Politica sulla Privacy
Data di efficacia: 2026-04-20
Ultimo aggiornamento: 2026-04-20
Versione: 3.0
Titolare del trattamento: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands (KvK 92122167).
Contatto privacy: [email protected]
1. A chi si applica
Carsu B.V. ("Carsu", "noi") gestisce una piattaforma SaaS per l'aftermarket automotive. La presente informativa spiega come trattiamo i dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (RGPD/GDPR), il UK GDPR, la Direttiva ePrivacy e la normativa nazionale applicabile in materia di protezione dei dati. Si applica a:
- Utenti della piattaforma (titolari di officine e relativo personale);
- Clienti finali di tali officine i cui dati sono trattati tramite la nostra piattaforma;
- Visitatori del sito su www.carsu.com e app.carsu.com.
Tutte le controllate, affiliate o società del gruppo Carsu B.V. che trattano dati personali in relazione ai nostri servizi aderiscono alla presente informativa.
2. Il nostro ruolo
| Attività | Ruolo di Carsu | Base giuridica |
|---|---|---|
| Account piattaforma, fatturazione, pagamenti | Titolare | Contratto (Art. 6(1)(b)) |
| Dati dei consumatori finali trattati tramite la piattaforma | Responsabile (l'officina è Titolare) | Base giuridica dell'officina |
| Messaggi inviati ai consumatori finali (WhatsApp, SMS, Viber) | Responsabile | Base giuridica dell'officina |
| Analisi del sito web e cookie | Titolare | Consenso / legittimo interesse |
Laddove Carsu agisca in qualità di Responsabile, l'officina resta responsabile della liceità del proprio trattamento, compresa l'acquisizione di eventuali consensi richiesti.
3. Dati che trattiamo
Da Lei o dall'officina: nome, email, telefono, ragione sociale, partita IVA, indirizzo di fatturazione, targa, dettagli del veicolo, cronologia degli interventi, appuntamenti, messaggi, identificativi di pagamento (i dati della carta vengono trasmessi direttamente a Stripe — non li conserviamo).
Raccolti automaticamente: indirizzo IP, dati del dispositivo e del browser, pagine visitate, utilizzo delle funzionalità, durata della sessione, cookie (vedere §10).
4. Basi giuridiche
Facciamo affidamento sul contratto (Art. 6(1)(b)) per erogare il servizio, sul legittimo interesse (Art. 6(1)(f)) per sicurezza, prevenzione delle frodi, miglioramento del prodotto e comunicazioni di servizio, sul consenso (Art. 6(1)(a)) per il marketing e i cookie non essenziali, e sull'obbligo legale (Art. 6(1)(c)) per richieste fiscali, contabili e delle autorità.
5. Come utilizziamo i dati
Per gestire e migliorare la piattaforma; per elaborare i pagamenti; per inviare messaggi per conto delle officine; per fornire assistenza (inclusa la traduzione assistita dall'IA tramite Intercom — Intercom non utilizza i Suoi dati per addestrare i propri modelli); per generare insight aggregati e anonimizzati (§7.4); per garantire la sicurezza e prevenire le frodi; per adempiere a obblighi di legge; e — solo con il Suo consenso — per finalità di marketing.
Utilizzo dell'IA. Le nostre funzionalità di IA (traduzione Intercom; Anthropic per utilizzo operativo con dati deidentificati) non producono effetti giuridici o similmente significativi nei Suoi confronti e non costituiscono un processo decisionale automatizzato ai sensi dell'Art. 22 GDPR. Classifichiamo il nostro utilizzo dell'IA come a rischio minimo ai sensi del Regolamento UE sull'IA (EU AI Act). È possibile rinunciare alla traduzione assistita dall'IA scrivendo a [email protected].
6. Comunicazioni
Le comunicazioni relative al servizio (avvisi di sicurezza, fatturazione, modifiche ai termini) vengono inviate sulla base del contratto o del legittimo interesse e non possono essere disattivate. Le comunicazioni di marketing sono inviate solo previo consenso e possono essere revocate in qualsiasi momento tramite il link di annullamento dell'iscrizione o scrivendo a [email protected].
