Il Titolare del trattamento dei dati personali è:
| Ragione sociale | ITEODEV LTD |
| Brand operativo | Concyra |
| Sede legale | 128 City Road, London, EC1V 2NX, United Kingdom |
| Company Number | 14309454 (Companies House, England & Wales) |
| D-U-N-S® Number | 229461627 |
| Email privacy | privacy@concyra.com |
| Email supporto | support@concyra.com |
| Rappresentante UE (art. 27 GDPR) | Matteo Locatelli — privacy@concyra.com |
ITEODEV LTD sviluppa e gestisce la piattaforma digitale Concyra, di seguito anche "la Piattaforma", "noi" o "il Titolare". Per qualsiasi questione relativa alla privacy e all'esercizio dei tuoi diritti, scrivi a: privacy@concyra.com
CONCYRA è una piattaforma digitale peer-to-peer che connette clienti e Host Cyra (driver) per due tipologie di servizio:
La piattaforma gestisce l'intera transazione: dalla pubblicazione della richiesta, alla ricezione di offerte dagli Host Cyra, alla selezione dell'offerta, alla chat tra le parti, fino al pagamento e alla valutazione del servizio. Un assistente AI (basato su Claude di Anthropic) supporta gli utenti nella compilazione delle richieste tramite chat conversazionale.
| Dato | Descrizione |
|---|---|
| Nome e cognome | Identificazione dell'utente sulla piattaforma |
| Indirizzo email | Login, comunicazioni di servizio, notifiche |
| Password | Conservata in formato hashato (bcrypt) — mai leggibile in chiaro |
| Numero di telefono | Verifica identità, notifiche SMS, contatto tra le parti |
| Foto profilo | Visualizzata agli altri utenti durante le transazioni |
| Bio personale | Descrizione opzionale del profilo pubblico |
| Dati di fatturazione | Tipo cliente (privato/azienda), email fatturazione, ragione sociale, P.IVA, codice fiscale, PEC, REA, indirizzo, città, CAP, paese — necessari per l'emissione di fatture elettroniche |
| Indirizzi salvati | Indirizzo completo, coordinate GPS, piano, ascensore, parcheggio, tipo di accesso, codice citofono, note — memorizzati per riutilizzo nelle richieste |
| Dato | Descrizione |
|---|---|
| Tipo di veicolo | Auto, furgone, camion — per abbinamento con le richieste compatibili |
| Targa veicolo | Identificazione del mezzo utilizzato per il servizio |
| Immatricolazione veicolo | Documento di registrazione del veicolo |
| Capacità veicolo (kg) | Per filtrare le richieste compatibili con il mezzo |
| Zone di operatività | Aree geografiche in cui l'Host Cyra accetta richieste |
| Documenti di identità | Patente di guida, documento d'identità — caricati per la verifica obbligatoria prima di poter operare |
| IBAN / dati bancari | Per il trasferimento dei compensi tramite Stripe Connect |
| Metodi di pagamento Stripe | Token ID dei metodi di pagamento salvati su Stripe — CONCYRA non conserva i dati della carta in chiaro |
| Dato | Fonte |
|---|---|
| Richieste di trasporto | Indirizzi di ritiro e consegna, data/ora programmata, peso, dimensioni, descrizione, requisiti speciali, foto degli oggetti, budget del cliente |
| Offerte | Prezzo offerto, tempo stimato di arrivo, note del driver, percentuali di commissione, guadagno netto |
| Messaggi in chat | Contenuto testuale, immagini inviate, messaggi generati dall'AI, stato di lettura |
| Pagamenti | Importo totale, commissione piattaforma, guadagno netto driver, ID transazione Stripe (payment intent, setup intent, transfer ID), stato pagamento, data, eventuale rimborso |
| Valutazioni e rating | Punteggio medio ricevuto, numero di servizi completati |
| Log e metadati | Player ID OneSignal per notifiche push, preferenze notifiche, orari di silenzio, modalità di servizio selezionate |
| Stato account | Stato di verifica documenti, stato di sospensione con motivazione, data eliminazione (soft-delete) |
| Concyra Credits | Saldo crediti attuale (credits_balance), crediti totali guadagnati nel tempo (credits_total_earned), registro movimenti (crediti guadagnati, spesi, penali no-show, rettifiche admin): causale, punti, saldo dopo operazione, riferimento all'ordine o all'azione che ha generato il movimento |
Le attività commerciali che aderiscono al Programma Partner Concyra (ristoranti, bar, locali, ecc.) forniscono ulteriori dati nell'ambito della propria iscrizione e utilizzo della piattaforma:
| Dato | Descrizione |
|---|---|
| Dati aziendali | Ragione sociale, Partita IVA, indirizzo attività, città, telefono, logo |
| Categoria attività | Tipo di esercizio commerciale (ristorante, bar, discoteca, ecc.) |
| Dati bancari Partner | IBAN, BIC e intestatario del conto per l'accredito dei pagamenti (payout settimanale) |
| Dati di acquisto piani a pagamento | Piano acquistato (acquisto una tantum, senza rinnovo automatico), data di attivazione, data di scadenza, storico acquisti |
| Rubrica Clienti | Numeri di telefono e nomi dei Clienti che hanno effettuato ordini presso il Partner, conservati nella rubrica digitale del Partner per facilitare la gestione degli ordini ricorrenti. Il Cliente è informato di questa condivisione al momento dell'ordine. |
| Dati campagne Concyra Ads | Budget, crediti, messaggi promozionali, zone e fasce orarie target, impressioni generate (push, card, click), stato campagna |
| Dati ordini Partner | Descrizione ordine, importo, tipo (ritiro/tavolo), stato, dati di pre-autorizzazione Stripe, segnalazioni no-show |
Gli utenti approvati da Concyra come Cyra Promoter forniscono e generano ulteriori dati nell'ambito dell'attività di promozione:
| Dato | Descrizione |
|---|---|
| Codice referral personale | Codice univoco assegnato al Promoter (es. /r/ABC123), utilizzato per tracciare le segnalazioni di nuovi Partner e Driver |
| Cookie di tracciamento referral | Cookie di prima parte cyra_ref impostato nel browser del visitatore che accede tramite link referral — durata 30 giorni, contiene esclusivamente il codice del Promoter |
| Lead generati | Identificativo Partner o Driver acquisito tramite il codice referral del Promoter; stato del lead (in attesa, convertito, rifiutato) |
| Commissioni maturate | Importo commissione, percentuale applicata, riferimento all'ordine/servizio che ha generato la commissione, stato (maturata, in pagamento, pagata) |
| Dati KYC / bancari | Documento di identità e IBAN forniti dal Promoter per la ricezione dei pagamenti delle commissioni |
| Storico payout Promoter | Importi corrisposti, date di pagamento, metodo di pagamento utilizzato |
CyraBeacon è il sistema di beacon digitali che i Partner possono attivare nel proprio locale fisico. Quando un utente "riscatta" un beacon attraverso l'app Concyra, vengono registrati i seguenti dati:
| Dato | Descrizione |
|---|---|
| ID beacon riscattato | Riferimento al beacon specifico del Partner |
| ID utente che ha riscattato | Associazione tra riscatto e account Concyra |
| Data e ora del riscatto | Timestamp del momento del riscatto |
| Premio assegnato | Tipologia di premio configurato dal Partner (sconto, crediti, prodotto omaggio) |
| Crediti assegnati | Concyra Credits eventualmente accreditati come ricompensa del riscatto |
I dati di riscatto beacon sono trattati sulla base dell'esecuzione del contratto (Art. 6(1)(b) GDPR) e conservati per 24 mesi dall'ultimo riscatto o fino alla cancellazione dell'account.
CyraInvite è lo strumento di marketing diretto integrato nella dashboard dei Partner, che consente di inviare email promozionali o messaggi WhatsApp ai contatti della propria rubrica Concyra.
| Dato | Descrizione |
|---|---|
| Log invii email | Storico delle email inviate tramite CyraInvite: destinatario (email cifrata), oggetto, data invio, stato consegna. I log sono conservati in forma cifrata (AES-256) e accessibili solo all'admin del Partner. |
| Log messaggi WhatsApp | Storico dei testi generati e del link short URL (formato /i/{code}) creato per il tracciamento dei click. L'invio effettivo avviene tramite l'app WhatsApp dell'utente — CONCYRA non trasmette dati a Meta. |
| Click tracking short URL | Il link /i/{code} registra esclusivamente il click (data, ora, eventuali parametri UTM). Non vengono raccolti dati identificativi del destinatario del messaggio. |
| Quota email utilizzata | Contatore del numero di email inviate nel periodo corrente rispetto alla quota del piano. |
I dati di CyraInvite sono trattati per l'esecuzione del contratto con il Partner (Art. 6(1)(b) GDPR). I log cifrati degli invii sono conservati per 12 mesi dalla data di invio.
Nota per i destinatari delle email CyraInvite: se hai ricevuto un'email inviata tramite CyraInvite e non vuoi riceverne altre, puoi contattare direttamente il Partner mittente oppure scrivere a privacy@concyra.com.
CyraConnect è il marketplace a domanda invertita di Concyra: solo gli utenti privati pubblicano annunci di ricerca servizi ("cerco idraulico", "cerco dog sitter"), e sono i Partner, Driver e altri utenti a rispondere gratuitamente.
| Dato | Descrizione |
|---|---|
| Testo dell'annuncio | Descrizione del servizio ricercato, inserita dall'utente pubblicante |
| Categoria dell'annuncio | Categoria scelta dall'utente (es. idraulico, elettricista, dog sitter) |
| Città di riferimento | Zona geografica dell'annuncio per il matching locale |
| Flag urgenza | Se l'utente ha indicato la richiesta come urgente |
| Data pubblicazione e scadenza | Timestamp di creazione e scadenza automatica dell'annuncio |
| Numero di risposte ricevute | Contatore delle risposte, senza identificare chi ha risposto nella vista pubblica |
| Log moderazione AI | Risultato della scansione AI (Anthropic Claude) per la rilevazione di spam, dati di contatto mascherati, contenuti offensivi. Il log contiene: categoria di violazione rilevata, azione intrapresa (approvato / segnalato / bloccato), senza conservare il testo originale analizzato. |
| Stato di ban | Se l'utente ha superato le soglie di violazione (3 tentativi → sospensione 7gg; 5 → ban permanente), viene registrata la data e la motivazione del ban. |
I dati degli annunci CyraConnect sono trattati sulla base del contratto (Art. 6(1)(b)) e del legittimo interesse per la moderazione (Art. 6(1)(f)). Gli annunci scaduti vengono eliminati automaticamente dopo 90 giorni dalla scadenza. I log di moderazione sono conservati per 6 mesi.
