Informativa sulla Privacy
ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
Versione 2.1 - Ultimo aggiornamento: 25 maggio 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è MGS Corporate S.r.l., con sede legale in Via Padre Vitale 77, 00125 Roma (RM), P.IVA/C.F. 16154661009, REA RM-1638025, nella persona del legale rappresentante pro tempore Sig. Edoardo Mantovani.
- 📧 Email: info@mgscorporate.it
- 📧 Email Privacy: privacy@mgscorporate.it
- 📧 PEC: mgs@pec.mgscorporate.it
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare, valutata la natura, l'ambito e le finalità dei trattamenti, non è obbligato alla nomina del DPO ex art. 37 GDPR. Per ogni questione relativa alla protezione dei dati personali, il soggetto interessato può contattare direttamente il Titolare all'indirizzo privacy@mgscorporate.it.
3. Finalità e Base Giuridica del Trattamento
I dati personali sono trattati per le seguenti finalità:
- a) Esecuzione del contratto di noleggio/vendita- Art. 6.1.b GDPR. Stipula ed esecuzione dei contratti, identificazione del cliente e del conducente, gestione documenti d'identità e patente, generazione del PDF contrattuale e firma elettronica avanzata.
- b) Obbligo legale di comunicazione alle Autorità - Art. 6.1.c GDPR. Comunicazione alla Polizia di Stato tramite sistema CaRGOS (D.L. 113/2018, D.M. 29/10/2021), adempimenti fiscali e contabili (DPR 633/1972, D.Lgs. 471/1997), conservazione fatture (art. 2220 c.c.).
- c) Esecuzione del contratto di vendita online - Art. 6.1.b GDPR. Gestione ordini, spedizione, fatturazione, resi, diritto di recesso (artt. 49-67 Codice del Consumo).
- d) Sicurezza dei sistemi e prevenzione frodi - Art. 6.1.f GDPR (legittimo interesse). Audit log, monitoraggio accessi, controllo abusi (rate limit OTP, anti-bruteforce).
- e) Riscontro alle richieste di contatto - Art. 6.1.b GDPR (misure precontrattuali). Gestione delle richieste di preventivo o informazioni inviate tramite il form contatti.
- f) Marketing diretto - Art. 6.1.a GDPR (consenso). Invio di newsletter e comunicazioni commerciali, solo previo consenso esplicito e separato, revocabile in qualsiasi momento.
- g) Difesa in giudizio - Art. 6.1.f GDPR (legittimo interesse). Conservazione documentazione per esercitare o difendere diritti in sede legale.
4. Categorie di Dati Trattati
- Dati anagrafici: nome, cognome, data e luogo di nascita, codice fiscale, partita IVA (se applicabile), ragione sociale (se persona giuridica), nazionalità.
- Dati di contatto: indirizzo di residenza/sede, email, numero di telefono fisso, numero di cellulare.
- Dati identificativi: scansione fronte/retro del documento d'identità (carta d'identità, passaporto, permesso di soggiorno), patente di guida, immagini estratte tramite OCR.
- Dati contrattuali: contratto di noleggio/vendita firmato elettronicamente, audit log della firma (IP, User-Agent, timestamp, hash SHA-256 del PDF firmato).
- Dati di pagamento: riferimenti transazione Stripe/PayPal. I dati completi delle carte di credito non sono mai trattati né conservati da MGS - sono gestiti direttamente dai processori di pagamento PCI-DSS compliant.
- Dati di navigazione: indirizzo IP, User-Agent del browser, identificatori di sessione (solo cookie tecnici).
5. Modalità del Trattamento e Decisioni Automatizzate
Il trattamento avviene con strumenti elettronici e mediante misure tecniche e organizzative idonee a garantire la sicurezza dei dati (art. 32 GDPR), inclusi cifratura in transito (TLS 1.3), cifratura a riposo, controllo accessi, audit log, backup cifrati.
