A norma dell'articolo 13 del Regolamento UE n. 679/2016 (“Regolamento”) in materia di protezione dei dati personali è nostra cura fornirLe alcune informazioni relative ai trattamenti dei dati personali del cliente (nel caso in cui quest’ultimo rivesta la qualifica di persona fisica o ditta individuale), dei dati personali del legale rappresentante e dei dipendenti del cliente (nel caso quest’ultimo rivesta la qualifica di persona giuridica) (di seguito “Dati”) effettuati nel contesto del rapporto di cessione di beni/prestazione di servizi da parte di Stafer S.p.A.
1.1 Il Titolare del trattamento dei Dati è Stafer S.p.a., con sede legale in Faenza (48018 - RA), Via Malpighi n. 9, (“Titolare” o “Società”).
1.2 Il Titolare effettua il trattamento dei Dati in conformità ai principi di liceità, correttezza, trasparenza, di limitazione delle finalità, di minimizzazione dei dati, di esattezza, di limitazione della conservazione, di integrità e riservatezza e di responsabilizzazione.
2.1 I Dati trattati dal Titolare sono:
a. dati comuni: a titolo esemplificativo, dati anagrafici, luogo e data di nascita, partita iva, codice fiscale, codice univoco, codice iban, indirizzo email e PEC, email inviate e ricevute, numero di telefono, ruolo aziendale, tipologia e quantità di merce acquistata, ordini di acquisto, fatturato, orario di entrata ed uscita dalla sede della Società, immagini registrate dal sistema di videosorveglianza, foto, videoriprese.
3.1 Nell’ambito del rapporto di cessione dei beni/prestazione di servizi, il Titolare tratta i Dati per le seguenti finalità:
Numero | Finalità | Base giuridica del trattamento di dati comuni | Periodo di conservazione dei dati
| Finalità | Base giuridica del trattamento di dati comuni | Periodo di conservazione dei dati | |
|---|---|---|---|
| 1 | Per conclusione e gestione del contratto tra la Società e il Cliente. | esecuzione di un contratto (Art. 6 comma 1 lett. B) del Regolamento) | I dati personali trattati per questa finalità sono conservati per la durata del contratto |
| 2 | per adempiere obblighi di legge (es. obblighi civilistici, fiscali, contabili). | trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare (Art. 6 comma 1 lett. C) del Regolamento) | I dati personali trattati per questa finalità sono conservati fino alla scadenza degli obblighi di legge. (es. obblighi di conservazione per 10 anni dalla data dell'ultima registrazione ex. art. 2220 c.c.). |
| 3 | Per la compilazione del registro delle presenze di personale esterno per esigenze organizzative, di sicurezza e di controllo dell'accesso ai locali aziendali | legittimo interesse del titolare consistente nel verificare identità e numero delle persone presenti, anche ai fini della sicurezza (Art. 6, comma 1, Lett. F) del Regolamento) | 24 ore dalla raccolta. |
| 4 | per la vendita di parti di ricambio, per l'assistenza tecnica, per la riparazione o la sostituzione di merce in garanzia, per la manutenzione e per il ritiro merce | -Esecuzione contratto (art. 6, comma 1, Lett. B del Regolamento); - adempimento obblighi di legge cui è soggetto il titolare del trattamento (art. 6, comma 1, Lett. C) del Regolamento) | I dati personali trattati per questa finalità sono conservati per la durata del contratto e, successivamente, fino a quando non si siano scaduti gli obblighi di legge (es. obblighi di conservazione per 10 anni dalla data dell'ultima registrazione ex. art. 2220 c.c.). |
| 5 | Per raccogliere e gestire gli ordini dei clienti inviati attraverso la piattaforma Nav to Net; | -Trattamento necessario all'esecuzione di un contratto (art. 6, comma 1, Lett. B del Regolamento); -Trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (Art. 6 comma 1 lett. C) del Regolamento). | I dati personali trattati per questa finalità sono conservati per la durata del rapporto contrattuale e, successivamente, fino a quando non sono scaduti gli obblighi di legge. |
| 6 | per l'elaborazione di dati statistici e di indicatori gestionali; | legittimo interesse del titolare consistente nel tenere monitorato l’andamento gestionale, nel calcolare il premio aziendale previsto dal contratto aziendale e per consentire alla società di revisione e ai sindaci di effettuare i controlli (Art. 6, comma 1, Lett. F) del Regolamento) | I dati personali trattati per questa finalità sono conservati per 60 mesi dalla raccolta dei dati. |
