Politica di privacy online

Informativa ai sensi degli artt. 12, 13 e, ove applicabile, 14 del Regolamento (UE) 2016/679

("GDPR") e del D.Lgs. 196/2003 (Codice Privacy), come armonizzato dal D.Lgs. 101/2018 e

successive modifiche e integrazioni.

Ultimo aggiornamento: 01/04/2026 - versione 1.0

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che

consultano il sito web https://smartgarage.biz (di seguito, il "Sito").

Il Sito è di titolarità di Maxisoft^® s.r.l., società italiana proprietaria del brand SmartGarage.biz.

1. Titolare del trattamento

Il Titolare del trattamento è:

Maxisoft^® s.r.l.

Via Dorsale, 13

54100 Massa (MS) - Italia

Partita IVA / Codice Fiscale / Iscrizione al Registro delle Imprese di Massa Carrara n. IT00667410450

REA MS 100489

Telefono: +39 0585793962

E-mail: maxisoft@maxisoft.it

Il Titolare, pur non essendo soggetto all'obbligo di nomina di cui all'art. 37 GDPR, ha volontariamente

designato un Responsabile della Protezione dei Dati (Data Protection Officer - DPO) quale punto di

contatto per ogni questione relativa al trattamento dei dati personali. Il DPO può essere contattato al

seguente indirizzo: privacy@maxisoft.it

2. Ambito di applicazione dell'informativa

La presente informativa si applica esclusivamente al Sito pubblico https://smartgarage.biz e ai

trattamenti di dati personali effettuati attraverso le relative pagine Web, inclusi i moduli di contatto,

richiesta informazioni, richiesta demo, richiesta preventivo e iscrizione a comunicazioni informative o

promozionali, ove disponibili.

La presente informativa non disciplina eventuali trattamenti effettuati nell'ambito della piattaforma

software SaaS SmartGarage.biz, delle aree riservate o dei servizi resi ai clienti, per i quali potranno

essere rese informative specifiche.

3. Tipologie di dati trattati

Il Titolare può trattare le seguenti categorie di dati personali:

1. a) Dati di navigazione I sistemi informatici e le procedure software preposte al funzionamento del Sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell'uso dei protocolli Internet. Rientrano in tale categoria, a titolo esemplificativo, gli indirizzi IP, gli identificativi tecnici dei dispositivi, gli indirizzi URI delle risorse richieste, l'orario della richiesta, il metodo utilizzato per sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico relativo allo stato della risposta del server e altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.

1. b) Dati forniti volontariamente dall'utente Il Titolare tratta i dati personali forniti volontariamente dall'utente mediante compilazione di moduli presenti sul Sito o tramite invio di comunicazioni agli indirizzi di contatto indicati. Tali dati possono includere, a titolo esemplificativo, nome, cognome, ragione sociale, ruolo aziendale, indirizzo e-mail, numero di telefono, provincia, contenuto della richiesta e ogni altra informazione spontaneamente comunicata.

1. c) Dati trattati per finalità di comunicazione informativa e promozionale Ove l'utente scelga di iscriversi a newsletter o di ricevere comunicazioni commerciali, il Titolare può trattare i relativi dati di contatto per tale finalità.

1. d) Dati raccolti mediante cookie e altri strumenti di tracciamento Il Sito può utilizzare cookie e altri strumenti di tracciamento, secondo quanto indicato nella specifica Cookie Policy, da intendersi parte integrante del sistema informativo privacy del Sito.

