Skip to content
Carsu – Software per la gestione di officine di gommisti, mechanici e tanti altri tipi di officine

Termini e condizioni

Effective Date: 3/10/2026
Last Updated: 3/13/2026

Azienda: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands

Camera di Commercio (KvK): 92122167

Sito web: www.carsu.com

Ultimo aggiornamento: 10 marzo 2026

1. Introduzione

I presenti Termini e Condizioni ("Termini") disciplinano il vostro accesso e l'utilizzo della piattaforma software-as-a-service ("SaaS") gestita da Carsu B.V. ("Carsu", "Azienda", "noi", "nostro", o "ci"), disponibile all'indirizzo https://www.carsu.com e attraverso le nostre applicazioni mobili ("Piattaforma").

Con la registrazione di un account o l'utilizzo della nostra Piattaforma, accettate di essere vincolati dai presenti Termini, dalla nostra Privacy & Cookie Policy (disponibile all'indirizzo https://www.carsu.com/privacy), e da qualsiasi modulo d'ordine o contratto di abbonamento applicabile. Qualora non accettiate, non utilizzate i nostri servizi.

I presenti Termini si applicano a qualsiasi filiale, affiliata, o società del gruppo di Carsu B.V. che fornisce servizi sotto il marchio Carsu.

2. Definizioni

Account — Significato: Il vostro account univoco per accedere alla Piattaforma.

Controller — Significato: L'entità che determina i finalità e i mezzi del trattamento dei dati personali (come definito nell'Art. 4(7) GDPR).

Crediti — Significato: Unità prepagate acquistate per utilizzare i servizi di messaggistica e comunicazione sulla Piattaforma.

End-Consumer — Significato: Un cliente di un Utente (ad esempio, un proprietario di veicolo) i cui dati sono trattati attraverso la Piattaforma.

Data di Inizio — Significato: La data in cui il vostro abbonamento inizia, come specificato nel vostro ordine o nella registrazione dell'account.

Piattaforma — Significato: Il sito web Carsu, l'applicazione web, le applicazioni mobili, le API e tutti i servizi correlati.

Processor — Significato: L'entità che tratta i dati personali per conto di un Controller (come definito nell'Art. 4(8) GDPR).

Servizi — Significato: Tutti i servizi forniti da Carsu attraverso la Piattaforma, inclusi SaaS, comunicazioni e supporto.

Abbonamento — Significato: Il livello di servizio scelto (ad esempio, Free, Basic, o altri piani a pagamento).

Utente / Voi — Significato: Qualsiasi persona fisica o entità commerciale che si registra e utilizza la Piattaforma.

3. Servizi Forniti

Carsu fornisce una piattaforma SaaS completa progettata per l'aftermarket automobilistico, inclusi:

  • Gestione Officina: Gestione dei rapporti con i clienti (CRM), pianificazione degli appuntamenti, fatturazione e tracciamento della cronologia dei servizi.
  • Servizi di Comunicazione: Messaggistica integrata tramite WhatsApp Business e SMS, che consente agli Utenti di comunicare con i loro End-Consumer.
  • Informazioni su Veicoli e Ricambi: Accesso ai dati dei veicoli, cataloghi ricambi e informazioni sulle procedure di riparazione.
  • Elaborazione dei Pagamenti: Elaborazione integrata dei pagamenti tramite Stripe.
  • Supporto Clienti: Servizi di supporto incluse funzionalità assistite da intelligenza artificiale come la traduzione automatica dei messaggi.

4. Registrazione Account e Sicurezza

4.1 Registrazione

Per accedere alla Piattaforma, dovete registrare un Account. Accettate di fornire informazioni accurate, attuali e complete durante la registrazione e di mantenere tali informazioni aggiornate.

4.2 Sicurezza dell'Account

Siete responsabili del mantenimento della riservatezza delle vostre credenziali di accesso e di tutte le attività che avvengono con il vostro Account. Dovete notificarci immediatamente all'indirizzo [email protected] se siete a conoscenza di qualsiasi utilizzo non autorizzato del vostro Account.

4.3 Idoneità dell'Account

La Piattaforma è destinata all'uso commerciale (B2B). Con la registrazione, dichiarate che siete autorizzati ad agire per conto dell'entità commerciale per la quale vi registrate, e che avete la capacità legale di concludere i presenti Termini.

5. Utilizzo della Piattaforma e dei Servizi di Comunicazione

5.1 Integrazione della Messaggistica

La nostra Piattaforma si integra con WhatsApp Business e gateway SMS. Gli Utenti devono rispettare i rispettivi termini e le politiche di terzi per ciascun canale di comunicazione utilizzato. Carsu non è responsabile dei cambiamenti alle politiche di piattaforme di terzi o alla loro disponibilità.

5.2 Tariffe di Messaggistica

Le tariffe per l'invio di messaggi sono variabili e dipendono dalla destinazione, dal tipo di messaggio e dal vostro livello di Abbonamento. Le tariffe attuali sono disponibili nella sezione Impostazioni della vostra dashboard di Account. Carsu si riserva il diritto di adeguare le tariffe di messaggistica con 14 giorni di preavviso tramite la vostra dashboard di Account o email.

