Privacy policy.

INFORMATIVA sul trattamento dei dati personali Articoli 12 e ss. del Regolamento (UE) 2016/679 (GDPR). PREMESSA Nel rispetto di quanto previsto dal Regolamento UE 2016/679 (di seguito GDPR) forniamo, nel seguito, le informazioni in ordine al trattamento dei dati personali forniti dall’interessato nei confronti della Società. La presente informativa è resa ai sensi dell’art. 13 e 14 GDPR.

IDENTITÀ E DATI DI CONTATTO TITOLARE DEL TRATTAMENTO Il Titolare del trattamento è Valentina Boffa Antonioli – Corso Italia 22 - 20122 Milano Italia (di seguito il Titolare). Il Titolare può essere contattato al seguente recapito: e-mail: stay@montegrandebellagio.com

DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DATI (DPO) Il Responsabile della protezione dei dati è Valentina Boffa Antonioli, e-mail: stay@montegrandebellagio.com

FINALITÀ DEL TRATTAMENTO, BASE GIURIDICA E PERIODO DI CONSERVAZIONE DEI DATI a) Finalità: Erogazione del servizio (registrazione del cliente per poi successivamente adempiere agli obblighi di legge) Tipologia di dati trattati: Nome, Cognome, Numero di Telefono, Richieste aggiuntive, Indirizzo, CAP, Provincia, Nazione, Stato e E-mail, Dati di pagamento. Base giuridica: Esecuzione di un contratto di cui Lei è parte o misure precontrattuali adottate su richiesta dell’interessato; adempimenti di obblighi legali. Art. 6 co. 1 lett. b) e c) GDPR. Periodo di conservazione*: Il tempo di conservazione è mutevole in quanto dettato dalla differenza tra il momento in cui avviene la prenotazione e il momento in cui si giunge realmente in struttura. I dati di pagamento criptati vengono conservati fino a 15 giorni successivi alla partenza dell’ospite del cliente. b) Finalità: Richiesta preventivo (richiesta di preventivo con successivo contatto da parte del Titolare) Tipologia di dati trattati: Nome, cognome, email e numero di telefono. Base giuridica: Misure precontrattuali adottate su richiesta dell’interessato. Art. 6 co. 1 lett. b) e c) GDPR. Periodo di conservazione*: Per il tempo necessario ad evadere la richiesta. c) Finalità: Newsletter da parte della struttura ricettiva (invio, con modalità automatizzate di contatto, di newsletter) Tipologia di dati trattati: Dati anagrafici e dati di contatto. Base giuridica: Consenso (richiesto con contratto o con richiesta specifica); facoltativo e revocabile in qualsiasi momento. Art. 6 co. 1 lett. a) GDPR. Periodo di conservazione*: Sino alla revoca del consenso per tale finalità e/o trascorsi cinque anni dall’ espressione del consenso. d) Finalità: Se necessario, per accertare, esercitare o difendere i diritti delle Contitolari in sede giudiziaria. Tipologia di dati trattati: Dati anagrafici e dati di contatto, dati relativi all’esecuzione del contratto. Base giuridica: Legittimo interesse (tutela giudiziaria). Art. 6 co 1 lett. f) GDPR. Periodo di conservazione*: Per il tempo necessario a all’esercizio dei diritti in sede giudiziaria.

OBBLIGATORIETÀ DEL CONFERIMENTO DEI DATI L’interessato deve fornire alla Società i dati necessari per lo svolgimento del rapporto contrattuale, come pure i dati necessari ad adempiere ad obblighi previsti da leggi, regolamenti, normative comunitarie, ovvero da disposizioni di Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo. I dati non essenziali per lo svolgimento del rapporto contrattuale sono qualificati e considerati supplementari e il loro conferimento da parte dell’interessato, se richiesto, è facoltativo e vincolato al consenso. Il consenso fornito potrà essere revocato dall’interessato in qualsiasi momento. Tale revoca non pregiudicherà in alcun modo la liceità del trattamento basata sui consensi conferiti prima della revoca.

