Ultimo aggiornamento: 17 aprile 2026
Data di entrata in vigore: 17 aprile 2026
La presente Informativa sulla Privacy ("Informativa") è stata predisposta da CarbonSmart Teknoloji ve Danışmanlık A.Ş. ("CarbonSmart", "Società", "noi") al fine di illustrare le finalità, le basi giuridiche e le modalità con cui sono trattati i dati personali ottenuti in relazione al sito di marketing carbonsmart.io e ai servizi software di contabilità del carbonio e gestione della sostenibilità offerti tramite app.carbonsmart.io (la "Piattaforma" o il "Servizio"); i terzi a cui tali dati sono trasferiti; nonché i diritti degli interessati e le modalità di esercizio di tali diritti. L'Informativa è stata redatta in conformità alla normativa applicabile, inclusa la Legge n. 6698 sulla Protezione dei Dati Personali ("KVKK"), il Comunicato sulle Procedure e i Principi da Seguire nell'Adempimento dell'Obbligo di Informativa e il Regolamento sulla Cancellazione, Distruzione o Anonimizzazione dei Dati Personali; nonché, per quanto riguarda gli interessati residenti nell'Unione Europea, in conformità al Regolamento (UE) 2016/679 ("GDPR"); e, per quanto riguarda gli interessati residenti nel Regno Unito, in conformità al UK GDPR.
1. IDENTITÀ DEL TITOLARE DEL TRATTAMENTO
1.1. La persona giuridica che agisce in qualità di titolare del trattamento ai sensi della KVKK è la seguente:
Denominazione sociale: CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Sede legale: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye
Ufficio di Istanbul: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye
Ufficio di Londra: 2 Eastbourne Terrace, London W2 6LG, United Kingdom
Email di contatto: info@carbonsmart.io
Indirizzo web: https://carbonsmart.io
1.2. Nella misura in cui sia richiesto per gli interessati residenti nell'Unione Europea, è stato designato un rappresentante UE ai sensi dell'art. 27 del GDPR, i cui recapiti possono essere richiesti all'indirizzo info@carbonsmart.io.
2. DEFINIZIONI
2.1. Ai fini della presente Informativa:
(a) Dato Personale: qualsiasi informazione relativa a una persona fisica identificata o identificabile,
(b) Categoria Particolare di Dato Personale: i dati elencati all'art. 6 della KVKK,
(c) Trattamento: operazioni quali la raccolta, la registrazione, l'archiviazione, la conservazione, la modifica, la riorganizzazione, la divulgazione, il trasferimento, l'acquisizione, la messa a disposizione, la classificazione o l'inibizione dell'uso dei dati personali, mediante mezzi interamente o parzialmente automatizzati o con mezzi non automatizzati a condizione che facciano parte di un sistema di archivi,
(d) Interessato: la persona fisica i cui dati personali sono oggetto di trattamento,
(e) Cliente: la persona giuridica o l'impresa commerciale (persona giuridica o fisica) che ha sottoscritto con CarbonSmart un contratto di abbonamento per iscritto o per via elettronica,
(f) Utente Finale: la persona fisica che utilizza la Piattaforma per conto o nell'interesse del Cliente,
(g) Dati della Piattaforma: qualsiasi dato aziendale caricato sulla Piattaforma dal Cliente o dall'Utente Finale,
hanno il significato sopra indicato.
3. CATEGORIE DI DATI PERSONALI TRATTATI
3.1. Considerata la natura del Servizio fornito, CarbonSmart tratta le seguenti categorie di dati personali:
3.1.1. Dati identificativi: nome, cognome, qualifica, firma (compresa la firma elettronica).
3.1.2. Dati di contatto: indirizzo email aziendale, numero di telefono, indirizzo lavorativo, indirizzo di posta elettronica registrata (KEP).
3.1.3. Dati delle transazioni del cliente: informazioni sull'abbonamento, informazioni di fatturazione e pagamento (il numero completo della carta non viene memorizzato, sebbene siano conservate informazioni di riferimento mascherate detenute dal fornitore di servizi di pagamento), cronologia degli ordini, registrazioni contrattuali.
