Privacy Policy — CONCYRA

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è CONCYRA, di seguito anche "la Piattaforma", "noi" o "il Titolare".

Per qualsiasi questione relativa alla privacy e all'esercizio dei tuoi diritti: privacy@concyra.com

2. Di cosa si occupa CONCYRA

CONCYRA è una piattaforma digitale peer-to-peer che connette clienti e Host Cyra (driver) per due tipologie di servizio:

Trasporto Oggetti: trasporto di mobili, elettrodomestici e oggetti ingombranti da un indirizzo a un altro
Servizio Autista: l'Host Cyra guida il veicolo del cliente per spostamenti o commissioni

La piattaforma gestisce l'intera transazione: dalla pubblicazione della richiesta, alla ricezione di offerte dagli Host Cyra, alla selezione dell'offerta, alla chat tra le parti, fino al pagamento e alla valutazione del servizio. Un assistente AI (basato su Claude di Anthropic) supporta gli utenti nella compilazione delle richieste tramite chat conversazionale.

3. Dati Personali Raccolti

3.1 Dati forniti direttamente dall'utente — Comuni a tutti

Dato	Descrizione
Nome e cognome	Identificazione dell'utente sulla piattaforma
Indirizzo email	Login, comunicazioni di servizio, notifiche
Password	Conservata in formato hashato (bcrypt) — mai leggibile in chiaro
Numero di telefono	Verifica identità, notifiche SMS, contatto tra le parti
Foto profilo	Visualizzata agli altri utenti durante le transazioni
Bio personale	Descrizione opzionale del profilo pubblico
Dati di fatturazione	Tipo cliente (privato/azienda), email fatturazione, ragione sociale, P.IVA, codice fiscale, PEC, REA, indirizzo, città, CAP, paese — necessari per l'emissione di fatture elettroniche
Indirizzi salvati	Indirizzo completo, coordinate GPS, piano, ascensore, parcheggio, tipo di accesso, codice citofono, note — memorizzati per riutilizzo nelle richieste

3.2 Dati aggiuntivi — Solo Host Cyra (Driver)

Dato	Descrizione
Tipo di veicolo	Auto, furgone, camion — per abbinamento con le richieste compatibili
Targa veicolo	Identificazione del mezzo utilizzato per il servizio
Immatricolazione veicolo	Documento di registrazione del veicolo
Capacità veicolo (kg)	Per filtrare le richieste compatibili con il mezzo
Zone di operatività	Aree geografiche in cui l'Host Cyra accetta richieste
Documenti di identità	Patente di guida, documento d'identità — caricati per la verifica obbligatoria prima di poter operare
IBAN / dati bancari	Per il trasferimento dei compensi tramite Stripe Connect
Metodi di pagamento Stripe	Token ID dei metodi di pagamento salvati su Stripe — CONCYRA non conserva i dati della carta in chiaro

3.3 Dati generati dall'utilizzo della piattaforma

Dato	Fonte
Richieste di trasporto	Indirizzi di ritiro e consegna, data/ora programmata, peso, dimensioni, descrizione, requisiti speciali, foto degli oggetti, budget del cliente
Offerte	Prezzo offerto, tempo stimato di arrivo, note del driver, percentuali di commissione, guadagno netto
Messaggi in chat	Contenuto testuale, immagini inviate, messaggi generati dall'AI, stato di lettura
Pagamenti	Importo totale, commissione piattaforma, guadagno netto driver, ID transazione Stripe (payment intent, setup intent, transfer ID), stato pagamento, data, eventuale rimborso
Valutazioni e rating	Punteggio medio ricevuto, numero di servizi completati
Log e metadati	Player ID OneSignal per notifiche push, preferenze notifiche, orari di silenzio, modalità di servizio selezionate
Stato account	Stato di verifica documenti, stato di sospensione con motivazione, data eliminazione (soft-delete)

3.4 Dati raccolti automaticamente

Indirizzo IP: registrato per sicurezza, prevenzione frodi e log di sistema
Dati di sessione: sessione autenticata conservata in database (Laravel session driver)
Token API Sanctum: per autenticazione della PWA (app mobile progressiva)
Dati di accesso biometrico (WebAuthn): identificatore crittografico del dispositivo registrato per Face ID / impronta digitale — conservato in database, mai trasmesso in chiaro
Coordinate geografiche: indirizzi di ritiro/consegna convertiti in coordinate GPS tramite Google Maps per il calcolo del percorso
Account Google: se si accede tramite Google OAuth, vengono ricevuti nome, email e foto profilo pubblico Google (ID Google memorizzato per il collegamento dell'account)