| Finalità | Dati trattati | Base giuridica GDPR |
|---|---|---|
| Registrazione e gestione account | Nome, email, password, telefono, tipo utente | Art. 6(1)(b) — esecuzione del contratto |
| Erogazione del servizio di trasporto e autista | Indirizzi, date, descrizione oggetti, offerte, chat | Art. 6(1)(b) — esecuzione del contratto |
| Abbinamento Host Cyra con richieste compatibili | Zone, tipo veicolo, capacità, modalità servizio | Art. 6(1)(b) — esecuzione del contratto |
| Elaborazione pagamenti e trasferimento compensi | Stripe customer ID, payment intent, IBAN driver | Art. 6(1)(b) — esecuzione del contratto |
| Verifica obbligatoria identità Host Cyra | Documenti d'identità, patente, dati veicolo | Art. 6(1)(b) / Art. 6(1)(c) — obbligo legale |
| Fatturazione elettronica | Dati fiscali, P.IVA, PEC, REA, codice fiscale | Art. 6(1)(c) — obbligo legale (D.Lgs. 127/2015) |
| Assistente AI in chat | Contenuto messaggi chat (inviato ad Anthropic lato server) | Art. 6(1)(b) — esecuzione del contratto |
| Notifiche push (OneSignal) | Player ID dispositivo | Art. 6(1)(a) — consenso (richiesto dal browser) |
| Notifiche SMS (Twilio) | Numero di telefono | Art. 6(1)(b) — esecuzione del contratto |
| Autenticazione biometrica (WebAuthn / Face ID) | Credenziale crittografica dispositivo | Art. 6(1)(a) — consenso (registrazione volontaria) |
| Accesso con Google (OAuth) | Nome, email, foto, Google ID | Art. 6(1)(a) — consenso |
| Sicurezza piattaforma e prevenzione frodi | IP, log sessioni, dati comportamentali | Art. 6(1)(f), legittimo interesse |
| Moderazione contenuti (AI content scanner) | Testo e immagini delle richieste | Art. 6(1)(f), legittimo interesse |
| Adempimenti fiscali e contabili | Transazioni, importi, dati fatturazione | Art. 6(1)(c) — obbligo legale |
| Miglioramento del servizio e statistiche interne | Dati aggregati e anonimizzati di utilizzo | Art. 6(1)(f), legittimo interesse |
| Iscrizione e gestione Partner (Programma Partner) | Dati aziendali Partner: ragione sociale, P.IVA, indirizzo, IBAN, categoria | Art. 6(1)(b) — esecuzione del contratto |
| Gestione ordini Partner e payout | Dati ordine, importi, Stripe payment intent, IBAN Partner | Art. 6(1)(b) — esecuzione del contratto |
| Condivisione dati Cliente con il Partner (rubrica) | Nome e numero di telefono del Cliente condivisi con il Partner presso cui ha effettuato un ordine | Art. 6(1)(b) — esecuzione del contratto tra Cliente e Partner |
| Campagne promozionali Concyra Ads | Dati campagna Partner, impressioni utenti (aggregate), zona geografica utente | Art. 6(1)(b) — esecuzione del contratto con il Partner / Art. 6(1)(f) legittimo interesse |
| Gestione no-show Partner | Dati ordine, importo pre-autorizzato, segnalazione no-show, addebito Stripe | Art. 6(1)(b) — esecuzione del contratto |
| CyraVoice Discovery — ricerca locale tramite input vocale/testuale AI | Posizione GPS anonimizzata (usata solo in tempo reale per ordinare i risultati, non conservata); testo della query (inviato ad Anthropic privo di identificativi diretti); log aggregati e anonimi (solo categoria classificata + numero risultati, senza lat/lng né user_id, conservati max 30 giorni) | Art. 6(1)(b) — esecuzione del contratto; Art. 6(1)(f) — legittimo interesse per i log aggregati |
CyraBeacon — gestione riscatti e premiID beacon, ID utente, data riscatto, crediti assegnatiArt. 6(1)(b) — esecuzione del contratto CyraInvite — invio email marketing per conto del PartnerLog invii cifrati, quota utilizzata, click su short URLArt. 6(1)(b) — esecuzione del contratto con il Partner CyraConnect — pubblicazione annunci e matchingTesto annuncio, categoria, città, stato moderazioneArt. 6(1)(b) — esecuzione del contratto CyraConnect — moderazione AI contenutiLog moderazione (senza testo originale), stato banArt. 6(1)(f), legittimo interesse (sicurezza piattaforma) GDPR — purge automatico dati scadutiHard-delete account soft-deleted, anonimizzazione messaggi e richieste GDPR archiviateArt. 6(1)(c) — obbligo legale (Art. 5(1)(e) GDPR)
Programma Concyra Credits — maturazione, spesa e gestione crediti fedeltàImporto ordine completato, crediti assegnati/detratti, saldo aggiornato, storico movimentiArt. 6(1)(b) — esecuzione del contrattoProgramma Concyra Credits — penale no-showSegnalazione no-show Partner, detrazione automatica crediti dal saldo ClienteArt. 6(1)(b) — esecuzione del contrattoProgramma Cyra Promoter — tracciamento referral e calcolo commissioniCodice referral, cookie cyra_ref, lead generati, ordini/servizi attribuiti, commissioni maturateArt. 6(1)(b) — esecuzione del contratto con il PromoterProgramma Cyra Promoter — verifica identità e pagamento commissioniDocumento KYC, IBAN, storico payout PromoterArt. 6(1)(b) — esecuzione del contratto / Art. 6(1)(c) — obbligo legale (antiriciclaggio)
I dati personali sono condivisi con i seguenti soggetti, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile:
| Fornitore | Ruolo | Dati condivisi | Sede |
|---|---|---|---|
| Stripe Inc. | Processore pagamenti (PCI-DSS Level 1) | Dati di pagamento tokenizzati, IBAN driver, importi transazioni | USA (SCC) |
| Google LLC | Autenticazione OAuth + Maps API | Profilo Google (nome, email, avatar), coordinate indirizzi | USA (SCC) |
| Anthropic PBC | Elaborazione AI (chat assistant, CyraVoice Discovery, analisi KYC) | Testo dei messaggi della conversazione (senza dati identificativi diretti); query di ricerca CyraVoice (prive di identificativi diretti); analisi nitidezza/leggibilità documenti KYC (non memorizzata) | USA (SCC) |
| OneSignal Inc. | Notifiche push web/mobile | Player ID dispositivo, contenuto notifiche | USA (SCC) |
| Twilio Inc. | Invio SMS di verifica e notifiche | Numero di telefono, testo SMS | USA (SCC) |
| Provider hosting | Infrastruttura server e database | Tutti i dati della piattaforma (accesso fisico al server) | UE |
| Partner Concyra | Attività commerciali iscritte al Programma Partner | Nome e numero di telefono del Cliente, esclusivamente per gli ordini effettuati dal Cliente presso quel Partner. I Partner trattano questi dati come responsabili autonomi ai sensi del GDPR. | Italia / UE |
| Utenti tra di loro | Comunicazione diretta | Nome, foto profilo, messaggi in chat, indirizzo di ritiro/consegna al momento dell'accordo | — |
| Autorità competenti | Obbligo di legge | Dati richiesti da forze dell'ordine o autorità giudiziaria | — |
I fornitori indicati al punto 5 con sede negli Stati Uniti o in altri Paesi extra-SEE trattano i dati nel rispetto delle garanzie previste dagli artt. 44–49 GDPR, in particolare mediante Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914). Per i trasferimenti verso gli USA, alcuni fornitori aderiscono inoltre al EU-US Data Privacy Framework.
| Categoria di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati account attivo | Per tutta la durata del rapporto | Esecuzione contratto |
| Dati account eliminato (soft-delete) | 30 giorni, poi eliminazione definitiva | Prevenzione accessi fraudolenti |
| Dati fiscali e transazionali | 10 anni dalla data della transazione | Obbligo legale (art. 2220 c.c., D.Lgs. 127/2015) |
| Documenti di identità Host Cyra | Durata contratto + 5 anni | Obblighi di verifica e contenzioso |
| Messaggi in chat | 24 mesi dall'ultima attività | Legittimo interesse (prova transazione) |
| Log di sistema e sicurezza | 12 mesi | Sicurezza e prevenzione frodi |
| Credenziali biometriche WebAuthn | Fino alla revoca o eliminazione account | Consenso (revocabile in qualsiasi momento) |
| Player ID OneSignal | Fino alla revoca del consenso push | Consenso |
| Dati di fatturazione | 10 anni | Obbligo legale |
| Dati aziendali Partner (account attivo) | Per tutta la durata dell'iscrizione al Programma Partner | Esecuzione contratto |
| Dati aziendali Partner (account chiuso) | 30 giorni per i dati di accesso, poi eliminazione; dati fiscali conservati 10 anni | Obbligo legale |
| Rubrica clienti Partner | Fino alla cancellazione da parte del Partner o alla cancellazione dell'account Partner | Legittimo interesse Partner (gestione rapporto commerciale) |
| Dati campagne Concyra Ads | 24 mesi dal termine della campagna | Legittimo interesse (rendicontazione e contestazioni) |
Registro movimenti Concyra CreditsFino all'eliminazione dell'account, poi 24 mesiLegittimo interesse (tracciabilità fedeltà e contestazioni)Lead e commissioni Cyra PromoterDurata contratto Promoter + 5 anniObbligo legale (obblighi fiscali e contabili)Dati KYC PromoterDurata contratto + 5 anniObbligo legale (verifica identità e antiriciclaggio)
Ai sensi degli artt. 15–22 GDPR hai il diritto di:
Puoi esercitare i tuoi diritti in due modi:
In caso di risposta insufficiente puoi presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it) o rivolgerti all'autorità di controllo del tuo paese di residenza nell'UE.
ITEODEV LTD adotta misure tecniche e organizzative adeguate al rischio, tra cui:
I messaggi inviati nella chat tra cliente e Host Cyra (sia per il flusso Trasporto Oggetti sia per il Servizio Autista) sono cifrati a riposo sui nostri server con algoritmo AES-256-CBC autenticato con HMAC SHA-256. Ogni messaggio ha un IV (vettore di inizializzazione) random e indipendente. La chiave master è custodita esclusivamente sul nostro server applicativo (mai esposta lato client) ed è separata dal database. Anche i backup contengono soltanto i blob cifrati: in caso di accesso non autorizzato al database o ai backup, i contenuti dei messaggi non sono leggibili in chiaro.
