Informativa Privacy Fornitori

Gentile fornitore,

in osservanza di quanto previsto dal Regolamento UE 2016/679, Le forniamo la presente informativa relativa al trattamento dei Suoi dati personali nell’ambito del rapporto di fornitura con Lei in essere.

La presente informativa è resa congiuntamente da IL GRIFONE SHOPPING CENTER SRL, società con socio unico con sede in Bolzano, via Bruno Buozzi 30, Partita IVA 02600790246, soggetta ad attività di direzione e coordinamento di Ses Spar European Shopping Centers Gmbh (“IL GRIFONE”), e da SES ITALY SRL, società con socio unico con sede in Bolzano, via Bruno Buozzi 30, Partita IVA 02737550216, soggetta ad attività di direzione e coordinamento di Partig Beteiligungs und Vermögensverwaltungsgesellschaft M.B.H. (“SES”), rispettivamente proprietaria e gestore del Centro Commerciale “Il Grifone Shopping Center” in Bassano del Grappa (di seguito il “Centro Commerciale”). Poiché IL GRIFONE e SES decidono congiuntamente le finalità di tutti i trattamenti di dati personali svolti nell’ambito della gestione del Centro Commerciale, esse agiscono quali contitolari del trattamento di dati personali. Nel prosieguo IL GRIFONE e SES vengono congiuntamente indicate come “Contitolari”.

I Contitolari trattano i dati personali dei fornitori nell’ambito della gestione dei rapporti contrattuali e delle relazioni commerciali intrattenuti con loro, sia in corso sia eventualmente pregressi, dell’adempimento degli obblighi di legge conseguenti all’esecuzione dei contratti (ad es. obbligo di conservazione delle scritture contabili) e in relazione alla gestione di eventuali controversie.

SES, quale gestore del Centro Commerciale, ha designato un Responsabile della protezione dei dati (cd. data protection officer o DPO) che potrete contattare in relazione a qualunque questione concernente la privacy, inviando una mail all’indirizzo [email protected].

• I Contitolari trattano i dati personali dell’Interessato per le seguenti finalità, tutte inerenti al rapporto contrattuale con il fornitore:

1. finalità connesse alla negoziazione, stipula ed esecuzione di rapporti contrattuali tra i Contitolari e l’Interessato, e quindi per comunicare con l’Interessato, per negoziare e stipulare il contratto quadro ed i contratti esecutivi, per archivio della documentazione contrattuale fintanto che sono possibili controversie in relazione alle forniture oggetto del contratto con l’Interessato; il trattamento è lecito in quanto necessario alla stipula o esecuzione di un contratto con l’Interessato;
2. finalità di gestione amministrativa e contabile, e quindi per registrazione nei propri libri contabili di fatture e altri documenti contabili ricevuti dall’Interessato o emessi dai Contitolari, e archivio di tali documenti e di tutta la documentazione contabile ed extracontabile di supporto (ad es. DDT e contratti); il trattamento è lecito in quanto necessario per l’adempimento di obblighi di legge.

Il conferimento dei dati anagrafici, fiscali e bancari è obbligatorio al fine di poter dare esecuzione al rapporto contrattuale con l’Interessato. Pertanto, l’eventuale rifiuto a fornirli potrà determinare l’impossibilità dei Contitolari a dar corso ai rapporti contrattuali medesimi.