5.3 Consenso e Conformità

Carsu fornisce strumenti e guida per aiutare gli Utenti a ottenere e gestire il consenso per le comunicazioni con End-Consumer, in conformità con la Direttiva ePrivacy e alle leggi nazionali applicabili. Tuttavia, in qualità di Controller dei dati di End-Consumer, l'Utente è infine responsabile di garantire:

  • Che il consenso valido sia ottenuto prima dell'invio di messaggi di marketing;
  • Che i messaggi siano conformi alle leggi applicabili in materia di anti-spam e comunicazioni elettroniche;
  • Che le richieste di opt-out da parte di End-Consumer siano onorate prontamente.

6. Crediti Prepagati e Utilizzo

6.1 Modello di Credito Prepagato

Carsu opera su base di credito prepagato per i servizi di comunicazione. I crediti devono essere acquistati in anticipo per utilizzare le funzionalità di messaggistica.

6.2 Scadenza Crediti — Livello Free

Per gli Utenti nel Livello Free, i Crediti acquistati sono validi per dodici (12) mesi dalla data di acquisto. I Crediti inutilizzati scadono automaticamente dopo questo periodo senza rimborso.

6.3 Validità Crediti — Livelli a Pagamento

Per gli Utenti nel Livello Basic o in qualsiasi altro Abbonamento a pagamento, i Crediti acquistati non scadono finché l'Abbonamento rimane attivo e in buono stato. Se un Abbonamento a pagamento termina (per qualsiasi motivo), i Crediti rimanenti sono soggetti alla regola di scadenza di 12 mesi dalla data di fine dell'Abbonamento.

6.4 Crediti di Prova

Carsu può fornire ai nuovi Utenti Crediti di prova complementari a scopo di test. I Crediti di prova:

  • Scadono automaticamente tre (3) mesi dopo l'emissione;
  • Possono essere revocati in qualsiasi momento se sospettiamo un uso improprio o una violazione della nostra Acceptable Use Policy (Sezione 11);
  • Non hanno valore in denaro e non sono trasferibili.

7. Tariffe, Pagamento e Fatturazione

7.1 Prezzi

I prezzi attuali per Crediti e livelli di Abbonamento sono disponibili sul nostro Sito web e nelle Impostazioni del vostro Account. Tutte le tariffe sono escluse dalle imposte applicabili se non diversamente indicato.

7.2 Elaborazione dei Pagamenti

I pagamenti sono elaborati tramite Stripe. Effettuando un acquisto, accettate i termini di servizio di Stripe. Carsu non memorizza i dettagli della vostra carta di credito.

7.3 Fatturazione e IVA

Le fatture sono emesse al momento dell'acquisto di Crediti o del pagamento dell'Abbonamento.

  • Clienti olandesi (B2B): Si applica l'IVA olandese del 21%.
  • Clienti UE al di fuori dei Paesi Bassi (B2B): Si applica il meccanismo del reverse charge IVA. Le fatture includono il riferimento "Reverse charged VAT". Dovete fornire un numero IVA UE valido.
  • Clienti UK (B2B): Aliquota zero IVA ove sia fornito un numero IVA UK valido.
  • Clienti non UE/UK: Nessuna IVA addebitata; gli obblighi fiscali locali sono responsabilità del cliente.

7.4 Modifiche ai Prezzi

Carsu può adeguare i prezzi dell'Abbonamento o le tariffe dei Crediti con almeno 30 giorni di preavviso scritto via email. L'utilizzo continuato dopo la data di entrata in vigore costituisce accettazione. Se non accettate una modifica dei prezzi, potete terminare il vostro Abbonamento prima che i nuovi prezzi entrino in vigore.

7.5 Politica di Rimborso

Tutti gli acquisti di Crediti e le tariffe di Abbonamento non sono rimborsabili, se non nei casi in cui Carsu abbia materialmente violato i suoi obblighi di servizio secondo i presenti Termini o la legge applicabile lo richieda diversamente.

8. Livelli di Servizio

8.1 Disponibilità della Piattaforma

Carsu farà ragionevoli sforzi commerciali per mantenere la disponibilità della Piattaforma di almeno 99,5% per mese di calendario, misurata escludendo le finestre di manutenzione programmata.

8.2 Manutenzione Programmata

Forniremo almeno 48 ore di preavviso della manutenzione pianificata che potrebbe influire sulla disponibilità, tranne nei casi di patch di sicurezza urgenti in cui potrebbe essere necessario un preavviso più breve.

8.3 Rimedi

Se la disponibilità della Piattaforma scende al di sotto del 99,5% in qualsiasi mese di calendario (escludendo la manutenzione programmata e gli eventi di Forza Maggiore), gli Utenti interessati con Abbonamenti a pagamento possono richiedere un credito di servizio pro-rata per il periodo interessato. I crediti di servizio sono applicati alle fatture future e non costituiscono un rimborso in denaro. Le rivendicazioni devono essere presentate entro 30 giorni dal mese interessato.

8.4 Dipendenze di Terzi

I nostri servizi di comunicazione dipendono da piattaforme di terzi (WhatsApp, SMS gateway). Carsu non è responsabile delle interruzioni o dei limiti imposti da questi fornitori di terzi. Il tempo di inattività di terzi è escluso dai calcoli SLA.

