en el marketplace integrado de la Plataforma se recopilan:

• (a) identificador único de la transacción;

• (b) importe, divisa, fecha y hora;

• (c) identificador de la Experiencia reservada, con detalle del precio unitario, participantes, opciones compradas;

• (d) datos del Anfitrión beneficiario del pago;

• (e) datos del Promotor eventualmente atribuible a la conversión (a los efectos del Cookie de Atribución de 90 días last-click, según las reglas de las Condiciones del Programa de Referidos);

• (f) estado de la transacción: pending, succeeded, failed, refunded, disputed/chargeback;

• (g) eventuales reembolsos, chargebacks, escrow holds.

3.6 Datos de pago (gestionados por Stripe). Los datos instrumentales al pago — número de tarjeta, caducidad, CVV, autenticación 3D Secure, datos del dispositivo usado para el pago — son recopilados y tratados exclusivamente por Stripe Payments Europe Ltd en calidad de Responsable autónomo del tratamiento. Inmedia S.r.l. no tiene acceso a los datos completos de la tarjeta de pago; recibe de Stripe exclusivamente:

• (a) un identificador tokenizado del medio de pago (p. ej., últimos 4 dígitos, marca de la tarjeta, caducidad);

• (b) el estado de la transacción;

• (c) eventuales códigos de error o motivos de rechazo.

3.7 Score de riesgo Stripe Radar. Para cada transacción, Stripe Radar elabora un score de riesgo antifraude pseudonimizado que se comparte con Inmedia S.r.l. a los efectos de las decisiones de autorización. El score incluye elementos de device fingerprinting, comportamentales y temporales, según las políticas de Stripe Radar.

3.C — Datos de identidad y KYC

3.8 Documentos de identidad. Para los Clientes que lo soliciten en casos específicos (p. ej., Experiencias con restricciones de edad o requisitos regulatorios específicos) y — sistemáticamente — para los Anfitriones y los Promotores, se recopilan, también a través del servicio Stripe Identity:

• (a) documento de identidad en vigor (DNI, pasaporte, permiso de conducir): imagen anverso/reverso, número del documento, autoridad emisora, fecha de emisión y caducidad;

• (b) selfie o vídeo de reconocimiento para la verificación de vitalidad (liveness detection), cuando sea aplicable;

• (c) datos biométricos generados exclusivamente por el proveedor Stripe Identity para el match entre documento y selfie, en calidad de Encargado de Stripe; dichos datos biométricos no son conservados por Inmedia S.r.l. y son eliminados por el proveedor según sus políticas de conservación, en cumplimiento del art. 9 del RGPD;

• (d) prueba de residencia únicamente para entidades jurídicas o para solicitudes de KYC reforzado (factura, extracto bancario reciente);

• (e) extracto de Registro o documento equivalente para entidades jurídicas.

3.D — Datos fiscales, antiblanqueo y DAC7

3.9 Datos fiscales. Para los Anfitriones y los Promotores se recopilan los datos fiscales necesarios para el cumplimiento de las obligaciones regulatorias:

• (a) código fiscal (italiano) o TIN (para residentes extranjeros) para cada Estado de residencia fiscal;

• (b) número de IVA, régimen IVA, número VIES para los sujetos UE no italianos;

• (c) certificado de residencia fiscal extranjero para la aplicación de los convenios contra la doble imposición;

• (d) Formulario W-8BEN o W-8BEN-E para residentes en EE. UU. o entidades estadounidenses;

• (e) Formulario W-9 con TIN para residentes en EE. UU., a los efectos del backup withholding y del Form 1099-NEC/1099-K;

• (f) cálculos y certificaciones fiscales elaborados por el sistema: retenciones a cuenta, IVA, importes sujetos al Form 1099, Certificazioni Uniche italianas.

3.10 Datos DAC7. Inmedia S.r.l. recopila y verifica la información requerida por la Directiva (UE) 2021/514 (DAC7) y por el Decreto Legislativo italiano 32/2023 para los Vendedores no excluidos:

• (a) para personas físicas: nombre, dirección principal, fecha y lugar de nacimiento, código fiscal/TIN para cada Estado de residencia fiscal, n.º de IVA, identificador de la cuenta financiera (IBAN);

• (b) para entidades jurídicas: denominación, sede, código fiscal/TIN para cada Estado de residencia fiscal, n.º de IVA, número en el Registro de Empresas, beneficiario efectivo, identificador de la cuenta financiera.

3.11 Audit log DAC7. Para garantizar el cumplimiento documental requerido por el Decreto Legislativo italiano 32/2023, Inmedia S.r.l. lleva un audit log que registra las verificaciones efectuadas, las inconsistencias detectadas, las correcciones realizadas y los intercambios automáticos de datos con la Agencia Tributaria italiana, conservado durante 10 años.

3.12 Datos antiblanqueo. A los efectos del antiblanqueo conforme al Decreto Legislativo italiano 231/2007 y al Reglamento (UE) 2024/1624, cuando sean aplicables, se recopilan datos relativos a:

• (a) origen de los fondos;

• (b) finalidad de la relación económica;

• (c) estructura de propiedad de las entidades jurídicas e identificación del beneficiario efectivo;

• (d) exposición al riesgo político (Politically Exposed Persons — PEP);

• (e) presencia en listas de sanciones internacionales (ONU, UE, OFAC, HMT).

3.E — Datos de geolocalización

3.13 Geolocalización aproximada. Se recopilan automáticamente datos de geolocalización aproximada (a nivel de ciudad o región) derivados de la dirección IP del Usuario, con finalidades de personalización de los contenidos, prevención de fraudes y antiblanqueo.

3.14 Geolocalización precisa. Los datos de geolocalización precisa (GPS) se recopilan únicamente previo consentimiento explícito del Usuario, en particular:

• (a) cuando el Usuario activa la función "Encontrar Experiencias cerca de mí" en la App o en la web;

• (b) cuando el Usuario efectúa un check-in geolocalizado en un Lugar (véase art. 3.E-bis);

• (c) cuando el Usuario concede a la App la geolocalización del sistema.

La geolocalización precisa puede ser desactivada en cualquier momento desde los ajustes del dispositivo. El consentimiento puede revocarse sin perjuicio de la licitud del tratamiento basado en el consentimiento antes de la revocación.

3.E-bis — Datos de Check-ins geolocalizados

3.15 Check-in. En el momento del check-in efectuado por el Usuario en proximidad de un Lugar, se recopilan:

• (a) coordenadas geográficas GPS (latitud, longitud, eventual altitud) adquiridas del dispositivo del Usuario, con la precisión permitida por el sistema operativo del dispositivo;

• (b) timestamp del check-in;

• (c) identificador del Lugar (POI) al que se asocia el check-in;

• (d) distancia calculada del POI a los efectos de validación (fórmula geodésica de Haversine);

• (e) nivel de visibilidad elegido por el Usuario para el check-in individual (Solo yo / Amigos / Todos), en los términos de la Sección 7.1 de las Condiciones Generales de Uso;

• (f) eventual Etiqueta UGC asociada (véase art. 3.K);

• (g) indicadores técnicos útiles para el cálculo del Trust Score (véase art. 3.H).

3.16 Redondeo y pseudonimización técnica. Las coordenadas GPS transmitidas se redondean en los logs del sistema con el fin de limitar el nivel de rastreo, según la precisión indicada en las Especificaciones Técnicas del Servicio. Esta operación constituye una pseudonimización técnica en los términos del art. 4, apartado 1, n.º 5) del RGPD, y no una anonimización definitiva, ya que la trazabilidad del dato al Interesado permanece posible mediante combinación con otra información de la cuenta.

3.17 Antispoofing. A los efectos de la verificación de la autenticidad del check-in y de la prevención de simulaciones de la posición mediante GPS spoofing o técnicas análogas, pueden tratarse indicadores comportamentales y de patrón (a título de ejemplo: velocidad de desplazamiento entre check-ins consecutivos geográficamente distantes, congruencia con datos del acelerómetro cuando estén disponibles) que convergen en el cálculo del Trust Score (véase art. 3.H y art. 11).

3.F — Datos de comunicación y soporte

3.18 Comunicaciones con el servicio al cliente. Se recopilan los contenidos de las comunicaciones intervenidas entre el Usuario y el servicio al cliente de Stravagando, a través de:

• (a) correo electrónico a support@stravagando.com o a direcciones específicas (p. ej., legal@, dmca@);

• (b) sistema de ticket interno de la Plataforma;

• (c) chat en vivo (cuando esté activado por un proveedor tercero) — limitado a la sesión de chat;

• (d) comunicaciones telefónicas — grabadas únicamente previo consentimiento específico del Usuario, con aviso previo;

• (e) eventuales comunicaciones a través de PEC;

• (f) conversaciones de Guest Help para los Visitantes no registrados, gestionadas mediante token de acceso temporal emitido en la dirección de correo electrónico proporcionada, en los términos de la Sección 17-ter de las Condiciones Generales de Uso.

3.19 Mensajería directa entre Usuarios. Se recopilan, conservan y — cuando sea necesario para finalidades de seguridad, antifraude, gestión de disputas y cumplimiento DSA — analizan en forma automatizada los contenidos de las comunicaciones intervenidas mediante el sistema de mensajería integrado de la Plataforma, en particular:

• (a) comunicaciones Anfitrión-Cliente relacionadas con una reserva en el marketplace;

• (b) solicitudes de información previas a la compra por parte de potenciales Clientes a Anfitriones;

• (c) mensajes directos entre Usuarios registrados en el ámbito de la comunidad social, cuando esta funcionalidad sea puesta a disposición por la Plataforma.

Las comunicaciones efectuadas fuera del sistema de mensajería integrado (p. ej., WhatsApp, correo electrónico directo) no son recopiladas ni conservadas por Inmedia S.r.l. y eluden las protecciones de seguridad y gestión de disputas ofrecidas por la Plataforma; se anima a los Usuarios a utilizar exclusivamente el sistema de mensajería integrado.

3.20 Reseñas y feedback. Se recopilan los contenidos de las reseñas y feedback dejados por los Usuarios sobre las Experiencias, sobre los Lugares del catálogo, sobre los Anfitriones y — internamente — sobre los Clientes. Las reseñas publicadas son visibles en el perfil público de la Experiencia/Anfitrión/Lugar y, cuando sean indexables, indexadas por los motores de búsqueda; el username del autor de la reseña es visible públicamente, mientras que los datos identificativos completos no lo son. En aplicación de la Directiva (UE) 2019/2161 (Omnibus), Inmedia S.r.l. adopta medidas adecuadas para asegurar que las reseñas publicadas procedan de Usuarios que efectivamente han disfrutado de la Experiencia o frecuentado el Lugar, con las correspondientes atestaciones en el perfil de la Experiencia/Lugar.

3.G — Datos de los Contenidos UGC y de comunidad

3.21 Contenidos publicados por el Usuario. Se recopilan y conservan todos los Contenidos UGC publicados por el Usuario en la Plataforma, con las siguientes principales tipologías:

• (a) fotografías cargadas como imagen de Perfil, como acompañamiento a Contenidos UGC o Experiencias;

• (b) publicaciones-narración publicadas en el Muro de un Lugar;

• (c) comentarios a Contenidos de otros Usuarios;

• (d) likes y otras reacciones a Contenidos de otros Usuarios;

• (e) listas personales (Cuadernos) con los Lugares/Experiencias asociados insertados;

• (f) propuestas de nuevos Lugares a insertar en el catálogo;

• (g) sugerencias de modificación a Lugares existentes.

3.22 Tratamiento privacy-by-design de las fotografías (EXIF strip). Para proteger la privacidad de los Usuarios, en aplicación del art. 25 del RGPD (data protection by design and by default), Inmedia S.r.l. elimina los metadatos EXIF de las fotografías cargadas por el Usuario en el momento del procesamiento del lado del servidor, mediante recodificación de la imagen. En particular se eliminan: datos de geolocalización (GPS), modelo y número de serie del dispositivo de captura, fecha y hora originales, parámetros técnicos de exposición. Inmedia S.r.l. no conserva copias de los metadatos EXIF eliminados: la operación es irreversible. El Interesado que desee preservar los metadatos de una fotografía de su propiedad debe conservar el original de forma autónoma, ya que la versión conservada en la Plataforma estará desprovista de ellos.

3.23 Datos de relaciones sociales. Se recopilan los datos relativos a las relaciones sociales entre Usuarios en la Plataforma, tales como:

• (a) relaciones de seguimiento (quién sigue a quién);

• (b) seguimiento recíproco (relaciones de seguimiento mutuo, relevantes a los efectos de la activación de la Etiqueta UGC y de algunas funcionalidades de visibilidad en los términos de las Secciones 7 y 8 de las Condiciones Generales de Uso);

• (c) bloqueos entre Usuarios y eventuales denuncias.

3.H — Datos del Sistema de Gamificación e indicadores derivados

3.24 Elementos de gamificación. Se recopilan y conservan los elementos del Sistema de Gamificación asociados al Usuario, conforme a la Sección 9 de las Condiciones Generales de Uso:

• (a) XP (puntos de experiencia) acumulados e historial de los incrementos;

• (b) Nivel alcanzado y progresión;

• (c) Logros desbloqueados (denominación técnica interna: Achievement), fecha y contexto del desbloqueo;

• (d) Streaks activas e historial de las rachas consecutivas;

• (e) Level Perks activos, incluidos eventuales códigos de descuento generados y beta access activados;

• (f) datos elaborados para el Year Review periódico.

Los elementos del Sistema de Gamificación tienen naturaleza exclusivamente simbólica y lúdica y no constituyen moneda virtual ni bien convertible en dinero, en los términos de la Sección 9.1 de las Condiciones Generales de Uso. Su tratamiento no constituye perfilado en los términos del art. 4, apartado 1, n.º 4) del RGPD ni un proceso decisional automatizado en los términos del art. 22 del RGPD.

3.25 Trust Score e indicadores antifraude. Se elaboran y conservan indicadores derivados de la actividad del Usuario, en particular:

• (a) Trust Score (valor numérico 0-100) calculado automáticamente sobre la base de la coherencia técnica de los check-ins del Usuario, según los criterios descritos en la Sección 11 de las Condiciones Generales de Uso y detallados en las Especificaciones Técnicas del Servicio;

• (b) indicadores antifraude comportamentales (a título de ejemplo: velocity de los check-ins, congruencia geográfica, patrones de publicación UGC, denuncias recibidas);

• (c) indicadores de fiabilidad del Anfitrión (tasa de aceptación de reservas, tasa de cancelación, rating medio, porcentaje de reclamaciones, calidad de las respuestas a las comunicaciones);

• (d) indicadores de rendimiento del Promotor (tasa de conversión, calidad de los Referidos tras el onboarding, tasa de reembolso/chargeback de las reservas de los Referidos);

• (e) perfil de riesgo antifraude (sintetizado a partir de indicadores comportamentales, tecnológicos y temporales);

• (f) estadísticas agregadas no identificativas.

La incidencia de algunos de estos indicadores en el disfrute del Servicio se describe en el art. 11 (Procesos decisionales automatizados y perfilado).

