Informativa sulla privacy

1.1. La presente Informativa sulla privacy spiega come GrowthTurn Marcin Chirowski, registrato in Polonia con NIP 7542694209, con sede legale in al. Zwycięstwa 241/13, 81-521 Gdynia ("Carseto", "noi", "ci", "nostro"), raccoglie, utilizza, conserva e condivide i vostri dati personali quando utilizzate il nostro sito carseto.com, le applicazioni mobili e i servizi correlati (la "Piattaforma").

1.2. Carseto è il titolare del trattamento responsabile dei vostri dati personali ai sensi del Regolamento generale sulla protezione dei dati (UE) 2016/679 ("GDPR").

1.3. Per richieste sulla protezione dei dati, contattate il nostro referente alla privacy a: privacy@carseto.com oppure scrivete a: Protezione dati, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polonia.

Raccogliamo le seguenti categorie di dati personali:

2.1. Dati account - nome, indirizzo email, password (hash), numero di telefono (opzionale), nome visualizzato, foto profilo, paese di residenza, lingua preferita.

2.2. Dati Garage e annunci - dettagli veicolo che fornite (marca, modello, anno, VIN/numero telaio, condizioni, foto, cronologia manutenzione, documenti), prezzi richiesti, descrizioni annunci.

2.3. Dati verifica identità - qualora scegliate di verificare la vostra identità: documento d'identità rilasciato dallo Stato, documenti di registrazione aziendale, dettagli conto bancario (per dealer), selfie per confronto identità. Sono elaborati solo per scopi di verifica e conservati con misure di sicurezza rafforzate.

2.4. Dati comunicazioni - messaggi inviati tramite il nostro sistema di messaggistica interno, richieste di informazioni, richieste di supporto, commenti agli annunci.

2.5. Dati transazioni - registri di acquisto e pagamento, dettagli abbonamento, indirizzo di fatturazione, identificatori metodo di pagamento (non memorizziamo i numeri di carta completi; sono gestiti da Stripe).

2.6. Dati utilizzo - pagine visitate, funzionalità utilizzate, ricerche, informazioni dispositivo (tipo browser, sistema operativo, risoluzione schermo), indirizzo IP, fonte di riferimento, durata sessione.

2.7. Dati cookie e tracciamento - come descritto nella nostra Cookie Policy, inclusi dati analitici, cookie preferenze e identificatori marketing (solo con il vostro consenso).

2.8. Dati di terzi - quando gli annunci provengono da marketplace pubblici, possiamo raccogliere informazioni di annunci pubblicamente disponibili inclusi descrizioni veicoli e dettagli di contatto venditori pubblicati dagli utenti su quelle piattaforme.

Trattiamo i vostri dati personali sulle seguenti basi giuridiche:

3.2. Quando ci basiamo sull'interesse legittimo, abbiamo effettuato un bilanciamento e determinato che i nostri interessi non prevalgono sui vostri diritti e libertà. Potete richiedere i dettagli delle nostre valutazioni di bilanciamento contattando privacy@carseto.com.

4.1. Con altri utenti. Quando create un annuncio, le informazioni sull'annuncio e informazioni di profilo limitate (nome visualizzato, stato verifica, membro dal, tempo di risposta) sono visibili ad altri utenti. Quando inviate un messaggio, il vostro nome visualizzato e il contenuto del messaggio sono visibili al destinatario.

4.2. Fornitori di servizi. Condividiamo dati con le seguenti categorie di responsabili del trattamento che agiscono su nostre istruzioni:

4.3. Obblighi legali. Possiamo divulgare i vostri dati quando richiesto da legge, regolamento, procedimento legale o richiesta governativa, incluse le forze dell'ordine se riteniamo che un annuncio riguardi un veicolo rubato o attività fraudolenta.

4.4. Cessioni aziendali. In caso di fusione, acquisizione o vendita di beni, i vostri dati possono essere trasferiti alla società acquirente. Vi informeremo di tale trasferimento e di eventuali modifiche all'informativa sulla privacy applicabile.

4.5. Dati aggregati. Possiamo condividere dati anonymizzati e aggregati (quali tendenze di mercato e indici prezzi CCI) con terzi. Questi dati non possono essere usati per identificarvi.

4.6. Non vendiamo i vostri dati personali. Non condividiamo i vostri dati personali con terzi per i loro scopi di marketing senza il vostro esplicito consenso.

5.1. I vostri dati sono principalmente conservati ed elaborati nello Spazio economico europeo (SEE). Il nostro database principale è ospitato da Supabase nella regione EU-West (Francoforte).