Decisioni automatizzate(art. 22 GDPR): il sistema utilizza tecnologie di intelligenza artificiale (OCR / riconoscimento ottico dei caratteri) per estrarre automaticamente i dati dai documenti d'identità caricati dall'interessato o dall'operatore. L'esito dell'estrazione è sempre verificato e validato manualmente da un operatore MGS prima dell'uso ai fini contrattuali. Non vengono adottate decisioni interamente automatizzate che producano effetti giuridici sull'interessato.
6. Destinatari dei Dati e Responsabili Esterni
I dati personali possono essere comunicati ai seguenti soggetti, nominati Responsabili del Trattamento ex art. 28 GDPR o agenti in qualità di Titolari autonomi:
Soggetti pubblici (obbligo di legge)
- Polizia di Stato via sistema CaRGOS - D.L. 113/2018, comunicazione obbligatoria entro 24h dalla consegna del veicolo
- Agenzia delle Entrate - adempimenti fiscali (fatturazione elettronica, comunicazioni IVA)
- Autorità Giudiziaria e Forze dell'Ordine - su richiesta motivata
Responsabili Esterni (art. 28 GDPR)
- Google LLC (Firebase Hosting, Storage, Cloud Functions) - hosting applicativo e archiviazione documenti. Sede: USA. Trasferimento extra-UE basato su Clausole Contrattuali Standard (SCC) ex art. 46.2.c GDPR e adesione al Data Privacy Framework UE-USA. policies.google.com/privacy
- Neon Inc. - database serverless PostgreSQL. Trasferimento extra-UE: SCC + DPF. neon.tech/privacy-policy
- Twilio Inc. - invio SMS OTP per firma elettronica. Trasferimento extra-UE: SCC. twilio.com/legal/privacy
- Resend Inc. - invio email transazionali (conferme ordini, notifiche). Trasferimento extra-UE: SCC. resend.com/legal/privacy-policy
- Anthropic / OpenAI / Google AI- servizi di OCR per estrazione dati dai documenti d'identità. Le immagini vengono trasmesse alle API solo per il tempo necessario all'estrazione testuale e non sono utilizzate per addestrare modelli. Trasferimento extra-UE: SCC + DPF (ove applicabile).
- Stripe Payments Europe Ltd. - elaborazione pagamenti con carta. Stripe agisce come Titolare autonomo per la prevenzione delle frodi. stripe.com/it/privacy
- PayPal (Europe) S.à r.l. et Cie, S.C.A. - elaborazione pagamenti PayPal. paypal.com/it/legalhub/privacy-full
- Functional Software, Inc. dba Sentry - error tracking applicativo (raccoglie stack trace, indirizzo IP, user-agent e route per finalità di diagnostica errori). Nessun dato personale dei clienti è incluso intenzionalmente nei payload di errore. Trasferimento extra-UE (USA): SCC. sentry.io/privacy
- Google LLC (reCAPTCHA v3)- protezione del form contatti da invii automatici di bot. reCAPTCHA raccoglie indirizzo IP, informazioni sull'interazione con il sito e cookie di sessione del dominio google.com. Trasferimento extra-UE (USA): SCC + Google DPA. policies.google.com/privacy
- Studi di consulenza fiscale e legale - adempimenti contabili, fiscali, contenziosi (vincolati da segreto professionale).
L'elenco aggiornato dei Responsabili e copia degli accordi DPA (Data Processing Agreement) può essere richiesto scrivendo a privacy@mgscorporate.it.
7. Trasferimenti Extra-UE
Alcuni Responsabili del Trattamento sono situati fuori dall'Unione Europea (principalmente Stati Uniti). Tali trasferimenti avvengono esclusivamente sulla base di:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46.2.c GDPR
- Decisione di adeguatezza UE-USA tramite il Data Privacy Framework (Decisione (UE) 2023/1795 del 10/07/2023)
- Misure supplementari ove necessarie (cifratura end-to-end, pseudonimizzazione)
8. Periodi di Conservazione
- Contratti di noleggio/vendita firmati + audit log firma elettronica: 10 anni dalla stipula (art. 2220 c.c.)
