Privacy Policy of Our Travel Design and Itinerary Service

Privacy Notice on the Processing of Personal Data pursuant to Articles 13 and 14 of Regulation (EU) 2016/679 (GDPR). Data subjects: customers, prospective customers, users who complete contact or enquiry forms, as well as any other travellers whose data are provided by the customer for the planning of the same trip.

This notice describes the ways in which Camelia Travel, represented by Michael McDonald, processes the personal data of customers and prospective customers in relation to: (i) the use of the website and contact/enquiry forms; (ii) the Welcome Consultation; (iii) the preparation of proposals, contracts and itinerary materials; (iv) the provision of online consultancy services for the bespoke design and planning of trips; (v) any remote support during the trip.

Camelia Travel, represented by Michael McDonald, operates exclusively as a travel planning consultant. It does not make bookings or payments on behalf of the customer and does not act as a travel agency or tour operator. Bookings are made directly by the customer with third-party suppliers.

1. Data Controller

Your personal data will be processed by Camelia Travel, represented by Michael McDonald, with registered office in Italy, VAT no. 04987970755, e-mail: dream@cameliatravel.com, certified e-mail (PEC): michaelmcdonald@pec.it, acting as data controller (hereinafter also the "Controller"), in full compliance with: (i) Regulation (EU) 2016/679 (hereinafter, the "GDPR"); (ii) Legislative Decree No. 196/2003, as last amended by Legislative Decree No. 101/2018 ("Privacy Code"); and (iii) the measures issued by the Italian Data Protection Authority (hereinafter jointly, the "Privacy Legislation"). Such processing will also be based on the principles of fairness, lawfulness, transparency and protection of your confidentiality and your rights.

Unless otherwise communicated, no Data Protection Officer (DPO) has been appointed.

2. Categories of Data Processed

Article 4(1) GDPR provides that "Personal Data" means any information relating to an identified or identifiable natural person: the Data Subject. Article 9 GDPR provides that "Special Categories of Personal Data" means any information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, as well as genetic data, biometric data, data concerning health or data concerning a person's sex life or sexual orientation. "Processing" means any operation or set of operations performed on Personal Data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, alignment or combination, restriction, erasure or destruction (Article 4(2) GDPR).

Camelia Travel may process the following categories of personal data, within the limits of what is necessary for the purposes set out below:

Identification and contact details, such as first name, surname, e-mail address, telephone number, city/country of residence.
Data necessary for the pre-contractual and contractual phase, such as information contained in introductory forms, travel requirements, destinations of interest, dates, number of travellers, indicative budget, travel style, preferences and priorities expressed during calls, e-mails or messages.
Data relating to the travel project and itinerary, including logistical details, preferences concerning accommodation, transport, restaurants and activities, as well as any confirmations or references to bookings made directly by the customer with third parties and shared with Camelia Travel for itinerary coordination purposes.
Administrative, tax and payment data limited to the information necessary for managing the professional relationship, invoicing and verifying payments. Camelia Travel does not access the customer's full payment card details, which are handled directly by the card schemes and payment service provider (e.g. PayPal).
Data contained in communications with Camelia Travel via e-mail, video calls, WhatsApp or other agreed messaging channels.
Data relating to third-party travellers provided by the customer (for example travel companions or minors), insofar as necessary to prepare an itinerary suited to the group.
Special categories of data pursuant to Article 9 GDPR, such as information concerning health, reduced mobility, disability, allergies, dietary restrictions or other accessibility requirements — only if voluntarily provided by the data subject, solely for the purpose of formulating more suitable travel recommendations.

3. Source of the Data

As a rule, the data are collected directly from the data subject through contact forms, information forms, e-mail, video calls, instant messaging, DocuSign, as well as during the performance of the service. In some cases, the data may be provided by the customer in relation to other travellers, companions or minors included in the same travel project. In such cases, the customer guarantees that they are authorised to communicate such data and that they have provided the relevant data subjects with the necessary privacy information.

