Italiano
English
Español
Français
Deutsch
Nederlands
Polski
Português
Pусский
日本語
简体中文
한국어
Bahasa IndonesiaEste é um guia turístico independente. Não temos qualquer vínculo com os Museus do Vaticano, nem contamos com o seu apoio.
Política de Privacidade
nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679 (RGPD)
Última atualização: 07/02/2026
1. Responsável pelo tratamento
Culturae Heritage Services srls (doravante também o “Responsável pelo tratamento”), com sede na Via dei Banchi 6, 50123 Florença (FI), Itália, N.º de IVA IT07519170489, Código Fiscal 07519170489, REA FI-709102.
Contato para questões de privacidade: legal@vatican.museum
O Controlador não nomeou um Encarregado da Proteção de Dados (DPO), uma vez que não se enquadra nos casos obrigatórios previstos no Artigo 37 do RGPD (o Controlador não realiza tratamento em grande escala de categorias especiais de dados, nem monitoramento regular e sistemático em grande escala). Para qualquer solicitação relativa à proteção de dados pessoais, escreva para o endereço indicado acima.
2. Âmbito de aplicação
Esta declaração de privacidade descreve como o Controlador trata os dados pessoais dos usuários (doravante “Usuário” ou “Titular dos Dados”) que visitam e interagem com o site vatican.museum (doravante o “Site”) e com os outros sites de propriedade do Controlador.
Esta declaração aplica-se a todo o tratamento realizado através do Site, incluindo formulários de contato, sistemas de registro, serviços de análise estatística (analytics), ferramentas de publicidade e medição de conversão, sistemas antispam e de segurança, e serviços de comunicação (boletim informativo, e-mails transacionais), ativados exclusivamente com o consentimento prévio do Usuário, quando exigido por lei, por meio da Plataforma de Gestão de Consentimento (CMP) integrada ao Site.
O Site tem caráter editorial e informativo. O Controlador não é um operador turístico, agência de viagens ou intermediário de viagens nos termos da legislação aplicável. Para mais detalhes sobre a natureza do serviço, consulte o Aviso Legal e os Termos e Condições de Uso.
3. Tipos de dados tratados
3.1 Dados de navegação e técnicos
Durante a navegação normal, os sistemas informáticos e os procedimentos de software utilizados para operar o Site adquirem automaticamente determinados dados, cuja transmissão está implícita na utilização dos protocolos de comunicação da Internet. Esses dados incluem: endereço IP, tipo e versão do navegador, sistema operacional, idioma, URLs solicitados, data e hora das solicitações, método HTTP, código de resposta do servidor, identificadores técnicos de sessão, eventos de segurança.
3.2 Dados fornecidos voluntariamente pelo Usuário
Os dados pessoais que o Usuário fornece voluntariamente por meio de formulários de contato, formulários de registro ou e-mail direto podem incluir:
- nome e sobrenome;
- endereço de e-mail;
- número de telefone;
- país de origem;
- conteúdo de mensagem de texto livre;
- credenciais de login (e-mail e senha) em caso de registro;
- qualquer outra informação que o Usuário opte voluntariamente por fornecer.
3.3 Dados coletados por meio de cookies e tecnologias similares
O Site utiliza cookies e tecnologias similares (armazenamento local, pixels, tags) para coletar identificadores online e informações sobre o uso do Site, de acordo com as preferências expressas pelo Usuário por meio do CMP. Para obter todos os detalhes, consulte a Política de Cookies.
3.4 Dados relacionados a campanhas publicitárias e afiliações
No contexto das atividades de marketing digital, podem ser coletados parâmetros de rastreamento de campanhas (por exemplo, parâmetros gclid, fbclid, msclkid, ttclid, utm_*) e métricas agregadas de conversão, sempre de acordo com os consentimentos expressos pelo Usuário.