- Dati anagrafici cliente: durata del rapporto contrattuale + 10 anni (per esercizio o difesa di diritti)
- Documenti d'identità e patente: durata del rapporto + 10 anni
- Dati ordini e-commerce: 10 anni per obblighi fiscali (DPR 633/1972, art. 39)
- Riferimenti pagamenti: 10 anni per riconciliazione contabile
- Dati CaRGOS: ricevute di trasmissione 10 anni; payload tecnico 7 giorni
- Log di sicurezza (audit log generico): 10 anni; log tecnici OTP fallito 24 ore
- Richieste di contatto (non convertite in contratto): 24 mesi
- Cookie tecnici: durata di sessione o massimo 12 mesi
- Dati per marketing (se consenso): fino a revoca del consenso, comunque massimo 24 mesi dall'ultimo contatto
Al termine dei suddetti periodi, i dati sono cancellati o anonimizzati in modo irreversibile, salvo ulteriore obbligo di legge.
9. Diritti dell'Interessato
Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto a:
- Accesso (art. 15): ottenere conferma dell'esistenza del trattamento e copia dei dati
- Rettifica (art. 16): correzione di dati inesatti
- Cancellazione (art. 17, "diritto all'oblio"): nei limiti degli obblighi di legge (es. art. 2220 c.c. obbliga a conservare scritture per 10 anni)
- Limitazione del trattamento (art. 18)
- Portabilità dei dati (art. 20): ricezione in formato strutturato e leggibile da macchina
- Opposizione (art. 21): al trattamento per legittimo interesse o marketing
- Revoca del consenso (art. 7.3): per i trattamenti basati su consenso
- Non essere sottoposto a decisioni automatizzate (art. 22)
Per esercitare tali diritti l'interessato può scrivere a privacy@mgscorporate.it oppure utilizzare il modulo disponibile sulla pagina Esercita i tuoi diritti. Il Titolare risponderà entro 30 giorni (estendibili di ulteriori 60 in casi complessi, con comunicazione motivata).
10. Diritto di Reclamo al Garante
Ai sensi dell'art. 77 GDPR, l'interessato ha diritto di proporre reclamo all'Autorità di controllo competente. In Italia: Garante per la protezione dei dati personali.
- Sito web: www.garanteprivacy.it
- Email: garante@gpdp.it · PEC: protocollo@pec.gpdp.it
- Piazza Venezia 11, 00187 Roma · Tel. +39 06 696771
L'interessato può altresì adire il giudice competente ai sensi dell'art. 79 GDPR.
11. Conferimento dei Dati e Conseguenze del Rifiuto
Il conferimento dei dati richiesti per le finalità di cui alle lettere a, b, c, d, e del paragrafo 3 è necessarioper la stipula ed esecuzione del contratto e/o per adempiere a obblighi di legge. L'eventuale rifiuto di conferirli comporta l'impossibilità per il Titolare di stipulare il contratto o erogare il servizio richiesto.
Il conferimento per la finalità f (marketing) è invece facoltativo e il rifiuto non pregiudica alcun servizio.
12. Sicurezza dei Dati
Il Titolare adotta misure tecniche e organizzative adeguate ex art. 32 GDPR, tra cui:
- Cifratura in transito TLS 1.3 su tutti i canali di comunicazione
- Cifratura a riposo del database (AES-256) e dello storage documenti
- Autenticazione forte degli operatori MGS (password hash + sessioni server-side)
- Controllo accessi role-based, audit log di tutte le operazioni sensibili
- Backup giornalieri automatici cifrati in datacenter UE
- Procedure di data breach notification entro 72 ore ex art. 33 GDPR
- Rate limiting e protezione anti-bruteforce su tentativi OTP e login
- Validazione automatica dei file caricati (magic bytes) per prevenire upload malevoli
13. Cookie
Il Sito utilizza esclusivamente cookie tecnici necessari al funzionamento (sessione, preferenze, autenticazione operatori). Non vengono utilizzati cookie di profilazione, marketing o analytics di terze parti. Per maggiori informazioni consultare la Cookie Policy.
14. Modifiche all'Informativa
Il Titolare si riserva il diritto di modificare la presente Informativa in qualsiasi momento per adeguamento a modifiche normative o evoluzione dei servizi. La versione aggiornata sarà sempre disponibile su questa pagina con indicazione della data di ultima revisione.
