Informativa sulla Privacy

MALOC SASU | SIREN 985054923 | RCS Parigi | Versione 2.0 | 22 marzo 2026

INFORMATIVA SULLA PRIVACY — MALOC

Versione: 2.0 — Ultimo aggiornamento: 22 marzo 2026
Data di entrata in vigore: 22 marzo 2026

MALOC SASU — SIREN 985054923 — RCS Parigi — Capitale sociale 1.000 EUR — Sede legale: 15 quai aux fleurs, 75004 Parigi
E-mail: contact@maloc.life — RPD: dpo@maloc.life — Sito web: https://maloc.fr / https://maloc.fr

PREMESSA

La società MALOC SASU, società per azioni semplificata unipersonale (société par actions simplifiée unipersonnelle) con capitale sociale di 1.000 euro, iscritta al Registro del Commercio e delle Società di Parigi con il numero SIREN 985054923, con sede legale in 15 quai aux fleurs, 75004 Parigi (di seguito «Maloc»), si impegna a trattare i dati personali dei propri Utenti con il massimo rigore, nel rispetto del quadro giuridico europeo e francese applicabile.

La presente Informativa sulla Privacy (di seguito l'«Informativa») è redatta in conformità con:

  • gli articoli da 12 a 14 del Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito il «RGPD»);
  • la Legge francese sulla protezione dei dati n. 78-17 del 6 gennaio 1978 (Loi Informatique et Libertés), modificata dalla Legge n. 2018-493 del 20 giugno 2018 e dall'Ordinanza n. 2018-1125 del 12 dicembre 2018;
  • la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva «ePrivacy»), recepita nell'articolo 82 della Legge francese sulla protezione dei dati;
  • le linee guida della CNIL del 17 settembre 2020 sui cookie e i tracciatori e la deliberazione CNIL n. 2020-091;
  • le raccomandazioni del Comitato europeo per la protezione dei dati (EDPB).

La Piattaforma Maloc si rivolge a due categorie di Utenti con status giuridici distinti ai sensi del RGPD:

  • I Noleggiatori (Loueurs): esclusivamente persone giuridiche (società francesi) o professionisti indipendenti registrati (di seguito i «Noleggiatori»). I dati trattati nei loro confronti includono dati relativi alla persona giuridica (dati aziendali) e dati personali riguardanti i loro rappresentanti legali e dirigenti. Questi ultimi sono soggetti alla protezione del RGPD.

  • I Locatari (Locataires): persone fisiche maggiorenni che agiscono a titolo non commerciale (di seguito i «Locatari»). Tali persone beneficiano della piena protezione del RGPD in qualità di consumatori.

La presente Informativa descrive in modo trasparente ed esaustivo: i dati raccolti in base al profilo dell'Utente, le finalità e le basi giuridiche di ciascun trattamento, i periodi di conservazione, i destinatari e i responsabili del trattamento, i trasferimenti al di fuori dell'Unione Europea, nonché i diritti degli interessati e le modalità del loro esercizio.

Articolo 1 — IDENTITÀ DEL TITOLARE DEL TRATTAMENTO

1.1. Titolare del trattamento:

MALOC SASU
Società per azioni semplificata unipersonale (société par actions simplifiée unipersonnelle)
Capitale sociale: 1.000 euro
SIREN: 985054923 — SIRET: 98505492300026
RCS Parigi
Sede legale: 15 quai aux fleurs, 75004 Parigi
E-mail generale: contact@maloc.life
Sito web: https://maloc.fr / https://maloc.fr

1.2. Responsabile della protezione dei dati (RPD):

Maloc ha designato un Responsabile della protezione dei dati (RPD) ai sensi dell'articolo 37 del RGPD:

Responsabile della protezione dei dati — MALOC SASU
E-mail: dpo@maloc.life
Indirizzo postale: MALOC SASU, 15 quai aux fleurs, 75004 Parigi
(Posta: «All'attenzione dell'RPD — Riservato»)

L'RPD è il punto di contatto principale per qualsiasi questione relativa alla protezione dei dati personali e per l'esercizio dei diritti degli interessati. L'RPD è indipendente nell'esercizio delle proprie funzioni e non può ricevere istruzioni relative alle proprie mansioni di protezione dei dati.

Articolo 2 — AMBITO DI APPLICAZIONE E DISTINZIONE B2B / B2C

2.1. Dati dei Locatari (persone fisiche — B2C)

I Locatari sono consumatori privati ai sensi del Codice del consumo francese. Beneficiano della piena protezione del RGPD in qualità di persone fisiche interessate. Tutte le disposizioni della presente Informativa si applicano loro senza restrizioni.

2.2. Dati dei Noleggiatori — persone giuridiche (B2B)

I Noleggiatori sono persone giuridiche. I dati relativi alla società in quanto tale (denominazione sociale, SIRET, numero di partita IVA, indirizzo della sede legale) non costituiscono dati personali ai sensi del RGPD.

Tuttavia, i dati personali dei rappresentanti legali, dirigenti e dipendenti delle società Noleggiatrici (cognome, nome, documento d'identità, firma) costituiscono dati personali protetti dal RGPD. La presente Informativa si applica a tali dati.

Base giuridica specifica: Il trattamento dei dati personali dei dirigenti delle società Noleggiatrici si fonda su due basi cumulative:

  • L'esecuzione del contratto B2B stipulato tra Maloc e la società Noleggiatrice (art. 6, par. 1, lett. b) RGPD), essendo il dirigente il rappresentante legale della parte contraente;
  • L'obbligo legale derivante dagli obblighi KYC nell'ambito della normativa antiriciclaggio (AML/CFT — Anti-Money Laundering / Countering the Financing of Terrorism), in particolare l'Ordinanza n. 2016-1635 del 1° dicembre 2016 (art. 6, par. 1, lett. c) RGPD).

2.3. Doppia qualità di Maloc

Per determinati trattamenti, Maloc agisce contemporaneamente in due qualità distinte:

  • Titolare del trattamento per i dati trattati per le proprie finalità (gestione della piattaforma, fatturazione, sicurezza);
  • Responsabile del trattamento dei Noleggiatori per i trattamenti effettuati per conto di questi ultimi tramite gli strumenti della Piattaforma (messaggistica, verbale di consegna del veicolo, gestione delle prenotazioni), ai sensi dell'articolo 28 del RGPD.

Articolo 3 — DATI PERSONALI RACCOLTI

3.1. Dati raccolti per i Locatari (B2C)

3.1.1. Dati di identità e contatto

  • Cognome e nome
  • Data di nascita (verifica della maggiore età)
  • Indirizzo postale completo
  • Numero di telefono cellulare
  • Indirizzo e-mail
  • Fotografia del profilo (facoltativa, caricata dall'Utente)

3.1.2. Dati di verifica dell'identità (KYC Locatario)

  • Copia del documento d'identità ufficiale (carta d'identità nazionale o passaporto): fronte/retro
  • Copia della patente di guida (fronte/retro): categoria/e, data di rilascio, paese di rilascio, numero
  • Codice OTP ricevuto via e-mail o SMS per l'autenticazione a ogni accesso e prenotazione

3.1.3. Dati di pagamento

  • Riferimenti delle transazioni Stripe (identificativi PaymentIntent, SetupIntent, Customer Stripe)
  • Storico delle transazioni (importi, date, stati, rimborsi)
  • Maloc non conserva in alcun caso numeri di carte bancarie, date di scadenza né codici di sicurezza; tali dati sono trattati esclusivamente da Stripe Technology Europe, Limited.