Si tratta di cifratura at-rest: il server di Concyra può comunque accedere al testo in chiaro quando necessario per il funzionamento legittimo del servizio (assistente AI Cyra, moderazione, sicurezza, dispute, obblighi legali, supporto utente). NON si tratta di cifratura end-to-end: non promettiamo che i contenuti siano invisibili a Concyra. Per maggiori dettagli sulla nostra policy di moderazione e sui casi in cui possiamo accedere ai messaggi, vedi la sezione "Sicurezza dei Dati" e i nostri Termini e Condizioni.
La piattaforma Concyra (gestita da ITEODEV LTD) è destinata esclusivamente a persone maggiori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se hai motivo di credere che un minore abbia fornito dati personali, ti preghiamo di contattarci immediatamente a privacy@concyra.com per procedere alla cancellazione.
CONCYRA non effettua profilazione degli utenti a fini di marketing né adotta decisioni automatizzate che producano effetti giuridici significativi ai sensi dell'art. 22 GDPR. L'assistente AI viene utilizzato esclusivamente per supportare la compilazione delle richieste di servizio e non per prendere decisioni che incidano sui diritti degli utenti.
Il sistema di abbinamento automatico tra richieste e Host Cyra (basato su zona, tipo di veicolo e modalità di servizio) è una funzionalità operativa del servizio, non una forma di profilazione.
Per informazioni dettagliate sui cookie e le tecnologie di tracciamento utilizzati dalla piattaforma, consulta la nostra Cookie Policy.
La presente Privacy Policy può essere aggiornata per riflettere modifiche normative, tecniche o operative della piattaforma. Le modifiche sostanziali saranno comunicate via email o tramite notifica in-app con almeno 15 giorni di anticipo rispetto alla data di efficacia. La versione aggiornata sarà sempre disponibile su questa pagina con l'indicazione della data di ultimo aggiornamento.
6 aprile 2026 — Versione 5.3 — ITEODEV LTD / Concyra
Per gli Eventi pubblici creati dai Partner Prime, CONCYRA invia notifiche push automatiche agli utenti che hanno cliccato "Ci sarò":
Base giuridica: esecuzione del contratto (art. 6(1)(b) GDPR) per gli eventi a cui l'utente si è iscritto. L'utente può disattivare le notifiche push in qualsiasi momento dalle impostazioni del proprio dispositivo o del browser.
Il Feed Orbitale di CONCYRA (sezione CyraOrbit, /app/offerte) utilizza un algoritmo basato su intelligenza artificiale per personalizzare l'ordine e i contenuti delle promozioni mostrate. Il sistema analizza:
Il risultato è un feed a 7 slot rotanti che bilancia rilevanza, scoperta di nuovi partner e qualità delle offerte (rapporto bookmark/impression).
Diritti specifici (Art. 22 GDPR): questa profilazione non produce effetti giuridici sull'utente né incide significativamente sulla sua persona (non determina prezzi, accesso a servizi o decisioni vincolanti). L'utente ha comunque diritto a:
I Partner che attivano CyraMap effettuano un acquisto una tantum a durata determinata (mensile o annuale), con eventuale periodo di prova gratuito. Non è previsto alcun rinnovo automatico: alla scadenza il servizio cessa senza ulteriori addebiti. I dati di acquisto sono trattati da Stripe (vedi Sezione 6) e includono: data attivazione, data di scadenza, stato del trial. Tariffe e durate aggiornate sono visibili in dashboard partner al momento dell'acquisto.
I Partner possono pubblicare Cyra Stories (foto e video) sul proprio marker in CyraMap. I contenuti hanno una durata massima di 24 ore dalla pubblicazione e vengono automaticamente rimossi dal feed pubblico al termine. CONCYRA conserva i file caricati per 30 giorni dalla pubblicazione per finalità di sicurezza, audit e gestione segnalazioni, dopodiché vengono eliminati.
I Partner sono responsabili per i contenuti pubblicati e si impegnano a non caricare materiale illecito, lesivo di diritti di terzi o di privacy altrui. CONCYRA si riserva il diritto di rimuovere senza preavviso contenuti che violino le condizioni d'uso (vedi Termini, sezione UGC).
I Partner possono attivare segnali "Disponibile Ora" che generano una notifica push verso gli utenti che li hanno seguiti (tap "Cuore"), solo se questi si trovano in un raggio definito dal partner (geo-fence). La posizione dell'utente viene utilizzata in modo effimero per il match e non viene salvata sui server CONCYRA. La feature è disattivabile in qualsiasi momento dalle impostazioni dell'app.
La chat Connect & Walk permette all'utente di chattare con un Partner mentre cammina verso il suo locale. I messaggi sono trattati come la chat ordinaria (vedi Sezione 3 — Dati di comunicazione) e conservati per la durata della conversazione + 12 mesi.
Le pagine pubbliche di tipo "/trasporto-{città}" vengono generate dall'IA (Anthropic Claude) con contenuti di marketing localizzati. Tali contenuti sono pubblicati sotto la responsabilità editoriale di CONCYRA e non utilizzano dati personali degli utenti. Sono identificabili come contenuto editoriale; in caso di refusi o imprecisioni si prega di scrivere a info@concyra.com.
Per le richieste di trasporto e per gli ordini Partner, CONCYRA può attivare la pre-autorizzazione dei fondi su Stripe (capture_method: manual): il pagamento viene bloccato sul metodo di pagamento dell'utente ma non addebitato finché il servizio non viene confermato come completato. In caso di annullamento, mancata conferma o scadenza, i fondi vengono rilasciati automaticamente da Stripe entro i tempi tecnici della rete bancaria (di norma 1–7 giorni lavorativi). CONCYRA non vede né conserva il numero della carta — vedi Sezione 6 (Stripe).
Per gli Host Cyra (driver), il guadagno netto di ogni servizio completato viene accumulato nel Portafoglio e disposto sul codice IBAN registrato in dashboard tramite payout settimanale automatico. Ai fini fiscali, l'Host Cyra è autonomo responsabile per la dichiarazione e versamento delle imposte secondo il proprio regime fiscale (vedi Termini di Servizio). CONCYRA conserva traccia dei pagamenti effettuati per 10 anni come previsto dalla normativa contabile (Art. 2220 c.c.).
CyraVoice consente all'utente di interagire con la chat di trasporto e con le vetrine Partner tramite la voce, senza tap manuale. Il trattamento è strutturato in due fasi distinte:
Permesso microfono: l'utilizzo richiede consenso esplicito al microfono al primo avvio (popup nativo del sistema operativo o browser). L'utente può revocare l'autorizzazione in qualsiasi momento dalle impostazioni del dispositivo. Il permesso può essere richiesto nuovamente al successivo utilizzo della feature.
Limiti di sicurezza: per ragioni di sicurezza, CyraVoice non può finalizzare pagamenti: ogni transazione richiede il tap manuale dell'utente sul pulsante di conferma e l'autenticazione del wallet/carta secondo le procedure standard.
Base giuridica: art. 6(1)(b) GDPR (esecuzione del contratto) per la chat di servizio; art. 6(1)(a) GDPR (consenso) per l'attivazione del microfono.
CyraInvite consente ai Partner di inviare comunicazioni promozionali ai contatti della propria rubrica importata, tramite email o WhatsApp, con contenuti generati o assistiti dall'IA. CONCYRA agisce come fornitore tecnico (data processor) per conto del Partner, che resta titolare del trattamento dei propri contatti.
Responsabilità: il Partner è responsabile per il consenso al marketing dei propri contatti e si assume la piena responsabilità ai sensi del GDPR per gli invii effettuati. Vedi i Termini di Servizio per dettagli operativi e divieti.
CyraConnect è un marketplace inverso in cui gli utenti pubblicano annunci/richieste ("cerco idraulico a Milano per giovedì") che vengono mostrati a Partner, Host Cyra e altri utenti, i quali possono rispondere gratuitamente. Trattamenti specifici:
I Partner che attivano CyraBeacon (cartelloni digitali geolocalizzati) effettuano un acquisto una tantum a durata determinata. Non è previsto alcun rinnovo automatico: alla scadenza il servizio cessa senza ulteriori addebiti e il Partner può scegliere di riacquistarne un nuovo periodo. I dati di acquisto (importi, scadenze) sono trattati da Stripe (vedi Sezione 6). Il rilevamento di prossimità lato utente è descritto nella Cookie Policy sezione 10.
La pagina pubblica /diventa-founding-promoter raccoglie un documento d'identità (fronte) e un selfie con documento ai fini della verifica identità del candidato Founding Tester (base giuridica: misure precontrattuali su richiesta dell'interessato, art. 6(1)(b) GDPR).
CyraVoice Discovery consente all'utente di effettuare ricerche di attività e servizi locali tramite un campo di testo o input vocale in linguaggio naturale (es. “trovami un barbiere aperto domenica”). La query viene classificata semanticamente dall'IA e restituisce un elenco ordinato di risultati pertinenti sulla mappa.
Base giuridica: art. 6(1)(b) GDPR (esecuzione del contratto) per la classificazione della query e la restituzione dei risultati; art. 6(1)(f) GDPR (legittimo interesse) per i log aggregati anonimi di diagnostica.
Ai sensi del Regolamento UE 2024/1689 ("AI Act") e dell'art. 13 GDPR, CONCYRA dichiara in modo trasparente l'uso di sistemi di intelligenza artificiale generativa nelle seguenti aree:
Il fornitore IA principale di CONCYRA è Anthropic, PBC (sede principale: San Francisco, CA, USA). Il modello utilizzato è Claude (versioni 3.5 Sonnet e successive). Anthropic agisce come sub-responsabile del trattamento ai sensi dell'art. 28 GDPR (vedi Sezione 6). I trasferimenti internazionali sono protetti da clausole contrattuali standard (SCCs) approvate dalla Commissione UE.
Nessuna delle elaborazioni IA descritte produce decisioni automatizzate vincolanti sull'utente (non determina prezzi, non approva/rifiuta candidature in modo automatico, non incide su credito/sicurezza/accesso a servizi). Tutte le decisioni materiali (approvazione promoter, sospensione utenti, moderazione contenuti contestati) sono prese o confermate da personale umano CONCYRA. I suggerimenti dell'IA hanno valore esclusivamente informativo.
I prompt inviati ad Anthropic e le risposte ricevute non vengono utilizzati da Anthropic per addestrare i propri modelli (politica "no training on customer data" applicabile alle API enterprise). CONCYRA non addestra modelli proprietari sui dati degli utenti.
A partire dalla versione 5.4 della piattaforma, ai Clienti che pubblicano una richiesta di trasporto viene chiesto di dichiarare il valore stimato in euro e la categoria della merce trasportata. Questa sezione integra la sez. 3 (Dati Personali Raccolti) e la sez. 4 (Finalità e Basi Giuridiche).