1. e) Dati vocali e registrazioni audio Qualora l'utente scelga di interagire con il Titolare tramite funzioni di chiamata vocale assistita da IA o richieda di essere ricontattato tramite Agente Vocale AI per una demo o un preventivo, il Titolare può trattare i dati vocali strettamente necessari alla gestione della richiesta, ivi incluse, ove effettivamente attivate, la registrazione della conversazione e la relativa trascrizione testuale. L'eventuale registrazione avverrà previa adeguata informazione all'utente e sarà utilizzata esclusivamente per la gestione della richiesta, la sicurezza del servizio, la documentazione dell'interazione, l'eventuale tutela dei diritti del Titolare e per migliorare l'accuratezza della risposta dell'assistente digitale. Le registrazioni vocali sono conservate per un periodo massimo di 12 mesi dalla data della chiamata. Decorso tale termine, le registrazioni sono cancellate o anonimizzate in modo irreversibile. L'interessato può in qualsiasi momento richiedere la cancellazione delle proprie registrazioni vocali inviando richiesta a privacy@maxisoft.it, fermo restando l'eventuale obbligo di conservazione per finalità di tutela dei diritti del Titolare in pendenza di contestazioni.

3.1 Dati trattati tramite sistemi di Intelligenza Artificiale

Qualora il Sito utilizzi sistemi di IA per la gestione delle richieste (chatbot, agenti vocali, ecc.),

Maxisoft^® garantisce che tali dati non saranno utilizzati per l'addestramento di modelli di intelligenza

artificiale di terze parti senza consenso esplicito o previa anonimizzazione irreversibile certificata. I

dati vocali e le trascrizioni sono conservati per un periodo massimo di 12 mesi e cancellati o

anonimizzati al termine, salvo esigenze di tutela dei diritti del Titolare.

4. Finalità del trattamento e basi giuridiche

I dati personali sono trattati per le seguenti finalità:

1. a) Consentire la navigazione sul Sito e assicurarne il corretto funzionamento tecnico La base giuridica del trattamento è il legittimo interesse del Titolare a garantire la funzionalità, la disponibilità e la sicurezza del Sito.

1. b) Gestire richieste di contatto, informazioni, assistenza, demo, preventivi o approfondimenti commerciali anche tramite l'ausilio di sistemi di Intelligenza Artificiale e Agenti Vocali. La base giuridica del trattamento è l'esecuzione di misure precontrattuali adottate su richiesta dell'interessato (Art. 6, par. 1, lett. b, GDPR).
2. c) Adempiere a obblighi di legge, regolamentari, amministrativi o derivanti da ordini delle autorità competenti La base giuridica del trattamento è l'adempimento di un obbligo legale al quale è soggetto il Titolare.

1. d) Inviare newsletter, comunicazioni informative, aggiornamenti commerciali o promozionali tramite posta elettronica La base giuridica del trattamento è il consenso dell'interessato, ove richiesto dalla normativa applicabile e salvo quanto previsto alla successiva lettera f) per i soli casi in cui ricorrano i presupposti del c.d. soft spam.

1. e) Prevenire abusi, attività fraudolente, accessi non autorizzati, incidenti di sicurezza e tutelare i diritti del Titolare anche in sede giudiziale o stragiudiziale La base giuridica del trattamento è il legittimo interesse del Titolare alla tutela dei propri sistemi, del proprio patrimonio aziendale e dei propri diritti.

1. f) Inviare tramite e-mail comunicazioni commerciali relative a prodotti o servizi analoghi a quelli già acquistati dal Cliente Ove ne ricorrano i presupposti di legge, Maxisoft^® potrà utilizzare l'indirizzo e-mail comunicato nel contesto della vendita di un proprio prodotto o servizio per inviare comunicazioni relative a prodotti o servizi analoghi, fermo restando il diritto dell'interessato di opporsi in ogni momento (opt-out), in maniera agevole e gratuita. La base giuridica del trattamento è l'art. 130, comma 4, del D.Lgs. 196/2003 (c.d. soft-spam), ferma restando la possibilità per l'interessato di opporsi in ogni momento in maniera agevole e gratuita (opt-out) tramite il link presente in ogni comunicazione o scrivendo a privacy@maxisoft.it. L'opposizione comporta la cessazione immediata dell'invio e la cancellazione dei dati entro 30 giorni, salvo altri obblighi di legge.

Nei casi in cui la base giuridica del trattamento sia il legittimo interesse, tale interesse consiste nella

necessità di garantire la sicurezza del Sito e dei sistemi, prevenire abusi e frodi, gestire correttamente

le richieste ricevute e tutelare i diritti del Titolare in sede stragiudiziale e giudiziale.

5. Natura del conferimento dei dati

Il conferimento dei dati contrassegnati come obbligatori nei moduli del Sito è necessario per

consentire al Titolare di gestire correttamente richieste di contatto, demo, preventivo o informazioni. Il

mancato conferimento di tali dati impedisce al Titolare di dare seguito alla richiesta. Il mancato

conferimento dei dati professionali (es. ragione sociale, ruolo) preclude a Maxisoft^® la possibilità di

contestualizzare l'offerta tecnica e fornire una consulenza allineata alle specifiche esigenze operative

del richiedente.

Il conferimento dei dati per finalità di marketing e newsletter è invece facoltativo. Il mancato

conferimento o il mancato consenso non pregiudicano la navigazione sul Sito né la possibilità di

richiedere informazioni o dimostrazioni del servizio.

6. Modalità del trattamento, sicurezza dei dati e resilienza

Il trattamento dei dati personali è effettuato con strumenti cartacei, informatici e telematici, secondo

principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza.

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza

appropriato al rischio, al fine di prevenire perdita dei dati, usi illeciti o non corretti, accessi non

autorizzati, divulgazione indebita, alterazione o distruzione non autorizzata dei dati personali.

In particolare, il Titolare adotta misure tecniche e organizzative appropriate, coerenti con lo stato

dell'arte e con un approccio basato sul rischio, che possono includere, ove applicabili, cifratura dei

dati in transito, segregazione degli accessi, sistemi di monitoraggio, logging tecnico, backup e misure

di continuità operativa.

Eventuali riferimenti a framework europei o nazionali di cybersicurezza (inclusa la Direttiva (UE)

2022/2555 - NIS2 come attuata dal D.Lgs. 138/2024) hanno finalità meramente descrittive del modello

organizzativo adottato e non equivalgono, di per sé, a una dichiarazione di certificazione o di qualifica

automatica di Maxisoft^® quale soggetto essenziale o importante ai sensi della NIS2, salvo ove

espressamente indicato in documentazione ufficiale separata.

7. Conservazione dei dati

I dati personali sono conservati per un arco di tempo non superiore a quello necessario al

conseguimento delle finalità per le quali sono raccolti e trattati, nel rispetto del principio di limitazione

della conservazione previsto dal GDPR.

In particolare:

• i dati trattati per finalità di contatto, richiesta informazioni, demo o preventivo sono conservati

per un periodo di 24 mesi dalla definizione della richiesta, per consentire la gestione di cicli di

vendita complessi tipici del settore automotive, salvo l'ulteriore conservazione necessaria per

la gestione di trattative in corso, la conclusione di un rapporto contrattuale o la tutela dei diritti

del Titolare;

• i dati trattati per finalità di marketing e newsletter sono conservati per un periodo di 24 mesi

dalla raccolta del consenso o dall'ultima interazione utile documentata con l'interessato,

salvo revoca anticipata del consenso od opposizione esercitata prima di tale termine.

Il periodo di conservazione per i dati di contatto professionale (B2B) può essere esteso fino a

un massimo di 48 mesi esclusivamente nei seguenti casi documentati:

• è stata avviata una trattativa commerciale formalizzata (es. richiesta preventivo

personalizzato, firma NDA, contratto quadro in negoziazione);

• è stata eseguita una demo approfondita o un periodo di trial del software;

• il potenziale cliente ha espresso esplicito interesse per progetti futuri con tempistiche

lunghe (es. rinnovo contratto con attuale fornitore tra 2-3 anni).

