Informativa sul trattamento dei dati personali ai sensi degli articoli 13, 14 e 26 del Regolamento UE 2016/679 (GDPR)

1. Chi tratta i dati personali?

Titolare del trattamento
GS1 Italy, con sede in Via Pietro Paleocapa, 7, 20121 Milano (MI), C.F. 80140330152, rappresenta in Italia GS1, organismo internazionale che amministra e coordina la corretta implementazione del sistema “GS1” per la codifica dei prodotti nel settore del largo consumo, nonché il sistema “ECR” relativo all’interfacciamento strategico ed operativo tra Industria e Distribuzione e tra questi soggetti e il consumatore finale. 
Nello svolgimento della propria attività, GS1 Italy raccoglie e tratta i tuoi dati personali, in qualità di Titolare del trattamento, e, in tale veste, garantisce l’applicazione di misure organizzative e tecniche adeguate alla protezione dei dati in ottemperanza a quanto previsto dalla normativa vigente. 
In relazione ad alcuni trattamenti, come di seguito precisato, GS1 Italy può trattare i dati personali in contitolarità con GS1 Italy Servizi S.r.l. a socio unico (di seguito “Contitolare” e, congiuntamente con GS1 Italy, “Contitolari”), con sede in Via Pietro Paleocapa, 7, 20121 Milano (MI), C.F. 06166030962, società di cui GS1 Italy è socio unico e che condivide con quest’ultima scopi obiettivi e che offre alle imprese tecniche, soluzioni operative, standard e strumenti atti ad ottimizzare l’efficienza dei processi relativi al sistema produttivo e distributivo. GS1 Italy Servizi S.r.l. è statutariamente deputata alla prestazione, soprattutto a favore di clienti e utenti del sistema GS1, di servizi volti a facilitare l’implementazione di regole, standard e specifiche elaborate in seno a GS1 Italy stessa. 
Stanti le ragioni di sinergia e di condivisione di risorse, i Contitolari possono trattare i dati personali ai sensi e per gli effetti di cui all’articolo 26 del GDPR, allo scopo di sviluppare strategie commerciali e di marketing con iniziative, anche a carattere promozionale, volte a sviluppare e/o consolidare le relazioni con i propri associati, clienti e, in generale, utenti, e a migliorare la conoscenza dei propri rispettivi servizi e prodotti.

Unicamente con riferimento ad alcuni trattamenti di dati personali che vengono raccolti - nella fase di adesione al sistema GS1 delle aziende - direttamente da A.D.M. - Associazione Distribuzione Moderna, con sede in Via Pietro Paleocapa 7, 20121 Milano (MI), Codice Fiscale 97364340154, e/o da I.B.C. - Associazione Industrie Beni di Consumo, con sede in Via Gabrio Serbelloni 5, 20122 Milano (MI), Codice Fiscale 97364440152, GS1 Italy può inoltre trattare questi dati personali in contitolarità con le stesse A.D.M. e I.B.C. (nonché con GS1 Italy Servizi S.r.l.) ai sensi e per gli effetti di cui all’articolo 26 GDPR, stanti comprovate ragioni di sinergia e di condivisione di risorse per le attività prodromiche all’instaurazione del rapporto contrattuale o associativo e per la successiva esecuzione e gestione di tale rapporto ed a quelle strumentali e funzionali al suo svolgimento, per l’adempimento di ogni altro obbligo discendente dal contratto nonché allo scopo di poter sviluppare strategie commerciali e di marketing condivise, attraverso lo svolgimento di attività ed iniziative, anche a carattere promozionale, volte a sviluppare e/o consolidare le relazioni con i propri associati, clienti e, in generale, utenti, effettivi e potenziali, e a migliorare la conoscenza e la diffusione dei propri rispettivi servizi e prodotti, anche in una prospettiva di completezza del servizio e di ampliamento dell’offerta dei servizi per i destinatari finali. 

2. Da chi e quali dati personali vengono raccolti?

GS1 Italy raccoglie e tratta dati personali quali, a titolo esemplificativo e non esaustivo, ragione sociale, nome, cognome, Codice Fiscale / Partita IVA, email, numero di telefono fisso e/o mobile aziendale/professionale, azienda presso la quale lavori e ruolo ricoperto, indirizzo IP utilizzato nell’eventuale navigazione dei siti web gestiti e riferibili alla stessa o al Contitolare nonché i dati relativi all’attività commerciale e/o professionale di tale azienda e i relativi recapiti (PEC, indirizzo della sede), coordinate bancarie (per il pagamento della quota associativa e/o di altri contributi, ove previsti). In occasione di eventuali eventi o convegni potranno, inoltre, essere raccolte immagini, foto e/o video, che ti ritraggono. Rispetto al trattamento di tali dati potrai ricevere una integrazione alla presente informativa con eventuale richiesta di raccolta di un consenso ad hoc al trattamento dei dati.

