INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DEI CLIENTI

Questo documento (“Informativa”) fornisce ai clienti (anche potenziali) e a coloro che operano per conto di quest’ultimi (referenti, personale e collaboratori dei clienti) le informazioni sul trattamento dei loro dati personali (“Dati”).

Nei limiti dei rispettivi ambiti di applicazione, questa Informativa è resa ai sensi dell’art. 13 del Regolamento UE 679/2016 (“GDPR”) e, in relazione al trattamento dei dati personali effettuato presso la filiale di Morbio in Svizzera, dell’art. 19 della Nuova Legge Privacy Svizzera (“nLPD”).

Il titolare del trattamento (“Titolare”) è Cerved Group S.p.A., società del gruppo Cerved (“Gruppo”) con la quale il cliente instaura un rapporto pre-contrattuale o contrattuale.

Il Titolare, con sede legale in San Donato Milanese, Via dell’Unione Europea 6 A/B, è contattabile al seguente indirizzo email ceverd@cerved.com, oppure mediante raccomandata all’indirizzo della propria sede legale, indicato nel periodo che precede.

Il Titolare ha nominato un responsabile della protezione dei dati personali (“DPO”) raggiungibile all’indirizzo dpo.cerved@iongroup.com.

I Dati comuni trattati saranno:

1. Dati anagrafici (nome, cognome, data di nascita, residenza, domicilio, codice fiscale);
2. Dati di contatto (e-mail, PEC, numero di telefono);
3. Dati relativi alla fatturazione (partita IVA, ditta, ragione sociale);
4. Dati relativi alle coordinate bancarie (IBAN);
5. Dati generati dall’utilizzo dei servizi erogati dal Titolare (ad esempio, userID, IP address, metadati, log di registrazione di eventi ed operazioni, nonchè eventuali altre tipologie di Dati correlati all’utilizzo di una piattaforma e/o alla fruizione di un servizio).

Oltre ai Dati dei clienti, il trattamento potrà riguardare anche Dati relativi a persone che operano per conto degli stessi come, ad esempio, referenti, collaboratori e membri del relativo personale.

Il conferimento dei Dati è necessario se correlato all’instaurazione e alla gestione del rapporto contrattuale ed all’osservanza degli obblighi di legge. In mancanza, il Titolare non potrà adempiere agli obblighi previsti dalla normativa applicabile e dare esecuzione al predetto rapporto. Il conferimento dei Dati è invece facoltativo per quanto riguarda le finalità di marketing previste dal paragrafo che segue, alle lettere d), e) e f) e il loro mancato rilascio non incide sulla prestazione dei servizi oggetto del rapporto contrattuale.

I Dati saranno trattati per:

