EXTENDED INFORMATION PURSUANT TO ART. 12, 13 AND, IF NECESSARY, 14 OF THE GDPR REGULATION (EU) 2016/679 RELATING TO THE PROTECTION OF INDIVIDUALS, WITH REGARD TO THE PROCESSING OF PERSONAL DATA (HEREIN THE GDPR))
The data controller reports, below, the information pursuant to Articles 12, 13 and, if necessary, article 14 of the GDPR relating to the processing of personal data provided by the Customer / interested party through the compilation and signing of the Contract to purchase the products / services offered for sale by the data controller, spontaneously uploading in this website personal data (in particular by filling in forms) or simply by browsing it.
1. Data controller and contact details
The data controller is SOGIPHARMA SRL based in Palermo web (hereinafter the Site: www.sogipharma.it
2. Principles applicable to processing
In accordance with the provisions of the GDPR, the data controller constantly strives to ensure that personal data are:
a) processed lawfully, fairly and transparently;
b) collected for specific, explicit and legitimate purposes, and subsequently processed in a way that is not incompatible with these purposes;
c) adequate, relevant and limited to what is necessary with respect to the purposes for which they are processed;
d) accurate and, if necessary, updated;
e) kept for a period of time not exceeding the achievement of the purposes for which they are processed;
f) processed, through appropriate technical and organizational measures, in order to guarantee their security;
g) processed, if by virtue of consent, by decision freely taken by the Customer / interested party, on the basis of a request presented in a clearly distinguishable way from the rest, in an understandable and easily accessible form, using simple and clear language;
h) The data controller adopts adequate technical and organizational measures in order to ensure the protection of personal data from the design stage and to ensure that, by default, only the data necessary for each specific processing purpose are processed;
i) The data controller collects and takes the utmost account of the indications, observations and opinions of the Customer / interested party transmitted to the addresses indicated above, in order to implement a dynamic privacy management system that ensures effective protection of individuals, with regard to the processing of their data;
j) This Notice may undergo changes, in line with the evolution of the relevant legislation and the technical and organizational measures gradually adopted by the data controller; the Customer / interested party, therefore, is requested to periodically visit this section of the Site, to view the updates and the information of the text in force for the time being.
3. Methods of processing personal data
a) The processing of personal data is carried out manually and with electronic tools, with logic strictly related to the purposes indicated below and, in any case, in order to guarantee the security and confidentiality of the data.
4. Purpose of the processing of personal data
a) Purposes for which the data processing is necessary. The personal data provided by the Customer / interested party are mainly processed for the execution of the Contract and credit management and, more generally, for the relationship arising from the Contract itself. The provision of data in the Contract or later, during the contractual relationship, for the purposes of the processing in question is mandatory; therefore, failure, partial or incorrect provision of such data makes it impossible to stipulate and / or execute the Contract and, for the Customer / interested party, to take advantage of the products / services offered by the data controller, potentially exposing the Customer / interested party himself a liability for breach of contract. The personal data provided by the Customer / interested party may also be processed if this is necessary to fulfill a legal obligation to which the data controller is subject, for the protection of the vital interests of the Customer / interested party or of another person. physical, for the execution of a task in the public interest or connected to the exercise of public powers of which the data controller is invested, or for the pursuit of the legitimate interest of the data controller himself or of third parties, provided that they do not prevail the interests or fundamental rights and freedoms of the Customer / data subject; even in these cases, the provision of data is mandatory and, therefore, the failure, partial or incorrect communication of the data may expose the Customer / interested party to any liability and penalties provided for by the legal system.
b) Further purposes of the processing following the specific and express consent of the Customer / interested party. In addition to the aforementioned processing purposes, the personal data provided / acquired may be processed, with the prior consent of the Customer / interested party, to be expressed by selecting the <> box on the Contract or on the Site (or using other social or web applications of the owner of the processing), also for carrying out market surveys and to carry out commercial and promotional communications, by telephone (also using the mobile phone number provided) and automated contact systems (e-mail, sms, mms, fax, etc.) , on products / services of the data controller or of Group companies to which the data controller may belong. Consent for the processing purposes referred to in this point (4b) is optional; therefore, following any refusal, the data will be processed only for the purposes indicated in the previous point (4a), except as specified below with reference to the legitimate interests of the data controller or third parties.