Il Cliente può facoltativamente richiedere a Concyra di suggerire un valore stimato della merce attraverso il pulsante "Stima con IA" presente nella relativa schermata. La stima è generata da modelli di linguaggio di Anthropic, PBC (USA) sulla base della descrizione testuale e/o delle immagini caricate dal Cliente. Tale stima è puramente indicativa e il Cliente resta sempre l'unico responsabile della dichiarazione finale del valore. Il trattamento è regolato anche dalla sez. 15 (Trasparenza sull'uso dell'IA).
Il Cliente può modificare in qualsiasi momento il valore o la categoria dichiarati finché la richiesta è in stato di bozza o non ancora accettata da un Driver. Una volta che la richiesta è stata accettata e il trasporto è in corso, la dichiarazione è considerata definitiva ai fini della gestione operativa e di eventuali reclami. La cancellazione del dato avviene secondo i tempi di conservazione indicati alla sez. 7.
Questa sezione si applica agli utenti, partner e driver che utilizzano la funzionalità CyraConnect Trust Profile per candidarsi agli annunci pubblicati sulla piattaforma.
L'utente che decide di compilare il Trust Profile ci fornisce, su base volontaria, i seguenti dati:
Il documento PDF caricato dall'utente non viene mai mostrato al cliente che riceve la candidatura. È accessibile esclusivamente:
Il documento è memorizzato in storage privato cifrato, non accessibile pubblicamente. L'utente può sostituirlo o rimuoverlo in qualsiasi momento dal proprio profilo.
Il calcolo del Trust Score è effettuato tramite un servizio AI di terze parti (modello di linguaggio Claude di Anthropic, integrato e re-brandizzato come "Cyra IA"). I dati trasmessi al modello sono limitati a quelli strettamente necessari (dichiarazioni opt-in + estratto testuale del documento). Il calcolo avviene previo consenso esplicito dell'utente attivabile dalle impostazioni del profilo. L'utente può revocare il consenso in qualsiasi momento; lo score esistente verrà eliminato automaticamente al cambio.
L'utente può in qualsiasi momento, dalle impostazioni del proprio Trust Profile:
Concyra by ITEODEV LTD si impegna a garantire l'accessibilità della propria piattaforma in conformità alla Direttiva UE 2019/882 (European Accessibility Act — EAA) e al D.Lgs. 82/2022 (come modificato dal D.Lgs. 27 maggio 2024 n. 82), in vigore per i servizi digitali privati dal 28 giugno 2025.
La piattaforma è progettata per essere accessibile secondo le Web Content Accessibility Guidelines (WCAG) 2.1, Livello AA. Lo stato di conformità aggiornato, le limitazioni note e le modalità di segnalazione di problemi di accessibilità sono descritti nella nostra Dichiarazione di accessibilità.
Per segnalare un problema di accessibilità che incida sulla tua capacità di accedere ai tuoi dati personali o di esercitare i diritti previsti dal GDPR, scrivici a privacy@concyra.com.
La pagina pubblica /zone-in-attesa consente a chiunque sia interessato a diventare partner di Concyra di sbloccare dati aggregati sulla domanda locale (segnalazioni utenti per zona geografica) in cambio dell'inserimento di alcuni dati di contatto. I dati raccolti tramite questo modulo sono trattati separatamente rispetto a quelli degli utenti registrati alla piattaforma.
| Finalità | Base giuridica (GDPR art. 6) |
|---|---|
| Invio del magic link per sbloccare i dati granulari della zona di interesse | Art. 6(1)(a) — consenso espresso al momento del form |
| Contatto commerciale per onboarding come partner Concyra (telefono ed email) | Art. 6(1)(a) — consenso espresso al momento del form |
| Gestione della pipeline commerciale Concyra (tracciamento interesse zona/categoria, conversione lead) | Art. 6(1)(f), legittimo interesse di Concyra by ITEODEV LTD all'acquisizione di partner commerciali |
| Prevenzione abusi e rate limiting del form pubblico | Art. 6(1)(f), legittimo interesse alla sicurezza della piattaforma |
| Notifica interna all'amministratore Concyra in caso di conversione del lead in partner registrato | Art. 6(1)(f), legittimo interesse operativo |
I dati del lead vengono conservati per un massimo di 24 mesi dalla data di invio del modulo, salvo conversione anticipata in account partner registrato.
partner_leads entro 30 giorni dalla conversione, secondo la retention standard dell'account partner.I dati dei lead non vengono ceduti a terze parti né utilizzati per finalità pubblicitarie di soggetti diversi da Concyra by ITEODEV LTD. L'IP e lo User-Agent possono essere condivisi con il provider di hosting (infrastruttura server) esclusivamente per finalità operative e di sicurezza, nel rispetto dei contratti di trattamento dati vigenti.
Il potenziale partner che ha compilato il modulo su /zone-in-attesa può richiedere in qualsiasi momento la cancellazione immediata di tutti i propri dati dalla tabella partner_leads scrivendo a: privacy@concyra.com con oggetto "Cancellazione dati lead /zone-in-attesa".
La cancellazione viene processata entro 5 giorni lavorativi dalla ricezione della richiesta. Non è necessario essere utenti registrati di Concyra per esercitare questo diritto.
Il Titolare del trattamento per i dati raccolti tramite /zone-in-attesa è Concyra by ITEODEV LTD, Company number 14309454 (England & Wales), 128 City Road, London EC1V 2NX, United Kingdom. Contatto: privacy@concyra.com.
Il modulo CyraGuard di Concyra by ITEODEV LTD offre tre servizi civici: Allerte Zona (avvisi da Comuni e Polizia Locale geolocalizzati), Verifica Multa (analisi AI di un verbale per rilevare possibili frodi), Segnalazioni Civiche (segnalazione anonima di problemi urbani verso l'ente competente). Il modulo è disponibile solo per gli utenti che lo attivano e, ove previsto, esprimono il consenso specifico al momento dell'accesso.
| Dato | Finalità | Base giuridica (GDPR) |
|---|---|---|
| Coordinate geografiche "casa" e "lavoro" (lat/lng, definite dall'utente o dedotte da indirizzo) | Determinare se un'allerta civica emessa da un Ente verificato tocca le zone di interesse dell'utente; invio push OneSignal geo-targetato | Art. 6(1)(b) — esecuzione del contratto/servizio richiesto dall'utente; in subordine Art. 6(1)(a) — consenso esplicito al momento dell'attivazione CyraGuard |
| Stato di presa visione di un'allerta e feedback ("utile" / "non mi riguarda") | Miglioramento del targeting; metriche di reach per l'Ente emittente (in forma aggregata e anonima) | Art. 6(1)(f), legittimo interesse al miglioramento del servizio |
Le coordinate di zona sono conservate nell'account utente per tutta la durata del rapporto contrattuale e per 12 mesi dalla disattivazione o cancellazione dell'account. L'utente può modificarle o eliminarle in qualsiasi momento dalla propria area personale (Impostazioni > Zone di interesse).
Le coordinate singole dell'utente non vengono comunicate agli Enti Civici verificati né ad altre terze parti. Gli Enti ricevono esclusivamente metriche aggregate (es. "l'allerta ha raggiunto X utenti nella zona Y") che non consentono l'identificazione del singolo.
| Dato | Finalità | Base giuridica (GDPR) |
|---|---|---|
| Immagine fotografica o file del verbale/multa caricato dall'utente (potenzialmente contenente dati personali del sanzionato: nome, indirizzo, targa) | Analisi AI (Claude Vision di Anthropic) per rilevare segnali di autenticità o frode del documento; generazione del verdetto ("sembra autentica / sospetta / quasi certamente truffa") e orientamento informativo | Art. 6(1)(b) — esecuzione del servizio richiesto dall'utente; Art. 6(1)(a) — consenso esplicito fornito prima del caricamento |
| Log della richiesta (timestamp, hash del file, verdetto restituito, costo AI stimato) | Audit tecnico, prevenzione abusi, miglioramento del modello di rilevamento frodi | Art. 6(1)(f), legittimo interesse alla sicurezza e al miglioramento del servizio |
Il file immagine/documento caricato per la Verifica Multa è elaborato in memoria e non viene conservato in modo permanente sui server di Concyra dopo la restituzione del verdetto. Il log tecnico (senza immagine) viene conservato per 90 giorni a scopo di audit e anti-abuso, poi eliminato automaticamente.
L'immagine del verbale viene trasmessa tramite API a Anthropic, Inc. (USA) per l'analisi AI. Anthropic tratta i dati in qualità di responsabile del trattamento ai sensi di un accordo DPA vigente. Il trasferimento avviene in conformità alle garanzie di cui all'Art. 46 GDPR (Clausole Contrattuali Standard). Anthropic non utilizza i dati inviati tramite API per addestrare i propri modelli (come previsto dalle condizioni API Anthropic). Per dettagli: anthropic.com/privacy.
L'utente è responsabile di non caricare documenti contenenti dati personali di terzi (es. verbali altrui) senza l'autorizzazione del soggetto interessato. Concyra by ITEODEV LTD non accetta caricamenti effettuati in violazione dei diritti altrui.
| Dato | Finalità | Base giuridica (GDPR) |
|---|---|---|
| Categoria del problema, posizione geografica (punto sulla mappa o coordinate GPS), foto opzionale allegata | Trasmissione della segnalazione all'Ente Civico competente per territorio; clustering intelligente di segnalazioni simili; calcolo severità AI | Art. 6(1)(a) — consenso esplicito dell'utente al momento dell'invio; Art. 6(1)(e) — esecuzione di un compito di interesse pubblico (canale civico verso autorità locali) |
| Identificativo interno dell'utente (ID cifrato, mai nome/email) | Prevenzione abusi (rate-limit, deduplicazione, ban in caso di segnalazioni fraudolente); tracciamento dello stato della propria segnalazione | Art. 6(1)(f), legittimo interesse alla sicurezza e all'integrità del servizio |
L'Ente Civico destinatario (Comune, Polizia Locale) non riceve mai il nome, l'email, il numero di telefono né alcun dato identificativo del segnalante. L'ente riceve esclusivamente: categoria del problema, posizione geografica, foto allegata (se presente), numero di segnalazioni simili clusterizzate, livello di severità AI. L'identità del segnalante è accessibile internamente solo al personale tecnico di Concyra per finalità di anti-abuso e su richiesta motivata dell'autorità giudiziaria competente.
I dati della segnalazione (categoria, posizione, foto) sono conservati per 24 mesi dalla data di invio, salvo risoluzione anticipata comunicata dall'ente. L'identificativo interno anti-abuso è conservato per lo stesso periodo. L'utente può richiedere la cancellazione della propria segnalazione (senza che ciò ne implichi la ritiro presso l'ente, se già trasmessa) scrivendo a privacy@concyra.com.