3.1.4. Dati di prenotazione e utilizzo

  • Date e orari di prenotazione, di check-in e di check-out
  • Luogo di ritiro e di restituzione del Veicolo (indirizzo statico fornito alla prenotazione)
  • Importi delle transazioni (prezzo di noleggio, spese di servizio, cauzione autorizzata)
  • Stati delle prenotazioni (in attesa, confermata, in corso, completata, annullata, controversia)
  • Recensioni e valutazioni pubblicate sulla Piattaforma
  • Storico delle prenotazioni

3.1.5. Dati del verbale di consegna digitale (check-in/check-out)

  • Fotografie con marca temporale del Veicolo (fino a 12 angolazioni: esterno, interno, dettagli, cerchioni, vetri, tetto)
  • Metadati delle fotografie: marca temporale precisa (UTC), coordinate GPS della posizione dello scatto (ovvero la posizione del Veicolo al momento del check-in o check-out)
  • Nota importante: Queste fotografie sono destinate a documentare lo stato del Veicolo. L'eventuale presenza fortuita di una persona fisica identificabile in queste fotografie costituisce un dato personale. Maloc raccomanda ai Noleggiatori e ai Locatari di non fotografare terzi identificabili durante il verbale di consegna del veicolo. In caso di presenza di una persona identificabile, le disposizioni applicabili ai dati personali degli articoli da 5 a 17 del RGPD si applicano a tali immagini.
  • La geolocalizzazione derivante dalle foto del verbale di consegna corrisponde esclusivamente all'indirizzo statico del Veicolo al momento della consegna/restituzione. Maloc non effettua alcun tracciamento GPS continuo del Veicolo durante il periodo di noleggio.

3.1.6. Dati di comunicazione

  • Messaggi scambiati tramite il sistema di messaggistica interna della Piattaforma
  • E-mail transazionali (conferme, promemoria, avvisi di prenotazione)
  • Richieste inviate al servizio clienti e storico degli scambi

3.1.7. Dati tecnici di connessione

  • Indirizzo IP di connessione
  • Tipo e versione del browser (user-agent), sistema operativo
  • Log di connessione (data, ora, durata, pagine visitate, azioni)
  • Identificativo di sessione
  • Dati di prestazione ed errori tecnici

3.2. Dati raccolti per i Noleggiatori (B2B — persone giuridiche e loro dirigenti)

3.2.1. Dati relativi alla persona giuridica (non personali ai sensi del RGPD)

  • Denominazione sociale, forma giuridica
  • Numero SIREN/SIRET, numero di partita IVA intracomunitaria
  • Indirizzo della sede legale e indirizzo operativo
  • Dati di contatto professionali generici (e-mail aziendale, telefono aziendale)
  • Estratto Kbis o documento di registrazione equivalente (documento della società)

3.2.2. Dati personali dei rappresentanti legali e dirigenti (RGPD applicabile)

  • Cognome, nome, funzione all'interno della società
  • Copia del documento d'identità ufficiale del rappresentante legale (carta d'identità nazionale o passaporto): fronte/retro — raccolta nell'ambito degli obblighi KYC/AML/CFT
  • Data di nascita del dirigente (verifica dell'identità KYC)
  • Firma elettronica del rappresentante legale
  • Indirizzo e-mail professionale personale (se diverso dall'e-mail aziendale)
  • Numero di telefono professionale personale (se diverso dal telefono aziendale)

3.2.3. Documenti professionali relativi ai veicoli

  • Certificati di assicurazione auto per ciascun Veicolo (documento della società, ma può contenere nomi)
  • Certificato di assicurazione di responsabilità civile professionale
  • Carte di circolazione dei Veicoli (certificato di immatricolazione)
  • Documenti di mandato di gestione (per i servizi di Concierge)

3.2.4. Dati relativi ai Veicoli

  • Fotografie del Veicolo (esterno, interno)
  • Caratteristiche tecniche (marca, modello, versione, anno, chilometraggio, colore)
  • Numero di targa, numero di VIN
  • Tariffe di noleggio configurate dal Noleggiatore
  • Indirizzo/i di disponibilità del Veicolo (indirizzo statico, geocodificato tramite HERE.com)
  • Storico dei noleggi del Veicolo

3.2.5. Dati finanziari del Noleggiatore

  • Coordinate bancarie (IBAN) per i versamenti tramite Stripe Connect
  • Storico dei versamenti ricevuti (date, importi, riferimenti)
  • Dati di fatturazione degli abbonamenti Piano Pro

3.2.6. Dati di punteggio e prestazioni

  • Numero e anzianità delle prenotazioni effettuate
  • Valutazione media ricevuta dai Locatari
  • Tasso di puntualità (rispetto degli orari di check-in e check-out)
  • Tasso di cancellazione da parte del Noleggiatore
  • Reattività alle richieste di prenotazione
  • Qualità e completezza del profilo e degli Annunci

Articolo 4 — REGISTRO SEMPLIFICATO DEI TRATTAMENTI

Conformemente all'articolo 30 del RGPD, la seguente tabella presenta in modo esaustivo l'insieme dei trattamenti effettuati da Maloc:

