Italiano
English
Español
Français
Deutsch
Nederlands
Polski
Português do Brasil
Pусский
日本語
简体中文
한국어
Bahasa IndonesiaEste é um guia turístico independente. Não estamos afiliados aos Museus do Vaticano nem contamos com o seu apoio.
Política de Privacidade
nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679 (RGPD)
Última atualização: 07/02/2026
1. Responsável pelo tratamento
Culturae Heritage Services srls (doravante também o «Responsável pelo tratamento»), com sede social em Via dei Banchi 6, 50123 Florença (FI), Itália, N.º de IVA IT07519170489, Código Fiscal 07519170489, REA FI-709102.
Contacto para questões de privacidade: legal@vatican.museum
O Responsável pelo Tratamento não nomeou um Encarregado da Proteção de Dados (DPO), uma vez que não se enquadra nos casos obrigatórios previstos no artigo 37.º do RGPD (o Responsável pelo Tratamento não realiza o tratamento em grande escala de categorias especiais de dados, nem a monitorização regular e sistemática em grande escala). Para qualquer pedido relativo à proteção de dados pessoais, escreva para o endereço acima indicado.
2. Âmbito de aplicação
A presente declaração de privacidade descreve a forma como o Responsável pelo Tratamento trata os dados pessoais dos utilizadores (doravante «Utilizador» ou «Titular dos Dados») que visitam e interagem com o sítio web vatican.museum (doravante o «Sítio Web») e com os outros sítios web detidos pelo Responsável pelo Tratamento.
Esta declaração aplica-se a todo o tratamento realizado através do Site, incluindo formulários de contacto, sistemas de registo, serviços de análise estatística (analytics), ferramentas de publicidade e medição de conversão, sistemas antispam e de segurança, e serviços de comunicação (newsletter, e-mails transacionais), ativados exclusivamente com o consentimento prévio do Utilizador, quando exigido por lei, através da Plataforma de Gestão de Consentimento (CMP) integrada no Site.
O Site tem natureza editorial e informativa. O Responsável pelo Tratamento não é um operador turístico, agência de viagens ou intermediário de viagens nos termos da legislação aplicável. Para mais detalhes sobre a natureza do serviço, consulte o Aviso Legal e os Termos e Condições de Utilização.
3. Tipos de Dados Tratados
3.1 Dados de navegação e técnicos
Durante a navegação normal, os sistemas informáticos e os procedimentos de software utilizados para operar o Site adquirem automaticamente determinados dados, cuja transmissão está implícita na utilização dos protocolos de comunicação da Internet. Esses dados incluem: endereço IP, tipo e versão do navegador, sistema operativo, idioma, URLs solicitados, data e hora dos pedidos, método HTTP, código de resposta do servidor, identificadores técnicos de sessão, eventos de segurança.
3.2 Dados fornecidos voluntariamente pelo Utilizador
Os dados pessoais que o Utilizador fornece voluntariamente através de formulários de contacto, formulários de registo ou e-mail direto podem incluir:
- nome e apelido;
- endereço de e-mail;
- número de telefone;
- país de origem;
- conteúdo de mensagem de texto livre;
- credenciais de login (e-mail e palavra-passe) em caso de registo;
- quaisquer outras informações que o Utilizador opte voluntariamente por fornecer.
3.3 Dados recolhidos através de cookies e tecnologias semelhantes
O Site utiliza cookies e tecnologias semelhantes (armazenamento local, pixels, tags) para recolher identificadores online e informações sobre a utilização do Site, de acordo com as preferências expressas pelo Utilizador através do CMP. Para obter todos os detalhes, consulte a Política de Cookies.
3.4 Dados relacionados com campanhas publicitárias e afiliações
No contexto das atividades de marketing digital, podem ser recolhidos parâmetros de rastreamento de campanhas (por exemplo, parâmetros gclid, fbclid, msclkid, ttclid, utm_*) e medições agregadas de conversão, sempre de acordo com os consentimentos expressos pelo Utilizador.
3.5 Dados relacionados com reservas
Quando o Utilizador reserva um passeio ou experiência através do Site, os dados relacionados com a transação (estado da reserva, referências do voucher) podem ser tratados pelo Responsável pelo Tratamento exclusivamente para o envio de comunicações transacionais (por exemplo, confirmação da reserva, alterações de estado, disponibilidade do voucher). Os dados de pagamento (cartões de crédito, dados bancários, códigos de segurança) nunca são recolhidos, tratados ou armazenados pelo Responsável pelo Tratamento, uma vez que são geridos exclusivamente pelo parceiro terceiro responsável pelo processamento de pagamentos (ver Secção 7).