5. Categories of personal data processed
a) The data controller mainly processes identification / contact data (name, surname, addresses, type and number of identification documents, telephone numbers, e-mail addresses, of a fiscal / billing nature, except for others) and, if applicable commercial transactions, financial data (of a banking nature, in particular identification of current accounts, credit card numbers, except for others connected to the aforementioned commercial transactions).
b) The processing that the data controller carries out, both for the execution of the Contract and under the express consent of the Customer / interested party, does not generally concern particular categories of personal data, known as sensitive (which reveal racial or ethnic origin , political opinions, religious beliefs, state of health or sexual orientation, etc.), n ‘genetic and biometric data or so-called judicial data (relating to criminal convictions and offenses).
c) However, it cannot be excluded that the data controller, in order to carry out the obligations deriving from the Contract, must keep and / or have the need to process sensitive, genetic and biometric or judicial data, of the Customer / interested party or third parties, of which the Customer / interested party has the capacity of data controller; in the case in question, the processing by the data controller takes place under the conditions and within the limits set out in the appointment of the data controller as data processor, by the Customer / interested party.
d) The data controller treats, as data controller with reference to the Site, and, potentially, as data processor appointed by the Customer / interested party (in the terms above), also the so-called navigation data. The computer systems and software procedures used to operate the websites acquire, during their normal operation, some personal data, the transmission of which is implicit in the use of internet communication protocols. This is information that is not collected to be associated with identified subjects, but which, by its very nature, could allow the data subject to be identified. This category of information includes geolocation data, IP addresses, browser type, operating system, domain name and addresses of websites from which access or exit was made, information on the pages visited by users within of the site, access time, stay on the single page, analysis of the internal path and other parameters relating to the operating system and the user’s IT environment. It is, therefore, information which, by its very nature, allows users to be identified through processing and association also with data held by third parties.
e) The Site can then use cookies, both session (which are not stored on the computer of the interested party and disappear when the browser is closed) and persistent, for the transmission of information of a personal nature, or in any case systems for tracking of interested parties.
6. Source of personal data
a) The personal data that the data controller processes are collected directly by the data controller from the Customer / interested party at the time of, and during, navigation of this on the Site (or using other social or web applications of the data controller), or , also through its own sales representatives, on the occasion of, or subsequent to, the signing of the Contract, in the execution phase of the same, or from public sources.
b) As specified above, the data controller, as the data processor responsible for this, in order to carry out the obligations deriving from the Contract, may store and / or process data, in particular navigation, potentially even sensitive, genetic and biometric or judicial data, of third parties, of which the Customer / interested party has as data controller, acquired, with the consent of said third parties, at the time of, and during the navigation of the same third parties on the Site (or using other social or web applications referable to the owner of the treatment).
7. Legitimate interests
a) The legitimate interests of the data controller or third parties may constitute a valid legal basis for the processing, provided that the interests or fundamental rights and freedoms of the data subject do not prevail. In general, such legitimate interests may exist when there is a relevant and appropriate relationship between the data controller and the data subject, for example when the data subject is a client of the data controller.
b) In particular, it is the legitimate interest of the data controller to process the personal data of the Customer / interested party: for fraud prevention purposes, for direct marketing purposes, to ensure the free circulation of the same data within the business group to which the owner of the treatment possibly belongs, or relating to traffic, in order to guarantee the security of networks and information, i.e. the ability of a network or system to withstand unforeseen events or illegal acts that may compromise the availability, authenticity, integrity and confidentiality of data.