4. Purposes of Processing, Legal Bases and Retention Periods

Purpose	Legal Basis	Retention
Managing contact requests, bookings for the Welcome Consultation, preliminary exchanges, collection of the brief and assessment of the travel project.	Article 6(1)(b) GDPR (pre-contractual measures taken at the request of the data subject)	Up to 24 months from the last contact, unless further retention is necessary for protection purposes.
Preparing the Proposal, the Contract, documentation via DocuSign, designing the itinerary, sending materials, managing calls, messages and remote support during the trip within the contractual limits.	Article 6(1)(b) GDPR (performance of a contract)	For the duration of the relationship and, thereafter, within the time limits required for legal obligations and defence purposes.
Managing receipts, payment verification, invoicing, administrative, accounting and tax obligations.	Article 6(1)(c) GDPR (legal obligation)	For the period required under civil, tax and accounting law, generally up to 10 years.
Protection of the Controller's rights, prevention of misuse, handling complaints, disputes and litigation.	Article 6(1)(f) GDPR (legitimate interest)	For the time necessary to manage the dispute and until the relevant limitation periods expire.
Personalising travel suggestions and recommendations on the basis of special categories of data relating to health, accessibility, allergies or dietary restrictions, if voluntarily provided.	Article 9(2)(a) GDPR (explicit consent) and Article 6(1)(b) GDPR for the performance of the requested service	Until the end of the trip and for the period strictly necessary to conclude the service, unless further retention is required by law or for the establishment, exercise or defence of legal claims.
Sending promotional communications or newsletters, where activated, or promoting similar services within the scope of so-called "soft spam".	Consent under Article 6(1)(a) GDPR; for soft spam, Article 130(4) of the Privacy Code and the Controller's legitimate interest	Until consent is withdrawn or an objection is made, and in any event no longer than 24 months from the last promotional interaction, unless different statutory periods apply.

5. Nature of the Provision of Data

Providing the data marked as necessary for the pre-contractual or contractual phase is essential in order to assess the request, prepare the proposal, conclude the contract and provide the service. Any refusal to provide such data may make it impossible to begin or properly perform the consultancy service. The provision of special categories of data relating to health, mobility, allergies, dietary restrictions or other accessibility requirements is optional; however, failure to provide such data may limit the ability to personalise travel recommendations.

6. Methods of Processing and Absence of Automated Decision-Making

In accordance with Article 5 GDPR, the Personal Data processed are:

processed lawfully, fairly and transparently in relation to the Data Subject;
collected and recorded for specified, explicit and legitimate purposes, and subsequently processed in a manner compatible with those purposes;
adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed;
accurate and, where necessary, kept up to date;
processed in a manner that ensures an adequate level of security;
kept in a form which permits identification of the Data Subject for no longer than is necessary for the purposes for which they are processed.

Personal Data will be processed by the Controller using automated, electronic, IT or telematic tools, as well as non-automated means, including paper records. Specific security measures are observed in order to prevent data loss, unlawful or improper use, and unauthorised access. No automated decision-making processes pursuant to Article 22 GDPR will be used.

7. Recipients of Personal Data

Personal data may be disclosed, within the scope of their respective duties and only where necessary, to:

collaborators and consultants authorised by Camelia Travel, within the limits of the duties assigned to them;
providers of IT, hosting, cloud, e-mail, document storage, videoconferencing, messaging and technical support services;
providers used for formalising the contract and managing payments, such as DocuSign and PayPal, each according to its own privacy role;
accountants, tax advisers, lawyers and other professionals assisting Camelia Travel in administrative, accounting matters or in protecting its rights;
public authorities, supervisory bodies or agencies, where required by law or pursuant to a lawful request;
insurers or consultants involved in handling disputes or claims, within the limits strictly necessary;
public bodies in fulfilment of statutory obligations;
transport companies for the shipment of goods.

The updated list of appointed data processors may be requested from the Controller.

8. Third-Party Suppliers, Booking Links and External Platforms

Camelia Travel may include in itinerary materials booking links, promotional codes or referral/affiliate identifiers. Such tools may allow the supplier or external platform to attribute the visit or booking to Camelia Travel by means of non-personal tokens. Camelia Travel does not enter customer data on suppliers' websites, does not view payment data entered on such websites and does not complete bookings on behalf of the customer. Where the customer accesses third-party suppliers' websites or platforms and makes bookings there, the relevant data processing is governed by the privacy policy of the individual supplier, acting as an independent data controller.

9. Transfer of Data to Third Countries

For the provision of services, Camelia Travel may use technological suppliers and third-party platforms such as e-mail and cloud services, videoconferencing applications, messaging systems, DocuSign and PayPal. Some of these suppliers may process data outside the European Economic Area. In such cases, the transfer takes place in compliance with the GDPR, on the basis of adequacy decisions of the European Commission or by means of other appropriate safeguards, including standard contractual clauses where necessary.