3.6 Dados relacionados com newsletters e comunicações comerciais
Se o Utilizador subscrever a newsletter, o Responsável pelo Tratamento recolhe o endereço de e-mail do Utilizador e quaisquer preferências temáticas. A subscrição é opcional e ocorre exclusivamente com o consentimento prévio e explícito do Utilizador.
3.7 Caráter obrigatório ou opcional do fornecimento de dados
O fornecimento de dados de navegação é necessário para o funcionamento técnico do Site. O fornecimento de dados nos formulários de contacto e de registo é opcional; no entanto, a não disponibilização dos dados assinalados como obrigatórios (por exemplo, nome, e-mail) pode impossibilitar o Responsável pelo Tratamento de responder ao pedido do Utilizador, criar a conta ou prestar o serviço solicitado.
O consentimento para cookies e tecnologias de análise, marketing e criação de perfis é inteiramente opcional, e a recusa em dar esse consentimento não afeta de forma alguma a navegação no Site ou o acesso ao seu conteúdo.
4. Finalidades, Bases Legais e Períodos de Conservação
O Responsável pelo tratamento trata os dados pessoais para as finalidades descritas na tabela abaixo. Quando indicado, o tratamento ocorre exclusivamente com o consentimento prévio e expresso do Utilizador.
Os períodos de retenção indicados são máximos razoáveis e podem ser reduzidos em aplicação do princípio da limitação do armazenamento (artigo 5.º, n.º 1, alínea e) do RGPD).
Quando o tratamento se baseia no interesse legítimo do Responsável pelo Tratamento (artigo 6.º, n.º 1, alínea f) do RGPD), o Responsável pelo Tratamento realizou uma avaliação de equilíbrio (Avaliação do Interesse Legítimo — LIA) para garantir que o seu interesse legítimo não se sobreponha aos direitos e liberdades fundamentais dos Titulares dos Dados. O Utilizador pode solicitar uma cópia dessa avaliação escrevendo para os contactos indicados na Secção 1.
| Finalidade | Dados | Base jurídica | Conservação | Notas |
|---|---|---|---|---|
| Operação do site, funcionamento técnico, segurança, prevenção de fraudes e abusos | Dados de navegação, registos técnicos, IP | Interesse legítimo (Art. 6.º, n.º 1, alínea f) do RGPD) — Realizado pela LIA | Até 12 meses | Prorrogável em caso de investigações ou litígios |
| Tratamento de pedidos através do formulário de contacto ou e-mail | Dados fornecidos pelo Utilizador | Execução de medidas pré-contratuais (Art. 6.º, n.º 1, alínea b)) ou interesse legítimo (Art. 6.º, n.º 1, alínea f)) — LIA realizada | Até 24 meses a contar da última interação | Sujeito a obrigações legais ou litígios pendentes |
| Registo de conta e gestão da área reservada | Nome, apelido, e-mail, palavra-passe, telefone, país | Execução do contrato (Art. 6.º, n.º 1, alínea b) do RGPD) | Durante a vigência da conta + 12 meses | Eliminação a pedido do Utilizador |
| Comunicações transacionais relacionadas com reservas | E-mail, dados da reserva, estado do voucher | Execução do contrato (art. 6.º, n.º 1, alínea b)) e interesse legítimo (art. 6.º, n.º 1, alínea f)) — LIA realizada | Até 24 meses a partir da reserva | Apenas e-mails transacionais, sem marketing |
| Obrigações legais e fiscais, gestão de litígios | Dados necessários para o cumprimento de obrigações legais e defesa | Obrigação legal (Art. 6.º, n.º 1, alínea c)) e/ou interesse legítimo (Art. 6.º, n.º 1, alínea f)) | Até 10 anos ou prazo de prescrição aplicável | |
| Análise estatística e medição (Google Analytics, Hotjar, Microsoft Clarity) — apenas com consentimento | Cookies/IDs, eventos de utilização, dados técnicos | Consentimento (Art. 6.º, n.º 1, alínea a) do RGPD) | Conforme a Política de Cookies (normalmente 14–26 meses) | Revogável a qualquer momento |
| Publicidade, remarketing, conversões (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — apenas com consentimento | Cookies/IDs, eventos, parâmetros de campanha | Consentimento (Art. 6.º, n.º 1, alínea a) do RGPD) | Marketing: até 24 meses; criação de perfis: até 12 meses | Revogável a qualquer momento |
