INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI Artt. 13 – 14 Reg. UE 2016/679 (“GDPR”)
1.IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO DEL DATA PROTECTION OFFICER
EDENRED ITALIA S.R.L, con sede legale in Via G.B. Pirelli 18, 20124 Milano P.IVA 09429840151, codice fiscale e numero di iscrizione nel Registro delle Imprese di Milano n. 01014660417, capitale sociale 5.958.823,00 i.v., società soggetta a direzione e coordinamento di EDENRED S.E. (14-16 boulevard Garibaldi, 92130 Issy-les-Moulineaux, Francia), è il titolare del trattamento dei suoi Dati Personali (in seguito “Edenred” o il “Titolare”).
Il responsabile della protezione dei dati (in seguito “DPO”) è contattabile scrivendo all’indirizzo: EDENRED ITALIA S.R.L – Data Protection Officer – Via G.B. Pirelli 18, 20124 Milano oppure inviando una e-mail all’indirizzo: dpo.italia@edenred.com.
2.FINALITÀ E BASE GIURIDICA DEI TRATTAMENTI
Finalità
Base giuridica
Obbligatorietà
2.1
Emissione e fruizione dei titoli di legittimazione Ticket Restaurant®, Edenred Shopping Ticket Compliments®, Ticket Welfare®.
Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
La comunicazione dei suoi Dati Personali è un requisito necessario per la conclusione del contratto e per l’emissione e fruizione dei titoli di legittimazione elettronici. In caso di mancata comunicazione, il Titolare non potrà emettere e consentirle la fruizione dei Ticket Restaurant, Edenred Shopping Ticket Compliments, Ticket Welfare.
2.2
Adempimento degli obblighi amministrativi e fiscali derivanti dall’erogazione e fruizione dei titoli di legittimazione Ticket Restaurant®, Edenred Shopping Ticket Compliments®, Ticket Welfare®.
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
La comunicazione dei suoi Dati Personali è necessaria per permettere al Titolare e al suo datore di lavoro di adempiere ai rispettivi obblighi legali. In caso di mancata comunicazione, il Titolare non potrà erogare i servizi sottesi ai titoli di legittimazione Ticket Restaurant®, Edenred Shopping Ticket Compliments®, Ticket Welfare.
2.3 (i)
Invio di comunicazioni di marketing e statistiche.
L’invio di comunicazioni di marketing e statistiche potrà basarsi:
- sul suo consenso espresso;
- sul legittimo interesse, ai sensi dell’art. 130 co.
4 del D.lgs. 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali” aggiornato dal D.lgs. 10 agosto 2018, n. 101: in questa ipotesi (eccezione del cd. “soft spam”), il Titolare può utilizzare, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica da Lei già fornite nel contesto della vendita di un prodotto o di un servizio, senza richiedere nuovamente il suo consenso, per proporle beni e servizi analoghi a quelli da lei già acquistati.
La comunicazione dei suoi Dati Personali per la finalità di marketing diretto non è obbligatoria.
In caso di mancata comunicazione dei Dati Personali, il Titolare non potrà inviarle offerte, promozioni e sconti sui propri servizi e prodotti.
Qualora l’invio di comunicazioni avvenisse sulla base del “soft spam”, Lei ha sempre la possibilità di opporsi, cliccando sull’apposito link posto all’interno di ciascuna comunicazione di posta elettronica.
2.3 (ii)
Profilazione e invio di comunicazione di marketing diretto profilato. Il fine della profilazione è quello di analizzare i suoi comportamenti, le sue abitudini e propensioni al consumo, al fine di (i) migliorare i prodotti e servizi forniti dal Titolare (ii) offrirle beni e servizi in linea con i suoi gusti, preferenze ed abitudini di consumo, nonché (iii) riservare offerte e promozioni a Lei dedicate.
Le attività di profilazione potranno basarsi su diverse logiche: ad esempio, il Titolare potrà incrociare i suoi dati personali con l’effettivo utilizzo Ticket Restaurant®, Ticket Compliments® per individuare insiemi omogenei di clientela (“cluster”), ai quali dedicare particolari servizi o offerte.
Le attività di profilazione e l’invio di comunicazioni di marketing diretto profilato si basano sul suo consenso espresso.
La comunicazione dei suoi Dati Personali per la finalità di profilazione e invio di comunicazioni di marketing diretto profilato non è obbligatoria.
In caso di mancata comunicazione dei Dati Personali, il Titolare non potrà inviarle offerte, promozioni e sconti sui propri servizi e prodotti a Lei dedicate e basate sulle sue preferenze e abitudini di acquisto.