1. svolgere tutte le attività correlate all’instaurazione e gestione del rapporto pre-contrattuale e contrattuale (raccolta della richieste di contatto, instaurazione e gestione delle trattative contrattuali, perfezionamento del contratto, esecuzione dello stesso e adempimento dei relativi obblighi, creazione delle utenze per poter fruire dei servizi oggetto del contratto, interventi di manutenzione e sviluppo software necessari per poter fruire dei servizi, cessazione del contratto e conservazione dello stesso secondo quanto previsto dalla normativa applicabile). Per tale finalità, i dati sono necessari per eseguire misure pre-contrattuali e contrattuali (art. 6.1, lett. b) GDPR e art. 31.2, lett. a) nLPD) e per adempiere agli obblighi di legge (art. 6.1, lett. c) GDPR e art. 31.2, lett. a) nLPD)
2. assolvimento degli eventuali obblighi normativi, fiscali, in materia tributaria e/o e connessi ad attività amministrativo-contabili derivanti dallo svolgimento dell’attività d’impresa del Titolare: in tali casi il trattamento dei dati è necessario ai fini dell’adempimento agli obblighi di legge gravanti sul Titolare (art. 6.1, lett. c) GDPR e art. 31.1 nLPD);
3. effettuare attività di verifica e controllo correlate all’osservanza del Decreto Legislativo n.231 del 2001 in materia di responsabilità amministrativa d’impresa e del Decreto Legislativo n.24 del 2023 in materia di segnalazioni whistleblowing, per adempiere agli obblighi di legge (art. 6.1, lett. c) GDPR) e perseguire il legittimo interesse del Titolare ad attuare il Modello di organizzazione, gestione e controllo adottato ai fini 231 ed il modello di ricevimento e gestione delle segnalazioni interne adottato ai fini whistleblowing (art. 6.1, lett. f) GDPR);
4. inviare comunicazioni marketing e promozionali (incluse newsletter) riguardanti i prodotti e i servizi del Gruppo, attraverso email, sms, mms, notifiche push, fax, posta cartacea e/o telefono con operatore. Questa finalità si basa sulla previa raccolta del consenso specifico dell’interessato (art. 6.1, lett. a) GDPR e art. 31.1 nLPD), comunque sempre revocabile con le modalità indicate al par. 8 e/o con le ulteriori modalità messe a disposizione dal Titolare (ad esempio, revoca del consenso mediante unsubscribe button o modifica delle preferenze direttamente su siti web/piattaforme del Titolare);
5. comunicazione e/o cessione dei Dati per fini marketing a società terze diverse dal Titolare, ivi incluse altre società del Gruppo e partner commerciali non appartenenti al Gruppo, affinché li utilizzino per autonome finalità marketing e promozionali. Questa finalità si basa sulla previa raccolta del consenso specifico dell’interessato (art. 6.1, lett. a) GDPR e art. 31.1 nLPD), comunque sempre revocabile con le modalità messe a disposizione dal destinatario dei Dati;
6. fatto sempre salvo il diritto di opposizione (opt-out) dell’interessato, inviare comunicazioni commerciali email di c.d. soft-spam, concernenti cioè prodotti e/o servizi del Gruppo analoghi a quelli già oggetto di un precedente rapporto commerciale con il cliente, al fine di perseguire il legittimo interesse del Titolare a promuovere la vendita diretta dei propri prodotti e servizi (art. 6.1, lett. a) GDPR e art. 31.1 nLPD, in conformità a quanto previsto dall’art. 130, comma quattro, del Codice Privacy e dalle linee guida adottate in materia dal Garante per la protezione dei dati personali (il “Garante”);
7. attuare le misure di sicurezza tecnico-organizzative adottate dal Titolare (ad esempio, misure di backup e log di tracciatura delle operazioni utente, se presenti), con particolare riferimento alla protezione della sicurezza informatica dei sistemi, piattaforme e reti tramite cui sono erogati i prodotti e servizi dal Titolare, al fine di perseguire il legittimo interesse del Titolare a garantire la sicurezza dei propri sistemi, piattaforme e reti (art. 6.1, lett. f e art. 31.1 nLPD);
8. accertare, esercitare o difendere un diritto del Titolare, al fine di perseguire il legittimo interesse del Titolare alla salvaguardia dei propri diritti (art. 6.1, lett. f e art. 31.1 nLPD).

I Dati potranno essere conosciuti dalle persone autorizzate al trattamento dal Titolare (in particolare dipendenti e collaboratori appartenenti all’area commerciale, all’area di sviluppo prodotti e all’area di assistenza tecnica) e comunicati:

1. alle società del Gruppo diverse dal Titolare, con particolare riferimento alle società che operano come partner/fornitrici del Titolare nell’ambito dell’esecuzione di servizi oggetto di accordi intercompany (ad esempio, attività di distribuzione e rivendita);
2. a soggetti esterni al Gruppo che agiscono in qualità di responsabile o sub-responsabile del trattamento per conto del Titolare (ad esempio, fornitori di servizi amministrativi, contabili/fiscali, informatici, provider di servizi IT, provider di servizi marketing);
3. a soggetti esterni al Gruppo che agiscono in qualità di autonomi titolari del trattamento (ad esempio, partner commerciali, enti pubblici, Agenzia delle Entrate, istituti bancari e assicurativi, Autorità di Vigilanza).