Tale estensione è fondata sul legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR) ed è

stata oggetto di specifica Legitimate Interest Assessment (LIA) documentata, che ha ritenuto

l'interesse prevalente rispetto ai diritti e libertà degli interessati, tenuto conto della natura B2B

del rapporto e delle caratteristiche specifiche del mercato automotive B2B, dove:

• i cicli di vendita per software gestionali durano mediamente 9-18 mesi dalla prima

interazione alla firma del contratto (fonte: benchmark settore SaaS automotive 2024);

• i contratti con fornitori esistenti hanno durata pluriennale (3-5 anni), rendendo prematuro

un contatto commerciale prima della scadenza;

• le decisioni di acquisto coinvolgono molteplici stakeholder aziendali e richiedono iter

approvazione lungo.

In assenza dei presupposti sopra indicati, i dati di contatto B2B sono conservati per il periodo

standard di 24 mesi dall'ultima interazione documentata, salvo rinnovo del consenso o

esistenza di un rapporto contrattuale attivo.

Resta inteso che l'interessato in qualsiasi momento può esercitare il diritto di opposizione al

trattamento per finalità di marketing ai sensi dell'art. 21 GDPR, scrivendo a

privacy@maxisoft.it, comportando la cessazione immediata dell'invio di comunicazioni

commerciali e la cancellazione dei dati entro 30 giorni, salvo sussistano altri obblighi di legge.

• i dati trattati per adempiere ad obblighi di legge, amministrativi, fiscali o contabili sono

conservati per il periodo previsto dalla normativa applicabile;

• i dati di navigazione e i log di sicurezza sono conservati, di regola, per un periodo massimo di

30 giorni, fatti salvi eventuali ulteriori tempi di conservazione necessari per l'accertamento di

illeciti, la gestione di incidenti di sicurezza o l'adempimento di obblighi di legge.

Decorso il periodo di conservazione applicabile, i dati saranno cancellati oppure anonimizzati, salvo

che la loro ulteriore conservazione sia necessaria per adempiere a obblighi di legge o per la tutela dei

diritti del Titolare.

8. Soggetti autorizzati e destinatari dei dati

I dati personali possono essere trattati, nei limiti delle rispettive competenze e per le finalità sopra

indicate, da:

• personale del Titolare espressamente autorizzato al trattamento;

• fornitori di servizi informatici, telematici, cloud, hosting, housing, manutenzione, sicurezza,

sviluppo e gestione del Sito;

• fornitori di servizi di comunicazione elettronica, gestione newsletter, CRM, assistenza tecnica

• marketing automation, ove utilizzati;

• consulenti, professionisti, società di assistenza legale, fiscale, amministrativa o organizzativa;

• autorità pubbliche, organismi di vigilanza, autorità giudiziarie o altri soggetti legittimati, nei

casi previsti dalla legge.

Tali soggetti operano, a seconda dei casi, in qualità di autonomi titolari del trattamento oppure di

responsabili del trattamento debitamente nominati ai sensi dell'art. 28 del GDPR. L'elenco aggiornato

dei responsabili del trattamento può essere richiesto al Titolare.

9. Luogo del trattamento e trasferimento dei dati

9.1 Servizi di terze parti con potenziale trasferimento extra-UE

Il Sito SmartGarage.biz utilizza servizi forniti da terze parti che potrebbero comportare trasferimenti di

dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE), inclusi, a titolo

esemplificativo:

• Servizi di hosting e cloud computing;

• Servizi di analisi web e performance monitoring;

• Sistemi di gestione marketing e CRM;

• Servizi di pagamento per elaborazione di transazioni con server sicuri in localizzati in UE /USA;

• Servizi di comunicazione.

Per ciascuno dei servizi sopra elencati, Maxisoft^® ha verificato la presenza di adeguate garanzie ai

sensi degli artt. 44-49 GDPR. L'elenco completo aggiornato dei fornitori con indicazione delle

specifiche garanzie adottate può essere richiesto scrivendo a privacy@maxisoft.it.

9.2 Garanzie per i trasferimenti extra-UE

I dati personali sono trattati presso la sede del Titolare e presso le infrastrutture tecnologiche dei

fornitori incaricati dell'erogazione dei servizi connessi al funzionamento del Sito.