3.I — Etiqueta UGC y datos de moderación automática

3.26 Etiqueta UGC. Para las Etiquetas UGC aplicadas por los Usuarios, en los términos de la Sección 8-bis de las Condiciones Generales de Uso, se recopilan y conservan:

• (a) identificador numérico del Usuario etiquetador e identificador numérico del Usuario etiquetado;

• (b) identificador del Contenido al que se asocia la Etiqueta (check-in, publicación en el Muro de un Lugar);

• (c) timestamp de creación de la Etiqueta;

• (d) timestamp de la eventual eliminación de la Etiqueta e identificador numérico del Usuario que ha ejecutado la eliminación (etiquetador o etiquetado);

• (e) historial anonimizado de la eliminación (timestamp y rol del autor — etiquetador o etiquetado — sin identificador personal), conservado durante un máximo de 24 meses con finalidades de auditoría de moderación y prevención de abusos.

Las Etiquetas UGC no se utilizan con finalidades de perfilado ni para decisiones automatizadas en los términos del art. 22 del RGPD. En particular, las Etiquetas aplicadas a las publicaciones del Muro no contribuyen a la atribución de XP ni al desbloqueo de Logros, en coherencia con la Sección 8-bis.8 de las Condiciones Generales de Uso. Para las Etiquetas aplicadas a los check-ins en el ámbito del companion tagging, se aplica la disciplina de la Sección 8 de las Condiciones Generales de Uso y los reconocimientos de gamificación correlacionados, descritos en el art. 3.H.

3.27 Datos de Moderación automática. Para cada decisión de Moderación automática adoptada por los sistemas de inteligencia artificial de Terceros utilizados por la Plataforma, se recopilan y conservan en una tabla del sistema dedicada los siguientes metadatos:

• (a) identificador del Contenido objeto de análisis;

• (b) decisión adoptada (aprobación, rechazo, marcado para revisión manual, degradación);

• (c) código motivacional y categoría de riesgo detectada;

• (d) modelo utilizado y versión, umbral de confianza aplicado;

• (e) puntuaciones de confianza elaboradas por el sistema;

• (f) latencia, coste y datos operativos de la llamada al proveedor;

• (g) resultado de una eventual revisión humana posterior e identificador del operador que ha efectuado la revisión.

Dichos metadatos se utilizan con finalidades de auditoría, mejora de los sistemas, gestión de eventuales reclamaciones y cumplimiento de las obligaciones de transparencia previstas por el AI Act, por el DSA (en particular el art. 17 — Statement of Reasons) y por el art. 22 del RGPD, según las modalidades descritas en el art. 11.

3.J — Datos de navegación e Instrumentos de Rastreo

3.28 Datos de Uso. Se recopilan automáticamente, como se describe en detalle en la Política de Cookies:

• (a) dirección IP (anonimizada, cuando sea configurable);

• (b) identificadores del dispositivo (device fingerprinting, user-agent, sistema operativo, versión del navegador);

• (c) datos de sesión (duración, páginas visitadas, secuencia de navegación, clickstream);

• (d) identificadores publicitarios móviles (IDFA para iOS, Google Advertiser ID para Android), únicamente previo consentimiento;

• (e) referrer URL y parámetros UTM de procedencia;

• (f) interacciones con la Plataforma (botones clicados, búsquedas efectuadas, reservas iniciadas y abandonadas, check-ins intentados y completados).

3.29 Datos conservados localmente en el dispositivo del Usuario. La Plataforma está concebida también como Progressive Web App (PWA) instalable en el dispositivo del Usuario e incluye un Service Worker que utiliza API nativas del navegador (Cache API, IndexedDB, localStorage) con finalidades de caching, memorización de preferencias, soporte sin conexión y notificaciones push. Dicha memorización se realiza exclusivamente en el dispositivo del Usuario, no transfiere datos a Inmedia S.r.l. de forma directa y no constituye un tratamiento de Datos Personales por parte del Responsable del Tratamiento en cuanto permanece confinada al navegador local. El Usuario puede vaciar dicha memoria en cualquier momento desde los ajustes de su navegador, como previsto en la Sección 18.1 de las Condiciones Generales de Uso.

3.30 Instrumentos de Rastreo de Terceros. Se recopilan datos adicionales a través de Instrumentos de Rastreo de Terceros (Google, Meta, TikTok, LinkedIn, Microsoft, Hotjar y otros), como se detalla en la Política de Cookies, exclusivamente dentro de los límites del consentimiento prestado por el Usuario. Inmedia S.r.l. adopta el modelo Consent Mode v2 de Google para la gestión granular del consentimiento y la conservación del historial de las elecciones según modalidades append-and-update.

3.K — Datos de terceros aportados por el Usuario

3.31 Datos de otros participantes. Cuando un Cliente reserva una Experiencia para varios participantes, puede aportar datos de terceros (nombre, apellido, eventualmente fecha de nacimiento para Experiencias con restricciones de edad). El Usuario que aporta datos de terceros:

• (a) garantiza haber obtenido su consentimiento, o disponer de otra base jurídica para la comunicación;

• (b) se compromete a proporcionar al interesado la información sintética de privacidad disponible en la sección "Reservo para otros" de la Plataforma, que contiene la información esencial sobre el tratamiento;

• (c) mantiene indemne a Inmedia S.r.l. de las impugnaciones de terceros derivadas de la ausencia o insuficiencia de información, en los términos de las cláusulas de indemnidad de las Condiciones Generales de Uso.

Responsabilidad análoga incumbe al Usuario que publica Contenidos UGC que contienen datos de terceros (a título de ejemplo: fotografías que representan personas identificables más allá del propio Usuario). El Usuario garantiza haber obtenido las autorizaciones necesarias de las personas representadas o nombradas, en los términos del art. 97 de la Ley italiana 633/1941 y de la Sección 6.3 de las Condiciones Generales de Uso.

ART. 4 — FINALIDADES DEL TRATAMIENTO Y BASES JURÍDICAS

Los Datos Personales recopilados se tratan para las finalidades descritas a continuación, cada una con su propia base jurídica en los términos del art. 6 (y, cuando sea aplicable, del art. 9) del RGPD. La presente sección constituye la información sintética prevista por el art. 13, apartado 1, letra c) del RGPD.

4.A — Finalidades contractuales y de prestación del Servicio

4.1 Ejecución del contrato. Los Datos Personales se tratan para:

• (a) creación y gestión de la cuenta de Usuario, incluida la generación automática del username y la eventual autenticación federada (SSO);

• (b) prestación de las funcionalidades no transaccionales de la Plataforma (Perfil, Social, Gamificación, exploración del catálogo de Lugares, publicación y disfrute de Contenidos UGC, participación en la comunidad);

• (c) prestación de las funcionalidades del marketplace (búsqueda, reserva, pago, disfrute de las Experiencias de pago);

• (d) gestión de las reservas, pagos, cancelaciones y reembolsos, incluida la ejecución de las Políticas de Cancelación aplicables;

• (e) cálculo y abono de las Remuneraciones del Anfitrión y de las Remuneraciones del Promotor, gestión de los Cashouts a través de Stripe Connect;

• (f) ejecución de los check-ins geolocalizados y atribución de los elementos del Sistema de Gamificación correlacionados (XP, Niveles, Logros, Streaks), incluida la eventual atribución de Etiquetas UGC en el ámbito del companion tagging;

• (g) publicación, visibilidad y moderación de los Contenidos UGC según los ajustes de visibilidad gestionados de forma autónoma por el Interesado y las reglas aplicables a la Etiqueta UGC;

• (h) gestión de la mensajería entre Usuarios (Anfitrión-Cliente; comunidad); gestión del Guest Help para los Visitantes no registrados;

• (i) prestación del servicio de asistencia al cliente;

• (j) gestión de las relaciones de seguimiento, incluida la gestión de las relaciones de seguimiento recíproco relevantes para la aplicabilidad de algunas funcionalidades (Etiqueta UGC, visibilidad de los check-ins de nivel "Amigos").

Base jurídica: art. 6, apartado 1, letra b) del RGPD — ejecución de un contrato del que el Interesado es parte (Condiciones Generales de Uso, Condiciones Generales de Venta, Condiciones del Anfitrión, Condiciones del Programa de Referidos) o ejecución de medidas precontractuales a solicitud del Interesado.

4.B — Finalidades de cumplimiento de obligaciones regulatorias

4.2 Obligaciones legales. Los Datos Personales se tratan para:

• (a) cumplimientos fiscales: contabilidad, facturación electrónica a través del Sistema de Intercambio italiano (SDI), Certificazioni Uniche italianas, retenciones a cuenta, declaraciones IVA, Form 1099 EE. UU.;

• (b) cumplimientos DAC7: recopilación, verificación, conservación y comunicación a la Agencia Tributaria italiana y — mediante intercambio automático — a las Autoridades fiscales extranjeras de los datos de los Vendedores no excluidos (Anfitriones y Promotores);

• (c) cumplimientos antiblanqueo: verificación de la clientela, conservación del fascículo del cliente, comunicaciones de operaciones sospechosas a la UIF, teniendo en cuenta el tipping-off ex art. 39 del Decreto Legislativo italiano 231/2007 (prohibición de revelar el reporte);

• (d) cumplimiento de sanciones internacionales: screening contra listas de sanciones ONU, UE, OFAC, HMT, bloqueo de operaciones o relaciones con sujetos sancionados;

• (e) cumplimientos DSA: publicación del Transparency Report periódico, gestión de las denuncias notice and action en los términos del art. 16 del DSA, garantía del anonimato del denunciante salvo solicitud de la Autoridad competente, conservación del log de las decisiones de moderación y de los Statements of Reasons, gestión de los Trusted Flaggers en los términos del art. 22 del DSA, comunicaciones a las Autoridades competentes a través de los puntos de contacto designados (Secciones 12-bis.4 y 12-bis.5 de las Condiciones Generales de Uso);

• (f) cumplimientos AI Act: transparencia en cuanto al uso de sistemas de inteligencia artificial para la Moderación automática de Contenidos, en los términos del Reglamento (UE) 2024/1689, incluida la documentación de las decisiones y los metadatos correlacionados;

• (g) cumplimientos P2B: publicación de las condiciones generales, gestión de las reclamaciones internas de los Usuarios profesionales, mediación externa designada;

• (h) respuestas a solicitudes de las Autoridades judiciales, fiscales, administrativas, de control o de seguridad pública italianas o extranjeras competentes, dentro de los límites previstos por la ley aplicable (a título de ejemplo: órdenes de exhibición, secuestros probatorios, órdenes de conservación en los términos del art. 254-bis del Código de Procedimiento Penal italiano, solicitudes ex Convención de Budapest sobre cibercrimen).

Base jurídica: art. 6, apartado 1, letra c) del RGPD — cumplimiento de obligaciones legales.

4.C — Finalidades de seguridad, antifraude y protección de derechos

4.3 Seguridad, antifraude y Trust Score. Los Datos Personales se tratan para:

• (a) prevención e identificación de accesos no autorizados, brute force, credential stuffing, account takeover, bots automatizados; gestión de la re-autenticación para operaciones sensibles en los términos de la Sección 4.2 de las Condiciones Generales de Uso;

• (b) prevención de fraudes en los pagos (Stripe Radar, device fingerprinting, velocity check);

• (c) prevención de prácticas fraudulentas en el Programa de Referidos (Self-Referral, Cookie Stuffing, Click Fraud) y en el Sistema de Gamificación (cuentas múltiples, intercambios recíprocos sospechosos, simulación de actividad);

• (d) cálculo del Trust Score de los Usuarios sobre la base de la coherencia técnica de los check-ins, en los términos de la Sección 11 de las Condiciones Generales de Uso y de los arts. 3.E-bis y 3.H de la presente Política, con las garantías procedimentales descritas en el art. 11.B;

• (e) identificación de tentativas de GPS spoofing y simulación de la posición, con finalidades de tutela de la integridad del catálogo de Lugares y del Sistema de Gamificación;

• (f) protección del patrimonio de la Plataforma, de los Anfitriones, de los Clientes, de los Promotores y de los demás Usuarios frente a fraudes y abusos;

• (g) tutela de la seguridad informática de la Plataforma en los términos de la NIS2;

• (h) apoyo investigativo a solicitudes de Autoridades judiciales y de seguridad pública;

• (i) tutela de los derechos de Inmedia S.r.l. en disputas judiciales o extrajudiciales, también con conservación de pruebas electrónicas.

Base jurídica: art. 6, apartado 1, letra f) del RGPD — interés legítimo de Inmedia S.r.l. en la seguridad, prevención de fraudes, tutela de los propios derechos y de los derechos de los Usuarios, en equilibrio con los derechos y libertades fundamentales del Interesado. Para los tratamientos que implican evaluaciones automatizadas de riesgo, se remite al art. 11.

4.D — Finalidades de Moderación automática de los Contenidos UGC

4.4 Moderación automática. Los Contenidos UGC publicados por el Usuario se someten, preventivamente, a un análisis automatizado mediante sistemas de inteligencia artificial de Terceros, en los términos de la Sección 12 de las Condiciones Generales de Uso, en particular:

• (a) un modelo lingüístico para la clasificación textual de las reseñas, publicaciones, comentarios y propuestas;

• (b) un servicio de análisis de imágenes para la detección de contenidos para adultos, violentos u ofensivos en las fotografías.

Los sistemas están integrados con un fallback de revisión manual para casos límite, indisponibilidad de los sistemas automáticos o Contenidos en espera por superación de los límites operativos. La identidad específica de los modelos utilizados, los umbrales de confianza, los criterios de acceso al fast-track para los Usuarios con historial positivo y los límites operativos de gasto están indicados en las Especificaciones Técnicas del Servicio.

El Interesado tiene derecho a solicitar la revisión humana de la decisión de moderación en los 14 días siguientes a la notificación, según las modalidades descritas en el art. 11.C, en coherencia con la Sección 12.3 de las Condiciones Generales de Uso. La revisión es efectuada por personal cualificado de Stravagando y no se realiza a través del mismo sistema automatizado que ha emitido la decisión impugnada.

Base jurídica:

• art. 6, apartado 1, letra b) del RGPD — ejecución del contrato (la moderación constituye un presupuesto para la publicación del Contenido en la Plataforma);

• art. 6, apartado 1, letra c) del RGPD — cumplimiento de obligaciones legales (DSA, AI Act);

• art. 6, apartado 1, letra f) del RGPD — interés legítimo en el mantenimiento de la integridad y calidad de la comunidad de Usuarios.

4.E — Finalidades de mejora del Servicio

4.5 Analítica y optimización. Los Datos Personales se tratan, en forma agregada y anonimizada cuando sea posible, para:

• (a) medición del performance de la Plataforma y de las tasas de conversión;

• (b) análisis del comportamiento de navegación para identificar áreas de mejora (en forma agregada o, cuando esté desagregada, sobre la base del consentimiento conforme a la Política de Cookies);

• (c) tests A/B de interfaces y funcionalidades;

• (d) elaboración de estadísticas internas sobre la población de Usuarios;

• (e) mejora iterativa de los sistemas de Moderación automática y de los algoritmos de cálculo del Trust Score, sobre la base de los metadatos de decisión descritos en el art. 3.27 y del resultado de las eventuales revisiones humanas.