8. Circulation of personal data
a) Communication of personal data, categories of recipients. In addition to the employees and collaborators of the data controller in various capacities (who are authorized by the data controller to process the processing by virtue of adequate written operating instructions, in order to guarantee the confidentiality and security of the data), some processing operations may also be carried out by third parties, to whom the data controller entrusts certain activities, or part of them, functional to the purposes referred to in point (4a), therefore both in execution of contractual and legal obligations, among which they deserve mention, to however, unavoidably, non-exhaustive title: commercial and / or technical partners; companies that provide banking and financial services; companies that perform document archiving services; debt collection company; auditing firm and certification of financial statements; rating company; subjects who carry out professional assistance and consultancy activities for the data controller; companies that carry out customer care activities; factoring, credit securitization or credit transfer companies for other reasons; company of the Group to which the data controller may belong; subjects who provide commercial information; IT service company. The subjects belonging to the aforementioned categories process the personal data themselves as independent data controllers, or as data controllers, with reference to specific processing operations that fall within the contractual services that the same subjects perform in favor / in the interest of the data controller; to the data processors, the data controller gives adequate written operating instructions, with particular reference to the adoption of minimum security measures, in order to guarantee the confidentiality and security of the data. Some processing operations may be carried out by third parties, to whom the data controller entrusts certain activities, or part of them, also functionally to the purposes referred to in point (4b), among which the following deserve mention, however, by way, inevitably, not exhaustively: commercial and / or technical partners; companies that institutionally provide marketing services; advertising agencies; subjects who provide assistance and advice with reference to competitions and prize operations. The subjects belonging to the aforementioned categories process personal data as independent data controllers, or as data controllers, with reference to specific processing operations that fall within the contractual services that the same subjects perform in favor / in the interest of the data controller; to the data processors, the data controller gives adequate written operating instructions, with particular reference to the adoption of minimum security measures, in order to guarantee the confidentiality and security of the data. Upon written request to be sent to the data controller’s office, the list, subject to periodic updating, of the data processors with whom the data controller maintains relations is available. Personal data may also be communicated, in the event of a request, to the competent authorities, in fulfillment of obligations deriving from mandatory provisions of law.
b) Transfer of personal data to third countries. The personal data of the Customer / interested party may also be transferred abroad, both to countries of the European Union and to countries outside the European Union and, in the latter case, or on the basis of an adequacy decision, or within the scope and with the adequate guarantees provided for by the GDPR (therefore, in particular, in the presence of standard contractual clauses of data protection approved by the European Commission), or, outside the aforementioned hypotheses, using one or more of the exceptions provided by the GDPR (in particular, by virtue of the explicit consent of the Customer / interested party, or for the execution of the Contract concluded by the Customer / interested party, or for the execution of a contract stipulated between the data controller and another natural person or legal in favor of the Customer / interested party, in particular for the execution of activities entrusted to it by the data controller for the execution of the Contract concluded with the Customer / interested party). For the hypothesis of data transfers to countries outside the European Union, the Customer / interested party is allowed, upon written request to be sent to the headquarters of the data controller, to know the adequate guarantees, or the exceptions, which legitimize cross-border processing. It is understood, in the event of data transfer to countries outside the European Union, that for any request concerning the data, including for the exercise of the rights recognized by the GDPR to the Customer / interested party, this can always validly contact the owner of the treatment.
9. Criteria for determining the retention period of personal data
a) For the purposes referred to in point (4a) above, the retention period of personal data released by the Customer / interested party, and their consequent potential processing, coincides with the prescription period of rights / duties (legal, fiscal, etc. ) descendants from the Contract: basically 10 years, therefore, except for the occurrence of interrupting events of the prescription that could actually extend said period.
b) For the purposes referred to in point (4b) above, the retention period of the data released by the Customer / interested party, and their consequent potential processing, ends with the revocation of the consent previously issued by the Customer / interested party himself or, in the absence of this, however, after one year from the termination of any relationship between the data controller and the Customer / interested party.
10. Rights of the Customer / interested party
a) The data controller recognizes and facilitates the exercise, by the Customer / interested party, of all the rights provided for by the GDPR, in particular the right to request access to their personal data and to extract a copy (Article 15 of the GDPR), to the rectification (Article 16 of the GDPR) and to the cancellation of the same (Article 17 of the GDPR), to the limitation of the processing that concerns it (Article 18 of the GDPR), to the portability of data (Article 20 of the GDPR, where the conditions are met) and to oppose the treatment that concerns him (articles 21 and 22 GDPR, for the hypotheses mentioned therein and, in particular, to the treatment for marketing purposes or that results in an automated decision-making process, including profiling, which produces legal effects that concern him, where the conditions are met).
b) The data controller also recognizes the Customer / interested party, if the processing is based on consent, the right to withdraw said consent at any time, without prejudice to the lawfulness of the processing based on the consent given before the withdrawal. To do this, the Customer / interested party can unsubscribe at any time on the Site (or on other social or web applications of the data controller) or by using the appropriate link at the bottom of each commercial communication received, or by contacting the owner of the treatment at the above addresses.
c) The data controller also informs the Customer / interested party of the right to lodge a complaint with the Authority for the Protection of Personal Data, as a supervisory authority operating in Italy, and to propose a judicial appeal, so much against a decision of the ‘Guarantor Authority, as regards the data controller itself and / or a data processor.
