Politica sulla Privacy
Data di efficacia: 2026-05-14 Ultimo aggiornamento: 2026-05-14 Versione: 3.1
Titolare del trattamento: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Paesi Bassi (KvK 92122167). Contatto privacy: privacy@carsu.com
1. A chi si applica
Carsu B.V. ("Carsu", "noi") gestisce una piattaforma SaaS per l'aftermarket automotive. La presente informativa spiega come trattiamo i dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (RGPD/GDPR), il UK GDPR, la Direttiva ePrivacy e la normativa nazionale applicabile in materia di protezione dei dati. Si applica a:
- Utenti della piattaforma (titolari di officine e relativo personale);
- Clienti finali di tali officine i cui dati sono trattati tramite la nostra piattaforma;
- Visitatori del sito su www.carsu.com e app.carsu.com.
Tutte le controllate, affiliate o società del gruppo Carsu B.V. che trattano dati personali in relazione ai nostri servizi aderiscono alla presente informativa.
2. Il nostro ruolo
| Attività | Ruolo di Carsu | Base giuridica |
|---|---|---|
| Account piattaforma, fatturazione, pagamenti | Titolare | Contratto (Art. 6(1)(b)) |
| Dati dei consumatori finali trattati tramite la piattaforma | Responsabile (l'officina è Titolare) | Base giuridica dell'officina |
| Messaggi inviati ai consumatori finali (WhatsApp, SMS, Viber) | Responsabile | Base giuridica dell'officina |
| Dati di Google Calendar sincronizzati tramite OAuth su Sua iniziativa | Titolare | Consenso (Art. 6(1)(a)) e contratto (Art. 6(1)(b)) |
| Analisi del sito web e cookie | Titolare | Consenso / legittimo interesse |
Laddove Carsu agisca in qualità di Responsabile, l'officina resta responsabile della liceità del proprio trattamento, compresa l'acquisizione di eventuali consensi richiesti.
3. Dati che trattiamo
Da Lei o dall'officina: nome, email, telefono, ragione sociale, partita IVA, indirizzo di fatturazione, targa, dettagli del veicolo, cronologia degli interventi, appuntamenti, messaggi, identificativi di pagamento (i dati della carta vengono trasmessi direttamente a Stripe — non li conserviamo).
Dalle API di Google, con il Suo consenso OAuth (sincronizzazione facoltativa del calendario): eventi del calendario che Lei sceglie di importare dal Suo Google Calendar, inclusi titolo dell'evento, orario di inizio e fine, luogo, descrizione, indirizzi email dei partecipanti e schemi di ricorrenza. Accediamo a questi dati esclusivamente tramite le API di Google utilizzando l'ambito calendar.events.readonly. Non riceviamo mai la Sua password di Google e non scriviamo mai eventi nel Suo Google Calendar. È possibile disconnettere l'integrazione in qualsiasi momento (vedere §8 e §11).
Raccolti automaticamente: indirizzo IP, dati del dispositivo e del browser, pagine visitate, utilizzo delle funzionalità, durata della sessione, cookie (vedere §10).
4. Basi giuridiche
Facciamo affidamento sul contratto (Art. 6(1)(b)) per erogare il servizio, sul legittimo interesse (Art. 6(1)(f)) per sicurezza, prevenzione delle frodi, miglioramento del prodotto e comunicazioni di servizio, sul consenso (Art. 6(1)(a)) per il marketing, i cookie non essenziali e le integrazioni facoltative con terze parti come la sincronizzazione con Google Calendar, e sull'obbligo legale (Art. 6(1)(c)) per richieste fiscali, contabili e delle autorità.
5. Come utilizziamo i dati
Per gestire e migliorare la piattaforma; per elaborare i pagamenti; per inviare messaggi per conto delle officine; per sincronizzare e visualizzare i Suoi eventi di Google Calendar sulla pagina del calendario di Carsu (laddove Lei abbia autorizzato tale operazione); per fornire assistenza (inclusa la traduzione assistita dall'IA tramite Intercom — Intercom non utilizza i Suoi dati per addestrare i propri modelli); per generare insight aggregati e anonimizzati (§7.4); per garantire la sicurezza e prevenire le frodi; per adempiere a obblighi di legge; e — solo con il Suo consenso — per finalità di marketing.