| N. | Trattamento | Dati interessati | Interessati | Base giuridica (art. 6 RGPD) | Periodo di conservazione | Destinatari | |---|---|---|---|---|---|---| | T01 | Creazione e gestione dell'account Utente | Identità, e-mail, telefono, password (con hash) | Noleggiatori (dirigenti) + Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | Durata del rapporto contrattuale + 3 anni | Maloc, Supabase | | T02 | Autenticazione OTP (e-mail/SMS) | E-mail o telefono, codice OTP | Noleggiatori (dirigenti) + Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | Durata della sessione (OTP scade dopo 10 min) | Maloc, Supabase, Resend, operatore SMS | | T03 | KYC Locatari — documento d'identità + patente di guida | Carta d'identità/passaporto, patente di guida | Locatari | Esecuzione del contratto + interesse legittimo (sicurezza, antifrode) — art. 6, par. 1, lett. b), f) | 30 giorni dopo la verifica (salvo controversia attiva) | Maloc, Supabase | | T04 | KYC Noleggiatori — documento d'identità del dirigente | Carta d'identità/passaporto del rappresentante legale | Dirigenti delle società Noleggiatrici | Esecuzione del contratto B2B + obbligo legale AML/CFT — art. 6, par. 1, lett. b), c) | 5 anni dopo la cessazione del rapporto commerciale (art. L561-12 Codice monetario e finanziario francese) | Maloc, Supabase | | T05 | KYC Noleggiatori — KBIS | Estratto Kbis (dati della società) | Persone giuridiche (non RGPD per la società) | Obbligo legale AML/CFT — art. 6, par. 1, lett. c) | 5 anni dopo la cessazione del rapporto commerciale | Maloc, Supabase | | T06 | KYC Noleggiatori — certificati assicurativi | Certificati assicurativi (società + RC professionale) | Società Noleggiatrici | Esecuzione del contratto + interesse legittimo — art. 6, par. 1, lett. b), f) | Durata del contratto + 5 anni (prescrizione quinquennale di diritto comune) | Maloc, Supabase | | T07 | Prenotazione e gestione del noleggio | Identità, patente, veicolo, date, luogo, importi | Noleggiatori (dirigenti) + Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | 5 anni dopo l'ultimo noleggio (prescrizione art. 2224 Codice civile francese) | Maloc, Supabase, Stripe, controparte (Noleggiatore/Locatario) | | T08 | Elaborazione dei pagamenti | Riferimenti Stripe, storico transazioni | Locatari (pagamenti), Noleggiatori (versamenti) | Esecuzione del contratto — art. 6, par. 1, lett. b) | 13 mesi dopo la transazione (PSD2) + 10 anni (contabilità) | Maloc, Stripe | | T09 | Gestione della cauzione (preautorizzazione) | Importo autorizzato, riferimento Stripe, stato | Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | 7 giorni dopo il check-out (poi rilascio) + durata dell'eventuale controversia | Maloc, Stripe | | T10 | Fatturazione e contabilità | Fatture, importi, identità delle parti | Noleggiatori (dirigenti) + Locatari | Obbligo legale — art. 6, par. 1, lett. c) (art. L123-22 Codice di commercio francese) | 10 anni dalla data di emissione | Maloc, commercialista | | T11 | Verbale di consegna digitale del veicolo (check-in/check-out) | Foto con marca temporale (12 angolazioni), GPS del luogo di consegna, firme elettroniche | Noleggiatori (dirigenti) + Locatari (+ terzi se visibili nelle foto) | Esecuzione del contratto + interesse legittimo (prova) — art. 6, par. 1, lett. b), f) | 5 anni dal check-out | Maloc, Supabase, Cloudflare R2 | | T12 | Geolocalizzazione dell'indirizzo del Veicolo | Indirizzo statico del luogo di disponibilità (geocodificato) | Noleggiatori | Esecuzione del contratto — art. 6, par. 1, lett. b) | Durata della pubblicazione dell'Annuncio | Maloc, HERE.com (geocodifica) | | T13 | Messaggistica interna | Contenuto dei messaggi, identità delle parti | Noleggiatori (dirigenti) + Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | 5 anni dopo l'ultimo utilizzo | Maloc, Supabase | | T14 | E-mail transazionali | Indirizzo e-mail, contenuto delle e-mail transazionali | Noleggiatori (dirigenti) + Locatari | Esecuzione del contratto — art. 6, par. 1, lett. b) | 3 anni dopo la cessazione del rapporto contrattuale | Maloc, Resend | | T15 | Gestione delle recensioni e valutazioni | Testo della recensione, valutazione, identità dell'autore | Noleggiatori (dirigenti) + Locatari | Interesse legittimo (miglioramento della fiducia) — art. 6, par. 1, lett. f) | Durata della pubblicazione (max 5 anni) salvo richiesta di cancellazione | Maloc, Supabase | | T16 | Punteggio dei Noleggiatori | Dati di prestazione (v. §3.2.6), punteggio calcolato | Noleggiatori (persone giuridiche + dirigenti) | Interesse legittimo — art. 6, par. 1, lett. f) | Durata dell'account + 1 anno | Maloc (trattamento interno) | | T17 | Gestione delle controversie | Tutti gli elementi pertinenti alla controversia (prenotazione, foto, messaggi, identità) | Noleggiatori (dirigenti) + Locatari | Interesse legittimo + obbligo legale — art. 6, par. 1, lett. c), f) | 5 anni dalla chiusura definitiva della controversia (art. 2224 Codice civile francese) | Maloc, avvocati, assicuratori, tribunali | | T18 | Segnalazione di infrazioni al codice della strada | Identità del conducente, infrazione, veicolo | Noleggiatori (in qualità di responsabili), Locatari | Obbligo legale (art. L121-6 Codice della strada francese) — art. 6, par. 1, lett. c) | 5 anni dall'infrazione | Maloc, autorità pubbliche | | T19 | Obblighi DAC7 (dichiarazioni fiscali) | Identità del Noleggiatore, importi delle transazioni | Noleggiatori | Obbligo legale (Direttiva (UE) 2021/514) — art. 6, par. 1, lett. c) | 10 anni | Maloc, amministrazione fiscale (DGFIP) | | T20 | Log di connessione e sicurezza | Indirizzo IP, user-agent, marca temporale, azioni | Noleggiatori (dirigenti) + Locatari | Obbligo legale (art. 6 III LCEN) + interesse legittimo — art. 6, par. 1, lett. c), f) | 1 anno | Maloc, Supabase, Hetzner | | T21 | Statistiche di utilizzo anonimizzate | Dati aggregati e anonimizzati (non personali) | — (anonimizzati) | Interesse legittimo — art. 6, par. 1, lett. f) | Indefinita (dati anonimizzati, fuori dall'ambito del RGPD) | Maloc | | T22 | Newsletter e comunicazioni di marketing | E-mail, preferenze | Noleggiatori (dirigenti) + Locatari (se hanno prestato il consenso) | Consenso — art. 6, par. 1, lett. a) | Fino alla revoca del consenso, poi cancellazione entro 3 anni | Maloc, Resend | | T23 | Cookie analitici | Identificativo di sessione, pagine visitate, comportamento di navigazione | Visitatori, Noleggiatori, Locatari (se hanno prestato il consenso) | Consenso — art. 6, par. 1, lett. a) | 13 mesi al massimo (raccomandazione CNIL) | Maloc, strumento di analisi | | T24 | Meta Pixel (pubblicità mirata) | Identificativo del browser, eventi di navigazione | Visitatori, Noleggiatori, Locatari (se hanno prestato il consenso) | Consenso — art. 6, par. 1, lett. a) | 13 mesi al massimo | Maloc, Meta Platforms, Inc. | | T25 | Sintesi vocale TTS (accessibilità) | Dati testuali inviati al servizio TTS (nessun dato identificativo trasmesso) | Utenti (indirettamente) | Interesse legittimo (accessibilità) — art. 6, par. 1, lett. f) | Nessuna conservazione (trattamento in tempo reale, non archiviato) | Maloc, ElevenLabs, Inc. (se attivato) | | T26 | Registro delle violazioni dei dati | Natura della violazione, dati interessati, misure adottate | Interessati coinvolti nella violazione | Obbligo legale (art. 33 RGPD) — art. 6, par. 1, lett. c) | 5 anni | Maloc (registro interno), CNIL | | T27 | Esercizio dei diritti RGPD | Identità del richiedente, natura della richiesta, risposta fornita | Noleggiatori (dirigenti) + Locatari | Obbligo legale (art. 12 RGPD) — art. 6, par. 1, lett. c) | 3 anni (prova di conformità) | Maloc (RPD) |

Articolo 5 — PERIODI DI CONSERVAZIONE DETTAGLIATI

5.1. Dati dei Locatari (B2C)

| Categoria di dati | Periodo di conservazione | Giustificazione | |---|---|---| | Dati dell'account (identità, e-mail) | Durata del rapporto contrattuale + 3 anni | Prospezione commerciale post-contrattuale (art. L223-1 CPCE) | | Documento d'identità (carta d'identità/passaporto) | 30 giorni dopo la verifica KYC | Minimizzazione dei dati (art. 5, par. 1, lett. e) RGPD) — salvo controversia attiva | | Patente di guida | 30 giorni dopo la verifica KYC — salvo prenotazione in corso o controversia | Minimizzazione dei dati | | Dati di prenotazione | 5 anni dopo l'ultimo noleggio | Prescrizione di diritto comune (art. 2224 Codice civile francese) | | Dati di pagamento (riferimenti Stripe) | 13 mesi dopo la transazione | Conformità PSD2 (Direttiva (UE) 2015/2366) | | Fatture (documenti contabili) | 10 anni dalla data di emissione | Art. L123-22 Codice di commercio francese | | Foto di check-in/check-out | 5 anni dal check-out | Prova in caso di controversia sullo stato del veicolo | | Messaggi interni | 5 anni dopo l'ultimo utilizzo | Prova contrattuale | | Log di connessione | 1 anno | Art. 6 III LCEN | | Cookie e tracciatori | 13 mesi al massimo | Raccomandazione CNIL del 17 settembre 2020 | | Dati relativi a controversie | 5 anni dopo la chiusura definitiva | Art. 2224 Codice civile francese |

5.2. Dati dei dirigenti dei Noleggiatori (B2B — persone fisiche)

| Categoria di dati | Periodo di conservazione | Giustificazione | |---|---|---| | Dati di identificazione del dirigente | Durata del rapporto commerciale + 5 anni | Prescrizione commerciale (art. L110-4 Codice di commercio francese) | | Documento d'identità del rappresentante legale | 5 anni dopo la cessazione del rapporto commerciale | Obbligo AML/CFT (art. L561-12 Codice monetario e finanziario francese) | | Estratto Kbis | 5 anni dopo la cessazione del rapporto commerciale | Obbligo AML/CFT | | Certificati assicurativi (veicoli + RC professionale) | Durata del contratto assicurativo + 5 anni | Prescrizione quinquennale di diritto comune | | IBAN e dati bancari del Noleggiatore | Durata del rapporto commerciale + 5 anni | Prescrizione commerciale | | Dati di punteggio | Durata dell'account + 1 anno | Interesse legittimo (storico delle prestazioni) | | Dati di prenotazione / transazioni | 5 anni dopo l'ultima transazione | Prescrizione commerciale (art. L110-4 Codice di commercio francese) | | Fatture (abbonamenti, commissioni) | 10 anni dalla data di emissione | Art. L123-22 Codice di commercio francese | | Dati DAC7 | 10 anni | Direttiva (UE) 2021/514 |

5.3. Dati alla cessazione del rapporto contrattuale

In caso di cancellazione dell'account da parte dell'Utente o di risoluzione del rapporto contrattuale:

  1. I dati vengono anonimizzati entro trenta (30) giorni per i dati non soggetti a un obbligo legale di conservazione;
  2. I dati soggetti a obbligo legale vengono archiviati ad accesso limitato (solo RPD) per la durata legale applicabile;
  3. I log di connessione vengono cancellati alla scadenza del termine legale di un (1) anno;
  4. I dati necessari alla difesa dei diritti di Maloc in una controversia in corso vengono conservati fino alla risoluzione definitiva della suddetta controversia.

Articolo 6 — DESTINATARI DEI DATI PERSONALI

6.1. Condivisione tra le parti della transazione

Nell'ambito di ciascuna prenotazione, Maloc comunica a ciascuna parte le informazioni strettamente necessarie all'esecuzione del Contratto di noleggio, conformemente al principio di minimizzazione dei dati (art. 5, par. 1, lett. c) RGPD):

Il Locatario riceve:

  • Denominazione sociale del Noleggiatore e nome del referente operativo
  • Informazioni e fotografie del Veicolo
  • Certificato assicurativo del Veicolo (versione abbreviata)
  • Indirizzo di ritiro del Veicolo
  • Numero di telefono professionale del Noleggiatore

Il Noleggiatore riceve:

  • Cognome e nome del Locatario
  • Numero di telefono cellulare del Locatario
  • Numero della patente di guida (categoria, data di rilascio) — non la copia integrale
  • Stato della verifica KYC (convalidato / in attesa / rifiutato) — senza accesso ai documenti originali

6.2. Responsabili del trattamento tecnici (art. 28 RGPD)

Tutti i responsabili del trattamento tecnici di Maloc sono vincolati da un Accordo per il trattamento dei dati (DPA — Data Processing Agreement) conforme all'articolo 28 del RGPD:

| Responsabile del trattamento | Ruolo | Sede legale | Ubicazione effettiva dei dati | Meccanismo di trasferimento fuori dall'UE | |---|---|---|---|---| | Supabase Inc. | Database principale, autenticazione, archiviazione strutturata | San Francisco, USA | Francoforte, Germania (UE) — regione eu-central-1 | Dati archiviati nell'UE — nessun trasferimento fuori dall'UE per i dati di Maloc | | Hetzner Online GmbH | Hosting dei server applicativi | Gunzenhausen, Germania (UE) | Germania (UE) | Trasferimento intra-UE — nessun meccanismo richiesto | | Cloudflare, Inc. | CDN, archiviazione di file statici (R2), protezione DDoS, WAF | San Francisco, USA | UE (per R2 Europa) + USA (rete CDN globale) | SCC (Decisione 2021/914) + DPF (decisione di adeguatezza UE-USA, 10 luglio 2023) | | Stripe Technology Europe, Limited | Elaborazione dei pagamenti, verifica dell'identità finanziaria, Stripe Connect | Dublino, Irlanda (UE) | UE + Stripe, Inc. (USA) per determinati trattamenti | SCC + DPF — Stripe certificato DPF | | Resend, Inc. | Invio di e-mail transazionali | San Francisco, USA | USA | SCC (Decisione 2021/914) | | Meta Platforms Ireland Limited | Meta Pixel — pubblicità mirata (se consenso prestato) | Dublino, Irlanda (UE) | UE + Meta, Inc. USA | SCC + DPF — Meta certificato DPF | | HERE Global B.V. | Geocodifica degli indirizzi dei veicoli (conversione indirizzo in coordinate GPS) | Eindhoven, Paesi Bassi (UE) | UE | Trasferimento intra-UE — nessun meccanismo richiesto | | ElevenLabs, Inc. (se la funzionalità TTS è attivata) | Sintesi vocale (Text-to-Speech) per l'accessibilità | New York, USA | USA | SCC (Decisione 2021/914) — dati testuali non identificativi |

Precisazione su HERE.com: Il servizio di geocodifica HERE è utilizzato esclusivamente per convertire gli indirizzi statici di disponibilità dei Veicoli in coordinate GPS, al fine di visualizzare tali Veicoli sulla mappa della Piattaforma. Nessun dato personale dei Locatari o dei dirigenti dei Noleggiatori viene trasmesso a HERE.com.

Precisazione su ElevenLabs: La funzionalità di sintesi vocale, quando attivata, riceve esclusivamente dati testuali relativi alle descrizioni dei veicoli e alle informazioni di servizio. Nessun dato personale identificativo (cognome, nome, dati di contatto) viene trasmesso a ElevenLabs.

6.3. Autorità pubbliche

Maloc può essere tenuta a comunicare dati personali alle autorità competenti su richiesta legale o giudiziaria:

  • Servizi di polizia o gendarmeria nell'ambito di un'indagine giudiziaria;
  • Amministrazione fiscale (DGFIP) nell'ambito degli obblighi DAC7;
  • CNIL nell'ambito delle sue funzioni di controllo (art. 47 Legge francese sulla protezione dei dati);
  • Tribunali nell'ambito di procedimenti contenziosi.

Maloc si impegna a effettuare tali comunicazioni solo nell'ambito strettamente previsto dalla legge e a informare l'Utente interessato nei limiti del possibile e del legalmente consentito.

6.4. Nessuna vendita di dati

Maloc si impegna formalmente e irrevocabilmente a non vendere, affittare, cedere a titolo oneroso né scambiare i dati personali dei propri Utenti con terzi a fini commerciali.

Articolo 7 — TRASFERIMENTI DI DATI AL DI FUORI DELL'UNIONE EUROPEA

7.1. Principio di localizzazione nell'Unione Europea

Maloc si adopera per mantenere i dati personali dei propri Utenti all'interno dell'Unione Europea:

  • Il database principale (Supabase) è ospitato a Francoforte, Germania;
  • I server applicativi (Hetzner) sono ospitati in Germania;
  • La geocodifica (HERE.com) è elaborata nei Paesi Bassi (UE).

7.2. Trasferimenti verso gli Stati Uniti

Alcuni responsabili del trattamento hanno sede o operano parzialmente negli Stati Uniti. Tali trasferimenti sono regolati conformemente agli articoli da 44 a 49 del RGPD mediante i seguenti meccanismi:

a) Data Privacy Framework (DPF) — Decisione di adeguatezza della Commissione europea del 10 luglio 2023 (C(2023) 4745):

  • Stripe, Inc. — certificato DPF
  • Cloudflare, Inc. — certificato DPF
  • Meta Platforms, Inc. — certificato DPF

b) Clausole contrattuali tipo (SCC) — Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021:

  • Resend, Inc.
  • ElevenLabs, Inc.
  • Cloudflare, Inc. (SCC complementari al DPF)

7.3. Misure di protezione complementari

Conformemente alle raccomandazioni dell'EDPB (Guidelines 05/2021 sui trasferimenti di dati personali ai sensi del RGPD), Maloc attua le seguenti misure complementari:

  • Cifratura dei dati in transito tramite TLS 1.3 (minimo TLS 1.2) per tutte le comunicazioni;
  • Cifratura dei dati a riposo per i dati sensibili (documenti d'identità, dati KYC);
  • Pseudonimizzazione dei dati negli ambienti di sviluppo e test;
  • Principio di minimizzazione: solo i dati strettamente necessari vengono trasmessi ai responsabili del trattamento al di fuori dell'UE.

