Italiano
English
Français
Deutsch
Nederlands
Polski
Português
Português do Brasil
Pусский
日本語
简体中文
한국어
Bahasa IndonesiaEsta es una guía turística independiente. No estamos afiliados a los Museos Vaticanos ni contamos con su respaldo.
Política de privacidad
de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD)
Última actualización: 07/02/2026
1. Responsable del tratamiento
Culturae Heritage Services srls (en lo sucesivo, también el «Responsable del tratamiento»), con domicilio social en Via dei Banchi 6, 50123 Florencia (FI), Italia, N.º de IVA IT07519170489, Código fiscal 07519170489, REA FI-709102.
Contacto para cuestiones de privacidad: legal@vatican.museum
El Responsable del tratamiento no ha designado a un delegado de protección de datos (DPO), ya que no se encuentra en ninguno de los casos obligatorios establecidos en el artículo 37 del RGPD (el Responsable del tratamiento no lleva a cabo un tratamiento a gran escala de categorías especiales de datos, ni una vigilancia a gran escala, regular y sistemática). Para cualquier solicitud relativa a la protección de datos personales, escriba a la dirección indicada anteriormente.
2. Ámbito de aplicación
El presente aviso de privacidad describe cómo el responsable del tratamiento trata los datos personales de los usuarios (en adelante, «Usuario» o «Interesado») que visitan e interactúan con el sitio web vatican.museum (en adelante, el «Sitio web») y con los demás sitios web propiedad del responsable del tratamiento.
Este aviso se aplica a todo el tratamiento realizado a través del Sitio web, incluidos los formularios de contacto, los sistemas de registro, los servicios de análisis estadístico (analítica), las herramientas de publicidad y medición de conversiones, los sistemas antispam y de seguridad, y los servicios de comunicación (boletín informativo, correos electrónicos transaccionales), activados exclusivamente con el consentimiento previo del Usuario cuando así lo exija la ley, a través de la Plataforma de Gestión del Consentimiento (CMP) integrada en el Sitio web.
El Sitio web es de carácter editorial e informativo. El Responsable del tratamiento no es un operador turístico, una agencia de viajes ni un intermediario de viajes según la legislación aplicable. Para obtener más detalles sobre la naturaleza del servicio, consulte el Aviso legal y los Términos y condiciones de uso.
3. Tipos de datos tratados
3.1 Datos de navegación y técnicos
Durante la navegación normal, los sistemas informáticos y los procedimientos de software utilizados para el funcionamiento del Sitio web adquieren automáticamente ciertos datos, cuya transmisión está implícita en el uso de los protocolos de comunicación de Internet. Dichos datos incluyen: dirección IP, tipo y versión del navegador, sistema operativo, idioma, URL solicitadas, fecha y hora de las solicitudes, método HTTP, código de respuesta del servidor, identificadores técnicos de sesión, eventos de seguridad.
3.2 Datos facilitados voluntariamente por el usuario
Los datos personales que el usuario facilita voluntariamente a través de formularios de contacto, formularios de registro o correo electrónico directo pueden incluir:
- nombre y apellidos;
- dirección de correo electrónico;
- número de teléfono;
- país de origen;
- contenido del mensaje de texto libre;
- datos de inicio de sesión (correo electrónico y contraseña) en caso de registro;
- cualquier otra información que el Usuario decida proporcionar voluntariamente.
3.3 Datos recopilados a través de cookies y tecnologías similares
El Sitio web utiliza cookies y tecnologías similares (almacenamiento local, píxeles, etiquetas) para recopilar identificadores en línea e información sobre el uso del Sitio web, de acuerdo con las preferencias expresadas por el Usuario a través del CMP. Para obtener más detalles, consulte la Política de cookies.
3.4 Datos relacionados con campañas publicitarias y afiliaciones
En el contexto de las actividades de marketing digital, se pueden recopilar parámetros de seguimiento de campañas (por ejemplo, gclid, fbclid, msclkid, ttclid, parámetros utm_*) y mediciones de conversión agregadas, siempre de acuerdo con los consentimientos expresados por el Usuario.