Base jurídica:

• para analíticas agregadas equiparables a técnicas (Resolución del Garante italiano de 10/06/2021, apdo. 4.2): art. 122 del Código italiano de protección de datos + art. 6, apartado 1, letra f) del RGPD (interés legítimo en la mejora del Servicio);

• para analíticas desagregadas: art. 6, apartado 1, letra a) del RGPD — consentimiento, según la Política de Cookies.

4.F — Finalidades de comunicación de servicio

4.6 Comunicaciones de servicio. Se envían al Usuario comunicaciones relacionadas con la prestación del Servicio y la ejecución del contrato, en los términos de la Sección 17 de las Condiciones Generales de Uso, distinguidas en tres categorías:

• (a) categorías esenciales (a título de ejemplo: modificaciones de las Condiciones, suspensión de la cuenta, alertas de seguridad, recibos del marketplace, comunicaciones legales, confirmación de cancelación de la cuenta): no desactivables porque son necesarias para la ejecución del contrato y el cumplimiento de las obligaciones del Responsable;

• (b) categorías de servicio (a título de ejemplo: notificaciones sociales, gamificación, actividad del marketplace de carácter informativo): desactivables de forma granular desde los ajustes de la cuenta;

• (c) categorías de marketing utility conectadas a la relación contractual pero de naturaleza promocional (a título de ejemplo: recordatorios pre-Experiencia para las reservas efectuadas, invitaciones a dejar una reseña tras la Experiencia): el envío está sujeto al consentimiento opt-in del Usuario, granular para cada categoría.

Los canales utilizados incluyen correo electrónico, notificaciones push web, notificaciones push móvil (para las futuras Apps nativas iOS/Android) y notificaciones in-app.

Base jurídica: art. 6, apartado 1, letra b) del RGPD (ejecución del contrato) para las categorías esenciales y de servicio; art. 6, apartado 1, letra a) del RGPD (consentimiento) para las categorías de marketing utility.

4.G — Finalidades de marketing directo y newsletter

4.7 Marketing directo sobre servicios análogos (soft opt-in). Para los Usuarios que han efectuado al menos una reserva o creado una cuenta, pueden enviarse comunicaciones de marketing directo sobre servicios análogos a los reservados o utilizados (p. ej., nuevas Experiencias en las mismas ciudades, nuevos Anfitriones en la misma categoría), a través de correo electrónico y notificaciones in-App.

Base jurídica: art. 6, apartado 1, letra f) del RGPD — interés legítimo al marketing directo sobre servicios análogos, en los términos del Considerando 47 del RGPD y del art. 130, párrafo 4 del Código italiano de protección de datos. El Interesado puede oponerse en cualquier momento a través del enlace de opt-out presente en cada comunicación, los ajustes de la cuenta o la solicitud a legal@stravagando.com.

4.8 Newsletter y marketing directo profilado. Para las comunicaciones de marketing dirigidas a los Usuarios — incluso no titulares de una cuenta — sobre la newsletter periódica y sobre las iniciativas promocionales generales, Inmedia S.r.l. adopta el modelo del double opt-in en los términos de la Sección 17-bis de las Condiciones Generales de Uso. La newsletter se ofrece independientemente de la titularidad de una cuenta; la base jurídica es el consentimiento explícito del Interesado.

El Interesado puede revocar el consentimiento en cualquier momento y darse de baja de la newsletter mediante:

• (a) el enlace de baja presente al pie de cada correo electrónico de marketing;

• (b) el mecanismo de baja con un solo clic previsto por los estándares sectoriales para la deliverability (RFC 8058);

• (c) la solicitud enviada a legal@stravagando.com.

Tras la baja, Inmedia S.r.l. conserva el dato de la baja (dirección de correo electrónico en forma suficiente para la identificación unívoca y metadatos de revocación) como lista de supresión (suppression list) para garantizar al Interesado el respeto en el tiempo de la elección de no ser contactado más. La base jurídica de esta conservación es el interés legítimo en la supresión conforme al art. 6, apartado 1, letra f) del RGPD, así como el cumplimiento del art. 7, apartado 3 del RGPD (obligación de respetar la revocación del consentimiento). El Interesado tiene derecho a solicitar la eliminación también del registro de supresión, con conocimiento de las consecuencias (cualquier futura nueva inscripción no será ya reconocida por el sistema como tal).

4.9 Marketing profilado y sobre servicios no análogos. Para finalidades de marketing directo:

• (a) sobre servicios no análogos (p. ej., promoción de servicios de Terceros);

• (b) profilado sobre la base de los comportamientos de navegación desagregados;

• (c) a través de canales publicitarios de Terceros (Meta, Google, TikTok, LinkedIn, etc.);

• (d) a través de SMS o teléfono (cuando sea aplicable);

se recoge el consentimiento previo del Usuario, mediante el Panel de Preferencias de la Política de Cookies, los ajustes de la cuenta o una casilla específica.

Base jurídica: art. 6, apartado 1, letra a) del RGPD — consentimiento, revocable en cualquier momento.

4.10 Exclusión de la publicidad dirigida a menores. En cumplimiento del art. 28 del DSA, Inmedia S.r.l. no presenta publicidad dirigida basada en el perfilado en los términos del art. 4, apartado 4 del RGPD a los Usuarios para los que existan indicios de minoría de edad, según las modalidades descritas en las Especificaciones Técnicas del Servicio y en coherencia con la Sección 14-bis.3 de las Condiciones Generales de Uso.

4.H — Etiqueta UGC: base jurídica diferenciada

4.11 Tratamiento de la Etiqueta UGC. La funcionalidad de Etiqueta UGC, descrita en la Sección 8-bis de las Condiciones Generales de Uso y en el art. 3.26 de la presente Política, comporta un tratamiento de Datos Personales con base jurídica diferenciada en relación con el rol del Interesado:

• (a) para el Usuario destinatario de la Etiqueta (Etiqueta "entrante"), el tratamiento se basa en el consentimiento explícito del Interesado expresado mediante el ajuste "Permitir a otros etiquetarme en contenidos" (allow_ugc_tagging), activo por defecto y revocable en cualquier momento desde los ajustes del Perfil, en los términos del art. 6, apartado 1, letra a) del RGPD;

• (b) para el Usuario autor de la Etiqueta (Etiqueta "saliente"), el tratamiento se basa en la ejecución del contrato y en particular de las funcionalidades sociales de la Plataforma a las que el Usuario ha adherido mediante las Condiciones Generales de Uso, en los términos del art. 6, apartado 1, letra b) del RGPD;

• (c) para las funcionalidades correlacionadas de notificación y visualización, el tratamiento se basa en la ejecución del contrato en los términos del art. 6, apartado 1, letra b) del RGPD y en las preferencias de notificación expresadas por el Interesado.

La revocación del ajuste allow_ugc_tagging opera pro futuro: las tentativas posteriores de Etiqueta por parte de otros Usuarios son silenciosamente descartadas por el sistema sin notificación al destinatario protegido. Las eventuales Etiquetas ya aplicadas antes de la revocación pueden ser eliminadas por el Interesado a través del panel del Perfil, con efecto inmediato y definitivo, en coherencia con la Sección 8-bis.4 de las Condiciones Generales de Uso.

4.I — Finalidades de perfilado automatizado

4.12 Perfilado automatizado interno. Inmedia S.r.l. efectúa actividades de perfilado automatizado limitadas a:

• (a) personalización de los resultados de búsqueda de las Experiencias y de los Lugares sugeridos en la exploración del catálogo;

• (b) sugerencias de Experiencias y Lugares coherentes con el perfil de interés del Usuario;

• (c) cálculo del rating de fiabilidad del Anfitrión y del Promotor;

• (d) cálculo del risk score antifraude (descrito en el art. 11.A);

• (e) cálculo del Trust Score (descrito en el art. 11.B).

Las actividades de las letras (a), (b) y (c) no producen efectos jurídicos sobre el Interesado ni lo afectan de manera significativa. Las actividades de las letras (d) y (e) son potencialmente susceptibles de producir efectos significativos y se tratan por separado en el art. 11.

Base jurídica: art. 6, apartado 1, letras b) y f) del RGPD — ejecución del contrato e interés legítimo en la mejora del Servicio, en la calidad de la comunidad y en el antifraude.

4.J — Categorías particulares de datos y datos penales

4.13 Tratamientos excepcionales. Cuando sean voluntariamente aportados por el Usuario o necesarios para finalidades específicas, pueden tratarse Datos Sensibles o Penales exclusivamente sobre la base de:

• (a) consentimiento explícito del Interesado, en los términos del art. 9, apartado 2, letra a) del RGPD;

• (b) cumplimiento de obligaciones laborales ex art. 9, apartado 2, letra b) del RGPD, cuando sea aplicable (p. ej., para los datos de los empleados implicados en la prestación del Servicio);

• (c) interés público relevante ex art. 9, apartado 2, letra g) del RGPD, en aplicación de la normativa antiblanqueo y antidelictos financieros;

• (d) ejercicio o defensa de un derecho en juicio ex art. 9, apartado 2, letra f) del RGPD;

• (e) tratamiento por parte de autoridades públicas ex art. 10 del RGPD, para los datos penales, en aplicación de obligaciones regulatorias.

ART. 5 — MODALIDADES DE RECOPILACIÓN DE LOS DATOS PERSONALES

5.A — Recopilación directa del Interesado

5.1 Formularios de registro y de perfil. Los Datos Personales de registro y de perfil (apartados 3.2-3.4) se recopilan directamente del Interesado a través de los formularios de registro y actualización del Perfil, en las versiones web y App de la Plataforma. La aportación de algunos datos es necesaria para el uso de los servicios de la Plataforma; en caso de no aportación, el uso de la funcionalidad correlacionada puede resultar imposible o limitado.

5.2 Publicación de Contenidos UGC. Los Contenidos UGC (apartados 3.21-3.23) se recopilan directamente del Interesado en el momento de la publicación en la Plataforma. Las fotografías se someten del lado del servidor al proceso de eliminación de los metadatos EXIF descrito en el apartado 3.22.

5.3 Check-ins geolocalizados. Los datos del check-in (apartados 3.15-3.17) se recopilan directamente en el momento de ejecución del check-in por parte del Interesado, previa concesión de la autorización de acceso al GPS del dispositivo. Las coordenadas transmitidas se redondean en los logs conforme a lo dispuesto en el apartado 3.16.

5.4 Comunicaciones con el servicio al cliente y con otros Usuarios. Los Datos Personales de comunicación (apartados 3.18-3.19) se recopilan directamente del Interesado a través de los canales de asistencia y mensajería de la Plataforma, incluido el Guest Help para los Visitantes no registrados.

5.5 Inserción de Experiencias (Anfitriones). Los datos relativos a las Experiencias son introducidos directamente por el Anfitrión a través del panel de gestión de la cuenta; el Anfitrión es exclusivamente responsable de la veracidad y completitud de los datos introducidos, en los términos de las Condiciones del Anfitrión.

5.6 Actualización de los ajustes de privacidad. Los ajustes de visibilidad y privacidad del Perfil (apdo. 3.2 letra g) son recopilados y actualizados directamente por el Interesado desde la página account.privacy, con re-autenticación requerida para operaciones sensibles en los términos de la Sección 4.2 de las Condiciones Generales de Uso.

5.B — Recopilación de Terceros

5.7 Single Sign-On (SSO). Cuando el Usuario elige registrarse o autenticarse mediante SSO de proveedores terceros (Google, Apple, Meta/Facebook), Inmedia S.r.l. recibe del proveedor tercero, en calidad de Responsable autónomo, exclusivamente los datos estrictamente necesarios (nombre, apellido, dirección de correo electrónico verificada, eventual imagen de perfil, identificador único en el proveedor), en cumplimiento de las políticas del proveedor.

5.8 Stripe Identity (KYC). Para los procedimientos KYC, en particular de Anfitriones y Promotores, Inmedia S.r.l. utiliza el servicio Stripe Identity de Stripe Payments Europe Ltd. Stripe Identity adquiere directamente los documentos de identidad y los selfies/vídeos de vitalidad del Interesado, ejecuta los controles de autenticidad y match, y comunica a Inmedia S.r.l. el resultado sintético (verificado/no verificado) y las coordenadas del documento. Inmedia S.r.l. no recibe los datos biométricos brutos y no conserva el selfie/vídeo del Interesado.

5.9 Verificación VIES y registros públicos. Para los números de IVA aportados, Inmedia S.r.l. efectúa una verificación automática a través del sistema VIES de la Comisión UE para los n.º de IVA UE no italianos, y a través de los archivos de la Agencia Tributaria italiana para los n.º de IVA italianos. Para las entidades jurídicas, pueden consultarse los registros de Empresas públicos para la verificación de la correcta constitución y de los poderes de representación.

5.10 Listas de sanciones internacionales. Inmedia S.r.l. efectúa screening periódico contra listas de sanciones ONU, UE, OFAC y HMT, a través de proveedores especializados que operan en calidad de Encargados. Los nombres y códigos fiscales/TIN de los Usuarios se cotejan con los nombres de las listas; en caso de potencial match, se efectúa una verificación manual para excluir falsos positivos.

5.11 Proveedores antifraude de Terceros. Con finalidades antifraude, Inmedia S.r.l. puede recibir información de riesgo de proveedores especializados como Stripe Radar, Sift Science y análogos. Dichos proveedores operan como Encargados o Responsables autónomos según la configuración contractual específica.

5.12 Sistemas de Moderación automática. Los metadatos de las decisiones de Moderación automática (Art. 3.27) son generados por las interacciones de Inmedia S.r.l. con los proveedores de inteligencia artificial de Terceros (modelo lingüístico para textos y servicio de análisis de imágenes), que operan en calidad de Encargados conforme al art. 28 del RGPD. Los Contenidos UGC del Usuario se transmiten a dichos proveedores exclusivamente a los efectos de la Moderación automática y por el tiempo estrictamente necesario para el análisis.

5.C — Recopilación automática

5.13 Datos de Uso a través de Instrumentos de Rastreo. Los Datos de Uso (apartados 3.28-3.30) se recopilan automáticamente a través de los Instrumentos de Rastreo descritos en la Política de Cookies. La recopilación se realiza sobre la base de las preferencias expresadas por el Interesado en el Panel de Preferencias, en cumplimiento de la Resolución del Garante italiano de 10/06/2021 y del modelo Consent Mode v2.

5.14 Logs de seguridad y auditoría. Los logs de seguridad de los sistemas (accesos, transacciones, check-ins, errores, eventos relevantes) se recopilan automáticamente y se conservan con finalidades de seguridad informática, investigación de incidentes y auditoría en los términos de la Sección 4.4 de las Condiciones Generales de Uso.

5.15 Audit trail de la eliminación de Etiquetas UGC. La eliminación de una Etiqueta UGC por parte del Interesado etiquetado o del autor de la Etiqueta genera automáticamente un rastro de auditoría que incluye timestamp e identificador del autor de la operación, en los términos del apartado 3.26 letra (d), conservado en forma anonimizada más allá de los 24 meses únicamente con finalidades de prevención de abusos de moderación.

