English
Español
Français
Deutsch
Nederlands
Polski
Português
Português do Brasil
Pусский
日本語
简体中文
한국어
Bahasa IndonesiaQuesta è una guida turistica indipendente. Non siamo affiliati né sostenuti dai Musei Vaticani.
Informativa sulla privacy
ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Ultimo aggiornamento: 07/02/2026
1. Titolare del trattamento
Culturae Heritage Services srls (di seguito anche il “Titolare”), con sede legale in Via dei Banchi 6, 50123 Firenze (FI), Italia, Partita IVA IT07519170489, Codice Fiscale 07519170489, REA FI-709102.
Contatto per la privacy: legal@vatican.museum
Il Titolare non ha nominato un Responsabile della protezione dei dati (DPO) in quanto non rientra nei casi obbligatori previsti dall’articolo 37 del GDPR (il Titolare non effettua trattamenti su larga scala di categorie particolari di dati, né un monitoraggio regolare e sistematico su larga scala). Per qualsiasi richiesta relativa alla protezione dei dati personali, si prega di scrivere all’indirizzo sopra indicato.
2. Ambito di applicazione
La presente informativa descrive le modalità con cui il Titolare del trattamento tratta i dati personali degli utenti (di seguito “Utente” o “Interessato”) che visitano e interagiscono con il sito web vatican.museum (di seguito il “Sito”) e con gli altri siti web di proprietà del Titolare.
La presente informativa si applica a tutti i trattamenti effettuati tramite il Sito, inclusi i moduli di contatto, i sistemi di registrazione, i servizi di analisi statistica (analytics), gli strumenti di misurazione della pubblicità e della conversione, i sistemi antispam e di sicurezza, nonché i servizi di comunicazione (newsletter, e-mail transazionali), attivati esclusivamente previo consenso dell’Utente, ove richiesto dalla legge, tramite la Piattaforma di Gestione del Consenso (CMP) integrata nel Sito.
Il Sito ha natura editoriale e informativa. Il Titolare non è un tour operator, un’agenzia di viaggi o un intermediario di viaggi ai sensi della normativa applicabile. Per maggiori dettagli sulla natura del servizio, si rimanda alla Dichiarazione di non responsabilità e alle Condizioni d’uso.
3. Tipi di dati trattati
3.1 Dati di navigazione e dati tecnici
Durante la normale navigazione, i sistemi informatici e le procedure software preposte al funzionamento del Sito web acquisiscono automaticamente alcuni dati, la cui trasmissione è implicita nell’uso dei protocolli di comunicazione Internet. Tali dati includono: indirizzo IP, tipo e versione del browser, sistema operativo, lingua, URL richiesti, data e ora delle richieste, metodo HTTP, codice di risposta del server, identificatori tecnici di sessione, eventi di sicurezza.
3.2 Dati forniti volontariamente dall’Utente
I dati personali che l'Utente fornisce volontariamente tramite moduli di contatto, moduli di registrazione o e-mail dirette possono includere:
- nome e cognome;
- indirizzo e-mail;
- numero di telefono;
- paese di origine;
- contenuto del messaggio di testo libero;
- credenziali di accesso (e-mail e password) in caso di registrazione;
- qualsiasi altra informazione che l'Utente scelga volontariamente di fornire.
3.3 Dati raccolti tramite cookie e tecnologie simili
Il Sito web utilizza cookie e tecnologie simili (memoria locale, pixel, tag) per raccogliere identificatori online e informazioni sull'utilizzo del Sito web, in conformità con le preferenze espresse dall'Utente tramite il CMP. Per tutti i dettagli, si prega di fare riferimento alla Politica sui cookie.
3.4 Dati relativi a campagne pubblicitarie e affiliazioni
Nel contesto delle attività di marketing digitale, possono essere raccolti parametri di tracciamento delle campagne (ad es. gclid, fbclid, msclkid, ttclid, parametri utm_*) e misurazioni aggregate di conversione, sempre in conformità con i consensi espressi dall'Utente.