3.5 Datos relacionados con las reservas
Cuando el Usuario reserva un tour o una experiencia a través del Sitio web, el Responsable del tratamiento puede tratar los datos relacionados con la transacción (estado de la reserva, referencias del bono) con el único fin de enviar comunicaciones transaccionales (por ejemplo, confirmación de la reserva, cambios de estado, disponibilidad del bono). Los datos de pago (tarjetas de crédito, datos bancarios, códigos de seguridad) nunca son recopilados, tratados ni almacenados por el Responsable del tratamiento, ya que son gestionados exclusivamente por el socio externo encargado del procesamiento de pagos (véase la sección 7).
3.6 Datos relacionados con boletines informativos y comunicaciones comerciales
Si el Usuario se suscribe al boletín informativo, el Responsable del tratamiento recopila la dirección de correo electrónico del Usuario y sus preferencias temáticas. La suscripción es opcional y se realiza exclusivamente con el consentimiento previo y explícito del Usuario.
3.7 Carácter obligatorio u opcional del suministro de datos
El suministro de datos de navegación es necesario para el funcionamiento técnico del Sitio web. El suministro de datos en los formularios de contacto y registro es opcional; sin embargo, el hecho de no facilitar los datos marcados como obligatorios (por ejemplo, nombre, correo electrónico) puede impedir que el Responsable responda a la solicitud del Usuario, cree la cuenta o preste el servicio solicitado.
El consentimiento para el uso de cookies y tecnologías de análisis, marketing y elaboración de perfiles es totalmente opcional, y la negativa a dar dicho consentimiento no afecta en modo alguno a la navegación por el Sitio web ni al acceso a su contenido.
4. Finalidades, bases legales y períodos de conservación
El Responsable del tratamiento trata los datos personales para las finalidades descritas en la tabla siguiente. Cuando se indica, el tratamiento se lleva a cabo exclusivamente con el consentimiento previo y expreso del Usuario.
Los plazos de conservación indicados son máximos razonables y pueden reducirse en aplicación del principio de limitación de la conservación (artículo 5, apartado 1, letra e), del RGPD).
Cuando el tratamiento se basa en el interés legítimo del Responsable del tratamiento (art. 6, apartado 1, letra f) del RGPD), el Responsable del tratamiento ha llevado a cabo una evaluación de ponderación (Evaluación del interés legítimo — LIA) para garantizar que su interés legítimo no prevalezca sobre los derechos y libertades fundamentales de los interesados. El Usuario puede solicitar una copia de dicha evaluación escribiendo a los contactos indicados en la sección 1.
| Finalidad | Datos | Base jurídica | Conservación | Notas |
|---|---|---|---|---|
| Funcionamiento del sitio web, funcionamiento técnico, seguridad, prevención del fraude y del abuso | Datos de navegación, registros técnicos, IP | Interés legítimo (art. 6, apartado 1, letra f) del RGPD) — Realizado por LIA | Hasta 12 meses | Ampliable en caso de investigaciones o litigios |
| Gestión de solicitudes a través del formulario de contacto o por correo electrónico | Datos facilitados por el usuario | Ejecución de medidas precontractuales (art. 6, apartado 1, letra b)) o interés legítimo (art. 6, apartado 1, letra f)) — LIA realizada | Hasta 24 meses desde la última interacción | Sujeto a obligaciones legales o litigios pendientes |
| Registro de la cuenta y gestión del área reservada | Nombre, apellidos, correo electrónico, contraseña, teléfono, país | Ejecución del contrato (art. 6, apartado 1, letra b) del RGPD) | Durante la vigencia de la cuenta + 12 meses | Eliminación a petición del usuario |
| Comunicaciones transaccionales relacionadas con las reservas | Correo electrónico, datos de la reserva, estado del bono | Ejecución del contrato (art. 6, apartado 1, letra b)) e interés legítimo (art. 6, apartado 1, letra f)) — LIA realizada | Hasta 24 meses desde la reserva | Solo correos electrónicos transaccionales, sin fines de marketing |
| Obligaciones legales y fiscales, gestión de litigios | Datos necesarios para el cumplimiento de obligaciones legales y la defensa | Obligación legal (art. 6, apartado 1, letra c)) y/o interés legítimo (art. 6, apartado 1, letra f)) | Hasta 10 años o el plazo de prescripción aplicable | |
| Análisis estadístico y medición (Google Analytics, Hotjar, Microsoft Clarity) — solo con consentimiento | Cookies/ID, eventos de uso, datos técnicos | Consentimiento (art. 6, apartado 1, letra a) del RGPD) | Según la Política de cookies (normalmente entre 14 y 26 meses) | Revocable en cualquier momento |
| Publicidad, remarketing, conversiones (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — solo con consentimiento | Cookies/ID, eventos, parámetros de campaña | Consentimiento (art. 6, apartado 1, letra a) del RGPD) | Marketing: hasta 24 meses; elaboración de perfiles: hasta 12 meses | Revocable en cualquier momento |
| Seguridad antispam y antibots (Google reCAPTCHA v3) | IP, datos de comportamiento, cookie _GRECAPTCHA | Interés legítimo (art. 6, apartado 1, letra f) del RGPD) — LIA realizada | Duración de la sesión de verificación | A partir del 2 de abril de 2026, Google actúa como encargado del tratamiento. Cookie técnica/necesaria. |
| Boletín informativo y comunicaciones comerciales — solo con consentimiento | Correo electrónico, preferencias temáticas | Consentimiento (art. 6, apartado 1, letra a) del RGPD) | Hasta que se retire el consentimiento | Limpieza de la lista tras 24 meses de inactividad |
| Recopilación y publicación de reseñas | Nombre/apodo, texto de la reseña, fecha | Consentimiento (art. 6, apartado 1, letra a)) e interés legítimo (art. 6, apartado 1, letra f)) | Durante el tiempo que permanezca publicada en el sitio web | Eliminación a petición del usuario |
5. Cookies y plataforma de gestión del consentimiento (CMP)
El sitio web utiliza una Plataforma de gestión del consentimiento (CMP) compatible con Google Consent Mode v2 (obligatoria desde marzo de 2024 para los anunciantes europeos), que permite al usuario:
- aceptar, rechazar o personalizar categorías de cookies y herramientas no técnicas;
- modificar sus preferencias en cualquier momento a través de la herramienta «Gestionar preferencias de cookies» accesible en el sitio web;
- ser informado de que las cookies y tecnologías de análisis, marketing y elaboración de perfiles solo se activan tras haber obtenido un consentimiento válido.
Bloqueo preventivo: no se instalaninguna cookie ni tecnología que no sea estrictamente necesaria en el dispositivo del usuario antes de que este haya expresado su consentimiento a través de la CMP. En ausencia de consentimiento, solo están activas las cookies técnicas/necesarias.
Retirada del consentimiento: el Usuario puede retirar su consentimiento en cualquier momento con la misma facilidad con la que lo otorgó, a través de la herramienta «Gestionar preferencias de cookies» accesible en el Sitio web, sin que ello afecte a la licitud del tratamiento basado en el consentimiento otorgado antes de la retirada (art. 7, apartado 3, del RGPD).
Las cookies técnicas/necesarias (incluida la cookie _GRECAPTCHA de Google reCAPTCHA) no requieren consentimiento y están activas por defecto, ya que son esenciales para el funcionamiento y la seguridad del sitio web.
Para obtener más información, incluida la lista completa de las cookies utilizadas, consulte la Política de cookies.
6. Destinatarios de los datos
Los datos personales podrán ser comunicados a las siguientes partes, que actúan como encargados del tratamiento (art. 28 del RGPD), responsables independientes o personas autorizadas:
Proveedores de servicios de TI y alojamiento
- OVH SAS (OVHcloud): alojamiento, servidores dedicados, infraestructura — centro de datos en Limburgo, Alemania (EEE). Actúa como encargado del tratamiento de datos de conformidad con el art. 28 del RGPD.
Proveedores de servicios de análisis, publicidad y seguridad (activados mediante los consentimientos de la CMP)
- Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (conversiones/remarketing), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
- Hotjar Ltd: análisis de comportamiento y mapas de calor.
Proveedores de servicios de comunicación
- Amazon Web Services EMEA SARL (AWS): Amazon SES y SNS para correos electrónicos transaccionales y boletines informativos — región eu-west-1 (Irlanda, EEE). Actúa como encargado del tratamiento de datos de conformidad con el art. 28 del RGPD.
Socios comerciales (responsables independientes)
- Viator Inc. (Grupo Tripadvisor): socio para la reserva y el pago de tours y experiencias mediante integración iframe. Viator actúa como responsable del tratamiento independiente de los datos de pago y de la prestación del servicio turístico.
- GetYourGuide Deutschland GmbH: socio afiliado para tours y experiencias.
- LivTours: socio afiliado para excursiones y experiencias.
Cuando el usuario sea redirigido a sitios web de socios externos (marketing de afiliados), el tratamiento de los datos personales del usuario se regirá por la política de privacidad del socio correspondiente.
Otros destinatarios
- Asesores jurídicos, fiscales y comerciales, en calidad de encargados del tratamiento o personas autorizadas.
- Autoridades competentes, cuando lo exija la ley.
El responsable del tratamiento no vende los datos personales de los usuarios.
7. Pagos a través de un socio externo (Viator)
El sitio web ofrece la posibilidad de adquirir tours y experiencias directamente desde sus páginas. El proceso de pago se lleva a cabo íntegramente a través de un módulo integrado (iframe) proporcionado por Viator Inc. (Grupo Tripadvisor).
El Responsable del tratamiento no recopila, trata ni almacena los datos de pago del Usuario de ninguna manera (números de tarjetas de crédito, datos bancarios, códigos de seguridad). Dichos datos son recopilados, tratados y almacenados exclusivamente por Viator, que actúa como Responsable del tratamiento independiente de los datos de pago y de la prestación del servicio turístico.
El Responsable del tratamiento recibe de Viator exclusivamente:
- datos agregados y estadísticos sobre conversiones;
- información sobre el estado de la reserva (para enviar comunicaciones transaccionales al usuario);
- comisiones comerciales.
La factura y el bono del tour adquirido son emitidos directamente por Viator.
Para el tratamiento de los datos de pago, consulte la Política de privacidad de Viator.
8. Transferencias de datos fuera del EEE
Algunos proveedores (en particular, grupos con sede en los Estados Unidos) pueden implicar la transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE). En tales casos, el Responsable del tratamiento adopta las garantías adecuadas de conformidad con los artículos 44 y siguientes del RGPD, incluyendo:
- las cláusulas contractuales tipo (CCT) de la Comisión Europea (art. 46, apartado 2, letra c), del RGPD), en su versión actualizada (segundo trimestre de 2025), y, cuando sea necesario, evaluaciones de impacto de la transferencia (EIT) y medidas complementarias de conformidad con las Recomendaciones 01/2020 del CEPD;
- decisiones de adecuación de la Comisión Europea, cuando estén disponibles (por ejemplo, el Marco de Protección de Datos UE-EE. UU. para entidades certificadas en EE. UU.);
- medidas técnicas y organizativas adicionales (minimización de datos, seudonimización, cifrado en tránsito y en reposo, segregación de accesos).
Los principales proveedores sujetos a transferencias fuera del EEE incluyen: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc. y Viator Inc.
El Usuario podrá solicitar información sobre las garantías específicas adoptadas y una copia de las CCT aplicables escribiendo a los contactos indicados en la Sección 1.
9. Derechos del interesado
El Usuario podrá ejercer en cualquier momento los derechos previstos en los artículos 15 a 22 del RGPD:
- derecho de acceso a los datos personales (art. 15);
- derecho de rectificación y actualización (art. 16);
- derecho de supresión («derecho al olvido»), cuando proceda (art. 17);
- derecho a la limitación del tratamiento (art. 18);
- derecho a la portabilidad de los datos, cuando proceda (art. 20);
- derecho de oposición, en particular al tratamiento basado en un interés legítimo (art. 21); en caso de oposición, el responsable del tratamiento se abstendrá de seguir tratando los datos, salvo que demuestre motivos legítimos imperiosos;
- derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles (art. 22);
- derecho a retirar el consentimiento en cualquier momento, con la misma facilidad con la que se otorgó, sin que ello afecte a la licitud del tratamiento realizado antes de la retirada (art. 7, apartado 3).
Para ejercer sus derechos, escriba a: legal@vatican.museum
El responsable del tratamiento responderá, por regla general, en el plazo de un mes desde la solicitud, plazo que podrá ampliarse hasta tres meses en casos de especial complejidad o de gran volumen de solicitudes (art. 12 del RGPD). En caso de ampliación, se informará al usuario en el plazo de un mes. El ejercicio de los derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas (art. 12, apartado 5, del RGPD).
9.1 Procesos de toma de decisiones automatizados
El responsable del tratamiento no lleva a cabo ningún proceso de toma de decisiones totalmente automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos respecto al usuario o que le afecte de manera similar y significativa (art. 22 del RGPD). Las herramientas de análisis y marketing utilizadas por el sitio web tienen fines exclusivamente estadísticos y publicitarios agregados y no dan lugar a decisiones individuales automatizadas.
9.2 Reclamación ante la autoridad de control
El Usuario tiene derecho a presentar una reclamación ante la autoridad de control competente.
Para Italia:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma (RM), Italia
Sitio web: www.garanteprivacy.it
Correo electrónico certificado (PEC): protocollo@pec.gpdp.it
Teléfono: (+39) 06 696771
Cabe señalar también que el Reglamento (UE) 2025/2518, publicado en noviembre de 2025 y aplicable a partir de los 15 meses siguientes a su publicación, introduce nuevas normas de procedimiento para mejorar la cooperación entre las autoridades europeas de protección de datos en casos transfronterizos, lo que proporciona mayores garantías para los derechos de los interesados.
10. Google reCAPTCHA v3 — Aviso específico
El sitio web utiliza Google reCAPTCHA v3, un servicio de protección contra el spam y los bots proporcionado por Google Ireland Ltd / Google LLC, activado exclusivamente en las páginas que contienen formularios.
A partir del 2 de abril de 2026, de acuerdo con el anuncio de Google, reCAPTCHA opera bajo un modelo en el que Google actúa como encargado del tratamiento y el responsable del sitio web es el responsable del tratamiento de los datos recopilados a través de reCAPTCHA.
Esto significa que:
- las referencias a la Política de privacidad y a las Condiciones de servicio de Google en relación con reCAPTCHA ya no son aplicables y se han eliminado del sitio web;
- el tratamiento de los datos recopilados por reCAPTCHA se rige por la presente Política de privacidad y por el Anexo de tratamiento de datos de Google Cloud;
- reCAPTCHA establece una cookie necesaria (_GRECAPTCHA) para su análisis de riesgos, clasificada como una cookie técnica/necesaria que no requiere consentimiento.
Los datos recopilados por reCAPTCHA pueden incluir: dirección IP, datos de comportamiento (movimientos del ratón, patrones de interacción), información del navegador y del dispositivo. Dichos datos se utilizan exclusivamente con fines de seguridad y prevención del fraude.
11. Menores
El Sitio web no está destinado a personas menores de 16 años (límite establecido por el art. 2-quinquies del Decreto Legislativo 196/2003 para Italia). El Responsable del tratamiento no tiene la intención de recopilar a sabiendas datos personales de menores. Si un padre o tutor considera que se han recopilado datos de un menor sin el consentimiento necesario, puede ponerse en contacto con el Responsable del tratamiento a través de los datos indicados en la Sección 1 para solicitar su pronta supresión.
12. Medidas de seguridad
El Responsable del tratamiento adopta las medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida, la destrucción o la alteración (art. 32 del RGPD), incluyendo: comunicaciones cifradas (HTTPS/TLS), acceso autenticado con privilegios mínimos, copias de seguridad periódicas, actualizaciones de seguridad, supervisión del acceso y procedimientos de gestión de incidentes de seguridad.
13. Modificaciones de la presente Política de privacidad
El Responsable del tratamiento se reserva el derecho a actualizar la presente Política de privacidad en cualquier momento. La fecha de la última actualización se indica en la parte superior. Los cambios sustanciales se comunicarán mediante un aviso en el sitio web y, cuando sea posible, por correo electrónico a los usuarios registrados. Se invita al usuario a consultar periódicamente esta página.
14. Legislación aplicable y jurisdicción
La presente política de privacidad se rige por el Reglamento (UE) 2016/679 (RGPD), la Directiva 2002/58/CE (ePrivacy), la legislación italiana en materia de protección de datos personales (Decreto Legislativo 196/2003, modificado por el Decreto Legislativo 101/2018), así como por las disposiciones y directrices aplicables de la Garante per la Protezione dei Dati Personali y del EDPB.
Para cualquier controversia relacionada con la interpretación o aplicación de esta política, será competente el Tribunal de Florencia, salvo que las disposiciones imperativas en materia de protección de los consumidores dispongan lo contrario.