Di regola, i dati sono trattati e conservati all'interno dello Spazio Economico Europeo.

Qualora, per esigenze tecniche o organizzative, si rendesse necessario il trasferimento di dati

personali verso Paesi non appartenenti allo Spazio Economico Europeo, oppure si renda necessario

trasferire alcuni dei dati raccolti verso sistemi tecnici e servizi gestiti in cloud e localizzati al di fuori

dell'Unione Europea, tale trasferimento avverrà nel rispetto degli artt. 44 e seguenti del GDPR, sulla

base di una decisione di adeguatezza della Commissione europea oppure mediante l'adozione di

garanzie appropriate previste dalla normativa applicabile, incluse, ove necessario, le clausole

contrattuali standard adottate dalla Commissione europea. Per i trasferimenti verso organizzazioni

stabilite negli Stati Uniti potrà essere utilizzato, ove applicabile, il quadro giuridico dell'EU-U.S. Data

Privacy Framework esclusivamente nei confronti di soggetti che risultino effettivamente aderenti a tale

meccanismo.

Il Titolare effettua regolarmente valutazioni d'impatto sui trasferimenti (Transfer Impact Assessment -

TIA) per garantire che il livello di protezione dei dati non sia compromesso. L'interessato può richiedere

ulteriori informazioni sui trasferimenti effettuati, inclusa la sintesi delle garanzie e delle misure

supplementari adottate, contattando il Titolare ai recapiti indicati nella presente informativa.

10. Cookie e altri strumenti di tracciamento

Il Sito utilizza cookie e altri strumenti di tracciamento tecnici e, ove presenti, strumenti analytics o

ulteriori tecnologie soggette alla disciplina applicabile.

Le informazioni di dettaglio relative alle categorie di cookie utilizzate, alle finalità perseguite, ai tempi

di conservazione, alle modalità di prestazione o revoca del consenso e alla gestione delle preferenze

dell'utente sono riportate nella specifica Cookie Policy del Sito, nonché, ove richiesto, nel sistema di

gestione del consenso predisposto tramite apposito banner.

11. Diritti dell'interessato

L'interessato può esercitare, nei casi previsti dalla normativa applicabile, i diritti riconosciuti dagli artt.

15 e seguenti del GDPR, tra cui:

• ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo

riguardano e, in tal caso, accedere ai relativi dati;

• ottenere la rettifica dei dati inesatti o l'integrazione dei dati incompleti;

• ottenere la cancellazione dei dati personali, nei casi previsti dalla legge;

• ottenere la limitazione del trattamento, nei casi previsti;

• opporsi al trattamento, nei casi previsti dalla normativa;

• ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati

personali forniti al Titolare, nonché trasmetterli a un altro titolare, nei casi previsti dal diritto

alla portabilità;

• revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la

liceità del trattamento basata sul consenso prima della revoca;

• proporre reclamo al Garante per la protezione dei dati personali.

12. Modalità di esercizio dei diritti

Per esercitare i diritti sopra indicati o per ricevere chiarimenti in merito al trattamento dei dati

personali, l'interessato può contattare il Titolare ai seguenti recapiti:

Maxisoft^® s.r.l.

Via Dorsale, 13

54100 Massa (MS) - Italia

E-mail: privacy@maxisoft.it

Il Titolare fornirà riscontro nei termini previsti dalla normativa vigente.

13. Interazione con Sistemi di Intelligenza Artificiale e Agenti Vocali AI

Qualora il Sito renda disponibili chatbot, agenti vocali o altri sistemi di Intelligenza Artificiale, l'utente

sarà chiaramente informato del fatto che sta interagendo con un sistema automatizzato ai sensi

dell'art. 50 del Regolamento (UE) 2024/1689 (AI Act).