Gli Enti Civici (Comuni, Polizie Locali) che pubblicano allerte su Concyra o ricevono segnalazioni tramite la piattaforma operano come titolari autonomi del trattamento per i dati che gestiscono nella loro dashboard istituzionale, in conformità al GDPR e alle norme specifiche sul trattamento da parte di pubbliche autorità (Art. 6(1)(e) GDPR, D.Lgs. 196/2003 e s.m.i.). Concyra by ITEODEV LTD agisce come responsabile del trattamento ai sensi dell'Art. 28 GDPR per i dati elaborati per conto dell'ente nell'ambito della piattaforma, sulla base di un apposito accordo DPA (Data Processing Agreement) stipulato con ogni ente prima dell'attivazione del canale.
Nota (Fase beta): durante la fase beta del modulo CyraGuard, gli Enti sono registrati dall'amministratore Concyra e i DPA formali sono in fase di predisposizione. Finché il DPA non è firmato, le allerte dell'ente hanno carattere dimostrativo.
L'utente può disattivare il modulo CyraGuard in qualsiasi momento dalle Impostazioni dell'app. La disattivazione interrompe la ricezione di allerte push e la possibilità di inviare nuove segnalazioni; non comporta la cancellazione automatica dei dati già trattati, che segue le retention indicate nei paragrafi precedenti.
Per l'esercizio dei diritti di cui agli Artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) in relazione ai trattamenti CyraGuard, scrivere a privacy@concyra.com con oggetto "CyraGuard — esercizio diritti GDPR".
Concyra by ITEODEV LTD gestisce una mappa di attività commerciali locali (CyraMap). Per arricchire la directory, l'amministratore della piattaforma può creare Profili Seed: schede relative ad attività commerciali create automaticamente a partire da dati pubblici d'impresa (es. Google Places, elenchi pubblici, siti web aziendali), prima che il titolare dell'attività abbia preso contatto con Concyra. Questi profili appaiono sulla mappa come pin marcati "da rivendicare" (status: pre_claimed) e non implicano alcuna partnership o accordo commerciale.
| Dato | Origine | Finalità |
|---|---|---|
| Nome dell'attività commerciale (ragione sociale o nome commerciale) | Fonti pubbliche (Google Places API, siti istituzionali, registri pubblici) | Identificazione della scheda nella directory CyraMap |
| Indirizzo fisico della sede | Fonti pubbliche | Posizionamento del pin sulla mappa; clustering geografico |
| Categoria merceologica / tipologia di attività | Fonti pubbliche | Filtri di ricerca; classificazione nella directory |
| Numero di telefono pubblico dell'attività (ove disponibile) | Fonti pubbliche | Visualizzazione informativa nella scheda teaser |
| URL del sito web aziendale (ove disponibile) | Fonti pubbliche | Visualizzazione informativa nella scheda teaser |
I dati sopra indicati si riferiscono esclusivamente ad attività commerciali e persone giuridiche, non a persone fisiche. Non vengono trattati dati personali dei titolari o dei dipendenti dell'attività (nome, cognome, email privata, ecc.), salvo che tali dati siano parte della denominazione ufficiale registrata pubblicamente (es. ditte individuali con nome del titolare come ragione sociale).
Il trattamento si fonda sul legittimo interesse di Concyra by ITEODEV LTD ai sensi dell'art. 6(1)(f) del GDPR 2016/679, specificamente:
Il legittimo interesse è bilanciato con i diritti degli interessati: i dati trattati sono esclusivamente pubblici, già accessibili a terzi, limitati alle informazioni strettamente identificative dell'attività commerciale. La scheda è chiaramente marcata come "non ancora gestita dal titolare" per evitare qualsiasi equivoco sullo stato della relazione commerciale con Concyra.
La presenza di un Profilo Seed su CyraMap non implica:
Il titolare legale dell'attività commerciale di cui è stato creato un Profilo Seed può in qualsiasi momento:
Per esercitare entrambi i diritti, il titolare può:
In entrambi i casi, Concyra by ITEODEV LTD non richiede al titolare di creare un account né di fornire dati aggiuntivi rispetto a quelli necessari all'identificazione dell'attività.
I dati di un Profilo Seed non rivendicato vengono conservati per un massimo di 24 mesi dalla creazione, trascorsi i quali il profilo viene rimosso automaticamente dalla mappa pubblica. In caso di opt-out da parte del titolare, i dati vengono rimossi entro 5 giorni lavorativi dalla ricezione della richiesta e il record interno viene contrassegnato per impedire ricreazioni future. In caso di rivendica completata, il profilo cessa di essere un Profilo Seed e il trattamento dei dati è regolato dal contratto di utilizzo della piattaforma sottoscritto dal titolare.
I dati del Profilo Seed (nome attività, indirizzo, categoria, telefono pubblico, sito web) sono visualizzabili dagli utenti registrati alla piattaforma Concyra nell'ambito della funzionalità CyraMap. Non vengono ceduti a terze parti né utilizzati per finalità pubblicitarie di soggetti diversi da Concyra by ITEODEV LTD.
Il Titolare del trattamento per i dati dei Profili Seed è Concyra by ITEODEV LTD, Company number 14309454 (England & Wales), 128 City Road, London EC1V 2NX, United Kingdom. Contatto: privacy@concyra.com.
Concyra by ITEODEV LTD offre ai partner la possibilità di collegare in modo del tutto facoltativo il proprio account Google Calendar. Quando il collegamento è attivo, gli eventi presenti nell'agenda Concyra (appuntamenti con i clienti, ordini programmati, promemoria, eventi pubblici) vengono sincronizzati automaticamente in un calendario dedicato denominato "Concyra" all'interno del Google Calendar del partner. L'integrazione è disponibile esclusivamente per i partner della piattaforma e non riguarda gli utenti finali (clienti) né i driver.
| Dato | Modalità di accesso | Finalità | Base giuridica (GDPR) |
|---|---|---|---|
| Token di accesso OAuth 2.0 e token di aggiornamento (refresh token) emessi da Google | Ricevuti al momento del collegamento tramite flusso OAuth Google; conservati cifrati nel database Concyra | Autenticare le successive chiamate API per la scrittura degli eventi nel calendario dedicato "Concyra" | Art. 6(1)(a) GDPR — consenso esplicito del partner al momento del collegamento |
| Indirizzo email Google del partner (ricevuto da Google al momento dell'autorizzazione) | Lettura una tantum durante il flusso OAuth, a scopo identificativo | Identificare l'account Google collegato; visualizzarlo nella dashboard del partner per consentire la gestione del collegamento | Art. 6(1)(a) GDPR — consenso esplicito del partner al momento del collegamento |
| Dati degli eventi Concyra del partner (titolo, data, orario, luogo, note) | Scrittura tramite API Google Calendar; gli eventi vengono creati, aggiornati o eliminati nel calendario "Concyra" del partner | Mantenere sincronizzata l'agenda Concyra con il Google Calendar del partner | Art. 6(1)(a) GDPR — consenso esplicito del partner; Art. 6(1)(b) — esecuzione del servizio di sincronizzazione richiesto |
Per l'integrazione Concyra richiede esclusivamente lo scope
https://www.googleapis.com/auth/calendar.events,
che consente di creare, aggiornare ed eliminare gli eventi in un calendario dedicato.
Concyra non legge gli eventi esistenti nel Google Calendar del partner,
non accede ad altri calendari, non legge contatti, email o qualsiasi altro dato
dell'account Google diverso da quelli elencati nella tabella precedente.
Gli unici eventi scritti sono quelli che il partner ha generato direttamente
all'interno di Concyra.
I dati ottenuti tramite le API di Google sono utilizzati esclusivamente per la sincronizzazione dell'agenda Concyra del partner con il proprio Google Calendar. Concyra by ITEODEV LTD non vende, non affitta, non cede e non trasferisce a terze parti i dati ricevuti tramite le API di Google per finalità diverse da quelle descritte nella presente sezione. I dati non vengono utilizzati per finalità pubblicitarie, di profilazione, di marketing verso terzi né per addestrare modelli di intelligenza artificiale.
L'uso e il trasferimento da parte di Concyra delle informazioni ricevute dalle API di Google rispettano la Google API Services User Data Policy, inclusi i requisiti di Uso Limitato (Limited Use).
I dati ricevuti tramite le API Google non vengono comunicati a terze parti, fatta eccezione per i sub-responsabili del trattamento strettamente necessari all'erogazione del servizio di piattaforma (es. hosting, database), i quali operano esclusivamente su istruzione di Concyra by ITEODEV LTD e sono vincolati da accordi di trattamento dati conformi al GDPR. Google, in qualità di titolare autonomo del proprio servizio Calendar, tratta i dati dell'account Google del partner secondo la propria Privacy Policy.
I token OAuth e l'email Google del partner sono conservati finché il collegamento
è attivo. Quando il partner scollega il proprio account Google Calendar,
i token vengono eliminati dal database Concyra entro 24 ore
dalla richiesta di disconnessione. Gli identificativi degli eventi Google
creati nel calendario "Concyra" (google_event_id) possono
essere conservati nei log interni per 12 mesi a scopo
di audit tecnico, dopodiché vengono eliminati automaticamente.
Il collegamento con Google Calendar è interamente facoltativo e revocabile in qualsiasi momento. Il partner può disconnettere il proprio account Google Calendar nelle impostazioni del profilo Concyra. In alternativa, può revocare direttamente l'accesso all'applicazione Concyra dalla sezione Autorizzazioni app del proprio account Google. La revoca non comporta la perdita di alcun dato presente nell'agenda Concyra: gli eventi rimangono su Concyra, ma non vengono più sincronizzati con Google Calendar.
Il trattamento dei dati tramite le API di Google si fonda sul consenso esplicito del partner (art. 6(1)(a) GDPR), espresso al momento del collegamento tramite il flusso di autorizzazione OAuth Google. Il consenso può essere ritirato in qualsiasi momento secondo le modalità indicate nel paragrafo precedente. Il ritiro del consenso non pregiudica la liceità del trattamento basato sul consenso prestato prima della revoca.
Il Titolare del trattamento per i dati trattati nell'ambito di questa integrazione è Concyra by ITEODEV LTD, Company number 14309454 (England & Wales), 128 City Road, London EC1V 2NX, United Kingdom. Per l'esercizio dei diritti di cui agli Artt. 15 – 22 GDPR o per qualsiasi richiesta relativa all'integrazione Google Calendar, scrivere a privacy@concyra.com con oggetto "Google Calendar — esercizio diritti GDPR".