| Segurança antispam e antibot (Google reCAPTCHA v3) | IP, dados comportamentais, cookie _GRECAPTCHA | Interesse legítimo (Art. 6.º, n.º 1, alínea f) do RGPD) — LIA realizada | Duração da sessão de verificação | A partir de 2 de abril de 2026, a Google atua como Subcontratante. Cookie técnico/necessário. |
| Newsletter e comunicações comerciais — apenas com consentimento | E-mail, preferências temáticas | Consentimento (Art. 6.º, n.º 1, alínea a) do RGPD) | Até que o consentimento seja retirado | Limpeza da lista após 24 meses de inatividade |
| Recolha e publicação de comentários | Nome/alcunha, texto da avaliação, data | Consentimento (art. 6.º, n.º 1, alínea a)) e interesse legítimo (art. 6.º, n.º 1, alínea f)) | Durante o período de publicação no site | Remoção a pedido do utilizador |
5. Cookies e Plataforma de Gestão de Consentimento (CMP)
O Site utiliza uma Plataforma de Gestão de Consentimento (CMP) em conformidade com o Google Consent Mode v2 (obrigatório desde março de 2024 para anunciantes europeus), que permite ao Utilizador:
- aceitar, rejeitar ou personalizar categorias de cookies e ferramentas não técnicas;
- alterar as suas preferências a qualquer momento através da ferramenta «Gerir preferências de cookies» acessível no Site;
- ser informado de que os cookies e tecnologias de análise, marketing e criação de perfis só são ativados após a obtenção de um consentimento válido.
Bloqueio preventivo: nenhum cookie ou tecnologia não estritamente necessária é instalado no dispositivo do Utilizador antes de este ter manifestado o seu consentimento através da CMP. Na ausência de consentimento, apenas os cookies técnicos/necessários estão ativos.
Retirada do consentimento: o Utilizador pode retirar o consentimento a qualquer momento com a mesma facilidade com que foi dado, através da ferramenta «Gerir preferências de cookies» acessível no Site, sem afetar a licitude do tratamento com base no consentimento dado antes da retirada (Art. 7.º, n.º 3, do RGPD).
Os cookies técnicos/necessários (incluindo o cookie _GRECAPTCHA do Google reCAPTCHA) não requerem consentimento e estão ativos por predefinição, uma vez que são essenciais para o funcionamento e a segurança do Site.
Para obter todos os detalhes, incluindo a lista completa de cookies utilizados, consulte a Política de Cookies.
6. Destinatários dos dados
Os dados pessoais podem ser divulgados às seguintes partes, na qualidade de subcontratantes (art. 28.º do RGPD), responsáveis pelo tratamento independentes ou pessoas autorizadas:
Fornecedores de serviços de TI e alojamento
- OVH SAS (OVHcloud): alojamento, servidores dedicados, infraestrutura — centro de dados em Limburg, Alemanha (EEE). Atua como Subcontratante nos termos do Art. 28.º do RGPD.
Fornecedores de serviços de análise, publicidade e segurança (ativados mediante consentimentos CMP)
- Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (conversões/remarketing), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
- Hotjar Ltd: análise comportamental e mapas de calor.
Prestadores de serviços de comunicação
- Amazon Web Services EMEA SARL (AWS): Amazon SES e SNS para e-mails transacionais e newsletter — região eu-west-1 (Irlanda, EEE). Atua como Subcontratante nos termos do Art. 28.º do RGPD.
Parceiros comerciais (responsáveis pelo tratamento independentes)
- Viator Inc. (Grupo Tripadvisor): parceiro para a reserva e pagamento de excursões e experiências através da integração iframe. A Viator atua como Responsável pelo Tratamento independente dos dados de pagamento e pela prestação do serviço turístico.
- GetYourGuide Deutschland GmbH: parceiro afiliado para excursões e experiências.
- LivTours: parceiro afiliado para excursões e experiências.
