Informativa sulla Privacy

1. Titolare del Trattamento dei Dati

Il titolare del trattamento dei Suoi dati personali è PIKAP2 EOOD, operante come PickUp2, con sede in Stara Planina 1, 7900 Omurtag, Comune di Omurtag, Regione di Targovishte, Bulgaria, Partita IVA: BG207937426. Per ulteriori informazioni, La invitiamo a consultare il nostro Avviso Legale.

2. Responsabile della Protezione dei Dati

Il nostro Responsabile della Protezione dei Dati (DPO) designato è Dobromir Ivanov. Il DPO garantisce la conformità alle normative sulla protezione dei dati ed è disponibile per rispondere a qualsiasi domanda riguardante i Suoi dati personali. Può contattare il nostro DPO a:

1. Email: [email protected]
2. Indirizzo: str. Stara Planina 1, Omurtag, 7900, Comune di Omurtag, Regione di Targovishte, Bulgaria

3. Dati Personali che Raccogliamo

Raccogliamo le seguenti categorie di dati personali a seconda di come interagisce con la nostra Piattaforma: (a) Dati di Registrazione Account: indirizzo email, password (conservata esclusivamente come hash bcrypt — non conserviamo mai le password in forma leggibile), nome, cognome, numero di telefono, formula di cortesia, tipo di utente (mittente, vettore o spedizioniere) e data di accettazione delle nostre condizioni. (b) Dati Aziendali: ragione sociale, partita IVA, paese, indirizzo, codice postale, città, numero di telefono e tipo di attività aziendale. (c) Dati di Verifica: risultati della validazione IVA (tramite EU VIES e, per le aziende del Regno Unito, UK Companies House), documenti caricati (certificati di registrazione aziendale, certificati IVA, licenze di trasporto, certificati assicurativi), nome del titolare e risultati dell'analisi documentale assistita da IA. Un pagamento di verifica una tantum di 1 EUR viene elaborato tramite Stripe. (d) Dati di Utilizzo del Servizio: ordini di trasporto (luoghi di ritiro/consegna incluse coordinate GPS, date, orari, descrizioni del carico, peso, dimensioni, requisiti del veicolo, prezzi, persone di contatto), offerte flotta, offerte e proposte, registri delle trattative e registrazioni di veicoli (inclusi numeri di targa). (e) Dati di Comunicazione: messaggi chat scambiati tra utenti, allegati, offerte di prezzo, conferme di lettura e indicatori di digitazione. (f) Dati di Valutazione e Recensione: valutazioni a stelle (1-5), commenti e valutazioni sullo stato dei pagamenti. Le valutazioni sono visibili a tutti gli utenti registrati. (g) Dati di Pagamento e Transazione: stato dell'abbonamento, nome del piano, cronologia delle transazioni, importi dei pagamenti, valuta, tipo di metodo di pagamento e riferimenti fattura Stripe. Non conserviamo numeri di carte di credito o dettagli delle carte di pagamento — tutta l'elaborazione delle carte è gestita da Stripe. (h) Dati Tecnici: indirizzi IP, tipo e versione del browser, sistema operativo, tipo di dispositivo, piattaforma (web, iOS o Android), timestamp di accesso e posizione geografica approssimativa basata sull'indirizzo IP. (i) Dati di Dipendenti e Team: quando i titolari dell'azienda invitano dipendenti — indirizzo email, ruolo assegnato, posizione e impostazioni dei permessi. (j) Dati di Feedback: tipo di feedback, testo del messaggio, email di contatto facoltativa e screenshot facoltativi. (k) Dati Biometrici (Solo Mobile): se abilita l'accesso biometrico (Face ID o Touch ID) su un dispositivo mobile supportato, l'autenticazione biometrica viene elaborata interamente sul Suo dispositivo utilizzando l'enclave sicura del dispositivo. Non riceviamo, trasmettiamo o conserviamo alcun modello biometrico. (l) Dati Newsletter: indirizzo email, data di iscrizione, timestamp del consenso e preferenza linguistica.