10. Retention Period

Personal Data are retained for the time strictly necessary to achieve the purposes for which they were collected and processed, on the basis of the purposes set out in section 4 of this notice. As a general principle, Personal Data will be retained for the period necessary for the performance of the contract.

It is nevertheless understood that, once the contractual (or pre-contractual) relationship with Camelia Travel has ended, the Controller may still be obliged and/or entitled to retain the Personal Data, in whole or in part, for compliance with legal obligations — in particular tax obligations — and for the possible establishment and/or defence, including in judicial proceedings, of Camelia Travel's rights.

11. Rights of the Data Subject

As Data Subjects, identified or identifiable natural persons to whom the processed data relate may exercise the rights recognised by the Privacy Legislation and, in particular:

Right of access — the right to obtain confirmation as to whether personal data are being processed and, where that is the case, access to such data (Article 15 GDPR), including information on the origin, purposes, methods of processing and recipients.
Right to rectification — the right to obtain the correction of inaccurate data and/or the completion of incomplete data (Article 16 GDPR).
Right to erasure — the right to obtain the erasure, anonymisation or blocking of data processed in breach of the law, in the cases provided by law (Article 17 GDPR).
Right to restriction of processing — the right to object to the processing or to obtain restriction of the processing of Personal Data in accordance with the law (Article 18 GDPR).
Right to be informed of rectification, erasure and restriction of processing of Personal Data (Article 19 GDPR).
Right to data portability — the right to receive the Personal Data in a structured, commonly used and machine-readable format and to transmit those data to another controller (Article 20 GDPR).
Right to object — the right to object to the processing of data where legitimate grounds exist, including with reference to marketing and profiling purposes (Article 21 GDPR).
Right to withdraw consent given at any time, without affecting the lawfulness of processing based on consent before its withdrawal (Article 7 GDPR).
Right to compensation — the right to obtain full and effective compensation for material or non-material damage suffered if caused by the processing of personal data in breach of the Regulation (Article 82 GDPR).
Right to lodge a complaint with the Italian Data Protection Authority (Piazza Venezia, 11 – 00187 Rome, Italy – PEC: protocollo@pec.gpdp.it) in the event of unlawful processing (Article 77 GDPR).

12. Personal Data Breaches

The Data Controller is required to:

notify any personal data breach to the Italian Data Protection Authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, where the breach is likely to result in a risk to the rights and freedoms of natural persons. Where this time limit is not met, the notification must be accompanied by reasons for the delay (Article 33 GDPR);
communicate the personal data breach to the Data Subject without undue delay where the breach is likely to result in a high risk to the rights and freedoms of natural persons, except in the cases provided for by Article 34 GDPR.

13. Communications and Exercise of the Data Subject's Rights

To exercise their rights or request clarification regarding the processing of personal data, the Data Subject may write to dream@cameliatravel.com or use the contact form available on the website: https://www.cameliatravel.com/contact.

Informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento generale (UE) 2016/679 (GDPR). Soggetti interessati: clienti, potenziali clienti, utenti che compilano moduli di contatto o richiesta, nonché eventuali altri viaggiatori i cui dati siano comunicati dal cliente per la pianificazione del medesimo viaggio.

La presente informativa descrive le modalità con cui Camelia Travel in persona di Michael McDonald tratta i dati personali dei clienti e potenziali clienti nell'ambito: (i) dell'utilizzo del sito web e dei moduli di contatto/richiesta; (ii) della Welcome Consultation; (iii) della predisposizione di proposte, contratti e materiali di itinerario; (iv) dell'erogazione dei servizi di consulenza online per la progettazione e pianificazione personalizzata di viaggi; (v) dell'eventuale supporto remoto durante il viaggio.

Camelia Travel in persona di Michael McDonald opera esclusivamente come consulente travel planner. Non effettua prenotazioni o pagamenti per conto del cliente e non agisce come agenzia di viaggi o tour operator. Le prenotazioni sono effettuate direttamente dal cliente presso i fornitori terzi.

1. Titolare del Trattamento

I Suoi dati personali saranno trattati da Camelia Travel in persona di Michael McDonald, con sede in Italia, P. IVA 04987970755, e-mail: dream@cameliatravel.com, PEC: michaelmcdonald@pec.it, titolare del trattamento (di seguito, anche il "Titolare"), nel pieno rispetto delle disposizioni dettate (i) dal Regolamento UE 2016/679 (di seguito, il "GDPR"), (ii) dal D. Lgs. N. 196/2003, come da ultimo modificato dal D. Lgs. N. 101/2018 ("Codice Privacy") e (iii) dai provvedimenti dell'Autorità Garante per la protezione dei dati personali (di seguito, congiuntamente, la "Normativa Privacy"); tale trattamento sarà altresì improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.