9. Protezione dei Dati

9.1 Privacy & Cookie Policy

Carsu tratta i dati personali in conformità alla nostra Privacy & Cookie Policy, disponibile all'indirizzo https://www.carsu.com/privacy. Utilizzando la Piattaforma, riconoscete di aver letto e compreso la nostra Privacy & Cookie Policy.

9.2 Data Processing Agreement

Ove Carsu tratti dati personali per vostro conto (cioè dati di End-Consumer), Carsu agisce come Processor e voi agite come Controller. L'Accordo di Trattamento dei Dati ("DPA") indicato nell'Annex A dei presenti Termini, o come separatamente eseguito, disciplina questa relazione di trattamento in conformità all'Art. 28 GDPR.

9.3 Vostre Obbligazioni come Controller

In qualità di Controller dei dati di End-Consumer trattati attraverso la nostra Piattaforma, siete responsabili di:

  • Assicurare di avere una base legale valida per il trattamento dei dati di End-Consumer;
  • Ottenere i consensi richiesti per le comunicazioni elettroniche (conformità alla Direttiva ePrivacy);
  • Rispondere alle richieste di diritti dei soggetti dati dai vostri End-Consumer (Carsu assisterà su richiesta);
  • Notificare a Carsu tempestivamente qualsiasi richiesta di soggetto dati che richieda l'assistenza di Carsu;
  • Mantenere la vostra propria politica sulla privacy che copra il vostro utilizzo della nostra Piattaforma per il trattamento dei dati di End-Consumer.

9.4 Portabilità dei Dati e Diritti di Cambio

In conformità all'Art. 20 GDPR e all'EU Data Act (Regolamento (UE) 2023/2854), avete il diritto alla portabilità dei dati e al cambio:

  • Esportazione Self-Service: Potete esportare i vostri dati in qualsiasi momento dalle vostre Impostazioni di Account in formato CSV o JSON.
  • Richiesta di Esportazione Manuale: Potete anche richiedere un'esportazione completa dei dati inviando un'email a [email protected]. Le richieste di esportazione saranno evase entro 30 giorni.
  • Esportazione Post-Terminazione: Potete richiedere l'esportazione dei dati entro 12 mesi dopo la terminazione del vostro Abbonamento.
  • Eliminazione dei Dati: I dati saranno eliminati permanentemente entro 60 giorni dopo la finestra di esportazione post-terminazione di 12 mesi, a meno che una conservazione più lunga sia richiesta dalla legge.
  • Assistenza al Cambio: Secondo l'EU Data Act, se desiderate passare a un fornitore di servizi alternativo, Carsu fornirà assistenza tecnica ragionevole per un periodo di 30 giorni dopo l'inizio del processo di cambio. Le spese di cambio, se presenti, non supereranno i costi direttamente sostenuti da Carsu nel fornire l'assistenza al cambio.

Carsu non imporrà barriere contrattuali, tecniche o commerciali che inibiscono il cambio o la portabilità dei dati oltre quanto strettamente necessario per motivi di sicurezza e integrità dei dati.

10. Proprietà Intellettuale

10.1 IP di Carsu

Tutti i contenuti, il software, la tecnologia, i design, i marchi e i materiali sulla nostra Piattaforma sono proprietà di Carsu B.V. o dei suoi licenzianti e sono protetti dalle leggi sulla proprietà intellettuale. Vi è accordato un diritto d'uso limitato, non esclusivo, non trasferibile e revocabile della Piattaforma per il suo scopo previsto durante il vostro Abbonamento.

10.2 Vostri Dati e Analitiche Aggregate

Trattenete tutti i diritti sui dati che caricate sulla Piattaforma. Caricando i dati, accordate a Carsu un diritto d'uso limitato per trattare tali dati unicamente ai fini della fornitura dei Servizi.

Carsu può utilizzare e condividere dati anonimizzati e aggregati (che non possono identificarvi, i vostri End-Consumer, o le singole transazioni) per scopi di miglioramento del servizio, analitiche di settore, insights di mercato, ricerca e innovazione. Tali dati sono aggregati a un livello che assicura che nessuna officina individuale, end-consumer, o transazione possa essere identificata.

Poiché i dati sono irreversibilmente anonimizzati prima di qualsiasi utilizzo o condivisione esterna, rientrano al di fuori dell'ambito del GDPR (Considerando 26). I destinatari degli insights aggregati sono vincolati da termini scritti che proibiscono la re-identificazione. Per i dettagli completi, consultate la Sezione 7.5 della nostra Privacy & Cookie Policy.

11. Acceptable Use Policy

Accettate di non utilizzare la Piattaforma per:

  • Inviare messaggi di marketing non sollecitati (spam) o messaggi senza consenso valido del destinatario;
  • Trasmettere contenuti che siano illegali, diffamatori, minacciosi, molesti o discriminatori;
  • Distribuire malware, virus o altri codici dannosi;
  • Tentare di ottenere accesso non autorizzato alla Piattaforma, ad altri account o sistemi collegati;
  • Decompilare, disassemblare o sottoporre a ingegneria inversa alcuna parte della Piattaforma;
  • Utilizzare la Piattaforma per qualsiasi scopo che violi la legge applicabile, incluse le normative sulla protezione dei dati e l'anti-spam;
  • Impersonare qualsiasi persona o entità, o misrepresentare la vostra affiliazione;
  • Eludere i limiti di utilizzo, la limitazione della velocità, o altre restrizioni tecniche.