| 7 | Attività di trattamento indiretto ed eventuale di dati personali -derivante dall'uso di email e PEC utilizzati dal cliente e/o il suo legale rappresentante e/o i suoi dipendenti- effettuata dal Titolare: (i) per esigenze organizzative e produttive e di tutela del patrimonio aziendale; (ii) per esigenze di sicurezza dei sistemi, di relativa manutenzione e risoluzione di problemi tecnici; (iii) per assicurare l'ordinario svolgimento e la continuità dell'attività aziendale; (iv) per migliorare, attraverso lo strumento del CRM, la relazione con gli stakeholders; (v) per adempiere obblighi di legge quali, a titolo esemplificativo, l’obbligo di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni dell’ordinamento (es. art. 2220 c.c.) e l’obbligo di consegnare i dati personali per ottemperare ad una specifica richiesta dell’autorità giudiziaria o di polizia giudiziaria; (vi) per accertare, esercitare e difendere in giudizio un diritto. | - Legittimo interesse del Titolare (Art. 6, comma 1, lett. F) del Regolamento) consistente nel diritto di adottare misure per perseguire esigenze organizzative e produttive e di tutela del patrimonio aziendale, esigenze di sicurezza dei sistemi, di relativa manutenzione e risoluzione di problemi tecnici, per assicurare l'ordinario svolgimento e la continuità dell'attività aziendale, per migliorare, attraverso lo strumento del CRM, la relazione con gli stakeholders e per accertare, esercitare e difendere in giudizio un diritto; - Adempimento di obblighi legali (quali, a titolo esemplificativo, l’obbligo di provvedere alla dovuta conservazione di documentazione ex art. 2220 c.c. e l’obbligo di consegnare i dati personali per ottemperare ad una specifica richiesta dell’autorità giudiziaria o di polizia giudiziaria) (Art. 6, comma 1, lett. C) del Regolamento); | Email: le comunicazioni elettroniche inviate e ricevute agli indirizzi di posta elettronica aziendale e aziendale-individuale sono conservate sul server Exchange accessibile tramite Outlook per 60 mesi e poi cancellate fatto salvo quanto segue: (i) i messaggi di posta elettronica aziendale e di posta elettronica aziendale – individuale rilevanti per gestire le relazioni con gli stakeholders (es, clienti, fornitori, agenti, ecc.) e salvati dai Lavoratori sul CRM aziendale (che si appoggia sul Server) sono cancellati dopo 60 mesi; (ii) i messaggi di posta elettronica aziendale e di posta elettronica aziendale- individuale aventi contenuto e rilevanza giuridica e commerciale sono conservati sul File Server aziendale per 10 anni ai sensi dell’art. 2220 del codice civile; (iii) in caso di contenzioso le mail sono conservate per la sua durata e cancellate al termine dello stesso; PEC: per 10 anni ai sensi dell’art. 2220 del codice civile e, in caso di contenzioso, le PEC saranno conservate per la sua durata e cancellate al termine dello stesso; |
| 8 | per ottenere le certificazioni su base volontaria (es. ISO e rating di legalità) e per la realizzazione del reporting integrato | legittimo interesse del titolare consistente nel certificare i propri sistemi di gestione qualità, ambiente e sicurezza, nonché per realizzare un reporting integrato tra le informazioni economico-finanziarie e gli intangibili (Art. 6, comma 1, Lett. F) del Regolamento) | I dati personali trattati per questa finalità sono conservati per il periodo necessario ad ottenere la certificazione e/o realizzare il reporting integrato e, successivamente, per 10 anni. |
| 9 | per rilevare il grado di soddisfazione dei clienti e per eseguire indagini di mercato | Consenso (art. 6, comma 1, Lett. A) del Regolamento) | I dati personali trattati per questa finalità sono conservati per 24 mesi dalla raccolta del consenso salvo revoca. |
| 10 | per invio di materiale informativo, pubblicitario e promozionale, per invio di comunicazioni commerciali via email in merito a prodotti e servizi simili a quelli già acquistati dall'interessato (cd. "Soft spam") e per finalità di marketing diretto | A seconda dei casi, consenso (art. 6, comma 1, Lett. A) del Regolamento), art. 130 comma 4 del D.lgs.196/2003 o legittimo interesse del titolare consistente nel promuovere la vendita dei propri prodotti (art. 6, comma 1, Lett. F) del Regolamento). | I dati personali trattati per questa finalità sono conservati per 24 mesi dalla raccolta del consenso salvo revoca o, in caso di trattamento effettuato su base giuridica diversa dal consenso, 24 mesi dall'ultimo acquisto fatto salvo il diritto di opposizione. |