Per tutelare la sicurezza degli account di tutti gli utenti registrati sulla piattaforma (clienti, partner, driver), Concyra by ITEODEV LTD registra automaticamente, ad ogni accesso riuscito, alcune informazioni tecniche associate all'account:
| Dato | Descrizione | Finalita | Base giuridica (GDPR) |
|---|---|---|---|
Data e ora dell'ultimo accesso (last_login_at) |
Timestamp del login riuscito piu recente sull'account | Rilevare accessi anomali, supporto tecnico interno | Art. 6(1)(f), legittimo interesse alla sicurezza della piattaforma |
Indirizzo IP dell'ultimo accesso (last_login_ip) |
Indirizzo IP da cui e avvenuto l'ultimo login riuscito | Rilevare accessi da IP insoliti o sospetti, prevenzione accessi non autorizzati | Art. 6(1)(f), legittimo interesse alla sicurezza della piattaforma |
Browser e dispositivo dell'ultimo accesso (last_user_agent) |
Stringa User-Agent del browser o dell'app usati al momento dell'ultimo login | Identificare il tipo di dispositivo/browser in caso di richieste di supporto o segnalazioni di accesso sospetto | Art. 6(1)(f), legittimo interesse alla sicurezza della piattaforma |
Ultima attivita sulla piattaforma (last_seen_at) |
Timestamp dell'ultima richiesta autenticata registrata dalla piattaforma | Supporto tecnico e amministrativo interno (es. verifica che l'account sia operativo) | Art. 6(1)(f), legittimo interesse operativo e di supporto |
I dati elencati sono visibili esclusivamente agli amministratori Concyra by ITEODEV LTD nel pannello di amministrazione interno. Non sono mostrati all'utente nel proprio profilo pubblico o privato, non sono comunicati a terze parti e non vengono usati per finalita di profilazione, marketing o pubblicita.
Questi dati vengono aggiornati ad ogni nuovo accesso: il sistema conserva solo le informazioni relative all'ultimo evento di login, senza tenere uno storico di tutti gli accessi precedenti. I dati vengono eliminati automaticamente alla cancellazione definitiva dell'account (dopo il periodo di soft-delete di 30 giorni previsto dalla politica di conservazione generale dell'account).
Ai sensi degli artt. 15 e 21 GDPR, puoi richiedere di accedere ai dati di accesso associati al tuo account o opporti al loro trattamento scrivendo a privacy@concyra.com. In caso di opposizione accettata, i campi verranno azzerati sull'account attivo, ferma restando la possibilita di Concyra di conservare in forma anonima o aggregata i dati strettamente necessari alla sicurezza della piattaforma.
Il modulo CyraGuard comprende, ove attivato, due funzioni aggiuntive di natura sociale: i Test Riservati (strumenti di consapevolezza come Violenzametro e Bullismo) e la funzione Trova aiuto vicino a te (rete di risorse di soccorso localizzate). Entrambe sono progettate con una tutela della privacy rafforzata, descritta qui di seguito.
Queste funzioni sono disattivate per impostazione predefinita e accessibili solo se abilitate dall'amministratore della piattaforma. L'attivazione in produzione avviene esclusivamente dopo verifica interna.
I Test Riservati sono strumenti di auto-consapevolezza e orientamento su temi delicati (relazioni, violenza, bullismo e cyberbullismo). Il loro funzionamento è progettato per garantire l'anonimato totale:
Per queste ragioni, l'esecuzione dei Test Riservati non costituisce un trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR): non viene raccolto, conservato né trasmesso alcun dato riferibile a una persona fisica identificata o identificabile.
I risultati del test possono indicare numeri di pubblica utilita e canali ufficiali di supporto (ad esempio: 1522 per le donne in difficolta, 114 per l'emergenza infanzia, 112 per le emergenze). Questi canali sono gestiti da enti pubblici indipendenti da Concyra by ITEODEV LTD. Concyra si limita a citarli come riferimento informativo; la chiamata avviene direttamente tra l'utente e l'ente pubblico competente, al di fuori della piattaforma e senza alcun coinvolgimento di Concyra nel trattamento dei relativi dati.
La funzione opzionale Trova aiuto vicino a te consente di visualizzare, se e quando l'utente lo richiede, i punti di aiuto e le risorse di soccorso geograficamente piu vicini alla propria posizione attuale. Il trattamento della posizione rispetta le seguenti garanzie:
| Aspetto | Come funziona |
|---|---|
| Consenso | La posizione del dispositivo viene richiesta solo su consenso esplicito dell'utente, al momento in cui attiva la funzione. Il consenso puo essere revocato in qualsiasi momento dalle impostazioni di sistema del dispositivo. |
| Uso esclusivamente contestuale | La posizione viene utilizzata solo al momento della richiesta, per calcolare le risorse di soccorso piu vicine. Non viene usata per nessun altro scopo. |
| Calcolo sul dispositivo | Il calcolo della distanza tra la posizione dell'utente e le risorse di soccorso avviene sul dispositivo dell'utente. Le coordinate GPS dell'utente non vengono mai inviate ai server di Concyra by ITEODEV LTD. |
| Nessun salvataggio | La posizione non viene salvata, neppure temporaneamente, su alcun database di Concyra. Non rimane traccia della posizione al termine della sessione. |
| Nessuna trasmissione a terzi | La posizione non viene inviata a enti, associazioni, centri antiviolenza ne ad alcun altro soggetto esterno. Le risorse di soccorso visualizzate (centri antiviolenza, sportelli scolastici, pronto soccorso, ecc.) fanno parte di un elenco pubblico curato da Concyra admin; gli enti che gestiscono queste risorse non ricevono alcuna informazione sull'utente che ha consultato la lista. |
| Nessuna profilazione | La posizione non viene utilizzata per creare profili utente, segmenti comportamentali, targeting pubblicitario o qualsiasi altra forma di profilazione. |
Gli enti e le organizzazioni presenti nell'elenco delle risorse di soccorso non ricevono, da Concyra, alcuna informazione sui cittadini che consultano la funzione. Concyra gestisce esclusivamente l'elenco pubblico delle risorse (nome, indirizzo, contatti, tipologia), senza trasmettere dati sui visitatori ne notificare agli enti quando un utente visualizza la loro scheda.
Poiche la posizione GPS non viene trasmessa ne conservata, non si configura un trattamento di dati personali ai sensi del GDPR relativamente alla geolocalizzazione. Se, in una versione futura della funzione, fosse necessaria la trasmissione della posizione a un servizio server-side, tale trattamento sara fondato sul consenso esplicito dell'utente (Art. 6(1)(a) GDPR) e questa sezione sara aggiornata in anticipo con la nuova effective date.
Poiche i Test Riservati e la funzione Trova aiuto vicino a te non producono dati personali conservati o collegati all'account, non e possibile esercitare i diritti di accesso, rettifica o cancellazione su tali dati (non esistono). Per qualsiasi dubbio o chiarimento, scrivere a privacy@concyra.com con oggetto "CyraGuard Test Riservati — GDPR".
La funzione Documenti smarriti e ritrovati, parte del modulo CyraGuard, consente a chi trova un documento di identita smarrito (carta d'identita, patente, passaporto, tessera sanitaria o codice fiscale) di registrarlo sulla piattaforma, e a chi lo ha perso di verificare se risulta ritrovato, agevolando la riconsegna attraverso i canali ufficiali o mediati dalla piattaforma.
Questa funzione e disattivata per impostazione predefinita e resa disponibile solo se abilitata dall'amministratore della piattaforma. L'attivazione in produzione avviene esclusivamente dopo validazione interna e verifica del Responsabile della Protezione dei Dati (DPO).
L'utente che ha trovato il documento inserisce nella piattaforma un insieme minimo di informazioni necessarie al riconoscimento, senza trascrivere l'intero contenuto del documento:
| Dato | Obbligatorio | Finalita |
|---|---|---|
| Tipo documento | Si | Identificare la categoria del documento rinvenuto |
| Cognome del titolare | Si | Abbinamento con la ricerca del proprietario |
| Numero documento o data di nascita | Almeno uno dei due | Conferma univoca del riconoscimento, senza rendere il documento ricercabile con il solo cognome |
| Nome del titolare | No (facoltativo) | Migliorare la precisione dell'abbinamento |
| Citta o paese di emissione | No (facoltativo) | Ridurre falsi positivi in caso di omonimia |
I dati inseriti appartengono a un terzo (il titolare del documento) e vengono trattati da Concyra by ITEODEV LTD esclusivamente per consentire il ritrovamento e la riconsegna al legittimo proprietario. Non vengono usati per nessun altro scopo.
Se l'amministratore abilita la funzione opzionale di caricamento della fotografia del documento, si applicano le seguenti garanzie rafforzate:
Chi ha perso un documento puo verificare se risulta ritrovato inserendo i propri dati di riconoscimento (tipo documento e dato identificativo). Il sistema restituisce esclusivamente l'esito della verifica (documento trovato / non trovato) e, in caso positivo, lo stato attuale (in custodia dal trovatore o gia consegnato a un ente competente).
Il proprietario non accede ai dati personali di chi ha trovato il documento. Chi ha trovato il documento non accede ai dati ulteriori del proprietario al di la di quanto gia inserito al momento della registrazione.
Quando le istruzioni operative della funzione prevedono la possibilita di contatto diretto tra trovatore e proprietario (ad esempio per concordare la restituzione senza passare per un ente), il contatto avviene attraverso la messaggistica mediata della piattaforma. I recapiti personali (numero di telefono, indirizzo email, indirizzo fisico) non vengono scambiati direttamente tra le parti attraverso la piattaforma; e responsabilita delle parti decidere se condividerli volontariamente nel corso della conversazione.
| Dato | Termine di conservazione |
|---|---|
| Dati del documento (tipo, cognome, numero/data) | 90 giorni dalla registrazione, o alla riconsegna se antecedente |
| Fotografia del documento (se abilitata) | Eliminazione contestuale alla riconsegna, al massimo entro 90 giorni |
| Registro degli accessi ai dati sensibili | 12 mesi dalla data dell'accesso, a fini di sicurezza e audit |
| Dati di verifica del proprietario (query di ricerca) | Non conservati: la verifica e eseguita in tempo reale senza salvataggio della query |
Il registro degli accessi ai dati sensibili (chi ha visualizzato la scheda, quando, da quale ruolo) viene conservato a fini di sicurezza e per consentire audit interni in caso di contestazioni. Contiene metadati tecnici (timestamp, ruolo, IP), non il contenuto dei dati acceduti.
Il trattamento dei dati del titolare del documento inseriti da chi lo ha trovato si fonda su:
Il trattamento e limitato al minimo necessario per conseguire la finalita di riconsegna (principio di minimizzazione, Art. 5(1)(c) GDPR) e non viene protratto oltre i termini indicati nella sezione 5 (principio di limitazione della conservazione, Art. 5(1)(e) GDPR).
I dati relativi al documento trovato sono accessibili esclusivamente a:
I dati non vengono comunicati ad altri soggetti terzi, non vengono venduti, non vengono usati per finalita di marketing o profilazione.
Il titolare del documento i cui dati sono stati inseriti da un trovatore ha diritto di esercitare i propri diritti ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, opposizione, limitazione del trattamento) scrivendo a privacy@concyra.com con oggetto "CyraGuard Documenti Smarriti — GDPR".
Concyra by ITEODEV LTD adottera le misure necessarie entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata comunicata all'interessato. Si precisa che la cancellazione anticipata dei dati potrebbe impedire la riconsegna del documento prima della naturale scadenza del periodo di retention.
Concyra by ITEODEV LTD integra sistemi di intelligenza artificiale (AI) in piu funzioni della piattaforma. Questa sezione descrive quali funzioni usano l'AI, quali dati vengono elaborati, chi sono i fornitori coinvolti e quali diritti hai come utente, in conformita con il Regolamento (UE) 2016/679 (GDPR) e con il Regolamento (UE) 2024/1689 sull'intelligenza artificiale (EU AI Act), in particolare l'art. 50 sugli obblighi di trasparenza.
| Funzione | Descrizione | Chi la usa | Dati elaborati dall'AI |
|---|---|---|---|
| Cyra (assistente testuale) | Assistente conversazionale disponibile nella piattaforma per rispondere a domande, guidare l'utente nelle funzioni, elaborare richieste in linguaggio naturale. Utilizza un sistema RAG (Retrieval-Augmented Generation) che combina un modello linguistico con informazioni specifiche della piattaforma. | Utenti, partner, driver | Testo inserito dall'utente nella chat (messaggi, domande); estratti contestuali del catalogo della piattaforma pertinenti alla richiesta. Non vengono trasmessi all'AI dati finanziari, documenti di identita o dati sensibili ai sensi dell'art. 9 GDPR. |
| CyraVoice (assistente vocale) | Funzione opzionale che permette di interagire con la piattaforma tramite comandi vocali. L'audio viene convertito in testo e poi elaborato dall'AI. Attivabile e disattivabile dall'utente in qualsiasi momento. | Utenti, partner (ove attivata) | Trascrizione testuale dei comandi vocali (l'audio non viene conservato; viene convertito in testo e il testo viene elaborato come nel caso dell'assistente testuale). La funzione e attiva solo durante l'interazione esplicita dell'utente. |
| Analisi foto richiesta di servizio | Quando l'utente carica una foto per descrivere un oggetto da trasportare o un servizio richiesto, un sistema AI analizza l'immagine e compila automaticamente i campi della richiesta (descrizione, tipo di oggetto, dimensioni stimate). Il risultato e sempre revisionabile dall'utente. | Utenti (clienti) | Immagine caricata dall'utente, in forma pseudonimizzata (senza dati identificativi dell'utente allegati all'immagine trasmessa al modello). |
| Trust Score CyraConnect | Nell'ambito del sistema CyraConnect, il sistema AI genera un punteggio di affidabilita (0-100) e un breve testo descrittivo per i candidati che hanno compilato il proprio Trust Profile e hanno espresso il consenso al calcolo AI. Il punteggio e visibile ai clienti che ricevono la candidatura. Questo sistema costituisce un processo decisionale automatizzato con possibili effetti sulla visibilita del candidato. | Utenti, partner, driver (su consenso) | Dichiarazioni inserite nel Trust Profile (anni di esperienza, livello, specializzazioni, disponibilita); estratto testuale del documento opzionale caricato (CV, certificato), se presente e consenso espresso. |
| Verifica Multa (CyraGuard) | Analisi AI di un verbale o documento sanzionatorio fotografato dall'utente, per rilevare segnali di possibile frode o autenticita. Il risultato e orientativo e non costituisce perizia legale. | Utenti (ove il modulo CyraGuard e attivo) | Immagine del verbale caricata dall'utente. Non vengono conservati ne l'immagine ne il verdetto al termine della sessione. |
| Generazione contenuti per partner | I partner possono usare funzioni AI per generare: testi descrittivi della propria attivita (vetrina), caption per post social (CyraWall), descrizioni di eventi, risposte suggerite ai clienti in chat. I contenuti generati sono sempre revisionabili dal partner prima della pubblicazione. | Partner | Testo inserito dal partner (prompt, dati della propria attivita, bozza di contenuto); eventuali metadati della richiesta (categoria attivita, zona). Non vengono elaborati dati di clienti o terzi senza consenso. |
| CyraCoach (suggerimenti per partner) | Sistema che elabora dati aggregati sull'attivita del partner sulla piattaforma e fornisce suggerimenti per migliorare il profilo, il catalogo, le risposte ai clienti. | Partner Prime | Dati aggregati dell'attivita del partner (numero ordini, valutazioni, completezza profilo, categorie). Non vengono elaborati dati individuali di clienti specifici. |
| Moderazione contenuti | Sistemi AI assistono la moderazione di recensioni, segnalazioni e contenuti caricati dagli utenti (immagini, testi). La decisione finale di rimozione e sempre soggetta a revisione umana da parte degli amministratori Concyra. | Tutti gli utenti | Testi o immagini caricati dagli utenti nella piattaforma. |
| Ottimizzazione SEO e descrizioni (interno) | Funzioni admin che generano descrizioni SEO, testi di pagine localizzate e metadati per la piattaforma pubblica. Uso esclusivamente interno, non processa dati personali degli utenti. | Amministratori Concyra (uso interno) | Dati strutturali della piattaforma (categoria, zona geografica, nome attivita commerciale pubblica). Nessun dato personale. |
Concyra by ITEODEV LTD utilizza un sistema di routing AI multi-provider che seleziona il modello piu adatto a ciascun compito in base a criteri di qualita, costo e disponibilita configurati internamente. I fornitori attualmente integrati e potenzialmente coinvolti nell'elaborazione di dati personali sono:
| Fornitore | Prodotto / modello principale | Sede | Garanzia trasferimento extra-UE |
|---|---|---|---|
| Anthropic, PBC | Claude (modelli Claude 3, Claude 3.5, Claude 4 e successivi) | San Francisco, CA, USA | Clausole Contrattuali Standard (SCC) CE 2021/914 per trasferimenti extra-UE ai sensi dell'art. 46 GDPR. Data Processing Agreement (DPA) in vigore. |
| Altri provider AI | La piattaforma puo instradare richieste verso ulteriori modelli di terze parti configurati dall'amministratore (es. modelli open-source in hosting privato o altri provider commerciali). L'elenco completo e aggiornato e disponibile su richiesta scrivendo a privacy@concyra.com. | Variabile | Per ciascun provider attivo, Concyra verifica la disponibilita di SCC o di altre garanzie adeguate ai sensi degli artt. 44-49 GDPR prima dell'attivazione. |
Tutti i fornitori AI operano come responsabili del trattamento (processors) ai sensi dell'art. 28 GDPR, sulla base di accordi contrattuali che ne limitano l'uso dei dati alla sola erogazione del servizio richiesto da Concyra.
I dati personali elaborati tramite i sistemi AI integrati in Concyra non vengono utilizzati dai fornitori AI per addestrare, ottimizzare o aggiornare i propri modelli, salvo diversa indicazione esplicita e tuo consenso preventivo. Gli accordi contrattuali con i fornitori AI (DPA) prevedono espressamente questa limitazione.
Concyra verifica periodicamente che i termini contrattuali dei fornitori AI siano coerenti con questo impegno. In caso di modifica delle condizioni di un fornitore che potrebbe comportare l'uso dei dati per addestramento, la presente sezione sara aggiornata con congruo preavviso.
| Funzione AI | Base giuridica (GDPR) |
|---|---|
| Analisi foto richiesta di servizio | Art. 6(1)(b) — necessario per l'esecuzione del contratto di servizio |
| Cyra (assistente testuale) e CyraVoice | Art. 6(1)(b) — necessario per l'erogazione della funzione richiesta dall'utente |
| Trust Score CyraConnect | Art. 6(1)(a) — consenso esplicito dell'utente, revocabile in qualsiasi momento |
| Verifica Multa (CyraGuard) | Art. 6(1)(b) — necessario per l'erogazione del servizio richiesto dall'utente |
| Generazione contenuti per partner | Art. 6(1)(b) — necessario per l'erogazione del servizio richiesto dal partner |
| CyraCoach | Art. 6(1)(b) — necessario per l'erogazione del servizio Prime richiesto dal partner |
| Moderazione contenuti | Art. 6(1)(f) — legittimo interesse di Concyra alla sicurezza e integrita della piattaforma |
Alcuni fornitori AI integrati nella piattaforma hanno sede negli Stati Uniti o in altri paesi terzi rispetto all'Unione Europea. Ogni trasferimento di dati personali verso tali paesi avviene nel rispetto degli artt. 44-49 GDPR, in particolare mediante Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (decisione 2021/914) e, ove disponibile, mediante adesione del fornitore al Data Privacy Framework UE-USA (adeguatezza certificata dalla Commissione Europea).
Prima di trasmettere qualsiasi dato personale a un fornitore AI, Concyra esegue una valutazione d'impatto sul trasferimento (Transfer Impact Assessment) per verificare che le garanzie contrattuali siano efficaci nel paese di destinazione.
Il Trust Score CyraConnect e generato da un processo automatizzato. Produce effetti sulla visibilita del candidato nelle risposte agli annunci pubblicati da clienti sulla piattaforma: un punteggio piu alto puo migliorare la posizione della candidatura nella lista mostrata al cliente.
Questo sistema rientra nell'ambito dell'art. 22 GDPR (decisioni basate unicamente su trattamento automatizzato). Hai i seguenti diritti:
La piattaforma non adotta decisioni con effetti legali o significativi (es. accettazione/rifiuto di account, esclusione permanente dalla piattaforma) basate unicamente su trattamento automatizzato, senza la possibilita di revisione umana da parte degli amministratori Concyra.
Ai sensi dell'art. 50 del Regolamento (UE) 2024/1689 (EU AI Act), applicabile dall'agosto 2026, Concyra adotta le seguenti misure di trasparenza:
Per qualsiasi richiesta relativa all'uso dei tuoi dati nei sistemi AI della piattaforma (accesso ai dati trasmessi ai sistemi AI, opposizione al trattamento, richiesta di revisione umana di una decisione automatizzata, revoca del consenso al Trust Score), scrivi a: privacy@concyra.com con oggetto "Diritti GDPR — Sistemi AI".
Daremo risposta entro 30 giorni dalla ricezione della richiesta, con possibilita di proroga motivata fino a 60 giorni per richieste complesse (art. 12 GDPR).
Concyra by ITEODEV LTD riconosce a ogni utente il diritto di chiudere il proprio account in qualsiasi momento, in conformita con l'art. 17 del Regolamento (UE) 2016/679 (GDPR) e con i requisiti di conformita degli store applicativi (Apple App Store Guidelines 5.1.1(v) e Google Play Data Safety Policy).
