Data protection policy fornitori
DATA PROTECTION POLICY PER IL TRATTAMENTO DEI DATI DEI FORNITORI AI SENSI E PER GLI EFFETTI DELL’ART. 13 DEL REGOLAMENTO UE 2016/679 (DI SEGUITO “GDPR”) RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI
La Società IG Operation and Maintenance S.p.A. con sede in Via Campobello n. 1 – 00071 Pomezia (RM), P.IVA n.
12131261005, (di seguito “Titolare”), in qualità di titolare del trattamento, La informa che i dati personali acquisiti
con riferimento ai rapporti instaurati, formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata.
Il Titolare può essere contattato al seguente indirizzo e-mail: privacy@igomspa.it.
1. Descrizione del trattamento: categorie di dati, finalità e basi giuridiche
Il Titolare tratta i dati personali Suoi e/o dei Suoi referenti; saranno oggetto del trattamento i cc.dd. dati identificativi
(nome, cognome, codice fiscale, p. iva), i cc.dd. dati di contatto (e-mail, numero telefonico, indirizzo di residenza o sede legale) nonché i dati bancari (codice IBAN).
I Suoi dati personali sono trattati per il perseguimento delle seguenti finalità:
• Richiesta di preventivi e conduzione delle trattative;
• Gestione della qualifica del fornitore;
• Sottoscrizione, esecuzione e rinnovo del Contratto;
• Effettuazione di pagamenti.
Il trattamento dei dati per le finalità summenzionate è necessario per la gestione delle attività precontrattuali e per
l’esecuzione del rapporto contrattuale instaurato con il Titolare; pertanto, la base giuridica è rinvenibile nell’art. 6
lettera b) GDPR. Nello specifico, il trattamento si rende necessario per eseguire le misure precontrattuali necessarie
alla sottoscrizione del Contratto nonché per l’esecuzione del Contratto stesso. In aggiunta, il trattamento dei dati
summenzionati è necessario per adempiere a degli obblighi legali; pertanto, la base giuridica è altresì rinvenibile
nell’art. 6, par. 1, lett. c) GDPR.
Il Titolare potrebbe, altresì, trattare immagini acquisite mediante i sistemi di videosorveglianza installati presso
le proprie sedi. La finalità dell’installazione dei sistemi di videosorveglianza consiste nella protezione del patrimonio
aziendale e nella sicurezza del personale e dei visitatori. La base giuridica che legittima il trattamento delle immagini
acquisite mediante i sistemi di videosorveglianza risiede nell’arti. 6, par. 1, lett. f). Il trattamento è effettuato
nell’intento di perseguire un legittimo interesse del Titolare o di un eventuale terzo perseguendo fini di tutela di
persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di
prevenzione di incendi o di sicurezza del lavoro.
Nell’ambito di contratti di appalto, verranno trattati anche dati personali riferibili ai dipendenti e collaboratori del
fornitore, necessari per la gestione operativa e amministrativa dei contratti, inclusi gli adempimenti relativi alla salute
e sicurezza nei luoghi di lavoro, quali certif icazioni di idoneità sanitaria, attestati di formazione, ruoli ricoperti in
materia di sicurezza (ad esempio RSPP, addetti antincendio e primo soccorso) e ogni altro documento richiesto dalla
normativa vigente in materia. Le basi giuridiche che rendono legittimo il trattamento sono l’adempimento degli
obblighi precontrattuali e contrattuali connessi al rapporto di fornitura e appalto (art. 6, par. 1, lett. b GDPR) e
l’adempimento degli obblighi previsti dalla legge o da regolamenti (art. 6, par. 1, lett. c). Inoltre, il trattamento di dati
relativi alla salute (ad esempio, eventuali dati relativi a stati di infortunio o malattia) si basa sull’art. 9, par. 2, lett . b)
in quanto necessario per assolvere agli obblighi ed esercitare i diritti specifici del Titolare in materia di diritto del
lavoro e della sicurezza e protezione.
Il Titolare, ove ne ricorrano i presupposti, potrebbe trattare i dati personali sopra indicati per esigenze di difesa in
giudizio. La base giuridica che legittima il trattamento di tali dati personali, nei quali potrebbero esservi ricompresi
anche dati appartenenti a categorie particolari o dati giudiziari, risiede nell’art. 9, par. 2, lett. f) del GDPR – il
trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria – e nell’art. 10 GDPR in
correlazione con l’art. 2-octies, c. 3, lett. e) del Cod. Privacy – l’accertamento, l’esercizio o la difesa di un diritto in
sede giudiziaria.
