Ultimo aggiornamento: Dicembre 2023
1. Introduzione
Reply S.p.A. e le Società del Gruppo Reply ("Reply", "noi", "ci" o "nostro") rispettano la tua privacy e si impegnano a proteggerla attraverso l'osservanza della presente Informativa sulla privacy di Reply ("Informativa sulla privacy") e della nostra Informativa sulla privacy e sui cookie disponibile nel footer del sito web/piattaforma Reply.
La presente Informativa sulla privacy riguarda il trattamento(1) dei dati personali dei:
fornitori di Reply, compresi i singoli consulenti, nell'ambito del loro rapporto contrattuale con le Società del Gruppo Reply (di seguito, "Fornitore/i");
potenziali fornitori interessati ad opportunità con il Gruppo Reply (di seguito, "Potenziale Fornitore/i").
La presente Informativa sulla privacy descrive anche i diritti dell'utente in relazione a tali attività.
2. Identità e dati di contatto del titolare del trattamento
Titolare dei trattamenti relativi ai Fornitori è la Società del Gruppo Reply, titolare del rapporto contrattuale con il Fornitore, nella persona del legale rappresentante pro tempore (di seguito, “Società”).
Titolare dei trattamenti relativi ai Potenziali Fornitori per la valutazione preliminare dei servizi proposti è Reply S.p.A., con sede legale in Corso Francia n. 110, Torino, Italia, rappresentata dal legale rappresentante pro tempore.
3. Dati di contatto del DPO
I dati di contatto dei Data Protection Officer (DPO) sono:
DPO Italia: dpo.it@reply.it
DPO Germania: dpo.de@reply.de
DPO UK, Francia: dpo.uk@reply.com
4. Categorie di dati trattati e fonte dei dati
Ai sensi dell’art. 4.1) del GDPR, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”. Pertanto, ai sensi della presente Informativa, per “Dati” si intendono quelli anagrafici e di contatto relativi a persone fisiche trattati per: i) una valutazione preliminare dei servizi proposti dai Potenziali Fornitori; ii) la stipula e l’esecuzione del rapporto contrattuale con i Fornitori, ivi inclusi quelli del Fornitore persona fisica, del legale rappresentante del Fornitore persona giuridica (che sottoscrive il contratto in nome e per conto di quest’ultimo), nonché dei dipendenti / consulenti del Fornitore coinvolti nelle attività di cui al contratto. Potranno inoltre essere trattati i dati personali inerenti le persone fisiche coinvolte nell’esecuzione del contratto e relativi al: i) medesimo rapporto contrattuale; ii) dispositivo mobile utilizzato dai dipendenti/consulenti del Fornitore per installare e utilizzare l'app Reply per l’applicazione dell’autenticazione forte su specifici servizi di Reply (es. VPN Reply). In quest'ultimo caso, l'origine dei Dati trattati è il Fornitore o un dipendente/consulente del Fornitore che installa e utilizza l'app Reply per l’autenticazione forte.
5. Finalità del trattamento e basi giuridiche
5.1 I Dati relativi ai Potenziali Fornitori verranno trattati da Reply S.p.A. per una valutazione preliminare dei servizi proposti tramite moduli di contatto o posta elettronica o altri strumenti di comunicazione. Per richieste formulate mediante moduli di contatto Reply, i dati personali potrebbero essere archiviati nel sistema Reply di ticketing per scopi di backup e gestione delle richieste. In questo caso la base giuridica delle attività di trattamento da parte di Reply S.p.A. è l'esecuzione delle attività precontrattuali.
5.2 Previo esplicito consenso, i dati dei Potenziali Fornitori dell’UE/Regno Unito potrebbero essere trasferiti per attività precontrattuali da Reply S.p.A. a Società del Gruppo Reply al di fuori dell’UE/Regno Unito. In questo caso la base giuridica delle attività di trattamento è il consenso prestato dal Potenziale Fornitore, che può essere revocato in qualsiasi momento. Per maggiori informazioni su tali trasferimenti di dati si rimanda alla successiva sezione 8.
5.3 I Dati verranno inoltre trattati dalla Società per finalità connesse alla instaurazione e all’esecuzione del contratto fra il Fornitore e la Società. La base giuridica che legittima il trattamento da parte della Società dei Dati del legale rappresentante del Fornitore (persona giuridica) o del Fornitore (persona fisica) è l'esecuzione del contratto; la base giuridica che legittima il trattamento dei Dati dei dipendenti/consulenti del Fornitore, coinvolti nelle attività di cui al contratto, è l'esecuzione del contratto le cui attività coinvolgono dipendenti/consulenti del Fornitore.
5.4 I Dati potrebbero inoltre essere trattati per l’effettuazione di adempimenti amministrativo-contabili, quali la gestione della contabilità e della tesoreria, nonché la fatturazione (ad esempio la verifica e la registrazione delle fatture), in conformità a quanto richiesto dalla normativa vigente, o per l’esecuzione di altri obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria. In tal caso, la base giuridica che legittima il trattamento dei Dati da parte della Società è la necessità di adempiere ad un obbligo legale a cui è soggetta la Società stessa.
5.5 I Dati potranno essere altresì trattati dalla Società e da Reply S.p.A., Reply Ltd, Reply SE e Reply France Sas, ove necessario, in qualità di Contitolari per far valere e/o difendere i diritti della Società in sede giudiziaria. In tal caso la base giuridica del trattamento è il legittimo interesse del Titolare.
5.6 I Dati saranno altresì trattati dalla Società e da Reply S.p.A, Reply Ltd, Reply SE e Reply France Sas, ove necessario, in qualità di Contitolari per la gestione del processo di verifica dei requisiti dei fornitori rispetto alle politiche aziendali. In tal caso la base giuridica che legittima il trattamento è è l'esecuzione delle attività precontrattuali.
5.7 Il conferimento dei Dati è obbligatorio per il conseguimento delle finalità sopra elencate, eccetto per la finalità 5.2; pertanto, il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l'oggettiva impossibilità per la Società di instaurare o di condurre regolarmente il rapporto contrattuale o di valutare i servizi proposti dal Potenziali Fornitore.
6. Periodo di conservazione dei dati
6.1 I Dati raccolti per le finalità contrattuali saranno conservati per tutta la durata del contratto e, dopo la cessazione, per al più 10 anni. Nel caso di contenzioso giudiziale, i Dati saranno conservati per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.
6.2 I Dati dei dipendenti/consulenti del Fornitore raccolti e utilizzati per applicare il meccanismo di autenticazione forte ai servizi Reply vengono archiviati per 6 mesi dopo che l'app mobile di autenticazione forte e l'utente sono stati cancellati dal servizio di autenticazione forte Reply.
6.3 I Dati dei Potenziali Fornitori vengono conservati per 6 mesi dal ricevimento della loro richiesta, a meno che nel frattempo non diventino Fornitori e in questo caso si applicano i tempi di conservazione di cui ai precedenti 6.1.e 6.2.
6.4 Decorsi i termini di conservazione sopra indicati, i Dati saranno distrutti o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup.
7. Terze parti e categorie di destinatari
7.1 I Dati possono essere comunicati a Terze parti o altri soggetti operanti in qualità di Titolari o di Responsabili, a seconda dei casi, come ad esempio:
a) clienti;
b) imprese di assicurazione;
c) professionisti autonomi;
d) banche ed istituti di credito;
e) soggetti ai quali la facoltà di accedere ai Dati sia riconosciuta da disposizioni di legge o normative regolamentari o applicabili;
f) soggetti ai quali la comunicazione dei Dati risulti necessaria o sia comunque funzionale alla gestione del rapporto contrattuale con i clienti;
g) la Holding Reply di riferimento(2), in qualità di Responsabile per quanto riguarda le finalità di cui al precedente 5.3. e 5.4;
h) fornitori ingaggiati da Reply a supporto della gestione e delle attività connesse ai servizi di Reply utilizzati dai dipendenti/consulenti del Fornitore.
8. Trasferimento dei Dati Extra-UE/UK
8.1 I Dati personali dei Potenziali Fornitori dell'UE/UK, previo loro esplicito consenso, potranno essere trasferiti da Reply S.p.A. per attività precontrattuali anche in paesi anche al di fuori dell'UE/UK in cui hanno sede le Società del Gruppo Reply (vedi sezione "Offices" su www.reply.com).
8.2 In assenza di una decisione di adeguatezza della Commissione Europea/UK sul livello di protezione degli interessati garantito da tali paesi ai sensi dell’art. 45 del GDPR, Reply assicura che il trasferimento avverrà in accordo con i requisiti applicabili per assicurare un adeguato livello di protezione dei dati.
8.3 In qualsiasi momento l’interessato può inviare un'e-mail a supplier.privacy@reply.com per revocare il suo consenso a tale trasferimenti dati o per richiedere ulteriori informazioni.
9. Diritti dell'interessato
9.1 Gli interessati possono chiedere al Titolare l’accesso ai Dati che li riguardano, la rettifica dei Dati inesatti o l’integrazione dei Dati incompleti, la cancellazione dei Dati, la limitazione del trattamento nei casi previsti dall’art. 18 GDPR; di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Dati, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti nel caso in cui siano presenti le condizioni per l’esercizio del diritto alla portabilità di cui all’art. 20 del GDPR (il trattamento sia basato sul consenso ai sensi dell’art. 6.1 lett. a) o art. 9.2, lett. a) o sul contratto ai sensi dell’art. 6.1, lett. b) del GDPR e sia effettuato con strumenti automatizzati).
Gli interessati hanno diritto di opporsi, per motivi connessi alla propria situazione particolare, al trattamento per il perseguimento delle finalità fondate sul legittimo interesse della Società.
In qualsiasi momento, gli interessati hanno il diritto di revocare il proprio consenso per le finalità basate sul consenso di cui al precedente punto 5.2.
9.2 Tali diritti possono essere esercitati, scrivendo alla Società, presso la sede del Titolare stesso, o via e-mail all’indirizzo supplier.privacy@reply.com.
9.3 Gli interessati hanno altresì il diritto di proporre reclamo all’Autorità di controllo competente ai sensi dell’art. 77 del GDPR (in particolare, nello Stato membro in cui risiede abitualmente o lavora o nel luogo in cui si è verificata la presunta violazione).
(1) - Ai sensi dell’art. 4, co. 1 del GDPR per ,“Trattamento” si intende “ qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”
(2) - Reply S.p.A. per Italia, Reply SE per Germania, Reply Ltd per UK e Reply France Sas per Francia