3.5 Dados relacionados a reservas
Quando o Usuário reserva um passeio ou experiência através do Site, os dados relacionados à transação (status da reserva, referências do voucher) podem ser processados pelo Controlador exclusivamente para o envio de comunicações transacionais (por exemplo, confirmação de reserva, alterações de status, disponibilidade do voucher). Dados de pagamento (cartões de crédito, dados bancários, códigos de segurança) nunca são coletados, processados ou armazenados pelo Controlador, pois são gerenciados exclusivamente pelo parceiro terceirizado responsável pelo processamento de pagamentos (ver Seção 7).
3.6 Dados relacionados a boletins informativos e comunicações comerciais
Se o Usuário se inscrever na newsletter, o Controlador coleta o endereço de e-mail do Usuário e quaisquer preferências temáticas. A inscrição é opcional e ocorre exclusivamente com o consentimento prévio e explícito do Usuário.
3.7 Caráter obrigatório ou opcional do fornecimento de dados
O fornecimento de dados de navegação é necessário para o funcionamento técnico do Site. O fornecimento de dados nos formulários de contato e de cadastro é opcional; no entanto, a não disponibilização dos dados marcados como obrigatórios (por exemplo, nome, e-mail) pode impossibilitar o Controlador de responder à solicitação do Usuário, criar a conta ou prestar o serviço solicitado.
O consentimento para cookies e tecnologias de análise, marketing e criação de perfis é inteiramente opcional, e a recusa em fornecer tal consentimento não afeta de forma alguma a navegação no Site ou o acesso ao seu conteúdo.
4. Finalidades, bases legais e períodos de retenção
O Controlador trata os dados pessoais para as finalidades descritas na tabela abaixo. Quando indicado, o tratamento ocorre exclusivamente com o consentimento prévio e expresso do Usuário.
Os períodos de retenção indicados são máximos razoáveis e podem ser reduzidos em aplicação do princípio da limitação do armazenamento (Artigo 5.º, n.º 1, alínea e) do RGPD).
Quando o tratamento se baseia no interesse legítimo do Responsável pelo Tratamento (Art. 6.º, n.º 1, alínea f) do RGPD), o Responsável pelo Tratamento realizou uma avaliação de equilíbrio (Avaliação do Interesse Legítimo — LIA) para garantir que o seu interesse legítimo não se sobreponha aos direitos e liberdades fundamentais dos Titulares dos Dados. O Utilizador pode solicitar uma cópia dessa avaliação escrevendo para os contactos indicados na Secção 1.
| Finalidade | Dados | Base jurídica | Retenção | Observações |
|---|---|---|---|---|
| Operação do site, funcionamento técnico, segurança, prevenção de fraudes e abusos | Dados de navegação, registros técnicos, IP | Interesse legítimo (Art. 6(1)(f) do RGPD) — Análise de impacto de dados realizada | Até 12 meses | Prorrogável em caso de investigações ou litígios |
| Tratamento de solicitações por meio do formulário de contato ou e-mail | Dados fornecidos pelo usuário | Execução de medidas pré-contratuais (Art. 6(1)(b)) ou interesse legítimo (Art. 6(1)(f)) — LIA realizada | Até 24 meses a partir da última interação | Sujeito a obrigações legais ou litígios pendentes |
| Registro de conta e gestão da área reservada | Nome, sobrenome, e-mail, senha, telefone, país | Execução do contrato (Art. 6(1)(b) do RGPD) | Durante a vigência da conta + 12 meses | Exclusão mediante solicitação do usuário |
| Comunicações transacionais relacionadas a reservas | E-mail, dados da reserva, status do voucher | Execução do contrato (Art. 6(1)(b)) e interesse legítimo (Art. 6(1)(f)) — LIA realizada | Até 24 meses a partir da reserva | Apenas e-mails transacionais, sem marketing |
| Obrigações legais e fiscais, gestão de litígios | Dados necessários para obrigações legais e defesa | Obrigação legal (Art. 6(1)(c)) e/ou interesse legítimo (Art. 6(1)(f)) | Até 10 anos ou prazo de prescrição aplicável | |
| Análise estatística e medição (Google Analytics, Hotjar, Microsoft Clarity) — somente com consentimento | Cookies/IDs, eventos de uso, dados técnicos | Consentimento (Art. 6(1)(a) do RGPD) | Conforme a Política de Cookies (normalmente 14–26 meses) | Revogável a qualquer momento |