5.2. Alcuni nostri fornitori di servizi possono elaborare dati al di fuori del SEE (ad es. determinati nodi edge CDN Vercel). Quando ciò avviene, garantiamo che siano in vigore salvaguardie appropriate, incluse: Clausole contrattuali tipo UE (SCC) ai sensi dell'art. 46(2)(c) GDPR; oppure decisioni di adeguatezza della Commissione europea ai sensi dell'art. 45 GDPR.

5.3. Potete richiedere una copia delle salvaguardie che usiamo per i trasferimenti internazionali contattando privacy@carseto.com.

6.1. Conserviamo i vostri dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, o come richiesto dalla legge.

6.2. Dopo il periodo di conservazione, i dati sono cancellati in modo sicuro o irreversibilmente anonymizzati per scopi statistici.

7.1. Ai sensi del GDPR, avete i seguenti diritti riguardo ai vostri dati personali:

- Diritto di accesso (Art. 15) - richiedere una copia dei dati personali che deteniamo su di voi.
- Diritto di rettifica (Art. 16) - richiedere la correzione di dati inaccurate o incompleti.
- Diritto alla cancellazione (Art. 17) - richiedere la cancellazione dei vostri dati personali quando non esiste un motivo imperativo per il proseguimento del trattamento (salvo obblighi di conservazione legale).
- Diritto di limitazione del trattamento (Art. 18) - richiedere che limitiamo come utilizziamo i vostri dati in determinate circostanze.
- Diritto alla portabilità dei dati (Art. 20) - ricevere i vostri dati personali in formato strutturato, di uso comune e leggibile da strumenti automatizzati, e trasmetterli a un altro titolare.
- Diritto di opposizione (Art. 21) - opporvi al trattamento basato su interessi legittimi, incluso il profiling. Quando trattiamo dati per marketing diretto, avete un diritto assoluto di opposizione.
- Diritto di revocare il consenso - quando il trattamento è basato sul consenso, potete revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.

7.2. Per esercitare uno di questi diritti, contattateci a privacy@carseto.com. Risponderemo entro un mese. Se la vostra richiesta è complessa, possiamo prorogare di ulteriori due mesi, e vi informeremo di eventuali proroghe.

7.3. Non addebitiamo alcun costo per l'esercizio dei vostri diritti a meno che le richieste non siano manifestamente infondate o eccessive, nel qual caso possiamo addebitare un costo ragionevole o rifiutarci di agire.

7.4. Se non siete soddisfatti di come gestiamo la vostra richiesta, avete il diritto di presentare reclamo all'autorità di vigilanza polacca: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polonia, https://uodo.gov.pl. Potete anche presentare reclamo all'autorità di vigilanza del vostro paese di residenza.

8.1. Implementiamo misure tecniche e organizzative appropriate per proteggere i vostri dati personali da accesso non autorizzato, alterazione, divulgazione o distruzione. Queste includono:
- Crittografia dei dati in transito (TLS 1.2+) e a riposo;
- Row Level Security (RLS) su tutte le tabelle del database, limitata agli utenti autenticati;
- Limitazione della frequenza e prevenzione bot su tutti gli endpoint;
- Audit di sicurezza periodici e valutazioni delle vulnerabilità;
- Controlli di accesso che limitano l'accesso dei dipendenti ai dati personali sulla base del bisogno di conoscenza;
- Autenticazione sicura tramite Supabase Auth con supporto per autenticazione multi-fattore.

8.2. Pur adoperandoci per proteggere i vostri dati, nessun metodo di archiviazione o trasmissione elettronica è sicuro al 100%. Non possiamo garantire una sicurezza assoluta.

9.1. La Piattaforma non è destinata a persone sotto i 18 anni. Non raccogliamo consapevolmente dati personali da minori. Se ritenete che abbiamo raccolto dati da un minore, contattateci a privacy@carseto.com e li cancelleremo tempestivamente.

10.1. Utilizziamo sistemi automatizzati per il punteggio di affidabilità, il rilevamento delle frodi e la moderazione degli annunci. Questi sistemi possono influenzare la visibilità dei vostri annunci o lo stato dell'account. Tuttavia, nessuna decisione automatizzata che produca effetti giuridici o analogamente significativi è presa senza supervisione umana.

10.2. Avete il diritto di richiedere una revisione umana di qualsiasi decisione automatizzata che vi riguardi significativamente.

11.1. Possiamo aggiornare questa Informativa sulla privacy di volta in volta. In caso di modifiche sostanziali, vi avviseremo via email o tramite un avviso ben visibile sulla Piattaforma almeno 30 giorni prima dell'entrata in vigore.

11.2. La data dell'aggiornamento più recente è indicata in cima a questa pagina.

12.1. Per qualsiasi domanda su questa Informativa sulla privacy o le nostre pratiche sui dati, contattateci a:

- Email: privacy@carseto.com
- Posta: Protezione dati, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polonia
- Autorità di vigilanza: UODO, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl