Privacy Policy

Ultimo aggiornamento 20 marzo 2024

1. Introduzione

DriveDrop S.r.l. (di seguito anche "DriveDrop", la "Società" o la "Piattaforma") è una piattaforma digitale multilaterale che opera nel settore della mobilità, della gestione di spazi e della promozione di servizi correlati.

In particolare, la Piattaforma consente e agevola il contatto tra:

  • imprese ("Dropper"), che mettono a disposizione spazi e servizi
  • utenti ("Driver"), alla ricerca di parcheggio o servizi correlati

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti ai sensi del Regolamento (UE) 2016/679 ("GDPR").

2. Titolare del Trattamento

Il Titolare del trattamento è:

DriveDrop S.r.l. Sede legale: Via Palermo 1, 20121 Milano (MI) P.IVA/C.F.: 13375050963 Email: privacy@drivedrop.it PEC: drivedrop@legalmail.it

3. Modello di Business e Qualificazione Giuridica

DriveDrop opera come:

  • marketplace digitale tra Driver e Dropper
  • intermediario tecnologico nei pagamenti (PSD2 compliant)
  • provider IoT per accesso automatizzato
  • fornitore SaaS per clienti B2B (es. SGR, asset manager, aziende)

4. Ruoli GDPR

4.1 DriveDrop come Titolare autonomo

Per:

  • gestione account
  • gestione piattaforma
  • sicurezza e antifrode
  • analytics e sviluppo prodotto

4.2 DriveDrop come Responsabile del trattamento

Per clienti B2B quando tratta dati per conto loro (art. 28 GDPR).

4.3 Contitolarità

Con i Dropper per:

  • gestione prenotazioni
  • gestione transazioni

(Accordi ex art. 26 GDPR ove applicabile)

5. Categorie di Dati Trattati

5.1 Dati necessari

Driver:

  • Nome e cognome
  • Email
  • Username
  • Numero di telefono
  • Codice fiscale
  • Coordinate bancarie / dati pagamento
  • Documento di identità
  • Dati di log e accesso

Dropper:

  • Ragione sociale
  • Partita IVA
  • Sede legale
  • Indirizzo autorimessa
  • Dati legale rappresentante
  • Coordinate bancarie
  • Documento di identità
  • Dati di log

5.2 Dati ulteriori (facoltativi)

  • Genere
  • Città
  • Social network
  • Informazioni pubbliche

5.3 Dati tecnici e avanzati

  • IP, device, log di accesso
  • Dati IoT (accessi fisici, timestamp)
  • Dati comportamentali (uso piattaforma, preferenze)

6. Finalità del Trattamento

I dati sono trattati per:

6.1 Esecuzione del servizio

  • registrazione e accesso
  • prenotazione parcheggi
  • gestione rapporti Driver/Dropper

6.2 Pagamenti

  • gestione transazioni
  • riconciliazione contabile

6.3 Supporto e assistenza

  • gestione richieste utenti

6.4 Sicurezza

  • prevenzione frodi
  • controllo accessi
  • gestione rischi

6.5 Compliance normativa

  • obblighi fiscali
  • antiriciclaggio
  • obblighi legali

6.6 Miglioramento del servizio

  • analytics
  • sviluppo prodotto

6.7 Marketing (solo previo consenso)

  • comunicazioni promozionali

7. Basi Giuridiche del Trattamento

Ai sensi dell'art. 6 GDPR:

  • Esecuzione del contratto
  • Obbligo legale
  • Interesse legittimo (sicurezza, sviluppo, antifrode)
  • Consenso (marketing e dati facoltativi)

8. Pagamenti e PSD2

I pagamenti sono gestiti tramite PSP certificati.

DriveDrop:

  • non conserva dati completi delle carte
  • agisce come intermediario tecnologico

I PSP operano come titolari autonomi.

9. Condivisione dei Dati

I dati possono essere condivisi con:

  • Dropper (per erogazione del servizio)
  • fornitori cloud
  • PSP
  • provider IoT
  • CRM / email provider
  • consulenti

Tutti nominati, ove necessario, responsabili ex art. 28 GDPR.

10. Trasferimenti Extra UE

Eventuali trasferimenti avvengono nel rispetto del GDPR mediante:

  • Standard Contractual Clauses (SCC)
  • decisioni di adeguatezza
  • misure supplementari

11. Conservazione dei Dati

I dati sono conservati per il tempo necessario alle finalità:

  • dati contrattuali: fino a 10 anni
  • dati sicurezza/log: fino a 24 mesi o più se necessario
  • marketing: max 24 mesi

12. Sicurezza (art. 32 GDPR)

DriveDrop adotta misure tecniche e organizzative adeguate:

  • cifratura dati
  • autenticazione a due fattori (2FA)
  • segregazione delle reti
  • audit periodici
  • bug bounty program

13. Profilazione

È possibile una profilazione limitata per:

  • suggerimenti personalizzati
  • ottimizzazione UX

Base giuridica: interesse legittimo (con bilanciamento).

14. Diritti dell'Interessato

Ai sensi degli artt. 15–22 GDPR:

  • accesso
  • rettifica
  • cancellazione
  • limitazione
  • opposizione
  • portabilità

È possibile esercitare i diritti scrivendo a: privacy@drivedrop.it

È inoltre possibile presentare reclamo al Garante Privacy.

15. Data Governance (livello investitori)

DriveDrop adotta:

  • privacy by design
  • privacy by default
  • data minimization
  • audit periodici

16. Data Breach

Eventuali violazioni dei dati sono gestite ai sensi degli artt. 33–34 GDPR.

17. Modifiche alla Presente Informativa

DriveDrop si riserva il diritto di aggiornare la presente Privacy Policy.