4. Fornitori di Servizi Terzi

Ci avvaliamo dei seguenti fornitori di servizi terzi che trattano dati personali per nostro conto in base ad Accordi sul Trattamento dei Dati: (a) Stripe (stripe.com) — Elaborazione dei pagamenti. Stripe elabora i dati della Sua carta di pagamento in modo sicuro. Riceviamo solo conferme di transazione e non conserviamo i dettagli della carta. Privacy: https://stripe.com/privacy (b) Amazon Web Services (AWS) — Infrastruttura cloud, archiviazione file (S3) e invio email (SES). I dati sono conservati in regioni UE (eu-north-1, Stoccolma). Privacy: https://aws.amazon.com/privacy (c) Sentry (sentry.io) — Monitoraggio errori e tracciamento delle prestazioni. La registrazione delle sessioni è attivata solo dopo il Suo consenso ai cookie Statistici. Privacy: https://sentry.io/privacy (d) Google Analytics — Analisi del sito web (solo dopo il consenso Statistico tramite Cookiebot). Utilizziamo Google Analytics 4 con Google Consent Mode v2. Gli indirizzi IP sono anonimizzati. Privacy: https://policies.google.com/privacy (e) Meta Pixel (Facebook) — Tracciamento delle conversioni (solo dopo il consenso Marketing). Privacy: https://www.facebook.com/privacy (f) Cookiebot (Cybot A/S) — Gestione del consenso ai cookie in conformità al GDPR. Privacy: https://www.cookiebot.com/en/privacy-policy (g) OpenAI Inc. — Analisi documentale assistita da IA per la verifica aziendale. Il testo estratto dai documenti (ragione sociale, indirizzo, partita IVA, nomi degli amministratori) viene elaborato per verificare le registrazioni aziendali. Privacy: https://openai.com/privacy (h) DeepL SE — Traduzione automatica dei contenuti generati dagli utenti (ordini di trasporto, offerte flotta, offerte, messaggi, valutazioni) per supportare la nostra piattaforma multilingue. Dati elaborati in Germania (UE). Privacy: https://www.deepl.com/privacy (i) IPInfo Inc. — Geolocalizzazione IP per fornire contenuti localizzati e rilevamento della lingua. Privacy: https://ipinfo.io/privacy (j) Google Maps (Google LLC) — Autocompletamento indirizzi e geocodifica per la ricerca di località. Privacy: https://policies.google.com/privacy (k) Apple Push Notification Service (APNs) — Notifiche push per l'app mobile iOS. (l) Cloudflare Inc. — CDN, protezione DDoS e servizi DNS. Privacy: https://www.cloudflare.com/privacypolicy/ (m) Google Firebase Storage — Distribuzione di contenuti video sul nostro sito web. Privacy: https://firebase.google.com/support/privacy

5. Raccolta Automatica dei Dati

Quando visita il nostro sito web o utilizza le nostre applicazioni, raccogliamo automaticamente: (a) Informazioni tecniche: indirizzo IP, tipo/versione del browser, sistema operativo, tipo di dispositivo, risoluzione dello schermo e preferenze linguistiche. (b) Dati di utilizzo: pagine visitate, tempo trascorso sulle pagine, modelli di click e fonti di riferimento. (c) Dati di localizzazione: posizione geografica approssimativa basata sull'indirizzo IP (tramite il servizio IPInfo) per fornire contenuti localizzati. Questi dati sono raccolti per legittimi interessi, inclusa la sicurezza del sito web, la prevenzione delle frodi, il miglioramento dell'esperienza utente e il mantenimento della qualità del servizio. La base giuridica per questo trattamento è l'Articolo 6(1)(f) del GDPR.