| 11 | per finalità di welfare aziendale (partecipazione ad eventi formativi, eventi culturali, open day aziendali, ecc) | consenso dell'interessato che verrà richiesto di volta in volta (Art. 6, comma 1. Lett. A) del Regolamento) | Per il tempo necessario al perseguimento delle finalità e, in ogni caso, fino alla revoca del consenso prestato. |
| 12 | Per videoriprese o fotografie per finalità di informazione e promozione aziendale, anche tramite diffusione su media (Siti web, profili di social networks, TV, Internet, materiale cartaceo, libri, mail ecc.), | consenso dell'interessato che verrà richiesto di volta in volta al momento delle riprese o delle fotografie (Art. 6, comma 1, lett. A) del Regolamento) | Per il tempo necessario al perseguimento delle finalità e, in ogni caso, fino alla revoca del consenso prestato salvo per il materiale cartaceo e/o informativo non più nella disponibilità del titolare in quanto pubblicato o distribuito a terzi. |
| 13 | per accertare, esercitare o difendere un diritto del titolare in sede giudiziaria | legittimo interesse del titolare consistente nella tutela del diritto di difesa garantito costituzionalmente (Art. 6, comma 1, lett. F) del Regolamento) | In caso di contenzioso, i dati saranno cancellati al termine dello stesso. |
| 14 | per tutelare il patrimonio aziendale a mezzo di videocamere esterne | legittimo interesse del titolare consistente nel tutelare il patrimonio aziendale (art. 6(1)(F) del Regolamento). Si precisa che le videocamere sono 2, fisse e poste fuori dall'azienda, In particolare, esse sono orientate verso il cancello di ingresso principale in Via Malpighi e verso il parcheggio interno adiacente alla zona di ingresso del personale operaio come risulta dalla planimetria disponibile c/o gli uffici della società a richiesta dell'interessato. | I dati personali trattati per questa finalità sono conservati per 72 ore successive alla rilevazione decorse le quali si auto cancellano mediante la sovrascrittura di nuove immagini, fatte salve speciali esigenza di ulteriore conservazione in relazione a chiusura uffici per festività o ferie, nonché nel caso in cui si debba aderire ad una specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria. Il suddetto periodo di registrazione è stato stabilito cercando di contemperare le finalità di tutela della privacy con quelle perseguite mediante l’adozione del Sistema (considerando, in particolare, che illeciti di non ingenti dimensioni, ma di elevata pericolosità in termini di potenziali danni al patrimonio dell’Azienda, potrebbero non essere scoperti nelle 24 ore di tempo dalla commissione considerate dal Garante Privacy come l’ordinario periodo di conservazione). Per maggiori dettagli si rinvia al Regolamento sulla videosorveglianza disponibile presso la reception. |
4.1 I suoi Dati, a seconda della finalità, potranno essere comunicati alle seguenti categorie di destinatari i quali sono soggetti al rispetto del Regolamento e si sono impegnati a mantenere la riservatezza sui Dati trattati o hanno un obbligo legale di riservatezza e utilizzano i Dati esclusivamente per l’adempimento dei rispettivi incarichi: Collegio Sindacale, Società di revisione, fornitori, subfornitori, spedizionieri, trasportatori, poste, enti di certificazione, Fornitori di servizi informatici, consulenti e liberi professionisti, autorità giudiziaria e arbitri, enti di conciliazione, autorità pubblica ed enti pubblici (es. dogane e camere di commercio). Limitatamente ai Dati trattati per finalità sub n. 11 e n. 12 di cui all’art. 3.1 la cui base giuridica è il consenso (ossia dati anagrafici, foto, videoriprese), essi potranno essere comunicati a società di videoriprese, fotografi, consulenti e liberi professionisti, società di servizi, enti pubblici, Università, provider di siti web e social network, riviste, clienti, fornitori, tipografi. Tutte le categorie di destinatari sopra indicati, a seconda del caso, opereranno in qualità di titolari autonomi del trattamento oppure saranno designati quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento.