3.5 Dati relativi alle prenotazioni
Quando l’Utente prenota un tour o un’esperienza tramite il Sito Web, i dati relativi alla transazione (stato della prenotazione, riferimenti del voucher) possono essere trattati dal Titolare esclusivamente per l’invio di comunicazioni transazionali (ad es. conferma della prenotazione, cambiamenti di stato, disponibilità del voucher). I dati di pagamento (carte di credito, coordinate bancarie, codici di sicurezza) non vengono mai raccolti, trattati o conservati dal Titolare, in quanto gestiti esclusivamente dal partner terzo responsabile dell’elaborazione dei pagamenti (vedi Sezione 7).
3.6 Dati relativi a newsletter e comunicazioni commerciali
Se l'Utente si iscrive alla newsletter, il Titolare raccoglie l'indirizzo e-mail dell'Utente ed eventuali preferenze tematiche. L'iscrizione è facoltativa e avviene esclusivamente previo consenso esplicito dell'Utente.
3.7 Natura obbligatoria o facoltativa del conferimento dei dati
Il conferimento dei dati di navigazione è necessario per il funzionamento tecnico del Sito. Il conferimento dei dati nei moduli di contatto e di registrazione è facoltativo; tuttavia, il mancato conferimento dei dati contrassegnati come obbligatori (ad es. nome, e-mail) potrebbe impedire al Titolare di rispondere alla richiesta dell’Utente, creare l’account o fornire il servizio richiesto.
Il consenso ai cookie e alle tecnologie di analisi, marketing e profilazione è del tutto facoltativo e il rifiuto di fornire tale consenso non influisce in alcun modo sulla navigazione del Sito Web o sull'accesso ai suoi contenuti.
4. Finalità, basi giuridiche e periodi di conservazione
Il Titolare tratta i dati personali per le finalità descritte nella tabella sottostante. Ove indicato, il trattamento avviene esclusivamente previo consenso espresso dell’Utente.
I periodi di conservazione indicati sono massimi ragionevoli e possono essere ridotti in applicazione del principio di limitazione della conservazione (articolo 5, paragrafo 1, lettera e) del GDPR).
Laddove il trattamento sia basato sul legittimo interesse del Titolare (art. 6(1)(f) GDPR), il Titolare ha effettuato una valutazione di bilanciamento (Legitimate Interest Assessment — LIA) per garantire che il proprio legittimo interesse non prevalga sui diritti e sulle libertà fondamentali degli Interessati. L’Utente può richiedere una copia di tale valutazione scrivendo ai contatti indicati nella Sezione 1.
| Finalità | Dati | Base giuridica | Conservazione | Note |
|---|---|---|---|---|
| Gestione del sito web, funzionamento tecnico, sicurezza, prevenzione di frodi e abusi | Dati di navigazione, log tecnici, IP | Interesse legittimo (art. 6, par. 1, lett. f) del GDPR) — LIA condotta | Fino a 12 mesi | Prorogabile in caso di indagini o contenziosi |
| Gestione delle richieste tramite modulo di contatto o e-mail | Dati forniti dall’Utente | Esecuzione di misure precontrattuali (Art. 6(1)(b)) o interesse legittimo (Art. 6(1)(f)) — LIA condotta | Fino a 24 mesi dall'ultima interazione | Fatti salvi gli obblighi di legge o i contenziosi in corso |
| Registrazione dell'account e gestione dell'area riservata | Nome, cognome, e-mail, password, numero di telefono, paese | Esecuzione del contratto (Art. 6(1)(b) GDPR) | Per la durata dell'account + 12 mesi | Cancellazione su richiesta dell'utente |
| Comunicazioni transazionali relative alle prenotazioni | E-mail, dati di prenotazione, stato del voucher | Esecuzione del contratto (art. 6, paragrafo 1, lettera b)) e interesse legittimo (art. 6, paragrafo 1, lettera f)) — LIA condotta | Fino a 24 mesi dalla prenotazione | Solo e-mail transazionali, nessun marketing |
| Obblighi legali e fiscali, gestione dei contenziosi | Dati necessari per adempimenti legali e difesa | Obbligo legale (Art. 6(1)(c)) e/o interesse legittimo (Art. 6(1)(f)) | Fino a 10 anni o termine di prescrizione applicabile | |
| Analisi statistica e misurazione (Google Analytics, Hotjar, Microsoft Clarity) — solo previo consenso | Cookie/ID, eventi di utilizzo, dati tecnici | Consenso (Art. 6(1)(a) GDPR) | Come da Informativa sui cookie (in genere 14–26 mesi) | Revocabile in qualsiasi momento |
