INFORMATIVA GDPR
1. RISCHI
La mancata informativa privacy a soggetti persone fisiche clienti o che appartengano all’organizzazione di soggetti clienti a qualunque titolo, espone la ns. Società al potenziale rischio di sanzioni.
2. SCOPO
Descrivere le regole che governano la raccolta e il trattamento di dati personali e documenti relativi ai clienti e fornitori.
3. AMBITO DI APPLICAZIONE
Questa policy si applica a tutti i clienti e fornitori.
4. DISCIPLINA DELLE ATTIVITÀ
Informativa sulla privacy ex art. 13 D. Lgs. 196/2003, artt. 12.1, 13 e 14 Reg.to UE Privacy
679/2016, cd. GDPR)
Vi informiamo che i Vs. dati personali acquisiti o acquisendi da parte del Titolare del trattamento come meglio oltre indicato, saranno soggetti a trattamento nel rispetto dei requisiti di legge e dei diritti a Voi riconosciuti dalla legge quali “interessati”, nel caso in cui la vs. organizzazione sia una persona fisica o ditta individuale.
Nel caso in cui la vs. organizzazione non sia una persona fisica o una ditta individuale (ma ad esempio una società di capitali), le informazioni riferibili alla stessa, benchè non qualificabili come “dati personali” ai sensi e per gli effetti di cui alla normativa privacy, sono però ugualmente parificati ai dati personali sotto il profilo delle norme applicabili, nella sola ipotesi in cui il trattamento degli stessi avvenga per eventuali finalità di fidelizzazione, profilazione o marketing diretto (finalità di regola mai presenti in relazione ai ns. fornitori) ad alcuni limitati fini, in particolare relativi all’adempimento di obblighi relativi alla comunicazione della informativa ex art. 13 D. Lgs. 196/2003 e della raccolta del previo consenso al trattamento.
La presente informativa viene comunicata all’interessato anche allo scopo di porlo nella condizione di informare adeguatamente il proprio personale sulle finalità e modalità dei trattamenti effettuati dal titolare.
Dal 25 maggio 2018, il Titolare comunque non sarà tenuto alla presente informativa, se e nella misura in cui l’interessato disponga già dei dati personali che il Titolare raccoglie e tratta come sopra, pertanto l’informativa varrà solo per i dati personali non già disponibili all’interessato (es. dati personali frutto di operazioni di trattamento svolta dal Titolare dopo la raccolta in base ai dati di cui l’interessato già disponeva).
A) Categorie di operazioni di trattamento.
Il trattamento comprenderà operazioni di: raccolta per via telefonica o telematica o scritta o presso pubblici registri, elenchi atti e documenti e/o banche dati pubbliche e/o private (società di informazioni commerciali), registrazione, organizzazione, conservazione e elaborazione su supporti cartacei, magnetici, automatizzati o telematici, elaborazione di dati raccolti da terzi, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione anche a dati di altri soggetti in base a criteri qualitativi, quantitativi e temporali, ricorrenti o definibili volta per volta, trattamento temporaneo finalizzato ad una rapida aggregazione o alla trasformazione dei dati stessi, adozione di decisioni in forma automatizzata e/o discrezionale, creazione di profili e informative, comunicazione, cancellazione e distruzione dei dati, ovvero combinazioni di due o più delle operazioni summenzionate.
B) Finalità del trattamento.
Il trattamento e la comunicazione suddetti avranno le seguenti finalità:
1) soddisfare esigenze precontrattuali (es. istruzione di offerte o vs. ordini, verifiche solvibilità);
2) adempimento di obblighi contrattuali (fornitura o acquisto di beni e/o servizi) e legali (es. tenuta contabilità; formalità fiscali, gestione amministrativa e contabile e di tesoreria);
3) gestione clienti e fornitori per aspetti diversi da quelli sub 1-2;
4) gestione affidamenti e controllo rischi (frodi, insolvenze, ecc.);
5) gestione contenzioso e cessione crediti);
6) servizi finanziari strumentali alla gestione di clienti/fornitori e gestione strumenti di pagamento elettronico;
7) servizi assicurativi strumentali alla gestione clienti/fornitori. Non è previsto alcun ns. trattamento per finalità di fidelizzazione, profilazione o marketing diretto in relazione a dati riferibili ai ns. fornitori.