4. Finalità e Basi Giuridiche del Trattamento

Finalità	Dati trattati	Base giuridica GDPR
Registrazione e gestione account	Nome, email, password, telefono, tipo utente	Art. 6(1)(b) — esecuzione del contratto
Erogazione del servizio di trasporto e autista	Indirizzi, date, descrizione oggetti, offerte, chat	Art. 6(1)(b) — esecuzione del contratto
Abbinamento Host Cyra con richieste compatibili	Zone, tipo veicolo, capacità, modalità servizio	Art. 6(1)(b) — esecuzione del contratto
Elaborazione pagamenti e trasferimento compensi	Stripe customer ID, payment intent, IBAN driver	Art. 6(1)(b) — esecuzione del contratto
Verifica obbligatoria identità Host Cyra	Documenti d'identità, patente, dati veicolo	Art. 6(1)(b) / Art. 6(1)(c) — obbligo legale
Fatturazione elettronica	Dati fiscali, P.IVA, PEC, REA, codice fiscale	Art. 6(1)(c) — obbligo legale (D.Lgs. 127/2015)
Assistente AI in chat	Contenuto messaggi chat (inviato ad Anthropic lato server)	Art. 6(1)(b) — esecuzione del contratto
Notifiche push (OneSignal)	Player ID dispositivo	Art. 6(1)(a) — consenso (richiesto dal browser)
Notifiche SMS (Twilio)	Numero di telefono	Art. 6(1)(b) — esecuzione del contratto
Autenticazione biometrica (WebAuthn / Face ID)	Credenziale crittografica dispositivo	Art. 6(1)(a) — consenso (registrazione volontaria)
Accesso con Google (OAuth)	Nome, email, foto, Google ID	Art. 6(1)(a) — consenso
Sicurezza piattaforma e prevenzione frodi	IP, log sessioni, dati comportamentali	Art. 6(1)(f) — legittimo interesse
Moderazione contenuti (AI content scanner)	Testo e immagini delle richieste	Art. 6(1)(f) — legittimo interesse
Adempimenti fiscali e contabili	Transazioni, importi, dati fatturazione	Art. 6(1)(c) — obbligo legale
Miglioramento del servizio e statistiche interne	Dati aggregati e anonimizzati di utilizzo	Art. 6(1)(f) — legittimo interesse

5. Destinatari e Responsabili del Trattamento

I dati personali sono condivisi con i seguenti soggetti, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile:

Fornitore	Ruolo	Dati condivisi	Sede
Stripe Inc.	Processore pagamenti (PCI-DSS Level 1)	Dati di pagamento tokenizzati, IBAN driver, importi transazioni	USA (SCC)
Google LLC	Autenticazione OAuth + Maps API	Profilo Google (nome, email, avatar), coordinate indirizzi	USA (SCC)
Anthropic PBC	Elaborazione AI chat assistant	Testo dei messaggi della conversazione (senza dati identificativi diretti)	USA (SCC)
OneSignal Inc.	Notifiche push web/mobile	Player ID dispositivo, contenuto notifiche	USA (SCC)
Twilio Inc.	Invio SMS di verifica e notifiche	Numero di telefono, testo SMS	USA (SCC)
Provider hosting	Infrastruttura server e database	Tutti i dati della piattaforma (accesso fisico al server)	UE
Utenti tra di loro	Comunicazione diretta	Nome, foto profilo, messaggi in chat, indirizzo di ritiro/consegna al momento dell'accordo	—
Autorità competenti	Obbligo di legge	Dati richiesti da forze dell'ordine o autorità giudiziaria	—

6. Trasferimento Internazionale dei Dati

I fornitori indicati al punto 5 con sede negli Stati Uniti o in altri Paesi extra-SEE trattano i dati nel rispetto delle garanzie previste dagli artt. 44–49 GDPR, in particolare mediante Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914). Per i trasferimenti verso gli USA, alcuni fornitori aderiscono inoltre al EU-US Data Privacy Framework.

