Informativa Fornitori

Informativa privacy (da art. 12 ad art. 22 del Regolamento UE 679/2016 “GDPR”)

Vi informiamo che i dati personali riferibili alla vs. organizzazione e/o al vs. personale (d’ora in poi “Dati”) acquisiti o acquisendi da parte di ALPAC SRL come “Titolare del trattamento” (d’ora in poi anche “ALPAC” o il “Titolare”), presso l’interessato o tramite terzi quali banche dati pubbliche, registro delle imprese, internet, altre società, saranno trattati nel rispetto dei requisiti di legge e dei diritti della S.V., di seguito “Interessato”.

Indice degli argomenti
– A. Modalità di trattamento
– B. Finalità e base giuridica del trattamento
– C. Comunicazione dei Dati
– D. Obbligatorietà o facoltatività della comunicazione dei Dati e conseguenze della mancata comunicazione.
– E. Trasferimento di dati all’estero
– F. Periodo di conservazione dei dati
– G. Diritti
– H. Titolare del trattamento

A. Modalità di trattamento

Il trattamento potrà includere le seguenti operazioni: raccolta (per via telefonica, telematica, scritta o verbale, registrazione, organizzazione, conservazione e elaborazione su supporti cartacei, magnetici, automatizzati o telematici, elaborazione di Dati raccolti da terzi, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione anche a dati di altri soggetti in base a criteri qualitativi, quantitativi e temporali, ricorrenti o definibili volta per volta, trattamento temporaneo finalizzato ad una rapida aggregazione o alla trasformazione dei Dati stessi, adozione in forma discrezionale (mai totalmente automatizzata) di decisioni, creazione di informative, comunicazione, cancellazione e distruzione dei Dati, ovvero combinazioni di due o più delle operazioni summenzionate.

La raccolta avviene altresì presso pubblici registri, elenchi atti e documenti e/o banche dati pubbliche e/o private – società di informazioni commerciali, registro delle imprese -, o su siti web di enti pubblici e/o privati, e in tal caso riguarda esclusivamente dati identificativi, di contatto, fiscali, sulla solvibilità e sulla situazione economico-patrimoniale e finanziaria relativi all’interessato o a referenti interni del cliente o fornitore quali ad esempio amministratori, procuratori speciali, institori, dipendenti, ecc., relativi all’attività economica del cliente o fornitore.

Il Titolare ha altresì nominato uno o più Responsabili esterni o autorizzati interni del trattamento. Gli autorizzati interni appartengono alle aree funzionali omogenee aziendali che necessitano di trattare i Dati per le finalità indicate, quali l’ufficio acquisti, l’ufficio amministrazione, ecc. Il trattamento è presidiato da adeguate misure tecniche e organizzative di sicurezza.

B. Finalità e base giuridica del trattamento

Le finalità del trattamento sono:

  • soddisfare esigenze precontrattuali (es. istruzione di ns. ordini o vs. offerte, ecc.) ed adempimento di obblighi contrattuali (fornitura o acquisto di beni e/o servizi, inclusa la gestione degli obblighi di consegna e della logistica e dei trasporti ad essa funzionali); base giuridica del trattamento è l’esecuzione di un contratto di cui l’Interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • adempimento di obblighi legali (es. tenuta contabilità; formalità fiscali, gestione amministrativa e contabili, ecc.); base giuridica del trattamento è l’adempimento di un obbligo legale al quale è soggetto il Titolare;
  • gestione fornitori per aspetti diversi da quelli sub 1-2 (organizzazione interna delle attività funzionali alle forniture attive e passive di prodotti e/o servizi, es.: gestione rubriche telefoniche, elaborazione statistiche); base giuridica del trattamento è il legittimo interesse del Titolare di poter trattare i Dati al fine di gestire in modo efficacie ed efficiente il rapporto con i propri clienti e/o fornitori e di gestire i relativi processi organizzativi interni ed esterni ritenuto prevalente sui contrapposti interessi alla riservatezza dei dati personali in capo ai soggetti cui si riferiscono i dati;

 

C. Comunicazione dei Dati.

Ferma la comunicazione a terzi operata in esecuzione di obblighi di legge o derivanti da regolamenti o altra normativa comunitaria, o su richiesta di uffici giudiziari o altri soggetti terzi a cui la facoltà sia riconosciuta dalle suddette disposizioni, i Dati potranno essere da noi comunicati alle seguenti categorie di terzi destinatari:

  • banche e istituti di credito, per la gestione di pagamenti;
  • imprese di assicurazione;
  • società di recupero crediti, società di factoring, società di leasing, società di assicurazione o cessione crediti, consorzi fidi (si soli fini della tutela del credito e della migliore gestione dei ns. diritti relativi al singolo rapporto commerciale);
  • consulenti;
  • professionisti e studi professionali (avvocati, dottori commercialisti, sindaci, membri di organismi di vigilanza 231, ecc.);
  • revisori contabili;
  • membri dell’organismo di vigilanza di cui al d.lgs. 231/2001 (ove esistente);
  • soggetti che forniscono servizi di manutenzione e/o assistenza informatica in relazione ai ns. sistemi e database e servizi IT;
  • spedizionieri, vettori e corrieri;
  • altri fornitori e subfornitori;
  • enti pubblici e/o altri soggetti verso i quali la comunicazione si renda necessaria per l’assolvimento di obblighi di legge.

