Informativa sulla privacy
Ultimo aggiornamento: 2026-03-31
1. Introduzione
Benvenuto su CFM - CONTROL FLEET MOTOS ("CFM", "noi", "ci" o "nostro"). Ci impegniamo a proteggere la privacy e i dati personali dei nostri utenti, clienti e visitatori del sito web. La presente Informativa sulla privacy spiega come raccogliamo, utilizziamo, conserviamo, condividiamo e proteggiamo i vostri dati personali quando utilizzate la nostra piattaforma di gestione della flotta e i servizi correlati.
CFM fornisce una piattaforma software-as-a-service (SaaS) basata su cloud, progettata per le aziende di noleggio motocicli. La nostra piattaforma consente agli operatori di flotte di gestire il proprio inventario di motocicli, i contratti di noleggio, i programmi di manutenzione, i registri finanziari e le relazioni con i clienti.
La presente Informativa sulla privacy si applica a tutti i dati personali trattati attraverso la nostra piattaforma su https://fleetmoto.com, compresi i dati raccolti tramite la nostra applicazione web e qualsiasi servizio associato. Accedendo alla nostra piattaforma o utilizzandola, riconoscete di aver letto e compreso la presente Informativa sulla privacy.
Per qualsiasi domanda su come trattiamo i vostri dati personali, vi preghiamo di contattarci utilizzando i recapiti forniti nella Sezione 15 della presente informativa.
2. Titolare del trattamento
Il titolare del trattamento responsabile del trattamento dei vostri dati personali è:
| Ragione sociale | Jerry Strait |
|---|---|
| Numero di identificazione fiscale (NIF) | 327380136 |
| Sede legale | Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal |
| contact@fleetmoto.com | |
| Telefono | +351 939 048 392 |
| Responsabile della protezione dei dati (DPO) | dpo@fleetmoto.com |
In qualità di titolare del trattamento, determiniamo le finalità e i mezzi del trattamento dei dati personali in conformità con la legislazione applicabile in materia di protezione dei dati. Siamo responsabili di garantire che tutte le attività di trattamento siano conformi al Regolamento generale sulla protezione dei dati (GDPR) e alle leggi portoghesi sulla protezione dei dati.
Per qualsiasi richiesta, domanda o dubbio riguardante il trattamento dei vostri dati personali, vi preghiamo di contattare il nostro Responsabile della protezione dei dati all'indirizzo dpo@fleetmoto.com.
3. Quadro normativo
Le nostre attività di trattamento dei dati sono disciplinate dai seguenti strumenti giuridici:
- Regolamento (UE) 2016/679 — Regolamento generale sulla protezione dei dati (GDPR/RGPD): Il principale regolamento dell'Unione europea in materia di protezione dei dati e della privacy, direttamente applicabile in tutti gli Stati membri dell'UE, incluso il Portogallo. Stabilisce i diritti degli interessati e gli obblighi dei titolari e dei responsabili del trattamento.
- Lei n.º 58/2019, de 8 de agosto — Legge portoghese sulla protezione dei dati: La legge nazionale che assicura l'esecuzione del GDPR nell'ordinamento giuridico portoghese. Specifica le deroghe nazionali, la competenza dell'autorità di controllo e le disposizioni specifiche relative al trattamento dei dati nel contesto portoghese.
- Lei n.º 59/2019, de 8 de agosto — Legge portoghese sulla privacy elettronica: Recepisce la Direttiva UE 2002/58/CE (Direttiva ePrivacy) nel diritto portoghese, disciplinando il trattamento dei dati personali e la protezione della privacy nel settore delle comunicazioni elettroniche, comprese le norme su cookie, marketing diretto e dati sul traffico.
- Comissão Nacional de Proteção de Dados (CNPD): L'autorità nazionale portoghese di controllo per la protezione dei dati, istituita ai sensi del GDPR e del diritto portoghese. La CNPD vigila e garantisce il rispetto della normativa sulla protezione dei dati in Portogallo.
Rivediamo regolarmente le nostre pratiche di trattamento dei dati per garantire la conformità continua con questi quadri normativi e con eventuali modifiche successive o linee guida emesse dalla CNPD, dal Comitato europeo per la protezione dei dati (EDPB) o dai tribunali competenti.
4. Dati raccolti
Raccogliamo e trattiamo le seguenti categorie di dati personali, che variano in base al vostro ruolo e all'utilizzo della nostra piattaforma:
4.1. Dati dell'account e dell'identità
- Nome completo
- Indirizzo e-mail
- Password (conservata in modo sicuro; non conserviamo mai le password in chiaro)
- Immagine del profilo (se fornita volontariamente)
- Ruolo e permessi dell'utente all'interno della piattaforma
- Timestamp di creazione dell'account e dell'ultimo accesso
- Identificativo dell'account Google e informazioni del profilo (se si effettua l'accesso tramite Google OAuth)
4.2. Dati dell'organizzazione
- Nome, identificativo e logo dell'organizzazione
- Dettagli sull'appartenenza all'organizzazione e ruoli degli utenti
- Registri degli inviti (e-mail dell'invitato, ruolo, stato, scadenza)
4.3. Dati della flotta e dati aziendali
- Dati della flotta motocicli: marca, modello, anno, targa, numero di identificazione del veicolo (VIN), colore, chilometraggio, stato, dettagli di acquisizione (data, prezzo, fonte), informazioni assicurative e documentazione associata
- Registri di noleggio: contratti di noleggio, date di inizio/fine, tariffe, stato dei pagamenti, assegnazioni dei clienti e condizioni contrattuali
- Dati dei noleggiatori (clienti): nome, e-mail, numero di telefono, dettagli del documento di identità, informazioni sulla patente di guida, indirizzo e storico dei noleggi
- Registri di manutenzione: tipo di servizio, data, costo, chilometraggio al momento del servizio, informazioni sul fornitore e documentazione associata
- Dati finanziari: registrazioni contabili, importi delle transazioni, categorie di pagamento, registri di entrate e uscite e documentazione fiscale
4.4. Dati tecnici e di utilizzo
- Indirizzo IP
- Tipo e versione del browser
- Sistema operativo
- Tipo di dispositivo e risoluzione dello schermo
- Pagine visitate e funzionalità utilizzate sulla piattaforma
- Data e ora di accesso
- URL di provenienza
- Token di sessione e dati di autenticazione
4.5. Dati di comunicazione
- E-mail inviate tramite la piattaforma (ad es. e-mail di invito, notifiche)
- Richieste di assistenza e corrispondenza
4.6. Dati di pagamento
- Selezione del piano di abbonamento e ciclo di fatturazione (mensile/annuale)
- Identificativi delle transazioni di pagamento e riferimenti di fatturazione
- Indirizzo di fatturazione (se fornito)
- Nota: I dati della carta di pagamento (numero di carta, CVV, data di scadenza) sono elaborati esclusivamente da Stripe, Inc. e non vengono mai memorizzati sui nostri server. Riceviamo e conserviamo solo i dati di conferma della transazione, lo stato dell'abbonamento e gli identificativi dei clienti Stripe.
4.7. Dati di verifica della sicurezza
- Token di verifica Cloudflare Turnstile e risultati associati
- Caratteristiche di impronta digitale del browser per il rilevamento dei bot
- Nota: Questi dati sono elaborati da Cloudflare, Inc. esclusivamente allo scopo di distinguere gli utenti legittimi dai bot automatizzati. I token di verifica sono effimeri e non vengono conservati a lungo termine.
Non raccogliamo categorie particolari di dati personali (come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose, i dati sanitari o i dati biometrici), salvo che ciò sia strettamente necessario e con il vostro consenso esplicito.
5. Finalità e base giuridica
Trattiamo i vostri dati personali per le seguenti finalità, ciascuna supportata da una base giuridica lecita ai sensi dell'articolo 6, paragrafo 1, del GDPR:
| Finalità | Base giuridica (Art. 6(1) GDPR) |
|---|---|
| Fornitura e manutenzione della piattaforma CFM, inclusa la creazione dell'account utente, l'autenticazione e la gestione delle sessioni | (b) Esecuzione di un contratto — Il trattamento è necessario per l'esecuzione del contratto di servizio tra voi e CFM |
| Gestione della vostra organizzazione, inclusi gli inviti al team, i ruoli di appartenenza e i permessi di accesso | (b) Esecuzione di un contratto — Necessario per erogare il servizio SaaS concordato |
| Trattamento dei dati di gestione della flotta, inclusi l'inventario dei motocicli, i contratti di noleggio, i programmi di manutenzione e i registri finanziari | (b) Esecuzione di un contratto — Funzionalità principale del servizio a cui vi siete abbonati |
| Invio di e-mail transazionali quali inviti all'account, reimpostazione delle password e notifiche di sistema | (b) Esecuzione di un contratto — Comunicazioni necessarie per l'erogazione del servizio |
| Tenuta dei registri finanziari e fiscali come richiesto dal diritto portoghese e dell'UE | (c) Obbligo legale — Conformità alle normative fiscali e contabili portoghesi (Código do IRC, Código do IVA e legislazione correlata che richiede la conservazione della documentazione finanziaria) |
| Garanzia della sicurezza della piattaforma, prevenzione delle frodi e indagine su accessi non autorizzati o usi impropri | (f) Interesse legittimo — Il nostro interesse legittimo a proteggere la piattaforma, i nostri utenti e i loro dati dalle minacce alla sicurezza |
| Generazione di analisi aggregate sull'utilizzo e metriche di performance per migliorare la piattaforma | (f) Interesse legittimo — Il nostro interesse legittimo a comprendere l'utilizzo della piattaforma per migliorare la qualità e l'affidabilità del servizio |
| Risposta alle richieste di assistenza e fornitura di supporto ai clienti | (b) Esecuzione di un contratto e (f) Interesse legittimo — Necessario per adempiere ai nostri obblighi di servizio e il nostro interesse a mantenere la soddisfazione del cliente |
| Conformità agli obblighi di legge, alle ordinanze giudiziarie o alle richieste legittime delle autorità pubbliche | (c) Obbligo legale — Trattamento necessario per conformarsi alle leggi applicabili |
| Elaborazione dei pagamenti e gestione degli abbonamenti tramite Stripe, Inc. | (b) Esecuzione di un contratto — Necessario per fornire i servizi a pagamento in conformità con il contratto di abbonamento |
Quando ci basiamo sull'interesse legittimo come base giuridica, abbiamo condotto un test di bilanciamento per garantire che i nostri interessi non prevalgano sui vostri diritti e libertà fondamentali. Avete il diritto di opporvi in qualsiasi momento al trattamento basato sull'interesse legittimo (vedere Sezione 7).
Non utilizziamo i vostri dati personali per processi decisionali automatizzati o profilazione che producano effetti giuridici nei vostri confronti o che vi incidano in modo analogo in misura significativa.
6. Periodi di conservazione
Conserviamo i vostri dati personali solo per il tempo necessario a raggiungere le finalità per le quali sono stati raccolti, o come richiesto dalla legge applicabile. I periodi di conservazione specifici sono i seguenti:
| Categoria di dati | Periodo di conservazione | Giustificazione |
|---|---|---|
| Dati dell'account e dell'identità | Durata dell'account attivo + 30 giorni dopo la richiesta di cancellazione | Necessario per l'erogazione del servizio e il periodo di grazia per il recupero dell'account |
| Dati dell'organizzazione e dell'appartenenza | Durata dell'abbonamento attivo dell'organizzazione + 90 giorni | Necessario per l'erogazione del servizio e il periodo di esportazione dei dati |
| Registri finanziari e fiscali (registrazioni contabili, fatture, transazioni) | 10 anni dalla fine dell'esercizio fiscale di riferimento | Richiesto dal diritto tributario portoghese (Código do IRC, Art. 123.º; Código do IVA, Art. 52.º) e dagli obblighi commerciali generali (Código Comercial, Art. 40.º) |
| Contratti di noleggio e contratti | 10 anni dalla fine del rapporto contrattuale | Termine di prescrizione civile portoghese per le azioni contrattuali (Código Civil, Art. 309.º) e requisiti di documentazione fiscale |
| Dati personali dei noleggiatori (clienti) | Durata del rapporto commerciale + 10 anni per i registri finanziari associati | Obblighi legali relativi alla documentazione fiscale e alla responsabilità contrattuale |
| Dati della flotta motocicli | Durata della proprietà/gestione + 10 anni per i registri finanziari associati | Necessario per l'erogazione del servizio e la conformità finanziaria/fiscale |
| Registri di manutenzione | Durata della gestione del veicolo + 5 anni | Necessario per reclami in garanzia, responsabilità e storico della gestione della flotta |
| Log del server e dati tecnici (indirizzi IP, log di accesso) | 6 mesi | Necessario per il monitoraggio della sicurezza, l'indagine sugli incidenti e la prevenzione delle frodi |
| Dati di sessione e di autenticazione | Durata della sessione attiva + 30 giorni | Necessario per finalità di sicurezza e autenticazione |
| Corrispondenza di assistenza | 3 anni dalla risoluzione | Necessario per la qualità del servizio e la risoluzione delle controversie |
| Dati di pagamento e abbonamento | Durata dell'abbonamento + 10 anni (obbligo legale di contabilità) | Registri finanziari e conformità fiscale ai sensi della normativa applicabile |
Alla scadenza del periodo di conservazione, i dati personali saranno cancellati o anonimizzati in modo sicuro. I dati anonimizzati, che non possono più essere collegati a una persona identificabile, possono essere conservati a tempo indeterminato per finalità statistiche e analitiche.
Se richiedete la cancellazione del vostro account, cancelleremo o anonimizzeremo i vostri dati personali entro 30 giorni, ad eccezione dei dati che siamo legalmente tenuti a conservare (come i registri finanziari e fiscali) come sopra indicato.
7. Diritti dell'interessato
Ai sensi del GDPR (articoli da 15 a 22) e del diritto portoghese sulla protezione dei dati, disponete dei seguenti diritti riguardo ai vostri dati personali:
- Diritto di accesso (Art. 15 GDPR): Avete il diritto di ottenere conferma dell'esistenza o meno di un trattamento dei vostri dati personali e, in caso affermativo, di accedere a tali dati unitamente alle informazioni sulle finalità del trattamento, le categorie di dati interessate, i destinatari, i periodi di conservazione e la fonte dei dati.
- Diritto di rettifica (Art. 16 GDPR): Avete il diritto di chiedere la rettifica dei dati personali inesatti e di ottenere il completamento dei dati incompleti.
- Diritto alla cancellazione ("diritto all'oblio") (Art. 17 GDPR): Avete il diritto di chiedere la cancellazione dei vostri dati personali quando: i dati non sono più necessari per la finalità originaria; revocate il consenso (quando il consenso era la base giuridica); vi opponete al trattamento e non sussistono motivi legittimi prevalenti; i dati sono stati trattati illecitamente; o la cancellazione è necessaria per adempiere a un obbligo legale. Questo diritto è soggetto ad eccezioni, incluso il nostro obbligo legale di conservare i registri finanziari e fiscali.
- Diritto di limitazione del trattamento (Art. 18 GDPR): Potete richiedere la limitazione del trattamento dei vostri dati in determinate circostanze, ad esempio quando contestate l'esattezza dei dati, quando il trattamento è illecito ma vi opponete alla cancellazione, quando non abbiamo più bisogno dei dati ma voi ne avete bisogno per azioni legali, o quando vi siete opposti al trattamento in attesa di verifica.
- Diritto alla portabilità dei dati (Art. 20 GDPR): Avete il diritto di ricevere i vostri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, quando il trattamento è basato sul consenso o su un contratto ed è effettuato con mezzi automatizzati.
- Diritto di opposizione (Art. 21 GDPR): Avete il diritto di opporvi al trattamento dei vostri dati personali basato sull'interesse legittimo (Art. 6(1)(f) GDPR). Al ricevimento della vostra opposizione, cesseremo il trattamento salvo che possiamo dimostrare motivi legittimi cogenti che prevalgono sui vostri interessi, diritti e libertà, oppure il trattamento sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
- Diritto di non essere sottoposto a decisioni automatizzate (Art. 22 GDPR): Avete il diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che vi riguardano o che vi incida in modo analogo in misura significativa. CFM non effettua attualmente tale tipo di processo decisionale automatizzato.
- Diritto di revocare il consenso: Quando trattiamo i vostri dati sulla base del vostro consenso, avete il diritto di revocare tale consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.
Come esercitare i vostri diritti
Per esercitare uno qualsiasi di questi diritti, vi preghiamo di contattare il nostro Responsabile della protezione dei dati all'indirizzo dpo@fleetmoto.com o di scriverci ad Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portogallo. Risponderemo alla vostra richiesta entro un (1) mese dal ricevimento. Tale periodo può essere prorogato di ulteriori due (2) mesi ove necessario, tenendo conto della complessità e del numero delle richieste. Vi informeremo di tale eventuale proroga entro un mese dal ricevimento della richiesta.
Potremmo richiedere una prova di identità prima di elaborare la vostra richiesta per garantire la sicurezza dei vostri dati personali. Non addebiteremo alcuna commissione per l'esercizio dei vostri diritti, a meno che le richieste non siano manifestamente infondate o eccessive, nel qual caso potremmo addebitare una commissione ragionevole o rifiutare di dare seguito alla richiesta.
Se ritenete che non abbiamo affrontato adeguatamente la vostra richiesta, avete il diritto di presentare un reclamo all'autorità di controllo portoghese (CNPD) — vedere Sezione 15.
8. Sicurezza dei dati
Implementiamo misure tecniche e organizzative appropriate per proteggere i vostri dati personali contro l'accesso non autorizzato, l'alterazione, la divulgazione o la distruzione, conformemente all'articolo 32 del GDPR. Tali misure includono, tra le altre:
8.1. Misure tecniche
- Crittografia in transito: Tutti i dati trasmessi tra il vostro browser e i nostri server sono crittografati tramite TLS/HTTPS.
- Crittografia a riposo: L'archiviazione del database è crittografata a riposo dai nostri partner infrastrutturali.
- Sicurezza delle password: Le password degli utenti sono sottoposte a hashing con algoritmi crittografici conformi agli standard del settore e non vengono mai conservate in chiaro.
- Gestione delle sessioni: Token di sessione sicuri con politiche di scadenza appropriate.
- Isolamento dei dati: Rigorosa separazione dei dati organizzativi che garantisce che ciascuna organizzazione possa accedere esclusivamente ai propri dati.
- Validazione degli input: Tutti gli input degli utenti sono validati e sanificati mediante validazione basata su schema per prevenire attacchi di tipo injection.
- Controllo degli accessi basato sui ruoli: Sistema di permessi granulare che garantisce che gli utenti possano accedere solo ai dati e alle funzionalità autorizzate per il loro ruolo.
8.2. Misure organizzative
- L'accesso ai dati personali è limitato al personale autorizzato che ne ha bisogno per lo svolgimento delle proprie mansioni.
- Vengono effettuate regolari valutazioni della sicurezza e revisioni del codice.
- Sono in atto procedure di risposta agli incidenti per la gestione delle violazioni dei dati (vedere Sezione 12).
- I responsabili del trattamento sono verificati e vincolati da accordi sul trattamento dei dati (vedere Sezione 9).
- Vengono mantenuti backup regolari con controlli di accesso e crittografia appropriati.