3.1.4. Dati finanziari: IBAN, indirizzo di fatturazione, codice fiscale/ufficio fiscale, cronologia dei pagamenti.
3.1.5. Dati di attività dell'utente: creazione dell'account, registri di accesso/disconnessione, indirizzo IP, identificatori di sessione, tipo di browser, informazioni sul dispositivo, sistema operativo, analisi di utilizzo, tracce di clickstream e navigazione all'interno dei moduli, registri delle chiamate API.
3.1.6. Dati di marketing e promozionali: stato dell'iscrizione alla newsletter, registrazioni di apertura/clic delle email, contenuto del modulo di richiesta demo, informazioni di registrazione agli eventi.
3.1.7. Dati dei cookie: dati ottenuti tramite cookie strettamente necessari, funzionali, analitici e di marketing. Per maggiori dettagli, La invitiamo a consultare l'Informativa sui Cookie.
3.1.8. Dati di assistenza e comunicazione: contenuto dei ticket di assistenza, registrazioni delle chat dal vivo, registrazioni delle videoconferenze (solo previa notifica e consenso delle parti).
3.1.9. Dati legali e di conformità: contratti, documenti dei rappresentanti autorizzati, istanze KVKK, fascicoli di procedimenti legali.
3.1.10. Dati di terzi caricati sulla Piattaforma dal Cliente: dati personali di rappresentanti dei fornitori, dipendenti o altri terzi caricati sulla Piattaforma dal Cliente in relazione alla contabilità del carbonio, alla rendicontazione CBAM, ai calcoli PCF/LCA/EPD, alla rendicontazione di sostenibilità TSRS/CSRD/GRI e ai moduli di impronta idrica ("Dati Personali della Piattaforma"). Per quanto riguarda tali dati, CarbonSmart agisce in qualità di responsabile del trattamento ai sensi dell'art. 3 della KVKK e di processor ai sensi dell'art. 28 del GDPR e si applica un Accordo per il Trattamento dei Dati (DPA) separato.
3.2. CarbonSmart si impegna a non trattare categorie particolari di dati personali a meno che non sia necessario per il funzionamento della Piattaforma. Qualora categorie particolari di dati personali siano caricate sulla Piattaforma dal Cliente, la responsabilità del trattamento spetta al Cliente, come stabilito nei Termini di Servizio.
4. METODI DI RACCOLTA DEI DATI PERSONALI
4.1. I dati personali sono raccolti (a) direttamente dall'interessato attraverso le interfacce della Piattaforma, i moduli web, le interazioni del browser mobile/desktop, l'email e i canali di assistenza; (b) tramite i rappresentanti autorizzati dal Cliente; (c) tramite integrazioni API e connessioni SSO; (d) tramite contratti, moduli e documenti firmati fisicamente; (e) nell'ambito di eventi, fiere commerciali, riunioni di demo e trattative di vendita B2B; (f) automaticamente tramite cookie, pixel e tecnologie simili; e (g) attraverso richieste o notifiche da parte di autorità pubbliche o altri organi competenti in linea con gli obblighi di legge.
5. FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI
5.1. I dati personali sono trattati in conformità all'art. 4 della KVKK, in modo lecito e corretto, per finalità determinate, esplicite e legittime, in modo connesso, limitato e proporzionato alle finalità per le quali sono trattati, e solo per il periodo previsto dalla normativa applicabile. Le principali finalità del trattamento sono:
5.1.1. Stipulazione ed esecuzione del contratto di abbonamento, creazione e gestione dell'account.
5.1.2. Fornitura, sviluppo e miglioramento dei prodotti e dei moduli sulla Piattaforma (CCFP, CBAM, PCF, LCA & EPD, TSRS/CSRD/GRI, Impronta Idrica).
5.1.3. Esecuzione dei processi di fatturazione, riscossione, contabilità e finanza.
5.1.4. Erogazione dei servizi di assistenza clienti e gestione di richieste e reclami.
5.1.5. Esecuzione dei processi di sicurezza delle informazioni e di cybersicurezza; rilevamento e prevenzione degli accessi non autorizzati.
5.1.6. Gestione dei processi di continuità operativa e di backup.
5.1.7. Adempimento degli obblighi di legge (compresi gli obblighi fiscali, libri contabili, KVKK, TSRS e conformità alla rendicontazione).