Utilizzo dell'IA. Le nostre funzionalità di IA (traduzione Intercom; Anthropic per utilizzo operativo con dati deidentificati) non producono effetti giuridici o similmente significativi nei Suoi confronti e non costituiscono un processo decisionale automatizzato ai sensi dell'Art. 22 GDPR. Classifichiamo il nostro utilizzo dell'IA come a rischio minimo ai sensi del Regolamento UE sull'IA (EU AI Act). È possibile rinunciare alla traduzione assistita dall'IA scrivendo a support@carsu.com. I dati ottenuti dalle API di Google sono esclusi da qualsiasi trattamento di IA e machine learning (vedere §5a).
5a. Google API Services User Data Policy — Limited Use
L'utilizzo e il trasferimento da parte di Carsu a qualsiasi altra applicazione delle informazioni ricevute dalle API di Google sono conformi alla Google API Services User Data Policy, inclusi i requisiti di Limited Use. In particolare, utilizziamo i dati di Google Calendar esclusivamente per fornire e migliorare la funzione di sincronizzazione del calendario a Lei visibile nella piattaforma Carsu. Non:
- Trasferiamo dati di utenti Google a terzi se non nella misura necessaria per fornire o migliorare funzionalità rivolte all'utente, per conformarci alla legge applicabile, o nell'ambito di una fusione, acquisizione o cessione di asset con previa notifica a Lei;
- Utilizziamo dati di utenti Google per la pubblicazione di annunci pubblicitari, compresi retargeting, pubblicità personalizzata o basata su interessi;
- Vendiamo dati di utenti Google a terzi, intermediari di dati o rivenditori di informazioni;
- Utilizziamo dati di utenti Google per sviluppare, migliorare o addestrare modelli generalizzati o non personalizzati di intelligenza artificiale o machine learning.
L'accesso umano ai dati di utenti Google è limitato a (a) casi in cui abbiamo ottenuto il Suo consenso specifico per visualizzare messaggi, file o eventi specifici; (b) ove necessario per indagini di sicurezza, prevenzione di abusi o per conformarci alla legge applicabile; (c) ove i dati siano stati aggregati e anonimizzati per operazioni interne in linea con la presente Policy; o (d) ove necessario per fornire assistenza clienti su Sua espressa richiesta.
6. Comunicazioni
Le comunicazioni relative al servizio (avvisi di sicurezza, fatturazione, modifiche ai termini) vengono inviate sulla base del contratto o del legittimo interesse e non possono essere disattivate. Le comunicazioni di marketing sono inviate solo previo consenso e possono essere revocate in qualsiasi momento tramite il link di annullamento dell'iscrizione o scrivendo a privacy@carsu.com.
7. Condivisione dei dati
7.1 Sub-responsabili
Utilizziamo i seguenti sub-responsabili sulla base di Accordi sul Trattamento dei Dati ai sensi dell'Art. 28 GDPR:
| Fornitore | Finalità | Ubicazione |
|---|---|---|
| Microsoft Azure | Infrastruttura cloud | UE (Europa Occidentale) |
| Stripe | Pagamenti | UE / USA (SCC) |
| WhatsApp Business API (Meta) | Messaggistica | UE / USA (SCC) |
| Viber (Rakuten) | Messaggistica | UE / Internazionale (SCC) |
| Twilio | Gateway SMS | UE / USA (SCC) |
| Intercom | Supporto e traduzione IA | USA (SCC) |
| Anthropic | Servizi IA (dati deidentificati) | USA (SCC) |
| Mixpanel | Analisi di prodotto in-app | USA (SCC) |
| Cloudflare | CDN, mitigazione bot | UE / Edge globale (SCC) |
| Google Ireland Ltd. | Analisi del sito web (GA4, GTM) | UE / USA (SCC) |
| Microsoft Ireland Operations Ltd. | Analisi UX del sito web (Clarity) | UE / USA (SCC) |
| Meta Platforms Ireland Ltd. | Misurazione pubblicitaria (Meta Pixel) | UE / USA (SCC) |
| LinkedIn Ireland Unlimited Company | Misurazione pubblicitaria (LinkedIn Insight Tag) | UE / USA (SCC) |
Google LLC è inoltre una fonte dati upstream (non un sub-responsabile) quando Lei autorizza l'integrazione facoltativa con Google Calendar. I dati fluiscono da Google verso Carsu in base al Suo consenso OAuth e sono disciplinati dai §3, §5 e §5a della presente informativa. I dati del calendario non vengono trasferiti ad alcuno dei sub-responsabili elencati sopra.
7.2 Modifiche ai sub-responsabili
Notifichiamo agli utenti della piattaforma con almeno 30 giorni di anticipo prima di incaricare o sostituire un sub-responsabile. I diritti di opposizione sono indicati nel DPA contenuto nei nostri Termini e Condizioni (Allegato A, §A5).
7.3 Altri destinatari
Possiamo condividere dati personali con consulenti professionali vincolati da obblighi di riservatezza, con le autorità quando richiesto dalla legge, e nell'ambito di operazioni di fusione o acquisizione (previa comunicazione).
7.4 Insight anonimizzati
Possiamo condividere insight aggregati e anonimizzati in modo irreversibile con partner di settore. Ai destinatari è contrattualmente vietato tentare la re-identificazione. Poiché tali dati sono al di fuori dell'ambito del GDPR (Considerando 26), non costituiscono un trasferimento di dati personali. I dati ottenuti dalle API di Google sono esclusi dagli insight anonimizzati in base al nostro impegno di Limited Use (§5a).
Non vendiamo dati personali.
8. I Suoi diritti
Ha diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e di revocare il consenso in qualsiasi momento — senza pregiudicare la liceità del trattamento precedente. Scriva a privacy@carsu.com per esercitarli. Verificheremo la Sua identità e risponderemo entro 30 giorni (prorogabili di due mesi per richieste complesse).
Se un'officina tratta i Suoi dati tramite la nostra piattaforma, il Suo contatto principale è l'officina stessa (in qualità di Titolare). La assisteremo nella gestione della Sua richiesta.
Integrazione con Google Calendar — revoca e cancellazione. Lei può revocare in qualsiasi momento l'accesso di Carsu al Suo account Google (a) disconnettendo l'integrazione dalle impostazioni del Suo account Carsu, oppure (b) rimuovendo l'app Carsu dal Suo account Google su myaccount.google.com/permissions. La revoca interrompe immediatamente ogni ulteriore sincronizzazione. I dati degli eventi del calendario già presenti nella nostra cache vengono cancellati entro 30 giorni dalla disconnessione (vedere §11). Per richiedere la cancellazione immediata, scriva a privacy@carsu.com.
9. Trasferimenti internazionali
La nostra infrastruttura principale si trova nel SEE. Qualora i dati vengano trasferiti al di fuori del SEE o del Regno Unito, ci affidiamo alle Standard Contractual Clauses (Decisione 2021/914) o al UK IDTA/Addendum, integrati da crittografia (TLS 1.2+ in transito, AES-256 a riposo) e valutazioni d'impatto sui trasferimenti. I trasferimenti UE-UK si basano sulla decisione di adeguatezza per il Regno Unito (rinnovata a luglio 2025). È possibile richiedere una copia delle SCC applicabili scrivendo a privacy@carsu.com.
10. Cookie
Sito web. I cookie su www.carsu.com sono descritti nella nostra Cookie Policy.
All'interno dell'app. Quando si accede alla piattaforma Carsu utilizziamo un cookie di sessione, un cookie di protezione CSRF e una preferenza di lingua (tutti strettamente necessari). Utilizziamo Mixpanel per l'analisi del prodotto sulla base del legittimo interesse (Art. 6(1)(f)); è possibile opporsi scrivendo a privacy@carsu.com, e interromperemo la raccolta di eventi e cancelleremo i record associati entro 30 giorni. Un interruttore di opt-out in-app è nella roadmap.