C) Base giuridica del trattamento.
La base giuridica del trattamento è costituita, a seconda delle circostanze, dall’articolo 6, lettera a), del Regolamento UE n. 45/2016 (l’interessato ha espresso il suo consenso libero ed informato al trattamento e non lo ha successivamente revocato), dall’articolo 6, lettera b), di detto regolamento (è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, ad es. richieste di invio di informazioni od offerte commerciali), dall’articolo 6, lettera c) di detto regolamento (è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento) e/o dall’articolo 6, lettera f), di detto regolamento (è necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, prevalente sugli interessi o i diritti e le libertà fondamentali dell’interessato). In particolare, ai sensi dell’art. 13 comma 1 lett. d) del regolamento, a) il legittimo interesse del titolare è quello di i) poter trattare i dati al fine di gestire in modo efficace ed efficiente il rapporto con i propri clienti e/o fornitori e di organizzare i relativi processi organizzativi e gestionali interni (inclusi i rapporti con eventuali propri sub-fornitori) e ii), nel caso di trattamento per finalità di profilazione, marketing diretto e fidelizzazione, quello di promuovere i propri prodotti e/o servizi presso la clientela target tramite con modalità off-line e on-line, b) il legittimo interesse dei soggetti terzi è quello di ricevere dal Titolare e trattare i dati personali per finalità di verifica del corretto adempimento degli obblighi legali e contrattuali nei confronti dell’interessato o verso terzi (ad esempio verifica da parte dell’Autorità pubblica circa l’adempimento di obblighi fiscali, verifica da parte del collegio sindacale o dei revisori dei conti circa l’adempimento di obblighi legali, ecc.) oppure quello di ricevere dal Titolare e trattare i dati personali per poter gestire le attività
D) Comunicazione dei dati.
Ferma la comunicazione a terzi operata in esecuzione di obblighi di legge o derivanti da regolamenti o altra normativa comunitaria, i dati verranno da noi comunicati, non all’estero, alle seguenti categorie di destinatari: 1) banche e istituti di credito, per l’effettuazione di pagamenti; 2) imprese di assicurazione; 3) società di recupero e/o cessione di crediti; 4) società di informazioni commerciali; 5) consulenti e professionisti; 6) professionisti e studi professionali (legali, commercialisti, revisori dei conti, ecc.); 7) revisori contabili; 8) altre società, enti e/o persone fisiche che svolgono attività strumentali, di supporto o funzionali all’esecuzione dei contratti o servizi richiesti dalla S.V. (es. società di imbustamento e smistamento corrispondenza, vettori e trasportatori, sub-fornitori). Tali soggetti tratteranno e a loro volta comunicheranno a terzi i dati in qualità di “titolari” o “responsabili esterni” ai sensi dell’art. 28 o 29 del D. Lgs. 196/2003, per le medesime finalità suddette nell’interesse della ns. Società. Nel caso di responsabili esterni, il trattamento avverrà sulla base di ns. direttive e sotto la ns. generale supervisione circa le misure di sicurezza adottate.
E) Trasferimento di dati all’estero.
Le informazioni di cui alla presente sezione si applicano dal 25 maggio 2018. Il Titolare prevede di trasferire i dati personali a un paese terzo o a un’organizzazione internazionale.
F) Obbligatorietà o facoltatività del consenso.