MODALITÀ DEL TRATTAMENTO I dati personali saranno registrati, trattati e conservati presso gli archivi della Società, cartacei ed elettronici, in ottemperanza alle misure tecniche e organizzative adeguate di cui all’art. 32 del GDPR. Il trattamento dei dati personali dell’interessato può consistere in qualunque operazione o insieme di operazioni tra quelle indicate all' art. 4, comma 1, punto 2 del GDPR. Il trattamento dei dati personali avverrà mediante l’utilizzo di strumenti e procedure idonei a garantirne la sicurezza e la riservatezza e potrà essere effettuato, direttamente e/o tramite terzi delegati, sia manualmente mediante supporti cartacei, sia mediante l’ausilio di mezzi informatici o strumenti elettronici. I dati, ai fini della corretta gestione del rapporto e dell’assolvimento degli obblighi di legge, potranno essere inseriti nella documentazione interna della Società e se necessario anche nelle scritture e nei registri obbligatori per legge. I dati personali dell’interessato potranno essere trattati dai dipendenti delle funzioni aziendali della Società deputata al perseguimento delle finalità sopra indicate. Tali dipendenti sono stati espressamente autorizzati al trattamento e hanno ricevuto adeguate istruzioni operative ai sensi e per gli effetti dell’art. 29 GDPR.

CATEGORIE DI DESTINATARI DEI DATI PERSONALI I dati personali di cui alla finalità a) vengono esclusivamente comunicati a eventuali uffici legali ove previsto dalla legge. I dati di pagamento vengono trasmessi ai payment service provider per il completamento della transazione.

TRASFERIMENTO DATI IN PAESI EXTRA-UE I dati forniti dall’interessato saranno trattati solo in Paesi siti all’interno dell’Unione Europea. Qualora i dati personali dell’interessato siano trattati in uno stato non appartenente all’UE, saranno garantiti i diritti attribuiti a quest’ultimo dalla normativa comunitaria e verrà data tempestiva comunicazione all’interessato.

DIRITTI DELL’INTERESSATO Ai sensi degli artt. 15 e ss. GDPR, l’interessato potrà esercitare i seguenti diritti: 1. accesso: conferma o meno che sia in corso un trattamento dei dati personali dell’interessato e diritto di accesso agli stessi; non è possibile rispondere a richieste manifestamente infondate, eccessive o ripetitive; 2. rettifica: correggere/ottenere la correzione dei dati personali se errati o obsoleti e di completarli, se incompleti; 3. cancellazione/oblio: ottenere, in alcuni casi, la cancellazione dei dati personali forniti; questo non è un diritto assoluto, in quanto la Società potrebbe avere motivi legittimi o legali per conservarli; 4. limitazione: i dati saranno archiviati, ma non potranno essere né trattati, né elaborati ulteriormente, nei casi previsti dalla normativa; 5. portabilità: spostare, copiare o trasferire i dati dai database della Società a terzi. Questo vale solo per i dati forniti dall’interessato per l’esecuzione di un contratto o per i quali è stato fornito consenso e espresso e il trattamento viene eseguito con mezzi automatizzati; 6. opposizione al marketing diretto; 7. revoca del consenso in qualsiasi momento, qualora il trattamento si basi sul consenso. Ai sensi dell’art. 2-undicies del D.Lgs. 196/2003 l’esercizio dei diritti dell’interessato può essere ritardato, limitato o escluso, con comunicazione motivata e resa senza ritardo, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a) (interessi tutelati in materia di riciclaggio), e) (allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria) ed f) (alla riservatezza dell’identità del dipendente che segnala illeciti di cui sia venuto a conoscenza in ragione del proprio ufficio). In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 dello stesso Decreto. In tale ipotesi, il Garante informerà l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame nonché della facoltà dell’interessato di proporre ricorso giurisdizionale. Si precisa, inoltre, che - prima dell’evasione delle richieste – la Società potrà effettuare un accertamento dell’identità dell’interessato identità, per valutare la legittimità della richiesta ricevuta. Per esercitare tali diritti l’interessato potrà rivolgersi alla Società Titolare trattamento in relazione agli ambiti come sopra definiti agli indirizzi indicati al paragrafo "Identità e dati di contatto titolare del trattamento" di questo documento. La Società risponderà entro 30 giorni dalla ricezione della richiesta formale inviata dall’interessato. Ricordiamo che in caso di violazione dei dati personali dell’interessato, quest’ultimo potrà proporre un reclamo all’autorità competente: “Garante per la protezione dei dati personali”.