11. Systems and personal data security
a) Taking into account the state of the art and the costs of implementation, as well as the nature, object, context and purpose of the processing, as well as the risk, in terms of probability and severity, for the rights and freedoms of individuals , the data controller adopts technical and organizational measures deemed appropriate to guarantee a level of security appropriate to the risk, in particular by ensuring, on a permanent basis, the confidentiality, integrity, availability and resilience of the processing systems and services ( also through the encryption of personal data, where necessary) and the ability to promptly restore the availability of data in the event of a physical or technical accident, and by adopting internal procedures aimed at testing, verifying and regularly evaluating the effectiveness of technical and organizational measures employed.
b) In assessing the adequate level of security, the risks presented by the processing are taken into account which derive, in particular, from the destruction, loss, modification, unauthorized disclosure or access, accidentally or illegally, to personal data transmitted, stored or otherwise processed.
c) The data controller makes every effort to ensure that anyone acting under their own authority and having access to personal data does not process such data unless instructed to do so by the data controller itself.
d) That said, the Customer / interested party acknowledges and accepts that no security system guarantees absolute protection in terms of certainty; therefore, the data controller is not liable for acts or facts of third parties who illegally, despite the appropriate precautions taken, should access the systems without the necessary authorizations.
12. Automated decision-making processes, including profiling
a) The data controller may carry out automated processing, including profiling, in relation to the purposes referred to in point (4b) above, to optimize the navigability of the Site (or the usability of other social or web applications of the data controller) and to improve the shopping experience, except as specified above with regard to the rights of opposition and withdrawal of consent by the Customer / interested party.
b) Profiling means any form of automated processing of personal data aimed at evaluating certain aspects relating to a natural person, in particular to analyze or predict aspects concerning, for example, the personal preferences, interests or location of that person, also in order to create profiles, or homogeneous groups of subjects by characteristics, interests or behaviors.
c) The data controller does not carry out any automated processing that produces legal effects concerning the Customer / interested party or that significantly affect his person, unless this is necessary for the conclusion or execution of the Contract, is authorized by law. o is based on the explicit consent of the Customer / interested party, in any case always recognizing the latter the right to obtain human intervention, to express their opinion and to contest the decision.
INFORMATIVA ESTESA AI SENSI DEGLI ARTT. 12, 13 E, OCCORRENDO, 14 DEL GDPR REGOLAMENTO (UE) 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE, CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI (DI SEGUITO: GDPR)
Il titolare del trattamento riporta, di seguito, l’Informativa ai sensi degli artt. 12, 13 e, occorrendo, dell’art.14 del GDPR relativi al trattamento dei dati personali forniti dal Cliente/interessato tramite la compilazione e sottoscrizione del Contratto per acquistare i prodotti/servizi offerti in vendita dal titolare del trattamento stesso, caricando spontaneamente in questo sito web dati personali (in particolare attraverso la compilazione di form) o semplicemente navigando in esso.
1. Titolare del trattamento e dati di contatto
Titolare del trattamento è SOGIPHARMA SRL con sede in Palermo, di seguito sul web: www.sogipharma.it
2. Principi applicabili al trattamento
Conformemente a quanto prescritto dal GDPR, il titolare del trattamento si adopera costantemente affinché i dati personali siano:
a) trattati in modo lecito, corretto e trasparente;
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
d) esatti e, se necessario, aggiornati;
e) conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
f) trattati, mediante misure tecniche e organizzative adeguate, in maniera da garantirne la sicurezza;
g) trattati, qualora in forza di consenso, per decisione liberamente assunta dal Cliente/interessato, sulla base di richiesta presentata in modo chiaramente distinguibile dal resto, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
h) Il titolare del trattamento adotta misure tecniche e organizzative adeguate al fine di assicurare la protezione dei dati personali fin dalla progettazione e per garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento.
i) Il titolare del trattamento raccoglie e tiene nella massima considerazione indicazioni, osservazioni e pareri del Cliente/interessato trasmessi ai recapiti sopra riportati, al fine di implementare un sistema di privacy management dinamico che assicuri effettiva protezione delle persone, con riguardo al trattamento dei loro dati.
j) La presente Informativa può subire modifiche, in coerenza con l’evoluzione della normativa di riferimento e delle misure tecniche e organizzative via via adottate dal titolare del trattamento; il Cliente/interessato, dunque, è pregato di visitare periodicamente la presente sezione del Sito, per prendere visione degli aggiornamenti e dell’Informativa vigente.
3. Modalità del trattamento dei dati personali
a) Il trattamento dei dati personali viene effettuato manualmente e con strumenti elettronici, con logiche strettamente correlate alle finalità di seguito indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
4. Finalità del trattamento dei dati personali
a) Finalità per cui il trattamento dei dati è necessario. I dati personali forniti dal Cliente/interessato sono principalmente trattati per l’esecuzione del Contratto e la gestione del credito e, più in generale, del rapporto nascente dal Contratto stesso. Il conferimento dei dati nel Contratto o in seguito, nel corso del rapporto contrattuale, per le finalità di trattamento in parola è obbligatorio; pertanto, il mancato, parziale o inesatto conferimento di tali dati rende impossibile la stipula e/o l’esecuzione del Contratto e, per il Cliente/interessato, usufruire dei prodotti/servizi offerti dal titolare del trattamento, potenzialmente esponendo il Cliente/interessato medesimo a responsabilità per inadempimento contrattuale. I dati personali forniti dal Cliente/interessato possono, altresì, formare oggetto di trattamento se ciò è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, per la salvaguardia degli interessi vitali del Cliente/interessato o di un’altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per il perseguimento del legittimo interesse del titolare del trattamento stesso o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali del Cliente/interessato; anche in questi casi, il conferimento dei dati è obbligatorio e, pertanto, la mancata, parziale o inesatta comunicazione dei dati può esporre il Cliente/interessato a eventuali responsabilità e sanzioni previste dall’Ordinamento giuridico.
b) Ulteriori finalità del trattamento a seguito di specifico ed espresso consenso del Cliente/interessato. Oltre che per le finalità di trattamento di cui sopra, i dati personali conferiti/acquisiti possono essere trattati, previo consenso del Cliente/interessato, da esprimere selezionando la casella ad hoc sul Contratto o sul Sito (o utilizzando altre applicazioni social o web del titolare del trattamento), anche per lo svolgimento di indagini di mercato e per effettuare comunicazioni commerciali e promozionali, tramite telefono (anche utilizzando il numero di cellulare fornito) e sistemi automatizzati di contatto (e-mail, sms, mms, fax, ecc.), su prodotti/servizi del titolare del trattamento o di società del Gruppo cui il titolare del trattamento eventualmente appartiene. Il consenso per le finalità di trattamento di cui al presente punto (4b) è facoltativo; pertanto, a seguito di eventuale diniego, i dati saranno trattati per le sole finalità indicate al precedente punto (4a), salvo quanto di seguito specificato con riferimento agli interessi legittimi del titolare del trattamento o di terzi.
5. Categorie di dati personali trattati
a) Il titolare del trattamento tratta principalmente dati identificativi/di contatto (nome, cognome, indirizzi, tipo e numero di documenti di riconoscimento, numeri di telefono, indirizzi e-mail, di natura fiscale/di fatturazione, salvo altri) e, qualora siano previste transazioni commerciali, dati finanziari (di natura bancaria, in particolare identificativi di conti correnti, numeri di carte di credito, salvo altri connessi alle predette transazioni commerciali).
b) Il trattamento che il titolare del trattamento effettua, tanto per l’esecuzione del Contratto quanto in forza di espresso consenso del Cliente/interessato, non riguarda, generalmente, categorie particolari di dati personali, conosciuti come sensibili (che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, lo stato di salute o l’orientamento sessuale, ecc.), ne dati genetici e biometrici o dati cosiddetti giudiziari (relativi a condanne penali e reati).
c) Tuttavia, non può escludersi che il titolare del trattamento, al fine di eseguire le obbligazioni discendenti dal Contratto, debba conservare e/o abbia la necessità di trattare dati sensibili, genetici e biometrici o giudiziari, del Cliente/interessato o di terzi, di cui il Cliente/interessato disponga in qualità di titolare del trattamento; nella ipotesi in parola, il trattamento ad opera del titolare del trattamento avviene in forza, alle condizioni e nei limiti di cui alla nomina dello stesso titolare del trattamento a responsabile del trattamento, ad opera del Cliente/interessato.
d) Il titolare del trattamento tratta, in qualità di titolare del trattamento con riferimento al Sito, e, potenzialmente, quale responsabile del trattamento a ciò incaricato (nei termini di cui sopra) dal Cliente/interessato, anche i cosiddetti dati di navigazione. I sistemi informatici e le procedure software preposte al funzionamento dei siti internet acquisiscono, nel corso del loro normale esercizio, alcuni dati personali, la cui trasmissione è implicita nell’uso di protocolli di comunicazione di internet. Si tratta di informazioni che non sono raccolte per essere associate a soggetti identificati, ma che, per la loro stessa natura, potrebbero permettere di identificare l’interessato. In questa categoria di informazioni rientrano dati di geolocalizzazione, indirizzi IP, tipo di browser, sistema operativo, nome di dominio e indirizzi di siti web dai quali è stato effettuato l’accesso o l’uscita, informazioni sulle pagine visitate dagli utenti all’interno del sito, orario d’accesso, permanenza sulla singola pagina, analisi di percorso interno ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Si tratta, dunque, di informazioni che, per loro stessa natura, consentono, attraverso elaborazioni ed associazioni anche con dati detenuti da terzi, di identificare gli utenti.
e) Sul Sito può, poi, essere fatto uso di cookies, sia di sessione (che non vengono memorizzati sul computer dell’interessato e svaniscono con la chiusura del browser) che persistenti, per la trasmissione di informazioni di carattere personale, ovvero comunque di sistemi per il tracciamento degli interessati.
6. Fonte dei dati personali
a) I dati personali che il titolare del trattamento tratta sono raccolti direttamente dal titolare del trattamento stesso presso il Cliente/interessato al momento della, e durante la, navigazione di questo sul Sito (o utilizzando altre applicazioni social o web del titolare del trattamento), ovvero, anche a mezzo dei propri commerciali, in occasione della, o successivamente alla, sottoscrizione del Contratto, in fase di esecuzione del medesimo, ovvero da fonti pubbliche.
b) Come precisato sopra, il titolare del trattamento, quale responsabile del trattamento a ciò incaricato, al fine di eseguire le obbligazioni discendenti dal Contratto, può conservare e/o trattare dati, in particolare di navigazione, potenzialmente anche sensibili, genetici e biometrici o giudiziari, di terzi, di cui il Cliente/interessato disponga in qualità di titolare del trattamento, acquisiti, previo consenso di detti terzi, al momento della, e durante la, navigazione dei medesimi terzi sul Sito (o utilizzando altre applicazioni social o web riferibili al titolare del trattamento).
7. Interessi legittimi
a) I legittimi interessi del titolare del trattamento o di terzi possono costituire valida base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. In generale, possono sussistere tali legittimi interessi quando esiste una relazione pertinente e appropriata tra titolare del trattamento e interessato, ad esempio quando l’interessato è un cliente del titolare.
b) Costituisce, in particolare, legittimo interesse del titolare del trattamento trattare dati personali del Cliente/interessato: a fini di prevenzione delle frodi, per finalità di marketing diretto, per assicurare la libera circolazione dei medesimi dati all’interno del Gruppo imprenditoriale cui il titolare del trattamento eventualmente appartiene, ovvero relativi al traffico, al fine di garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema di resistere a eventi imprevisti o ad atti illeciti che possano compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati.