6. Moduli di Contatto e Richieste di Servizio

Quando utilizza il nostro modulo di contatto, il modulo di richiesta trasporto o si iscrive alla nostra newsletter, raccogliamo: (a) Modulo di Contatto: nome, email, telefono (opzionale), tipo di richiesta e contenuto del messaggio. Questi dati sono trattati per rispondere alla Sua richiesta (base giuridica: Articolo 6(1)(b) GDPR — misure precontrattuali). (b) Modulo Richiesta Trasporto: nome completo, email, telefono, paese, luoghi di ritiro/consegna, descrizione delle merci, peso, dimensioni e date preferite. Questi dati sono utilizzati per fornirLe preventivi di trasporto e metterLa in contatto con vettori o spedizionieri idonei. (c) Newsletter: indirizzo email e preferenza linguistica. Inviamo newsletter solo con il Suo esplicito consenso (Articolo 6(1)(a) GDPR). Può annullare l'iscrizione in qualsiasi momento utilizzando il link presente in ogni email della newsletter.

7. Condivisione dei Dati con gli Utenti della Piattaforma

In qualità di piattaforma di logistica merci, alcuni dati vengono condivisi tra gli utenti per consentire il servizio: (a) Quando pubblica un ordine di trasporto o un'offerta flotta, la ragione sociale della Sua azienda, il nome della persona di contatto e i dettagli dell'annuncio sono visibili agli altri utenti registrati. (b) Quando invia un'offerta di prezzo tramite chat, i dettagli della Sua azienda e i termini dell'offerta vengono condivisi con il destinatario. (c) I messaggi in chat sono visibili esclusivamente ai partecipanti alla conversazione. (d) Le valutazioni e le recensioni sono visibili a tutti gli utenti registrati. (e) Lo stato di verifica dell'azienda (verificata/non verificata) viene mostrato agli altri utenti. Non vendiamo dati personali a terzi. La condivisione dei dati con altri utenti è essenziale per la funzionalità principale della piattaforma (base giuridica: Articolo 6(1)(b) GDPR — esecuzione del contratto).

8. Invito Dipendenti e Gestione del Team

I titolari e gli amministratori delle aziende possono invitare i dipendenti a unirsi al proprio account aziendale su PickUp2. Quando si invita un dipendente, raccogliamo: indirizzo email, ruolo assegnato, posizione e impostazioni dei permessi. Le email di invito contengono token sicuri con scadenza temporale. Gli account dei dipendenti sono collegati all'account aziendale e gli amministratori aziendali possono gestire i permessi dei dipendenti per l'accesso a ordini di trasporto, offerte flotta, accordi, chat, valutazioni e gestione della flotta. Se un dipendente lascia l'azienda, il suo account può essere disattivato dall'amministratore aziendale.

9. Cookie e Tecnologie di Tracciamento

Utilizziamo cookie e tecnologie simili in conformità con le Sue preferenze di consenso. Categorie di cookie: (a) Cookie Strettamente Necessari: Essenziali per la funzionalità del sito web, inclusi token di autenticazione (JWT in cookie HTTP-only), preferenze linguistiche (i18n_redirected), stato del consenso Cookiebot e funzionalità di sicurezza. Questi non richiedono consenso. (b) Cookie di Preferenza: Memorizzano le Sue impostazioni come la modalità tema (scuro/chiaro) e i filtri di ricerca salvati. Attivati con il Suo consenso alle Preferenze. (c) Cookie Statistici: Tracciamento Google Analytics e registrazione sessioni Sentry per comprendere il comportamento degli utenti e migliorare i nostri servizi. Attivati solo con il Suo consenso Statistico tramite Cookiebot. (d) Cookie di Marketing: Meta Pixel per la misurazione pubblicitaria. Attivati solo con il Suo consenso Marketing. Implementiamo Google Consent Mode v2, il che significa che tutti i tracciamenti analitici e di marketing sono bloccati per impostazione predefinita fino a quando non fornisce il consenso. Può gestire le Sue preferenze sui cookie in qualsiasi momento cliccando sul link delle impostazioni cookie nel nostro footer. Utilizziamo inoltre il localStorage del browser per scopi funzionali: preferenza linguistica, impostazione del tema e memoria dei filtri di ricerca. Questi non La tracciano attraverso diversi siti web.