Sebbene adottiamo misure estese per proteggere i vostri dati, nessun metodo di trasmissione via Internet o di archiviazione elettronica è sicuro al 100%. Valutiamo e miglioriamo continuamente le nostre pratiche di sicurezza per mantenere il massimo livello di protezione.
9. Responsabili del trattamento
Ci avvaliamo dei seguenti responsabili del trattamento per fornire e supportare la nostra piattaforma. Ciascun responsabile del trattamento è vincolato da un Accordo sul trattamento dei dati (DPA) conformemente all'articolo 28 del GDPR, e abbiamo verificato che implementino misure tecniche e organizzative appropriate per proteggere i dati personali.
| Responsabile | Finalità | Dati trattati | Localizzazione |
|---|---|---|---|
| Supabase, Inc. | Hosting del database e archiviazione dei file | Tutti i dati della piattaforma archiviati nel database (account utente, dati dell'organizzazione, registri della flotta, contratti di noleggio, dati finanziari) e documenti/immagini caricati | Regione UE (Francoforte, Germania) — i dati rimangono all'interno dello Spazio economico europeo |
| Vercel, Inc. | Hosting dell'applicazione, edge computing e distribuzione dei contenuti | Dati tecnici (indirizzi IP, log di accesso) e contenuti delle pagine | Rete Edge globale — calcolo principale nelle regioni UE; i contenuti possono essere memorizzati nella cache presso le postazioni Edge a livello mondiale; Vercel è conforme al GDPR tramite le Clausole contrattuali tipo (CCT) |
| Resend, Inc. | Consegna di e-mail transazionali | Indirizzi e-mail dei destinatari, oggetti delle e-mail e contenuto delle e-mail (e-mail di invito, e-mail di reimpostazione password, notifiche di sistema) | Stati Uniti — Resend tratta i dati in base alle Clausole contrattuali tipo (CCT) e rispetta i requisiti del GDPR |
| Stripe, Inc. | Elaborazione dei pagamenti e gestione degli abbonamenti | Piano di abbonamento, identificativi delle transazioni di pagamento, indirizzo di fatturazione e identificativo cliente Stripe. I dati della carta vengono elaborati direttamente da Stripe e non vengono mai memorizzati sui nostri server. | Stati Uniti — Stripe tratta i dati nell'ambito del Data Privacy Framework UE-USA (DPF) e delle Clausole contrattuali tipo (CCT) |
| Cloudflare, Inc. | Rilevamento bot e verifica della sicurezza (Turnstile) | Caratteristiche di impronta digitale del browser e token di verifica per distinguere gli utenti legittimi dai bot automatizzati | Stati Uniti e nodi Edge globali — Cloudflare tratta i dati nell'ambito del Data Privacy Framework UE-USA (DPF) e delle Clausole contrattuali tipo (CCT) |
| Google LLC | Servizio di autenticazione OAuth | Identificativo dell'account Google e informazioni di base del profilo (nome, indirizzo e-mail) solo quando si accede tramite Google OAuth | Stati Uniti — Google tratta i dati nell'ambito del Data Privacy Framework UE-USA (DPF) e delle Clausole contrattuali tipo (CCT) |
Non vendiamo, noleggiamo o condividiamo i vostri dati personali con terzi per i loro scopi di marketing o commerciali. I dati vengono condivisi solo con i responsabili del trattamento sopra elencati, e solo nella misura necessaria per fornire i nostri servizi.
Rivediamo regolarmente i nostri accordi con i responsabili del trattamento e potremmo aggiornare questo elenco con l'evoluzione della nostra infrastruttura di servizio. Eventuali modifiche significative ai nostri sub-responsabili saranno riflesse nella presente Informativa sulla privacy.
10. Trasferimenti internazionali di dati
CFM è un'azienda portoghese e la nostra archiviazione principale dei dati si trova all'interno dello Spazio economico europeo (SEE). Tuttavia, alcuni dei nostri responsabili del trattamento possono trattare dati personali al di fuori del SEE, in particolare negli Stati Uniti.
Quando i dati personali vengono trasferiti al di fuori del SEE, ci assicuriamo che siano in atto garanzie adeguate, conformemente al Capitolo V del GDPR (articoli 44-49):
- Decisioni di adeguatezza dell'UE (Art. 45 GDPR): Quando la Commissione europea ha stabilito che un paese terzo garantisce un livello adeguato di protezione dei dati, i trasferimenti avvengono sulla base di tale decisione di adeguatezza. Il quadro EU-US Data Privacy Framework si applica alle organizzazioni statunitensi certificate.
- Clausole contrattuali tipo (CCT) (Art. 46(2)(c) GDPR): In assenza di una decisione di adeguatezza, ci basiamo sulle Clausole contrattuali tipo della Commissione europea, approvate dalla Decisione di esecuzione (UE) 2021/914, che obbligano contrattualmente l'importatore dei dati a proteggere i dati personali secondo gli standard del SEE.
- Misure supplementari: Ove necessario sulla base di una Valutazione d'impatto del trasferimento, vengono implementate misure tecniche aggiuntive (come la crittografia in transito e a riposo) o misure organizzative per garantire un livello di protezione essenzialmente equivalente.
Il nostro database e l'archiviazione principale dei file (tramite Supabase) sono ospitati nelle regioni UE (Francoforte, Germania), garantendo che la maggior parte dei dati personali rimanga all'interno del SEE. Vercel tratta i dati principalmente nelle regioni UE ma può utilizzare la sua rete Edge globale per la distribuzione dei contenuti; tutto tale trattamento è coperto da CCT. Resend tratta i dati delle e-mail negli Stati Uniti in base a CCT e al quadro EU-US Data Privacy Framework. Stripe, Inc. tratta i dati di pagamento negli Stati Uniti nell'ambito del Data Privacy Framework UE-USA (DPF) e delle CCT. Cloudflare, Inc. tratta i dati di verifica della sicurezza attraverso la sua rete Edge globale, inclusi siti negli Stati Uniti, nell'ambito del DPF UE-USA e delle CCT. Google LLC tratta i dati di autenticazione OAuth negli Stati Uniti nell'ambito del DPF UE-USA e delle CCT.
Potete ottenere una copia delle garanzie che abbiamo predisposto per i trasferimenti internazionali contattando il nostro DPO all'indirizzo dpo@fleetmoto.com.
12. Notifica di violazione dei dati
In caso di violazione dei dati personali, ci conformeremo agli obblighi di notifica previsti dagli articoli 33 e 34 del GDPR.
12.1. Notifica all'autorità di controllo (Art. 33 GDPR)
Qualora una violazione dei dati personali sia suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche, notificheremo l'autorità di controllo portoghese (Comissão Nacional de Proteção de Dados — CNPD) senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne siamo venuti a conoscenza. Se la notifica non viene effettuata entro 72 ore, forniremo le ragioni del ritardo.
La notifica alla CNPD includerà:
- Una descrizione della natura della violazione, compreso il numero approssimativo di interessati e di registrazioni interessate
- Il nome e i recapiti del nostro Responsabile della protezione dei dati
- Una descrizione delle probabili conseguenze della violazione
- Una descrizione delle misure adottate o proposte per porre rimedio alla violazione, comprese le misure per attenuarne i possibili effetti negativi
12.2. Comunicazione agli interessati (Art. 34 GDPR)
Qualora una violazione dei dati personali sia suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche, comunicheremo la violazione agli interessati senza indebito ritardo, in un linguaggio chiaro e semplice. Tale comunicazione descriverà la natura della violazione e fornirà raccomandazioni affinché gli interessati possano attenuare i potenziali effetti negativi.
La comunicazione agli interessati potrebbe non essere necessaria quando: abbiamo implementato misure di protezione tecniche adeguate (come la crittografia) che rendono i dati incomprensibili; abbiamo adottato misure successive che assicurano che il rischio elevato non sia più suscettibile di concretizzarsi; oppure richiederebbe uno sforzo sproporzionato, nel qual caso si procederà a una comunicazione pubblica o a una misura analoga.
12.3. Procedura interna di risposta alle violazioni
Manteniamo un piano interno di risposta alle violazioni dei dati che include procedure per identificare, contenere, valutare e documentare tutte le violazioni dei dati personali, indipendentemente dal fatto che siano soggette a notifica. Tutte le violazioni sono registrate in un registro interno come richiesto dall'articolo 33, paragrafo 5, del GDPR.
13. Privacy dei minori
CFM - CONTROL FLEET MOTOS è una piattaforma SaaS business-to-business (B2B) progettata per le aziende di noleggio motocicli. I nostri servizi non sono rivolti a persone di età inferiore a 16 anni, che è l'età minima per il consenso ai servizi della società dell'informazione in Portogallo ai sensi della Lei n.º 58/2019, Art. 16.º (attuazione dell'Art. 8 GDPR).
Non raccogliamo consapevolmente dati personali di minori di 16 anni. Se veniamo a conoscenza di aver raccolto inavvertitamente dati personali di un minore di 16 anni senza il consenso appropriato dei genitori o del tutore, adotteremo le misure necessarie per cancellare tali dati il prima possibile.
Se siete un genitore o un tutore e ritenete che il vostro figlio ci abbia fornito dati personali, vi preghiamo di contattarci all'indirizzo dpo@fleetmoto.com affinché possiamo adottare le misure appropriate.
14. Modifiche alla presente informativa
Potremmo aggiornare la presente Informativa sulla privacy di tanto in tanto per riflettere i cambiamenti nelle nostre pratiche di trattamento dei dati, nei requisiti legali o nei nostri servizi. Quando apportiamo modifiche, aggiorneremo la "Data di entrata in vigore" all'inizio della presente informativa.
Per le modifiche sostanziali che influiscono significativamente sul modo in cui trattiamo i vostri dati personali, forniremo un avviso prominente tramite la piattaforma (come un banner o una notifica) e, ove richiesto dalla legge, richiederemo il vostro consenso prima di continuare a trattare i vostri dati secondo le condizioni aggiornate.
Vi incoraggiamo a consultare periodicamente la presente Informativa sulla privacy per rimanere informati su come proteggiamo i vostri dati personali. L'uso continuato della piattaforma dopo la pubblicazione delle modifiche costituisce la vostra presa d'atto dell'informativa rivista, salvo quando sia richiesto il consenso.
Le versioni precedenti della presente Informativa sulla privacy sono disponibili su richiesta contattando il nostro DPO all'indirizzo dpo@fleetmoto.com.
15. Contatti e reclami
Per qualsiasi domanda, dubbio o richiesta riguardante la presente Informativa sulla privacy o le nostre pratiche di trattamento dei dati, vi preghiamo di contattarci:
| Responsabile della protezione dei dati | dpo@fleetmoto.com |
|---|---|
| Contatto generale | contact@fleetmoto.com |
| Telefono | +351 939 048 392 |
| Indirizzo postale | Jerry Strait Avenida Do Brasil 127 2735-674 Agualva-Cacém, Portugal |
Diritto di presentare un reclamo
Se ritenete che il nostro trattamento dei vostri dati personali violi il GDPR o il diritto portoghese sulla protezione dei dati, avete il diritto di presentare un reclamo all'autorità di controllo portoghese:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa, Portugal
Telefono: +351 213 928 400
Fax: +351 213 976 832
E-mail: geral@cnpd.pt
Sito web: www.cnpd.pt
Potete anche presentare un reclamo all'autorità di controllo dello Stato membro dell'UE della vostra residenza abituale, del vostro luogo di lavoro o del luogo della presunta violazione, conformemente all'articolo 77 del GDPR.
Vi incoraggiamo a contattarci prima per cercare di risolvere qualsiasi problema prima di presentare un reclamo formale a un'autorità di controllo.
Data di entrata in vigore: 31 marzo 2026