Il Titolare ha nominato quali responsabili esterni tutte le categorie di terzi destinatari ai quali la comunica i Dati, salvo nel caso in cui gli stessi assumano la veste di titolare autonomo del trattamento ai sensi della vigente normativa.

 

D. Obbligatorietà o facoltatività della comunicazione dei Dati e conseguenze della mancata comunicazione.

Per il trattamento diretto alle finalità di cui alla suddetta lettera B) punti da 1 a 3 la comunicazione dei dati è un requisito necessario per la conclusione del contratto, non è un obbligo dell’Interessato, ma la mancata comunicazione comporta l’impossibilità del Titolare di concludere il contratto e/o di eseguirlo e/o di dar corso alle richieste dell’Interessato; in tal caso, non è inoltre necessario il consenso dell’Interessato per il trattamento dei Dati.

E. Trasferimento di dati all’estero.

Il trattamento dei Dati personali avrà luogo principalmente in Italia.

Il trattamento può in parte avvenire in Paesi esteri, entro la UE o al di fuori di essa, nella misura in cui avvenga un trasferimento verso fornitori aventi datacenter o sedi negli stessi (ad esempio a fini di gestione tecnica del sito e del database funzionamento tecnico del sito o per scopi di gestione delle attività di marketing diretto e profilazione ad esso connessi a vario titolo).

Nel caso ciò fosse necessario per il perseguimento delle Finalità Commerciali o di Marketing, i Dati Personali saranno trasferiti all’estero verso i soli Paesi extra-UE che assicurano livelli di tutela adeguati in conformità a quanto riconosciuto dalle decisioni in materia delle Commissione UE, o, in assenza di tali specifiche decisioni, solo previa conclusione tra ALPAC e detti soggetti, relativamente alle predette finalità, di specifici contratti, contenenti adeguate clausole di salvaguardia per la protezione dei Dati Personali a carico del soggetto estero che riceve i dati personali, in conformità alla normativa applicabile in materia e in particolare come minimo ai testi standard relativi approvati dalla Commissione UE (c.d. Clausole Contrattuali Standard o “CCS”).

 

Il cloud provider con sede o datacenter extra-UE utilizzato da ALPAC è il seguente: Google INC., con sede 1600 Amphitheatre Parkway, Mountain View, CA 94043 – USA, quale fornitore dei servizi “Google Workspace” (es. posta elettronica, servizi di videoconferenza “Meet”, Drive), utilizzati per l’esecuzione della prestazione contrattuale verso l’interessato (es. gestione della posta elettronica o redazione/archiviazione di documenti) e/o per l’adempimento dei relativi obblighi legali collegati.

Come indicato espressamente dal fornitore nella sezione dell’Informativa privacy “NORMATIVE VIGENTI SUL TRASFERIMENTO DEI DATI”, disponibile all’indirizzo https://policies.google.com/privacy/frameworks?hl=it, è possibile che per i servizi sopra citati i dati vengano trasferiti dalla UE agli USA e che non si tratti di trasferimento occasionale.

In assoluto non può escludersi a priori con certezza il rischio che in determinate eccezionali situazioni l’autorità pubblica americana in base alla normativa vigente negli U.S.A. (es. art. 702 della FISA e Executive Order EO 12333) per esclusive finalità di sicurezza nazionale effettui l’accesso a dati personali come sopra trasferiti da ALPAC negli USA. Tuttavia, in base ad un’analisi specifica del tema operata da ALPAC in conformità alla sentenza “Schrems II” del 17 luglio 2020 della CGCE e delle relative Linee Guida in materia dell’EDPB – European Data Protection Board, in concreto la possibilità che vi sia un effettivo interesse delle suddette pubbliche autorità ad operare un tale accesso ed ulteriore trattamento (di cui il fornitore per legge potrebbe non dare avviso a ALPAC e/o all’interessato) appare del tutto remoto, considerati: i) il particolare core business di ALPAC ii) le limitate tipologie di dati personali da essa trattati e iii) le limitate categorie di interessati cui i dati si riferiscono.

Pertanto, la Società reputa che le citate CCS garantiscano una tutela dei diritti degli interessati sostanzialmente equivalente a quella prevista dal GDPR. L’adozione di eventuali misure supplementari sarà comunicata da ALPAC agli interessati.

ALPAC opera, inoltre, un costante monitoraggio al fine di individuare i propri fornitori con sede o data center negli U.S.A. e di verificare che il trasferimento di dati verso gli stessi si basi su adeguate basi giuridiche previste dal GDPR.

