Informativa ai sensi del Regolamento (UE) 2016/679

La presente informativa è resa congiuntamente da ASPIAG SERVICE S.r.l. con sede legale in Bolzano, via Bruno Buozzi 30, Partita IVA 00882800212, soggetta ad attività di direzione e coordinamento di Aspiag Finance & Services AG (“Aspiag”) e da SES ITALY SRL, società con socio unico, con sede in Bolzano, via Bruno Buozzi 30, Partita IVA 02737550216, soggetta ad attività di direzione e coordinamento di Partig Beteiligungs und Vermögensverwaltungsgesellschaft M.B.H. (“SES”). Poiché Aspiag e SES decidono congiuntamente le finalità di tutti i trattamenti di dati personali svolti nell’ambito della gestione dei centri commerciali “Extense” in Este, “Alpe Adria” in Cassacco, “Nova Motta” in Motta di Livenza, “Borc di Cividat” in Cividale del Friuli, “Matrix” in Vigonza, nonché dei complessi commerciali siti rispettivamente in Mestre - Via Torino e Bologna - Via Larga (di seguito congiuntamente i “Centri Commerciali”), esse agiscono quali contitolari del trattamento di dati personali. Nel prosieguo Aspiag e SES vengono congiuntamente indicate come “Contitolari”.

La presente informativa è resa ai sensi e per gli effetti del Regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, di seguito il “GDPR”), in merito al trattamento, da parte dei Contitolari, dei dati personali di dipendenti/collaboratori/amministratori (gli “Interessati”) di soggetti persone giuridiche private o altri enti che abbiano con i Contitolari un rapporto da fornitori (anche potenziali), consulenti o di altra natura (il “Rapporto”).
La presente informativa riguarda in generale tutti i trattamenti svolti nell’ambito dei diversi Rapporti, e si precisa pertanto che non tutti i trattamenti vengono effettuati per tutti gli Interessati.

1. Responsabile della protezione dei dati

SES, quale gestore dei Centri Commerciali, ha designato quale Responsabile della protezione dei dati (cd. data protection officer o DPO) lo Studio Legale Associato Jenny.Avvocati –, con sede in Milano - via Durini 27, con un team coadiuvato dall’avv. Simona Gallo. Potete contattare in ogni momento il DPO in relazione a qualunque questione concernente la privacy, anche inviando una mail all’indirizzo privacy@privacy.ses-italy.it.

2.Finalità dei trattamenti e relative basi giuridiche

Si riportano di seguito le finalità per le quali i dati personali dell’Interessato – comunicati direttamente da quest’ultimo e/o dal soggetto parte del Rapporto – saranno trattati dai Contitolari, indicando la base giuridica applicabile a ciascuna di esse.

1. I dati dell’Interessato saranno trattati per la finalità di comunicazione con l’Interessato nell’ambito della negoziazione, stipula, rinnovo, gestione, esecuzione e cessazione del Rapporto, nonché della gestione di adempimenti fiscali e di legge relativi al Rapporto, e la gestione di eventuali controversie. Tale trattamento è lecito in quanto necessario per il perseguimento del legittimo interesse dei Contitolari a comunicare tramite l’Interessato con il soggetto che sia controparte nel Rapporto, nonché di quest’ultimo a che i Contitolari interagiscano con l’Interessato nell’ambito del Rapporto.
2. Sempre nell’ambito della gestione ed esecuzione del Rapporto, i dati anagrafici dell’Interessato saranno trattati per autorizzarne l’accesso a uffici/punti vendita/altre unità locali dei Contitolari. Tale trattamento è lecito in quanto basato sul legittimo interesse dei Contitolari alla sicurezza e tutela del patrimonio aziendale e del personale, e tale interesse non viola diritti e libertà fondamentali degli Interessati.
3. I dati anagrafici, fiscali e bancari dell’Interessato dipendente di un fornitore con il quale i Contitolari abbiano stipulato un contratto d’appalto saranno trattati per verificare la regolarità e conformità ad obblighi di legge e contrattuali del rapporto di lavoro tra l’Interessato ed il fornitore. Tale trattamento è lecito in quanto basato sul legittimo interesse dei Contitolari di verificare che i partner contrattuali di cui si avvalgono siano in regola con tutti gli adempimenti di legge (ad es. pagamento dei contributi).
4. I dati dell’Interessato vengono inoltre trattati dai Contitolari (o da soggetti appositamente incaricati che trattano i dati per conto di questi ultimi, quali ad es. fornitori di servizi di manutenzione dei sistemi hardware e software) nell’ambito di operazioni più generali sui sistemi informativi dei Contitolari finalizzate alla conservazione sicura dei dati, e segnatamente attraverso operazioni di back-up e conservazioni in data center e archivi differenziati. Tale trattamento è lecito in quanto necessario per il perseguimento del legittimo interesse dei Contitolari alla sicurezza dei propri sistemi informatici e archivi cartacei, e tale interesse non viola diritti e libertà fondamentali degli Interessati.
5. I Contitolari potranno comunicare i dati di contatto dell’Interessato a soggetti terzi che siano interessati a stabilire un contatto commerciale diretto al fine di un’eventuale negoziazione, ed in particolare a società del gruppo cui appartengono i Contitolari. Tale trattamento è lecito, in quanto basato sul legittimo interesse di tali soggetti destinatari di instaurare un contatto con l’Interessato al fine di sviluppare una relazione commerciale con lui. Tale interesse non viola diritti e libertà fondamentali dell’Interessato, che anzi ne potrebbe giovare incrementando i propri affari.

II conferimento di dati personali da parte dell’Interessato ha natura obbligatoria. Un eventuale rifiuto dell’Interessato di fornire i dati, seppur legittimo, potrebbe impedire la comunicazione con l’Interessato e/o l’esecuzione del Rapporto.

3.Modalità di trattamento

4. Destinatari dei dati personali

• i Contitolari si avvalgono di servizi informatici e telematici forniti dalla consociata SPAR Business Services GmbH, con sede in Austria, nonché da altre società che svolgono attività di manutenzione dei software forniti;
• i Contitolari si avvalgono dei servizi di conservazione elettronica sostitutiva della documentazione contabile forniti da società terze qualificate.
• i Contitolari si avvalgono dei servizi di cloud computing denominati “G Suite” forniti da Google LLC, la quale ha sede negli Stati Uniti d'America, Paese che non offre un adeguato livello di garanzia di protezione dei dati personali. La conformità del trattamento dei dati in oggetto alla normativa vigente in Italia è, in ogni caso, garantita, avendo Google Inc. la certificazione di partecipazione all'EU-U.S. Privacy Shield Framework (scudo UE-USA per la privacy) per i propri servizi. Come confermato dalla Decisione 2016/1250 adottata in data 12.7.2016 dalla Commissione Europea, gli Stati Uniti d'America assicurano un livello di protezione adeguato dei dati personali trasferiti nell'ambito dello scudo dall'Unione alle organizzazioni statunitensi. Inoltre, Google si è impegnata contrattualmente nei confronti dei propri clienti al rispetto della normativa europea in materia di protezione dei dati personali (Regolamento 679/2016 cd. GDPR), con particolare riguardo ai casi di trasferimento dei dati personali al di fuori del SEE.

Ai responsabili del trattamento designati dai Contitolari e ai soggetti autorizzati al trattamento dei dati saranno impartite adeguate istruzioni operative, con particolare riferimento all’adozione delle misure adeguate di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. In ogni caso, saranno rivelati loro soltanto quei dati personali necessari per lo svolgimento delle loro specifiche funzioni.
I Contitolari comunicano i dati dell’Interessato anche ad altri soggetti i quali agiscono quali autonomi titolari e, salvo ove diversamente indicato, sono tutti ubicati nel SEE. In particolare i trattamenti svolti nell’ambito dell’esecuzione del Rapporto possono includere la comunicazione dei dati di contatto dell’Interessato: i) a società di vigilanza, quando l’Interessato debba accedere a uffici/punti vendita/altre unità locali dei Contitolari; (ii) a fornitori o altri partner contrattuali dei Contitolari, in particolare in caso di organizzazione e gestione di attività, iniziative o eventi anche promozionali/di marketing nei quali l’Interessato è coinvolto; (iii) a professionisti e consulenti dei Contitolari, nonché a compagnie e broker assicurativi; (iv) a istituti di credito, qualora sia necessario per eseguire eventuali pagamenti relativi o connessi al Rapporto; (v) ad Autorità ed Enti Pubblici, in caso di verifiche o ispezioni o comunque quando i Contitolari ricevano richiesta di esibire o consegnare documenti recanti i dati dell’Interessato. Parimenti, i dati possono essere comunicati a revisori, collegio sindacale e altri consulenti esterni, per finalità di audit e verifica della documentazione contabile e di supporto.
Inoltre, le operazioni di trattamento descritte in questa Informativa possono richiedere che i dati raccolti siano condivisi con altre società del gruppo cui appartengono i Contitolari, con le società controllanti, controllate o assoggettate al medesimo controllo; tali soggetti possono essere anche ubicati all’estero, ma sempre nello Spazio Economico Europeo.