Per le sole finalità precisata al suddetto punto B) da 1 a 3 il vs. consenso preventivo al trattamento non è necessario in quanto la legge consente alla ns. Società di trattarli senza previo vs. consenso in presenza di un proprio legittimo interesse al trattamento; la comunicazione dei dati da parte dell’interessato al titolare è obbligatoria; nel caso di opposizione al trattamento per tali limitate finalità sub C da 1 a 3, il titolare non sarà in grado di dar corso a rapporti contrattuali con l’interessato. Per contro, il consenso al trattamento per le finalità di cui al punto C) da 4 a 6 è sempre facoltativo, ma l’eventuale mancato consenso determinerebbe l’impossibilità da
parte del titolare di gestire secondo i ns. abituali livelli di efficienza, qualità e sicurezza le attività connesse al rapporto con l’interessato e potrà essere valutato come motivo per non avviare o proseguire il rapporto contrattuale. Resta in ogni caso fermo quanto espresso al punto A) che precede circa la definizione di “dato personale”. Nel caso l’interessato sia un fornitore del Titolare in base ad un contratto di appalto, il Titolare ai sensi di legge in alcune casi potrebbe dover rispondere in via solidale verso terzi (fatto salvo il diritto di manleva nei confronti dell’interessato) per l’eventuale mancato o inesatto adempimento da parte dell’interessato in relazione a taluni obblighi di legge, es. in materia previdenziale o retributiva; per tale ragione, è possibile che la ns. Società richieda all’interessato la comunicazione di documenti contenenti taluni dati personali dei dipendenti (es. Libro Unico del Lavoro, quietanze pagamento retribuzioni) al fine di accertare il vs. corretto adempimento di tali obblighi.
G) Periodo di conservazione dei dati.
I dati di regola verranno trattati per tutta la durata dei rapporti contrattuali instaurati con l’interessato, e, in seguito, per la sola durata necessaria all’adempimento dei ns. obblighi di legge (10 anni). Alcuni dati (es. nome e cognome, denominazione e ragione sociale, P.IVA, Codice fiscale, email, numero di telefono, cellulare, fax, PEC, indirizzo sede legale, nominativi di referenti interni, ecc.) sono conservati anche dopo la suddetta scadenza, nei limiti necessari a conservare il profilo professionale o aziendale dell’interessato e razionalizzare così la selezione e i contatti commerciali con clienti e/o fornitori. Laddove dati personali vengano trattati per finalità di sicurezza informatica (es. registrazioni di logs), la conservazione del dato avverrà per il tempo sufficiente a esaurire i controlli di sicurezza relativi e valutarne gli esiti; normalmente tali controlli si esauriscono nell’arco di massimo 1 anno dal momento della raccolta. In caso di insorgere di contenzioso stragiudiziale o giudiziale con l’interessato e/o con terzi, i dati verranno trattati per il tempo strettamente necessario ad esercitare la tutela dei diritti del Titolare.
H) Titolare del trattamento dei Suoi dati personali
è Mavment s.r.l. - Via Colle della Maddalena 4/A - 84095 Giffoni Valle Piana (Sa) - Italia - P.IVA IT05426900659, in persona del suo legale rappresentante pro tempore, domiciliato presso la società, email: info@mavment.com. Il titolare ha nominato uno o più Responsabili del trattamento. Tali responsabili possono essere interni oppure esterni alla Società. I responsabili interni appartengono alle aree funzionali omogenee aziendali che necessitano di trattare i dati per le finalità indicate nella presente informativa, quali l'ufficio acquisti, l'ufficio amministrazione IT, l'ufficio logistica-magazzino, marketing, ecc. Il Delegato principale privacy interno nominato è il sig. AVAGLIANO GIANMARCO, domiciliato per la carica presso il Titolare. I responsabili esterni sono tutte le categorie di soggetti esterni ai quali la Società deve comunicare i dati per le finalità suddette (allorché tali soggetti esterni non assumano la diretta veste di autonomi titolari in ragione dell'ambito di autonomia gestionale ad essi spettante relativamente al trattamento a loro affidato).
I) Diritti.