IL TITOLARE DEL TRATTAMENTO Valentina Boffa Antonioli

INFORMATION on the processing of personal data Articles 12 and following of Regulation (EU) 2016/679 (GDPR). In compliance with the provisions of the EU Regulation 2016/679 (hereinafter GDPR), we provide, in the following, the information regarding the processing of pers onal data provided by the interested party towards the Company. This information is provided pursuant to articles 13 and 14 of the GDPR.

IDENTITY AND CONTACT DETAILS DATA CONTROLLER The Data Controller is Valentina Boffa Antonioli – Corso Italiia 22 - 20122 Milan Italy (hereinafter the Data Controller). The Data Controller can be contacted at the following address: e-mail: stay@montegrandebellagio.com

CONTACT DETAILS OF THE DATA PROTECTION OFFICER (DPO) The Data Protection Officer is Valentina Boffa Antonioli, email: stay@montegrandebellagio.com

PURPOSE OF THE PROCESSING, LEGAL BASIS AND DATA RETENTION PERIOD a) Purpose: Delivery of the service (registration of the customer and then later to fulfil the legal obligations) Type of data processed: First name, Last name, Telephone number, Additional requests, Address, Postal Code, Province, Country, State and Email, Payment data. Legal basis: Execution of a contract to which you are a party or precontractual measures adopted at the request of the interested party; fulfilment of legal obligatio ns. Art. 6 co. 1 letter b) and c) GDPR. Storage period*:The storage time is changing as it is dictated by the difference between the time when the reservation takes place and the time when you act ually arrive at the property. Encrypted payment data is kept for up to 15 days following the departure of the client’s guest. b) Purpose: Request for a quote (request for a quote with subsequent contact by the Data Controller) Type of data processed: Name, surname, email and telephone number. Legal basis: Precontractual measures adopted at the request of the interested party. Art. 6 co. 1(b) and (c) GDPR. Retention period*: For the time necessary to process the request. c) Purpose: Newsletter by the tourist accommodation (sending, with automated methods of contact, newsletter) Type of data processed: Personal data and contact data. Legal basis: Consent (required by contract or by specific request); optional and revocable at any time. Art. 6 co. 1 letter a) GDPR. Retention period*: Until the revocation of consent for this purpose and/or five years from the expression of consent. d) Purpose: If necessary, to ascertain, exercise or defend the rights of joint owners in court. Type of data processed: Personal data and contact data, data relating to the execution of the contract. Legal basis: Legitimate interest (judicial protection). Art. 6 co 1 lett. f) GDPR. Retention period*: For the time necessary to exercise rights in court.

OBLIGATION TO PROVIDE DATA The interested party must provide the Company with the data necessary for the performance of the contractual relationship, as well as the data necessary to fulfill t he obligations provided for by laws, regulations, Community regulations, or by provisions of the Authorities legitimised by law and by supervisory and control bodie s. The data not essential for the performance of the contractual relationship are qualified and considered additional and their provision by the interested party, if req uested, is optional and subject to consent. The consent given may be revoked by the interested party at any time. Such revocation shall in no way affect the lawful ness of the processing based on the consents given before the revocation.

TREATMENT MODALITIES Personal data will be recorded, processed and stored in the Company’s archives, both on paper and electronically, in compliance with the appropriate technical an d organisational measures referred to in Article 32 of the GDPR. The processing of personal data of the interested party may consist of any operation or set of oper ations among those indicated in Article 4, paragraph 1, point 2 of the GDPR. The processing of personal data will take place through the use of appropriate tools a nd procedures to ensure its security and confidentiality and can be carried out, directly and / or through delegated third parties, either manually using paper media, or using computer or electronic means. The data, for the purposes of the proper management of the relationship and the fulfilment of legal obligations, may be incl uded in the internal documentation of the Company and if necessary also in the records and registers required by law. The personal data of the interested party ma y be processed by employees of the company functions assigned to the pursuit of the purposes indicated above. Those employees were expressly authorised to process and have received adequate operating instructions pursuant to and for the purposes of Article 29 of the GDPR.

CATEGORIES OF RECIPIENTS OF PERSONAL DATA The personal data referred to in purpose a) are exclusively communicated to any legal offices where required by law. Payment data shall be transmitted to the payment service provider to complete the transaction.

DATA TRANSFER TO NON-EU COUNTRIES The data provided by the interested party will be processed only in countries located within the European Union. If the personal data of the interested party are pro cessed in a non-EU state, the rights attributed to the latter by Community legislation will be guaranteed and the interested party will be notified in a timely manner.

RIGHTS OF THE DATA SUBJECT Pursuant to articles. 15 et seq. GDPR, the interested party may exercise the following rights: 1. access: confirmation or not that the personal data of the data subject are being processed and the right of access to them; it is not possible to respond to mani festly unfounded, excessive or repetitive requests; 2. rectification: to correct/obtain the correction of personal data if they are incorrect or obsolete and to complete them if they are incomplete; 3. erasureoblivion: to obtain, in some cases, the erasure of the personal data provided; this is not an absolute right, as the Company may have legitimate or legal r easons for retaining them; 4. limitation: the data will be stored, but cannot be processed or further processed, in the cases provided for by the legislation; 5. portability: move, copy, or transfer data from Company databases to third parties. This applies only to data provided by the interested party for the execution of a contract or for which consent and express consent has been given and the processing is carried out by automated means; 6. opposition to direct marketing; 7. withdrawal of consent at any time, if the processing is based on consent. Pursuant to Article 2undicies of Legislative Decree no. 196/2003 the exercise of the rights of the interested party may be delayed, limited or excluded, with reasone d communication and made without delay, unless the communication may compromise the purpose of the limitation, for as long as and to the extent that this cons titutes a necessary and proportionate measure, taking into account the fundamental rights and legitimate interests of the interested party, in order to safeguard the interests referred to in paragraph 1, letters a) (protected interests in the field of money laundering), e) (the carrying out of defensive investigations or the exercise of a right in court) and f) (the confidentiality of the identity of the employee who reports irregularities of has become aware of it by reason of his office). In such cases, the rights of the interested party can also be exercised through the Guarantor in the manner referred to in Article 160 of the same Decree. In this case, the Guarant or will inform the interested party that it has carried out all the necessary checks or that it has carried out a review as well as the right of the interested party to brin g a judicial remedy. It is also specified that - before the processing of requests - the Company may carry out an assessment of the identity of the interested party, to assess the legitimacy of the request received. To exercise these rights, the inte rested party may contact the Data Controller Company in relation to the areas as defined above at the addresses indicated in the paragraph "Identity and contact d ata of the data controller" of this document. The Company will respond within 30 days of receipt of the formal request sent by the interested party. Please note that in case of violation of the personal data of the interested party, the latter may lodge a complaint with the competent authority: "Guarantor for the protection of pers onal data".

THE CONTROLLER Valentina Boffa Antonioli