Il Titolare utilizza software, applicativi e piattaforme messe a disposizione da fornitori che hanno sede negli Stati Uniti (ad esempio, Google, Microsoft e Amazon) e aderiscono al Data Privacy Framework USA-UE. L’utilizzo di queste soluzioni potrebbe comportare il trasferimento dei Dati a tali provider negli USA, che risulta attualmente garantito dalla decisione di adeguatezza adottata dalla Commissione Europea in proposito.

Fermo quanto sopra, in linea generale, i Dati sono trattati all’interno dell’Unione Europea e dello Spazio Economico Europeo, non essendo dunque trasferiti verso Paesi Terzi al di fuori di tali ambiti. Laddove il trattamento dei Dati dovesse comportare il trasferimento dei Dati verso Paesi Terzi, tale trasferimento avverrà nel rispetto delle condizioni previste dal Capo V del GDPR, dandone adeguata informandone agli interessati.

L’eventuale trasferimento dei Dati tra l’Italia e la Federazione Svizzera avviene in conformità (a) all’art. 16, par. 1, della nLPD, in quanto l’Italia è stata individuata dall’Incaricato federale quale Paese in cui è garantita una protezione adeguata dei dati (Allegato 1 all’ Ordinanza sulla protezione dei dati, come modificata dalla nLPD), nonché (b) all’art. 45 del GDPR, in quanto la Svizzera è stata riconosciuta dalla Commissione Europea quale Paese in cui è garantita una protezione adeguata dei dati (Decisione 2000/518 della Commissione Europea).

I Dati trattati sono conservati per tutta la durata del rapporto contrattuale e, alla relativa cessazione, per i tempi normativamente previsti per la conservazione di documenti e dati a fini amministrativi, contabili e fiscali, fatta salva l’eventuale ulteriore conservazione se e nei limiti in cui sia necessaria per eventuali contestazioni o controversie.

Fatta salva l’ipotesi di revoca del consenso da parte dell’interessato, i Dati trattati per finalità di marketing del Gruppo sono conservati per 24 mesi dalla relativa raccolta e, a meno che il consenso dell’interessato non sia rinnovato, sono cancellati una volta decorso tale periodo.

Nei limiti e alle condizioni previste dal GDPR e dalla nLPD, la persona interessata cui si riferiscono i Dati potrà esercitare i seguenti diritti:

1. accesso ai Dati e ottenimento di informazioni sul loro trattamento (art. 15 GDPR e 25 nLPD);
2. rettifica e correzione dei Dati inesatti od incompleti (art. 16 GDPR e 32 nLPD);
3. cancellazione dei dati, ove ne ricorrano i presupposti (art. 17 GDPR e 32 nLPD);
4. limitazione del trattamento o opposizione al medesimo nei casi previsti (artt. 18 e 21 GDPR e art. 26 nLPD);
5. revoca del consenso ed opposizione al trattamento dei Dati a fini di marketing e profilazione (artt. 7 e 21, par 2, GDPR);
6. notifica ai destinatari di eventuali rettifiche, limitazioni o cancellazioni (art. 19 GDPR e 32 nLPD);
7. portabilità dei dati forniti dall’interessato ove trattati in forma automatizzata per l’esecuzione del contratto o in base al suo consenso (art. 20 GDPR e 28 nLPD).

Tali diritti potranno essere esercitati inviando un’e-mail o una raccomandata utilizzando l’indirizzo e-mail/i dati di contatto del Titolare indicati al paragrafo 1 dell’Informativa, ferma restando la possibilità di contattare il DPO ai relativi recapiti.

Chiunque ritenga che il trattamento dei propri Dati sia effettuato in violazione dei suoi diritti, può, a seconda dei casi, (a) nell’ambito del GDPR, presentare reclamo al Garante o alla competente Autorità nazionale di controllo (quella del luogo in cui l’interessato risiede abitualmente o lavora, ovvero ad un’autorità di controllo dove si è verificata la presunta violazione dei dati), in conformità a quanto stabilito dall’articolo 77 GDPR, mentre (b) nell’ambito della nLPD, rivolgersi all’Incaricato Federale per la protezione dei dati o alle competenti autorità giurisdizionali svizzere.

Documento aggiornato a dicembre 2024