I dati inseriti nelle interazioni con sistemi di IA sono trattati esclusivamente per le finalità del servizio

per fornire assistenza informativa, gestire richieste di contatto, demo o preventivi e instradare

correttamente le richieste verso il team competente.

Maxisoft^® garantisce che tali dati non saranno utilizzati per l'addestramento di modelli di intelligenza

artificiale di terze parti (es. LLM pubblici) senza un esplicito consenso o una procedura di

anonimizzazione irreversibile. L'utente ha il diritto di richiedere in ogni momento l'intervento di un

operatore umano qualora l'interazione con l'IA risulti insoddisfacente o per l'esercizio dei propri diritti.

I dati trattati tramite tali sistemi non sono utilizzati per assumere decisioni unicamente automatizzate

che producano effetti giuridici o analogamente significativi nei confronti dell'utente ai sensi dell'art. 22

GDPR, salvo diversa esplicita informativa.

Il trattamento dei dati tramite tali sistemi è improntato alla trasparenza e alla supervisione umana.

Qualora l'interazione vocale comporti la registrazione della conversazione, l'utente ne sarà

previamente informato, ferma restando la possibilità di richiedere l'intervento di un operatore umano.

14. Modifiche e aggiornamenti

Il Titolare si riserva il diritto di modificare o aggiornare la presente informativa, anche in conseguenza

di variazioni normative, organizzative o tecniche. Le modifiche saranno pubblicate su questa pagina.

15. Trattamento dati di minori di età

Il Sito SmartGarage.biz e i relativi servizi sono destinati esclusivamente a soggetti che agiscono per

finalità professionali, imprenditoriali o commerciali. I servizi offerti non sono rivolti a persone fisiche di

età inferiore ai 18 anni.

Maxisoft^® non raccoglie consapevolmente dati personali di minori di età. Nel caso in cui il Titolare

venisse a conoscenza di aver raccolto dati personali di un minore in assenza del consenso dei genitori

• di chi ne esercita la responsabilità genitoriale, procederà alla cancellazione immediata di tali dati.

I genitori o i tutori legali che ritengano che il proprio figlio minorenne abbia fornito dati personali sul

Sito sono invitati a contattare immediatamente il Titolare all'indirizzo privacy@maxisoft.it per

richiedere la cancellazione dei dati.

16. Violazioni di dati personali (Data Breach)

In caso di violazione dei dati personali (data breach) che possa presentare un rischio elevato per i

diritti e le libertà degli interessati, Maxisoft^® comunicherà la violazione all'interessato senza

ingiustificato ritardo, come previsto dall'art. 34 del GDPR.

La comunicazione descriverà in linguaggio semplice e chiaro:

• la natura della violazione;

• il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o altro punto di

contatto;

• le probabili conseguenze della violazione;

• le misure adottate o che si intende adottare per porre rimedio alla violazione e attenuarne i

possibili effetti negativi.

Maxisoft^® adotta misure tecniche e organizzative appropriate per prevenire violazioni di dati, inclusi

sistemi di rilevamento intrusioni, logging di sicurezza, monitoraggio proattivo e procedure di gestione

incidenti conformi alle best practice di settore.

17. Processo decisionale automatizzato e profilazione

Il Titolare non effettua alcun trattamento di dati personali che comporti decisioni basate unicamente

sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o

analogamente significativi nei confronti dell'interessato, ai sensi dell'art. 22 del GDPR.

Eventuali sistemi di raccomandazione o personalizzazione dell'esperienza utente presenti sul Sito non

producono effetti giuridici e non limitano in alcun modo l'accesso ai servizi o alle informazioni.

18. Audit log per esercizio diritti

Maxisoft^® mantiene un registro interno delle richieste di esercizio dei diritti degli interessati, come

previsto dal principio di accountability (art. 5, par. 2, e art. 24 GDPR). Tale registro contiene

esclusivamente: data richiesta, tipo di diritto esercitato, sintesi della richiesta, data riscontro. Il

registro è protetto con adeguate misure di sicurezza ed accessibile solo al personale autorizzato.