7.4. Registro dei trasferimenti internazionali

Maloc tiene un registro dei trasferimenti internazionali di dati conformemente all'articolo 30, par. 1, lett. e) del RGPD. Tale registro è disponibile su richiesta motivata inviata a dpo@maloc.life.

Articolo 8 — DIRITTI DEGLI INTERESSATI

Conformemente agli articoli da 15 a 22 del RGPD, ogni interessato — compresi i dirigenti delle società Noleggiatrici per quanto riguarda i loro dati personali — dispone dei seguenti diritti:

8.1. Diritto di accesso (art. 15 RGPD)

Ogni interessato può ottenere la conferma che i dati che lo riguardano sono trattati da Maloc e accedere all'insieme di tali dati, alle informazioni sulle finalità, i destinatari, i periodi di conservazione e i diritti disponibili. Una copia dei dati può essere fornita in formato leggibile.

8.2. Diritto di rettifica (art. 16 RGPD)

I dati inesatti possono essere rettificati direttamente dall'area personale o su richiesta all'RPD. Per i dati KYC (documenti d'identità scaduti, cambio di dirigente), l'Utente è invitato a presentare i documenti aggiornati tramite la Piattaforma.

8.3. Diritto alla cancellazione — «Diritto all'oblio» (art. 17 RGPD)

Ogni interessato può richiedere la cancellazione dei propri dati quando:

  • I dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti;
  • Il consenso sia stato revocato e non sussista altra base giuridica;
  • Sia stata esercitata un'opposizione valida (art. 21 RGPD);
  • I dati siano stati oggetto di trattamento illecito.

Limiti di questo diritto: La cancellazione non può essere concessa quando il trattamento sia necessario per l'adempimento di un obbligo legale di conservazione (dati contabili, AML/CFT), per l'accertamento o la difesa di un diritto in sede giudiziaria, o per fini di archiviazione nel pubblico interesse.

8.4. Diritto alla portabilità dei dati (art. 20 RGPD)

I dati trattati sulla base del contratto o del consenso possono essere recuperati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON o CSV). Questo diritto si applica ai Locatari e ai dirigenti dei Noleggiatori per i loro dati personali.

8.5. Diritto di opposizione (art. 21 RGPD)

Ogni interessato può opporsi in qualsiasi momento:

  • Al trattamento fondato sull'interesse legittimo di Maloc, per motivi connessi alla propria situazione particolare — Maloc deve allora dimostrare motivi legittimi cogenti prevalenti sugli interessi dell'interessato;
  • Alla prospezione commerciale (opposizione assoluta, senza giustificazione richiesta);
  • All'inclusione nel sistema di punteggio dei Noleggiatori (v. Articolo 11).

L'opposizione alla prospezione commerciale può essere esercitata direttamente dalle impostazioni di notifica dell'account o scrivendo a dpo@maloc.life.

8.6. Diritto alla limitazione del trattamento (art. 18 RGPD)

La limitazione del trattamento può essere richiesta in particolare:

  • In caso di contestazione dell'esattezza dei dati, per la durata della verifica da parte di Maloc;
  • Se il trattamento è illecito e l'interessato si oppone alla cancellazione;
  • Se Maloc non ha più bisogno dei dati ma l'interessato ne ha bisogno per l'accertamento di diritti in sede giudiziaria.

8.7. Diritto di revoca del consenso (art. 7, par. 3 RGPD)

La revoca del consenso (cookie, marketing) può essere esercitata in qualsiasi momento, senza pregiudicare la liceità dei trattamenti precedenti. La revoca si effettua tramite il banner di gestione dei cookie o via e-mail a dpo@maloc.life. La revoca ha effetto entro un periodo massimo di 72 ore.

8.8. Diritto di proporre reclamo alla CNIL (art. 77 RGPD)

Ogni interessato può proporre reclamo all'autorità di controllo competente:

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Parigi Cedex 07
Telefono: +33 (0)1 53 73 22 22
Sito web: https://www.cnil.fr
Modulo online: https://www.cnil.fr/fr/plaintes

8.9. Modalità pratiche di esercizio dei diritti

Come esercitare i propri diritti:

  • Via e-mail: dpo@maloc.life (oggetto: «Esercizio dei diritti RGPD — [Natura del diritto]»)
  • Via posta: MALOC SASU, 15 quai aux fleurs, 75004 Parigi — All'attenzione dell'RPD (riservato)
  • Tramite l'area personale sulla Piattaforma per i diritti direttamente accessibili (rettifica, opposizione al marketing)

Tempi di risposta: Maloc si impegna a rispondere entro trenta (30) giorni di calendario dalla ricezione della richiesta (art. 12, par. 3 RGPD). Tale termine può essere prorogato di due (2) mesi supplementari in caso di complessità o di un numero elevato di richieste, con notifica motivata entro il termine iniziale di trenta giorni.

Verifica dell'identità: Per trattare le richieste sensibili può essere richiesta una copia di un documento d'identità, al fine di prevenire accessi fraudolenti. Tale documento viene cancellato una volta trattata la richiesta.

Gratuità: L'esercizio dei diritti è gratuito. In caso di richieste manifestamente infondate o eccessive (frequenza abusiva), Maloc può addebitare spese ragionevoli o rifiutare di dar seguito, con notifica motivata (art. 12, par. 5 RGPD).

Articolo 9 — PROFILAZIONE E DECISIONI AUTOMATIZZATE

9.1. Sistema di punteggio dei Noleggiatori

Maloc utilizza un sistema di punteggio automatizzato per valutare la qualità del servizio dei Noleggiatori sulla Piattaforma. Tale punteggio è calcolato sulla base di criteri oggettivi di prestazione:

| Criterio | Ponderazione indicativa | |---|---| | Valutazione media ricevuta dai Locatari | Significativa | | Tasso di puntualità (check-in/check-out) | Significativo | | Tasso di cancellazione da parte del Noleggiatore | Significativo | | Reattività alle richieste di prenotazione | Moderata | | Qualità e completezza del profilo e degli Annunci | Moderata | | Numero e anzianità delle prenotazioni | Moderata | | Tasso di risoluzione delle controversie a favore del Locatario | Significativo |

Base giuridica: Interesse legittimo di Maloc (art. 6, par. 1, lett. f) RGPD) — miglioramento della qualità del servizio e protezione dei Locatari. Maloc ha effettuato un test di bilanciamento che conferma che tale interesse prevale sugli interessi dei Noleggiatori, tenuto conto della natura professionale di questi ultimi e degli effetti limitati del punteggio.

Effetti del punteggio:

  • Influenza sulla classificazione degli Annunci nei risultati di ricerca;
  • Un punteggio insufficiente può attivare una procedura di verifica o di avvertimento;
  • Il punteggio non comporta la risoluzione automatica dell'account (v. §9.3).

9.2. Diritto di opt-out dal punteggio

Ogni Noleggiatore può opporsi all'inclusione dei propri dati nel sistema di punteggio inviando una richiesta a dpo@maloc.life. In caso di opposizione valida, il Noleggiatore sarà escluso dal sistema di classificazione basato sul punteggio, il che può comportare una ridotta visibilità dei suoi Annunci nei risultati di ricerca. Maloc informerà il Noleggiatore delle conseguenze pratiche della sua opposizione prima di attuarla.

9.3. Assenza di decisioni esclusivamente automatizzate con effetti giuridici

Conformemente all'articolo 22 del RGPD, Maloc si impegna a non adottare alcuna decisione che produca effetti giuridici significativi — in particolare risoluzione dell'account, sospensione permanente, divieto di accesso — sulla sola base di un trattamento interamente automatizzato, senza intervento umano. Ogni decisione di sospensione o esclusione di un account è soggetta a una revisione umana preliminare da parte del team Trust & Safety di Maloc.

9.4. Diritto a una spiegazione e diritto di contestazione

Ogni Utente interessato da una decisione che coinvolga un trattamento automatizzato dispone:

  • Del diritto di ottenere una spiegazione sulla logica del trattamento e sui criteri utilizzati (art. 22, par. 3 RGPD);
  • Del diritto di contestare la decisione davanti a un interlocutore umano di Maloc;
  • Del diritto di far valere il proprio punto di vista prima che la decisione diventi definitiva.

Tali diritti si esercitano inviando una richiesta a dpo@maloc.life o tramite la procedura di ricorso interno prevista nelle Condizioni Generali di Utilizzo.

Articolo 10 — SICUREZZA DEI DATI

10.1. Misure tecniche e organizzative (art. 32 RGPD)

Maloc attua le misure di sicurezza appropriate in relazione ai rischi identificati nella Valutazione d'impatto sulla protezione dei dati (DPIA):

Misure tecniche:

  • Cifratura in transito: TLS 1.3 (minimo TLS 1.2) per tutte le comunicazioni tra gli Utenti e la Piattaforma (HTTPS obbligatorio);
  • Cifratura a riposo: Cifratura AES-256 dei dati sensibili (documenti d'identità, dati KYC) nei database;
  • Autenticazione forte: Autenticazione OTP (codice monouso via e-mail o SMS) per ogni accesso e azione sensibile;
  • Hashing delle password: Archiviazione in forma di hash con bcrypt (costo >= 12);
  • Isolamento degli ambienti: Separazione rigorosa degli ambienti di produzione, staging e sviluppo;
  • Pseudonimizzazione: Utilizzo di dati pseudonimizzati negli ambienti di test.

Misure organizzative:

  • Controllo degli accessi: Principio del privilegio minimo — accesso ai dati personali strettamente limitato alle persone autorizzate in base al loro ruolo;
  • Registrazione: Log di accesso ai dati sensibili, conservati per un (1) anno, che consentono la rilevazione di accessi non autorizzati;
  • Backup: Backup crittografati regolari (giornalieri), archiviati in ambienti sicuri geograficamente separati dalla produzione;
  • Formazione: Formazione annuale dei team di Maloc sulle migliori pratiche di protezione dei dati;
  • Revisione degli accessi: Revisione trimestrale delle autorizzazioni di accesso ai dati.

10.2. Violazione dei dati — Procedura (art. 33-34 RGPD)

In caso di violazione dei dati personali (accesso non autorizzato, distruzione, perdita, alterazione, divulgazione non autorizzata), Maloc applica la seguente procedura:

Fase 1 — Rilevazione e qualificazione (H+0 a H+4):

  • Identificazione della natura della violazione e dei dati interessati;
  • Valutazione della probabilità di rischio per i diritti e le libertà degli interessati;
  • Attivazione della cellula di crisi interna.

Fase 2 — Notifica alla CNIL (entro 72 ore):

  • Conformemente all'articolo 33 del RGPD, Maloc notifica alla CNIL entro settantadue (72) ore dal momento in cui è venuta a conoscenza di una violazione suscettibile di generare un rischio per i diritti e le libertà degli interessati;
  • La notifica comprende: la natura della violazione, le categorie e il numero approssimativo degli interessati coinvolti, i dati interessati, le conseguenze probabili, le misure adottate o proposte;
  • Se la notifica non può essere completa entro le 72 ore, viene inviata una notifica iniziale e completata senza ingiustificato ritardo.

Fase 3 — Notifica agli interessati (in caso di rischio elevato):

  • Conformemente all'articolo 34 del RGPD, Maloc informa senza ingiustificato ritardo gli interessati quando la violazione sia suscettibile di generare un rischio elevato per i loro diritti e libertà (es.: furto d'identità, discriminazione, danno finanziario);
  • La comunicazione descrive in termini chiari la natura della violazione, i dati interessati, le conseguenze probabili e le misure adottate per porvi rimedio;
  • La comunicazione viene effettuata tramite l'e-mail associata all'account dell'Utente e, se del caso, tramite notifica in-app.

Fase 4 — Documentazione:

  • Ogni violazione dei dati viene documentata nel registro interno delle violazioni (art. 33, par. 5 RGPD), conservato per cinque (5) anni, indipendentemente dal fatto che sia stata notificata alla CNIL.

Articolo 11 — GEOLOCALIZZAZIONE E FOTOGRAFIE

11.1. Geolocalizzazione dei Veicoli — Solo indirizzo statico

La Piattaforma Maloc utilizza dati di geolocalizzazione nei seguenti contesti:

  • Visualizzazione cartografica degli Annunci: L'indirizzo di disponibilità del Veicolo, indicato dal Noleggiatore, viene geocodificato tramite il servizio HERE.com (conversione indirizzo in coordinate GPS) per visualizzare il Veicolo sulla mappa di ricerca. Si tratta di un indirizzo statico scelto dal Noleggiatore, non di una posizione in tempo reale.

  • Metadati GPS delle foto del verbale di consegna: Le coordinate GPS estratte dalle fotografie di check-in/check-out corrispondono alla posizione geografica del luogo di consegna o restituzione del Veicolo al momento dello scatto. Tali coordinate servono a marcare temporalmente e geolocalizzare il verbale di consegna a fini probatori.

Maloc non effettua in alcun caso:

  • Un tracciamento GPS continuo o periodico del Veicolo durante il periodo di noleggio;
  • Una raccolta della posizione geografica in tempo reale del Locatario o del Noleggiatore tramite la Piattaforma;
  • Alcuna forma di sorveglianza della mobilità degli Utenti.

11.2. Fotografie del verbale di consegna — Trattamento di dati potenzialmente sensibili

Le fotografie del verbale di consegna (check-in/check-out) hanno come oggetto esclusivo la documentazione dello stato del Veicolo. Tali fotografie possono, in modo fortuito, catturare persone fisiche identificabili (passanti, altre persone presenti durante il verbale di consegna).

Misure applicabili:

  • Maloc raccomanda espressamente alle parti di non fotografare terzi identificabili durante il verbale di consegna;
  • In caso di presenza di una persona identificabile in una fotografia, tale immagine costituisce un dato personale ai sensi del RGPD ed è soggetta alle protezioni corrispondenti;
  • Le persone identificabili che compaiono fortuitamente in queste fotografie possono esercitare il loro diritto di accesso e di cancellazione presso l'RPD (dpo@maloc.life), fatto salvo l'obbligo di conservazione a fini probatori;
  • L'accesso alle fotografie è strettamente limitato: le parti della transazione (Noleggiatore e Locatario) vi hanno accesso, così come Maloc e, se del caso, le autorità competenti nell'ambito di una controversia.

Periodo di conservazione: 5 anni dal check-out (valore probatorio in caso di controversia sullo stato del Veicolo).

Articolo 12 — COOKIE E TRACCIATORI

12.1. Quadro normativo applicabile

La gestione dei cookie e dei tracciatori è disciplinata da:

  • la Direttiva 2002/58/CE relativa alla vita privata nelle comunicazioni elettroniche (ePrivacy);
  • l'articolo 82 della Legge francese sulla protezione dei dati (recepimento francese della Direttiva ePrivacy);
  • le raccomandazioni della CNIL del 17 settembre 2020 sui cookie e i tracciatori (deliberazione n. 2020-091);
  • le linee guida dell'EDPB sul consenso (Guidelines 05/2020).

12.2. Principio del consenso preventivo

Conformemente all'articolo 82 della Legge francese sulla protezione dei dati, solo i cookie strettamente necessari al funzionamento della Piattaforma possono essere installati senza il consenso preventivo dell'Utente. Tutti gli altri cookie richiedono un consenso libero, specifico, informato e inequivocabile (art. 4, n. 11 RGPD).

12.3. Assenza di cookie wall — Accesso libero senza consenso ai cookie non essenziali

Conformemente alle linee guida della CNIL e alla giurisprudenza dell'EDPB, il rifiuto dei cookie non essenziali non può condizionare l'accesso alla Piattaforma. Ogni Utente può accedere e utilizzare tutte le funzionalità della Piattaforma Maloc senza accettare i cookie analitici o di marketing. L'assenza di un cookie wall è una garanzia fondamentale della libertà del consenso.

12.4. Simmetria del consenso e del rifiuto

Conformemente alle linee guida CNIL 2020, rifiutare i cookie deve essere altrettanto semplice quanto accettarli. L'interfaccia di gestione dei cookie della Piattaforma offre:

  • Un pulsante «Accetta tutto» e un pulsante «Rifiuta tutto» con presentazione e accessibilità equivalenti;
  • La possibilità di una configurazione granulare per categoria di cookie;
  • Nessun vincolo di navigazione aggiuntivo per accedere al pulsante di rifiuto.

12.5. Tabella dei cookie utilizzati

a) Cookie strettamente necessari — Esenti dal consenso (art. 82 Legge francese sulla protezione dei dati)

| Nome / Identificativo | Editore | Finalità | Durata | |---|---|---|---| | sb-[project]-auth-token | Maloc (Supabase) | Mantenimento della sessione autenticata dell'Utente | Durata della sessione | | csrf_token | Maloc | Protezione contro gli attacchi Cross-Site Request Forgery (CSRF) | Durata della sessione | | user_prefs | Maloc | Memorizzazione delle preferenze di visualizzazione (lingua, fuso orario) | 13 mesi |

Questi cookie sono indispensabili per il funzionamento tecnico della Piattaforma. La loro disattivazione renderebbe la Piattaforma inutilizzabile o non sicura. Non raccolgono dati a fini di tracciamento comportamentale.

b) Cookie analitici — Consenso richiesto

| Strumento | Editore | Finalità | Durata | Base giuridica | |---|---|---|---|---| | Strumento analitico (da precisare al momento del lancio) | Da precisare | Misurazione dell'audience anonimizzata: pagine visitate, durata delle sessioni, frequenza di rimbalzo — dati aggregati e anonimizzati | 13 mesi al massimo | Consenso — art. 6, par. 1, lett. a) RGPD + art. 82 Legge francese sulla protezione dei dati |

Se i dati raccolti sono rigorosamente aggregati e anonimizzati, Maloc potrà eventualmente richiedere un'esenzione dal consenso alla CNIL conformemente alla sua deliberazione n. 2022-253 del 19 luglio 2022 (cookie analitici di misurazione dell'audience esenti).

c) Cookie di marketing e pubblicitari — Consenso richiesto

| Strumento | Editore | ID / Identificativo | Finalità | Durata | Base giuridica | |---|---|---|---|---|---| | Meta Pixel | Meta Platforms Ireland Limited | ID Pixel: 1605202037392588 | Misurazione dell'efficacia delle campagne pubblicitarie Meta (Facebook, Instagram), retargeting pubblicitario, creazione di audience simili | 13 mesi al massimo | Consenso — art. 6, par. 1, lett. a) RGPD + art. 82 Legge francese sulla protezione dei dati |

Il Meta Pixel è inattivo per impostazione predefinita. Viene caricato e installa cookie solo dopo aver ottenuto il consenso esplicito dell'Utente. In caso di rifiuto o assenza di scelta, nessun cookie Meta viene installato e nessun identificativo di tracciamento viene trasmesso a Meta Platforms.

12.6. Interfaccia di gestione dei cookie (Consent Management Platform)

Un banner di gestione dei cookie conforme alle raccomandazioni della CNIL viene visualizzato a ogni prima visita sulla Piattaforma e in caso di qualsiasi modifica sostanziale dei cookie utilizzati. L'Utente può modificare in qualsiasi momento le proprie preferenze tramite il link «Gestisci i miei cookie» disponibile in fondo a ogni pagina della Piattaforma.

12.7. Durata di validità del consenso

Il consenso è valido per un periodo massimo di tredici (13) mesi. Alla scadenza di tale periodo, il banner viene nuovamente presentato all'Utente per il rinnovo. In assenza di rinnovo, i cookie non essenziali vengono automaticamente disattivati.

12.8. Cookie di terze parti

Alcuni cookie possono essere installati direttamente da terze parti (Meta Platforms) sul dispositivo dell'Utente. Maloc non ha un controllo diretto su tali cookie di terze parti una volta prestato il consenso. Gli Utenti sono invitati a consultare le politiche sulla privacy delle terze parti interessate:

  • Meta Platforms: https://www.facebook.com/privacy/policy/

Articolo 13 — MINORI

13.1. La Piattaforma Maloc è riservata esclusivamente alle persone fisiche di almeno diciotto (18) anni di età. Maloc non raccoglie consapevolmente dati personali relativi a minori.

13.2. L'Utente che crea un account sulla Piattaforma certifica di essere maggiorenne. Qualora si scopra che sono stati raccolti dati di un minore, Maloc procederà alla cancellazione di tali dati nel più breve tempo possibile e senza ingiustificato ritardo.

13.3. I genitori o i tutori legali di un minore i cui dati siano stati eventualmente raccolti possono richiederne la cancellazione immediata contattando l'RPD a dpo@maloc.life.

Articolo 14 — RUOLI RISPETTIVI DEL NOLEGGIATORE / MALOC (ART. 26-28 RGPD)

14.1. Maloc in qualità di titolare del trattamento

Maloc è titolare del trattamento per l'insieme dei trattamenti effettuati per le proprie finalità: gestione della piattaforma, fatturazione, sicurezza, punteggio dei Noleggiatori, obblighi legali.

14.2. Maloc in qualità di responsabile del trattamento dei Noleggiatori

Per i trattamenti effettuati per conto dei Noleggiatori tramite gli strumenti della Piattaforma (messaggistica interna, gestione dei verbali di consegna, archiviazione dei contratti di noleggio), Maloc agisce in qualità di responsabile del trattamento ai sensi dell'articolo 28 del RGPD. In tale contesto:

  • Un Accordo per il trattamento dei dati (DPA) tra Maloc e ciascun Noleggiatore formalizza i rispettivi obblighi;
  • Maloc tratta tali dati esclusivamente su istruzioni documentate del Noleggiatore;
  • Maloc non subappalta tali dati a terzi al di fuori dei responsabili del trattamento elencati all'Articolo 6.2.

14.3. Obblighi dei Noleggiatori in qualità di titolari del trattamento

I Noleggiatori professionisti, in qualità di titolari del trattamento per le proprie attività di noleggio, sono tenuti a:

  • Informare i propri clienti (Locatari) dei propri trattamenti di dati conformemente agli articoli 13 e 14 del RGPD;
  • Disporre di una base giuridica valida per ciascun trattamento di dati personali da essi effettuato;
  • Rispettare i periodi di conservazione applicabili ai propri trattamenti;
  • Garantire i diritti degli interessati per i trattamenti di cui sono titolari.