Quando o Utilizador é redirecionado para sites de parceiros terceiros (marketing de afiliados), o tratamento dos dados pessoais do Utilizador será regido pela política de privacidade do respetivo parceiro.
Outros destinatários
- Consultores jurídicos, fiscais e comerciais, na qualidade de subcontratantes ou pessoas autorizadas.
- Autoridades competentes, quando exigido por lei.
O Responsável pelo tratamento não vende os dados pessoais dos Utilizadores.
7. Pagamentos através de parceiro terceiro (Viator)
O Site oferece a possibilidade de adquirir excursões e experiências diretamente a partir das suas páginas. O processo de pagamento decorre inteiramente através de um módulo integrado (iframe) fornecido pela Viator Inc. (Grupo Tripadvisor).
O Responsável pelo Tratamento não recolhe, processa ou armazena os dados de pagamento do Utilizador de forma alguma (números de cartão de crédito, dados bancários, códigos de segurança). Esses dados são adquiridos, processados e armazenados exclusivamente pela Viator, que atua como Responsável pelo Tratamento independente dos dados de pagamento e pela prestação do serviço turístico.
O Responsável pelo Tratamento recebe da Viator exclusivamente:
- dados agregados e estatísticos sobre conversões;
- informações sobre o estado da reserva (para o envio de comunicações transacionais ao Utilizador);
- comissões comerciais.
A fatura e o voucher relativos à excursão adquirida são emitidos diretamente pela Viator.
Para o tratamento de dados de pagamento, consulte a Política de Privacidade da Viator.
8. Transferências de dados para fora do EEE
Alguns prestadores de serviços (em particular grupos com sede nos Estados Unidos) podem envolver a transferência de dados pessoais para países fora do Espaço Económico Europeu (EEE). Nesses casos, o Responsável pelo Tratamento adota salvaguardas adequadas nos termos dos artigos 44.º e seguintes do RGPD, incluindo:
- Cláusulas Contratuais Padrão (SCC) da Comissão Europeia (Art. 46.º, n.º 2, alínea c) do RGPD), na versão atualizada (2.º trimestre de 2025) e, quando necessário, Avaliações de Impacto da Transferência (TIA) e medidas suplementares em conformidade com as Recomendações 01/2020 do CEPD;
- decisões de adequação da Comissão Europeia, quando disponíveis (por exemplo, o Quadro de Proteção de Dados UE-EUA para entidades certificadas nos EUA);
- medidas técnicas e organizacionais adicionais (minimização de dados, pseudonimização, encriptação em trânsito e em repouso, segregação de acesso).
Os principais prestadores sujeitos a transferências para fora do EEE incluem: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.
O Utilizador pode solicitar informações sobre as salvaguardas específicas adotadas e uma cópia das CCT aplicáveis, escrevendo para os contactos indicados na Secção 1.
9. Direitos do Titular dos Dados
O Utilizador pode exercer a qualquer momento os direitos previstos nos artigos 15.º a 22.º do RGPD:
- direito de acesso aos dados pessoais (art. 15.º);
- direito de retificação e atualização (Art. 16);
- direito ao apagamento («direito ao esquecimento»), quando aplicável (Art. 17);
- direito à limitação do tratamento (art. 18.º);
- direito à portabilidade dos dados, quando aplicável (Art. 20.º);
- direito de oposição, nomeadamente ao tratamento baseado em interesses legítimos (art. 21.º); em caso de oposição, o responsável pelo tratamento deve abster-se de continuar a tratar os dados, a menos que demonstre motivos legítimos imperiosos;
- direito a não ser sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a definição de perfis (art. 22.º);
- direito de retirar o consentimento a qualquer momento, com a mesma facilidade com que foi dado, sem afetar a licitude do tratamento efetuado antes da retirada (Art. 7.º, n.º 3).
Para exercer os seus direitos, escreva para: legal@vatican.museum
O Responsável pelo Tratamento responderá, em regra, no prazo de 1 mês a contar da data do pedido, prazo que pode ser prorrogado até 3 meses em casos de particular complexidade ou de elevado volume de pedidos (Art. 12.º do RGPD). Em caso de prorrogação, o Utilizador será informado no prazo de 1 mês. O exercício dos direitos é gratuito, salvo se os pedidos forem manifestamente infundados ou excessivos (Art. 12.º, n.º 5, do RGPD).