Relativamente ai dati personali l’interessato può esercitare i seguenti diritti: Art. 7 D. Lgs. 196/2003: Comma 1. (…): di ottenere la conferma dell’esistenza o meno di dati che Vi riguardano anche se non ancora registrati, e la comunicazione in forma intelligibile di tali dati; Comma 2 (…): di ottenere altresì l’indicazione a) dell’origine dei dati personali; b) delle finalità e modalità di trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili dei trattamenti; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. Comma 3 (…): di ottenere a) L’aggiornamento, la rettificazione o se vi abbiate interesse l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; Comma 4 (…) di opporsi in tutto o in parte a) per motivi legittimi al trattamento dei dati personali che Vi riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento
dei dati personali della S.V. ai fini di invio di materiale pubblicitario, vendita diretta, o per il compimento di ricerche di mercato, o di comunicazione commerciale. Art. 8 D. Lgs. 196/2003: Comma 1: I diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale fornito idoneo riscontro senza ritardo. (…) Art. 9 D. Lgs. 196/2003: Comma 1. La richiesta rivolta al titolare o al responsabile può essere trasmessa a) anche mediante lettera raccomandata, telefax o posta elettronica, b) se riguarda l’esercizio dei diritti di cui all’art. 7 commi 1 e 2, anche oralmente e in tal caso è annotata sinteticamente a cura dell’incaricato o del responsabile. Comma 2. Nell’esercizio dei diritti sopra menzionati l’interessato può conferire, per iscritto, delega o procura scritta a persone fisiche, enti, associazioni od organismi. L’interessato può altresì farsi assistere da una persona di fiducia. Comma 3. I diritti di cui all’art. 7, riferiti a dati personali concernenti persone decedute, possono essere esercitati da chi ha un interesse proprio, o agisca a tutela dell’interessato o per ragioni familiari meritevoli di protezione. Comma 5. La richiesta di cui all’art. 7 commi 1 e 2 può essere rinnovata dall’interessato, salva l’esistenza di giustificati motivi, con intervallo non minore di novanta giorni.
A partire dal 25 maggio 2018, l’interessato, avrà diritto di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi senza ingiustificato ritardo o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento; avrà altresì il diritto di revocare in qualsiasi momento il consenso al trattamento per una o più specifiche finalità dei propri dati personali (ordinari e/o sensibili), restando inteso che ciò non pregiudicherà la liceità del trattamento basata sul consenso prestato prima della revoca.
Inoltre, l’interessato, ai sensi dell’art. 20 del Regolamento UE privacy 679/2016, a partire dal 25 maggio 2018 ha diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al Titolare del trattamento e ha diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del Titolare del trattamento cui li ha forniti, qualora ricorrano la seguente condizione (cumulativa):
a) il trattamento si basi sul consenso dell’interessato per una o più specifiche finalità (art. 6 par. 1 lett. a) Reg. UE), o sul consenso dell’interessato riguardante il trattamento di dati sensibili e cioè che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o ala vita sessuale o all’orientamento sessuale (art. 9 par. 2 lett. a) Reg. UE), o su un contratto di cui l’interessato è parte e alla cui esecuzione il trattamento necessario(art. 6 par. 1 lett. b) del Reg. UE); e
b) il trattamento sia effettuato con mezzi automatizzati (software). Nell’esercitare i propri diritti relativamente alla portabilità dei dati in conformità a quanto sopra, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
L’esercizio del diritto c.d. alla portabilità sopra illustrato, lascia impregiudicato il diritto alla cancellazione (“diritto all’oblio”) previsto dall’art. 17 del Regolamento UE privacy 679/2016. Per una completa disamina dei diritti spettanti all’interessato a partire al 25 maggio 2018, lo stesso è invitato a consultare il testo degli articoli 15, 16, 17, 18, 19, 20, 21, 22 del Regolamento UE privacy 679/2016.
L) Reclamo.
L’interessato in ogni momento ha il diritto di proporre reclamo al Garante europeo della protezione dei dati utilizzando il link: http://www.edps.europa.eu/EDPSWEB/edps/lang/it/EDPS, oppure al Garante privacy italiano.