5.1.8. Comunicazione aziendale, attività di marketing e promozionali; fermo restando che l'invio di messaggi elettronici commerciali è subordinato al consenso esplicito ottenuto ai sensi della Legge sul Commercio Elettronico n. 6563.
5.1.9. Analisi dell'esperienza dell'utente e delle prestazioni della Piattaforma e sviluppo della roadmap del prodotto (con preferenza per dati aggregati/anonimizzati).
5.1.10. Gestione delle controversie legali; conduzione dei procedimenti di contenzioso, esecutivi e di richieste ufficiali.
5.1.11. Audit interno, gestione del rischio, conformità (compliance) e attività del sistema di gestione della sicurezza delle informazioni (con obiettivo ISO 27001).
6. BASI GIURIDICHE DEL TRATTAMENTO
6.1. I dati personali sono trattati sulle seguenti basi giuridiche, in conformità agli articoli 5 e 6 della KVKK e agli articoli 6 e 9 del GDPR:
6.1.1. Necessario per il trattamento dei dati personali delle parti, a condizione che sia direttamente correlato alla stipulazione o all'esecuzione di un contratto (art. 5/2-c della KVKK; art. 6/1-b del GDPR).
6.1.2. Necessario affinché il titolare del trattamento adempia ai propri obblighi di legge (art. 5/2-ç della KVKK; art. 6/1-c del GDPR).
6.1.3. Necessario per l'accertamento, l'esercizio o la difesa di un diritto (art. 5/2-e della KVKK; art. 6/1-f del GDPR – legittimo interesse).
6.1.4. Necessario per i legittimi interessi del titolare del trattamento, a condizione che non siano lesi i diritti e le libertà fondamentali dell'interessato (art. 5/2-f della KVKK; art. 6/1-f del GDPR) – ad esempio, sicurezza, prevenzione delle frodi e miglioramento della qualità del servizio.
6.1.5. Espressamente previsto dalla legge (art. 5/2-a della KVKK).
6.1.6. Qualora le basi giuridiche di cui sopra non siano applicabili, il consenso esplicito dell'interessato (artt. 5/1 e 6/2 della KVKK; art. 6/1-a del GDPR).
6.2. Nelle operazioni di trattamento basate sul consenso esplicito, l'interessato ha il diritto di revocare il consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.
7. TRASFERIMENTI DEI DATI PERSONALI
7.1. Trasferimenti nazionali. I dati personali possono essere trasferiti, nell'ambito dell'art. 8 della KVKK, a studi legali, di consulenza fiscale e di revisione indipendente da cui sono ottenuti i servizi; a fornitori di software di hosting, cybersicurezza, assistenza clienti e CRM; a fornitori di servizi di pagamento e banche; e ad autorità pubbliche autorizzate dalla legge (ad es. Ministero del Tesoro e delle Finanze, Istituto della Sicurezza Sociale, Amministrazione delle Entrate, Autorità per la Protezione dei Dati Personali, autorità giudiziarie).
7.2. Trasferimenti transfrontalieri. CarbonSmart utilizza Amazon Web Services (AWS, regioni di Francoforte e Irlanda) e, ove necessario, Google Cloud Platform per l'infrastruttura di hosting; Google Workspace e fornitori quali SendGrid/Mailgun per l'infrastruttura email e di comunicazione; Plausible Analytics, rispettoso della privacy (con sede nell'UE), per l'analisi del prodotto; Sentry per il monitoraggio degli errori; Intercom/HubSpot per l'assistenza clienti; HubSpot per l'automazione del marketing; e il LinkedIn Insight Tag per il marketing B2B. Inoltre, possono essere effettuati trasferimenti operativi infragruppo con l'ufficio di Londra (Regno Unito). I trasferimenti transfrontalieri sono effettuati nel quadro dell'art. 9 della KVKK e del relativo regolamento del 2024, utilizzando il metodo opportuno tra i seguenti:
(a) Trasferimento a destinatari ubicati in paesi dichiarati dall'Autorità come dotati di un livello adeguato di protezione,
(b) Trasferimento basato su clausole contrattuali standard con notifica all'Autorità,
(c) Norme vincolanti d'impresa, oppure
(d) Consenso esplicito in casi eccezionali.