| Pubblicità, remarketing, conversioni (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — solo previo consenso | Cookie/ID, eventi, parametri della campagna | Consenso (Art. 6(1)(a) GDPR) | Marketing: fino a 24 mesi; profilazione: fino a 12 mesi | Revocabile in qualsiasi momento |
| Sicurezza anti-spam e anti-bot (Google reCAPTCHA v3) | IP, dati comportamentali, cookie _GRECAPTCHA | Interesse legittimo (Art. 6(1)(f) GDPR) — LIA condotta | Durata della sessione di verifica | Dal 2 aprile 2026 Google agisce in qualità di Responsabile del trattamento. Cookie tecnico/necessario. |
| Newsletter e comunicazioni commerciali — solo previo consenso | E-mail, preferenze tematiche | Consenso (Art. 6(1)(a) GDPR) | Fino alla revoca del consenso | Pulizia della lista dopo 24 mesi di inattività |
| Raccolta e pubblicazione di recensioni | Nome/nickname, testo della recensione, data | Consenso (art. 6, comma 1, lett. a) e interesse legittimo (art. 6, comma 1, lett. f) | Per tutta la durata della pubblicazione sul sito web | Cancellazione su richiesta dell'utente |
5. Cookie e piattaforma di gestione del consenso (CMP)
Il sito web utilizza una piattaforma di gestione del consenso (CMP) conforme alla Modalità di consenso di Google v2 (obbligatoria a partire da marzo 2024 per gli inserzionisti europei), che consente all'utente di:
- accettare, rifiutare o personalizzare le categorie di cookie e strumenti non tecnici;
- modificare le proprie preferenze in qualsiasi momento tramite lo strumento "Gestisci le preferenze sui cookie" accessibile sul sito web;
- essere informato che i cookie e le tecnologie di analisi, marketing e profilazione vengono attivati solo dopo aver ottenuto un consenso valido.
Blocco preventivo: nessun cookie o tecnologia non strettamente necessaria viene installato sul dispositivo dell’Utente prima che questi abbia espresso il proprio consenso tramite la CMP. In assenza di consenso, sono attivi solo i cookie tecnici/necessari.
Revoca del consenso: l’Utente può revocare il consenso in qualsiasi momento con la stessa facilità con cui è stato prestato, tramite lo strumento “Gestisci le preferenze sui cookie” accessibile sul Sito, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca (art. 7, comma 3, GDPR).
I cookie tecnici/necessari (incluso il cookie _GRECAPTCHA di Google reCAPTCHA) non richiedono il consenso e sono attivi per impostazione predefinita, in quanto essenziali per il funzionamento e la sicurezza del Sito.
Per tutti i dettagli, compreso l’elenco completo dei cookie utilizzati, si prega di fare riferimento alla Politica sui cookie.
6. Destinatari dei dati
I dati personali possono essere comunicati alle seguenti parti, che agiscono in qualità di Responsabili del trattamento (art. 28 GDPR), Titolari autonomi o soggetti autorizzati:
Fornitori di servizi IT e di hosting
- OVH SAS (OVHcloud): hosting, server dedicati, infrastruttura — data center a Limburg, Germania (SEE). Agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 del GDPR.
Fornitori di servizi di analisi, pubblicità e sicurezza (attivati tramite consensi CMP)
- Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (conversioni/remarketing), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
- Hotjar Ltd: analisi comportamentale e mappe di calore.
Fornitori di servizi di comunicazione
- Amazon Web Services EMEA SARL (AWS): Amazon SES e SNS per e-mail transazionali e newsletter — regione eu-west-1 (Irlanda, SEE). Agisce in qualità di Responsabile del trattamento ai sensi dell’art. 28 del GDPR.
Partner commerciali (Titolari del trattamento indipendenti)
- Viator Inc. (Tripadvisor Group): partner per la prenotazione e il pagamento di tour ed esperienze tramite integrazione iframe. Viator agisce in qualità di Titolare del trattamento indipendente per i dati di pagamento e per la fornitura del servizio turistico.
- GetYourGuide Deutschland GmbH: partner affiliato per tour ed esperienze.