Carsu si riserva il diritto di sospendere o terminare l'accesso per gli Utenti che violano questa Acceptable Use Policy, in conformità alla Sezione 13.

12. Indennizzo

Accettate di indennizzare e mantenere Carsu, i suoi funzionari, direttori, dipendenti e agenti esenti da e contro qualsiasi reclami, danni, perdite, responsabilità e spese (incluse ragionevoli spese legali) derivanti da:

  • Vostra violazione dei presenti Termini o dell'Acceptable Use Policy;
  • Vostro utilizzo della Piattaforma in violazione della legge applicabile;
  • Messaggi inviati attraverso la Piattaforma per vostro conto, inclusi reclami di End-Consumer o terzi riguardanti il consenso, il contenuto, o la conformità;
  • Qualsiasi reclamo che i dati da voi forniti violino i diritti di proprietà intellettuale o privacy di terzi.

13. Termine, Sospensione e Terminazione

13.1 Termine

Il vostro Abbonamento inizia nella Data di Inizio e continua per il termine concordato (mensile o annuale, come applicabile), rinnovandosi automaticamente a meno che non sia annullato prima della fine del periodo corrente.

13.2 Cancellazione da Voi

Potete annullare il vostro Abbonamento in qualsiasi momento attraverso le vostre impostazioni di Account. L'annullamento ha effetto alla fine del periodo di fatturazione corrente. Non vengono forniti rimborsi pro-rata per le porzioni inutilizzate di un periodo di fatturazione.

13.2a Cambio a Fornitore Alternativo (EU Data Act)

In conformità all'EU Data Act, potete terminare il vostro Abbonamento ai fini di passare a un fornitore di servizi alternativo fornendo almeno 2 mesi di preavviso scritto a [email protected]. Durante il periodo di preavviso e per 30 giorni dopo la terminazione, Carsu fornirà assistenza tecnica ragionevole per facilitare la transizione, inclusa l'esportazione dei dati in formati standard (CSV, JSON) e documentazione delle strutture dei dati. Le spese di cambio, se presenti, saranno limitate ai costi direttamente sostenuti e divulgati in anticipo.

13.3 Sospensione da Carsu

Carsu può sospendere immediatamente il vostro accesso alla Piattaforma se:

  • Riteniamo ragionevolmente che stiate violando l'Acceptable Use Policy;
  • Il vostro Account è coinvolto in attività fraudolenta sospetta;
  • Richiesto per conformarsi a un obbligo legale o ordine del tribunale;
  • Il vostro pagamento è scaduto di più di 14 giorni.

Vi notificheremo di qualsiasi sospensione e il motivo il più presto possibile. La sospensione non termina i presenti Termini; ripristineremo l'accesso una volta che il problema sia risolto.

13.4 Terminazione per Causa da Carsu

Carsu può terminare il vostro Account e i presenti Termini se:

  • Una violazione materiale rimane non corretta per 30 giorni dopo notifica scritta;
  • Impegnate in violazioni ripetute dell'Acceptable Use Policy;
  • Diventate insolventi o entrate in procedimenti fallimentari.

13.5 Post-Terminazione

Dopo la terminazione:

  • Tutti i Crediti di prova inutilizzati sono confiscati immediatamente;
  • I Crediti acquistati per livelli a pagamento sono soggetti alle regole di scadenza nella Sezione 6;
  • Potete richiedere l'esportazione dei dati entro 12 mesi dopo la terminazione (consultare Sezione 9.4);
  • Dopo il periodo post-terminazione di 12 mesi, tutti i vostri dati saranno eliminati permanentemente, tranne laddove la conservazione sia richiesta dalla legge.

14. Limitazione della Responsabilità

14.1 Esclusione dei Danni Indiretti

Nella massima misura consentita dalla legge applicabile, nessuna delle parti sarà responsabile per danni indiretti, incidentali, speciali, conseguenti o punitivi, inclusi ma non limitati a perdita di profitti, dati, attività o avviamento, indipendentemente dalla causa dell'azione o dalla teoria della responsabilità.

14.2 Limite di Responsabilità

La responsabilità aggregata totale di Carsu secondo o in connessione con i presenti Termini non deve superare le tariffe totali pagate da voi a Carsu nei dodici (12) mesi immediatamente precedenti l'evento che ha generato il reclamo.

14.3 Eccezioni

Nulla in questi Termini esclude o limita la responsabilità per:

  • Morte o lesioni personali causate da negligenza;
  • Frode o falsa rappresentazione fraudolenta;
  • Qualsiasi responsabilità che non può essere esclusa o limitata dalla legge applicabile, inclusi gli obblighi GDPR.

15. Forza Maggiore

Nessuna delle parti sarà responsabile per qualsiasi inadempimento o ritardo nell'adempimento dei suoi obblighi secondo i presenti Termini laddove tale inadempimento o ritardo derivi da eventi al di là del suo controllo ragionevole, inclusi ma non limitati a: disastri naturali, pandemie, atti governativi, guerra, terrorismo, guasti di alimentazione, interruzioni di internet, guasti di piattaforme di terzi (WhatsApp, SMS gateway, Stripe) e attacchi informatici.