Per i trasferimenti di dati UE/Regno Unito si applicano l'art. 44 e seguenti del GDPR e le clausole contrattuali standard della Commissione Europea (2021/914).
7.3. CarbonSmart pubblica l'elenco aggiornato dei sub-responsabili del trattamento su richiesta dei Clienti e/o su una pagina del trust center come trust.carbonsmart.io.
8. PERIODI DI CONSERVAZIONE
8.1. I dati personali sono conservati per il periodo richiesto dalla finalità del trattamento e per i periodi minimi previsti dalla normativa applicabile. I principali periodi di conservazione sono i seguenti:
8.1.1. Libri e documenti commerciali: 10 anni ai sensi dell'articolo 82 del Codice del Commercio Turco.
8.1.2. Documenti ai sensi della Legge sulle Procedure Fiscali: 5 anni.
8.1.3. Registrazioni contrattuali e di comunicazione commerciale: 10 anni dalla cessazione del contratto (prescrizione ai sensi dell'art. 146 del TBK).
8.1.4. Account di abbonamento e contenuti della Piattaforma: per la durata dell'abbonamento, seguito da cancellazione permanente dopo un periodo di tolleranza (grace period) di 90 giorni dalla cessazione (fatto salvo il diritto del Cliente alla portabilità dei dati).
8.1.5. Ticket di assistenza: 3 anni dalla data di chiusura.
8.1.6. Consensi di marketing e registrazioni di consenso: 3 anni ai sensi della Legge n. 6563 e registrazioni IYS.
8.1.7. Log e registri di sicurezza: almeno 2 anni ai sensi della Legge n. 5651 e dei relativi regolamenti.
8.1.8. Dati basati su cookie: i periodi specificati nell'Informativa sui Cookie.
8.2. I dati il cui periodo di conservazione è scaduto vengono cancellati, distrutti o anonimizzati nei cicli di smaltimento periodici nell'ambito della Politica di Conservazione e Smaltimento dei Dati Personali.
9. DIRITTI DELL'INTERESSATO
9.1. Ai sensi dell'art. 11 della KVKK, l'interessato può rivolgersi a CarbonSmart ed esercitare i seguenti diritti relativamente alla propria persona:
(a) Sapere se i propri dati personali sono oggetto di trattamento.
(b) Richiedere informazioni qualora i propri dati personali siano stati trattati.
(c) Conoscere la finalità del trattamento dei dati personali e se i dati siano utilizzati conformemente a tale finalità.
(ç) Conoscere i terzi a cui i dati personali sono trasferiti, sul territorio nazionale o all'estero.
(d) Richiedere la rettifica dei dati personali qualora siano stati trattati in modo incompleto o errato.
(e) Richiedere la cancellazione o la distruzione dei dati personali alle condizioni previste dall'art. 7 della KVKK.
(f) Richiedere che le operazioni effettuate ai sensi dei punti (d) ed (e) siano comunicate ai terzi a cui i dati personali sono stati trasferiti.
(g) Opporsi al verificarsi di un risultato a sé sfavorevole derivante dall'analisi dei dati trattati esclusivamente mediante sistemi automatizzati.
(ğ) Richiedere il risarcimento dei danni subiti a seguito di un trattamento illecito dei dati personali.
9.2. Gli interessati residenti nell'UE/Regno Unito hanno inoltre i diritti previsti dagli articoli 15-22 del GDPR, compresi i diritti alla portabilità dei dati e di opposizione al trattamento.
10. MISURE DI SICUREZZA
10.1. Nell'ambito dell'obiettivo di conformità allo standard del Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001, CarbonSmart implementa e rivede continuamente le seguenti misure amministrative e tecniche:
10.1.1. Controlli di accesso, autorizzazione basata su ruoli e permessi, e principio del minimo privilegio.
10.1.2. Cifratura dei dati in transito con TLS 1.2/1.3 e dei dati a riposo con AES-256.
10.1.3. Autenticazione a più fattori e opzioni di integrazione SSO aziendale.
10.1.4. Monitoraggio della sicurezza, soluzioni SIEM, test di penetrazione e scansioni delle vulnerabilità.
10.1.5. Sicurezza del codice, revisione della sicurezza nell'SDLC e scansioni delle dipendenze.
10.1.6. Piani di ripristino di emergenza e di continuità operativa, con backup regolari.
10.1.7. Formazione regolare in materia di KVKK e sicurezza delle informazioni per i dipendenti e impegni di riservatezza.