• I Contitolari trattano i dati personali dell’Interessato altresì per finalità di gestione di eventuali controversie connesse o comunque relative al rapporto contrattuale intercorso; il trattamento è lecito in quanto i Contitolari hanno il legittimo interesse di accertare o difendere un diritto in sede giudiziale e stragiudiziale, e tale interesse non viola diritti e libertà fondamentali degli Interessati.
• I Contitolari trattano i dati personali dell’Interessato che fornisca merci o servizi oggetto di iniziative promozionali da loro curate, comunicando i suoi dati di contatto ad altri fornitori coinvolti nell’organizzazione e gestione di tali iniziative promozionali/di marketing; tale trattamento è lecito, in quanto basato sul legittimo interesse dei Contitolari di svolgere attività promozionali e di marketing per incrementare il proprio giro d’affari, e tale interesse non viola diritti e libertà fondamentali dell’Interessato, che anzi ne potrebbe giovare incrementando i propri affari.
• I dati dell’Interessato vengono altresì trattati dai Contitolari (o da soggetti appositamente incaricati che trattano i dati per conto di questi ultimi, quali ad es. fornitori di servizi di manutenzione dei sistemi hardware e software) nell’ambito di operazioni più generali sui sistemi informativi dei contitolari finalizzate alla conservazione sicura dei dati aziendali, e segnatamente attraverso operazioni di back-up e conservazioni in data center e archivi differenziati. Tali trattamenti sono leciti in quanto basati sul legittimo interesse dei Contitolari alla sicurezza dei propri sistemi informatici e archivi cartacei, e tale interesse non viola diritti e libertà fondamentali degli Interessati.
• Le operazioni di trattamento che precedono possono richiedere che i dati trattati siano condivisi con altre società del gruppo cui appartengono i Contitolari ubicate anche all’estero (nel SEE o in Svizzera), per finalità amministrativo-contabili, ed in particolare per dar corso ad attività organizzative e procedurali interne, quali ad esempio attività di audit e controlling. Tale condivisione è lecita in quanto i Contitolari hanno il legittimo interesse di perseguire le proprie attività organizzative e procedurali, e tale interesse non viola diritti e libertà fondamentali degli Interessati.
• I Contitolari potranno comunicare i dati di contatto dell’Interessato a soggetti terzi che siano interessati a stabilire un contatto commerciale diretto al fine di un’eventuale negoziazione, ed in particolare a società del gruppo cui appartengono i Contitolari. Tale trattamento è lecito, in quanto basato sul legittimo interesse di tali soggetti destinatari di instaurare un contatto con l’Interessato al fine di sviluppare una relazione commerciale con lui. Tale interesse non viola diritti e libertà fondamentali dell’Interessato, che anzi ne potrebbe giovare incrementando i propri affari.

I dati sono trattati con l’ausilio di supporti informatici e cartacei nei modi necessari per perseguire le finalità per cui sono stati raccolti.

Il trattamento dei dati avviene con procedure idonee a tutelarne la riservatezza e consisterà nella loro raccolta, registrazione, organizzazione, conservazione, interrogazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione, distruzione degli stessi comprese la combinazione di due o più delle attività suddette. I dati degli Interessati saranno trattati anche con strumenti informatici e telematici e conservati con predisposizione di idonee misure sicurezza conformemente a quanto disposto dalla normativa vigente, al fine di ridurre i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato, o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure di sicurezza saranno adeguate nel tempo in conformità alla legge e alla evoluzione tecnica del settore.

I Contitolari non diffondono i dati dell’Interessato. Tuttavia, i trattamenti dei dati effettuati possono comportare la comunicazione di dati a soggetti terzi, diversi dai dipendenti e collaboratori dei Contitolari incaricati del trattamento.

Nello svolgimento delle attività di cui al punto 3, i Contitolari si avvalgono infatti anche della collaborazione di soggetti terzi i quali trattano dati per loro conto, e come tali sono stati designati responsabili del trattamento. Salvo ove diversamente indicato, essi sono tutti ubicati nello Spazio Economico Europeo (“SEE”). In particolare,

• i Contitolari si avvalgono dei servizi gestionali e amministrativi, compreso l’ambito delle risorse umane, contabili/finanziari, legali, tecnici, logistici, di sviluppo, informatici, commerciali, di marketing, di sicurezza sul lavoro /del patrimonio aziendale e di controllo interno, forniti da ASPIAG SERVICE S.r.l., nominata responsabile, o da fornitori di quest’ultima;
• i Contitolari si avvalgono dei servizi di cloud computing denominati “G Suite” forniti da Google Ireland Limited.

Non si possono escludere eventuali trasferimenti dei dati personali trattati per il tramite di piattaforme cloud, operati dai responsabili fuori dallo Spazio Economico Europeo, in particolare negli Stati Uniti; tale Paese garantisce un adeguato livello di protezione dei dati personali, quando i dati siano trasferiti a organizzazioni statunitensi iscritte nella “Data Privacy Framework List”, quale Google LLC.

Ai responsabili del trattamento designati dai Contitolari e ai soggetti autorizzati al trattamento dei dati saranno impartite adeguate istruzioni operative, con particolare riferimento all’adozione delle misure adeguate di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. In ogni caso, saranno rivelati loro soltanto quei dati personali necessari per lo svolgimento delle loro specifiche funzioni.