7. Condivisione dei dati
7.1 Sub-responsabili
Utilizziamo i seguenti sub-responsabili sulla base di Accordi sul Trattamento dei Dati ai sensi dell'Art. 28 GDPR:
| Fornitore | Finalità | Ubicazione |
|---|---|---|
| Microsoft Azure | Infrastruttura cloud | UE (Europa Occidentale) |
| Stripe | Pagamenti | UE / USA (SCC) |
| WhatsApp Business API (Meta) | Messaggistica | UE / USA (SCC) |
| Viber (Rakuten) | Messaggistica | UE / Internazionale (SCC) |
| Twilio | Gateway SMS | UE / USA (SCC) |
| Intercom | Supporto e traduzione IA | USA (SCC) |
| Anthropic | Servizi IA (dati deidentificati) | USA (SCC) |
| Mailchimp (Intuit) | Email marketing | USA (SCC) |
| Mixpanel | Analisi di prodotto in-app | USA (SCC) |
| Cloudflare | CDN, mitigazione bot | UE / Edge globale (SCC) |
| Google Ireland Ltd. | Analisi del sito web (GA4, GTM) | UE / USA (SCC) |
| Microsoft Ireland Operations Ltd. | Analisi UX del sito web (Clarity) | UE / USA (SCC) |
| Meta Platforms Ireland Ltd. | Misurazione pubblicitaria (Meta Pixel) | UE / USA (SCC) |
| LinkedIn Ireland Unlimited Company | Misurazione pubblicitaria (LinkedIn Insight Tag) | UE / USA (SCC) |
7.2 Modifiche ai sub-responsabili
Notifichiamo agli utenti della piattaforma con almeno 30 giorni di anticipo prima di incaricare o sostituire un sub-responsabile. I diritti di opposizione sono indicati nel DPA contenuto nei nostri Termini e Condizioni (Allegato A, §A5).
7.3 Altri destinatari
Possiamo condividere dati personali con consulenti professionali vincolati da obblighi di riservatezza, con le autorità quando richiesto dalla legge, e nell'ambito di operazioni di fusione o acquisizione (previa comunicazione).
7.4 Insight anonimizzati
Possiamo condividere insight aggregati e anonimizzati in modo irreversibile con partner di settore. Ai destinatari è contrattualmente vietato tentare la re-identificazione. Poiché tali dati sono al di fuori dell'ambito del GDPR (Considerando 26), non costituiscono un trasferimento di dati personali.
Non vendiamo dati personali.
8. I Suoi diritti
Ha diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e di revocare il consenso in qualsiasi momento — senza pregiudicare la liceità del trattamento precedente. Scriva a [email protected] per esercitarli. Verificheremo la Sua identità e risponderemo entro 30 giorni (prorogabili di due mesi per richieste complesse).
Se un'officina tratta i Suoi dati tramite la nostra piattaforma, il Suo contatto principale è l'officina stessa (in qualità di Titolare). La assisteremo nella gestione della Sua richiesta.
9. Trasferimenti internazionali
La nostra infrastruttura principale si trova nel SEE. Qualora i dati vengano trasferiti al di fuori del SEE o del Regno Unito, ci affidiamo alle Standard Contractual Clauses (Decisione 2021/914) o al UK IDTA/Addendum, integrati da crittografia (TLS 1.2+ in transito, AES-256 a riposo) e valutazioni d'impatto sui trasferimenti. I trasferimenti UE-UK si basano sulla decisione di adeguatezza per il Regno Unito (rinnovata a luglio 2025). È possibile richiedere una copia delle SCC applicabili scrivendo a [email protected].
10. Cookie
Sito web. I cookie su www.carsu.com sono descritti nella nostra Cookie Policy.