La parte interessata deve notificare prontamente l'altra parte e fare ragionevoli sforzi per mitigare l'impatto. Se un evento di Forza Maggiore continua per più di 60 giorni, entrambe le parti possono terminare i Servizi interessati con notifica scritta.

16. Garanzie e Dichiarazioni di Non Responsabilità

16.1 Garanzie di Carsu

Carsu garantisce che:

  • La Piattaforma funzionerà sostanzialmente in conformità alla sua documentazione;
  • I Servizi saranno forniti con abilità e cura ragionevoli;
  • Carsu rispetterà la legge applicabile sulla protezione dei dati nel suo ruolo di Controller o Processor.

16.2 Sicurezza e Divulgazione di Vulnerabilità

Carsu mantiene una politica responsabile di divulgazione di vulnerabilità in conformità al Cyber Resilience Act e alle migliori pratiche del settore. I ricercatori di sicurezza e gli Utenti possono segnalare vulnerabilità tramite il nostro file security.txt all'indirizzo https://www.carsu.com/.well-known/security.txt o inviando un'email a [email protected]. Carsu si impegna a riconoscere i rapporti entro 5 giorni lavorativi e fornire una timeline di risoluzione entro 30 giorni.

16.3 Dichiarazione di Non Responsabilità

Fatta eccezione per quanto espressamente indicato nei presenti Termini, la Piattaforma è fornita "così com'è" e "come disponibile". Carsu non fornisce garanzie aggiuntive, espresse o implicite, incluse garanzie di commerciabilità, idoneità per uno scopo particolare, o non violazione. Carsu non garantisce che la Piattaforma sarà ininterrotta, priva di errori, o che tutti i difetti saranno corretti.

17. Legge Applicabile e Risoluzione delle Controversie

17.1 Legge Applicabile

I presenti Termini sono disciplinati dalle leggi dei Paesi Bassi e interpretati in conformità ad esse, senza riguardo ai principi di conflitto di legge.

17.2 Risoluzione delle Controversie

Le parti tenteranno innanzitutto di risolvere qualsiasi controversia attraverso la negoziazione in buona fede per un periodo di 30 giorni. Se non risolta, le controversie devono essere sottoposte alla giurisdizione esclusiva dei tribunali competenti di Amsterdam, nei Paesi Bassi.

17.3 Reclami Normativi

Nulla in questi Termini impedisce l'esercizio dei vostri diritti secondo il GDPR o la presentazione di reclami all'autorità di vigilanza competente (consultare la nostra Privacy & Cookie Policy per i dettagli).

18. Disposizioni Generali

18.1 Intero Accordo

I presenti Termini, insieme alla Privacy & Cookie Policy e a qualsiasi modulo d'ordine o DPA applicabile, costituiscono l'intero accordo tra voi e Carsu riguardante l'utilizzo della Piattaforma. Essi sostituiscono tutti gli accordi, le rappresentazioni e la comprensione precedenti.

18.2 Salvaguardia

Se qualsiasi disposizione dei presenti Termini è ritenuta non valida o inapplicabile, le disposizioni rimanenti continueranno a piena forza e vigore. La disposizione non valida sarà modificata nella misura minima necessaria per renderla valida e applicabile.

18.3 Cessione

Non potete cessione o trasferire i presenti Termini senza il consenso scritto preventivo di Carsu. Carsu può cedere i presenti Termini in connessione con una fusione, acquisizione, riorganizzazione, o vendita di sostanzialmente tutti i suoi beni, purché il cessionario accetti di essere vincolato dai presenti Termini.

18.4 Rinuncia

Nessun inadempimento o ritardo di entrambe le parti nell'esercizio di qualsiasi diritto secondo i presenti Termini costituirà una rinuncia a quel diritto.

18.5 Notifiche

Le notifiche a Carsu devono essere inviate a [email protected] o per posta al nostro indirizzo registrato. Le notifiche a voi saranno inviate all'indirizzo email associato al vostro Account. Le notifiche sono considerate ricevute al momento della consegna (email) o 5 giorni lavorativi dopo la spedizione (posta).

18.6 Emendamenti

Carsu può modificare i presenti Termini con almeno 30 giorni di preavviso scritto via email o notifica sulla Piattaforma. I cambiamenti materiali saranno evidenziati. L'utilizzo continuato dopo la data di entrata in vigore costituisce accettazione. Se non accettate un emendamento, potete terminare il vostro Abbonamento prima che l'emendamento entri in vigore.

19. Contatti

Richieste legali: [email protected]

Richieste generali: [email protected]

Responsabile della Protezione dei Dati: [email protected]

Questioni di sicurezza: [email protected]

Indirizzo postale: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands

Utilizzando la nostra Piattaforma, riconoscete di aver letto, compreso e di accettare di essere vincolati da questi Termini e Condizioni.

ANNEX A

ACCORDO DI TRATTAMENTO DEI DATI

Questo Accordo di Trattamento dei Dati ("DPA") costituisce parte integrante dei Termini e Condizioni di Carsu ("Accordo") tra Carsu B.V. ("Processor") e l'Utente ("Controller") e disciplina il trattamento dei dati personali da parte del Processor per conto del Controller in connessione con i Servizi.