I Contitolari comunicano i dati dell’Interessato anche ad altri soggetti i quali agiscono quali autonomi titolari e, salvo ove diversamente indicato, sono tutti ubicati nel SEE. In particolare:

• i trattamenti svolti nell’ambito dell’esecuzione del contratto con l’Interessato possono includere la comunicazione dei suoi dati di contatto (i) a società di vigilanza, quando l’Interessato debba accedere a uffici/punti vendita/altre unità locali dei Contitolari, (ii) a istituti di credito, per l’esecuzione dei pagamenti al fornitore, (iii) a fornitori o altri partner contrattuali dei Contitolari, in particolare in caso di organizzazione e gestione di attività, iniziative o eventi anche promozionali/di marketing nei quali l’Interessato è coinvolto;
• i trattamenti svolti per finalità di gestione amministrativa e contabile possono includere la comunicazione dei dati ad Autorità ed Enti Pubblici, in caso di verifiche o ispezioni o comunque quando i Contitolari ricevano richiesta di esibire o consegnare documenti recanti i dati dell’Interessato. Parimenti, i dati possono essere comunicati a revisori, collegio sindacale/sindaco unico e altri consulenti esterni, per finalità di audit e verifica della documentazione contabile e di supporto;
• i trattamenti svolti nell’ambito della gestione delle controversie includono la comunicazione dei dati del l’Interessato e delle relative forniture a compagnie e broker assicurativi, nonché a consulenti dei Contitolari, legali e non.

I dati personali dell’Interessato vengono conservati dai Contitolari per il periodo necessario alla gestione del rapporto con l’Interessato e verranno cancellati dagli archivi dei Contitolari entro la fine del decimo anno solare successivo a quello della cessazione del rapporto contrattuale.

L’Interessato può esercitare nei confronti dei Contitolari i seguenti diritti:

1. diritto di accesso: L’Interessato può chiedere, in qualsiasi momento, quali dati che lo riguardano vengono trattati dai Contitolari, la finalità del trattamento, le categorie di dati in questione, i destinatari o le categorie di destinatari a cui i dati vengono trasmessi, il periodo di conservazione o i criteri utilizzati per determinare tale periodo nonché la loro origine se i dati non sono raccolti presso l’Interessato.
2. diritto di rettifica: L’Interessato può chiedere la correzione dei dati inesatti ovvero, tenuto conto della finalità del trattamento, l’integrazione dei dati personali incompleti, come previsto dall’art. 16 GDPR.
3. diritto alla cancellazione o diritto all’oblio: L’Interessato può chiedere la cancellazione dei dati trattati dai Contitolari nei casi previsti dall’art. 17 GDPR, ad esempio quando i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati. I Contitolari non procederanno però alla cancellazione dei dati laddove il trattamento sia necessario per adempiere ad un obbligo di legge a cui i Contitolari sono soggetti (es. tenuta delle scritture contabili) oppure sia necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
4. diritto alla limitazione del trattamento: L’Interessato può chiedere che il trattamento dei dati sia limitato, nei casi previsti dall’art. 18 GDPR, ad esempio quando l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario ai Contitolari per verificare l’esattezza di tali dati.
5. diritto alla portabilità: Su richiesta dell’Interessato i Contitolari consegneranno all’Interessato i dati che lo riguardano trattati con mezzi automatizzati, in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Tuttavia tale diritto è limitato ai dati trattati dai Contitolari per la stipula o esecuzione di un contratto con l’Interessato o sulla base del suo consenso. Se tecnicamente fattibile, e qualora l’Interessato lo richieda, i Contitolari trasmetteranno i dati direttamente ad altro titolare del trattamento.
6. diritto di opposizione:

• L’Interessato ha il diritto di opporsi, in qualsiasi momento, al trattamento dei dati, compresa la profilazione, che avvenga sulla base del legittimo interesse; questo diritto però è previsto solo per motivi connessi alla situazione particolare dell’Interessato, che li deve dichiarare. In caso di opposizione, i Contitolari possono continuare il trattamento nel caso in cui dimostrino l’esistenza di propri motivi legittimi cogenti (i) per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’Interessato oppure (ii) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
• L’Interessato ha inoltre il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali effettuato per finalità di marketing diretto, compresa la profilazione connessa a tale marketing diretto.

1. revoca del consenso: Il consenso dell’Interessato al trattamento di dati, nei casi in cui sia prestato, può essere revocato in qualsiasi momento e senza che l’Interessato debba fornire una motivazione; ciò non pregiudicherà però la liceità del trattamento dei dati basato sul suo consenso ed effettuato prima della revoca.
2. diritto di reclamo: L’Interessato che ritenga che il trattamento dei dati effettuato dai Contitolari violi la normativa applicabile in materia di protezione dei dati personali ha il diritto di proporre reclamo al Garante per la protezione dei dati personali.

Per l’esercizio dei suoi diritti, ciascun Interessato può rivolgersi ai Contitolari oppure al responsabile della protezione dei dati (DPO) agli indirizzi sopra indicati.