5.D — Recopilación a partir de fuentes públicas

5.16 Fuentes públicas. Limitadamente a las finalidades antifraude y de cumplimiento (p. ej., KYC reforzado para Anfitriones con volúmenes esperados elevados), Inmedia S.r.l. puede consultar información de fuentes públicas, como publicaciones de prensa, registros públicos, redes sociales profesionales dentro de los límites permitidos por las políticas de dichas plataformas. Tales consultas se efectúan en cumplimiento del principio de minimización y a las solas finalidades antedichas.

ART. 6 — MODALIDADES DE TRATAMIENTO Y MEDIDAS DE SEGURIDAD

6.A — Modalidades de tratamiento

6.1 Instrumentos. El tratamiento de los Datos Personales se realiza tanto con instrumentos automatizados (sistemas informáticos, procesos automáticos, algoritmos de inteligencia artificial para la Moderación automática y el cálculo del Trust Score) como, cuando sea necesario, manualmente (consulta, modificación, gestión de las solicitudes de los Interesados, gestión de disputas, revisión humana en los términos de los arts. 11 y 12). Los datos se conservan en sistemas informáticos accesibles al personal autorizado de Inmedia S.r.l., a los Encargados y — limitadamente a lo estrictamente necesario — a las Autoridades competentes.

6.2 Personas autorizadas al tratamiento. Los Datos Personales son tratados por personal de Inmedia S.r.l. formalmente autorizado y formado en los temas de protección de datos personales en los términos del art. 29 del RGPD y del art. 2-quaterdecies del Código italiano de protección de datos. Las autorizaciones se conceden según el principio del need-to-know (acceso mínimo necesario para la función) y del least-privilege, y son revisadas periódicamente.

6.3 Principios. El tratamiento se efectúa según los principios de:

• (a) licitud, lealtad y transparencia (art. 5, apartado 1, letra a) del RGPD);

• (b) limitación de la finalidad (art. 5, apartado 1, letra b) del RGPD) — los datos recopilados para una finalidad no se tratan para finalidades incompatibles;

• (c) minimización (art. 5, apartado 1, letra c) del RGPD) — se recopilan únicamente los datos pertinentes, adecuados y limitados a lo necesario;

• (d) exactitud (art. 5, apartado 1, letra d) del RGPD) — los datos se mantienen actualizados y precisos;

• (e) limitación de la conservación (art. 5, apartado 1, letra e) del RGPD) — los datos se conservan durante el tiempo estrictamente necesario;

• (f) integridad y confidencialidad (art. 5, apartado 1, letra f) del RGPD) — los datos se protegen frente a tratamientos no autorizados o ilícitos, pérdida, destrucción o daño accidental;

• (g) responsabilidad proactiva (accountability) (art. 5, apartado 2 del RGPD) — Inmedia S.r.l. mantiene la documentación de las medidas adoptadas y está en condiciones de demostrar el cumplimiento.

6.B — Medidas de seguridad técnicas

6.4 Medidas técnicas. Inmedia S.r.l. adopta medidas técnicas de seguridad adecuadas al riesgo del tratamiento en los términos del art. 32 del RGPD, incluyendo:

• (a) cifrado de los datos en tránsito mediante TLS 1.2 o superior para todas las comunicaciones con la Plataforma;

• (b) cifrado de los datos en reposo para datos sensibles y de particular relevancia (p. ej., documentos de identidad, datos bancarios) mediante algoritmos de cifrado estándar del sector (AES-256 o equivalentes);

• (c) hashing seguro de las contraseñas mediante algoritmos criptográficos (bcrypt, scrypt o Argon2) con salt único por contraseña;

• (d) autenticación de dos factores (2FA) basada en aplicación authenticator TOTP y códigos de recuperación, disponible para todas las cuentas; obligatoria para Anfitriones y Promotores con volúmenes relevantes y para el personal de Inmedia S.r.l. con acceso a sistemas críticos, en los términos de la Sección 4.2 de las Condiciones Generales de Uso;

• (e) re-autenticación para operaciones sensibles (modificación de correo electrónico, contraseña, ajustes de visibilidad, indexación, clasificación, Etiqueta UGC) incluso con sesión activa, en protección frente a ataques de account takeover;

• (f) segregación de los entornos de desarrollo, staging y producción;

• (g) firewall, intrusion detection e intrusion prevention en las fronteras de la red;

• (h) escaneos periódicos de vulnerabilidades y penetration tests anuales;

• (i) backups cifrados y geográficamente distribuidos, con verificación periódica de la restauración;

• (j) actualizaciones de seguridad oportunas (patch management) en sistemas operativos, aplicaciones y bibliotecas;

• (k) pseudonimización de los datos de análisis cuando sea posible, incluyendo el redondeo de las coordenadas GPS de los check-ins en los logs del sistema (apdo. 3.16);

• (l) eliminación irreversible de los metadatos EXIF de las fotografías cargadas, como medida técnica de privacy by design (apdo. 3.22);

• (m) conservación de la dirección IP y user-agent en las sesiones y en los principales eventos con finalidades de auditoría, según el principio de minimización.

6.C — Medidas de seguridad organizativas

6.5 Medidas organizativas. Se adoptan asimismo medidas organizativas como:

• (a) políticas de seguridad documentadas y periódicamente actualizadas;

• (b) formación del personal en temas de protección de datos;

• (c) clasificación de la información por niveles de sensibilidad;

• (d) data protection by design and by default integrada en los nuevos desarrollos (art. 25 del RGPD), con particular referencia a las funcionalidades sociales y de geolocalización (ajustes de privacidad por defecto restrictivos, elección granular de la visibilidad para el check-in individual, opt-outs granulares);

• (e) evaluación de impacto relativa a la protección de datos (EIPD/DPIA) en los términos del art. 35 del RGPD para tratamientos de alto riesgo, incluyendo los relativos a la Moderación automática IA, el cálculo del Trust Score y el tratamiento de check-ins geolocalizados;

• (f) registro de las actividades de tratamiento en los términos del art. 30 del RGPD;

• (g) auditorías internas e independientes periódicas, también sobre la eficacia de los sistemas de Moderación automática;

• (h) procedimiento de gestión de incidentes de seguridad integrado con el procedimiento de notificación de Violación de Datos.

6.D — Seguridad conforme a NIS2

6.6 Cumplimiento NIS2. Dentro de los límites de los requisitos aplicables a Inmedia S.r.l. en los términos de la Directiva (UE) 2022/2555 (NIS2) tal como transpuesta en Italia, se adoptan medidas de seguridad informática proporcionadas al nivel de riesgo identificado, con particular referencia a: gestión de riesgos cyber, incident response, continuidad operativa, seguridad de la supply chain, formación del personal.

6.E — Violación de Datos

6.7 Procedimiento. En caso de Violación de Datos con riesgo para los derechos y libertades de los Interesados, Inmedia S.r.l. notifica al Garante italiano en las 72 horas siguientes al conocimiento del incidente (art. 33 del RGPD) y — cuando el riesgo sea elevado — comunica prontamente el evento a los Interesados según las modalidades y con los contenidos previstos por el art. 34 del RGPD. Inmedia S.r.l. mantiene un registro interno de todas las Violaciones de Datos, independientemente de su gravedad.

ART. 7 — DESTINATARIOS DE LOS DATOS PERSONALES Y COMUNICACIÓN

Los Datos Personales pueden ser comunicados a las categorías de destinatarios descritas a continuación, cada una dentro de los límites y con las finalidades indicadas más abajo. La comunicación se rige por acuerdos contractuales específicos o, cuando sea requerido por la ley, se efectúa en aplicación de obligaciones regulatorias.

7.A — Encargados del Tratamiento

7.1 Encargados. Las siguientes categorías de sujetos operan en calidad de Encargados del Tratamiento en los términos del art. 28 del RGPD, sobre la base de acuerdos contractuales (DPA — Data Processing Agreement) que regulan la naturaleza, el objeto, la duración, las finalidades del tratamiento, los tipos de datos, las categorías de interesados, las obligaciones y los derechos del Responsable:

• (a) proveedores de cloud hosting (p. ej., Amazon Web Services, Google Cloud, Microsoft Azure, Laravel Cloud) — alojamiento de la infraestructura aplicativa;

• (b) proveedores de servicios de seguridad y edge (p. ej., Cloudflare, Akamai) — protección DDoS, Web Application Firewall, Content Delivery Network, caching en los bordes de la red;

• (c) proveedores de servicios de analítica (configurados como Encargados — p. ej., Matomo self-hosted, Plausible Analytics) — analítica web en modalidad anonimizada;

• (d) proveedores de servicios de correo electrónico transaccional y newsletter (p. ej., SendGrid, Mailgun, Postmark, Brevo, Klaviyo) — envío de correos electrónicos transaccionales, de servicio y de marketing;

• (e) proveedores de servicios SMS y push notification (p. ej., Twilio, Firebase Cloud Messaging) — envío de OTP, alertas, notificaciones push;

• (f) proveedores de servicios de customer support (p. ej., Intercom, Zendesk, Freshdesk, HubSpot) — gestión técnica del sistema de ticket y del Guest Help;

• (g) proveedores de servicios antifraude (configurados como Encargados) — risk scoring, device fingerprinting;

• (h) proveedores de servicios KYC (p. ej., Stripe Identity para la parte de tratamiento operada por encargo) — verificación documental;

• (i) proveedores de sistemas de inteligencia artificial para la Moderación automática de Contenidos UGC, en particular:

  • (i.1) Anthropic, PBC — modelo lingüístico para la clasificación textual de reseñas, publicaciones, comentarios y propuestas;

  • (i.2) Google LLC — servicio de análisis de imágenes (Vision API) para la detección de contenidos para adultos, violentos u ofensivos en las fotografías;

• (j) despachos legales y consultores vinculados por secreto profesional, para actividades de consultoría legal, fiscal y de cumplimiento;

• (k) sociedades de auditoría y certificación, para obligaciones legales.

7.2 Lista actualizada. La lista actualizada de los Encargados nombrados por Inmedia S.r.l., con indicación de su ubicación y de las garantías de transferencia adoptadas, está disponible a solicitud del Interesado en la dirección legal@stravagando.com.

7.B — Responsables autónomos

7.3 Responsables autónomos. Las siguientes categorías de sujetos reciben Datos Personales en calidad de Responsables autónomos del Tratamiento, persiguiendo finalidades determinadas por ellos mismos de manera autónoma. Inmedia S.r.l. no es responsable de los tratamientos efectuados por dichos sujetos, a cuyas respectivas políticas de privacidad se remite:

• (a) Stripe Payments Europe Ltd — para los servicios de pago, escrow, Connect, antifraude Radar, KYC Identity (para la parte autónoma del tratamiento), reporting fiscal;

• (b) entidades bancarias del Responsable y de los Usuarios — para la ejecución de pagos SEPA y SWIFT;

• (c) plataformas publicitarias y redes sociales (Meta, Google, TikTok, LinkedIn, Microsoft, Pinterest, X, Reddit, Snapchat) — para finalidades de marketing y perfilado, sobre la base del consentimiento prestado por el Usuario, con la salvedad de las limitaciones para menores del art. 4.10;

• (d) proveedores SSO (Google, Apple, Meta/Facebook) — para los servicios de autenticación single sign-on;

• (e) Autoridades judiciales, fiscales, administrativas, de control y de seguridad pública italianas y extranjeras competentes, en aplicación de obligaciones regulatorias o solicitudes autoritativas legítimas, incluidos los Coordinadores de los Servicios Digitales en los términos del DSA, los Trusted Flaggers reconocidos en los términos del art. 22 del DSA, la Comisión UE para los intercambios en el ámbito de la Statements of Reasons database;

• (f) Agencia Tributaria italiana — para los cumplimientos DAC7 y fiscales;

• (g) UIF del Banco de Italia — para los informes antiblanqueo;

• (h) Internal Revenue Service (IRS) estadounidense — para los Form 1099 y los cumplimientos fiscales EE. UU. de los Usuarios residentes en EE. UU.

7.4 OpenStreetMap Foundation. Una parte importante de los datos del catálogo de Lugares se obtiene de OpenStreetMap, distribuida bajo licencia Open Database License (ODbL) v1.0. Tal circunstancia no comporta el tratamiento de Datos Personales de los Usuarios por parte de OpenStreetMap Foundation en relación con el uso del Servicio por parte de los Usuarios, y la atribución "© OpenStreetMap contributors" se muestra en cada página que presenta datos OSM en los términos de la Sección 15.2 de las Condiciones Generales de Uso.

7.C — Comunicación entre Usuarios de la Plataforma

7.5 Transparencia entre Anfitrión y Cliente. Los Datos Personales se comunican entre Anfitrión y Cliente, en la medida estrictamente necesaria para la ejecución de las reservas en el marketplace, según las siguientes reglas:

• (a) antes de la confirmación de la reserva: el Anfitrión ve el nombre y la inicial del apellido del Cliente, la imagen de perfil, el rating agregado y el número de Experiencias ya completadas;

• (b) tras la confirmación de la reserva: el Anfitrión recibe el nombre completo del Cliente, contacto de correo electrónico y telefónico para la comunicación operativa;

• (c) el Cliente ve siempre el perfil público del Anfitrión, con datos comerciales (denominación, ciudad, rating, reseñas públicas).

El Anfitrión y el Cliente actúan cada uno en calidad de Responsable autónomo del Tratamiento para los datos así comunicados, y se comprometen — en los términos de sus respectivas Condiciones Generales — a tratar los datos recibidos exclusivamente con las finalidades de ejecución de la Experiencia reservada, en cumplimiento de la normativa de protección de datos personales. Inmedia S.r.l. no es responsable de los tratamientos efectuados por el Anfitrión o el Cliente en calidad de Responsables autónomos.

7.6 Visibilidad entre Usuarios de la comunidad social. En el ámbito de las funcionalidades sociales de la Plataforma, los Datos Personales del Usuario son visibles a otros Usuarios registrados y — cuando el Perfil esté configurado como público e indexable — al público general, según los ajustes gestionados de forma autónoma por el Interesado (apdo. 3.2 letra g). Tal visibilidad comprende, según los ajustes:

• (a) el username, la imagen de Perfil y la bio breve;

• (b) los Contenidos UGC publicados con visibilidad pública o extendida a la red de seguimiento recíproco (publicaciones, comentarios, reseñas, fotografías, check-ins con visibilidad "Amigos" o "Todos");

• (c) la posición en las clasificaciones públicas (Nivel, XP del período), para los Usuarios que mantengan activo el ajuste show_in_leaderboards;

• (d) las menciones recibidas mediante Etiquetas UGC válidamente aplicadas;

• (e) las relaciones de seguimiento cuando se hagan visibles.

Los demás Usuarios que disfrutan de tales Contenidos actúan cada uno con finalidades personales o, si comerciales, en calidad de Responsables autónomos del Tratamiento, con la salvedad de las restricciones de uso previstas por las Condiciones Generales de Uso (en particular la prohibición de scraping no autorizado, en los términos de la Sección 14).

7.7 Reseñas públicas. Las reseñas dejadas por los Usuarios sobre las Experiencias, sobre los Lugares y sobre los Anfitriones se publican en el perfil público de la Experiencia/Lugar/Anfitrión con visibilidad del username del autor de la reseña, y son indexables por los motores de búsqueda cuando el Perfil del autor de la reseña esté configurado como indexable o cuando el público esté configurado a nivel de Lugar. El Usuario que publica una reseña:

• (a) consiente la publicación y la visibilidad pública;

• (b) garantiza que el contenido es verídico, basado en una experiencia real en los términos de la Directiva (UE) 2019/2161, y no vulnera derechos de terceros;

• (c) puede solicitar la modificación o eliminación de la propia reseña a través del panel de la cuenta o solicitud a legal@stravagando.com.

