Gentile Fornitore, 

la Normativa Privacy ci richiede di fornirLe informazioni sul trattamento dei Suoi dati personali (ove Lei sia persona fisica o ditta individuale), e dei dati personali di coloro che lavorano alle Sue dipendenze, ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (“Regolamento Generale sulla Protezione dei Dati” – noto con l’acronimo inglese “GDPR”). 

Il “Trattamento di Dati Personali”, in parole semplici, è una qualsiasi operazione riguardante qualunque “informazione relativa a persona fisica, identificata o identificabile”. Ad esempio, un codice fiscale è considerato “dato personale”, e l’atto di raccoglierlo e registrarlo presso di noi è considerato “Trattamento”. 

La nostra società è definita “Titolare del Trattamento”, perché stabilisce come e per quali finalità trattare informazioni relative a persone fisiche. 

Le persone fisiche a cui si riferiscono i dati personali sono definiti “Interessati” e hanno alcuni diritti e obblighi che Le illustro di seguito. 

Le informazioni relative all’organizzazione privata o pubblica (es. società di capitali, associazione, ente pubblico) non sono considerate dati personali (ad es., il numero di codice fiscale o di partita IVA); ma, poiché nello svolgimento della nostra attività potremmo entrare in contatto con informazioni relative alle persone fisiche che operano all’interno dell’organizzazione, anch’esse sono considerate “Interessati”, ai quali Lei è invitato a fornire le informazioni di cui al presente documento. 

Nella seguente Tabella di Sintesi sul Trattamento potrà reperire agevolmente le informazioni essenziali su chi siamo, quali dati trattiamo, perché, come e per quanto tempo e su quali obblighi e diritti Lei ha in merito al Trattamento dei Dati. In calce troverà le definizioni dei termini ed espressioni utilizzati (il Glossario). 

Chi siamo? Sanco., S.p.A. con sede in Galliate (NO), Via Ravizza n. 13/a, P.I.: 01842700039 (“Titolare del Trattamento”).
Perché trattiamo i Dati Personali? (Finalità) Per:
a) eseguire obblighi derivanti da un contratto del quale Lei è parte o per adempiere, prima e/o dopo l’esecuzione del contratto, a Sue specifiche richieste;
b) adempiere ad obblighi di legge di natura amministrativa, contabile, civilistica, fiscale, regolamenti, normative comunitarie ed c) extracomunitarie
d) gestire i fornitori (amministrazione dei fornitori amministrazione di contratti, ordini, arrivi, fatture, selezioni in rapporto alle necessità dell’impresa);  gestire il contenzioso (inadempimenti contrattuali, diffide, transazioni, recupero crediti, arbitrati, controversie giudiziarie).
Quali categorie di dati personali trattiamo? Dati personali comuni (es. nome e cognome, codice fiscale, indirizzi, ecc.);
Qual è la provenienza dei Suoi dati personali? A seconda dei casi, potrebbe averceli trasmessi Lei stesso in quanto Interessato oppure potrebbero esserci stati comunicati dal Fornitore da cui Lei dipende.
Su cosa si fonda il Trattamento? (Base Giuridica) – necessità di esecuzione del contratto di fornitura; – necessità di adempiere a obblighi di legge e/o di osservare ordini provenienti da Autorità.
A chi comunico i Dati?
(Categorie di Destinatari)
a) fornitori di servizi (ad es. informatici, bancari, assicurativi, di spedizione e trasporto, di agenzia commerciale, contabili, fiscali, tributari, legali);
b) persone fisiche che operano sotto la mia diretta autorità;
c) organizzazioni pubbliche e Autorità, quando richiesto dalla Normativa Applicabile o da loro ordini.
Per quanto tempo conservo i Dati? Il tempo massimo di conservazione dei Dati Personali non sarà superiore ai dieci anni successivi all’esecuzione dell’ultima prestazione a Vostro favore, salvo che la normativa ci imponga di conservarli per un periodo superiore.
Trasferisco i Dati Personali fuori dell’Unione Europea? Potrebbe accadere, ma soltanto verso soggetti (Paesi terzi e/o organizzazioni internazionali) per i quali esista una decisione di adeguatezza della Commissione Europea, o sulla base di ulteriori adeguate garanzie.
È obbligato a fornirmi i Dati Personali? Sì, perché i Dati sono necessari per la gestione del rapporto contrattuale e per l’adempimento degli obblighi derivanti dalla normativa, diversamente.
Cosa accade se rifiuta di comunicare i Suoi Dati? Se rifiuta di comunicare i Dati, non saremo in grado di instaurare e/o proseguire il rapporto contrattuale.
Quali diritti ha? Lei ha diritto di: 

a) accedere ai Suoi Dati in nostro possesso;

b) chiederne la rettifica e/o la cancellazione (“oblio”), ove ci siano i presupposti;
c) opporsi al trattamento, ove ricorrano i presupposti;
d) chiedere la limitazione del trattamento, ove ricorrano i presupposti;
e) richiedere la portabilità dei dati, ove tecnicamente possibile;
f) proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), o all’Autorità Garante dello Stato dell’UE in cui risiede abitualmente o lavora, oppure del luogo ove si è verificata la presunta violazione.

Se ha dubbi e/o domande sul trattamento dei Suoi dati, cosa può fare? Ci può contattare ai seguenti recapiti: e-mail privacy@sanco-spa.it oppure all’indirizzo 28066 Galliate, (NO), Via Ravizza n. 13/a.

Questo atto di informazione è in vigore dal 25 maggio 2018; ci riserviamo di modificare il contenuto, in parte o completamente, anche a causa di variazioni della normativa in materia di privacy. 

GLOSSARIO
Autorità”: ente o organizzazione, pubblica o privata, con poteri amministrativi, giudiziari, di polizia, disciplinari, di vigilanza.
Autorità di Controllo”: l’autorità pubblica indipendente istituita da uno Stato dell’Unione Europea, o dall’Unione Europea stessa, incaricata di sorvegliare l’applicazione della Normativa Privacy (per l’Italia, il Garante per la Protezione dei Dati Personali, http://www.garanteprivacy.it). “Cliente”: il soggetto, persona fisica o giuridica, che sottoscrive il Contratto, nonché i suoi legali rappresentanti, direttori, funzionari, lavoratori (dipendenti e/o collaboratori) ed eventuali agenti.
Codice Privacy”: il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni.
Comitato”: il Comitato europeo per la protezione dei dati, istituito dall’art. 68 del GDPR e disciplinato dagli artt. da 68 a 76 del GDPR, che sostituisce il WP29 dal 25/5/2018.
Comunicazione”: “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (come definita all’art. 4, comma 1 lett. l del Codice Privacy).
“Contratto”: accordo intercorso con il fornitore in ordine all’attività/servizio a questo richiesto.
Dato” o “Dati”: una o più delle categorie indicate, nel presente Contratto, come Dati Personali, Dati Identificativi, Dati Particolari.
Dati Personali”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del GDPR).
Dati Identificativi”: i “dati personale che permettono l’identificazione diretta dell’interessato” (come definiti all’art. 4, comma 1 lett. c del Codice Privacy).
Dati Particolari”: i dati personali c.d. “sensibili” (“idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”, come definiti all’art. 4, comma 1 lett. d del Codice Privacy); “giudiziari” (“i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale” , come definiti all’art. 4, comma 1 lett. e del Codice Privacy); “genetici” (“i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”, come definiti dall’art. 4, sottoparagrafo 1, n. 13, del GDPR); “biometrici” (“i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”, come definiti dall’art. 4, sottoparagrafo 1, n. 14, del GDPR); “relativi alla salute” (“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, come definiti dall’art. 4, sottoparagrafo 1, n. 15, del GDPR) nonché i Dati “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, […] relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9.1 GDPR), e i “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” (art. 10 del GDPR).
Destinatario”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali”, come definita dall’art. 4, sottoparagrafo 1, n. 9, del GDPR.
Diffusione”: “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (come definita all’art. 4, comma 1 lett. m del Codice Privacy).
GDPR”: il Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Interessato”: “la persona fisica, cui si riferiscono i dati personali” (come definito all’art. 4, comma 1 lett. i del Codice Privacy) o, a decorrere dal 25/5/2018, “persona fisica identificata o identificabile”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del Regolamento UE 2016/679 (c.d. “GDPR”).
Limitazione”: “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro”, come definita all’art. 4, sottoparagrafo 1, n. 3, del GDPR. “Normativa Applicabile”: una qualunque disposizione, di qualunque rango, appartenente al diritto italiano o a quello dell’Unione Europea, in qualunque modo applicabile all’oggetto del presente Contratto.
Normativa Privacy”: il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni (“Codice Privacy”), nonché i Provvedimenti Generali emessi ai sensi dell’art. 154 comma 1 lett. c) e h), il Regolamento UE 2016/679 (“GDPR”) e l’ulteriore normativa applicabile, di qualunque rango, inclusi i pareri del WP29 e, dal 25/5/2018, del Comitato.
Normativa” o “Normative”: una o più degli insiemi di norme indicati, nel presente Contratto, come Normativa Privacy e Normativa Applicabile. “Responsabile”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, come definito dall’art. 4, sottoparagrafo 1, n. 8, del GDPR, nonché i soggetti da questo autorizzati.
Servizi”: le prestazioni di cui al Contratto.
Terzo”: qualunque soggetto diverso dalle Parti.
Titolare”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”, come definito dall’art. 4, sottoparagrafo 1, n. 7, del GDPR, nonché i soggetti da questo autorizzati.
Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”, come definito dall’art. 4, sottoparagrafo 1, n. 2, del GDPR.