5.Periodo di conservazione dei dati

I dati personali dell’Interessati vengono conservati dai Contitolari per il periodo necessario alla gestione del Rapporto e verranno cancellati dagli archivi dei Contitolari entro la fine del decimo anno solare successivo a quello di cessazione del Rapporto.
In tutti i casi che precedono, si evidenzia che le copie di back-up degli archivi dei Contitolari sono conservate per un periodo massimo di 11 anni.

6. Diritti dell’Interessato

L’Interessato può esercitare nei confronti dei Contitolari i seguenti diritti:

1. diritto di accesso: L’Interessato può chiedere, in qualsiasi momento, quali dati che lo riguardano vengono trattati dai Contitolari, la finalità del trattamento, le categorie di dati in questione, i destinatari o le categorie di destinatari a cui i dati vengono trasmessi, il periodo di conservazione o i criteri utilizzati per determinare tale periodo nonché la loro origine se i dati non sono raccolti presso l’Interessato.
2. diritto di rettifica: L’Interessato può chiedere la correzione dei dati inesatti ovvero, tenuto conto della finalità del trattamento, l'integrazione dei dati personali incompleti, come previsto dall’art. 16 GDPR;
3. diritto alla cancellazione o diritto all’oblio: L’Interessato può chiedere la cancellazione dei dati trattati dai Contitolari nei casi previsti dall’art. 17 GDPR, ad esempio quando i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati. i Contitolari non procederanno però alla cancellazione dei dati laddove il trattamento sia necessario per adempiere ad un obbligo di legge a cui i Contitolari sono soggetti (es. tenuta delle scritture contabili) oppure sia necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
4. diritto alla limitazione del trattamento: L’Interessato può chiedere che il trattamento dei dati sia limitato, nei casi previsti dall’art. 18 GDPR, ad esempio quando l'Interessato contesta l'esattezza dei dati personali, per il periodo necessario ai Contitolari per verificare l'esattezza di tali dati.
5. diritto alla portabilità: Su richiesta dell’Interessato i Contitolari consegneranno all’Interessato i dati che lo riguardano trattati con mezzi automatizzati, in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Tuttavia tale diritto è limitato ai dati trattati dai Contitolari per la stipula o esecuzione di un contratto con l’Interessato o sulla base del suo consenso. Se tecnicamente fattibile, e qualora l’Interessato lo richieda, i Contitolari trasmetteranno i dati direttamente ad altro titolare del trattamento.
6. diritto di opposizione:
• L’Interessato ha il diritto di opporsi, in qualsiasi momento, al trattamento dei dati, compresa la profilazione, che avvenga sulla base del legittimo interesse; questo diritto però è previsto solo per motivi connessi alla situazione particolare dell’Interessato, che li deve dichiarare. In caso di opposizione, i Contitolari possono continuare il trattamento nel caso in cui dimostrino l’esistenza di propri motivi legittimi cogenti (i) per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’Interessato oppure (ii) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
• L’Interessato ha inoltre il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali effettuato per finalità di marketing diretto, compresa la profilazione connessa a tale marketing diretto.
7. revoca del consenso: Il consenso dell’Interessato al trattamento di dati, nei casi in cui sia prestato, può essere revocato in qualsiasi momento e senza che l’Interessato debba fornire una motivazione; ciò non pregiudicherà però la liceità del trattamento dei dati basato sul suo consenso ed effettuato prima della revoca.
8. diritto di reclamo:L’Interessato che ritenga che il trattamento dei dati effettuato dai Contitolari violi la normativa applicabile in materia di protezione dei dati personali ha il diritto di proporre reclamo al Garante per la protezione dei dati personali.

Per l’esercizio dei suoi diritti, ciascun Interessato può rivolgersi ai Contitolari oppure al responsabile della protezione dei dati (DPO) agli indirizzi sopra indicati.