Questo DPA è concluso ai sensi dell'Art. 28 del Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 ("GDPR") e, ove applicabile, del Regolamento Generale sulla Protezione dei Dati del Regno Unito ("UK GDPR").

A1. Definizioni

I termini non definiti in questo DPA hanno i significati dati nell'Accordo e nel GDPR. In questo DPA:

  • "Controller Personal Data" significa dati personali che il Processor tratta per conto del Controller in connessione con i Servizi.
  • "Data Protection Laws" significa il GDPR, UK GDPR, la Direttiva ePrivacy 2002/58/CE, il Codice Privacy italiano (D.Lgs. 196/2003 come modificato), il UAVG olandese, e qualsiasi altra legislazione sulla protezione dei dati applicabile.
  • "Sub-Processor" significa qualsiasi terzo parte ingaggiato dal Processor per trattare Controller Personal Data per conto del Controller.

A2. Ambito e Finalità del Trattamento

A2.1 Oggetto

Il Processor tratta Controller Personal Data unicamente per lo scopo di fornire i Servizi secondo l'Accordo, inclusi gestione officina, comunicazioni con clienti (WhatsApp, SMS), elaborazione dei pagamenti e supporto clienti.

A2.2 Durata

Il trattamento continua per la durata dell'Accordo e per il periodo aggiuntivo necessario per adempiere ai post-terminazione obblighi (esportazione dei dati, eliminazione) come indicato nell'Accordo.

A2.3 Categorie di Soggetti Dati

  • End-Consumer (clienti del Controller/officina);
  • Dipendenti e personale del Controller (ove rilevante per l'utilizzo della piattaforma).

A2.4 Tipi di Dati Personali

  • Dettagli di contatto (nomi, numeri di telefono, indirizzi email);
  • Dati del veicolo (targhe, marca, modello, tipo);
  • Record di servizi e manutenzione;
  • Dati di appuntamenti;
  • Contenuto delle comunicazioni (messaggi inviati tramite la Piattaforma);
  • Identificatori di transazioni di pagamento (i dettagli delle carte sono trattati da Stripe, non conservati da Carsu).

A2.5 Natura del Trattamento

Raccolta, archiviazione, recupero, utilizzo, trasmissione (messaggistica), organizzazione, strutturazione ed erasure di Controller Personal Data come necessario per fornire i Servizi.

A2.6 Dati Anonimizzati e Aggregati

Il Processor può trattare Controller Personal Data per generare insights anonimizzati e aggregati per la condivisione con terzi. Tale trattamento avviene solo dopo che i dati sono stati irreversibilmente anonimizzati e aggregati a un livello che assicura che nessuna officina individuale, end-consumer, o transazione possa essere identificata o reverse-ingegnerizzata dal risultato.

Una volta irreversibilmente anonimizzati, i dati risultanti rientrano al di fuori dell'ambito del GDPR (Considerando 26) e questo DPA. Questo trattamento è supportato dall'interesse legittimo del Processor (Art. 6(1)(f)) e non estende o modifica i finalità di fornitura di servizi elencate in A2.1, ma rappresenta un uso distinto dei dati sottostanti dopo l'anonimizzazione. I destinatari sono vincolati da termini scritti che proibiscono la re-identificazione.

A3. Obblighi del Processor

Il Processor deve:

  • Trattare Controller Personal Data unicamente secondo istruzioni documentate dal Controller, incluso riguardo ai trasferimenti di dati personali al di fuori dell'EEA o UK, a meno che non sia richiesto dalla legge dell'UE o dello Stato Membro (nel qual caso, il Processor deve informare il Controller di quel requisito legale prima del trattamento, a meno che non sia proibito farlo);
  • Assicurare che le persone autorizzate a trattare Controller Personal Data si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo statutario di riservatezza;
  • Implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza appropriato al rischio, incluso come appropriato: pseudonimizzazione e crittografia dei dati personali, la capacità di garantire la continuità confidenzialità, integrità, disponibilità e resilienza dei sistemi di trattamento, la capacità di ripristinare l'accesso ai dati personali in modo tempestivo in seguito a un incidente, e un processo per testare e valutare regolarmente l'efficacia di tali misure;
  • Rispettare le condizioni per l'impegno di Sub-Processor come indicato nella Sezione A5;
  • Tenendo in considerazione la natura del trattamento, assistere il Controller mediante misure tecniche e organizzative appropriate, nella misura possibile, per l'adempimento dell'obbligo del Controller di rispondere alle richieste di soggetti dati;
  • Assistere il Controller nel garantire la conformità agli obblighi di notifica di violazione dei dati (Art. 33 e 34 GDPR), valutazioni di impatto sulla protezione dei dati (Art. 35 GDPR) e consultazione preventiva con autorità di vigilanza (Art. 36 GDPR), tenendo in considerazione la natura del trattamento e le informazioni disponibili al Processor;
  • A scelta del Controller, eliminare o restituire al Controller tutti i Controller Personal Data dopo la fine della fornitura dei Servizi, ed eliminare le copie esistenti a meno che la legge dell'UE o dello Stato Membro non richieda l'archiviazione dei dati personali;
  • Mettere a disposizione del Controller tutte le informazioni necessarie per dimostrare la conformità a questo DPA e consentire e contribuire a audit, incluse ispezioni, condotti dal Controller o da un auditor incaricato dal Controller.