2.4
Assistenza in relazione all’erogazione e fruizione dei servizi resi da Edenred.
- Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare e del beneficiario: dopo attenta valutazione, analisi e bilanciamento degli interessi coinvolti, il Titolare ha ritenuto che sia interesse legittimo proprio e dei beneficiari, rispettivamente, fornire e ricevere assistenza in relazione alla erogazione e fruizione dei servizi del Titolari.
La comunicazione dei suoi Dati Personali è necessaria per fornirle assistenza su tutti i nostri servizi e prodotti: in caso di mancata comunicazione, non potremo dare seguito ad eventuali richieste di assistenza o chiarimenti sul funzionamento di tutti i nostri prodotti e servizi.
2.5
Invio di comunicazioni istituzionali sulla società emittente e informazioni di servizio relative ai prodotti e servizi di Edenred.
Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare e del beneficiario: dopo attenta valutazione, analisi e bilanciamento degli interessi coinvolti, il Titolare ha ritenuto che sia interesse legittimo proprio e dei beneficiari, rispettivamente, fornire e ricevere comunicazioni in relazione alla società emittente nonché su tutti i nuovi partner presso i quali è possibile utilizzare i titoli di legittimazione.
La comunicazione dei suoi Dati Personali è necessaria per tenerla sempre aggiornata sul Titolare e su dove e come utilizzare i prodotti e servizi offerti dallo stesso: in caso di mancata comunicazione, Lei potrebbe non essere posto tempestivamente a conoscenza di importanti informazioni in relazione ai servizi resi da Edenred.
2.6
Invio e ricezione di comunicazioni per raccogliere il grado di soddisfazione dell’Interessato.
Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare e del beneficiario: dopo attenta valutazione, analisi e bilanciamento degli interessi coinvolti, il Titolare ha ritenuto che sia interesse legittimo proprio e dei beneficiari, rispettivamente, fornire e ricevere comunicazioni e segnalazioni per poter migliorare i servizi e l’assistenza offerti ai fruitori dei titoli di legittimazione.
Lei non ha l’obbligo di comunicarci i suoi Dati Personali per questa finalità: in caso di mancata comunicazione, tuttavia, potremmo non conoscere il suo grado di soddisfazione e quindi cercare di migliorare i nostri prodotti e servizi per venire incontro anche alle sue esigenze.
2.7
Adempimento di obblighi previsti dalla Legge italiana, da un provvedimento, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità.
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
Per queste finalità, Lei ha l’obbligo di fornire i suoi Dati Personali. In caso contrario, il Titolare non potrà più consentirle di usufruire dei propri prodotti e servizi.
2.8
Esercizio dei diritti del Titolare, ad esempio il diritto di difesa in giudizio.
Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare o di terzi.
Per queste finalità, il Titolare ha l’obbligo di comunicare i suoi Dati Personali.
2.9
Prevenzione e protezione da frodi e altre transazioni non autorizzate.
Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare e del beneficiario: dopo attenta valutazione, analisi e bilanciamento degli interessi coinvolti, il Titolare ha ritenuto che sia interesse legittimo proprio e dei beneficiari prevenire e proteggere, la società emittente, i beneficiari nonché tutti i soggetti a vario titolo coinvolti nella fornitura e utilizzo dei titoli di legittimazione da frodi e transazioni non autorizzate.
Per queste finalità, la comunicazione dei suoi Dati Personali è un requisito necessario per l’esecuzione del contratto; Lei ha pertanto l’obbligo di fornirci tali Dati Personali ed un suo eventuale rifiuto non consentirebbe al Titolare di proteggere Lei, il suo datore di lavoro nonché il Titolare stesso da eventuali frodi o transazioni non autorizzate.
2.10
Erogazione di servizi di welfare aziendale ovvero la fornitura di beni e servizi che l’azienda può offrire ai propri dipendenti.
Nell’erogazione dei servizi di welfare aziendale, possiamo agire in qualità di responsabili del trattamento per conto del vostro datore di lavoro e altri partner che agiscono in qualità di titolari del trattamento. Pertanto, quando agiamo come responsabili del trattamento, i relativi titolari hanno l’obbligo di garantire una base giuridica per il trattamento dei vostri Dati Personali, di fornirvi un’idonea informativa sul trattamento degli stessi nonché misure di sicurezza tecniche ed organizzative adeguate. Per tali informazioni, si prega di fare riferimento alle rispettive informative sul trattamento dei Dati Personali.
Qualora agissimo come titolare del trattamento, la base giuridica del trattamento è l’esecuzione di un contratto con il datore di lavoro di cui l’interessato è parte o l’esecuzione di misure precontrattuali.