11. Conservazione
| Dati | Conservazione | Motivazione |
|---|---|---|
| Dati di account e profilo | Durata dell'abbonamento + 12 mesi | Erogazione del servizio e finestra di esportazione |
| Fatturazione e fatture | 7 anni | Normativa fiscale olandese / italiana |
| Dati veicolo e interventi | Durata dell'abbonamento + 12 mesi | Erogazione del servizio |
| Log delle comunicazioni | 24 mesi | Erogazione del servizio, contenziosi |
| Ticket di assistenza | 36 mesi | Controllo qualità |
| Eventi di Google Calendar sincronizzati | Durata della sincronizzazione attiva + 30 giorni dopo la disconnessione o la cancellazione dell'account | Erogazione del servizio; conformità Limited Use |
| Token OAuth di Google | Fino a quando non si disconnette l'integrazione o si revoca l'accesso su myaccount.google.com | Necessari per mantenere la sincronizzazione da Lei autorizzata |
| Cookie analitici | Fino a 13 mesi | Miglioramento del sito web |
| Cookie di marketing | Fino a 12 mesi | Misurazione pubblicitaria |
| Registrazioni dei consensi marketing | Consenso + 3 anni | Prova del consenso |
Al termine della conservazione cancelliamo o anonimizziamo in modo irreversibile i dati. I dati delle API di Google vengono cancellati, non anonimizzati, in linea con il nostro impegno di Limited Use.
12. Sicurezza
Applichiamo misure tecniche e organizzative ai sensi dell'Art. 32 GDPR, tra cui crittografia in transito e a riposo, controllo degli accessi basato sui ruoli con principio del minimo privilegio, MFA per tutti gli accessi amministrativi e alla piattaforma, valutazioni periodiche delle vulnerabilità, registrazione degli accessi e gestione documentata degli incidenti. Stiamo lavorando per ottenere SOC 2 Type II e ISO 27001. Divulgazione responsabile delle vulnerabilità: security.txt o security@carsu.com.
I token OAuth per l'accesso alle API di Google sono archiviati cifrati a riposo e sono accessibili esclusivamente ai componenti della piattaforma che eseguono la sincronizzazione del calendario.
13. Violazioni dei dati
Qualora una violazione possa comportare un rischio per i Suoi diritti, notifichiamo l'autorità di controllo entro 72 ore (Art. 33) e, in caso di rischio elevato, informiamo direttamente Lei senza ingiustificato ritardo (Art. 34). Laddove Carsu agisca in qualità di Responsabile, notifichiamo il Titolare (officina) senza ingiustificato ritardo.
14. Residenti nel Regno Unito
I residenti nel Regno Unito hanno gli stessi diritti descritti al §8. I trasferimenti tra UE e Regno Unito si basano sulla decisione di adeguatezza UE per il Regno Unito (rinnovata a luglio 2025, valida fino al 2031). Laddove la normativa britannica sulla protezione dei dati sia in conflitto con la presente informativa per i residenti nel Regno Unito, prevale la legge britannica.
15. Minori
I nostri servizi sono B2B e non sono rivolti ai minori. Non raccogliamo consapevolmente dati da persone di età inferiore ai 16 anni (o inferiore ai 14 anni in Italia, ai sensi del D.Lgs. 101/2018). Qualora venissimo a conoscenza di tali dati, procediamo alla loro tempestiva cancellazione.
16. Modifiche
Aggiorniamo la presente informativa quando cambiano le nostre pratiche, la tecnologia o gli obblighi di legge. Le modifiche sostanziali vengono notificate via email o tramite la piattaforma con almeno 30 giorni di anticipo.
17. Reclami
È possibile presentare reclamo all'Autorità per la protezione dei dati olandese (Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl) — nostra autorità di controllo capofila ai sensi del meccanismo di sportello unico GDPR — o all'autorità per la protezione dei dati del proprio Paese UE di residenza (in Italia, il Garante per la protezione dei dati personali). Preferiremmo che ci contattasse prima a privacy@carsu.com, così da poter provare a risolvere direttamente la Sua segnalazione.
18. Documenti correlati
La presente informativa deve essere letta congiuntamente ai nostri Termini e Condizioni (incluso l'Accordo sul Trattamento dei Dati nell'Allegato A) e alla nostra Cookie Policy.
19. Contatti
Privacy: privacy@carsu.com Legale: legal@carsu.com Sicurezza: security@carsu.com Generale: hello@carsu.com Indirizzo postale: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Paesi Bassi