Salvo diversa comunicazione, non è stato nominato un Responsabile della Protezione dei Dati (DPO/RPD).

2. Categorie di Dati Trattati

L'art. 4, n. 1 del GDPR prevede che per "Dato Personale" debba intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile: l'Interessato. L'art. 9 del GDPR prevede che per "Categorie Particolari di Dati Personali" debba intendersi qualsiasi informazione che riveli l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. "Trattamento" è qualunque operazione o complesso di operazioni effettuate con o senza l'ausilio di processi automatizzati e applicate a Dati Personali (art. 4, n. 2 del GDPR).

Camelia Travel può trattare le seguenti categorie di dati personali, nei limiti di quanto necessario rispetto alle finalità indicate più avanti:

Dati identificativi e di contatto, quali nome, cognome, indirizzo e-mail, numero di telefono, città/Paese di residenza.
Dati necessari alla fase precontrattuale e contrattuale, quali informazioni contenute nei moduli conoscitivi, esigenze di viaggio, destinazioni di interesse, date, numero di viaggiatori, budget indicativo, stile di viaggio, preferenze e priorità espresse durante call, e-mail o messaggi.
Dati relativi al progetto di viaggio e all'itinerario, inclusi dettagli logistici, preferenze su alloggi, trasporti, ristoranti, attività, nonché eventuali conferme o riferimenti di prenotazioni effettuate direttamente dal cliente presso terzi e condivise con Camelia Travel per finalità di coordinamento dell'itinerario.
Dati amministrativi, fiscali e di pagamento limitatamente alle informazioni necessarie alla gestione del rapporto professionale, della fatturazione e della verifica dei pagamenti. Camelia Travel non accede ai dati completi della carta di pagamento del cliente, gestiti direttamente dai circuiti e dal prestatore di servizi di pagamento (es. PayPal).
Dati contenuti nelle comunicazioni intercorse con Camelia Travel tramite e-mail, videochiamate, WhatsApp o altri canali di messaggistica concordati.
Eventuali dati di terzi viaggiatori forniti dal cliente (ad esempio compagni di viaggio o minori), nella misura in cui siano necessari per impostare un itinerario coerente con il gruppo.
Categorie particolari di dati ai sensi dell'art. 9 GDPR, quali informazioni su salute, mobilità ridotta, disabilità, allergie, restrizioni alimentari o altre esigenze di accessibilità — solo se volontariamente comunicati dall'interessato, esclusivamente per formulare raccomandazioni di viaggio più adeguate.

3. Fonte dei Dati

I dati sono di regola raccolti direttamente presso l'interessato tramite modulo contatti, form informativi, e-mail, videochiamate, messaggistica istantanea, DocuSign, nonché nel corso dell'esecuzione del servizio. In alcuni casi i dati possono essere forniti dal cliente con riferimento ad altri viaggiatori, accompagnatori o minori inclusi nel medesimo progetto di viaggio. In tale ipotesi, il cliente garantisce di essere autorizzato a comunicare tali dati e di avere fornito agli interessati le informazioni privacy necessarie.

4. Finalità del Trattamento, Basi Giuridiche e Tempi di Conservazione

Finalità	Base Giuridica	Conservazione
Gestire richieste di contatto, prenotazioni della Welcome Consultation, scambi preliminari, raccolta brief e valutazione del progetto di viaggio.	Art. 6, par. 1, lett. b) GDPR (misure precontrattuali richieste dall'interessato)	Fino a 24 mesi dall'ultimo contatto, salvo ulteriore necessità di tutela.
Predisporre la Proposta, il Contratto, la documentazione tramite DocuSign, progettare l'itinerario, inviare materiali, gestire call, messaggi e supporto remoto durante il viaggio nei limiti contrattuali.	Art. 6, par. 1, lett. b) GDPR (esecuzione del contratto)	Per la durata del rapporto e, successivamente, nei termini indicati per obblighi di legge e difesa.
Gestire incassi, verifiche di pagamento, fatturazione, adempimenti amministrativi, contabili e fiscali.	Art. 6, par. 1, lett. c) GDPR (obbligo legale)	Per il tempo previsto dalla normativa civile, fiscale e contabile, di regola fino a 10 anni.
Tutela dei diritti del Titolare, prevenzione abusi, gestione reclami, contestazioni e contenzioso.	Art. 6, par. 1, lett. f) GDPR (legittimo interesse)	Per il tempo necessario alla gestione della controversia e fino alla prescrizione dei diritti.
Personalizzare suggerimenti e raccomandazioni di viaggio sulla base di dati particolari relativi a salute, accessibilità, allergie o restrizioni alimentari, se volontariamente forniti.	Art. 9, par. 2, lett. a) GDPR (consenso esplicito) e art. 6, par. 1, lett. b) GDPR per l'esecuzione del servizio richiesto	Fino al termine del viaggio e per il tempo strettamente necessario alla chiusura del servizio, salvo obblighi o difesa in giudizio.
Inviare comunicazioni promozionali o newsletter, se attivate, oppure promuovere servizi analoghi nei limiti del c.d. soft spam.	Consenso ex art. 6, par. 1, lett. a) GDPR; per soft spam, art. 130, comma 4, Codice Privacy e legittimo interesse del Titolare	Fino a revoca del consenso/opposizione e comunque non oltre 24 mesi dall'ultima interazione promozionale, salvo termini diversi di legge.

5. Natura del Conferimento dei Dati

Il conferimento dei dati contrassegnati come necessari per la fase precontrattuale o contrattuale è indispensabile per poter valutare la richiesta, formulare la proposta, concludere il contratto ed erogare il servizio. L'eventuale rifiuto di fornirli può rendere impossibile l'avvio o la corretta esecuzione della consulenza. Il conferimento di dati particolari relativi a salute, mobilità, allergie, restrizioni alimentari o altre esigenze di accessibilità è facoltativo: tuttavia, il mancato conferimento può limitare la possibilità di personalizzare le raccomandazioni di viaggio.

6. Modalità del Trattamento e Assenza di Decisioni Automatizzate

In conformità a quanto sancito dall'art. 5 del GDPR, i Dati Personali oggetto di Trattamento sono:

trattati in modo lecito, corretto e trasparente nei confronti dell'Interessato;
raccolti e registrati per finalità determinate, esplicite e legittime, e successivamente trattati in termini compatibili con tali finalità;
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
esatti e, se necessario, aggiornati;
trattati in maniera da garantire un adeguato livello di sicurezza;
conservati in una forma che consenta l'identificazione dell'Interessato per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

I Dati Personali saranno trattati dal Titolare con strumenti automatizzati, elettronici, informatici o telematici, e non automatizzati, su supporto cartaceo. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati. Non verranno impiegati processi decisionali automatizzati ex art. 22 del GDPR.

7. Destinatari dei Dati Personali

I dati personali possono essere comunicati, nei limiti delle rispettive competenze e solo se necessario, a:

collaboratori e consulenti autorizzati da Camelia Travel, nei limiti delle mansioni assegnate;
fornitori di servizi IT, hosting, cloud, e-mail, archiviazione documentale, videoconferenza, messaggistica e assistenza tecnica;
provider utilizzati per la formalizzazione del contratto e per la gestione dei pagamenti, quali DocuSign e PayPal, ciascuno secondo il proprio ruolo privacy;
commercialisti, consulenti fiscali, legali e altri professionisti che assistono Camelia Travel nella gestione amministrativa, contabile o nella tutela dei propri diritti;
autorità pubbliche, enti o organismi di vigilanza, ove previsto dalla legge o su richiesta legittima;
eventuali assicuratori o consulenti coinvolti nella gestione di contestazioni o sinistri, nei limiti strettamente necessari;
Enti pubblici in adempimento degli obblighi normativi;
Aziende di trasporto per la spedizione di merci.

L'elenco aggiornato dei responsabili del trattamento nominati può essere richiesto al Titolare.

8. Fornitori Terzi, Link di Prenotazione e Piattaforme Esterne

Camelia Travel può inserire nei materiali dell'itinerario link di prenotazione, codici promozionali o identificativi di referral/affiliazione. Tali strumenti possono consentire al fornitore o alla piattaforma esterna di attribuire la visita o la prenotazione a Camelia Travel mediante token non personali. Camelia Travel non inserisce sui siti dei fornitori i dati del cliente, non visualizza i dati di pagamento immessi su tali siti e non conclude prenotazioni per conto del cliente. Quando il cliente accede a siti o piattaforme di fornitori terzi e vi effettua prenotazioni, il relativo trattamento dei dati è disciplinato dalla privacy policy del singolo fornitore, che opera quale autonomo titolare del trattamento.

