Informativa sulla Privacy
Ultimo aggiornamento: 20 febbraio 2026
Titolare del Trattamento
CAV S.R.L. (di seguito "DLOOP", "noi", "nostro")
Piazza Giuseppe Garibaldi 101, 80142 Napoli (NA), Italia
P.IVA / C.F.: 09532291219
PEC: legal@pec.mydely.it
Email: privacy@dloop.it
Sito web: https://dloop.it
1. Introduzione
La presente Informativa sulla Privacy descrive come CAV S.R.L., titolare della piattaforma DLOOP, raccoglie, utilizza, conserva e protegge i dati personali degli utenti dell'applicazione mobile DLOOP ("App") e del sito web dloop.it ("Sito"), in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle linee guida del Garante per la Protezione dei Dati Personali.
2. Categorie di Dati Personali Raccolti
2.1 Dati forniti direttamente dall'utente
- Dati identificativi: nome, cognome, indirizzo email, numero di telefono
- Credenziali di accesso: email e password (hash crittografico), autenticazione tramite Google Sign-In
- Dati di profilo: foto profilo (opzionale), preferenze di consegna
- Dati di pagamento: i dati della carta di credito/debito sono gestiti esclusivamente da Stripe Inc. e non vengono mai memorizzati sui nostri server
- Comunicazioni: messaggi inviati tramite la chat in-app, conversazioni WhatsApp, richieste di supporto
2.2 Dati raccolti automaticamente
- Dati di geolocalizzazione: posizione GPS in tempo reale durante le sessioni di lavoro attive (rider), con soglia minima di 50 metri e intervallo di 30 secondi
- Dati del dispositivo: modello del dispositivo, sistema operativo, versione dell'app, identificativo Firebase (FCM token)
- Dati di utilizzo: schermate visitate, azioni effettuate nell'app, timestamp delle sessioni
- Dati di consegna: ordini effettuati, stato delle consegne, tempi di completamento, valutazioni e feedback
2.3 Dati generati dal sistema
- Punteggio di dispatch: calcolato automaticamente sulla base di prossimità, valutazione, tasso di accettazione, specializzazione e disponibilità
- Statistiche rider: guadagni, ordini completati, tasso di accettazione, valutazione media
- Audit dei compensi: registro immutabile delle transazioni con dettaglio importi, commissioni e ripartizioni
3. Finalità e Base Giuridica del Trattamento
| Finalità | Base giuridica | Dati trattati |
|---|---|---|
| Registrazione e gestione account | Esecuzione contratto (b) | Dati identificativi, credenziali |
| Erogazione del servizio di consegna | Esecuzione contratto (b) | Geolocalizzazione, ordini |
| Elaborazione pagamenti e fatturazione | Contratto (b) + Obbligo legale (c) | Dati pagamento (via Stripe) |
| Assegnazione ordini (Smart Dispatch) | Legittimo interesse (f) | Geolocalizzazione, statistiche rider |
| Comunicazioni operative (WhatsApp/chat) | Esecuzione contratto (b) | Messaggi, numero di telefono |
| Assistenza clienti tramite chatbot AI | Legittimo interesse (f) | Messaggi, contesto conversazione |
| Notifiche push | Consenso (a) | FCM token, preferenze |
| Sicurezza e prevenzione frodi | Legittimo interesse (f) | Log di accesso, dati dispositivo |
| Adempimenti fiscali e contabili | Obbligo legale (c) | Dati identificativi, transazioni |
| Miglioramento del servizio | Legittimo interesse (f) | Dati di utilizzo anonimizzati |
4. Profilazione e Processo Decisionale Automatizzato
4.1 Smart Dispatch
L'algoritmo di Smart Dispatch assegna automaticamente gli ordini ai rider sulla base di un punteggio calcolato come segue:
- Prossimità geografica (40%)
- Valutazione media (30%)
- Tasso di accettazione (15%)
- Specializzazione per esercizio (10%)
- Disponibilità residua nel turno (5%)
Questo processo costituisce una decisione automatizzata ai sensi dell'Art. 22 GDPR. L'utente ha diritto di ottenere l'intervento umano, esprimere la propria opinione e contestare la decisione.
4.2 Chatbot AI
Le conversazioni con il chatbot sono elaborate da modelli di intelligenza artificiale (OpenAI GPT-4o Mini) per fornire risposte contestualizzate. I messaggi vengono utilizzati esclusivamente per generare la risposta e non vengono usati per addestrare modelli AI.