In aggiunta a quanto previsto dalla Cookie Policy del sito del Titolare, tramite i siti web gestiti e riferibili al Titolare o al Contitolare, l’utilizzo delle relative funzionalità e/o la compilazione di moduli elettronici o la fruizione di servizi ivi previsti possono essere raccolti e trattati anche i seguenti dati: 

  • Dati di navigazione: sono a titolo esemplificativo i dati che il server registra automaticamente ad ogni visita del sito, quali gli indirizzi IP dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo ed all’ambiente informatico dell’utente. Rientrano in questa categoria anche i “Social Button” che consentono esclusivamente il collegamento e la visualizzazione dei profili social della società (creati su social network quali, a mero titolo di esempio, Facebook, Instagram, YouTube). Questi “pulsanti” ti consentono, quando stai navigando nel sito, esclusivamente di raggiungere con un “click” i social network riferibili al Titolare o al Contitolare. Le interazioni che avvengono all’interno del social network sono in ogni caso soggette alle regole ed alle impostazioni privacy dei rispettivi social network.
  • Dati personali forniti volontariamente quando  utilizzi o visiti il sito: si tratta di dati che vengono forniti dagli utenti tramite compilazione di form elettronici per l’invio di richieste di informazioni o di contatto o, ove previsto, ai fini della creazione di un account sui siti e/o per la richiesta, l’ordine e la fruizione dei servizi ivi messi a disposizione. Rientrano in questa categoria, a titolo esemplificativo: nome e cognome, email aziendale e numero di telefono, denominazione dell’azienda e ruolo ricoperto all’interno della stessa, ulteriori dati e informazioni eventualmente contenute in messaggi inviati ai recapiti indicati sui siti o tramite la compilazione di eventuali moduli o form elettronici ivi pubblicati.

3. Per quali finalità e su quali basi giuridiche sono trattati i dati personali?

I dati personali sono trattati per le seguenti finalità:
(i)    Le attività preparatorie all’instaurazione del rapporto contrattuale / associativo con GS1 Italy e/o GS1 Italy Servizi S.r.l. (nonché con A.D.M. o I.B.C.) e per la successiva esecuzione e gestione di tale rapporto ed a quelle strumentali e funzionali al suo svolgimento, per l’adempimento di ogni altro obbligo discendente dal contratto, per la gestione dei siti web riferibili al Titolare o al Contitolare e dei servizi tramite gli stessi resi nonché per dar seguito alla richiesta di ricevere informazioni (articolo 6, lett. (b), GDPR). 
(ii)    L’adempimento di obblighi di legge (articolo 6, lett. (c), GDPR). Il trattamento dei dati può risultare necessario o necessitato dall’adempimento di obblighi derivanti dalla legge o da regolamenti, nazionali e/o comunitari, in vigore ed applicabili al Titolare, nonché da disposizioni impartite da autorità ed enti competenti.
(iii)    Il perseguimento di un legittimo interesse del Titolare (articolo 6, lett. (f), GDPR). Sussiste un legittimo interesse di GS1 Italy a trattare i dati personali, nel contesto delle relazioni e dei rapporti con gli interessati, per la difesa in giudizio di un diritto od interesse dinanzi a qualunque autorità od ente competente, ivi espressamente incluso a fini di recupero del credito, per procedere - anche a seguito di un’attività di “profilazione” in parte automatizzata, ma non intrusiva, proporzionata e che non comporta conseguenze negative o significative per te in qualità di persona interessata perché svolta a fini statistici e che principalmente non riguarda dati personali - all’offerta diretta di prodotti o servizi analoghi a quelli oggetto di precedente acquisto, limitatamente alle coordinate di posta elettronica fornite nel contesto del rapporto contrattuale e salva opposizione a tale trattamento (c.d. soft spamming).
 