1Da ultimo, si informa che IG O&M S.p.A. ha istituito un canale di segnalazione per la gestione delle segnalazioni
whistleblowing. L’informativa relativa al trattamento che potrebbe derivare dalla gestione di una segnalazione è
disponibile nella sezione dedicata dal sito Internet del Titolare, cui integralmente si rimanda.
I dati descritti nei punti precedenti potranno essere oggetto di trattamento internamente alla Società per lo
svolgimento di verifiche ed audit interni nell’ambito delle attività di rinnovo e/o acquisizione degli standard di
certificazione esistenti o nell’ambito delle attività espletate dall’Organismo di Vigilanza ex D. Lgs. n. 231/2001.
La base giuridica che legittima il trattamento di tali dati personali risiede nell’obbligo di legge di cui all’art. 6, par. 1,
lett. c) del GDPR.
I dati relativi a condanne penale e a reati potranno essere trattati, ove richiesto dalla specificità del caso concreto,
nell’ambito della partecipazione a gare e ad appalti e/o nell’aggiornamento del portale dei fornitori delle
Committenti. In questi casi, la base giuridica che legittima il trattamento di tali dati risiede nell’art. 10 GDPR, in
correlazione con l’art. 2-octies, c. 3, lett. c) – la verifica o l’accertamento dei requisiti di onorabilità, requisiti soggettivi
e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti – h) – l’adempimento di obblighi previsti da
disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della
delinquenza di tipo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o
per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto – e i) – l’accertamento
del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto
previsto dalle vigenti normative in materia di appalti – del Codice Privacy (D. Lgs. n. 196/2003).
Da ultimo, si evidenzia che il Titolare potrebbe effettuare il trattamento di dati personali per consentire l’accesso del
fornitore (ove previsto in ragione dell’oggetto del Contratto) presso i siti delle Committenti ed il rilascio, ove
richiesto, del tesserino per l’accesso. In questi casi, potrebbero essere trattati, oltre ai dati sopra descritti come
nome, cognome, data e luogo di nascita, codice fiscale, anche dati inseriti in documenti di identità o permessi di
soggiorno del fornitore e dei suoi referenti, nonché la targa ed il tipo di veicolo utilizzato per l’accesso alle aree e le
immagini dell’interessato. I dati personali di cui sopra sono trattati nell’ambito del rapporto contrattuale con IG O&M
per consentirle di poter operare e di accedere, anche mediante la creazione della tessera di circolazione e del pass
per veicolo privato, presso i siti delle Committenti. La base giuridica che legittima il trattamento di tali dati personali
risiede nell’attuazione di adempimenti relativi ad obblighi contrattuali ex art. 6 lettere b) GDPR che IG O&M è tenuta
a rispettare nei confronti delle Committenti, le quali devono, a loro volta, adempiere a corrispondenti obblighi di legge.
2. Natura del dato
Il conferimento dei Suoi dati personali di cui al punto che precede ha natura obbligatoria, pertanto, l’eventuale rifiuto
potrebbe comportare la mancata e/o parziale esecuzione del contratto e/o prosecuzione del rapporto.
3. Modalità del trattamento
Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate all’art. 4, n. 2 GDPR e
precisamente: raccolta e registrazione, organizzazione, conservazione, consultazione, cancellazione e distruzione
dei dati. Il trattamento dei Suoi dati sarà improntato ai principi di correttezza, liceità e trasparenza e potrà essere
effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli ed avverrà mediante
strumenti idonei, per quanto di ragione e allo stato della tecnica, a garantire la sicurezza e la riservatezza tramite
l’utilizzo di idonee procedure che evitino il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. I Suoi
dati personali sono sottoposti a trattamento sia cartaceo che elettronico.
Ogni trattamento avviene nel rispetto delle modalità di cui all’articolo 32 GDPR e mediante l’adozione di adeguate
misure di sicurezza.
I Suoi dati saranno trattati unicamente da personale espressamente autorizzato dal Titolare.
4. Periodo di conservazione dei dati
Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per
l’esecuzione del contratto. Decorso il termine di dieci anni dalla cessazione del Contratto, i dati saranno distrutti o
resi anonimi.
Nell’ambito del trattamento di dati effettuati nell’instaurazione o nell’esecuzione del contratto con le Committenti, i
dati saranno conservati per dieci anni dalla cessazione del rapporto con le stesse.