Articolo 15 — VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)

Conformemente all'articolo 35 del RGPD, Maloc ha effettuato o effettuerà una Valutazione d'impatto sulla protezione dei dati (DPIA) per i trattamenti suscettibili di generare un rischio elevato per i diritti e le libertà delle persone, in particolare:

  • Il trattamento dei documenti d'identità e dei dati KYC (larga scala, dati sensibili);
  • Il sistema di punteggio dei Noleggiatori (profilazione);
  • Le fotografie del verbale di consegna con dati GPS.

Le conclusioni di tali DPIA sono documentate e conservate dall'RPD. Possono essere trasmesse alla CNIL su richiesta.

Articolo 16 — REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO (ART. 30 RGPD)

16.1. Conformemente all'articolo 30 del RGPD, Maloc tiene e mantiene aggiornato un registro delle attività di trattamento. Tale registro, tenuto dall'RPD, documenta:

  • Il nome e i dati di contatto del titolare del trattamento e dell'RPD;
  • Le finalità dei trattamenti;
  • Le categorie di interessati e di dati;
  • Le categorie di destinatari;
  • I trasferimenti verso paesi terzi e le garanzie applicabili;
  • I periodi di conservazione;
  • Una descrizione generale delle misure di sicurezza.

16.2. Tale registro è disponibile su richiesta motivata inviata a dpo@maloc.life, alle condizioni previste dalla CNIL, in particolare nell'ambito di una richiesta della CNIL o di un interessato che desideri verificarne l'esistenza.

Articolo 17 — MODIFICA DELL'INFORMATIVA SULLA PRIVACY

17.1. Maloc si riserva il diritto di modificare la presente Informativa in qualsiasi momento, in particolare per adeguarsi alle evoluzioni legislative, regolamentari (nuove raccomandazioni CNIL, EDPB) o a nuove pratiche di trattamento dei dati.

17.2. In caso di modifica sostanziale (nuove finalità, nuovi responsabili del trattamento, cambio di base giuridica, nuovi trasferimenti al di fuori dell'UE), Maloc notificherà gli Utenti via e-mail all'indirizzo associato al loro account, con almeno trenta (30) giorni di preavviso rispetto alla data di entrata in vigore delle modifiche.

17.3. Se le modifiche richiedono un nuovo consenso (es.: nuovo trattamento fondato sul consenso), Maloc raccoglierà tale consenso prima dell'attuazione del nuovo trattamento.

17.4. In caso di rifiuto delle modifiche che comportino un'evoluzione del contratto, l'Utente può esercitare il proprio diritto alla cancellazione dell'account. Maloc tratterà quindi i dati residui conformemente agli obblighi legali di conservazione.

17.5. Le versioni successive della presente Informativa sono archiviate dall'RPD e disponibili su richiesta a dpo@maloc.life. Uno storico delle versioni è inoltre consultabile in fondo alla pagina dell'Informativa sulla Piattaforma.

Articolo 18 — CONTATTO ED ESERCIZIO DEI DIRITTI

Per qualsiasi domanda relativa alla presente Informativa o per esercitare i propri diritti in materia di protezione dei dati:

Responsabile della protezione dei dati (RPD)

MALOC SASU — All'attenzione dell'RPD
15 quai aux fleurs, 75004 Parigi
E-mail: dpo@maloc.life
(Oggetto consigliato: «Esercizio dei diritti RGPD — [Natura della richiesta]»)

Servizio clienti generale

E-mail: contact@maloc.life

Autorità di controllo competente

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Parigi Cedex 07
Telefono: +33 (0)1 53 73 22 22
Sito web: https://www.cnil.fr
Reclamo online: https://www.cnil.fr/fr/plaintes

ALLEGATO A — GLOSSARIO

| Termine | Definizione | |---|---| | RGPD | Regolamento (UE) n. 2016/679 del 27 aprile 2016 — Regolamento generale sulla protezione dei dati | | LIL | Loi Informatique et Libertés n. 78-17 del 6 gennaio 1978, modificata (Legge francese sulla protezione dei dati) | | ePrivacy | Direttiva 2002/58/CE relativa al trattamento dei dati e alla tutela della vita privata nelle comunicazioni elettroniche | | CNIL | Commission Nationale de l'Informatique et des Libertés — Autorità di controllo francese | | EDPB | European Data Protection Board — Comitato europeo per la protezione dei dati | | RPD | Responsabile della protezione dei dati (Data Protection Officer) | | KYC | Know Your Customer — Processo di verifica dell'identità e di conformità | | AML/CFT | Anti-Money Laundering / Countering the Financing of Terrorism (Antiriciclaggio / Contrasto al finanziamento del terrorismo) | | SCC | Standard Contractual Clauses — Clausole contrattuali tipo adottate dalla Commissione europea | | DPF | Data Privacy Framework — Quadro per la protezione dei dati UE-USA (decisione di adeguatezza 2023) | | DPA | Data Processing Agreement — Accordo per il trattamento dei dati (art. 28 RGPD) | | DPIA | Data Protection Impact Assessment — Valutazione d'impatto sulla protezione dei dati (art. 35 RGPD) | | OTP | One-Time Password — Codice monouso per l'autenticazione | | DAC7 | Direttiva (UE) 2021/514 — Obbligo dichiarativo delle piattaforme digitali alle autorità fiscali | | PSD2 | Direttiva (UE) 2015/2366 — Servizi di pagamento nel mercato interno | | CDN | Content Delivery Network — Rete di distribuzione dei contenuti | | TLS | Transport Layer Security — Protocollo di cifratura delle comunicazioni (HTTPS) | | WAF | Web Application Firewall — Firewall per applicazioni web |

ALLEGATO B — QUADRO NORMATIVO DI RIFERIMENTO

La presente Informativa si basa sui seguenti testi:

Unione Europea:

  • Regolamento (UE) n. 2016/679 del 27 aprile 2016 (RGPD)
  • Direttiva 2002/58/CE del 12 luglio 2002 (ePrivacy)
  • Regolamento (UE) 2022/2065 del 19 ottobre 2022 (DSA — Digital Services Act)
  • Direttiva (UE) 2015/2366 del 25 novembre 2015 (PSD2)
  • Direttiva (UE) 2021/514 del 22 marzo 2021 (DAC7)
  • Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021 (SCC)
  • Decisione di adeguatezza C(2023) 4745 del 10 luglio 2023 (DPF UE-USA)

Francia:

  • Legge n. 78-17 del 6 gennaio 1978 (Informatique et Libertés), modificata
  • Ordinanza n. 2018-1125 del 12 dicembre 2018
  • Legge n. 2004-575 del 21 giugno 2004 (LCEN)
  • Ordinanza n. 2016-1635 del 1° dicembre 2016 (AML/CFT)
  • Articolo L561-12 del Codice monetario e finanziario francese (conservazione AML/CFT)
  • Articolo L123-22 del Codice di commercio francese (conservazione contabile)
  • Articolo 2224 del Codice civile francese (prescrizione quinquennale di diritto comune)
  • Articolo L110-4 del Codice di commercio francese (prescrizione commerciale)
  • Articolo L121-6 del Codice della strada francese (designazione del conducente)
  • Articolo L111-7 del Codice del consumo francese (operatore di piattaforma)

Raccomandazioni e linee guida:

  • Deliberazione CNIL n. 2020-091 del 17 settembre 2020 (cookie e tracciatori)
  • Deliberazione CNIL n. 2022-253 del 19 luglio 2022 (esenzione cookie analitici)
  • EDPB Guidelines 05/2020 sul consenso (versione rivista del 4 maggio 2020)
  • EDPB Guidelines 05/2021 sui trasferimenti di dati personali
  • EDPB Guidelines 01/2022 sui diritti degli interessati

MALOC SASU — Informativa sulla Privacy — Versione 2.0 — 22 marzo 2026
Redatta da: RPD Maloc (dpo@maloc.life)
Prossima revisione pianificata: marzo 2027