Il trattamento dei dati personali può avvenire, in forza di un legittimo interesse del Titolare o del Contitolare anche per lo svolgimento di attività promozionali e, segnatamente, per:
a.    La trasmissione di inviti e la successiva gestione di eventi, incontri, gruppi di lavoro (quale, a titolo esemplificativo, la partecipazione all’area di lavoro “ECR Italia”), confronto e cooperazione, seminari, tavole rotonde, convegni (anche volti alla formazione) di tuo interesse, organizzati e gestiti dal Titolare e/o dal Contitolare o da soggetti terzi, autonomamente o in collaborazione con soggetti terzi di volta in volta identificati negli inviti (brochures e/o presentazioni) che saranno trasmessi o consegnati per raccogliere la sua eventuale adesione (di seguito “Evento”/”Eventi”). 
b.    L’invito a partecipare a survey di varia natura, la realizzazione e l’invio di newsletter, pubblicazioni, studi, risultati di survey, analisi di mercato o di specifici settori industriali o commerciali, nonché ogni altra tipologia di materiale informativo, di tuo interesse, redatto, edito e/o pubblicato dal Titolare e/o dal Contitolare, autonomamente o in collaborazione con soggetti terzi (di seguito “Pubblicazioni”).
c.    Gestire i rapporti e le interazioni intrattenuti con i referenti o le “persone di contatto” di associati, clienti, effettivi e potenziali, e di eventuali ulteriori soggetti con i quali GS1 Italy e/o GS1 Italy Servizi S.r.l. abbiano instaurato relazioni associative o contrattuali / commerciali, al fine di comprenderne al meglio le esigenze ed aspettative, migliorare i propri servizi, svilupparne di nuovi. Per il raggiungimento di questi scopi, i dati personali delle “persone di contatto”, inclusi i tuoi, saranno inseriti in appositi data base in titolarità e/o nella disponibilità dei Contitolari. 
        Le iniziative che precedono potranno essere veicolate ed attuate a mezzo email oppure telefonicamente.

In relazione a quanto precede, ricordiamo che puoi, in qualsiasi momento, opporti alle comunicazioni commerciali ricevute via email cliccando sull’apposito link presente in calce alle email stesse nonché inviando una comunicazione secondo le modalità di cui al successivo paragrafo “Quali sono i diritti previsti dal GDPR?” nonché revocare il consenso eventualmente prestato, facilmente, liberamente e gratuitamente inviando una comunicazione secondo le modalità di cui al successivo paragrafo “Quali sono i diritti previsti dal GDPR?”.

4. Che cosa succede in caso di mancato conferimento dei dati personali?

Il conferimento dei dati personali non è obbligatorio, ma necessario per consentire la gestione del rapporto contrattuale e l’adempimento di eventuali obblighi di legge, con la conseguenza che il mancato, parziale o inesatto conferimento dei dati in questione comporterà l’impossibilità, a seconda dei casi, di adempiere il rapporto contrattuale stesso e di dare esecuzione alle connesse prestazioni e/o di dare corso ed evadere specifiche richieste dell’interessato. Il mancato conferimento potrebbe pregiudicare la possibilità di interagire con il Titolare per scopi associativi o contrattuali.

5. Chi può avere acesso ai dati personali?

I dati personali da te forniti potranno essere resi accessibili a:

  • Dipendenti, collaboratori e consulenti del Titolare e del Contitolare in qualità di soggetti autorizzati al trattamento dei dati ai sensi dell’articolo 29, GDPR. 
  • Autorità giudiziarie o di vigilanza, amministrazioni, enti ed organismi pubblici (nazionali ed esteri) in adempimento di obblighi normativi, che li tratteranno quali titolari autonomi;
  • Professionisti e consulenti, incaricati dal Titolare e/o dal Contitolare di svolgere attività correlate alla gestione dell’organizzazione e/o alla gestione di incarichi professionali o alla eventuale difesa in giudizio, tra i quali, a mero titolo di esempio, società di revisione e certificazione del bilancio, società di rilevazione e certificazione della qualità, istituti bancari per la gestione dei pagamenti; organismi di vigilanza e di controllo; consulenti in materia contabile e fiscale, consulenti legali, società di recupero del credito e di consulenza contrattuale, società terze di assistenza informatica e di elaborazione dati (ad esempio, web hosting, data entry, gestione e manutenzione infrastrutture e servizi informatici, ecc.), società di postalizzazione, in qualità, a seconda dei casi, di soggetti autorizzati, responsabili o autonomi titolari del trattamento.
  • GS1 AISBL (Avenue Louise 326, b.10, 1050 Bruxelles, Belgio), soggetto di diritto belga ed organizzazione leader a livello mondiale nella definizione di standard per la supply chain, rappresentata in Italia da GS1 Italy, quale titolare autonomo del trattamento nonché al network di GS1 Member Organisations nazionali (come meglio individuato al seguente sito https://www.gs1.org/contact/overview/alphabetical) per la pubblicazione e la condivisione dei dati nei global registries (GS1 Registry Platform) dove gli stessi sono archiviati. Tali enti sono tutti sottoposti ai medesimi obblighi di conformità in materia privacy.
  • Eventuali partner connessi agli eventi o alle pubblicazioni nonché partner di progetti riferibili a GS1 Italy e/o a GS1 Italy Servizi S.r.l. o partecipanti ad iniziative gestite e coordinate dalle stesse (ad esempio il Solution Partner Program o simili) nonché a terzi che svolgono attività in outsourcing a beneficio del Titolare e/o del Contitolare, per l’esecuzione di attività e servizi funzionali all’organizzazione e/o alla gestione dell’evento o alla trasmissione delle pubblicazioni, in qualità di responsabili del trattamento.