In caso di contenziosi o accordi transattivi o risoluzioni alternative delle controversie i dati saranno conservati per
dieci anni dalla definitività della decisione e dell’accordo che ha definito la controversia.
2Le registrazioni del sistema di videosorveglianza sono conservate per massimo 48 ore, decorsi/e i/le quali sono
cancellate. Specifiche deroghe sono ammesse su specifico ordine dell’Autorità Giudiziaria o di Pubblica Sicurezza.
Laddove si tratti di dati acquisiti nell’ambito delle attività dell’Organismo di Vigilanza, i dati saranno conservati per
dieci anni dalla cessazione della Società.
5. Diffusione e comunicazione
I dati personali trattati dal Titolare non saranno diffusi, ovvero non ne verrà data conoscenza a soggetti indeterminati,
in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione. Potranno,
invece, potranno essere comunicati ai soggetti ai quali la comunicazione è obbligatoria per legge. Altresì, i Suoi dati
potranno essere comunicati, a titolo esemplificativo e non esaustivo, a:
• Agenti, consulenti o figure esterne che collaborano con l’azienda;
• Società controllate e collegate;
• Banche ed istituti di credito;
• Fornitori di servizi (ad es. fornitori di sistemi IT, fornitori di servizi cloud, fornitori di database e
consulenti) debitamente nominati Responsabili esterni del trattamento ;
• Committenti del Titolare.
L’elenco aggiornato dei Responsabili del trattamento è disponibile presso la sede legale del Titolare e sarà fornito
previa richiesta scritta.
In aggiunta, sulla base dei ruoli e delle mansioni lavorative espletate, alcuni lavoratori sono stati legittimamente
autorizzati a trattare i Suoi dati personali, nei limiti delle loro competenze ed in conformità alle istruzioni ad essi
impartite dal Titolare.
6. Trasferimento dati al di fuori dell’Unione Europea
La gestione e la conservazione dei dati personali avverrà su server ubicati all’interno dell’Unione Europea del Titolare
e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento. Attualmente i server sono
situati in Italia. I dati non saranno oggetto di trasferimento al di fuori dell’Unione Europea. Resta in ogni caso inteso
che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server in Italia e/o Unione
Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in
conformità alle condizioni di cui al Capo V GDPR.
7. Diritti dell’interessato
Nella Sua qualità di interessato, risulta legittimato ad esercitare i diritti di cui all’art. 15 e ss. del GDPR 2016/679 e
precisamente:
a) diritto di chiedere al titolare del trattamento l’accesso ai dati personali ossia, la conferma che sia o meno
in corso un trattamento di dati personali che La riguardano e in tal caso, ottenere l’accesso ai dati stessi
(art. 15);
b) diritto di chiedere al titolare del trattamento la rettifica e/o l’integrazione dei dati personali inesatti che La
riguardano (art. 16);
c) diritto di chiedere al titolare del trattamento la cancellazione degli stessi senza ingiustificato ritardo (art.
17);
d) diritto di chiedere al titolare del trattamento la limitazione del trattamento che la riguarda (art. 18);
e) ottenere l’attestazione che le operazioni di cui alle lettere b), c) e d) sono state portate a conoscenza,
anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato (art. 19);
f) diritto alla portabilità dei dati ossia, ottenere in un formato strutturato, di uso comune e leggibile, i dati
personali che La riguardano(art. 20);
g) diritto di opporsi al loro trattamento ossia, opporsi in qualsiasi momento, per motivi connessi alla Sua
situazione particolare, al trattamento dei dati che La riguardano(art. 21);
3h) diritto in relazione a processi automatizzati decisionali, ossia il diritto a non essere sottoposto ad una
decisione basata unicamente su un trattamento automatizzato dei dati senza il Suo consenso
esplicito(art. 22).
In qualità di interessato, inoltre, le è riconosciuto il diritto di proporre reclamo all’Autorità di controllo (art. 77), ossia
diritto di adire l’Autorità nel caso in cui ritenga che il trattamento che La riguarda violi il Regolamento.
I diritti summenzionati possono essere esercitati inviando una raccomandata a.r. a IG Operation and Maintenance
S.p.A., Via Campobello n. 1 – 00071 Pomezia (RM); oppure un’e-mail a: privacy@igomspa.it.
Il Titolare del trattamento
IG Operation and Maintenance S.p.A.