7. Periodi di Conservazione dei Dati

Categoria di dati	Periodo di conservazione	Motivazione
Dati account attivo	Per tutta la durata del rapporto	Esecuzione contratto
Dati account eliminato (soft-delete)	30 giorni, poi eliminazione definitiva	Prevenzione accessi fraudolenti
Dati fiscali e transazionali	10 anni dalla data della transazione	Obbligo legale (art. 2220 c.c., D.Lgs. 127/2015)
Documenti di identità Host Cyra	Durata contratto + 5 anni	Obblighi di verifica e contenzioso
Messaggi in chat	24 mesi dall'ultima attività	Legittimo interesse (prova transazione)
Log di sistema e sicurezza	12 mesi	Sicurezza e prevenzione frodi
Credenziali biometriche WebAuthn	Fino alla revoca o eliminazione account	Consenso (revocabile in qualsiasi momento)
Player ID OneSignal	Fino alla revoca del consenso push	Consenso
Dati di fatturazione	10 anni	Obbligo legale

8. Diritti dell'Interessato

Ai sensi degli artt. 15–22 GDPR hai il diritto di:

Accesso (art. 15): ottenere conferma del trattamento e ricevere copia dei dati che ti riguardano
Rettifica (art. 16): correggere dati inesatti o incompleti
Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio"), salvo obblighi di conservazione legali
Limitazione del trattamento (art. 18): bloccare temporaneamente il trattamento in determinate circostanze
Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e machine-readable
Opposizione (art. 21): opporti al trattamento basato su legittimo interesse
Revoca del consenso: in qualsiasi momento per i trattamenti basati su consenso (push, biometria, OAuth), senza pregiudizio per i trattamenti effettuati anteriormente
Reclamo: presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it)

Per esercitare i tuoi diritti scrivi a: privacy@concyra.com. Risponderemo entro 30 giorni dalla ricezione della richiesta.

9. Sicurezza dei Dati

CONCYRA adotta misure tecniche e organizzative adeguate al rischio, tra cui:

Crittografia in transito: tutte le comunicazioni avvengono tramite HTTPS/TLS
Hashing delle password: le password sono conservate esclusivamente in formato bcrypt — mai leggibili in chiaro
Tokenizzazione pagamenti: i dati della carta non transitano mai sui server CONCYRA (gestiti direttamente da Stripe PCI-DSS Level 1)
Autenticazione biometrica: WebAuthn/FIDO2 — le credenziali crittografiche non lasciano mai il dispositivo dell'utente
Token CSRF: protezione su tutti i form e le richieste POST/PUT
Soft-delete: gli account eliminati vengono conservati in stato inattivo per 30 giorni prima della cancellazione definitiva per prevenire accessi non autorizzati
Moderazione AI: scanner automatico per rilevare e bloccare contenuti dannosi nelle richieste
Accessi amministrativi controllati: log di tutte le operazioni admin sulla piattaforma
Backup regolari: del database e dei file caricati dagli utenti

10. Minori

La piattaforma CONCYRA è destinata esclusivamente a persone maggiori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se hai motivo di credere che un minore abbia fornito dati personali, ti preghiamo di contattarci immediatamente a privacy@concyra.com per procedere alla cancellazione.

11. Profilazione e Decisioni Automatizzate

CONCYRA non effettua profilazione degli utenti a fini di marketing né adotta decisioni automatizzate che producano effetti giuridici significativi ai sensi dell'art. 22 GDPR. L'assistente AI viene utilizzato esclusivamente per supportare la compilazione delle richieste di servizio e non per prendere decisioni che incidano sui diritti degli utenti.

Il sistema di abbinamento automatico tra richieste e Host Cyra (basato su zona, tipo di veicolo e modalità di servizio) è una funzionalità operativa del servizio, non una forma di profilazione.

12. Cookie e Tecnologie di Tracciamento

Per informazioni dettagliate sui cookie e le tecnologie di tracciamento utilizzati dalla piattaforma, consulta la nostra Cookie Policy.

13. Modifiche alla Privacy Policy

La presente Privacy Policy può essere aggiornata per riflettere modifiche normative, tecniche o operative della piattaforma. Le modifiche sostanziali saranno comunicate via email o tramite notifica in-app con almeno 15 giorni di anticipo rispetto alla data di efficacia. La versione aggiornata sarà sempre disponibile su questa pagina con l'indicazione della data di ultimo aggiornamento.

Ultimo aggiornamento: 9 aprile 2026 — Versione 2.0