9. Trasferimento dei Dati verso Paesi Terzi

Per l'erogazione dei servizi, Camelia Travel può utilizzare fornitori tecnologici e piattaforme terze quali servizi e-mail e cloud, applicativi di videoconferenza, sistemi di messaggistica, DocuSign e PayPal. Alcuni di tali fornitori possono trattare dati anche al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento avviene nel rispetto del GDPR, sulla base di decisioni di adeguatezza della Commissione europea o mediante altre garanzie appropriate, incluse le clausole contrattuali standard ove necessarie.

10. Periodo di Conservazione

I Dati Personali vengono conservati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti e sottoposti a Trattamento sulla base delle finalità esposte alla sezione 4 del presente documento. Come principio generale, i Dati Personali verranno conservati per il periodo di tempo necessario all'esecuzione del contratto.

Resta tuttavia inteso che, una volta che sia stato interrotto il rapporto contrattuale (o pre-contrattuale) con Camelia Travel, il Titolare sarà comunque obbligato e/o legittimato a conservare ulteriormente i Dati Personali per determinati adempimenti di legge — in particolare fiscale e tributaria — e per l'eventuale affermazione e/o difesa, anche in sede giudiziaria, dei diritti di Camelia Travel.

11. Diritti dell'Interessato

In qualità di Interessati, le persone fisiche identificate o identificabili cui si riferiscono i dati trattati potranno esercitare i diritti riconosciuti dalla Normativa Privacy e, in particolare:

Diritto di accesso — il diritto di ottenere da Camelia Travel la conferma che sia o meno in corso il trattamento dei dati e, in tal caso, di ottenerne l'accesso (art. 15 GDPR), incluse informazioni sull'origine, le finalità, le modalità e i destinatari.
Diritto di rettifica — il diritto di ottenere la rettifica di dati inesatti e/o l'integrazione di dati incompleti (art. 16 GDPR).
Diritto all'oblio — il diritto di ottenere la cancellazione, trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nei casi previsti dalla legge (art. 17 GDPR).
Diritto di limitazione di trattamento — il diritto di opporsi al trattamento ovvero di ottenere la limitazione del trattamento dei Dati Personali ai sensi di legge (art. 18 GDPR).
Diritto ad essere informato delle rettifiche e cancellazioni e delle limitazioni del trattamento dei Dati Personali (art. 19 GDPR).
Diritto alla portabilità — il diritto di ricevere i Dati Personali in un formato strutturato, di uso comune e leggibile a livello informatico e di trasmetterli ad un altro titolare del trattamento (art. 20 GDPR).
Diritto di opposizione — il diritto di opporsi al trattamento dei dati qualora sussistano motivi legittimi, anche con riferimento ai trattamenti per finalità di marketing e profilazione (art. 21 GDPR).
Diritto di revocare il consenso prestato, in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca (art. 7 GDPR).
Diritto al risarcimento — il diritto di ottenere dal Titolare il pieno ed effettivo risarcimento di un danno subìto, materiale o immateriale, se causato dal trattamento dei dati personali in violazione del Regolamento (art. 82 GDPR).
Diritto di presentare un reclamo presso il Garante per la protezione dei dati personali (Piazza Venezia, 11 – 00187 Roma RM – PEC: protocollo@pec.gpdp.it) in caso di illecito trattamento (art. 77 GDPR).

12. Violazione dei Dati Personali

Il Titolare del trattamento è tenuto a:

notificare eventuali violazioni di sicurezza che comportino accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza (art. 33 GDPR);
comunicare l'eventuale violazione dei dati all'Interessato senza ingiustificato ritardo qualora tale violazione costituisca un rischio elevato per i diritti e le libertà delle persone fisiche, ad eccezione dei casi previsti dall'art. 34 del GDPR.

13. Comunicazioni ed Esercizio dei Diritti dell'Interessato

Per esercitare i propri diritti o chiedere chiarimenti sul trattamento dei dati personali, l'interessato può scrivere a dream@cameliatravel.com oppure utilizzare il modulo contatti disponibile sul sito web: https://www.cameliatravel.com/contact.