7.8 DSA — Notice & Action y tutela del anonimato del denunciante. En aplicación del Reglamento (UE) 2022/2065 (DSA), Inmedia S.r.l. pone a disposición un mecanismo de denuncia de contenidos potencialmente ilegales o que vulneren derechos de terceros (procedimiento notice and action), accesible desde la sección dedicada de la Plataforma. Las denuncias y las decisiones de moderación se registran y conservan, con referencia a los sujetos implicados, según los plazos de conservación del art. 9.

La identidad del denunciante no se expone al Usuario denunciado en ninguna fase del procedimiento, en coherencia con la Sección 12-bis.1 de las Condiciones Generales de Uso y en protección frente a represalias y en garantía de la libertad de denuncia. La identidad del denunciante puede revelarse exclusivamente a solicitud de la Autoridad competente.

7.D — Comunicaciones en caso de operaciones extraordinarias

7.9 Cesión, fusión, adquisición. En caso de cesión, fusión, adquisición u otra operación extraordinaria que afecte a Inmedia S.r.l. (o rama de empresa que incluya la Plataforma), los Datos Personales pueden transferirse al cesionario/absorbente en calidad de nuevo Responsable del Tratamiento, según modalidades conformes al art. 4 del RGPD y con información previa adecuada a los Interesados cuando esté prevista por la ley aplicable. Queda firme el derecho del Interesado a oponerse a la transferencia cuando la base jurídica del tratamiento posterior lo permita.

7.E — Prohibición de venta

7.10 No sale. Inmedia S.r.l. no vende los Datos Personales de los Usuarios a terceros con finalidades comerciales. Para los residentes en EE. UU., véase el siguiente art. 13 en materia de CCPA/CPRA para la definición de "sale" y "sharing".

ART. 8 — TRANSFERENCIAS FUERA DEL EEE

8.1 Principio. Algunos de los tratamientos descritos comportan la transferencia de Datos Personales fuera del Espacio Económico Europeo (EEE), en particular a los Estados Unidos de América, al Reino Unido y a otros Países terceros, en relación con la prestación de servicios esenciales para la Plataforma (pagos, cloud hosting, marketing, soporte al cliente, KYC, Moderación automática con sistemas de inteligencia artificial).

8.2 Garantías adoptadas. Las transferencias fuera del EEE se realizan en cumplimiento del Capítulo V del RGPD, mediante una o más de las siguientes garantías:

• (a) Decisiones de adecuación de la Comisión UE conforme al art. 45 del RGPD, cuando sean aplicables (Reino Unido, Suiza, Israel, Canadá parcial, Andorra, Argentina, Japón, Nueva Zelanda, República de Corea, Uruguay, Estados Unidos limitadamente a las organizaciones certificadas al EU-US Data Privacy Framework);

• (b) EU-US Data Privacy Framework para las transferencias a los Estados Unidos, con confirmación de la certificación del destinatario al framework aprobado por la Comisión UE con Decisión de adecuación de 10 de julio de 2023;

• (c) Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión UE con Decisión de ejecución 2021/914, en los términos del art. 46, apartado 2, letra c) del RGPD, integradas con medidas técnicas y organizativas adicionales cuando sea necesario sobre la base del Transfer Impact Assessment (TIA) conducido por Inmedia S.r.l.;

• (d) Normas corporativas vinculantes (Binding Corporate Rules — BCR) aprobadas conforme al art. 47 del RGPD, cuando sean aplicables al destinatario;

• (e) excepciones ex art. 49 del RGPD, en casos específicos y residuales (p. ej., consentimiento explícito del Interesado, ejecución de un contrato a su solicitud, motivos de interés público).

8.3 Transparencia. Inmedia S.r.l. proporciona al Interesado que lo solicite — en la dirección legal@stravagando.com — una copia de las garantías adoptadas para la transferencia extra-EEE específica, según modalidades conformes al art. 13, apartado 1, letra f) del RGPD.

8.4 Principales transferencias específicas. A título informativo, las principales transferencias fuera del EEE actualmente efectuadas se refieren a:

• (a) Estados Unidos — pagos: Stripe Payments Europe Ltd comparte con Stripe Inc. (sociedad matriz) parte de los datos de pago, con adopción de las CCT integradas con medidas técnicas adicionales;

• (b) Estados Unidos — cloud y seguridad: Google Cloud, Microsoft Azure (limitadamente a regiones no UE seleccionadas), Cloudflare, Amazon Web Services para las solas regiones no europeas cuando se utilicen excepcionalmente, bajo EU-US Data Privacy Framework y CCT residuales cuando sea necesario;

• (c) Estados Unidos — Moderación automática: Anthropic, PBC para el modelo lingüístico de clasificación textual de los Contenidos UGC, bajo CCT integradas y — cuando la certificación se mantenga por el destinatario — EU-US Data Privacy Framework; Google LLC para el servicio Vision API de análisis de imágenes, en las mismas condiciones;

• (d) Reino Unido: algunos proveedores de analítica y seguridad tienen parte de operaciones en el Reino Unido, bajo Decisión de adecuación UK;

• (e) Estados Unidos — marketing: los partners publicitarios Meta, Google, TikTok, LinkedIn, Microsoft para finalidades de marketing, bajo CCT y EU-US DPF.

ART. 9 — CONSERVACIÓN DE LOS DATOS PERSONALES

Los Datos Personales se conservan durante el tiempo estrictamente necesario para la consecución de las finalidades para las que fueron recopilados, según el principio de limitación de la conservación previsto por el art. 5, apartado 1, letra e) del RGPD. A continuación se indican los plazos típicos de conservación, salvo causas de prórroga conectadas a disputas, investigaciones por parte de Autoridades competentes, obligaciones regulatorias sobrevenidas, ejercicio de derechos del Interesado o supuestos de Legal Hold del art. 9-bis.

9.A — Cuenta y Perfil

9.1 Cuenta activa. Los datos de la cuenta y del Perfil se conservan durante toda la duración de la relación contractual (cuenta activa).

9.2 Cancelación voluntaria self-service. En caso de cancelación de la cuenta a solicitud directa del Interesado mediante la funcionalidad self-service de la Plataforma (ruta account.gdpr.delete, en los términos de la Sección 20 de las Condiciones Generales de Uso), los datos identificativos de la cuenta se someten a soft-delete y se conservan durante 90 días a partir de la fecha de la solicitud, transcurridos los cuales se eliminan definitivamente. Este plazo se justifica por la necesidad de gestionar eventuales reclamaciones, impugnaciones de abusos y cumplimiento legal, en coherencia con las reglas de retention aplicadas a los Usuarios sancionados.

9.3 Suspensión, sanción o ban de la cuenta. En caso de suspensión o ban de la cuenta en los términos de la Sección 13 de las Condiciones Generales de Uso, los Contenidos públicos del Usuario se ocultan inmediatamente y se conservan en soft-delete durante 90 días, transcurridos los cuales se eliminan definitivamente, salvo supuestos de Legal Hold.

9.4 Cuenta no cerrada activamente. En ausencia de solicitud explícita de cancelación por parte del Interesado y en ausencia de sanciones, los datos de la cuenta pueden conservarse durante otros 24 meses tras la última actividad significativa detectada, con finalidades de gestión de eventuales disputas y solicitudes de Autoridades competentes. Inmedia S.r.l. se reserva la facultad de introducir, en los términos de la Sección 21 de las Condiciones Generales de Uso, un mecanismo de cierre automático por inactividad prolongada, con preaviso no inferior a 30 días por correo electrónico.

9.B — Contenidos UGC

9.5 Contenidos UGC eliminados voluntariamente. Los Contenidos UGC eliminados por el Interesado mediante las funcionalidades de la Plataforma se someten a soft-delete: hechos inmediatamente invisibles desde la interfaz pública y conservados en base de datos durante 30 días con finalidades de eventuales auditorías, controles de seguridad y procedimientos disciplinarios internos, transcurridos los cuales se eliminan definitivamente, en los términos de la Sección 6.5 de las Condiciones Generales de Uso y salvo supuestos de Legal Hold.

9.6 Contenidos UGC publicados y activos. Los Contenidos UGC publicados y activos se conservan durante la duración de la publicación, normalmente durante la duración de la cuenta del Interesado que los ha publicado, salvo solicitud de eliminación por parte del Interesado o ejercicio de derechos.

9.7 Reseñas públicas. Las reseñas dejadas sobre las Experiencias y los Lugares se conservan durante la duración de la publicación del perfil de la Experiencia/Lugar, salvo solicitud de rectificación o eliminación por parte del autor de la reseña o ejercicio de derechos del Interesado. El cese de la actividad del Anfitrión no comporta automáticamente la eliminación de las reseñas históricas, siendo las mismas pertinentes para la comunidad de Usuarios.

9.C — Check-in y Sistema de Gamificación

9.8 Check-ins. Los check-ins se conservan en el historial de actividad del Usuario durante un tiempo indefinido durante la vida de la cuenta, salvo eliminación a solicitud del Interesado o ejercicio de los derechos del art. 10. La eliminación de un check-in lo retira de la interfaz pública y del historial personal, pero no comporta automáticamente la disminución de los XP acumulados ni la pérdida de los Logros obtenidos, considerando la irrevocabilidad histórica de los reconocimientos de gamificación, salvo supuestos de constatación de abusos o fraudes en los términos de la Sección 7.2 de las Condiciones Generales de Uso.

9.9 Elementos del Sistema de Gamificación. Los XP, Niveles, Logros, Streaks y otros elementos del Sistema de Gamificación se conservan durante la duración de la cuenta del Usuario. En caso de cancelación de la cuenta, los elementos se eliminan sin derecho a indemnización, en coherencia con su naturaleza simbólica (Sección 9.1 de las Condiciones Generales de Uso). Queda firme la conservación en forma agregada y anonimizada de los datos estadísticos, cuando sea técnicamente irreversible.

9.D — Etiqueta UGC y Moderación automática

9.10 Etiqueta UGC. Las Etiquetas UGC asociadas a los Contenidos se conservan durante la vida del Contenido al que están asociadas. En caso de eliminación de la Etiqueta por parte del Interesado (etiquetador o etiquetado), la asociación entre identificador del Usuario e identificador del Contenido se elimina inmediatamente; el hecho histórico de la eliminación queda conservado en forma anonimizada (timestamp y rol del autor — etiquetador o etiquetado — sin identificador personal) durante un máximo de 24 meses, con finalidades de auditoría de moderación y prevención de abusos, en coherencia con el apartado 3.26 letra (e).

9.11 Metadatos de Moderación automática. Los metadatos de las decisiones de Moderación automática (apdo. 3.27) se conservan durante 36 meses a partir de la decisión, prorrogables en caso de disputa, reclamación DSA aún no definida o investigaciones por parte de Autoridades competentes. La conservación responde a las finalidades de auditoría, mejora de los sistemas, gestión de reclamaciones, cumplimiento de las obligaciones de transparencia previstas por el AI Act y por el DSA, y tutela de los derechos de Inmedia S.r.l. en las disputas.

9.E — Datos de transacción, fiscales y antiblanqueo

9.12 Datos de transacción y facturación. Conservados durante 10 años a partir de la fecha de la transacción, en los términos del art. 2220 del Código Civil italiano y de la normativa fiscal (D.P.R. italiano 600/1973, D.P.R. italiano 633/1972).

9.13 Datos DAC7. Audit log DAC7 y dataset transmitido a la Agencia Tributaria italiana: 10 años a partir de la transmisión, en los términos del Decreto Legislativo italiano 32/2023.

9.14 Datos antiblanqueo. 5 años a partir del cese de la relación, en los términos del art. 31 del Decreto Legislativo italiano 231/2007 y del Reglamento (UE) 2024/1624. Para las comunicaciones de operaciones sospechosas a la UIF, conservación según las indicaciones de la normativa aplicable y en cumplimiento de la prohibición de tipping-off.

9.15 Datos KYC y documentos de identidad. Durante la duración de la relación contractual y durante los 5 años siguientes, salvo necesidades antiblanqueo. Los datos biométricos eventualmente generados por Stripe Identity no son conservados por Inmedia S.r.l. y están sujetos a las políticas de conservación de Stripe.

9.F — Comunicaciones, seguridad y marketing

9.16 Comunicaciones con el servicio al cliente. 24 meses a partir de la fecha de la comunicación, prorrogables en caso de disputa o investigaciones por parte de Autoridades.

9.17 Conversaciones de Guest Help. Las conversaciones con los Visitantes no registrados gestionadas mediante token de correo electrónico se someten a cierre automático por inactividad transcurrido un plazo determinado (indicado en las Especificaciones Técnicas del Servicio), tras el cual los datos se conservan según las reglas de conservación aplicadas a los Contenidos UGC.

9.18 Mensajería entre Usuarios mediante la Plataforma. 18 meses a partir de la fecha del último mensaje en la conversación, prorrogables en caso de disputa o denuncia DSA. Las comunicaciones operativas conectadas a una reserva concluida pueden conservarse durante la duración del período de garantía/reclamación del servicio correlacionado.

9.19 Datos de seguridad y antifraude. 24 meses a partir de la recopilación, prorrogables en caso de necesidades de investigación o disputas.

9.20 Datos de marketing y perfilado. Hasta 24 meses a partir de la última interacción del Usuario con la comunicación de marketing o, si es anterior, hasta la revocación del consentimiento. Datos de perfilado desagregados: según los plazos específicos de los Instrumentos de Rastreo individuales, indicados en la Política de Cookies.

9.21 Listas de supresión de las newsletter. Conservación indefinida de la sola información mínima necesaria para impedir la nueva inscripción de un Interesado que se ha dado de baja, hasta la solicitud de eliminación también del registro de supresión por parte del propio Interesado.

9.22 Datos de los Instrumentos de Rastreo (Cookies). Véase la Política de Cookies para los plazos específicos por categoría.

9.23 Consent log. 10 años a partir de la recopilación del consentimiento o de la revocación, con finalidades probatorias y de accountability.

9.24 Logs de auditoría de seguridad. 24 meses, prorrogables en caso de investigaciones o disputas.

9.25 Datos relativos a disputas. Durante toda la duración de la disputa y durante los plazos prescriptivos posteriores conforme al Código Civil italiano (típicamente 10 años a partir del cese de la causa), o durante plazos más largos previstos por las Autoridades competentes.

9.G — Eliminación y anonimización

9.26 Eliminación automática. Al vencimiento de los plazos de conservación, los Datos Personales se eliminan o anonimizan de manera irreversible. La eliminación se ejecuta automáticamente por los sistemas informáticos, con verificación periódica mediante auditoría.

9.27 Conservación en forma anonimizada. Los datos pueden conservarse en forma anonimizada (es decir, no reconducibles a una persona identificada o identificable) también más allá de los plazos arriba indicados, con finalidades estadísticas y de mejora del Servicio. La anonimización se ejecuta según estándares técnicos reconocidos que impiden la reidentificación.