- LivTours: partner affiliato per tour ed esperienze.
Quando l'Utente viene reindirizzato a siti web di partner terzi (marketing di affiliazione), il trattamento dei dati personali dell'Utente sarà regolato dall'informativa sulla privacy del rispettivo partner.
Altri destinatari
- Consulenti legali, fiscali e commerciali, in qualità di Responsabili del trattamento o persone autorizzate.
- Autorità competenti, quando richiesto dalla legge.
Il Titolare non vende i dati personali degli Utenti.
7. Pagamenti tramite partner di terze parti (Viator)
Il sito web offre la possibilità di acquistare tour ed esperienze direttamente dalle sue pagine. Il processo di pagamento avviene interamente tramite un modulo integrato (iframe) fornito da Viator Inc. (Tripadvisor Group).
Il Titolare non raccoglie, elabora o conserva in alcun modo i dati di pagamento dell’Utente (numeri di carte di credito, coordinate bancarie, codici di sicurezza). Tali dati sono acquisiti, elaborati e conservati esclusivamente da Viator, che agisce in qualità di Titolare del trattamento indipendente per i dati di pagamento e per la fornitura del servizio turistico.
Il Titolare riceve da Viator esclusivamente:
- dati aggregati e statistici sulle conversioni;
- informazioni sullo stato della prenotazione (per l'invio di comunicazioni transazionali all'Utente);
- commissioni commerciali.
La fattura e il voucher relativi al tour acquistato vengono emessi direttamente da Viator.
Per il trattamento dei dati di pagamento, si prega di fare riferimento all'Informativa sulla privacy di Viator.
8. Trasferimenti di dati al di fuori del SEE
Alcuni fornitori (in particolare i gruppi con sede negli Stati Uniti) potrebbero comportare il trasferimento di dati personali verso paesi al di fuori dello Spazio economico europeo (SEE). In tali casi, il Titolare adotta misure di salvaguardia adeguate ai sensi degli articoli 44 e seguenti del GDPR, tra cui:
- Clausole contrattuali standard (SCC) della Commissione Europea (Art. 46(2)(c) GDPR), nella versione aggiornata (Q2 2025), e, ove necessario, Valutazioni d'impatto sul trasferimento (TIA) e misure supplementari in conformità con le Raccomandazioni 01/2020 dell'EDPB;
- decisioni di adeguatezza della Commissione europea, ove disponibili (ad es. Quadro UE-USA sulla protezione dei dati per soggetti certificati negli Stati Uniti);
- misure tecniche e organizzative aggiuntive (minimizzazione dei dati, pseudonimizzazione, crittografia in transito e inattive, segregazione degli accessi).
I principali fornitori soggetti a trasferimenti al di fuori del SEE includono: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.
L'Utente può richiedere informazioni sulle specifiche misure di salvaguardia adottate e una copia delle SCC applicabili scrivendo ai contatti indicati nella Sezione 1.
9. Diritti dell’interessato
L’Utente può esercitare in qualsiasi momento i diritti previsti dagli articoli 15–22 del GDPR:
- diritto di accesso ai dati personali (art. 15);
- diritto di rettifica e aggiornamento (art. 16);
- diritto alla cancellazione (“diritto all’oblio”), ove applicabile (art. 17);
- diritto alla limitazione del trattamento (art. 18);
- diritto alla portabilità dei dati, ove applicabile (art. 20);
- diritto di opposizione, in particolare al trattamento basato su un interesse legittimo (art. 21); in caso di opposizione, il Titolare del trattamento si asterrà dall’ulteriore trattamento dei dati, salvo che non dimostri motivi legittimi e imperativi;
- diritto di non essere sottoposto a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione (art. 22);
- diritto di revocare il consenso in qualsiasi momento, con la stessa facilità con cui è stato prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca (art. 7, comma 3).
Per esercitare i propri diritti, si prega di scrivere a: legal@vatican.museum
Il Titolare risponderà di norma entro 1 mese dalla richiesta, termine che potrà essere prorogato fino a 3 mesi in casi di particolare complessità o di elevato volume di richieste (art. 12 GDPR). In caso di proroga, l’Utente ne sarà informato entro 1 mese. L’esercizio dei diritti è gratuito, salvo che le richieste siano manifestamente infondate o eccessive (art. 12, comma 5, GDPR).
9.1 Processi decisionali automatizzati
Il Titolare non effettua alcun processo decisionale interamente automatizzato, compresa la profilazione, che produca effetti giuridici che riguardano l’Utente o che incidano in modo analogo e significativo sull’Utente (art. 22 GDPR). Gli strumenti di analisi e marketing utilizzati dal Sito web sono esclusivamente a fini statistici e pubblicitari aggregati e non comportano decisioni automatizzate individuali.
9.2 Reclamo all’Autorità di controllo
L'Utente ha il diritto di presentare un reclamo all'autorità di controllo competente.
Per l'Italia:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma (RM), Italia
Sito web: www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
Telefono: (+39) 06 696771
Si segnala inoltre che il Regolamento (UE) 2025/2518, pubblicato nel novembre 2025 e applicabile a partire da 15 mesi dopo la pubblicazione, introduce nuove norme procedurali per migliorare la cooperazione tra le autorità europee di protezione dei dati nei casi transfrontalieri, fornendo ulteriori garanzie per i diritti degli interessati.
10. Google reCAPTCHA v3 — Informativa specifica
Il Sito utilizza Google reCAPTCHA v3, un servizio di protezione anti-spam e anti-bot fornito da Google Ireland Ltd / Google LLC, attivato esclusivamente sulle pagine contenenti moduli.
A partire dal 2 aprile 2026, in conformità con l’annuncio di Google, reCAPTCHA opera secondo un modello in cui Google agisce in qualità di Responsabile del trattamento e il Titolare del trattamento del Sito web è il Titolare del trattamento per i dati raccolti tramite reCAPTCHA.
Ciò significa che:
- i riferimenti all'Informativa sulla privacy e ai Termini di servizio di Google in relazione a reCAPTCHA non sono più applicabili e sono stati rimossi dal sito web;
- il trattamento dei dati raccolti da reCAPTCHA è regolato dalla presente Informativa sulla privacy e dall'Addendum sul trattamento dei dati di Google Cloud;
- reCAPTCHA imposta un cookie necessario (_GRECAPTCHA) per la sua analisi dei rischi, classificato come cookie tecnico/necessario che non richiede il consenso.
I dati raccolti da reCAPTCHA possono includere: indirizzo IP, dati comportamentali (movimenti del mouse, modelli di interazione), informazioni sul browser e sul dispositivo. Tali dati vengono utilizzati esclusivamente per scopi di sicurezza e prevenzione delle frodi.
11. Minori
Il Sito web non è destinato a persone di età inferiore ai 16 anni (soglia stabilita dall'art. 2-quinquies del Decreto Legislativo 196/2003 per l'Italia). Il Titolare non intende raccogliere consapevolmente dati personali di minori. Se un genitore o un tutore ritiene che siano stati raccolti dati di un minore senza il necessario consenso, può contattare il Titolare ai recapiti indicati nella Sezione 1 per richiederne la tempestiva cancellazione.
12. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione (art. 32 GDPR), tra cui: comunicazioni crittografate (HTTPS/TLS), accesso autenticato con privilegi minimi, backup periodici, aggiornamenti di sicurezza, monitoraggio degli accessi, procedure di gestione degli incidenti di sicurezza.
13. Modifiche alla presente Informativa sulla privacy
Il Titolare si riserva il diritto di aggiornare la presente Informativa sulla privacy in qualsiasi momento. La data dell'ultimo aggiornamento è indicata in alto. Le modifiche sostanziali saranno comunicate tramite avviso sul Sito web e, ove possibile, tramite e-mail agli Utenti registrati. L'Utente è invitato a consultare periodicamente questa pagina.
14. Legge applicabile e foro competente
La presente informativa sulla privacy è regolata dal Regolamento (UE) 2016/679 (GDPR), dalla Direttiva 2002/58/CE (ePrivacy), dalla normativa italiana in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), nonché dalle disposizioni e dalle linee guida applicabili del Garante per la Protezione dei Dati Personali e dell’EDPB.
Per qualsiasi controversia relativa all'interpretazione o all'applicazione della presente informativa, è competente il Tribunale di Firenze, salvo quanto diversamente previsto dalle disposizioni imperative in materia di tutela dei consumatori.