9.1 Processos de tomada de decisão automatizados
O Responsável pelo tratamento não realiza qualquer processo de tomada de decisão totalmente automatizado, incluindo a definição de perfis, que produza efeitos jurídicos que digam respeito ao Utilizador ou que o afete de forma significativa (art. 22.º do RGPD). As ferramentas de análise e marketing utilizadas pelo Site destinam-se exclusivamente a fins estatísticos e publicitários agregados e não resultam em decisões individuais automatizadas.
9.2 Reclamação junto da Autoridade de Controlo
O Utilizador tem o direito de apresentar uma reclamação junto da autoridade de controlo competente.
Para Itália:
Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma (RM), Itália
Website: www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
Telefone: (+39) 06 696771
Note-se ainda que o Regulamento (UE) 2025/2518, publicado em novembro de 2025 e aplicável 15 meses após a publicação, introduz novas regras processuais para melhorar a cooperação entre as autoridades europeias de proteção de dados em casos transfronteiriços, proporcionando salvaguardas adicionais aos direitos dos titulares de dados.
10. Google reCAPTCHA v3 — Aviso específico
O Site utiliza o Google reCAPTCHA v3, um serviço de proteção antispam e antibot fornecido pela Google Ireland Ltd / Google LLC, ativado exclusivamente em páginas que contêm formulários.
A partir de 2 de abril de 2026, de acordo com o anúncio da Google, o reCAPTCHA funciona segundo um modelo em que a Google atua como Subcontratante e o Responsável pelo Tratamento do Site é o Responsável pelo Tratamento dos dados recolhidos através do reCAPTCHA.
Isto significa que:
- as referências à Política de Privacidade e aos Termos de Serviço da Google relativos ao reCAPTCHA deixaram de ser aplicáveis e foram removidas do Website;
- o tratamento dos dados recolhidos pelo reCAPTCHA é regido pela presente Política de Privacidade e pelo Aditamento de Tratamento de Dados do Google Cloud;
- o reCAPTCHA define um cookie necessário (_GRECAPTCHA) para a sua análise de risco, classificado como um cookie técnico/necessário que não requer consentimento.
Os dados recolhidos pelo reCAPTCHA podem incluir: endereço IP, dados comportamentais (movimentos do rato, padrões de interação), informações do navegador e do dispositivo. Esses dados são utilizados exclusivamente para fins de segurança e prevenção de fraudes.
11. Menores
O Site não se destina a indivíduos com menos de 16 anos (limite estabelecido pelo Art. 2-quinquies do Decreto Legislativo 196/2003 para Itália). O Responsável pelo Tratamento não pretende recolher conscientemente dados pessoais de menores. Se um pai ou tutor considerar que foram recolhidos dados de um menor sem o consentimento necessário, pode contactar o Responsável pelo Tratamento através dos dados indicados na Secção 1 para solicitar a sua eliminação imediata.
12. Medidas de segurança
O Responsável pelo tratamento adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra o acesso não autorizado, perda, destruição ou alteração (Art. 32.º do RGPD), incluindo: comunicações encriptadas (HTTPS/TLS), acesso autenticado com privilégios mínimos, cópias de segurança periódicas, atualizações de segurança, monitorização do acesso e procedimentos de gestão de incidentes de segurança.
13. Alterações à presente Política de Privacidade
O Responsável pelo Tratamento reserva-se o direito de atualizar a presente Política de Privacidade a qualquer momento. A data da última atualização é indicada no topo. As alterações materiais serão comunicadas através de aviso no Site e, sempre que possível, por e-mail aos Utilizadores registados. O Utilizador é convidado a consultar periodicamente esta página.
14. Lei Aplicável e Jurisdição
A presente política de privacidade é regida pelo Regulamento (UE) 2016/679 (RGPD), pela Diretiva 2002/58/CE (ePrivacy), pela legislação italiana em matéria de proteção de dados pessoais (Decreto Legislativo 196/2003, conforme alterado pelo Decreto Legislativo 101/2018), bem como pelas disposições e orientações aplicáveis da Garante per la Protezione dei Dati Personali e do EDPB.
Para qualquer litígio relativo à interpretação ou aplicação desta política, o Tribunal de Florença terá jurisdição, salvo disposição em contrário prevista nas disposições imperativas de proteção do consumidor.