Informativa sulla protezione dei dati personali – settore amministrativo dell’Organizzazione turistica Lago Maggiore e Valli

1. Premessa e quadro normativo applicabile

La presente informativa illustra come l’Organizzazione turistica Lago Maggiore e Valli (nel seguito «Organizzazione turistica» o «Titolare»), una corporazione di diritto pubblico ai sensi dell’art. 3 della Legge sul turismo della Repubblica e Cantone Ticino (LTur), tratta i dati personali nell’ambito delle proprie attività amministrative.

L’informativa riguarda in particolare i trattamenti di dati personali relativi ai rapporti con clienti, fornitori e partner commerciali, alla riscossione della tassa di soggiorno e alla raccolta di informazioni per finalità statistiche. Sono esclusi dal perimetro della presente informativa:

• i trattamenti relativi al sito web e alle attività di marketing (disciplinati dalla Privacy Policy disponibile su www.ascona-locarno.com);
• i trattamenti relativi ai dipendenti e ai candidati (disciplinati da informative specifiche).

Normativa applicabile

I trattamenti di dati personali dell’Organizzazione turistica sono disciplinati dal diritto svizzero. La normativa applicabile dipende dalla natura dell’attività svolta: non è determinante la forma giuridica dell’ente, bensì il tipo di attività che genera il trattamento dei dati.

Normativa	Quando si applica	Attività dell’Amministrazione interessate
LPDP Legge cantonale sulla protezione dei dati personali (9 marzo 1987)	Trattamenti effettuati nell’esercizio di un potere sovrano da parte di Cantone, Comuni e altre corporazioni e istituti di diritto pubblico	Riscossione della tassa di soggiorno; registrazione dei pernottamenti e dei posti letto; altri atti amministrativi derivanti dalla LTur
LPD Legge federale sulla protezione dei dati (25 settembre 2020)	Trattamenti svolti nell’ambito di attività economiche che non derivano da un potere sovrano	Rapporti contrattuali con clienti, fornitori e partner; gestione contabile e finanziaria; tutela dei diritti

Relazione con il diritto europeo (GDPR)

Il Regolamento generale sulla protezione dei dati personali dell’Unione europea (GDPR) si applica, a determinate condizioni, anche a soggetti non stabiliti nell’UE che offrono beni o servizi a persone nell’UE oppure ne monitorano il comportamento (art. 3 cpv. 2 GDPR).

L’Organizzazione turistica ritiene che il GDPR non sia applicabile ai trattamenti oggetto della presente informativa per le seguenti ragioni:

• la riscossione della tassa di soggiorno è un atto sovrano del Cantone Ticino, non un’offerta di beni o servizi. I soggetti passivi della tassa (compresi i proprietari di immobili residenti all’estero) sono tenuti per legge ad annunciarsi e a fornire i propri dati: non si tratta di un rapporto commerciale né di un’attività di monitoraggio, bensì dell’esercizio di una potestà pubblica che, secondo i principi del diritto internazionale, non è soggetta alla giurisdizione di altri Stati;
• la gestione contabile e contrattuale riguarda in prevalenza controparti svizzere e non comporta un’offerta di beni o servizi indirizzata verso l’UE.

Qualora, in via eccezionale, un trattamento specifico dovesse ricadere nell’ambito di applicazione del GDPR (ad esempio in relazione a un rapporto contrattuale con una controparte stabilita nell’UE), l’Organizzazione turistica garantisce alla persona interessata il pieno esercizio dei diritti previsti dagli artt. 15–22 GDPR, secondo le modalità indicate alla sezione 8.

Si ricorda, inoltre, che con rapporto del 15 gennaio 2024, la Commissione europea ha confermato l’adeguatezza del livello della protezione dei dati svizzero. L’UE riconosce in tal modo che la legislazione della Svizzera continua a offrire un livello di protezione adeguato per il trattamento di dati personali.

 

2. Dati di contatto del Titolare del trattamento

Titolare del trattamento dei dati personali è l’Organizzazione turistica Lago Maggiore e Valli.

Indirizzo postale:

Organizzazione turistica Lago Maggiore e Valli

Via Luigi Lavizzari 10c

6600 Locarno

Posta elettronica:

[email protected]

Consulente per la protezione dei dati (CPD)

L’Organizzazione turistica ha nominato un Consulente per la protezione dei dati ai sensi dell’art. 10 LPD, con notifica all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Il CPD può essere contattato all’indirizzo:

[email protected]

per qualsiasi questione relativa al trattamento dei dati personali e all’esercizio dei diritti degli interessati.

 

3. Finalità del trattamento, categorie di dati e basi legali

La tabella seguente illustra le finalità per le quali l’Organizzazione turistica tratta i dati personali nell’ambito delle attività amministrative, le categorie di dati trattati e i motivi giustificativi del trattamento.