| Publicidade, remarketing, conversões (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — somente com consentimento | Cookies/IDs, eventos, parâmetros de campanha | Consentimento (Art. 6(1)(a) do RGPD) | Marketing: até 24 meses; criação de perfis: até 12 meses | Revogável a qualquer momento |
| Segurança antispam e antibot (Google reCAPTCHA v3) | IP, dados comportamentais, cookie _GRECAPTCHA | Interesse legítimo (Art. 6(1)(f) do RGPD) — LIA realizada | Duração da sessão de verificação | A partir de 2 de abril de 2026, o Google atua como Subcontratante. Cookie técnico/necessário. |
| Boletim informativo e comunicações comerciais — somente com consentimento | E-mail, preferências temáticas | Consentimento (Art. 6(1)(a) do RGPD) | Até que o consentimento seja retirado | Limpeza da lista após 24 meses de inatividade |
| Recolha e publicação de avaliações | Nome/apelido, texto da avaliação, data | Consentimento (Art. 6(1)(a)) e interesse legítimo (Art. 6(1)(f)) | Durante o período de publicação no site | Remoção mediante solicitação do usuário |
5. Cookies e Plataforma de Gestão de Consentimento (CMP)
O site utiliza uma Plataforma de Gestão de Consentimento (CMP) em conformidade com o Google Consent Mode v2 (obrigatório desde março de 2024 para anunciantes europeus), que permite ao usuário:
- aceitar, rejeitar ou personalizar categorias de cookies e ferramentas não técnicas;
- alterar suas preferências a qualquer momento por meio da ferramenta “Gerenciar preferências de cookies”, acessível no site;
- ser informado de que cookies e tecnologias de análise, marketing e criação de perfis são ativados somente após a obtenção de consentimento válido.
Bloqueio preventivo: nenhum cookie ou tecnologia não estritamente necessária é instalado no dispositivo do Usuário antes que este tenha expressado seu consentimento por meio da CMP. Na ausência de consentimento, apenas cookies técnicos/necessários estão ativos.
Retirada do consentimento: o Usuário pode retirar o consentimento a qualquer momento com a mesma facilidade com que foi dado, por meio da ferramenta “Gerenciar preferências de cookies” acessível no Site, sem afetar a licitude do tratamento com base no consentimento dado antes da retirada (Art. 7(3) do RGPD).
Os cookies técnicos/necessários (incluindo o cookie _GRECAPTCHA do Google reCAPTCHA) não requerem consentimento e estão ativos por padrão, pois são essenciais para o funcionamento e a segurança do site.
Para obter todos os detalhes, incluindo a lista completa de cookies utilizados, consulte a Política de Cookies.
6. Destinatários dos dados
Os dados pessoais podem ser divulgados às seguintes partes, atuando como Subcontratantes (Art. 28 do RGPD), Controladores independentes ou pessoas autorizadas:
Provedores de serviços de TI e hospedagem
- OVH SAS (OVHcloud): hospedagem, servidores dedicados, infraestrutura — datacenter em Limburg, Alemanha (EEE). Atua como Processador de Dados nos termos do Art. 28 do RGPD.
Provedores de serviços de análise, publicidade e segurança (ativados mediante consentimentos CMP)
- Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (conversões/remarketing), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
- Hotjar Ltd: análise comportamental e mapas de calor.
Provedores de serviços de comunicação
- Amazon Web Services EMEA SARL (AWS): Amazon SES e SNS para e-mails transacionais e boletins informativos — região eu-west-1 (Irlanda, EEE). Atua como Processador de Dados nos termos do Art. 28 do RGPD.
Parceiros comerciais (controladores independentes)
- Viator Inc. (Grupo Tripadvisor): parceiro para reservas e pagamentos de passeios e experiências por meio de integração via iframe. A Viator atua como Controlador de Dados independente para dados de pagamento e para a prestação do serviço de turismo.
- GetYourGuide Deutschland GmbH: parceiro afiliado para passeios e experiências.
- LivTours: parceiro afiliado para passeios e experiências.