10.1.8. Valutazioni del rischio fornitori, contratti per il trattamento dei dati e processi di approvazione dei sub-responsabili.
10.2. Qualora i Clienti optino per l'implementazione VPC o On-Premise, le misure di sicurezza sono adattate alla relativa architettura tecnica e viene fornita documentazione di sicurezza separata.
11. COOKIE
11.1. CarbonSmart utilizza cookie e tecnologie di tracciamento simili per finalità tra cui la gestione della sessione, la sicurezza, il ricordo delle preferenze dell'utente, l'analisi delle statistiche di utilizzo e il marketing B2B. Informazioni dettagliate sul tipo, sulla durata, sulla finalità e sui fornitori terzi dei cookie, nonché istruzioni per la gestione dei cookie, sono riportate nell'Informativa sui Cookie.
12. DATI PERSONALI DEI MINORI
12.1. Il Servizio offerto da CarbonSmart ha natura B2B e non è rivolto a persone di età inferiore ai 18 anni. CarbonSmart non raccoglie consapevolmente dati personali da minori. I genitori/tutori che ritengano che i dati personali di un minore siano stati trasmessi alla Piattaforma a loro insaputa o senza il loro consenso possono contattare info@carbonsmart.io per richiedere la cancellazione dei dati.
13. INTEGRAZIONI DI TERZE PARTI
13.1. Il Cliente può integrare la Piattaforma con sistemi di terze parti (ERP, EBYS, software di contabilità, piattaforme di catena di fornitura, fornitori di single sign-on (SSO), client API). La condivisione dei dati che avviene tramite tali integrazioni avviene su istruzione del Cliente e sotto la responsabilità del Cliente. CarbonSmart non può essere ritenuta responsabile delle prassi di privacy dei fornitori di servizi terzi.
14. PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE
14.1. CarbonSmart utilizza componenti analitici supportati dall'IA in processi quali calcoli del carbonio, validazione dei dati e categorizzazione delle emissioni; tuttavia, tali processi non costituiscono un processo decisionale individuale unicamente automatizzato che produca effetti giuridici sugli interessati o un impatto significativo analogo. Gli output della Piattaforma sono rivisti e approvati dal Cliente.
15. NOTIFICA DI VIOLAZIONE DEI DATI
15.1. In caso di divulgazione, accesso o perdita non autorizzata di dati personali, sarà effettuata una notifica all'Autorità per la Protezione dei Dati Personali ai sensi dell'art. 12/5 della KVKK il prima possibile e, in ogni caso, entro 72 ore; gli interessati colpiti saranno inoltre informati entro un tempo ragionevole. Per gli interessati dell'UE/Regno Unito si applicano i processi di notifica previsti dagli articoli 33-34 del GDPR.
16. MODIFICHE ALL'INFORMATIVA
16.1. CarbonSmart può aggiornare la presente Informativa di volta in volta. La versione aggiornata è pubblicata all'indirizzo carbonsmart.io/legal-privacy. Le modifiche sostanziali sono comunicate tramite notifica all'interno della Piattaforma e/o email. L'utilizzo continuativo della Piattaforma dopo una modifica costituisce accettazione dell'Informativa aggiornata.
17. CONTATTI E DOMANDE
17.1. Gli interessati possono utilizzare i seguenti canali per esercitare i propri diritti ai sensi della KVKK e per inviare domande o richieste relative all'Informativa:
Indirizzo: CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906
Email: info@carbonsmart.io
Web: carbonsmart.io/legal-privacy
17.2. Le domande possono essere presentate per iscritto, tramite indirizzo KEP, mediante firma elettronica sicura, mediante firma mobile o tramite l'indirizzo email che l'interessato ha precedentemente comunicato a CarbonSmart e che è registrato nel nostro sistema. La conformità procedurale della domanda è valutata in conformità alle disposizioni del Comunicato sulle Procedure e i Principi per la Domanda al Titolare del Trattamento.