La chiusura dell'account e disponibile per tutti i ruoli della piattaforma (cliente, partner/host, driver/HostCyra) attraverso i seguenti canali:
La chiusura dell'account richiede un atto di consenso esplicito per prevenire cancellazioni accidentali o fraudolente. La procedura prevede:
Per finalita di sicurezza e tracciabilita, Concyra registra e conserva i seguenti dati tecnici relativi alla procedura di chiusura:
Questi dati sono conservati per permettere a Concyra di dimostrare la legittimita della cancellazione in caso di contestazione. La base giuridica e l'art. 6(1)(f) GDPR (legittimo interesse alla sicurezza e tracciabilita delle operazioni critiche).
A seguito della chiusura completata, vengono rimossi o anonimizzati in modo irreversibile i seguenti dati personali:
Se al momento della richiesta di chiusura sono presenti operazioni finanziarie non ancora concluse (ad esempio: pre-autorizzazioni di pagamento non ancora catturate o annullate, payout in attesa di esecuzione verso il partner o driver, bonifici non ancora completati), la cancellazione definitiva dei dati di pagamento e subordinata alla conclusione di tali operazioni.
In questo caso Concyra segnala la pendenza all'utente al momento della chiusura e procede con la rimozione dei dati di pagamento non appena le operazioni finanziarie in sospeso sono concluse o annullate. Il blocco riguarda esclusivamente i dati di pagamento: tutte le altre operazioni di anonimizzazione procedono nei tempi indicati al punto 5.
Dopo la conferma della chiusura, l'utente dispone di un periodo di ripristino (grace period, configurato di default a 90 giorni) durante il quale e possibile chiedere il ripristino dell'account scrivendo a privacy@concyra.com.
Trascorso il periodo di ripristino senza che sia stata presentata una richiesta di reintegro, i dati personali residui vengono rimossi o anonimizzati in via definitiva e il processo diventa irreversibile.
Per i partner e i driver, l'account rimane in stato chiuso e anonimizzato collegato allo storico contabile conservato per obblighi di legge (vedi punto 6), ma non viene piu esposto ad alcuna funzione pubblica della piattaforma.
Concyra e tenuta per legge a conservare determinati dati anche dopo la chiusura dell'account. Tali dati non possono essere cancellati su richiesta in quanto la loro conservazione costituisce un obbligo normativo che prevale sul diritto all'oblio (art. 17(3)(b) GDPR).
I dati conservati per obbligo legale includono:
La base giuridica della conservazione e l'art. 6(1)(c) GDPR (adempimento di un obbligo legale), in combinato con l'art. 2220 c.c., la normativa fiscale italiana e la normativa antiriciclaggio applicabile.
I dati conservati per obbligo legale vengono trattati esclusivamente per le finalita contabili, fiscali e di controllo e non sono accessibili nelle funzioni pubbliche della piattaforma.
Per avviare la procedura di chiusura account o per richiedere informazioni sullo stato della cancellazione dei tuoi dati, puoi:
Daremo risposta entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR), con possibilita di proroga motivata fino a 60 giorni per richieste complesse.
Oltre al sito web e alla web app (PWA) accessibile da browser, Concyra by ITEODEV LTD distribuisce applicazioni native tramite Apple App Store e Google Play (app Cliente, app Partner, app Host Cyra/driver). Le app native caricano la stessa piattaforma Concyra e richiedono, tramite i normali meccanismi di autorizzazione del sistema operativo, alcuni permessi aggiuntivi rispetto alla versione browser. Questa sezione integra la presente Privacy Policy, che si applica interamente anche quando accedi tramite app nativa, con le informazioni specifiche relative a tali permessi.
Per inviarti notifiche push (allerte CyraGuard, aggiornamenti su richieste, offerte, messaggi in chat, promemoria) le app native generano e trasmettono ai seguenti fornitori un identificativo univoco del dispositivo (push token):
Questi identificativi non consentono di per se l'identificazione diretta dell'utente (nome, email) e vengono associati al tuo account solo internamente da Concyra per recapitarti le notifiche pertinenti. La base giuridica e l'art. 6(1)(b) GDPR (esecuzione del servizio richiesto) per le notifiche transazionali, e l'art. 6(1)(a) GDPR (consenso) per le notifiche di prossimita geolocalizzate descritte al punto 2.
Le app native possono richiedere, in aggiunta al permesso di posizione "durante l'uso dell'app" (foreground), anche il permesso di posizione "sempre" (background), cioè attivo anche ad app chiusa o in background. Questo permesso è facoltativo, disattivato di default, e viene richiesto solo se attivi esplicitamente la funzione "Avvisi di prossimità" dal tuo profilo/impostazioni.
Quando attiva, la funzione utilizza la tua posizione in background per avvisarti di:
Annunci CyraConnect geolocalizzati. Chi pubblica un annuncio su CyraConnect (categoria "vendo", "affitto" o "regalo") può attivare, in modo facoltativo e disattivato di default, l'opzione "Fai trovare l'annuncio a chi passa vicino": in questo caso viene registrata la posizione precisa del luogo (coordinate GPS o indirizzo selezionato tramite Google Places), utilizzata esclusivamente per generare un'area di prossimità (geofence) intorno all'annuncio. Questa posizione non viene mai mostrata pubblicamente, né nella pagina dell'annuncio né altrove: serve solo a far scattare l'avviso quando un altro utente vi transita nelle vicinanze.
Per ricevere questi avvisi, l'utente destinatario deve attivare a sua volta due consensi distinti: (a) la funzione generale "Avvisi di prossimità" descritta in questa sezione, con permesso di posizione "sempre" concesso al sistema operativo; (b) l'opzione specifica "Avvisami se passo vicino a un annuncio" nelle Preferenze di CyraConnect, con indicazione delle categorie di interesse. Si tratta quindi di un doppio opt-in: da parte di chi pubblica l'annuncio (che sceglie di condividere la posizione del luogo) e da parte di chi lo riceve (che sceglie di essere avvisato). L'avviso non scatta se anche uno solo dei due consensi non è attivo.
Il confronto tra la tua posizione e le aree di prossimità configurate avviene tramite geofencing on-device: il tuo dispositivo verifica localmente, tramite i servizi di localizzazione del sistema operativo, se ti trovi entro il raggio impostato per un annuncio (di norma alcune centinaia di metri). Non c'è un tracciamento continuo della tua posizione da parte dei server Concyra: al server viene comunicato solo l'evento di ingresso nell'area (il fatto che sei entrato nel raggio di un determinato annuncio), non la tua posizione puntuale né i tuoi spostamenti nel tempo. Una volta ricevuta la notifica per un annuncio, non ne riceverai un'altra per lo stesso annuncio prima che sia trascorso un periodo minimo di raffreddamento (cooldown, di norma alcune settimane), per evitare avvisi ripetuti.
Base giuridica: consenso esplicito (art. 6(1)(a) GDPR), raccolto tramite il popup di autorizzazione nativo del sistema operativo e confermato dall'attivazione della funzione nelle impostazioni del profilo (e, per gli annunci CyraConnect, anche dal doppio opt-in descritto sopra: consenso dell'autore dell'annuncio alla geolocalizzazione e consenso separato del destinatario alla ricezione degli avvisi).
Revoca: puoi disattivare la posizione in background in qualsiasi momento in uno di questi modi: (a) disattivando "Avvisi di prossimità" dal tuo profilo Concyra; (b) modificando il permesso di posizione dell'app nelle impostazioni del sistema operativo (iOS: Impostazioni → Privacy e sicurezza → Localizzazione; Android: Impostazioni → App → Concyra → Autorizzazioni → Posizione); (c) per i soli annunci CyraConnect, disattivando separatamente l'opzione "Avvisami se passo vicino a un annuncio" nelle Preferenze di CyraConnect, oppure disattivando in qualsiasi momento la geolocalizzazione del proprio annuncio se lo hai pubblicato tu. La revoca ha effetto immediato e non compromette l'uso delle altre funzioni della piattaforma.
La posizione raccolta in background viene utilizzata esclusivamente per generare le notifiche di prossimità pertinenti e non viene condivisa con partner o terzi come dato identificativo; viene conservata per il tempo tecnico necessario a valutare la prossimità e non oltre i termini di conservazione generali indicati nella presente Privacy Policy per i dati di localizzazione. Per gli annunci CyraConnect, la posizione precisa del luogo resta associata all'annuncio finché quest'ultimo è attivo e geolocalizzato; l'evento di ingresso in prossimità (ping) viene conservato solo per il tempo necessario a gestire il periodo di raffreddamento e i limiti giornalieri di notifiche, e comunque non oltre 90 giorni.
Le app native richiedono, solo al momento dell'uso effettivo della relativa funzione, i seguenti permessi:
Entrambi i permessi sono richiesti tramite il popup nativo del sistema operativo, sono revocabili in qualsiasi momento dalle impostazioni del dispositivo, e non sono necessari per l'uso delle funzioni base della piattaforma.
Nelle app native, i pagamenti Stripe possono essere completati tramite l'interfaccia nativa Stripe PaymentSheet, integrata nell'app, anziche tramite il modulo di pagamento web. Il trattamento dei dati di pagamento rimane quello descritto nella sezione dedicata a Stripe di questa Privacy Policy: i dati della carta non transitano mai sui server Concyra e sono gestiti direttamente da Stripe secondo la propria informativa privacy.
Le app native possono offrire widget opzionali installabili nella schermata home del dispositivo (es. stato prenotazioni, missione in corso per gli Host Cyra). I widget mostrano dati gia disponibili nel tuo account e aggiornati periodicamente dal sistema operativo; non introducono nuovi trattamenti di dati personali oltre a quelli gia descritti in questa Privacy Policy per le relative funzioni.
La funzione di chiusura ed eliminazione dell'account, descritta nella sezione "Chiusura e cancellazione dell'account" di questa Privacy Policy, e disponibile anche direttamente dalle app native (sezione Profilo → "Chiudi account"), con la stessa procedura di conferma (password + OTP + consenso esplicito) e con gli stessi effetti sui dati descritti in quella sezione.
Apple Inc. e Google LLC distribuiscono le app native tramite i rispettivi store (App Store, Google Play) ma non hanno accesso ai dati personali trattati da Concyra all'interno dell'app, salvo per gli identificativi tecnici strettamente necessari all'erogazione dei servizi di notifica push (APNs, Firebase Cloud Messaging) indicati al punto 1, che tali aziende trattano secondo le proprie informative privacy quali fornitori indipendenti dei rispettivi servizi. Apple e Google non sono responsabili del trattamento dei tuoi dati personali da parte di Concyra.