A4. Obblighi del Controller

Il Controller deve:

  • Assicurare di avere una base legale valida secondo le Data Protection Laws per il trattamento di Controller Personal Data, incluso l'ottenimento di tutti i consensi necessari dai Soggetti Dati ove richiesto;
  • Fornire istruzioni documentate di trattamento al Processor;
  • Essere responsabile dell'accuratezza, qualità e legalità di Controller Personal Data forniti al Processor;
  • Conformarsi ai suoi obblighi secondo le Data Protection Laws, incluso il mantenimento della sua propria politica sulla privacy, la risposta alle richieste di soggetti dati (con assistenza Processor), e la notifica alle autorità di vigilanza di violazioni dei dati ove richiesto;
  • Assicurare che i messaggi inviati a End-Consumer tramite la Piattaforma siano conformi alla Direttiva ePrivacy e alle leggi nazionali applicabili sulle comunicazioni elettroniche, incluso l'ottenimento di consenso valido per i messaggi di marketing.

A5. Sub-Processor

A5.1 Autorizzazione Generale

Il Controller concede al Processor un'autorizzazione scritta generale per impegnare Sub-Processor per il trattamento di Controller Personal Data, soggetto alle condizioni in questa Sezione A5.

A5.2 Sub-Processor Attuali

L'elenco attuale di Sub-Processor è indicato nella Sezione 7.1 della Privacy & Cookie Policy (disponibile all'indirizzo https://www.carsu.com/privacy). Alla data di questo DPA, gli Sub-Processor approvati sono:

Microsoft Azure — Finalità: Infrastruttura cloud e hosting — Ubicazione: EU (West Europe)

Stripe — Finalità: Elaborazione dei pagamenti — Ubicazione: EU / US (SCC)

WhatsApp Business API (Meta) — Finalità: Messaggistica con clienti — Ubicazione: EU / US (SCC)

Twilio — Finalità: Gateway SMS — Ubicazione: EU / US (SCC)

Intercom — Finalità: Supporto clienti e traduzione AI — Ubicazione: US (SCC)

Anthropic — Finalità: Servizi AI — Ubicazione: US (SCC)

Mailchimp (Intuit) — Finalità: Email marketing — Ubicazione: US (SCC)

Mixpanel — Finalità: Analitiche del prodotto — Ubicazione: US (SCC)

A5.3 Modifiche ai Sub-Processor

Il Processor notificherà al Controller via email o notifica sulla Piattaforma almeno 30 giorni prima di impegnare un nuovo Sub-Processor o sostituirne uno esistente. I Controller con Abbonamenti a pagamento possono sottoscrivere notifiche automatiche di modifiche ai sub-processor attraverso le impostazioni del loro Account.

La notifica includerà l'identità e l'ubicazione del Sub-Processor proposto, la natura del trattamento e le categorie di dati personali coinvolti. Il Controller può opporsi alla modifica entro 14 giorni dalla ricezione della notifica, fornendo motivi scritti su basi di protezione dei dati. Se il Controller si oppone e le parti non riescono a risolvere l'opposizione entro 30 giorni attraverso discussione in buona fede, il Controller può terminare i Servizi interessati senza penalità.

A5.4 Obblighi di Sub-Processor

Il Processor deve assicurare che ogni Sub-Processor sia vincolato da obblighi di protezione dei dati non meno onerose di quelli indicati in questo DPA, incluso in particolare fornire garanzie sufficienti per implementare misure tecniche e organizzative appropriate. Il Processor rimane completamente responsabile verso il Controller per l'adempimento degli obblighi di ogni Sub-Processor.

A6. Trasferimenti Internazionali

Il Processor non deve trasferire Controller Personal Data al di fuori dell'EEA o UK se non:

  • Il trasferimento è verso un paese riconosciuto dalla Commissione Europea o dal Segretario di Stato del Regno Unito (come applicabile) come fornente un livello adeguato di protezione dei dati; o
  • Sono in atto salvaguardie appropriate, incluse Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914) o, per trasferimenti UK, l'Accordo Internazionale di Trasferimento Dati del Regno Unito (IDTA) o l'Addendum UK alle SCC dell'UE, integrati da misure tecniche aggiuntive ove richiesto da una valutazione di impatto del trasferimento.

Ove i trasferimenti verso gli Stati Uniti siano effettuati, il Processor si affida a SCC (o UK IDTA ove applicabile) integrati da misure tecniche incluse la crittografia in transito (TLS 1.2+) e a riposo (AES-256), controlli di accesso, e restrizioni contrattuali sulle richieste di accesso governativo. Il Processor deve condurre e mantenere una valutazione di impatto del trasferimento per ogni trasferimento verso un paese non coperto da una decisione di adeguatezza, e deve mettere tale valutazione a disposizione del Controller su richiesta.