ART. 9-bis — LEGAL HOLD Y PRÓRROGA DE LA CONSERVACIÓN

El presente artículo describe el régimen del Legal Hold, es decir, la prórroga de la conservación de Datos Personales o Contenidos específicos en derogación de los plazos ordinarios indicados en el art. 9, en coherencia con la Sección 16.1 de las Condiciones Generales de Uso.

9-bis.A — Presupuestos

9-bis.1 Supuestos de Legal Hold. Inmedia S.r.l. se reserva la facultad de prorrogar la conservación de datos o Contenidos específicos más allá del plazo estándar del art. 9, limitadamente a lo que y durante el tiempo estrictamente necesarios, ante el surgimiento de una de las siguientes circunstancias:

• (a) solicitud formal de la Autoridad judicial, Policía judicial u otra Autoridad competente — a título de ejemplo: órdenes de exhibición, secuestros probatorios, órdenes de conservación en los términos del art. 254-bis del Código de Procedimiento Penal italiano, solicitudes en los términos de la Convención de Budapest sobre cibercrimen, providencias del Garante italiano;

• (b) procedimiento disciplinario interno o reclamación DSA en curso en los términos de las Secciones 12-bis y 13 de las Condiciones Generales de Uso, hasta la correspondiente definición;

• (c) disputa legal, judicial o extrajudicial, pendiente o razonablemente previsible, que afecte a los datos o Contenidos de que se trate, para la determinación o defensa de un derecho en juicio (art. 17, apartado 3, letra e) del RGPD);

• (d) obligación legal específica que imponga la conservación — a título de ejemplo: obligaciones fiscales conforme al art. 2220 del Código Civil italiano para los datos relativos a las transacciones del marketplace; obligaciones antiblanqueo conforme al Decreto Legislativo italiano 231/2007 y al Reglamento (UE) 2024/1624; obligaciones de reporting fiscal conforme a la Directiva (UE) 2021/514 (DAC7) y al Decreto Legislativo italiano 32/2023; obligaciones de conservación de datos de tráfico telemático conforme al Decreto Legislativo italiano 196/2003.

9-bis.B — Modalidades de aplicación

9-bis.2 Criterios. En todos los supuestos de Legal Hold:

• (a) la conservación está limitada a los datos y Contenidos específicamente pertinentes para la finalidad que justifica la prórroga y no se extiende al patrimonio informacional global del Interesado;

• (b) los datos en Legal Hold son accesibles exclusivamente al personal autorizado y a los destinatarios de la solicitud legítima, y no entran en la visibilidad ordinaria de la Plataforma;

• (c) la duración es la estrictamente necesaria para el logro de la finalidad; al cese de la causa los datos se eliminan sin más demora;

• (d) salvo prohibición de la Autoridad solicitante o de normas legales (a título de ejemplo: secreto sumarial en los términos del art. 329 del Código de Procedimiento Penal italiano), Inmedia S.r.l. informa al Interesado de la prórroga efectuada y de la correspondiente motivación, de manera compatible con las necesidades investigativas.

9-bis.C — Efectos sobre los derechos del Interesado

9-bis.3 Ejercicio de los derechos RGPD. La existencia de un procedimiento de Legal Hold no suspende ni limita por sí misma los derechos del Interesado de los arts. 15-22 del RGPD, salvo las excepciones previstas por el art. 23 del RGPD y por la normativa aplicable (secreto sumarial, necesidades judiciales, etc.). El ejercicio del derecho de supresión (art. 17 del RGPD) puede ser temporalmente suspendido, para los solos datos y por el tiempo estrictamente necesario, en coherencia con el art. 17, apartado 3 del RGPD. El Interesado es informado de la eventual suspensión, con la salvedad de lo dispuesto en el apartado 9-bis.2 letra (d).

9-bis.4 Derecho a la portabilidad. La exportación de datos con finalidades de portabilidad del art. 20 del RGPD no incluye los Contenidos eventualmente sujetos a Legal Hold; la inclusión de tales Contenidos es posible exclusivamente a solicitud formal de la Autoridad competente.

ART. 10 — DERECHOS DE LOS INTERESADOS

El Interesado tiene derecho a ejercer, en cualquier momento y de manera gratuita (salvo solicitudes manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, para las que Inmedia S.r.l. podrá exigir una contribución razonable a los costes o rechazar la tramitación de la solicitud, en los términos del art. 12, apartado 5 del RGPD), los derechos descritos a continuación.

10.A — Derechos previstos por el RGPD

10.1 Derecho de acceso (art. 15 del RGPD). El Interesado tiene derecho a obtener la confirmación de si se están tratando o no Datos Personales que le conciernen y, en tal caso, a obtener acceso a dichos Datos Personales y a la información indicada en la presente Política. A solicitud, Inmedia S.r.l. proporciona una copia de los Datos Personales objeto de tratamiento.

10.2 Derecho de rectificación (art. 16 del RGPD). El Interesado tiene derecho a obtener sin dilación indebida la rectificación de los Datos Personales inexactos que le conciernen, así como, teniendo en cuenta las finalidades del tratamiento, la integración de los Datos Personales incompletos — también mediante una declaración complementaria. La mayoría de los datos del Perfil son modificables de forma autónoma por el Interesado desde el área reservada de la propia cuenta.

10.3 Derecho de supresión ("derecho al olvido") (art. 17 del RGPD). El Interesado tiene derecho a obtener la supresión de los propios Datos Personales, en los supuestos previstos por el art. 17 del RGPD, en particular cuando:

• (a) los datos ya no son necesarios para las finalidades para las que fueron recopilados;

• (b) el Interesado revoca el consentimiento y no existe otro fundamento jurídico para el tratamiento;

• (c) el Interesado se opone al tratamiento conforme al art. 21 del RGPD y no prevalecen motivos legítimos preponderantes para Inmedia S.r.l. para continuar el tratamiento;

• (d) los datos han sido tratados ilícitamente;

• (e) los datos deben ser suprimidos para cumplir una obligación legal.

El Interesado puede ejercer el derecho de supresión integral de la propia cuenta directamente desde la Plataforma, mediante la funcionalidad self-service descrita en la Sección 20 de las Condiciones Generales de Uso, o escribiendo a legal@stravagando.com.

Limitaciones específicas a la supresión. El derecho de supresión no se aplica en los supuestos previstos por el art. 17, apartado 3 del RGPD, en particular:

• (i) para el cumplimiento de obligaciones legales (p. ej., conservación fiscal de los datos relativos a las transacciones del marketplace conforme al art. 2220 del Código Civil italiano — 10 años; conservación antiblanqueo — 5 años; audit log DAC7 — 10 años);

• (ii) para el ejercicio o defensa de un derecho en juicio;

• (iii) en los supuestos de Legal Hold del art. 9-bis;

• (iv) para las reseñas públicas que — aunque despersonalizables (mediante sustitución del identificador del autor de la reseña) — pueden mantenerse en línea para la transparencia informativa hacia la comunidad de Usuarios.

La cancelación de la cuenta comporta la caducidad simbólica de los elementos del Sistema de Gamificación (XP, Niveles, Logros, Streaks), en coherencia con su naturaleza ex Sección 9.1 de las Condiciones Generales de Uso, sin derecho a indemnización. La eliminación de un check-in individual no comporta la disminución automática de los XP atribuidos ni la pérdida de los Logros obtenidos, considerando la irrevocabilidad histórica de los reconocimientos de gamificación (apdo. 9.8). La cancelación comporta asimismo la eliminación de las Etiquetas UGC "entrantes" (Etiquetas que indican al Interesado en Contenidos de otros Usuarios) y la terminación de las relaciones de seguimiento activas.

10.4 Derecho a la limitación del tratamiento (art. 18 del RGPD). El Interesado tiene derecho a obtener la limitación del tratamiento de los propios Datos Personales, en los supuestos previstos por el art. 18 del RGPD. Durante el período de limitación, los datos pueden conservarse pero no pueden ulteriormente tratarse, salvo excepciones legales específicas.

10.5 Derecho a la portabilidad de los datos (art. 20 del RGPD). El Interesado tiene derecho a recibir los propios Datos Personales — limitadamente a los que ha proporcionado él mismo al Responsable y que son tratados con medios automatizados sobre la base del consentimiento o de la ejecución del contrato — en un formato estructurado, de uso común y de lectura automática, y derecho a transmitirlos a otro Responsable sin impedimentos. Cuando sea técnicamente posible, el Interesado tiene derecho a obtener la transmisión directa de los datos a otro Responsable. Inmedia S.r.l. pone a disposición una funcionalidad self-service de exportación, en los términos de la Sección 20 de las Condiciones Generales de Uso, que incluye, cuando sean relevantes:

• (a) datos de Perfil y cuenta;

• (b) Contenidos UGC publicados;

• (c) historial de check-ins personales (con las coordenadas originarias proporcionadas por el Interesado, con la salvedad de que las copias en los logs del sistema permanecen redondeadas en los términos del apdo. 3.16);

• (d) historial de reservas y transacciones;

• (e) datos de gamificación (XP, Logros, Streaks);

• (f) ajustes de privacidad y preferencias.

Las fotografías eventualmente incluidas en la exportación están desprovistas de los metadatos EXIF originarios, en los términos del apdo. 3.22. Los Contenidos sujetos a Legal Hold no se incluyen en la exportación, en los términos del art. 9-bis.4.

10.6 Derecho de oposición (art. 21 del RGPD). El Interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de los Datos Personales que le conciernen basado en el art. 6, apartado 1, letras e) o f) del RGPD (interés público o interés legítimo), a menos que Inmedia S.r.l. demuestre la existencia de motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del Interesado o para el ejercicio o defensa de un derecho en juicio.

El Interesado tiene derecho a oponerse en cualquier momento y sin necesidad de motivación al tratamiento de los Datos Personales que le conciernen para finalidades de marketing directo, incluido el perfilado conexo. Tal derecho puede ejercerse mediante:

• (a) el enlace de opt-out presente en cada comunicación de marketing;

• (b) los ajustes de la cuenta (preferencias de notificación y marketing);

• (c) el Panel de Preferencias de la Política de Cookies;

• (d) solicitud enviada a legal@stravagando.com.

El Interesado puede en particular, de forma autónoma:

• (i) desactivar la propia visibilidad en las clasificaciones públicas mediante la modificación del ajuste show_in_leaderboards;

• (ii) desactivar la Etiqueta UGC mediante la modificación del ajuste allow_ugc_tagging, con efecto inmediato sobre las tentativas posteriores;

• (iii) modificar la visibilidad del Perfil (profile_visibility) y la indexación externa (allow_search_indexing);

• (iv) configurar el nivel de visibilidad de cada check-in individual en la ejecución (Solo yo / Amigos / Todos);

• (v) revocar el consentimiento al tratamiento de los datos de geolocalización precisa desde los ajustes del dispositivo.

10.7 Derecho de revocación del consentimiento (art. 7, apartado 3 del RGPD). Cuando el tratamiento se base en el consentimiento, el Interesado tiene derecho a revocarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a la revocación. La revocación puede ejercerse a través de los mismos canales utilizados para la prestación del consentimiento.

10.B — Derechos específicos relacionados con tratamientos automatizados

10.8 Derechos previstos por el art. 22 del RGPD. El Interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado — incluido el perfilado — que produzca efectos jurídicos que le conciernan o le afecten de modo similar significativamente, con las excepciones previstas por el art. 22, apartado 2 del RGPD (necesidad para la celebración/ejecución del contrato, autorización por disposiciones legales, consentimiento explícito). Para los tratamientos que entran en este supuesto — antifraude de pagos, Trust Score, Moderación automática IA — el Interesado tiene derecho a obtener la intervención humana por parte de Inmedia S.r.l., a expresar su propio punto de vista y a impugnar la decisión, según las modalidades descritas en el art. 11.

10.C — Modalidades de ejercicio

10.9 Canales de contacto. Para el ejercicio de los derechos arriba indicados, el Interesado puede:

• (a) enviar solicitud por escrito a la dirección de correo electrónico legal@stravagando.com (asunto: "Ejercicio de derechos privacidad");

• (b) utilizar las funcionalidades self-service disponibles en el área reservada de la Plataforma (modificación del Perfil, gestión de las preferencias de privacidad y marketing, exportación de datos, cancelación de la cuenta);

• (c) enviar una carta certificada o PEC al Responsable a los contactos indicados en el art. 2;

• (d) contactar al DPD, cuando esté nombrado, en la dirección legal@stravagando.com (asunto: "DPO").

10.10 Identificación del solicitante. Para garantizar la seguridad de los datos e impedir accesos no autorizados, Inmedia S.r.l. puede solicitar al Interesado pruebas de la identidad, según modalidades proporcionadas a la solicitud. Para las operaciones sensibles efectuadas desde el área reservada de la Plataforma, está prevista la re-autenticación en los términos de la Sección 4.2 de las Condiciones Generales de Uso.

10.11 Plazos de respuesta. Inmedia S.r.l. proporciona la respuesta a la solicitud del Interesado sin demora injustificada y, en cualquier caso, dentro de 1 mes a partir de la recepción de la solicitud. Tal plazo puede prorrogarse otros 2 meses, teniendo en cuenta la complejidad y el número de las solicitudes, cuando sea necesario; el Interesado es informado de la prórroga y de los motivos del retraso dentro del plazo de 1 mes a partir de la recepción de la solicitud.

10.12 Gratuidad de la respuesta. Las solicitudes se tramitan a título gratuito. Inmedia S.r.l. puede exigir una contribución razonable a los costes únicamente en los supuestos previstos por el art. 12, apartado 5 del RGPD (solicitudes manifiestamente infundadas o excesivas).

10.D — Derecho a presentar reclamación

10.13 Reclamación. Sin perjuicio de cualquier otro recurso administrativo o jurisdiccional, el Interesado tiene derecho a presentar una reclamación ante la Autoridad de Control competente, según las modalidades descritas en el art. 15.

ART. 11 — PROCESOS DECISIONALES AUTOMATIZADOS Y PERFILADO

Inmedia S.r.l. efectúa algunos tratamientos que comportan decisiones automatizadas en los términos del art. 22 del RGPD, susceptibles potencialmente de producir efectos jurídicos o de incidir de modo significativo en la esfera personal del Interesado. Los tratamientos relevantes se describen separadamente a continuación, con indicación de la lógica aplicada, de la importancia esperada, de las consecuencias y de las garantías procedimentales adoptadas. Para los tratamientos que no producen efectos significativos (a título de ejemplo: personalización de los resultados de búsqueda, sugerencias de Experiencias, cálculo del rating agregado), se remite al art. 4.12.

11.A — Antifraude de los pagos y de la relación marketplace

11.1 Tratamiento. Inmedia S.r.l., conjuntamente con Stripe Payments Europe Ltd en calidad de Responsable autónomo del Tratamiento para la parte que le compete, elabora un score de riesgo antifraude para las transacciones en el marketplace integrado y para las relaciones con Anfitriones y Promotores, sobre la base de:

• (a) indicadores transaccionales: importe, frecuencia, BIN, país de emisión, congruencia con el perfil histórico del Usuario, velocity;

• (b) indicadores de dispositivo: device fingerprinting, user-agent, dirección IP, indicadores de emulador, congruencia geográfica;

• (c) indicadores comportamentales: historial de navegación, tiempo de permanencia en el checkout, presencia de chargebacks anteriores;

• (d) listas de sujetos a riesgo y denuncias internas y externas.