5. Responsabili del Trattamento (Sub-processori)
| Fornitore | Sede | Finalità | Garanzie |
|---|---|---|---|
| Supabase Inc. | USA (AWS EU West, Irlanda) | Database, autenticazione | SCC |
| Google (Firebase) | USA | Notifiche push, analytics | SCC + DPA Google |
| Stripe Inc. | USA / Irlanda | Pagamenti, Connect | SCC + Stripe DPA |
| OpenAI | USA (Ireland Ltd per EEA) | Chatbot AI, NLP | SCC + OpenAI DPA |
| Meta Platforms | USA (Ireland Ltd per EEA) | WhatsApp comunicazioni | SCC + Meta DPA |
| Google (Maps) | USA | Geocodifica, mappe | SCC + DPA Google |
6. Trasferimento di Dati Extra-UE
Alcuni dei nostri sub-processori hanno sede negli Stati Uniti. Il trasferimento dei dati è garantito da Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914), Data Processing Agreements con ciascun fornitore, e misure tecniche supplementari: crittografia in transito (TLS 1.3) e a riposo (AES-256).
L'infrastruttura database principale (Supabase) è ospitata nella regione AWS EU West (Irlanda), all'interno dello Spazio Economico Europeo.
7. Periodo di Conservazione dei Dati
| Tipo di dato | Periodo di conservazione |
|---|---|
| Account utente | Durata dell'account + 30 giorni |
| Geolocalizzazione | 30 giorni, poi cancellati automaticamente |
| Ordini e transazioni | 10 anni (obbligo fiscale) |
| Messaggi chat e WhatsApp | 12 mesi |
| Log di accesso e sicurezza | 6 mesi |
| Audit dei compensi | 10 anni (obbligo fiscale) |
| Statistiche rider | Durata dell'account |
| Log di dispatch | 12 mesi |
8. Diritti dell'Interessato
Ai sensi degli Artt. 15-22 del GDPR, l'utente ha diritto di:
- Accesso (Art. 15): ottenere conferma del trattamento e copia dei dati
- Rettifica (Art. 16): correggere dati inesatti o incompleti
- Cancellazione (Art. 17): richiedere la cancellazione ("diritto all'oblio")
- Limitazione (Art. 18): limitare il trattamento in determinati casi
- Portabilità (Art. 20): ricevere i dati in formato strutturato e leggibile
- Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso (Art. 7): revocare il consenso in qualsiasi momento
- Decisioni automatizzate (Art. 22): contestare le decisioni dello Smart Dispatch
Per esercitare i propri diritti: privacy@dloop.it oppure CAV S.R.L., Piazza Giuseppe Garibaldi 101, 80142 Napoli. Rispondiamo entro 30 giorni.
9. Sicurezza dei Dati
- Crittografia in transito: TLS 1.3
- Crittografia a riposo: AES-256
- Hash delle password con bcrypt
- Row Level Security (RLS): ogni utente accede solo ai propri dati
- Separazione degli ambienti: chiavi API distinte per test e produzione
- Backup giornalieri con ripristino entro 24 ore
- Monitoraggio degli accessi e delle anomalie
10. Geolocalizzazione
L'App raccoglie la posizione GPS del rider esclusivamente durante le sessioni di lavoro attive. Parametri: distanza minima 50m, intervallo 30s, dati obsoleti dopo 120s. Il rider può disattivare la geolocalizzazione terminando la sessione. I dati vengono cancellati automaticamente dopo 30 giorni.
11. Cookie
Il sito web dloop.it utilizza cookie tecnici necessari al funzionamento e, previo consenso, cookie di terze parti per analytics. Per maggiori informazioni, consultare la nostra Cookie Policy.
12. Minori
Il servizio DLOOP è riservato a persone che abbiano compiuto 18 anni. Non raccogliamo consapevolmente dati personali di minori.
13. Modifiche alla presente Informativa
Ci riserviamo il diritto di aggiornare la presente Informativa. In caso di modifiche sostanziali, informeremo gli utenti tramite notifica in-app o email almeno 30 giorni prima dell'entrata in vigore.
14. Reclamo all'Autorità di Controllo
Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
Tel. +39 06 696771
Email: protocollo@gpdp.it | PEC: protocollo@pec.gpdp.it
Sito: garanteprivacy.it
15. Contatti
CAV S.R.L.
Piazza Giuseppe Garibaldi 101, 80142 Napoli (NA)
Email: privacy@dloop.it
PEC: legal@pec.mydely.it