8. Circolazione dei dati personali
a) Comunicazione dei dati personali, categorie di destinatari. Oltre che dai dipendenti e collaboratori a vario titolo del titolare del trattamento (che sono dal titolare del trattamento stesso autorizzati al trattamento in forza di adeguate istruzioni operative scritte, al fine di poter garantire la riservatezza e la sicurezza dei dati), alcune operazioni di trattamento possono essere effettuate anche da soggetti terzi, ai quali il titolare del trattamento affida talune attività, o parte di esse, funzionali alle finalità di cui al punto (4a), dunque tanto in esecuzione di obblighi contrattuali quanto legali, tra cui meritano menzione, a titolo comunque, inevitabilmente, non esaustivo: partners commerciali e/o tecnici; società che prestano servizi bancari e finanziari; società che svolgono servizi di archiviazione di documenti; società di recupero crediti; società di revisione contabile e di certificazione dei bilanci; società di rating; soggetti che svolgono, a favore del titolare del trattamento, attività di assistenza e consulenza professionale; società che effettuano attività di customer care; società di factoring, di cartolarizzazione dei crediti o ad altro titolo cessionarie dei crediti; società del Gruppo cui il titolare del trattamento eventualmente appartiene; soggetti che forniscono informazioni commerciali; società di servizi informatici. I soggetti appartenenti alle predette categorie trattano i dati personali medesimi in qualità di autonomi titolari del trattamento, ovvero in qualità di responsabili del trattamento, con riferimento a specifiche operazioni di trattamento che rientrano nelle prestazioni contrattuali che i soggetti medesimi eseguono a favore/nell’interesse del titolare del trattamento; ai responsabili del trattamento il titolare del trattamento impartisce adeguate istruzioni operative scritte, con particolare riferimento all’adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. Alcune operazioni di trattamento possono essere effettuate da soggetti terzi, ai quali il titolare del trattamento affida talune attività, o parte di esse, anche funzionalmente alle finalità di cui al punto (4b), tra cui meritano menzione, a titolo comunque, inevitabilmente, non esaustivo: partners commerciali e/o tecnici; società che prestano istituzionalmente servizi di marketing; agenzie pubblicitarie; soggetti che prestano attività di assistenza e consulenza con riferimento a concorsi e operazioni a premio. I soggetti appartenenti alle predette categorie trattano i dati personali in qualità di autonomi titolari del trattamento, ovvero in qualità di responsabili del trattamento, con riferimento a specifiche operazioni di trattamento che rientrano nelle prestazioni contrattuali che i soggetti medesimi eseguono a favore/nell’interesse del titolare del trattamento; ai responsabili del trattamento il titolare del trattamento impartisce adeguate istruzioni operative scritte, con particolare riferimento all’adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. E’ disponibile, previa richiesta scritta da inviarsi presso la sede del titolare del trattamento, l’elenco, soggetto ad aggiornamento periodico, dei responsabili del trattamento con cui il titolare del trattamento stesso intrattiene rapporti. I dati personali possono, inoltre, essere comunicati, in caso di richiesta, alle autorità competenti, in adempimento di obblighi derivanti da norme inderogabili di legge.
b) Trasferimento dei dati personali verso Paesi terzi. I dati personali del Cliente/interessato possono anche essere trasferiti all’estero, sia in Paesi dell’Unione Europea che in Paesi al di fuori dell’Unione Europea e, in quest’ultimo caso, o sulla base di una decisione di adeguatezza, o nell’ambito e con le garanzie adeguate previste dal GDPR (dunque, in particolare, in presenza di clausole contrattuali tipo di protezione dei dati approvate dalla Commissione Europea), o, al di fuori delle ipotesi sopra richiamate, ricorrendo una o più delle deroghe previste dal GDPR (in particolare, in forza di esplicito consenso del Cliente/interessato, o per l’esecuzione del Contratto concluso dal Cliente/interessato, ovvero per l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore del Cliente/interessato, segnatamente per l’esecuzione di attività a questa demandate dal titolare del trattamento medesimo per l’esecuzione del Contratto concluso con il Cliente/interessato). Per l’ipotesi di trasferimenti di dati verso Paesi al di fuori dell’Unione Europea, al Cliente/interessato è consentito, previa richiesta scritta da inviarsi presso la sede del titolare del trattamento, di conoscere le garanzie adeguate, ovvero le deroghe, che legittimano il trattamento transfrontaliero. Resta inteso, in ipotesi di trasferimento dei dati verso Paesi al di fuori dell’Unione Europea, che per ogni richiesta inerente i dati, anche per l’esercizio dei diritti riconosciuti dal GDPR al Cliente/interessato, questo potrà sempre validamente rivolgersi al titolare del trattamento.
9. Criteri per determinare il periodo di conservazione dei dati personali
a) Per le finalità di cui al punto (4a) che precede, il periodo di conservazione dei dati personali rilasciati dal Cliente/interessato, ed il conseguente loro potenziale trattamento, coincide con il periodo di prescrizione dei diritti/doveri (legali, fiscali, ecc.) discendenti dal Contratto: tendenzialmente 10 anni, quindi, salvo il verificarsi di eventi interruttivi della prescrizione che potrebbero prolungare, di fatto, detto periodo.
b) Per le finalità di cui al punto (4b) che precede, il periodo di conservazione dei dati rilasciati dal Cliente/interessato, ed il conseguente loro potenziale trattamento, termina con la revoca del consenso preventivamente rilasciato dal Cliente/interessato stesso o, in mancanza di questa, comunque decorso un anno dalla cessazione di ogni rapporto tra il titolare del trattamento ed il Cliente/interessato.