Finalità	Categorie di dati	Base legale	Normativa di riferimento
Riscossione della tassa di soggiorno, inclusi i relativi controlli e provvedimenti esecutivi	Dati identificativi e di contatto degli esercenti e dei proprietari di immobili e altri soggetti tenuti al pagamento della tassa; dati relativi all’immobile	Adempimento di un compito legale (LTur, art. 14 e Capitolo quarto, in particolare artt. 19–25)	LPDP — attività che deriva da un potere sovrano
Registrazione dei pernottamenti e dei posti letto, inclusi i relativi controlli	Dati identificativi e di contatto degli esercenti; dati relativi ai pernottamenti	Adempimento di un compito legale (LTur, art. 14 e Capitolo quarto, in particolare artt. 19–25)	LPDP — attività che deriva da un potere sovrano
Conclusione ed esecuzione di contratti con clienti, fornitori e partner; gestione amministrativa e contabile; fatturazione; incassi e pagamenti	Dati identificativi e di contatto; dati bancari; dati contabili e fiscali	Esecuzione del contratto o misure precontrattuali (art. 31 cpv. 2 lett. a LPD)	LPD — attività economica che non deriva da un potere sovrano
Adempimento di obblighi legali (fiscali, contabili, di revisione, di comunicazione ad autorità)	Dati identificativi; dati contabili e fiscali; documenti giustificativi	Obbligo legale	LPD — attività economica che non deriva da un potere sovrano
Tutela dei diritti in caso di controversie, inadempimenti contrattuali, procedure di recupero di crediti commerciali	Dati identificativi e di contatto; corrispondenza; documenti contrattuali e relativi al contenzioso	Interesse preponderante (art. 31 cpv. 1 LPD)	LPD — attività economica che non deriva da un potere sovrano
Invio di comunicazioni di interesse pubblico su iniziativa propria o su mandato cantonale o comunale	Dati identificativi e di contatto	Adempimento di un compito legale (LTur) o interesse preponderante	LPDP o LPD secondo la natura della comunicazione
Raccolta e trasmissione di informazioni all’Agenzia Turistica Ticinese per finalità statistiche	Di norma dati aggregati e anonimi. In fase di raccolta preliminare: dati identificativi e dati relativi ai pernottamenti	Interesse preponderante (art. 31 cpv. 1 LPD) o adempimento di un compito legale (LTur). Non applicabile se i dati sono anonimi	LPD o LPDP secondo l’attività; non applicabile per dati anonimi

I dati trasmessi all’Agenzia Turistica Ticinese sono di norma aggregati o anonimizzati e pertanto esclusi dal campo di applicazione della legislazione sulla protezione dei dati. La presente informativa copre la fase di raccolta nella quale i dati possono ancora essere riferibili a persone identificabili.

 

4. Trattamenti in qualità di responsabile del trattamento

Per determinate attività, l’Organizzazione turistica non agisce come titolare bensì come responsabile del trattamento: tratta dati personali per conto e secondo le istruzioni di un altro soggetto (il titolare), che è responsabile di informare le persone interessate.

Le attività in cui l’Organizzazione turistica opera come responsabile del trattamento sono le seguenti:

Attività	Titolare del trattamento	Tipo di dati trattati
Gestione e organizzazione di eventi	Fondazione o altro ente promotore dell’evento	Dati dei partecipanti, fornitori e collaboratori, secondo le istruzioni del titolare
Rilascio di patenti di pesca	Autorità cantonale competente o ente concedente	Dati identificativi del richiedente
Rilascio di targhe per natanti	Autorità cantonale competente o ente concedente	Dati identificativi del richiedente
Vendita di titoli di trasporto	Azienda di trasporto competente	Dati identificativi dell’acquirente

Per informazioni sui trattamenti svolti nell’ambito di queste attività, gli interessati sono invitati a consultare le informative rese disponibili dai rispettivi titolari.

 

5. Destinatari o categorie di destinatari

L’Organizzazione turistica comunica dati personali a terzi solo nella misura strettamente necessaria. I destinatari sono tenuti a rispettare la normativa in materia di protezione dei dati e a adottare misure tecniche e organizzative adeguate.

Categoria	Descrizione ed esempi
Fornitori di servizi	Società informatiche, fornitori di servizi cloud, fornitori di archiviazione, consulenti, fiduciari, revisori
Clienti, fornitori e partner	Nella misura necessaria all’esecuzione dei rapporti contrattuali
Organizzazioni turistiche	Agenzia Turistica Ticinese (ATT) e altre organizzazioni turistiche, per l’adempimento dei compiti previsti dalla LTur
Piattaforma cantonale	Piattaforma cantonale di condivisione delle informazioni turistiche e relativa banca dati
Istituti finanziari	Banche, per la gestione dei pagamenti e della tesoreria
Autorità pubbliche	Uffici del Cantone Ticino e autorità federali, per obblighi legali di comunicazione

 

6. Trasferimento di dati personali all’estero

L’Organizzazione turistica privilegia la localizzazione dei trattamenti in Svizzera. I dati personali sono elaborati e memorizzati su server situati in Svizzera e i fornitori di servizi cloud sono contrattualmente tenuti a garantire l’utilizzo di server in Svizzera.

Qualora un trasferimento di dati all’estero fosse necessario, esso avviene esclusivamente verso Stati che garantiscono un livello adeguato di protezione secondo le constatazioni del Consiglio federale (Allegato 1 OPDa), che includono tutti gli Stati UE/SEE.