La comunicazione dei suoi Dati Personali è un requisito necessario per la conclusione e l’esecuzione del contratto. In caso di mancata comunicazione, il Titolare non potrà consentirle di usufruire dei servizi di welfare aziendale.
2.11
Autenticazione al portale beneficiari tramite autenticazione a due fattori (Twofactor Authentication – 2FA)
Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
3. CATEGORIE DI DATI PERSONALI TRATTATI
3.1. Per l’erogazione e la fruizione dei Ticket Restaurant®, Edenred Shopping Ticket Compliments®, Ticket Welfare®, il Titolare tratterà solo dati personali (nome, cognome, codice fiscale, e-mail, luogo e data di nascita, etc.).
3.2. Per l’erogazione dei servizi di welfare, se da Lei espressamente richiesto, il Titolare potrà trattare anche categorie particolari di personali suoi o dei suoi famigliari secondo i Dati Personali da Lei conferiti.
4. FONTE DEI DATI PERSONALI
4.1. Qualora i dati personali non siano stati ottenuti direttamente presso di Lei, il Titolare la informa che gli stessi sono stati forniti dal suo datore di lavoro.
5. PRINCIPI, MODALITÀ E SICUREZZA DEL TRATTAMENTO DEI DATI PERSONALI
5.1. A seguito di attenta valutazione effettuata da parte del Titolare, i suoi Dati Personali sono:
a. trattati in modo lecito, corretto e trasparente;
b. raccolti per le finalità indicate al paragrafo 2 che precede, e successivamente trattati in modo che non sia incompatibile con tali finalità;
c. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
d. esatti: il Titolare ha adottato misure adeguate a cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
e. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89 GDPR;
f. trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Per maggiori informazioni sulle misure di sicurezza adottate dal Titolare clicca qui.
5.2. I suoi Dati Personali potranno essere trattati sia su supporti cartacei che attraverso strumenti informatici su ogni tipo di supporto informatico idoneo.
6. DESTINATARI O EVENTUALI CATEGORIE DI DESTINATARI DEI DATI PERSONALI
6.1. I suoi Dati Personali trattati non saranno oggetto di diffusione a terzi. Potranno comunque venire a conoscenza di tali Dati Personali, in relazione alle finalità di trattamento precedentemente esposte:
- i soggetti che possono accedere ai dati in forza di disposizione di legge previste dal diritto dell’Unione Europea o da quello dello Stato membro cui è soggetto il Titolare del trattamento;
- società del Gruppo Edenred che trattano i Dati Personali in qualità di autonomi titolari del trattamento oppure appositamente designate quali Responsabili del trattamento ai sensi dell’art. 28 GDPR;
- i soggetti che svolgono, all’interno dei confini dell’Unione Europea, in totale autonomia, come distinti Titolari del trattamento, ovvero in qualità di Responsabili del trattamento ai sensi dell’art. 28 GDPR appositamente nominati dal Titolare, finalità ausiliarie al funzionamento, manutenzione e gestione del presente Sito Web, compresi eventuali sottodomini, e dei relativi servizi, ovvero internet service provider e società che offrono infrastrutture informatiche e servizi di assistenza e consulenza informatica, studi legali, società che offrono servizi utili a personalizzare e ottimizzare i nostri servizi, centri di servizio, società o consulenti incaricati di fornire ulteriori servizi al Titolare del trattamento, nei limiti delle finalità per le quali sono stati raccolti;
- il nostro personale dipendente, consulenti e collaboratori, purché precedentemente designati come soggetti che agiscono sotto l’autorità del Titolare del trattamento a norma dell’art. 29 GDPR;
- i nostri amministratori di sistema appositamente nominati ai sensi del provvedimento del Garante per la protezione dei Dati Personali adottato in data 27 novembre 2008.
6.2. L’eventuale comunicazione dei Dati Personali dell’utente avverrà nel pieno rispetto delle disposizioni di legge previste dal GDPR e delle misure tecniche e organizzative predisposte dal Titolare del trattamento per garantire un adeguato livello di sicurezza.
7. TRASFERIMENTO DEI DATI PERSONALI A UN PAESE TERZO
7.1. I suoi Dati Personali potranno essere trasferiti anche al di fuori dell’Unione Europea e dell’Area Economica Europea. Qualora il Paese di destinazione non godesse di una decisione di adeguatezza, il trasferimento dei Dati Personali avverrà attraverso Clausole Contrattuali Standard adottate dalla Commissione Europea che garantiscono garanzie adeguate ai sensi dell’art. 46 GDPR. Per maggiori informazioni sulle Clausole Contrattuali Standard clicca qui. Si segnala che tale trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, nonché il trasferimento è necessario per l’esecuzione di un contratto stipulato tra il Titolare del trattamento e il suo datore di lavoro, a suo favore, ai sensi dell’art. 49 GDPR.
7.2. Il Titolare del trattamento ha valutato attentamente tutte le circostanze relative al trasferimento dei Dati Personali e, sulla base di tale valutazione, fornisce agli interessati garanzie adeguate relativamente alla protezione dei Dati Personali. È possibile ricevere maggiori informazioni e ottenere copia di tali garanzie scrivendo direttamente al DPO all’indirizzodpo.italia@edenred.com.
8. PERIODO DI CONSERVAZIONE DEI DATI PERSONALI
8.1. Il Titolare del trattamento intende conservare i Dati Personali secondo i termini dettati dalle leggi applicabili in materia:
8.1.1. I Dati personali relativi ai servizi erogati dal Titolare, saranno conservati per 10 anni dalla cessazione del rapporto contrattuale;
8.1.2. In merito al trattamento dei Dati Personali per le finalità di marketing diretto, il Titolare ha stabilito di provvedere alla cancellazione di tali dati allo scadere di 24 mesi dalla loro registrazione;
8.1.3. I Dati Personali trattati per finalità di profilazione saranno invece cancellati trascorsi 12 mesi dalla registrazione.
8.2. Il Titolare del trattamento si impegna fin da ora ad ispirare il trattamento dei suoi Dati Personali ai principi di adeguatezza, pertinenza e minimizzazione. Pertanto, una volta raggiunte le finalità per le quali sono stati raccolti e trattatati, li rimuoveremo dai nostri sistemi e registri e/o prenderemo le opportune misure per renderli anonimi, così da impedire che Lei possa essere identificato.
8.3. Ciò, fatto salvo il caso in cui avremo bisogno di mantenere tali dati per adempire ad obblighi normativi, oppure per accertare, esercitare o difendere un nostro diritto in sede giudiziaria.
9. I SUOI DIRITTI IN QUALITÀ DI INTERESSATO DEL TRATTAMENTO
In relazione al trattamento dei suoi Dati Personali nei casi previsti dalla legge, Lei ha il diritto di:
- revocare il consenso al trattamento in qualsiasi momento. Occorre evidenziare, tuttavia, che la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca, così come previsto dall’art. 7, comma 3, GDPR;
- chiedere al Titolare del trattamento l’accesso ai Dati Personali, così come previsto dall’art. 15 GDPR;
- ottenere dal Titolare del trattamento la rettifica e l’integrazione dei Dati Personali ritenuti inesatti, anche fornendo una semplice dichiarazione integrativa, così come previsto dall’art. 16 GDPR;
- ottenere dal Titolare del trattamento la cancellazione dei Dati Personali qualora sussista anche solo uno dei motivi previsti dall’art. 17 GDPR;
- ottenere dal Titolare del trattamento la limitazione del trattamento dei Dati Personali qualora ricorrano una delle ipotesi previste dall’art. 18 GDPR;
- ricevere dal Titolare del trattamento i Dati Personali che la riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico,
- richiedere al Titolare di trasmettere i Dati Personali a un altro titolare del trattamento senza impedimenti, così come previsto dall’art. 20 GDPR;
- opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei Dati Personali svolto;
- non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici che lo riguardino, qualora non abbia preventivamente ed esplicitamente acconsentito, così come previsto dall’art. 22 GDPR; inoltre, in relazione ad eventuali trattamenti automatizzati, Lei ha il diritto di ottenere l’intervento di una persona fisica appositamente designata dal Titolare, di esprimere la sua opinione o di contestare la decisione, così come previsto dall’art. 22, paragrafo 3 GDPR;
- proporre reclamo ad un’autorità di controllo (art. 77 GDPR) oppure adire le opportune sedi giudiziarie (art. 79 GDPR), qualora ritenga che il trattamento che La riguarda violi il GDPR. Il reclamo può essere proposto nello Stato membro in cui risiede abitualmente, lavora oppure nel luogo ove si è verificata la presunta violazione.
10. MODALITÀ DI ESERCIZIO DEI DIRITTI
Potrà in qualsiasi momento esercitare i suoi diritti di cui al punto 9 cliccando QUI oppure scrivendo direttamente al DPO.
11. AGGIORNAMENTO INFORMATIVA
La presente Informativa potrà essere soggetta ad aggiornamenti o modifiche, soprattutto in virtù dell’entrata in vigore di nuove eventuali direttive dell’Autorità competente. L’informativa, come di vota in volta aggiornata, sarà disponibile sul sito www.edenred.it, nell’area Legale e Privacy”.