10. Diritti del Cliente/interessato
a) Il titolare del trattamento riconosce ed agevola l’esercizio, da parte del Cliente/interessato, di tutti i diritti previsti dal GDPR, in particolare il diritto di chiedere l’accesso ai propri dati personali e di estrarne copia (art. 15 GDPR), alla rettifica (art. 16 GDPR) ed alla cancellazione degli stessi (art. 17 GDPR), alla limitazione del trattamento che lo riguardi (art. 18 GDPR), alla portabilità dei dati (art. 20 GDPR, ove ne ricorrano i presupposti) e di opporsi al trattamento che lo riguardi (artt. 21 e 22 GDPR, per le ipotesi ivi menzionate e, in particolare, al trattamento per finalità di marketing o che si traduca in un processo decisionale automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano, ove ne ricorrano i presupposti).
b) Il titolare del trattamento riconosce, altresì, al Cliente/interessato, qualora il trattamento sia basato sul consenso, il diritto di revocare detto consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca. Per fare ciò, il Cliente/interessato può disiscriversi in ogni momento sul Sito (o su altre applicazioni social o web del titolare del trattamento) o utilizzando l’apposito link presente in calce ad ogni comunicazione commerciale ricevuta, oppure contattando il titolare del trattamento ai recapiti sopra riportati.
c) Il titolare del trattamento informa, inoltre, il Cliente/interessato del diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, quale autorità di controllo operante in Italia, e di proporre ricorso giurisdizionale, tanto avverso una decisione dell’Autorità Garante, quanto nei confronti del titolare del trattamento stesso e/o di un responsabile del trattamento.
11. Sicurezza dei sistemi e dei dati personali
a) Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio, in termini di probabilità e gravità, per i diritti e le libertà delle persone fisiche, il titolare del trattamento adotta misure tecniche ed organizzative ritenute appropriate a garantire un livello di sicurezza adeguato al rischio, in particolare assicurando, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (anche attraverso la cifratura dei dati personali, ove necessario) e la capacità di ripristinare tempestivamente la disponibilità dei dati in caso di incidente fisico o tecnico, ed adottando procedure interne dirette a testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative impiegate.
b) Nel valutare l’adeguato livello di sicurezza, si tiene conto dei rischi presentati dal trattamento che derivano, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
c) Il titolare del trattamento si adopera affinché chiunque agisca sotto la propria autorità ed abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal medesimo titolare del trattamento.
d) Ciò detto, il Cliente/interessato prende atto ed accetta che nessun sistema di sicurezza garantisce, in termini di certezza, la protezione assoluta; pertanto, il titolare del trattamento non risponde per atti o fatti di terzi che abusivamente, nonostante le adeguate cautele adottate, dovessero accedere ai sistemi senza le dovute autorizzazioni.
12. Processi decisionali automatizzati, compresa la profilazione
a) Il titolare del trattamento può effettuare trattamenti automatizzati, compresa la profilazione, in relazione alle finalità di cui al punto (4b) che precede, per ottimizzare la navigabilità del Sito (o la fruibilità di altre applicazioni social o web del titolare del trattamento) e per migliorare l’esperienza d’acquisto, salvo quanto sopra specificato con riguardo ai diritti di opposizione e revoca del consenso da parte del Cliente/interessato.
b) Per profilazione s’intende qualsiasi forma di trattamento automatizzato di dati personali diretto a valutare determinati aspetti relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti, ad esempio, le preferenze personali, gli interessi o l’ubicazione di detta persona, anche al fine di creare profili, ovvero gruppi omogenei di soggetti per caratteristiche, interessi o comportamenti.
c) Il titolare del trattamento non effettua alcun trattamento automatizzato che produca effetti giuridici che riguardano il Cliente/interessato o che incidano in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o l’esecuzione del Contratto, sia autorizzato dalla legge o si basi sul consenso esplicito del Cliente/interessato, in ogni caso sempre riconoscendo a quest’ultimo il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.