11.2 Lógica e importancia. El sistema aplica reglas de umbral automáticas y modelos estadísticos. Sobre la base del score, pueden producirse automáticamente: (i) transacción autorizada; (ii) verificación adicional requerida (p. ej., 3D Secure, retry de la tarjeta, KYC reforzado); (iii) transacción rechazada; (iv) suspensión de la prestación del servicio o congelación del payout del Anfitrión/Promotor; (v) apertura de instrucción antifraude manual.

11.3 Consecuencias. Sobre el Interesado pueden producirse efectos significativos: imposibilidad de concluir la reserva, suspensión de los pagos, suspensión de la cuenta, denuncia a las Autoridades competentes.

11.4 Garantías procedimentales. El Interesado tiene derecho a:

• (a) la intervención humana de un operador de Inmedia S.r.l. que revise la decisión;

• (b) expresar el propio punto de vista sobre la situación y aportar argumentos defensivos;

• (c) impugnar la decisión, según las modalidades del art. 10.

Las solicitudes de revisión pueden enviarse a legal@stravagando.com con referencia al identificador de la transacción o del procedimiento.

11.B — Trust Score

11.5 Tratamiento. Inmedia S.r.l. elabora un score numérico (Trust Score) comprendido entre 0 y 100 atribuido a cada Usuario sobre la base de la coherencia técnica de los check-ins efectuados, según las reglas descritas en la Sección 11 de las Condiciones Generales de Uso y detalladas en las Especificaciones Técnicas del Servicio. Los indicadores incluyen: proximidad entre coordenadas transmitidas y POI, congruencia del tiempo transcurrido entre check-ins consecutivos geográficamente distantes, plausibilidad de la velocidad de desplazamiento, eventuales indicadores de GPS spoofing, denuncias recibidas, resultado de procedimientos disciplinarios anteriores.

11.6 Lógica e importancia. El Trust Score incide en:

• (a) atribución de los XP por check-ins: a Trust Scores más bajos corresponde una reducción de los XP atribuidos al check-in o, en supuestos extremos, su anulación;

• (b) aprobación automática de las reseñas: para Trust Scores elevados, las reseñas pueden acceder al fast-track de aprobación (Sección 12.4 de las Condiciones Generales de Uso) y recibir visibilidad inmediata; para Trust Scores bajos se requiere revisión manual;

• (c) acceso a funcionalidades reservadas: algunas funcionalidades (a título de ejemplo: propuesta de nuevos Lugares para el catálogo, participación en programas beta) pueden requerir la superación de un umbral mínimo de Trust Score;

• (d) visibilidad de los propios Contenidos: en supuestos de Trust Score muy bajo, puede aplicarse un factor de degradación en el ordenamiento de publicación.

11.7 Consecuencias. El Trust Score puede producir efectos significativos sobre el disfrute del Servicio por parte del Interesado, en particular sobre la participación en el Sistema de Gamificación y sobre el acceso a funcionalidades reservadas.

11.8 Garantías procedimentales. El Interesado tiene derecho a solicitar a Inmedia S.r.l. aclaraciones sobre el Trust Score atribuido, a solicitar revisión manual y a impugnarlo, en coherencia con los derechos del art. 22 del RGPD. Las solicitudes de revisión pueden enviarse a legal@stravagando.com. El Trust Score no se expone en cuanto tal, en su forma numérica bruta, al Usuario ni a Terceros, en coherencia con su naturaleza de indicador técnico interno; al Usuario se exponen los efectos sintéticos en términos de atribución de XP por check-in individual y los códigos motivacionales correlacionados, cuando se soliciten.

11.C — Moderación automática IA de los Contenidos UGC

11.9 Tratamiento. Los Contenidos UGC publicados por los Usuarios se someten antes de la publicación a un análisis automatizado mediante sistemas de inteligencia artificial de Terceros, en los términos de la Sección 12 de las Condiciones Generales de Uso y del art. 4.4 de la presente Política.

11.10 Lógica e importancia. Los sistemas de Moderación automática:

• (a) clasifican los textos mediante un modelo lingüístico según categorías de riesgo (a título de ejemplo: hate speech, contenidos pornográficos, vulneración de propiedad intelectual, spam, fraude);

• (b) analizan las imágenes mediante un servicio de análisis de imágenes para la detección de contenidos para adultos, violentos u ofensivos;

• (c) aplican umbrales de confianza para determinar si el Contenido se aprueba automáticamente, se degrada, se somete a revisión manual o se rechaza;

• (d) acceden a un fast-track para Usuarios con historial positivo y Trust Score elevado;

• (e) operan con un fallback manual en caso de indisponibilidad de los sistemas automáticos o superación de los límites operativos.

La identidad específica de los modelos utilizados, los umbrales de confianza, los criterios de acceso al fast-track y los límites operativos están indicados en las Especificaciones Técnicas del Servicio.

11.11 Consecuencias. La decisión de Moderación automática puede comportar:

• (a) aprobación y publicación del Contenido;

• (b) rechazo de la publicación, con notificación al Interesado y código motivacional (Statement of Reasons en los términos del art. 17 del DSA);

• (c) degradación del Contenido (reducción de visibilidad);

• (d) sometimiento a revisión manual antes de la publicación;

• (e) en los supuestos más graves, apertura de un procedimiento disciplinario hacia el Interesado en los términos de la Sección 13 de las Condiciones Generales de Uso.

11.12 Garantías procedimentales. El Interesado tiene derecho a:

• (a) recibir el Statement of Reasons de la decisión, en los términos del art. 17 del DSA, que contenga al menos el código motivacional, la categoría de riesgo detectada, la indicación del sistema automatizado utilizado y la indicación del derecho a solicitar revisión humana;

• (b) solicitar revisión humana de la decisión, en los 14 días siguientes a la notificación de la decisión automatizada, en los términos de la Sección 12.3 de las Condiciones Generales de Uso. La revisión es efectuada por personal cualificado de Stravagando, distinto del sistema automatizado que ha emitido la decisión;

• (c) expresar el propio punto de vista y aportar argumentos defensivos en el ámbito del procedimiento de revisión;

• (d) impugnar la decisión confirmada en revisión mediante reclamación interna al Responsable y posteriormente mediante reclamación al Garante o recurso jurisdiccional, en los términos del art. 15;

• (e) limitadamente a los supuestos que entran en el ámbito de aplicación del DSA, acceder al mecanismo de resolución extrajudicial de disputas previsto por el art. 21 del DSA, a través de los organismos de resolución de disputas certificados por el Coordinador de los Servicios Digitales competente;

• (f) dirigirse al Trusted Flagger en los términos del art. 22 del DSA o a la AGCOM como Coordinador italiano de los Servicios Digitales.

11.13 Transparencia AI Act. En cumplimiento del Reglamento (UE) 2024/1689 (AI Act), Inmedia S.r.l. garantiza una transparencia adecuada sobre los sistemas de inteligencia artificial utilizados en el contexto de la Moderación automática. La información sintética sobre los modelos utilizados, sobre los límites de performance conocidos y sobre los mecanismos de garantía se publica en las Especificaciones Técnicas del Servicio y se actualiza periódicamente. Inmedia S.r.l. efectúa auditorías periódicas sobre la eficacia y la imparcialidad de los sistemas y adopta medidas correctivas en caso de sesgos detectados.

ART. 12 — TRATAMIENTO DE LOS DATOS DE MENORES

La Plataforma está concebida para Usuarios mayores de edad y para Usuarios menores que hayan alcanzado la edad mínima de acceso prevista por la normativa aplicable a su residencia, según el régimen descrito a continuación. Inmedia S.r.l. protege activamente a los menores frente a la recopilación no autorizada de Datos Personales y frente al perfilado con finalidades de publicidad dirigida, en cumplimiento del RGPD, del Código italiano de protección de datos, del DSA y — para residentes en EE. UU. — del Children's Online Privacy Protection Act (COPPA).

12.A — Edad mínima de acceso

12.1 Residentes en Italia: 14 años. Para los residentes en Italia, la edad mínima de acceso a la Plataforma es de 14 años, en aplicación del art. 8 del RGPD y del art. 2-quinquies del Código italiano de protección de datos (Decreto Legislativo italiano 196/2003, en su versión modificada por el Decreto Legislativo italiano 101/2018), que establece en Italia tal umbral para la oferta directa de servicios de la sociedad de la información a menores sobre la base del consentimiento del propio menor. Para los menores de 14 años residentes en Italia, el acceso a la Plataforma está prohibido y los Datos Personales no se recopilan sobre la base del consentimiento del propio menor.

12.2 Residentes en otros Estados miembros UE. Para los residentes en otros Estados miembros de la Unión Europea, se aplican los respectivos umbrales mínimos nacionales para el consentimiento a los servicios de la sociedad de la información conforme al art. 8, apartado 1 del RGPD (a título de ejemplo: 16 años en Alemania, Luxemburgo, Países Bajos, Polonia, Rumanía, Hungría; 15 años en Francia, República Checa, Eslovenia; 14 años en Austria, Bulgaria, Chipre, Italia, Lituania, España) o, en defecto de indicación específica, la edad de 16 años.

12.3 Residentes en los Estados Unidos de América: 13 años. Para los residentes en los Estados Unidos de América, la edad mínima de acceso es de 13 años, en cumplimiento del Children's Online Privacy Protection Act (COPPA) y de la Federal Trade Commission (FTC) COPPA Rule. Para los menores de 13 años residentes en los Estados Unidos, el acceso a la Plataforma está prohibido y los Datos Personales no se recopilan sobre la base del consentimiento del propio menor.

12.4 Residentes en otros Países. Para los residentes en otros Países, se aplica la edad mínima prevista por la legislación nacional aplicable o, en su defecto, la edad de 16 años.

12.B — Régimen para los Usuarios menores que han alcanzado la edad mínima

12.5 Declaración en el registro. En el registro, el Usuario confirma poseer la edad mínima requerida por la legislación aplicable a su residencia, en los términos de la Sección 3 de las Condiciones Generales de Uso. Tal declaración se efectúa bajo propia responsabilidad; las declaraciones mendaces comportan la suspensión y cierre de la cuenta en los términos de la Sección 13 de las Condiciones Generales de Uso.

12.6 Limitaciones aplicables a los Usuarios menores de edad (menores de 18 años). Para los Usuarios que han alcanzado la edad mínima pero todavía menores (menores de 18 años) conforme a la legislación aplicable, y para los que existen indicios de minoría de edad según los procedimientos adoptados por Inmedia S.r.l.:

• (a) exclusión de la publicidad dirigida basada en el perfilado (art. 4.10 de la presente Política y art. 28 del DSA);

• (b) limitación del acceso al marketplace como Cliente, sobre la base de la capacidad contractual reducida del menor según la legislación aplicable; para las reservas que excedan la capacidad contractual del menor puede solicitarse la confirmación de los sujetos que ejercen la responsabilidad parental, según las modalidades descritas en la Sección 3 de las Condiciones Generales de Uso;

• (c) limitación del acceso a Experiencias 18+, cuando estén categorizadas por el Anfitrión como reservadas a adultos;

• (d) ajustes de privacidad por defecto más restrictivos (a título de ejemplo: Perfil no público por defecto, visibilidad en búsquedas reducida, indexación externa desactivada).

12.7 Participación al Programa de Referidos, calificación de Anfitrión. La participación al Programa de Referidos está reservada a los Usuarios mayores de edad según la legislación aplicable (en Italia, 18 años), en los términos de las Condiciones del Programa de Referidos. La calificación de Anfitrión está normalmente reservada a sujetos mayores de edad, salvo supuestos específicos regulados por las Condiciones del Anfitrión. Tales limitaciones derivan de la naturaleza económico-comercial de dichas calificaciones y de los perfiles de responsabilidad contractual conexos.

12.C — Verificación de la edad

12.8 Medidas adoptadas. Inmedia S.r.l. adopta medidas adecuadas y proporcionadas para verificar la edad de los Usuarios, en cumplimiento del art. 28 del DSA, sobre la base de:

• (a) declaración del Usuario en el registro;

• (b) fecha de nacimiento cuando se requiera;

• (c) indicadores comportamentales y de contenido;

• (d) solicitud de verificación documental en supuestos límite o de alto riesgo.

Las medidas específicas están indicadas en las Especificaciones Técnicas del Servicio y se actualizan periódicamente a la luz de las mejores prácticas del sector y de las indicaciones de las Autoridades competentes.

12.9 Denuncias de menores carentes de la edad mínima. Cuando Inmedia S.r.l. tenga conocimiento — incluso mediante denuncias de terceros — de la presencia de un Usuario menor por debajo de la edad mínima requerida para su residencia:

• (a) procede a la suspensión inmediata de la cuenta de modo que impida ulteriores interacciones;

• (b) suprime los Datos Personales recopilados sin base jurídica válida, salvo que la conservación sea necesaria para el cumplimiento de obligaciones legales, para el ejercicio de un derecho en juicio o para otras finalidades admitidas por el art. 17, apartado 3 del RGPD;

• (c) informa a los sujetos que ejercen la responsabilidad parental, cuando sea posible y cuando sea apropiado, de la existencia de la cuenta y de las medidas adoptadas.

12.D — Consentimiento parental (COPPA)

12.10 Procedimiento COPPA para residentes en EE. UU. Para los residentes en los Estados Unidos de América, en cumplimiento del Children's Online Privacy Protection Act, en caso de que Inmedia S.r.l. recopile a sabiendas Datos Personales de un menor de edad inferior a 13 años — supuesto prohibido para la Plataforma por el umbral de acceso —, se adoptan medidas para:

• (a) notificación a los sujetos que ejercen la responsabilidad parental, conforme al 16 CFR § 312.4;

• (b) recopilación del consentimiento parental verificable, conforme al 16 CFR § 312.5;

• (c) garantía del derecho de los padres a acceder a los Datos Personales del menor, modificarlos y solicitar su supresión, conforme al 16 CFR § 312.6;

• (d) prohibición de perfilado con finalidades de publicidad dirigida hacia menores, conforme al 16 CFR § 312.5(c).

Las solicitudes para el ejercicio de tales derechos pueden enviarse a legal@stravagando.com.

ART. 13 — ADDENDUM PARA RESIDENTES EN EE. UU. (CCPA, CPRA Y OTRAS NORMATIVAS ESTATALES)

El presente Addendum describe las integraciones y modificaciones a la presente Política de Privacidad aplicables a los residentes en los Estados Unidos de América. En caso de conflicto entre las disposiciones generales de la presente Política y las del presente Addendum, prevalecerán, para los residentes en EE. UU., las disposiciones del presente Addendum.

13.A — Definiciones relevantes

13.1 Definiciones. A los efectos del presente Addendum y conforme al California Consumer Privacy Act (CCPA) en su versión modificada por el California Privacy Rights Act (CPRA) y a las correspondientes normativas estatales:

• (a) "Consumidor" (Consumer): persona residente en los Estados Unidos de América que utiliza la Plataforma;

• (b) "Personal Information": información que identifica, describe, se refiere a, está conectada con o puede ser razonablemente conectada a un Consumidor o a una unidad familiar;

• (c) "Sensitive Personal Information": la subcategoría de Personal Information indicada en Cal. Civ. Code § 1798.140(ae);

• (d) "Sale": la venta, comunicación o transferencia de Personal Information a terceros a cambio de remuneración o cualquier otra contraprestación de valor, según la definición de Cal. Civ. Code § 1798.140(ad);

• (e) "Sharing": la comunicación de Personal Information a terceros a los efectos del cross-context behavioral advertising, según la definición de Cal. Civ. Code § 1798.140(ah);

• (f) "Business": Inmedia S.r.l. como sujeto que determina las finalidades y los medios del tratamiento;

• (g) "Service Provider" / "Contractor": sujetos que tratan Personal Information por cuenta del Business, según las definiciones de Cal. Civ. Code § 1798.140(ag) y (j).

13.B — Categorías de Personal Information recopiladas

13.2 Categorías ex Cal. Civ. Code § 1798.140(v). En los últimos doce meses, Inmedia S.r.l. ha recopilado o puede recopilar las siguientes categorías de Personal Information de los Consumidores:

• (a) identifiers: nombre, dirección postal, identificador único en línea, dirección IP, dirección de correo electrónico, nombre de la cuenta, código fiscal/TIN, número de pasaporte/documento;

• (b) categorías de información ex Cal. Civ. Code § 1798.80(e) (commercial information): nombre, contactos, datos de pago (limitadamente a lo comunicado por los Responsables);

• (c) commercial information: historial de reservas, productos comprados o considerados;

• (d) biometric information: datos biométricos generados exclusivamente por Stripe Identity para los Consumidores que se registran como Anfitriones o Promotores, y para Experiencias de alto riesgo (el elemento biométrico no es conservado por Inmedia S.r.l.);

• (e) Internet or other electronic network usage information: navegación, historial de búsquedas, interacciones con la publicidad;

• (f) geolocation data, incluida la geolocalización precisa recopilada previo consentimiento del Consumidor (apdo. 3.14) y los datos del check-in (apdo. 3.15-3.17);

• (g) audio, electronic, visual, thermal, olfactory or similar data: fotografías y Contenidos UGC publicados por el Consumidor, grabaciones de llamadas si están autorizadas;

• (h) professional or occupational information: información sobre la actividad de los Anfitriones;

• (i) inferences: perfiles elaborados con finalidades de personalización (recomendaciones, sugerencias) y Trust Score.

13.3 Sensitive Personal Information. Pueden recopilarse las siguientes categorías de Sensitive Personal Information ex Cal. Civ. Code § 1798.140(ae):

• (a) government-issued identification numbers (código fiscal/TIN/SSN, número de pasaporte);

• (b) credenciales de acceso a la Plataforma;

• (c) geolocalización precisa;

• (d) información financiera (coordenadas bancarias para los pagos);

• (e) datos biométricos (gestionados a través de Stripe Identity).

Los Consumidores tienen derecho a limitar el uso y la divulgación de las Sensitive Personal Information conforme al Cal. Civ. Code § 1798.121.

13.C — Finalidades de la recopilación

13.4 Finalidades. Las Personal Information arriba indicadas se recopilan para las finalidades descritas en el art. 4 de la presente Política.

13.D — Categorías de terceros

13.5 Comunicación. Inmedia S.r.l. puede comunicar las categorías de Personal Information arriba indicadas a las categorías de terceros descritas en el art. 7 de la presente Política.

13.E — Ausencia de Sale de Personal Information

13.6 No sale. Inmedia S.r.l. no vende (no sale) las Personal Information de los Consumidores a cambio de remuneración o cualquier otra contraprestación de valor. Inmedia S.r.l. puede compartir (share) Personal Information con socios publicitarios para finalidades de cross-context behavioral advertising, exclusivamente sobre la base del consentimiento del Consumidor expresado en el Panel de Preferencias de la Política de Cookies. Tal sharing está limitado a las modalidades descritas en la Política de Cookies y está sujeto al derecho de opt-out.

13.F — Derechos de los Consumidores

13.7 Derechos CCPA/CPRA. Los Consumidores residentes en California tienen los siguientes derechos:

• (a) right to know — Cal. Civ. Code § 1798.110, 1798.115;

• (b) right to delete — Cal. Civ. Code § 1798.105;

• (c) right to correct — Cal. Civ. Code § 1798.106;

• (d) right to opt-out of Sale or Sharing — Cal. Civ. Code § 1798.120;

• (e) right to limit use of Sensitive Personal Information — Cal. Civ. Code § 1798.121;

• (f) right to non-discrimination por el ejercicio de los derechos — Cal. Civ. Code § 1798.125;

• (g) right to portability — Cal. Civ. Code § 1798.130(a)(2);

• (h) right to know about any automated decision-making y solicitud de opt-out cuando sea aplicable sobre la base de las regulaciones emanadas por la California Privacy Protection Agency (CPPA).

13.8 Derechos de los Consumidores en otros Estados USA. Los Consumidores residentes en Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA) y en otros Estados que han emanado normativas correspondientes, gozan de derechos sustancialmente equivalentes, conforme a las respectivas normativas estatales aplicables.

13.G — Modalidades de ejercicio de los derechos

13.9 Canales. Los Consumidores pueden ejercer los propios derechos a través de:

• (a) la página dedicada para solicitudes de privacidad, accesible a través de la Plataforma;

• (b) el envío de un correo electrónico a legal@stravagando.com;

• (c) el número telefónico toll-free dedicado, cuando se haya instituido;

• (d) el mecanismo Global Privacy Control (GPC) para los derechos de opt-out de sale o sharing, reconocido automáticamente por la Plataforma como señal del navegador del Consumidor.

13.10 Verificación de la identidad. Inmedia S.r.l. adopta procedimientos razonables para verificar la identidad del Consumidor solicitante, en medida proporcionada a la naturaleza de la solicitud y a la sensibilidad de los datos.

13.11 Authorized agent. El Consumidor puede nombrar un authorized agent para el ejercicio de los propios derechos en su nombre, en los términos del Cal. Civ. Code § 1798.135(c) y las normativas aplicables.

13.12 Plazos de respuesta. Inmedia S.r.l. responde a las solicitudes de right to know, delete y correct dentro de los 45 días a partir de la recepción, prorrogables otros 45 días cuando sea razonablemente necesario.

13.H — Reclamaciones

13.13 Organismos de control. Los Consumidores residentes en EE. UU. tienen derecho a presentar reclamación ante:

• (a) California Privacy Protection Agency (CPPA) para los Consumidores californianos: https://cppa.ca.gov;

• (b) Attorney General del Estado de residencia para los demás Estados;

• (c) Federal Trade Commission (FTC): https://www.ftc.gov.

ART. 14 — MODIFICACIONES A LA PRESENTE POLÍTICA

14.A — Actualizaciones

14.1 Facultad de modificación. Inmedia S.r.l. se reserva la facultad de aportar modificaciones a la presente Política de Privacidad, tanto para adaptarla a la evolución normativa, jurisprudencial o regulatoria, como por la introducción de nuevas funcionalidades de la Plataforma o nuevos tratamientos, y por necesidades organizativas internas y de seguridad.

14.2 Versión y fecha de entrada en vigor. Cada versión de la Política está unívocamente identificada por un número de versión y por una fecha de entrada en vigor indicada al inicio del documento. La versión actualmente vigente es siempre la publicada en la Plataforma en la URL dedicada.

14.3 Historial de versiones. Inmedia S.r.l. mantiene a disposición de los Interesados, en una sección dedicada del sitio, el historial de las versiones anteriores de la Política de Privacidad con indicación de las principales modificaciones efectuadas, en cumplimiento del principio de transparencia conforme al art. 12 del RGPD.

14.B — Comunicación de las modificaciones

14.4 Modificaciones sustanciales. Para modificaciones sustanciales — es decir, las que afectan de modo significativo a los derechos de los Interesados o a las modalidades esenciales del tratamiento — Inmedia S.r.l. notifica a los Usuarios las modificaciones con preaviso no inferior a 30 días respecto a la fecha de entrada en vigor, en coherencia con la Sección 19 de las Condiciones Generales de Uso, mediante:

• (a) correo electrónico a la dirección de registro, cuando el Usuario tenga una cuenta activa;

• (b) notificación in-App y/o banner en la Plataforma;

• (c) publicación de la nueva versión en la Plataforma con destacado de las modificaciones.

Durante el plazo de preaviso, el Interesado que no desee aceptar las modificaciones puede ejercer el derecho de desistimiento del contrato, mediante el cierre self-service de la cuenta (Sección 20 de las Condiciones Generales de Uso), a título gratuito.

14.5 Modificaciones no sustanciales. Para las modificaciones no sustanciales (correcciones de erratas, aclaraciones formales, actualizaciones de los Encargados u otros elementos de mero detalle operativo), Inmedia S.r.l. puede proceder con su publicación con efecto inmediato, dando evidencia a las modificaciones en el registro de cambios.

14.6 Modificaciones por causas imperiosas. Para modificaciones inmediatamente necesarias en aplicación de obligaciones legales sobrevenidas, providencias de Autoridades competentes o necesidades de seguridad, Inmedia S.r.l. puede proceder con la introducción de las modificaciones con efecto inmediato, dando a los Interesados la comunicación posterior lo antes posible.

14.C — Tratamientos basados en el consentimiento

14.7 Nuevas finalidades sobre base de consentimiento. Cuando las modificaciones a la Política introduzcan nuevas finalidades de tratamiento basadas en el consentimiento conforme al art. 6, apartado 1, letra a) del RGPD o al art. 9, apartado 2, letra a) del RGPD, dichos tratamientos no se iniciarán para los Interesados existentes salvo previa recopilación específica del consentimiento, según modalidades conformes al art. 7 del RGPD.

ART. 15 — CONTACTOS Y RECLAMACIONES

15.A — Contactos

15.1 Responsable del Tratamiento. Para cualquier solicitud o comunicación relativa a la protección de datos personales, los Interesados pueden contactar a Inmedia S.r.l. en los siguientes datos de contacto:

Inmedia S.r.l. Sede social: Via L'Aquila, 22, 65122 Pescara (PE), Italia Código Fiscal / N.º de IVA: 02017520681 Correo electrónico general de asistencia: support@stravagando.com Correo electrónico para solicitudes en materia de privacidad: legal@stravagando.com PEC (correo electrónico certificado): inmediasrl@pec.it

15.2 DPD. El DPD, cuando esté nombrado, puede ser contactado en la dirección:

legal@stravagando.com (asunto: "DPO")

Queda firme la facultad de Inmedia S.r.l. de instituir una dirección dedicada (a título de ejemplo: dpo@stravagando.com), comunicada mediante la actualización de la presente Política en los términos del Art. 14.

15.3 Puntos de contacto DSA. En aplicación de los arts. 11 y 12 del Reglamento (UE) 2022/2065 (Digital Services Act), Inmedia S.r.l. designa los siguientes puntos de contacto, descritos en la Sección 12-bis de las Condiciones Generales de Uso:

• (a) punto de contacto para las Autoridades de los Estados miembros, la Comisión UE y el Comité Europeo para los Servicios Digitales ex art. 11 del DSA: legal@stravagando.com (asunto: "DSA — Autoridades");

• (b) punto de contacto para los destinatarios del servicio ex art. 12 del DSA: legal@stravagando.com (asunto: "DSA — Destinatarios");

• (c) las lenguas de comunicación del Responsable para los fines antedichos son el italiano y el inglés.

15.4 Notice & Action. Para las denuncias de contenidos potencialmente ilegales o que vulneren derechos de terceros conforme al art. 16 del DSA, está disponible en la Plataforma un mecanismo dedicado de notice and action; alternativamente, las denuncias pueden enviarse a legal@stravagando.com con asunto "DSA — Notice". La identidad del denunciante no se expone al Usuario denunciado, salvo solicitud de la Autoridad competente.

15.B — Derecho a presentar reclamación

15.5 Reclamación al Garante italiano. Sin perjuicio de cualquier otro recurso administrativo o jurisdiccional, el Interesado tiene derecho a presentar reclamación ante la Autoridad italiana de protección de datos personales, en los términos del art. 77 del RGPD y del art. 141 del Código italiano de protección de datos, según las modalidades indicadas en el sitio institucional de la Autoridad:

Garante per la protezione dei dati personali (Autoridad italiana de protección de datos personales) Piazza Venezia n. 11 — 00187 Roma (Italia) Correo electrónico: protocollo@gpdp.it PEC: protocollo@pec.gpdp.it Teléfono: +39 06.69677.1 Fax: +39 06.69677.3785 Formulario de reclamación: https://www.garanteprivacy.it/home/modulistica-e-servizi-online

15.6 Otros Estados miembros UE. Para los Interesados residentes en otros Estados miembros UE, queda firme la facultad de presentar reclamación ante la Autoridad de Control del Estado miembro de residencia, de trabajo o del lugar de presunta vulneración, en los términos del art. 77 del RGPD. La lista de las Autoridades de Control de la UE está disponible en el sitio del Comité Europeo de Protección de Datos: https://www.edpb.europa.eu

15.7 Residentes en EE. UU. Para los residentes en EE. UU., los organismos de control competentes están indicados en el art. 13.13.

15.8 AGCOM como Coordinador de los Servicios Digitales. Para las denuncias que entran en el ámbito de aplicación del Reglamento (UE) 2022/2065 (DSA), los Interesados residentes en Italia pueden dirigirse también a la Autoridad italiana para las Garantías en las Comunicaciones (AGCOM), designada como Coordinador italiano de los Servicios Digitales, según las modalidades indicadas en el sitio institucional: https://www.agcom.it.

15.C — Recurso jurisdiccional

15.9 Acción ante el juez. El Interesado tiene además derecho a presentar contra el Responsable un recurso jurisdiccional en los términos del art. 79 del RGPD y del art. 152 del Código italiano de protección de datos, ante la autoridad judicial del Estado miembro de su residencia habitual o del Estado miembro en el que Inmedia S.r.l. tiene su sede principal.

Documento aprobado y adoptado por Inmedia S.r.l.

Versión: 1.0 Fecha de entrada en vigor: 26/04/2026
Principales referencias normativas:

• Reglamento (UE) 2016/679 (RGPD)

• Decreto Legislativo italiano 196/2003 (Código italiano de protección de datos) en su versión modificada por el Decreto Legislativo italiano 101/2018

• Resolución del Garante italiano de 10 de junio de 2021 — Directrices Cookies y otros Instrumentos de Rastreo

• Directiva 2002/58/CE (ePrivacy)

• Reglamento (UE) 2022/2065 (Digital Services Act)

• Reglamento (UE) 2024/1689 (AI Act)

• Reglamento (UE) 2019/1150 (Platform-to-Business)

• Directiva (UE) 2022/2555 (NIS2)

• Decreto Legislativo italiano 32/2023 (DAC7)

• Decreto Legislativo italiano 231/2007 (antiblanqueo)

• California Consumer Privacy Act (CCPA) en su versión modificada por el CPRA

• Virginia CDPA / Colorado CPA / Connecticut CTDPA / Utah UCPA

• Children's Online Privacy Protection Act (COPPA)