A7. Sicurezza dei Dati

Senza pregiudizio della Sezione A3, il Processor implementa e mantiene le seguenti misure di sicurezza minime:

  • Crittografia dei dati personali in transito (TLS 1.2 o superiore) e a riposo (AES-256);
  • Controlli di accesso basati su ruolo con principio del minimo privilegio;
  • Autenticazione a più fattori per tutti gli accessi amministrativi e della piattaforma;
  • Valutazioni regolari di vulnerabilità e test di penetrazione;
  • Registrazione e monitoraggio dell'accesso a Controller Personal Data;
  • Procedure di risposta agli incidenti con percorsi di escalation definiti;
  • Formazione del personale sulla protezione dei dati e la sicurezza delle informazioni, condotta almeno annualmente;
  • Procedure di continuità aziendale e ripristino da disastri.

A8. Notifica di Violazione dei Dati

Il Processor notificherà al Controller senza indebito ritardo (e in ogni caso entro 72 ore, in conformità all'Art. 33 GDPR) al momento di diventare consapevole di una violazione di dati personali che affetti Controller Personal Data. Tale notifica includerà:

  • Una descrizione della natura della violazione, incluso, ove possibile, le categorie e il numero approssimativo di soggetti dati e record interessati;
  • Il nome e i dettagli di contatto del Responsabile della Protezione dei Dati del Processor o altro punto di contatto;
  • Una descrizione delle probabili conseguenze della violazione;
  • Una descrizione delle misure intraprese o proposte per affrontare la violazione, incluse misure per mitigare i suoi possibili effetti negativi.

Il Processor collaborerà con il Controller e intraprenderà ragionevoli passi commerciali per assistere nell'investigazione, mitigazione e rimediazione di ciascuna violazione.

A9. Diritti dei Soggetti Dati

Il Processor notificherà prontamente al Controller (e in ogni caso entro 5 giorni lavorativi) se riceve una richiesta da un soggetto dati per esercitare qualsiasi dei loro diritti secondo le Data Protection Laws in relazione a Controller Personal Data. Il Processor non deve rispondere direttamente al soggetto dati a meno che non sia autorizzato dal Controller o richiesto dalla legge.

Il Processor fornirà assistenza ragionevole al Controller nel adempimento dei suoi obblighi di rispondere alle richieste di soggetti dati, tenendo in considerazione la natura del trattamento e le informazioni disponibili al Processor.

A10. Diritti di Audit

Il Processor deve mettere a disposizione del Controller, su richiesta ragionevole (e non più di una volta per anno di calendario se non richiesto da un'autorità di vigilanza o violazione dei dati), tutte le informazioni ragionevolmente necessarie per dimostrare la conformità a questo DPA.

Il Processor deve consentire e contribuire a audit, incluse ispezioni, condotti dal Controller o da un auditor indipendente incaricato dal Controller, soggetto a:

  • Almeno 30 giorni di preavviso scritto (a meno che non sia richiesto da un'autorità di vigilanza);
  • Ambito e durata ragionevoli;
  • Obblighi di riservatezza riguardanti le informazioni proprietarie del Processor;
  • La conformità dell'auditor alle politiche di sicurezza applicabili.

Se un audit rivela una carenza materiale, il Processor deve rimediare entro un periodo di tempo ragionevole concordato con il Controller, a spese del Processor.

A11. Eliminazione e Restituzione dei Dati

Al termine o alla scadenza dell'Accordo, il Processor deve, a scelta del Controller:

  • Restituire tutti i Controller Personal Data in un formato strutturato, comunemente usato, leggibile da macchina (CSV o JSON) entro 30 giorni dalla richiesta; o
  • Eliminare in modo sicuro tutti i Controller Personal Data entro 60 giorni dalla fine della finestra di esportazione post-terminazione di 12 mesi indicata nell'Accordo.

Il Processor deve certificare l'eliminazione per iscritto su richiesta del Controller. Il Processor può conservare Controller Personal Data unicamente nella misura richiesta dalla legge applicabile, e deve informare il Controller di qualsiasi tale requisito di conservazione, inclusa la base legale e la durata della conservazione richiesta.

A12. Responsabilità

La responsabilità di ciascuna parte secondo questo DPA è soggetta alle limitazioni di responsabilità indicate nell'Accordo (Sezione 14). Nulla in questo DPA esclude o limita la responsabilità di entrambe le parti per obblighi secondo le Data Protection Laws che non possono essere limitati dal contratto.

A13. Legge Applicabile

Questo DPA è disciplinato dalle leggi dei Paesi Bassi, in conformità all'Accordo. Per questioni relative alle Data Protection Laws, l'autorità di vigilanza dell'istituzione del Controller (o, ove il Controller sia istituito al di fuori dell'EEA, l'Autorità Olandese per la Protezione dei Dati) avrà giurisdizione.

A14. Precedenza

Nel caso di qualsiasi conflitto tra questo DPA e l'Accordo, i termini di questo DPA prevalgono riguardo al trattamento di Controller Personal Data. In tutti gli altri aspetti, l'Accordo disciplina.

Questo DPA entra in vigore nella data in cui il Controller accetta l'Accordo e rimane in vigore finché il Processor tratta Controller Personal Data.

Contact Information

Address:
Harderwijkerweg 145 3852 AB Ermelo Paesi Bassi
Carsu - Termini di Servizio & Informazioni Legali | Carsu