 

Quando i dati sono trasferiti extra-UE per motivi diversi dalle Finalità Marketing, la base giuridica del trasferimento è altresì costituita dal legittimo interesse di ALPAC di dare esecuzione al contratto con l’interessato o ad un contratto stipulato da ALPAC con terzi in favore dell’interessato o di adempiere ai relativi obblighi di legge.

F. Periodo di conservazione dei dati.

I Dati di regola verranno trattati per tutta la durata dei rapporti contrattuali instaurati con l’Interessato, e, in seguito, per la sola durata necessaria all’adempimento degli obblighi di legge cui è soggetto il Titolare (10 anni dalla cessazione e/o regolare adempimento del rapporto contrattuale con interessato o l’organizzazione a cui egli appartiene).

Nella misura in cui i Dati vengano trattati per finalità di sicurezza informatica (es. registrazioni di logs relativi a transazioni o scelte operate on-line sul ns. sito web, la conservazione avverrà per il tempo sufficiente a permetterne i controlli di sicurezza e documentarne gli esiti (di regola 1 anno dalla raccolta). In caso di contenzioso con l’interessato e/o con terzi, i dati verranno trattati per tutto il tempo strettamente necessario ad esercitare la tutela dei diritti del Titolare.

G. Diritti

Relativamente al trattamento dei dati personali la S.V. può esercitare i seguenti diritti di seguito qui riportati, contattando senza particolari formalità la ns. Società all’indirizzo email sopra indicato:

  • chiedere alla ns. Società conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
    1. le finalità del trattamento;
    2. le categorie di dati personali in questione;
    3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
    4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    5. l’esistenza del diritto dell’Interessato di chiedere alla ns. Società la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
    6. il diritto di proporre reclamo ad un’autorità di controllo; qualora i dati non siano raccolti presso l’Interessato, tutte le informazioni disponibili sulla loro origine;
    7. l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’Interessato.
  • qualora i dati personali siano trasferiti a un paese terzo o ad un’organizzazione internazionale, l’Interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate relative al trasferimento (NB: come spiegato nella presente informativa, attualmente la ns. Società non trasferisce all’estero i dati dell’interessato);
  • richiedere, ed ottenere senza ingiustificato ritardo, la rettifica dei dati inesatti; tenuto conto delle finalità del trattamento, l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
  • richiedere la cancellazione dei dati se
    1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    2. l’Interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
    3. l’Interessato si oppone al trattamento, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
    4. i dati personali sono stati trattati illecitamente;
    5. i dati personali devono essere cancellati per adempiere ad un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetta la ns. Società;
    6. (…)
  • richiedere la limitazione del trattamento che riguarda la S.V., quando ricorre una delle seguenti ipotesi:
    1. l’Interessato contesta l’esattezza dei dati personali; in tale caso la limitazione del trattamento (cioè la sospensione dello stesso) potrà avvenire per il periodo necessario alla ns. Società per verificare l’esattezza di tali dati personali;
    2. il trattamento è illecito (ad esempio perché non è stata fornita all’interessato la previa informativa di legge) e l’Interessato si oppone alla cancellazione dei dati personali (cioè preferisce che vengano da noi conservati nei ns archivi cartacei e/o informatici) e chiede invece che ne sia come sopra limitato l’utilizzo;
    3. benché la ns. Società non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • ottenere dalla ns. Società, su richiesta, la comunicazione dei terzi destinatari cui sono stati trasmessi i dati personali;
  • revocare in qualsiasi momento il consenso al trattamento ove in precedenza comunicato per una o più specifiche finalità dei propri dati personali, restando inteso che ciò non pregiudicherà la liceità del trattamento basata sul consenso prestato prima della revoca.
  • ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’Interessato da lui forniti alla ns. Società e, se tecnicamente fattibile, di far trasmettere tali dati direttamente a un altro Titolare del trattamento senza impedimenti da parte nostra, qualora ricorra la seguente condizione (cumulativa):
    1. il trattamento si basi sul consenso dell’Interessato per una o più specifiche finalità, o su un contratto di cui l’Interessato è parte e alla cui esecuzione il trattamento è necessario; e
    2. il trattamento sia effettuato con mezzi automatizzati (software) (complessivo diritto alla c.d. “portabilità”).

L’esercizio del diritto c.d. alla portabilità fa salvo il diritto alla cancellazione sopra previsto;

  • non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. A chiarimento vi specifichiamo che noi non operiamo alcun trattamento automatizzato del tipo suddetto.
  • proporre reclamo all’Autorità di controllo competente in base al GDPR (Garante privacy) o al Tribunale ordinario.

H. Titolare del trattamento

Titolare del trattamento dei dati è ALPAC S.R.L. con sede legale in Via Lago di Costanza, 27 – 36015 Schio (VI), e-mail privacy@alpac.it., alla quale Lei pertanto potrà rivolgersi per esercitare i diritti di legge. Una lista dei Responsabili del trattamento designati dal Titolare è ottenibile su richiesta.