 

7. Periodo di conservazione dei dati personali

L’Organizzazione turistica conserva i dati personali solo per il tempo necessario alle finalità indicate o all’adempimento di obblighi legali. Decorsi i termini, i dati vengono distrutti o resi anonimi in modo irreversibile.

Categoria di trattamento	Periodo di conservazione
Dati relativi all’esecuzione di contratti (contabilità, fatturazione, tesoreria)	10 anni dalla conclusione del contratto (art. 958f CO; normativa fiscale)
Dati relativi alla tassa di soggiorno e ai pernottamenti	10 anni per i documenti con rilevanza contabile e fiscale (art. 958f CO); per i restanti dati, per la durata necessaria alla gestione dell’anno di riferimento e dei relativi termini di prescrizione
Dati relativi a contenziosi giudiziali	Per tutta la durata del contenzioso, fino all’esaurimento dei termini di impugnazione
Dati relativi a comunicazioni di interesse pubblico	Durata del rapporto con il destinatario; in caso di revoca, cancellazione senza ritardo
Dati in fase di aggregazione per finalità statistiche	Fino all’avvenuta aggregazione o anonimizzazione, e comunque non oltre 12 mesi dalla raccolta
Dati trattati in qualità di responsabile del trattamento	Secondo le istruzioni e i termini stabiliti dal rispettivo titolare

 

8. Diritti degli interessati

I diritti della persona interessata dipendono dalla normativa applicabile al trattamento in questione.

 

8.1 Diritti secondo la LPD (artt. 25–29)

Per i trattamenti soggetti alla LPD (rapporti contrattuali con clienti, fornitori e partner), la persona interessata ha in particolare il diritto di:

• sapere se dati personali che lo concernono sono oggetto di trattamento e ottenere informazioni al riguardo;
• richiedere la consegna dei propri dati o la loro trasmissione a terzi in formato elettronico di uso corrente;
• ottenere la rettifica di dati inesatti o incompleti;
• ottenere la cancellazione o la distruzione dei propri dati personali;
• revocare in qualsiasi momento il consenso prestato, con effetto per il futuro;
• esprimere il proprio parere su una decisione individuale automatizzata o chiederne il riesame da parte di una persona fisica;
• far constatare l’illiceità di un trattamento di dati personali.

 

8.2 Diritti secondo la LPDP (artt. 22–27)

Per i trattamenti soggetti alla LPDP cantonale (in particolare la tassa di soggiorno, la registrazione dei pernottamenti e gli atti amministrativi derivanti dalla LTur), la persona interessata ha in particolare il diritto di:

• ottenere informazioni sull’esistenza e sul contenuto dei dati che la riguardano;
• richiedere la rettifica di dati inesatti;
• richiedere il blocco della comunicazione a terzi di dati meritevoli di particolare protezione;
• richiedere la distruzione di dati trattati illecitamente;
• far constatare il carattere illecito di un trattamento e le sue conseguenze;
• chiedere la pubblicazione della rettifica o della constatazione di illiceità.

 

8.3 Diritti secondo il GDPR (artt. 15–22)

Qualora, in via eccezionale, un trattamento specifico dovesse ricadere nell’ambito di applicazione del GDPR, la persona interessata ha in particolare il diritto di:

• accedere ai propri dati personali;
• ottenere la rettifica di dati inesatti;
• ottenere la cancellazione dei dati (“diritto all’oblio”);
• ottenere la limitazione del trattamento;
• ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico;
• opporsi al trattamento;
• non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato;
• revocare il consenso in qualsiasi momento.

 

8.4 Modalità di esercizio dei diritti

I diritti possono essere esercitati per iscritto, mediante richiesta motivata da inviare per posta ordinaria o per posta elettronica all’indirizzo [email protected].

 

8.5 Autorità di controllo competenti

La persona interessata ha il diritto di presentare un reclamo:

Ambito	Autorità competente
Trattamenti soggetti alla LPD	Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
Trattamenti soggetti alla LPDP	Incaricato cantonale della protezione dei dati
Trattamenti soggetti al GDPR (casi eccezionali)	Autorità di controllo dello Stato membro UE dell’interessato

 

9. Sicurezza dei dati

L’Organizzazione turistica adotta misure tecniche e organizzative adeguate a proteggere i dati personali da trattamenti non autorizzati o illeciti, dalla perdita accidentale, dall’alterazione, dalla divulgazione o dall’accesso non autorizzati, conformemente all’art. 8 LPD.

Le misure di sicurezza vengono periodicamente verificate e adeguate in funzione dell’evoluzione tecnologica e dei rischi connessi ai trattamenti.

 

10. Modifiche dell’informativa

L’Organizzazione turistica si riserva il diritto di aggiornare la presente informativa in qualsiasi momento, in funzione dell’evoluzione della normativa applicabile e delle attività svolte. La versione aggiornata è sempre disponibile presso gli uffici dell’Organizzazione turistica.

 

Data ultimo aggiornamento: 01.04.2026