Quando o usuário é redirecionado para sites de parceiros terceiros (marketing de afiliados), o tratamento dos dados pessoais do usuário será regido pela política de privacidade do respectivo parceiro.
Outros destinatários
- Consultores jurídicos, fiscais e comerciais, na qualidade de subcontratantes ou pessoas autorizadas.
- Autoridades competentes, quando exigido por lei.
O Controlador não vende os dados pessoais dos Usuários.
7. Pagamentos por meio de parceiro terceirizado (Viator)
O site oferece a possibilidade de adquirir passeios e experiências diretamente de suas páginas. O processo de pagamento ocorre inteiramente por meio de um módulo integrado (iframe) fornecido pela Viator Inc. (Grupo Tripadvisor).
O Controlador não coleta, processa ou armazena os dados de pagamento do Usuário de forma alguma (números de cartão de crédito, dados bancários, códigos de segurança). Tais dados são adquiridos, processados e armazenados exclusivamente pela Viator, que atua como Controlador de Dados independente para os dados de pagamento e para a prestação do serviço turístico.
O Controlador recebe da Viator exclusivamente:
- dados agregados e estatísticos sobre conversões;
- informações sobre o status da reserva (para o envio de comunicações transacionais ao Usuário);
- comissões comerciais.
A fatura e o voucher da excursão adquirida são emitidos diretamente pela Viator.
Para o tratamento de dados de pagamento, consulte a Política de Privacidade da Viator.
8. Transferências de dados para fora do EEE
Alguns fornecedores (especialmente grupos com sede nos Estados Unidos) podem envolver a transferência de dados pessoais para países fora do Espaço Econômico Europeu (EEE). Nesses casos, o Controlador adota salvaguardas adequadas nos termos dos Artigos 44 e seguintes do RGPD, incluindo:
- Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia (Art. 46(2)(c) do RGPD), na versão atualizada (2º trimestre de 2025) e, quando necessário, Avaliações de Impacto da Transferência (TIA) e medidas suplementares de acordo com as Recomendações 01/2020 do CEPD;
- decisões de adequação da Comissão Europeia, quando disponíveis (por exemplo, o Quadro de Proteção de Dados UE-EUA para entidades certificadas nos EUA);
- medidas técnicas e organizacionais adicionais (minimização de dados, pseudonimização, criptografia em trânsito e em repouso, segregação de acesso).
Os principais provedores sujeitos a transferências para fora do EEE incluem: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.
O Usuário pode solicitar informações sobre as salvaguardas específicas adotadas e uma cópia das SCCs aplicáveis, escrevendo para os contatos indicados na Seção 1.
9. Direitos do Titular dos Dados
O Usuário pode exercer a qualquer momento os direitos previstos nos Artigos 15 a 22 do RGPD:
- direito de acesso aos dados pessoais (Art. 15);
- direito de retificação e atualização (Art. 16);
- direito ao apagamento (“direito ao esquecimento”), quando aplicável (Art. 17);
- direito à limitação do tratamento (Art. 18);
- direito à portabilidade dos dados, quando aplicável (Art. 20);
- direito de oposição, em particular ao tratamento baseado em interesse legítimo (Art. 21); em caso de oposição, o Responsável pelo tratamento deve abster-se de continuar a tratar os dados, a menos que demonstre motivos legítimos imperiosos;
- direito de não ser sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a definição de perfis (Art. 22);
- direito de retirar o consentimento a qualquer momento, com a mesma facilidade com que foi dado, sem afetar a licitude do tratamento realizado antes da retirada (Art. 7(3)).
Para exercer seus direitos, escreva para: legal@vatican.museum
O Controlador responderá, em regra, no prazo de 1 mês a partir da solicitação, prazo que poderá ser prorrogado até 3 meses em casos de particular complexidade ou elevado volume de solicitações (Art. 12 do RGPD). Em caso de prorrogação, o Usuário será informado no prazo de 1 mês. O exercício dos direitos é gratuito, a menos que as solicitações sejam manifestamente infundadas ou excessivas (Art. 12(5) do RGPD).
9.1 Processos de tomada de decisão automatizados
O Responsável pelo tratamento não realiza qualquer processo de tomada de decisão totalmente automatizado, incluindo a definição de perfis, que produza efeitos jurídicos que digam respeito ao Utilizador ou que, de forma semelhante, o afete significativamente (Art. 22.º do RGPD). As ferramentas de análise e marketing utilizadas pelo Site destinam-se exclusivamente a fins estatísticos e publicitários agregados e não resultam em decisões individuais automatizadas.
9.2 Reclamação à Autoridade de Controle
O Usuário tem o direito de apresentar uma reclamação à autoridade de controle competente.
Para a Itália:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma (RM), Itália
Site: www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
Telefone: (+39) 06 696771
Observa-se também que o Regulamento (UE) 2025/2518, publicado em novembro de 2025 e aplicável 15 meses após a publicação, introduz novas regras processuais para melhorar a cooperação entre as autoridades europeias de proteção de dados em casos transfronteiriços, proporcionando salvaguardas adicionais aos direitos dos titulares de dados.
10. Google reCAPTCHA v3 — Aviso específico
O Site utiliza o Google reCAPTCHA v3, um serviço de proteção antispam e antibot fornecido pela Google Ireland Ltd / Google LLC, ativado exclusivamente em páginas que contêm formulários.
A partir de 2 de abril de 2026, de acordo com o anúncio do Google, o reCAPTCHA opera sob um modelo em que o Google atua como Processador de Dados e o Controlador do Site é o Controlador de Dados para os dados coletados por meio do reCAPTCHA.
Isso significa que:
- as referências à Política de Privacidade e aos Termos de Serviço do Google em relação ao reCAPTCHA não são mais aplicáveis e foram removidas do site;
- o tratamento dos dados recolhidos pelo reCAPTCHA é regido pela presente Política de Privacidade e pelo Adendo de Tratamento de Dados do Google Cloud;
- o reCAPTCHA define um cookie necessário (_GRECAPTCHA) para sua análise de risco, classificado como um cookie técnico/necessário que não requer consentimento.
Os dados coletados pelo reCAPTCHA podem incluir: endereço IP, dados comportamentais (movimentos do mouse, padrões de interação), informações do navegador e do dispositivo. Esses dados são utilizados exclusivamente para fins de segurança e prevenção de fraudes.
11. Menores
O Site não se destina a pessoas menores de 16 anos (limite estabelecido pelo Art. 2-quinquies do Decreto Legislativo 196/2003 para a Itália). O Controlador não tem a intenção de coletar conscientemente dados pessoais de menores. Se um pai ou responsável acreditar que dados de um menor foram coletados sem o consentimento necessário, poderá entrar em contato com o Controlador através dos dados indicados na Seção 1 para solicitar a exclusão imediata.
12. Medidas de segurança
O Controlador adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, destruição ou alteração (Art. 32 do RGPD), incluindo: comunicações criptografadas (HTTPS/TLS), acesso autenticado com privilégios mínimos, backups periódicos, atualizações de segurança, monitoramento de acesso e procedimentos de gerenciamento de incidentes de segurança.
13. Alterações a esta Política de Privacidade
O Controlador reserva-se o direito de atualizar esta Política de Privacidade a qualquer momento. A data da última atualização está indicada no topo. Alterações significativas serão comunicadas por meio de aviso no Site e, sempre que possível, por e-mail aos Usuários registrados. O Usuário é convidado a consultar periodicamente esta página.
14. Lei Aplicável e Jurisdição
Esta política de privacidade é regida pelo Regulamento (UE) 2016/679 (RGPD), pela Diretiva 2002/58/CE (ePrivacy), pela legislação italiana de proteção de dados pessoais (Decreto Legislativo 196/2003, conforme alterado pelo Decreto Legislativo 101/2018), bem como pelas disposições e diretrizes aplicáveis da Autoridade de Proteção de Dados Pessoais e do EDPB.
Para qualquer litígio relativo à interpretação ou aplicação desta política, o Tribunal de Florença terá jurisdição, salvo disposição em contrário prevista nas normas imperativas de proteção ao consumidor.