All'interno dell'app. Quando si accede alla piattaforma Carsu utilizziamo un cookie di sessione, un cookie di protezione CSRF e una preferenza di lingua (tutti strettamente necessari). Utilizziamo Mixpanel per l'analisi del prodotto sulla base del legittimo interesse (Art. 6(1)(f)); è possibile opporsi scrivendo a [email protected], e interromperemo la raccolta di eventi e cancelleremo i record associati entro 30 giorni. Un interruttore di opt-out in-app è nella roadmap.
11. Conservazione
| Dati | Conservazione | Motivazione |
|---|---|---|
| Dati di account e profilo | Durata dell'abbonamento + 12 mesi | Erogazione del servizio e finestra di esportazione |
| Fatturazione e fatture | 7 anni | Normativa fiscale olandese / italiana |
| Dati veicolo e interventi | Durata dell'abbonamento + 12 mesi | Erogazione del servizio |
| Log delle comunicazioni | 24 mesi | Erogazione del servizio, contenziosi |
| Ticket di assistenza | 36 mesi | Controllo qualità |
| Cookie analitici | Fino a 13 mesi | Miglioramento del sito web |
| Cookie di marketing | Fino a 12 mesi | Misurazione pubblicitaria |
| Registrazioni dei consensi marketing | Consenso + 3 anni | Prova del consenso |
Al termine della conservazione cancelliamo o anonimizziamo in modo irreversibile i dati.
12. Sicurezza
Applichiamo misure tecniche e organizzative ai sensi dell'Art. 32 GDPR, tra cui crittografia in transito e a riposo, controllo degli accessi basato sui ruoli con principio del minimo privilegio, MFA per tutti gli accessi amministrativi e alla piattaforma, valutazioni periodiche delle vulnerabilità, registrazione degli accessi e gestione documentata degli incidenti. Stiamo lavorando per ottenere SOC 2 Type II e ISO 27001. Divulgazione responsabile delle vulnerabilità: security.txt o [email protected].
13. Violazioni dei dati
Qualora una violazione possa comportare un rischio per i Suoi diritti, notifichiamo l'autorità di controllo entro 72 ore (Art. 33) e, in caso di rischio elevato, informiamo direttamente Lei senza ingiustificato ritardo (Art. 34). Laddove Carsu agisca in qualità di Responsabile, notifichiamo il Titolare (officina) senza ingiustificato ritardo.
14. Residenti nel Regno Unito
I residenti nel Regno Unito hanno gli stessi diritti descritti al §8. I trasferimenti tra UE e Regno Unito si basano sulla decisione di adeguatezza UE per il Regno Unito (rinnovata a luglio 2025, valida fino al 2031). Laddove la normativa britannica sulla protezione dei dati sia in conflitto con la presente informativa per i residenti nel Regno Unito, prevale la legge britannica.
15. Minori
I nostri servizi sono B2B e non sono rivolti ai minori. Non raccogliamo consapevolmente dati da persone di età inferiore ai 16 anni (o inferiore ai 14 anni in Italia, ai sensi del D.Lgs. 101/2018). Qualora venissimo a conoscenza di tali dati, procediamo alla loro tempestiva cancellazione.
16. Modifiche
Aggiorniamo la presente informativa quando cambiano le nostre pratiche, la tecnologia o gli obblighi di legge. Le modifiche sostanziali vengono notificate via email o tramite la piattaforma con almeno 30 giorni di anticipo.
17. Reclami
È possibile presentare reclamo all'Autorità per la protezione dei dati olandese Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) — nostra autorità di controllo capofila ai sensi del meccanismo di sportello unico GDPR — o all'autorità per la protezione dei dati del proprio Paese UE di residenza (in Italia, il Garante per la protezione dei dati personali). Preferiremmo che ci contattasse prima a [email protected], così da poter provare a risolvere direttamente la Sua segnalazione.
18. Documenti correlati
La presente informativa deve essere letta congiuntamente ai nostri Termini e Condizioni (incluso l'Accordo sul Trattamento dei Dati nell'Allegato A) e alla nostra Cookie Policy.
19. Contatti
Privacy: [email protected]
Legale: [email protected]
Sicurezza: [email protected]
Generale: [email protected]
Indirizzo postale: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands