Informativa Globale sulla Privacy

Scarica (PDF)  

Revisionato il 25 settembre 2018

La presente Informativa globale sulla privacy (“Informativa sulla privacy”) consente a Information Resources, Inc. (“IRI”) e alle relative consociate (congiuntamente, “IRI” o la “Società”) di disporre di un processo uniforme per disciplinare gli standard, le procedure e i controlli relativi alla riservatezza dei dati, nonché di svolgere e garantire controlli adeguati.

In un mondo sempre più interconnesso e tecnologico, la proliferazione dei dati e anche delle informazioni personali su ciascuno di noi rappresenta un aspetto che incute alcuni timori. I singoli individui si aspettano che le organizzazioni proteggano i loro dati personali e che li utilizzino e condividano in maniera etica e legittima. È nostro compito soddisfare queste aspettative dei clienti. In aggiunta a questa responsabilità nei confronti dei nostri clienti, siamo tenuti a rispettare obblighi normativi la cui osservanza ci consente di salvaguardare la reputazione e la redditività del nostro business.

Nel corso dell’attività lavorativa svolta presso IRI è possibile che entriate in contatto con informazioni personali di dipendenti e clienti. Per tutelare la fiducia riposta nella nostra organizzazione e assicurare la conformità ai regolamenti vigenti, è fondamentale che vi atteniate a quando previsto nelle nostre politiche e procedure e nei nostri standard durante tutte le fasi di gestione delle informazioni.

Un esame attento delle informazioni fornite nel presente documento e nelle norme e procedure correlate consentiranno ai dipendenti di adempiere alle loro responsabilità.

Eventuali domande riguardanti il contenuto del presente documento possono essere inoltrate ai referenti indicati di seguito. Richieste di informazioni generali possono inoltre essere inviate alla casella di posta dedicata alla privacy all’indirizzo Privacy@IRIworldwide.com

Legal Department Executive Vice President,
General Counsel, and Chief Privacy Officer		 +1 312-474-8355 General.Counsel@IRIWorldWide.com
Privacy/Data Protection Officer
Chief Privacy Officer and Global Data Protection Officer		 Privacy@IRIworldwide.com
Information Security Office +1 312-474-2865 InfoSecTeam@IRIWorldWide.com

La presente Informativa sulla privacy si applica a IRI, a tutte le sue unità operative, ai suoi reparti e al suo Personale, a terzi e ad altri fornitori di servizi (non dipendenti) che abbiano stipulato accordi contrattuali con IRI per la gestione di Dati personali. Eventuali deroghe alla presente Informativa sulla privacy devono essere approvate per iscritto dall’Ufficio del responsabile della protezione dei dati di IRI fornendo un’appropriata giustificazione dal punto di vista commerciale e indicando i rischi accettati e i controlli compensativi. L’Ufficio del responsabile della protezione dei dati provvederà a esaminare eventuali deroghe, individuate sulla base di valutazioni del rischio o in altro modo segnalate dai collaboratori, di concerto con l’Ufficio affari legali ai fini della relativa autorizzazione.

N. Policy Descrizione
1.0 Mission statement riguardante la privacy In questo documento interno, IRI identifica le responsabilità nell’ambito del programma per la privacy e tutte le attività correlate.
2.0 Codice di condotta globale Il Codice di condotta globale di IRI definisce le regole per garantire un comportamento etico e onesto tra i dipendenti e nei confronti dei nostri clienti.
3.0 Policy in materia di sicurezza delle informazioni IRI definisce un modello operativo con specifici ruoli e responsabilità per l’attuazione del programma relativo alla sicurezza delle informazioni di IRI. IRI definisce chiaramente le responsabilità per la gestione, il funzionamento, l’applicazione e il monitoraggio del programma relativo alla sicurezza delle informazioni in conformità ai requisiti normativi e in linea con gli impegni aziendali assunti.

Informativa GDPR di Information Resources, Inc. (“IRI”)

La presente Informativa GDPR di IRI (“Informativa GDPR”) è stata concepita per assicurare che le attività svolte da Information Resources, Inc. e dalle sue consociate (congiuntamente “IRI” o la “Società”) rientranti nell’ambito di applicazione del GDPR siano conformi sia alle leggi vigenti che gli elevati standard di IRI, spesso più rigorosi dei requisiti normativi. L’informativa GDPR (che si applica a tutte le attività di IRI comprese nel GDPR, come di seguito illustrato) costituisce parte integrante dell’Informativa globale sulla privacy (che si applica a IRI a livello mondiale, incluse, a titolo esemplificativo ma non esaustivo, le attività rientranti nel GDPR).

Il GDPR prevede la rigorosa osservanza di determinate regole e talvolta delle azioni soggettive basate sul rischio. La conformità al GDPR e agli elevati standard di IRI può essere conseguita tramite approcci diversi. I dipendenti e subappaltatori di IRI sono tenuti a osservare l’Informativa GDPR in ordine al trattamento dei Dati personali. In caso di dubbi, rivolgersi all’Ufficio affari legali di IRI, all’Ufficio del responsabile della protezione dei dati o al Responsabile della protezione dei dati di IRI.

Il GDPR regolamenta il Trattamento di Dati personali (vedere le relative definizioni riportate alla fine del presente documento). Il GDPR si applica a tutte le imprese costituite nello Spazio economico europeo (SEE). Questo significa che si applicherà a tutte le attività di una consociata IRI registrata in un paese del SEE (cioè tutti i paesi dell’Unione europea, più Norvegia, Islanda e Liechtenstein) nonché alle attività da questa svolte all’estero.

Il Regno Unito continuerà ad applicare il GDPR tramite le proprie leggi nazionali dopo l’uscita dall’Unione europea (anche qualora il Regno Unito non dovesse continuare ad aderire al SEE).

Il GDPR si applica altresì alle consociate IRI non costituite nello Spazio economico europeo in due circostanze:

  • laddove una consociata IRI non costituita nel SEE fornisca servizi a un cliente nel SEE che comportino il trattamento di Dati personali. Il GDPR si applica inoltre alla fornitura infragruppo di servizi nei paesi del SEE all’interno del gruppo IRI (ad esempio nel caso in cui una funzione delle risorse umane sia centralizzata negli USA e una consociata nel SEE riceva servizi da detta funzione centralizzata);
  • laddove una consociata IRI non costituita nel SEE stia monitorando il comportamento di persone all’interno dello Spazio economico europeo. Questo sarebbe, ad esempio, il caso di un team IT negli Stati Uniti che monitora l’uso delle attrezzature informatiche o dei dispositivi di comunicazione di IRI da parte di dipendenti che lavorano in paesi appartenenti al SEE. Si applica altresì al contesto dei siti web, ad esempio qualora IRI gestisca un sito web rivolto a clienti in paesi del SEE che utilizza cookie o altre tecnologie per monitorare il traffico sul sito.
  1. TITOLARE DEL TRATTAMENTO / RESPONSABILE DEL TRATTAMENTO

    Per quanto concerne il trattamento dei dati personali, IRI può agire in qualità di “titolare del trattamento” oppure di “responsabile del trattamento” ai sensi del GDPR.

    Il titolare del trattamento è un’organizzazione che determina ossia decide le modalità e i criteri per il trattamento dei dati personali. IRI agirà in veste di titolare del trattamento relativamente ai dati personali dei propri dipendenti e di candidati per posizioni vacanti, ma anche per quanto concerne i propri clienti (cioè i singoli contatti d’affari dei clienti corporate di IRI) qualora provveda al trattamento dei loro dati personali, ad esempio ai fini delle attività di CRM, marketing, fatturazione e gestione del sito web.

    Il responsabile del trattamento è un’organizzazione che agisce in base alle istruzioni impartite dal titolare del trattamento per effettuare il trattamento dei dati per conto di quest’ultimo. IRI fungerà in genere da responsabile del trattamento nell’ambito della prestazione di servizi ai propri clienti, per la quale potrebbe aver bisogno di provvedere all’hosting, all’analisi o al trasferimento di dati personali dei clienti aderenti al proprio programma di fidelizzazione, di consumatori, ecc. IRI utilizzerà inoltre i propri responsabili del trattamento. Essi potrebbero essere chiamati a trattare dati personali relativamente a cui IRI è il titolare del trattamento (ad esempio nei casi in cui IRI si avvalga di uno studio esterno per l’elaborazione delle buste paga o di un’azienda che offre servizi di marketing automation), oppure a effettuare il trattamento di dati dei clienti nell’ambito della prestazione di servizi ai clienti, laddove IRI affida a terzi la parziale esecuzione di un contratto stipulato con un cliente. In questi casi, IRI sarà il principale responsabile del trattamento e il soggetto terzo agirà in veste di “sub-responsabile del trattamento”.

    Nota: le relazioni tra il titolare del trattamento e il responsabile del trattamento (oppure tra il responsabile e il sub-responsabile del trattamento) devono essere regolate da un accordo scritto che includa determinati requisiti previsti ai sensi di legge. Ciò è richiesto anche per i contratti con i clienti nei casi in cui IRI si trovi eventualmente a trattare qualsiasi dato personale del cliente. Contattare il Responsabile della protezione dei dati di IRI all’indirizzo Officer@iriworldwide.com per ottenere ulteriori informazioni e verificare le condizioni di contratto appropriate.
     
  2. AVVISO PER LA PRIVACY

    IRI si impegna a comunicare se tratta i dati personali di un individuo, compresi quelli riguardanti i propri clienti, dipendenti e candidati a posti vacanti e, laddove possibile, a fornire un link, selezionabile con un unico clic, per accedere all’informativa sulla privacy nel momento in cui la persona deve essere informata prima di scegliere.

    Ad esempio:
    • se possibile, in qualsiasi operazione in cui vengono raccolti i dati del cliente, e
    • laddove pertinente, prima di ottenere il consenso del cliente.

     
  3. MOTIVI LEGITTIMI

    Il trattamento di dati personali deve fondarsi sempre su uno specifico “motivo legittimo” (a volte definito “base legittima” oppure “condizione” per il trattamento). IRI si impegna a individuare un motivo legittimo per tutte le proprie attività di trattamento dei dati e a comunicarlo nei propri avvisi sulla privacy.

    Le sei condizioni che legittimano il trattamento sono riportate all’articolo 6(1) del GDPR, ovvero:
    1. il trattamento è necessario all'esecuzione di un contratto (ad es. il pagamento dello stipendio di un dipendente in conformità al suo contratto di lavoro);
    2. il trattamento è necessario per adempiere un obbligo legale (ad es. divulgazione delle informazioni riguardanti un dipendente alle autorità fiscali oppure la stesura di relazioni in materia di salute e sicurezza);
    3. il trattamento è necessario per il perseguimento del legittimo interesse, a condizione che non prevalgano gli interessi o i diritti dell'interessato (ad es. monitoraggio del traffico sul sito web di IRI oppure la conservazione dei documenti dei nostri clienti sui nostri sistemi CRM);
    4. l'interessato ha espresso il consenso al trattamento dei propri dati personali (vedere Sezione D riportata di seguito);
    5. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato, oppure
    6. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (non rilevante in quanto IRI è una società privata).
    Tutte le attività di trattamento di categorie particolari di dati vanno giustificate facendo riferimento a uno dei diversi casi speciali previsti per il trattamento di cui all’articolo 9(2) del GDPR.

    Sebbene siano elencati nove casi speciali riguardanti il trattamento di categorie particolari di dati, detti casi sono generalmente limitati e mirati a specifiche situazioni. Alcuni dei casi che potrebbero più probabilmente riguardare IRI sono:
    • l'interessato ha prestato il proprio consenso esplicito al trattamento dei dati, salvo nei casi in cui il consenso sia escluso ai sensi delle normative vigenti;
    • il trattamento è necessario per:
      • assolvere un obbligo in materia di diritto del lavoro;
      • motivi di interesse pubblico rilevante (che consente lo svolgimento di svariate attività ai sensi delle normative locali, ad esempio il monitoraggio delle pari opportunità in determinati paesi), o
      • eventuali azioni legali o per ottenere consulenza legale.
    Nota: il ricorso al consenso (consenso normale di cui all’art. 6 oppure consenso esplicito di cui all’art. 9) sarà opportuno o valido solo in casi molto rari nel contesto di un rapporto di lavoro, cioè la Società non deve chiedere il consenso dei dipendenti per il trattamento dei loro dati personali.

    I dati personali riguardanti condanne e reati penali possono essere trattati unicamente nel caso in cui sussista un’autorizzazione esplicita ai sensi del diritto dell’Unione europea o delle normative nazionali (cioè degli Stati membri) vigenti. Fa pertanto parte delle politiche di IRI monitorare attentamente le situazioni in cui potrebbero essere trattati dati riguardanti reati penali (ad es. in fase di reclutamento) per assicurare la conformità alle leggi vigenti.
     
  4. CONSENSO

    Tra i motivi legittimi per il trattamento rientra il consenso affermativo (un’azione affermativa che esprimi accordo) che è richiesto per il trattamento di dati personali in determinate circostanze. Nei casi in cui sia necessario il consenso, IRI si impegna ad assicurare che l’interessato possa revocare il consenso in qualsiasi momento. L’avviso sulla privacy e il consenso devono essere chiari e ben evidenti e l’interessato deve poter revocare il consenso con la stessa facilità con cui l’ha conferito.

    IRI si impegnerà a fornire un chiaro link all’Informativa sulla privacy in ciascuna occasione in cui si richiede il consenso.
     
  5. MARKETING DIRETTO: REQUISITI RIGUARDANTI L’INFORMATIVA E IL CONSENSO

    Gli interessati hanno il diritto di opporsi al marketing diretto in qualsiasi momento. IRI provvederà ad annullare tempestivamente dal ricevimento di una richiesta l'iscrizione dell’interessato a qualsiasi comunicazione di marketing diretto. Per ciascun processo che prevede il consenso, IRI si sforzerà di fornire un chiaro link all’informativa sulla privacy (con l’opportunità di consultarlo prima di fornire il consenso). IRI si impegna a far sì che l’avviso sulla privacy e il consenso siano chiari e ben evidenti e che il consenso richieda un’azione affermativa da parte dell’interessato.
     
  6. COOKIES: REQUISITI RIGUARDANTI L’AVVISO E IL CONSENSO PER TUTTI I CANALI DIGITALI

    IRI fornirà avvisi sui cookie (banner) qualora utilizzi tecnologie di tracciamento (ad es. web beacon, cookie essenziali e non essenziali, ecc.).
     
  7. DIRITTO DI OPPOSIZIONE AL TRATTAMENTO DEI DATI (OPT-OUT)

    Gli interessati possono opporsi al trattamento dei loro dati personali per motivi di “interesse legittimo” in qualsiasi momento. Qualora l’interessato faccia valere tale diritto, IRI seguirà le proprie linee guida interne per ottemperare alle sue richieste. Gli utenti possono esercitare i loro diritti tramite svariate modalità.
     
  8. DIRITTO ALLA CANCELLAZIONE

    IRI si impegna a cancellare i dati personali previa richiesta conforme alle disposizioni del GDPR. IRI si impegna altresì a confermare la ricezione delle richieste e a provvedere alla loro evasione in maniera tempestiva per soddisfarle senza ritardi immotivati.

    Per quanto riguarda le modalità di gestione delle richieste degli utenti, IRI ha adottato procedure operative e tecniche interne che vanno attentamente osservate da tutti i dipendenti. Per chiarimenti contattare il Responsabile della protezione dei dati di IRI all’indirizzo Privacy@IRIworldwide.com.
     
  9. DIRITTO DI LIMITAZIONE DEL TRATTAMENTO DEI DATI

    IRI si impegna a rispettare il diritto degli interessati alla limitazione del trattamento dei dati nei casi riportati di seguito:
    • l'interessato contesta l'esattezza dei dati personali;
    • il trattamento è illecito e l'interessato richiede che ne sia limitato l'utilizzo agli usi legittimi;
    • i dati personali in nostro possesso sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, ma ne richiede la limitazione per altre finalità.
    Se abbiamo bisogno di tempo per decidere in ordine alla sussistenza di motivi legittimi che prevalgono sulla richiesta di limitazione al trattamento dei dati, dobbiamo sospendere il trattamento fino a quando non viene presa una decisione in merito. Per quanto riguarda le modalità di gestione delle richieste degli utenti, IRI ha adottato procedure operative e tecniche interne che vanno attentamente osservate da tutti i dipendenti. Per chiarimenti contattare il Responsabile della protezione dei dati di IRI all’indirizzo Privacy@IRIworldwide.com.
     
  10. DIRITTO DI ACCESSO – Richiesta di accesso dell’interessato

    IRI consentirà ai consumatori di ottenere conferma del trattamento dei loro dati da parte della Società e di accedere ai propri dati personali. Per quanto riguarda le modalità di gestione delle richieste di accesso degli interessati, IRI ha adottato procedure operative e tecniche interne che vanno attentamente osservate da tutti i dipendenti. Per chiarimenti contattare il Responsabile della protezione dei dati di IRI all’indirizzo Privacy@IRIworldwide.com.
     
  11. DIRITTO DI RETTIFICA

    I consumatori hanno il diritto di ottenere la rettifica (correzione) di dati personali inesatti. I consumatori hanno il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

    Per quanto riguarda le modalità da seguire per gestire le richieste di rettifica, IRI ha adottato procedure operative e tecniche interne che vanno attentamente osservate da tutti i dipendenti. Per chiarimenti contattare il Responsabile della protezione dei dati di IRI all’indirizzo Privacy@IRIworldwide.com.
     
  12. DIRITTO ALLA PORTABILITÀ DEI DATI

    IRI si impegna a rispettare il diritto degli interessati alla portabilità dei dati. Il diritto alla portabilità dei dati si applica unicamente ai dati personali forniti da un utente alla nostra Società. S’intendono quindi:
    • i dati forniti dal consumatore volontariamente e consapevolmente (ad es. indirizzo postale, username, età ecc.);
    • i dati osservati acquisiti da IRI durante la fruizione dei suoi servizi da parte del consumatore. Detti dati potrebbero includere, ad esempio, la cronologia delle ricerche e i dati relativi al traffico e alla localizzazione;
    • le informazioni ottenute da uffici di credito non sono soggette alla portabilità dei dati;
    • i dati trattati con il consenso dell’utente o ai fini dell’esecuzione di un contratto (vedere la precedente Sezione C), e
    • i dati trattati con mezzi automatizzati.
    Per quanto riguarda le modalità di gestione delle richieste di portabilità, IRI ha adottato procedure operative e tecniche interne che vanno attentamente osservate da tutti i dipendenti. Per chiarimenti contattare il Responsabile della protezione dei dati di IRI all’indirizzo Privacy@IRIworldwide.com.
     
  13. TRASFERIMENTO DEI DATI PERSONALI ALL’ESTERO

    IRI non trasferirà al di fuori di paesi aderenti al SEE dati personali provenienti dallo Spazio economico europeo, salvo nei casi in cui (i) possa assicurare un adeguato livello di protezione dei diritti e delle libertà degli interessati oppure (ii) esista una deroga specifica.

    I trasferimenti potrebbero non essere evidenti. Se, ad esempio, un fornitore con sede in Germania affida in subappalto alcune delle proprie attività di trattamento dei dati a un’azienda esterna situata in India, si avrà un trasferimento dei dati personali in un paese al di fuori del SEE. Tale trasferimento è proibito se non sono soddisfatte determinate condizioni. Molti dei nostri contratti con i clienti comporteranno il trasferimento di dati all’estero, ad esempio nei casi di prestazione di servizi a un cliente italiano utilizzando centri di elaborazione dislocati negli Stati Uniti.

    Per quanto concerne i trasferimenti di dati personali a IRI negli Stati Uniti, la Società è certificata ai fini dello scudo per la privacy per assicurare un adeguato livello di protezione degli interessati nei paesi SEE.

    Qualora sia necessario trasferire dati personali a un paese al di fuori del SEE, consultare il Responsabile della protezione dei dati di IRI inviando una e-mail all’indirizzo Privacy@IRIworldwide.com che provvederà a fornire consulenza in merito alle garanzie applicabili. Potrebbero essere necessari termini contrattuali speciali (le "clausole contrattuali standard”) oppure una deroga per una situazione specifica (ad es. nel caso in cui un trasferimento sia necessario nell’ambito di un procedimento legale).
     
  14. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

    Qualora un nuovo progetto o nuova modalità operativa, oppure eventuali modifiche riguardanti progetti o modalità operative esistenti comportino un’attività di trattamento intensa o a maggior rischio di dati personali o di particolari categorie di dati, IRI provvederà a effettuare una valutazione d’impatto sulla protezione dei dati.

    Una valutazione d’impatto sulla protezione dei dati è importante al fine di individuare e mitigare eventuali rischi legati alla privacy prima dell’adozione di un progetto e di applicare i principi di “protezione fin dalla progettazione” nei casi in cui i progetti vengano concepiti in modo tale da essere conformi alle disposizioni in materia di privacy. Questo approccio potrebbe consentire di risparmiare sia tempo che risorse evitando di dover prendere ulteriori provvedimenti in un secondo momento. Consultare il Responsabile della protezione dei dati di IRI per maggiori informazioni.
     
  15. PROCESSO DECISIONALE AUTOMATIZZATO

    Alcune restrizioni si applicano all’assunzione di decisioni importanti sugli interessati che sono interamente basate su processi automatizzati senza interventi umani. Un esempio può essere l’esclusione automatica dei candidati a un posto vacante che non soddisfano determinati criteri o non superano un test psicometrico. In tale evenienza, IRI potrebbe essere tenuta a (i) notificare all’interessato che ha il diritto di opporsi alla decisione automatizza e richiedere un intervento umano oppure (ii) integrare il processo con interventi umani onde evitare decisioni automatizzate. Consultare il Responsabile della protezione dei dati di IRI per maggiori informazioni.
     
  16. INFORMATIVA SULLA PRIVACY

    IRI si impegna a fornire agli utenti di cui tratta i dati personali l’accesso alla presente Informativa sulla privacy. IRI si riserva il diritto di modificare questa Informativa sulla privacy in qualsiasi momento.

    Appendice A - Definizioni dei termini utilizzati nel GDPR
    Termine chiave Definizione
    DATI PERSONALI Qualsiasi informazione riguardante una persona fisica identificata o identificabile nell’Unione europea, compresi dati collegati e/o collegabili e qualsiasi combinazione di entrambe queste tipologie di dati. Rientrano in questa definizione anche i dati collegati o collegabili a pseudonimi, ID di dispositivi o altre ID simili che consentono l’identificazione di un utente.
    Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a (1) un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o a (2) uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
    Avvertenza importante: i dati identificabili aumentano la rischiosità del trattamento. L’eliminazione di informazioni riconducibili all’utente da un insieme di dati consente di escludere tali dati dal campo di applicazione, come nel caso dei dati riguardanti i punti di vendita. Nota: IRI considera i numeri delle carte fedeltà tokenizzati, generati con funzione di hash o cifrati come Dati personali pseudonimi a cui vengono applicate le disposizioni del GDPR.
    CATEGORIE PARTICOLARI DI DATI Dati personali che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche o l’affiliazione a sindacati, dati genetici e biometrici intesi a identificare in modo univoco un individuo, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
    TRATTAMENTO Il termine Trattamento è alquanto ampio. Significa essenzialmente qualunque operazione compiuta con dati personali o applicata a dati personali (comprese le semplici operazioni di raccolta, conservazione o cancellazione dei dati). È probabile che il GDPR sia applicabile a qualsiasi attività di IRI che riguardi i Dati personali.
    TITOLARE DEL TRATTAMENTO IRI agisce in veste di Titolare del trattamento nei casi in cui stabilisce il tipo di Dati personali da acquisire, nonché le modalità e le finalità del trattamento. IRI agisce, ad esempio, in qualità di Titolare del trattamento quando tratta Dati personali di interessati che partecipano a un gruppo di esperti di IRI o a un sondaggio direttamente gestito da IRI nel proprio interesse, quando tratta Dati personali raccolti da un sito web pubblico di IRI, quando svolge attività di marketing diretto a proprio vantaggio e nell’ambito delle attività operative aziendali (dati riguardanti le risorse umane).
    RESPONSABILE DEL TRATTAMENTO IRI agisce in veste di Responsabile del trattamento quando dispensa servizi di Trattamento dei dati a un Titolare del trattamento (generalmente i servizi per le carte fedeltà, attività di CRM e marketing per conto o nell’interesse di un cliente) e non ha il controllo completo sulla tipologia di Dati personali da raccogliere e sulle relative modalità di utilizzo. Come Responsabile del trattamento, IRI tratta i dati per conto del cliente e non ha il diritto di effettuare altri trattamenti oltre a quelli indicati dal cliente. Ad esempio, IRI è il Responsabile del trattamento quando tratta i Dati personali di clienti che sono membri di un gruppo di esperti gestito da IRI o che partecipano a un sondaggio condotto da IRI per conto di un cliente, quando effettua il trattamento di numeri di carte fedeltà criptati per un cliente oppure quando svolge attività di marketing diretto per un cliente nell’ambito di un accordo contrattuale.
    DIRITTI DELL’INTERESSATO I diritti riconosciuti agli interessati in determinate giurisdizioni di richiedere informazioni sui Dati personali raccolti o conservati da IRI e di esercitare la scelta o il controllo in merito alle modalità di utilizzo di detti dati da parte di IRI. Questi diritti potrebbero includere:
    • il diritto di ottenere informazioni sulle attività di trattamento dei dati svolte da IRI;
    • il diritto di ottenere una copia di tutti i dati detenuti o trattati da IRI;
    • il diritto di far eliminare, correggere o trasferire i Dati personali;
    • il diritto di limitare o bloccare il trattamento;
    • il diritto di revocare liberamente il consenso.
    PERSONALE Tutti i dipendenti, subappaltatori, collaboratori e interinali di IRI.

     

Informativa sulla Privacy GDPR

Scarica (PDF)  

Data di entrata in vigore: 25 maggio 2018

Information Resources, Inc. e le sue società controllate (collettivamente denominate “IRI”, la “Società” o “noi”) affrontano con grande impegno e serietà il tema della protezione dei dati e della privacy ai sensi del Regolamento generale sulla protezione dei dati (“GDPR”)

La presente informativa sulla privacy spiega come raccogliamo, usiamo e condividiamo dati personali nel corso delle attività commerciali delle nostre società UE e di quelle delle nostre società non UE relative all’offerta di beni e servizi a, o al monitoraggio di persone fisiche nell’UE. Per ulteriori informazioni sull’attività di trattamento dei dati di IRI si rimanda inoltre all’Informativa sullo scudo UE‐USA per la privacy di IRI.

  • Quali dati personali raccogliamo, quando e perché li usiamo
  • Come condividiamo i dati personali all’interno di IRI e con i nostri fornitori, autorità di regolamentazione e altri soggetti terzi
  • Maggiori informazioni sul direct marketing
  • Trasferimento di dati personali a livello globale
  • Come proteggiamo e archiviamo i dati personali
  • Diritti riconosciuti dalla legge per aiutare a gestire la privacy
  • Come è possibile contattarci per avere maggiore assistenza

La presente informativa può essere modificata periodicamente per adeguarsi all’evoluzione dei requisiti di legge e del nostro modo di operare. Si prega di controllare regolarmente queste pagine per consultare l’ultima versione dell’informativa.

Sul nostro sito web possono essere presenti link esterni a siti web di terzi. La presente informativa sulla privacy non si applica all’utilizzo di qualsiasi sito di terzi.

Informazioni importanti su IRI:
Il soggetto IRI responsabile dei dati personali è la società che originariamente raccoglie i dati da o sulla persona. Spesso sarà evidente dal contesto, ad esempio se si stratta del rappresentante di un cliente IRI che si interfaccia abitualmente con la nostra affiliata locale, ad esempio, nel Regno Unito o in Italia. Può inoltre essere indicato in informative separate rese disponibili quando i dati personali vengono raccolti la prima volta dal soggetto IRI, ad esempio quando la persona o l’azienda per cui lavora ci incarica della fornitura di un servizio.

Maggiori informazioni su IRI sono disponibili sul sito www.iriworldwide.com o contattandoci ai recapiti indicati nella sezione Contatti.

In questo paragrafo sono riportate maggiori informazioni su

  • i tipi di dati personali che raccogliamo
  • quando raccogliamo dati personali
  • come usiamo i dati personali
  • la base giuridica per l’utilizzo dei dati personali

Raccogliamo dati se la persona:

  • usa i nostri siti web;
  • fa affari con noi in veste di rappresentante di uno dei nostri clienti o fornitori;
  • si candida per un posto di lavoro presso IRI ‐ in questo caso consultare le informative sulla privacy per le candidature;
  • ci contatta per una richiesta o un reclamo di qualsiasi genere;
  • visita un ufficio o una sede IRI;
  • si abbona a nostre comunicazioni di marketing; o partecipa a un evento IRI; oppure
  • lavora per noi come dipendente o come collaboratore esterno.

Trattiamo dati personali anche per conto dei nostri clienti quando forniamo loro i nostri servizi. Nel farlo fungiamo da "titolare del trattamento". Fungiamo anche da "responsabile del trattamento" ai sensi delle leggi vigenti in materia di protezione dei dati, quando riceviamo le infomazioni dal nostro cliente (o potenzialmente un soggetto terzo) che è il "titolare del trattamento". In caso di dubbi o domande sul nostro trattamento dei dati personali nel contesto dei servizi IRI, contattare il nostro cliente. Si prega di notare che, se la persona ci contatta direttamente, potrebbe essere necessario comunicare la richiesta al cliente in questione.

In base al contesto in cui interagiamo con la persona, è probabile che tra i dati che raccogliamo figurino:

  • nome;
  • recapiti;
  • informazioni relative al proprio rapporto di lavoro con IRI;
  • profilo / dati di login;
  • preferenze di marketing;
  • immagini CCTV o dati di identificazione (ad esempio in un registro dei visitatori), che possono essere raccolti durante la visita a un ufficio o una sede IRI;
  • qualsiasi altro dato personale fornito nella corrispondenza con noi, ad esempio se pertinente per un reclamo o una richiesta.

Raccogliamo dati anche quando la persona usa i nostri siti web, ad esempio l’indirizzo IP e le informazioni generate dal browser (tipo di browser, sistema operativo), oltre alle informazioni sulla sessione del browser. Non usiamo queste informazioni per identificare la persona, bensì per personalizzare o migliorare l’esperienza di navigazione, oppure in forma aggregata con dati di altre persone per finalità statistiche.

dati personali vengono utilizzati per le finalità elencate nella tabella seguente. Raccogliamo, utilizziamo e condividiamo dati personali della persona solamente se siamo persuasi di avere una base giuridica adeguata per farlo. Nella tabella abbiamo inoltre specificato le basi giuridiche su cui ci appoggiamo. Nel contesto della nostra relazione d’affari, la persona è tenuta a fornire unicamente i dati personali necessari per instaurare o intrattenere una relazione d’affari o che noi siamo tenuti a raccogliere a norma di legge. In assenza di tali dati, di norma siamo tenuti a rifiutarci di stipulare il contratto o di eseguire l’ordine, o non saremo in grado di adempiere agli obblighi assunti con un contratto esistente e verosimilmente potremmo dover recedere dallo stesso. La base giuridica su cui ci appoggiamo determina che diritti ha la persona in relazione ai suoi dati personali (v. paragrafo seguente per maggiori dettagli):

Finalità Base giuridica
Commercializzazione dei nostri prodotti e servizi. Legittimo interesse a contattare clienti e potenziali clienti per promuovere i nostri prodotti e servizi; oppure (ove richiesto dalla legge) consenso.
Interagire con la persona ad eventi. Legittimo interesse al networking con contatti aziendali e alla promozione dei nostri prodotti e servizi.
Fare affari con i nostri partner e fornitori (ad esempio cura dei record CRM, comunicazione in merito agli affari con IRI, fatturazione). Legittimo interesse a contattare i nostri partner e fornitori; oppure ottemperanza a un obbligo di legge.
Risolvere richieste e reclami dei clienti. Legittimo interesse a risolvere richieste e reclami; oppure ottemperanza a un obbligo di legge.
Consentire di accedere a tutte le parti dei nostri siti web, personalizzare l’esperienza sui nostri siti web e in ultima analisi migliorare la funzionalità dei siti web a beneficio di tutti gli utenti. Legittimo interesse a fornire un sito web migliore e più intuitivo comprendendo come viene usato.
Gestire il reclutamento. Legittimo interesse a selezionare candidati idonei e consenso direttamente dal candidato per conservare i dati per opportunità future (e, ove applicabile, per il trattamento dei dati necessari per le decisioni di assunzione). Si rimanda alle nostre distinte informative sulla privacy per le candidature.
Proteggere i nostri collaboratori e garantire la sicurezza delle nostre sedi. Legittimo interesse a proteggere i nostri collaboratori e prevenire i reati; oppure ottemperanza a un obbligo di legge.
Trattamento dei numeri delle carte fedeltà generati con funzione di hash o cifrati come pseudonimi, dei dati relativi alle transazioni con carte fedeltà e dei dati personali dei partecipanti ai sondaggi per conto dei nostri clienti in veste di Responsabile del trattamento dei dati. Esecuzione di un contratto con i nostri clienti e Consenso ottenuto dai nostri clienti che agiscono in qualità di Titolari del trattamento dei dati.

In questo paragrafo sono riportate maggiori informazioni sul modo in cui condividiamo i dati personali:

  • all’interno di IRI;
  • con soggetti terzi che ci aiutano a fornire i nostri prodotti e servizi; e
  • con le nostre autorità di regolamentazione e altri soggetti terzi.

Condividiamo i dati nei modi e con le finalità specificati di seguito:

  • all’interno di IRI, qualora tale comunicazione sia necessaria per fornire i nostri servizi ai nostri clienti o gestire la nostra attività commerciale;
  • con soggetti terzi che aiutano a gestire la nostra attività commerciale e fornire servizi. Questi soggetti terzi hanno accettato limitazioni di riservatezza e utilizzano i dati personali che condividiamo con loro o che raccolgono per nostro conto esclusivamente con la finalità di fornirci il servizio commissionato. Tra di essi rientrano fornitori di servizi IT che aiutano a gestire i nostri sistemi IT e back office, fornitori di automazione di marketing e organizzatori di eventi;
  • con le nostre autorità di regolamentazione, come le autorità di vigilanza sulla protezione dei dati, per ottemperare a tutte le leggi, i regolamenti e le norme vigenti, nonché alle richieste di autorità pubbliche, di regolamentazione, di polizia o di giustizia.
  • possiamo condividere in forma aggregata e statistica dati non personali in merito ai visitatori del nostro sito web, al traffico e all’utilizzo del sito web con i nostri partner, le nostre società affiliate o i nostri inserzionisti.
  • Se, in futuro, venderemo o trasferiremo a un soggetto terzo la nostra attività o le nostre proprietà, in tutto o in parte, potremmo comunicare dati a un acquirente terzo, effettivo o potenziale, della nostra attività o delle nostre proprietà.

In questo paragrafo sono riportate maggiori informazioni su

  • come utilizziamo i dati personali per inviare aggiornamenti sui nostri prodotti e servizi
  • come gestire le proprie preferenze di marketing

Possiamo usare i dati personali per far conoscere prodotti e servizi IRI che riteniamo di interesse. Possiamo metterci in contatto via e‐mail, posta o telefono, oppure attraverso i canali di comunicazione a nostro avviso utili per la persona. In tutti i casi, rispettiamo le preferenze della persona in merito al modo in cui desidera che gestiamo l’attività di marketing.

Per tutelare i diritti alla privacy e per garantire alla persona il controllo sul modo in cui gestiamo il marketing:

  • adottiamo misure per limitare il marketing diretto a livelli ragionevoli e proporzionati e spediamo soltanto comunicazioni che riteniamo possano essere interessanti o rilevanti per la persona;
  • a persona ci può chiedere di sospendere il marketing diretto in qualsiasi momento − ci può chiedere di sospendere l’invio di marketing via e‐mail cliccando sul link "cancella sottoscrizione" che trova in tutti i messaggi e‐mail di marketing che inviamo. In alternativa è possibile contattarci all’indirizzo Privacy@IRIworldwide.com. Si prega di specificare se si desidera che sospendiamo tutte le forme di marketing o soltanto un tipo particolare (ad es. e‐mail); e
  • è possibile cambiare il modo in cui il browser gestisce i cookie, che possono essere usati per offrire pubblicità online, nelle impostazioni del browser.
  • Raccomandiamo di verificare regolarmente le informative sulla privacy e le impostazioni disponibili su tutte le piattaforme di social media nonché le preferenze personali nell’account IRI.

In questo paragrafo sono riportate maggiori informazioni su:

  • come operiamo come azienda globale e trasferiamo dati a livello internazionale
  • i provvedimenti che abbiamo adottato per proteggere i dati personali se li trasferiamo all’estero

IRI opera su scala globale. Di conseguenza, i dati personali possono essere trasferiti e archiviati in paesi al di fuori dell’UE, ai sensi delle leggi sulla protezione dei dati, compresi i paesi in cui vigono standard di protezione dei dati diversi. IRI adotta provvedimenti adeguati per garantire che i trasferimenti di dati personali avvengano nel rispetto della normativa vigente e vengano gestiti con cura per tutelare gli interessi e i diritti alla privacy della persona e affinché i trasferimenti siano limitati a paesi di cui viene riconosciuto il rispetto di un livello adeguato di protezione legale o nei casi in cui siamo persuasi di aver adottato provvedimenti alternativi in grado di tutelare i diritti alla privacy.

A tal fine:

  • i trasferimenti a IRI negli Stati Uniti sono garantiti dalla normativa vigente ai sensi del GDPR, compresi i meccanismi contrattuali come le clausole contrattuali standard o le misure supplementari relative al trasferimento.
  • quando trasferiamo dati personali al di fuori di IRI o a soggetti terzi che aiutano a fornire i nostri prodotti e servizi, questi ultimi si impegnano contrattualmente a tutelare i dati personali. Alcune di queste garanzie sono meccanismi contrattuali ampiamente riconosciuti come le clausole contrattuali standard; oppure
  • quando riceviamo richieste di informazioni da autorità di regolamentazione, di polizia o di giustizia, le verifichiamo con cura prima di comunicare dati personali.

La persona ha il diritto di contattarci all’indirizzo Privacy@IRIworldwide.com per ulteriori informazioni sulle tutele che abbiamo predisposto (compresa una copia degli impegni contrattuali in questo senso) per garantire una protezione adeguata dei dati personali quando vengono trasferiti nei modi specificati sopra.

In alcune situazioni specifiche, i trasferimenti dei dati personali possono basarsi su deroghe specifiche che consentono trasferimenti in assenza di tutele, ad esempio se il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Sicurezza

Abbiamo adottato e applichiamo adeguate direttive, procedure e misure di sicurezza tecniche e organizzative finalizzate alla riduzione del rischio di distruzione o smarrimento accidentali, oppure di comunicazione o accesso alle informazioni non autorizzati, adeguate alla natura delle informazioni in questione. Le misure che adottiamo includono l’imposizione di obblighi di riservatezza ai nostri collaboratori e fornitori; la limitazione dell’accesso ai dati personali; la distruzione o la limitazione sicura o l’anonimizzazione dei dati personali se non più necessari per le finalità per cui erano stati raccolti. Poiché la sicurezza delle informazioni dipende in parte dalla sicurezza del computer utilizzato per comunicare con noi e dalla sicurezza adottata per proteggere (se del caso) nomi utente e password, si prega di adottare misure adeguate per proteggere questi dati.

Archiviazione dei dati personali

Archiviamo i dati personali fintanto che ragionevolmente necessario per le finalità per cui erano stati raccolti, come illustrato nella presente informativa. In alcune situazioni possiamo archiviare i dati personali per periodi più lunghi, ad esempio in virtù di obblighi legali, regolamentari, fiscali e contabili.

In situazioni specifiche possiamo archiviare i dati personali per periodi più lunghi in modo da avere informazioni precise sulle interazioni tra noi e la persona in caso di reclamo o ricorso di qualsiasi genere, oppure se riteniamo ragionevolmente probabile un contenzioso in merito ai dati personali o alle interazioni con la persona.

Fatte salve specifiche eccezioni, e in alcuni casi con riserva dell’attività di trattamento che eseguiamo, la persona gode di specifici diritti in relazione ai suoi dati personali. Informazioni più dettagliate sui diritti sono riportate di seguito.

Si prega di notare che, come illustrato sopra, non siamo legalmente responsabili dei dati personali che trattiamo nel contesto della fornitura di servizi ai nostri clienti. Di conseguenza, per avvalersi di qualsiasi diritto con riferimento a questi dati contattare il nostro cliente, che collaborerà con noi per garantire che i diritti vengano soddisfatti.

  • I diritti potenzialmente riconosciuti sono il diritto:
  • Ad accedere ai dati personali
  • A rettificare / cancellare i dati personali
  • A limitare il trattamento dei dati personali
  • A trasferire i dati personali
  • A opporsi al trattamento di dati personali
  • A opporsi al modo in cui utilizziamo i dati personali per finalità di marketing diretto
  • A ottenere una copia delle tutele dei dati personali adottate per i trasferimenti al di fuori della propria giurisdizione
  • A proporre reclamo presso l’autorità di vigilanza locale

Possiamo chiedere alla persona informazioni supplementari per verificarne l’identità e per ragioni di sicurezza prima di comunicare i dati personali richiesti. Ci riserviamo il diritto di addebitare una commissione se consentito dalla legge, ad esempio se la richiesta è manifestamente infondata o eccessiva.

I diritti possono essere esercitati contattandoci all’indirizzo Privacy@IRIworldwide.com. Fatte salve le restrizioni di legge e altre limitazioni ammesse, compiremo ogni ragionevole sforzo per soddisfare rapidamente la richiesta o informare la persona qualora siano necessarie ulteriori informazioni per soddisfare la richiesta.

Potremmo non essere sempre in grado di dare seguito alla richiesta nella sua interezza, ad esempio se violasse il nostro obbligo di riservatezza nei confronti di altri oppure se godiamo del diritto giuridico di trattare la richiesta in modo diverso.

Diritto di accedere ai dati personali

La persona ha il diritto di chiederci di fornire una copia dei dati personali che la riguardano in nostro possesso e ha il diritto di essere informata circa (a) la fonte dei dati personali; (b) le finalità, la base giuridica e i metodi di trattamento; (c) l’identità del titolare del trattamento; (d) i diritti connessi a disposizione della persona; ed (e) i soggetti o le categorie di soggetti a cui i dati personali possono essere trasferiti.

Diritto di rettificare o cancellare i dati personali

La persona ha il diritto di chiederci di rettificare i dati personali non corretti. Prima di rettificare i dati personali, possiamo tentare di verificarne la veridicità.

È inoltre possibile chiederci di cancellare i propri dati personali in determinate situazioni in cui:

  • non sono più necessari per le finalità per cui erano stati raccolti; oppure
  • è stato revocato il consenso (qualora il trattamento dei dati fosse basato sul consenso); oppure
  • in seguito all’esercizio di un diritto a opporsi (v. Diritto a opporsi); oppure
  • i dati sono stati trattati in maniera illecita; oppure
  • per ottemperare a un obbligo di legge in capo a IRI.

Non siamo tenuti a dare seguito alla richiesta di cancellazione dei dati personali se il trattamento dei dati personali è necessario:

  • per ottemperare a un obbligo di legge; oppure
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Diritto di limitare il trattamento dei dati personali

È possibile chiederci di limitare i dati personali, ma solamente se:

  • ne è contestata la veridicità, per consentirci di verificarne la veridicità; oppure
  • il trattamento è illecito, ma non è desiderata la cancellazione dei dati personali; oppure
  • i dati non sono più necessari per le finalità per cui erano stati raccolti, ma ne abbiamo ancora bisogno per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; oppure
  • è stato esercitato il diritto di opporsi ed è in corso la verifica dei motivi prevalenti.

Possiamo continuare a utilizzare i dati personali in seguito a una richiesta di limitazione:

  • se abbiamo il consenso della persona; oppure
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; oppure
  • per tutelare i diritti di un’altra persona fisica o giuridica.

Diritto di trasferire i dati personali

È possibile chiederci di fornire i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, oppure chiedere che siano trasferiti direttamente a un altro titolare del trattamento dei dati, ma in entrambi i casi solamente se:

  • il trattamento è basato sul consenso o sull’esecuzione di un contratto con la persona; e
  • il trattamento viene effettuato con mezzi automatizzati.

Si prega di notare che è improbabile che eseguiamo un trattamento in veste di titolare all’interno del campo di applicazione di questo diritto, tranne potenzialmente in relazione ai dati trattati per finalità di marketing diretto.

Diritto di opporsi al trattamento dei dati personali

È possibile opporsi a qualsiasi trattamento dei dati personali che lo riguardano che ha come base giuridica i nostri legittimi interessi qualora ritenga che le sue libertà e i suoi diritti fondamentali prevalgano sui nostri legittimi interessi.

Qualora venga presentata opposizione, noi abbiamo l’opportunità di dimostrare che vantiamo legittimi interessi cogenti che prevalgono sui diritti e le libertà della persona.

Diritto di opporsi al modo in cui utilizziamo i dati personali per finalità di marketing diretto

È possibile chiederci di cambiare il modo in cui ci mettiamo in contatto per finalità di marketing.

È possibile chiederci di non trasferire i propri dati personali a soggetti terzi non affiliati per finalità di marketing diretto o per qualsiasi altra finalità.

Diritto di ottenere una copia delle tutele dei dati personali adottate per i trasferimenti al di fuori della propria giurisdizione

È possibile chiederci di ottenere una copia o un riferimento alle tutele di cui è oggetto il trasferimento dei propri dati personali al di fuori dell’Unione Europea.

Possiamo censurare gli accordi di trasferimento dei dati per occultare le condizioni commerciali.

Diritto di proporre reclamo presso l’autorità di vigilanza locale

È garantito il diritto di proporre un reclamo presso l’autorità vigilanza locale in caso di dubbi in merito al modo incui trattiamo i dati personali.

Chiediamo di tentare prima di risolvere qualsiasi problema con noi, pur avendo il diritto di contattare l’autorità di vigilanza in qualsiasi momento.

CONTATTI

Il recapito principale per qualsiasi problema derivante dalla presente informativa sulla privacy è il nostro Global Data Protection Officer, contattabile all’indirizzo: Privacy@IRIworldwide.com

Per qualsiasi domanda, dubbio o reclamo in merito al nostro rispetto della presente informativa e delle norme in materia di protezione dei dati, o per esercitare i propri diritti, per prima cosa contattare noi. Effettueremo accertamenti, tenteremo di risolvere reclami e contenziosi e compiremo ogni sforzo ragionevole per dare seguito al desiderio di far valere i propri diritti il prima possibile e in ogni caso entro i termini stabiliti dalle norme in materia di protezione dei dati.

Come contattare l’autorità di vigilanza sulla protezione dei dati

È garantito il diritto di sporgere reclamo presso l’autorità di vigilanza sulla protezione dei dati (ad es. presso il luogo di residenza, il luogo di lavoro o il luogo della presunta violazione) in qualsiasi momento. Chiediamo di tentare di risolvere qualsiasi problema con noi prima di rivolgersi all’autorità di vigilanza locale.

Eventuali domande riguardanti il contenuto del presente documento possono essere inoltrate ai referenti indicati di seguito. Richieste di informazioni generali possono inoltre essere inviate alla casella di posta dedicata alla privacy all’indirizzo Privacy@IRIworldwide.com

Legal Department Executive Vice President,
General Counsel,
and Chief Privacy Officer		 +1 312-474-8355 General.Counsel@IRIWorldWide.com
Privacy/Data Protection Officer
Chief Privacy Officer and Global Data Protection Officer		 Privacy@IRIworldwide.com
Information Security Office +1 312-474-2865 InfoSecTeam@IRIWorldWide.com

Cookie Policy