5.1 Il Titolare non trasferisce i Suoi Dati a un paese terzo ad eccezione dei dati trattati per le finalità sub n. 12 di cui all’art. 3.1. In tale ipotesi, il trasferimento avviene nel rispetto di quanto previsto dal capo V del Regolamento.
6.1. Per l’indicazione del periodo di conservazione dei Suoi Dati o, in alternativa, dei criteri utilizzati per determinare tale periodo si rinvia alla tabella riportata al precedente art. 3.1.
7.1 Il conferimento dei dati è obbligatorio quando è necessario al Titolare per adempiere obblighi legali e/o contrattuali e pertanto l'eventuale rifiuto a fornirli non consentirà alla Società di instaurare il rapporto di lavoro, di dare esecuzione al contratto o di svolgere correttamente tutti gli adempimenti connessi agli stessi, quali, a titolo esemplificativo, quelli di natura retributiva, contributiva, fiscale e assicurativa.
8.1 L’interessato può rivolgersi al Titolare, inviando una mail a privacy@stafer.com, per esercitare i diritti previsti dal Regolamento e di cui viene fornita di seguito una breve descrizione, in particolare, per:
- il diritto di accesso (art. 15 del regolamento): Lei ha diritto di richiedere: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato;
- il diritto di rettifica (art. 16 del Regolamento): Lei ha diritto di ottenere la rettifica dei dati personali inesatti che La riguardano e di ottenere l’integrazione dai dati personali incompleti;
- il diritto alla cancellazione (art. 17 del Regolamento): Lei ha diritto di ottenere la cancellazione dei dati personali se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se Lei revoca il consenso su cui si basa il trattamento, se Lei si oppone al trattamento ai sensi dell’art. 21, paragrafo 1 del Regolamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento oppure se si oppone al trattamento ai sensi dell’art. 21, comma 2 del Regolamento, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli;
- il diritto di limitazione (art. 18 del Regolamento): Lei ha diritto di ottenere la limitazione del trattamento quando ha contestato l'esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali), se il trattamento sia illecito ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo, se i dati le sono necessari per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari e se Lei si è opposto al trattamento ai sensi dell’art. 21, comma 1 del Regolamento (in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell’interessato);
- il diritto alla portabilità dei dati (art. 20 del Regolamento): Lei ha diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso o sul contratto e se il trattamento sia effettuato con mezzi automatizzati;
- il diritto di opposizione (art. 21 del Regolamento): Lei ha diritto di opporsi al trattamento dei dati ai sensi dell’art. 6, comma 1, lettere e) o f), salvo il diritto del titolare di dimostrare l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Inoltre, Lei ha diritto di opporsi al trattamento dei dati effettuato per finalità di marketing diretto;
- il diritto di revoca del consenso (art. 7 del Regolamento): Lei ha diritto di revocare il consenso prestato per i trattamenti per i quali esso è richiesto.
- il diritto di non essere sottoposto a processo decisionale automatizzato (art. 22 del Regolamento): Lei ha diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato.
8.2 L’esercizio dei diritti succitati è subordinato ai limiti, alle regole e procedure previste dal Regolamento. Concordemente a quanto previsto dall’articolo 12 comma 3 del Regolamento, inoltre, il Titolare fornirà all’interessato le informazioni relative all'azione intrapresa senza ingiustificato ritardo e, comunque, al più tardi entro 30 giorni dal ricevimento della richiesta stessa. Tale termine potrà essere prorogato di 60 giorni, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del trattamento informerà l'interessato di tale proroga, e dei motivi del ritardo, entro 30 giorni dal ricevimento della richiesta.
8.3 La informiamo inoltre che Lei ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei dati personali un’autorità di controllo.
È possibile in qualsiasi momento revocare il consenso per il trattamento dei dati per le finalità su indicate inviando una mail a privacy@stafer.com. La revoca non pregiudica la liceità del trattamento basata sul consenso prima della revoca.