10. Newsletter e Comunicazioni di Marketing

Quando si iscrive alla nostra newsletter, conserviamo il Suo indirizzo email, la data di iscrizione, il timestamp del consenso e la preferenza linguistica. Utilizziamo questi dati per inviarLe aggiornamenti sui nostri servizi, notizie del settore e funzionalità della piattaforma. Base giuridica: Il Suo esplicito consenso (Articolo 6(1)(a) GDPR). Può revocare il consenso e annullare l'iscrizione in qualsiasi momento: (1) cliccando sul link di annullamento iscrizione in qualsiasi email della newsletter, (2) contattandoci a [email protected], o (3) gestendo le Sue preferenze nelle impostazioni del Suo account. Dopo l'annullamento dell'iscrizione, manteniamo un registro del Suo indirizzo email nella nostra lista di soppressione per assicurarci di non contattarLa nuovamente, a meno che non si iscriva di nuovo.

11. Analisi e Monitoraggio degli Errori

Utilizziamo i seguenti strumenti di analisi e monitoraggio: (a) Google Analytics 4: Traccia l'utilizzo del sito web incluse visualizzazioni di pagina, percorsi degli utenti ed eventi di conversione. Abbiamo implementato Google Consent Mode v2, il che significa che il tracciamento inizia solo dopo che Lei fornisce il consenso Statistico. Gli indirizzi IP sono anonimizzati. I dati sono conservati per 14 mesi. (b) Sentry: Monitora errori dell'applicazione e problemi di prestazioni. Per il tracciamento degli errori (essenziale per la stabilità del servizio), ci basiamo sul legittimo interesse. Per la registrazione delle sessioni (registrazione delle interazioni degli utenti per comprendere i bug), richiediamo il Suo consenso Statistico. I dati sensibili (password, token, dettagli di pagamento) vengono automaticamente filtrati prima che qualsiasi dato venga inviato a Sentry. (c) Meta Pixel: Traccia eventi di conversione per l'ottimizzazione pubblicitaria. Attivato solo dopo il consenso Marketing. Può revocare il Suo consenso in qualsiasi momento tramite le impostazioni dei cookie.

12. Integrazione con i Social Media

Manteniamo profili su LinkedIn, Facebook, Instagram e X (Twitter). Quando interagisce con noi attraverso queste piattaforme: (a) Link ai Social Media: Cliccando sui link ai nostri profili social media, il Suo indirizzo IP potrebbe essere trasferito alla piattaforma. (b) Funzioni di Condivisione: L'utilizzo dei pulsanti di condivisione sugli articoli del blog crea una connessione con la rispettiva piattaforma. (c) Privacy delle Piattaforme: Ogni piattaforma ha la propria informativa sulla privacy. Le consigliamo di consultare: Facebook (https://www.facebook.com/privacy), LinkedIn (https://www.linkedin.com/legal/privacy-policy), Instagram (https://help.instagram.com/519522125107875), X/Twitter (https://twitter.com/en/privacy).

13. I Suoi Diritti in Materia di Protezione dei Dati

Ai sensi del GDPR, dell'UK GDPR e della LPD svizzera, Lei ha i seguenti diritti riguardo ai Suoi dati personali:

1. Diritto di Accesso (Articolo 15 GDPR): Richiedere una copia dei dati personali che deteniamo su di Lei
2. Diritto di Rettifica (Articolo 16): Richiedere la correzione di dati inesatti o incompleti. Può aggiornare la maggior parte dei dati direttamente nelle impostazioni del Suo account
3. Diritto alla Cancellazione (Articolo 17): Richiedere la cancellazione dei Suoi dati. Può eliminare il Suo account da Impostazioni > Zona Pericolosa, il che attiva un periodo di grazia di 30 giorni seguito dalla cancellazione permanente
4. Diritto alla Limitazione del Trattamento (Articolo 18): Richiedere la limitazione delle modalità di trattamento dei Suoi dati in determinate circostanze
5. Diritto alla Portabilità dei Dati (Articolo 20): Richiedere i Suoi dati in un formato strutturato e leggibile da dispositivo automatico
6. Diritto di Opposizione (Articolo 21): Opporsi al trattamento basato su legittimi interessi o per marketing diretto. Può annullare l'iscrizione alla newsletter in qualsiasi momento

Per esercitare questi diritti, La preghiamo di contattarci a [email protected]. Risponderemo entro 30 giorni. Ha inoltre il diritto di presentare un reclamo presso la Sua autorità locale per la protezione dei dati. Per la Bulgaria: Commissione per la Protezione dei Dati Personali (CPDP) — https://www.cpdp.bg. Per il Regno Unito: Information Commissioner's Office (ICO) — https://ico.org.uk. Per la Svizzera: Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) — https://www.edoeb.admin.ch. [email protected]

14. Misure di Sicurezza dei Dati

Implementiamo le seguenti misure di sicurezza per proteggere i Suoi dati: (a) Crittografia in Transito: Tutti i dati trasmessi tra il Suo dispositivo e i nostri server utilizzano la crittografia TLS/SSL (HTTPS). (b) Sicurezza delle Password: Le password sono sottoposte ad hashing utilizzando bcrypt con 10 round di salting prima della memorizzazione. Non conserviamo mai le password in forma leggibile. (c) Controllo degli Accessi: Permessi basati sui ruoli con quattro livelli preimpostati più configurazioni personalizzate. (d) Autenticazione: Token di accesso JWT a breve durata (30 minuti) con cookie di refresh token HTTP-only, sicuri, SameSite=strict (7 giorni). I refresh token possono essere revocati individualmente. (e) Sicurezza OTP: Le password monouso per la verifica email e il reset della password sono sottoposte ad hashing e scadono dopo 15 minuti con un massimo di 3 tentativi. (f) Sicurezza dei File: I documenti caricati sono conservati in AWS S3 con controlli di accesso privati e URL prefirmati a tempo limitato. I documenti di verifica sono contrassegnati con filigrana. (g) Sicurezza dei Pagamenti: Siamo conformi PCI-DSS tramite Stripe — non conserviamo, elaboriamo o trasmettiamo mai dati di carte di credito sui nostri server. (h) Sicurezza Mobile: Sui dispositivi iOS, le credenziali sensibili sono conservate nel Portachiavi iOS supportato dall'hardware. (i) Rilevamento Abusi: Monitoraggio automatizzato per tentativi di accesso brute-force, modelli di accesso sospetti e limitazione della frequenza su più livelli. (j) Blocco Accesso: Durate di blocco progressive dopo tentativi di accesso falliti.

15. Conservazione dei Dati

Conserviamo i Suoi dati per i seguenti periodi: (a) Dati dell'Account: Conservati per la durata del Suo account. Dopo una richiesta di eliminazione, il Suo account entra in un periodo di grazia di recupero di 30 giorni, dopo il quale i Suoi dati vengono eliminati definitivamente. (b) Registri delle Transazioni: I registri di pagamento sono conservati per 7 anni per scopi fiscali e contabili come previsto dalla legge. (c) Messaggi in Chat: Conservati per la durata del Suo account. I messaggi eliminati sono sottoposti a soft-delete (contrassegnati come eliminati ma conservati per la risoluzione delle controversie durante la vita dell'account). (d) Valutazioni: Conservate per la durata del Suo account. Eliminate quando il Suo account viene rimosso definitivamente. (e) Log del Server: I log tecnici sono conservati per un massimo di 90 giorni per il monitoraggio della sicurezza. (f) Dati di Sessione: I refresh token scadono dopo 7 giorni. Le sessioni vengono eliminate al logout o alla scadenza del token. (g) Iscrizione alla Newsletter: L'indirizzo email è conservato fino all'annullamento dell'iscrizione, poi spostato nella lista di soppressione. (h) Invii Modulo di Contatto: Conservati per un massimo di 2 anni, poi eliminati. (i) Documenti di Verifica: Conservati per la durata del Suo account. (j) Registri del Consenso ai Cookie: 12 mesi (gestiti da Cookiebot). Dopo il periodo di grazia di 30 giorni dall'eliminazione dell'account, la cancellazione permanente si estende a: profilo utente, sessioni, messaggi, valutazioni, ordini di trasporto, offerte flotta, offerte, stanze chat, documenti aziendali, dati di verifica aziendale e veicoli. I registri di pagamento e la cronologia delle transazioni vengono conservati per conformità legale.

16. Trasferimenti Internazionali di Dati

I Suoi dati potrebbero essere trasferiti ed elaborati in paesi al di fuori dello Spazio Economico Europeo (SEE), del Regno Unito o della Svizzera. Garantiamo salvaguardie adeguate attraverso: (a) EU-US Data Privacy Framework: Stripe. (b) Clausole Contrattuali Standard (SCC): Google (Analytics, Maps, Firebase), Meta, OpenAI, IPInfo, Apple (APNs), Cloudflare. (c) Elaborazione in UE (nessun trasferimento necessario): AWS (eu-north-1, Stoccolma), Sentry (de.sentry.io, Germania), DeepL (Germania), Cookiebot (Danimarca). Abbiamo stipulato Accordi sul Trattamento dei Dati (DPA) con tutti i responsabili del trattamento elencati nella Sezione 4.

16.1 Processo Decisionale Automatizzato

Il nostro processo di verifica aziendale utilizza l'analisi documentale assistita da IA (basata su OpenAI) per estrarre e confrontare le informazioni dai documenti di verifica caricati con i Suoi dati di registrazione. Questa analisi automatizzata produce una valutazione di corrispondenza che influenza il Suo stato di verifica. Tuttavia, nessuna decisione completamente automatizzata comporta il rifiuto dell'account senza revisione umana. Il nostro team esamina tutte le richieste di verifica. Lei ha il diritto di richiedere la revisione umana di qualsiasi valutazione automatizzata, esprimere il Suo punto di vista e contestare la decisione contattandoci a [email protected].

16.2 Informative sulla Privacy di Terze Parti

Per informazioni dettagliate su come i nostri fornitori di servizi gestiscono i Suoi dati, La invitiamo a consultare le loro informative sulla privacy:

1. Facebook: https://www.facebook.com/about/privacy
2. Instagram: https://help.instagram.com/519522125107875
3. X (Twitter): https://twitter.com/en/privacy
4. YouTube: https://policies.google.com/privacy
5. LinkedIn: https://www.linkedin.com/legal/privacy-policy

17. Dati dei Minori e Modifiche alla Presente Informativa

La nostra Piattaforma è un servizio B2B per aziende nel settore della logistica merci. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore ai 18 anni. Se veniamo a conoscenza di aver raccolto dati personali di un soggetto minore di 18 anni, li cancelleremo tempestivamente. Potremmo aggiornare la presente Informativa sulla Privacy per riflettere cambiamenti nelle nostre pratiche, requisiti legali o servizi. Per le modifiche sostanziali: (1) Aggiorneremo la data "Ultimo aggiornamento" in cima a questa informativa. (2) Informeremo gli utenti registrati via email per i cambiamenti significativi. (3) Visualizzeremo un avviso prominente sul nostro sito web. L'uso continuato della Piattaforma dopo l'entrata in vigore delle modifiche costituisce accettazione dell'informativa aggiornata.

Per qualsiasi domanda sulla presente Informativa sulla Privacy o sulle nostre pratiche in materia di dati, La preghiamo di contattarci a [email protected] o scrivere a: PIKAP2 EOOD, Stara Planina 1, 7900 Omurtag, Bulgaria.