Con riferimento alle finalità sopra descritte, alcuni dati personali potrebbero essere resi accessibili tramite il GS1 Registry Platform e nell’ambito dei relativi servizi.
Qualunque trasferimento internazionale dei dati verso paesi non appartenenti all’Unione Europea e/o allo Spazio Economico Europeo (“SEE”), avverrà unicamente nel rispetto dei limiti e delle condizioni di cui al GDPR e, dunque, unicamente verso paesi che garantiscono un livello di protezione dei dati personali adeguato, nei casi in cui tale adeguatezza sia stabilita da una decisione della Commissione europea oppure garantita sulla base di strumenti contrattuali che assicurino l’implementazione di misure di sicurezza tecniche e organizzative idonee alla tutela dei dati personali. In ogni caso, i dati non sono né saranno oggetto di diffusione, fatta salva l'ipotesi in cui la diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.

6. Con quali modalità sono trattati i dati personali?

Il trattamento dei dati personali avviene attraverso mezzi e strumenti sia elettronici sia cartacei messi a disposizione dei soggetti che agiscono sotto l’autorità del Titolare e, a seconda dei casi, del Contitolare e a tale scopo autorizzati e formati. Gli archivi cartacei ed elettronici vengono protetti mediante misure di sicurezza adeguate a contrastare i rischi di violazione.
In particolare, i dati personali sono trattati anche attraverso il GS1 Registry Platform che permette l’accesso a tali dati alle organizzazioni GS1.

7. Per quanto tempo vengono conservati i dati?

I dati personali trattati dal Titolare vengono conservati per il tempo necessario al compimento delle attività legate alla gestione del rapporto associativo o del contratto e per i connessi adempimenti di legge e per il periodo successivo alla relativa cessazione per l’espletamento di tutti gli eventuali adempimenti che si rivelino necessari alla corretta esecuzione del rapporto contrattuale o commerciale. I dati personali trattati sulla base del consenso vengono, invece, conservati fino alla revoca di quest’ultimo.

Per i trattamenti fondati sul legittimo interesse del Titolare (o del Contitolare) i dati saranno conservati sino a quando sussista tale interesse e comunque a condizione che vi sia una relazione attiva con il soggetto interessato, senza pregiudizio per quest’ultimo di opporsi in ogni momento a simili trattamenti.
Esaurite le finalità che legittimano la conservazione dei dati personali, tali dati saranno cancellati.

8. Quali sono i diritti previsti dal GDPR?

In conformità a quanto previsto dal GDPR, in qualità di persona interessata del trattamento hai diritto di:

  • Accesso, ossia di ottenere la conferma in merito all’esistenza di un trattamento dei tuoi dati personali e di accedere ad informazioni specifiche sul trattamento, quali: le finalità, le categorie di dati oggetto di trattamento, l’esistenza degli altri diritti di seguito indicati. 
  • Rettifica, ossia di ottenere la rettifica/integrazione dei dati personali che ti riguardano.
  • Cancellazione, ossia ottenere la cancellazione dei dati se (i) tali dati non sono più necessari per le finalità per cui sono stati raccolti, (ii) ti opponi al trattamento dei tuoi dati e non sussiste altro motivo prevalente per il trattamento, (iii) i dati devono essere cancellati in forza di un obbligo di legge. Tale diritto non si applica se il trattamento è necessario per l’adempimento di un obbligo di legge o per l’accertamento, l’esercizio in giudizio di un diritto.
  • Limitazione, ossia di ottenere la limitazione del trattamento dei dati personali, il che significa che il trattamento dei dati sarà sospeso per un certo periodo di tempo. 
  • Portabilità, ossia in caso di trattamento automatizzato basato sul consenso o sull’esecuzione di obblighi contrattuali, hai diritto di ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmetterli ad altro titolare del trattamento.
  • Opposizione, ossia di opporti al trattamento basato sul legittimo interesse, salva la dimostrazione da parte del Titolare o del Contitolare di motivi legittimi per procedere al trattamento e che prevalgono sui tuoi diritti  in qualità di persona interessata. 
  • Proporre reclamo all’Autorità di Controllo competente (https://www.garanteprivacy.it/) nei casi di cui all’articolo 77 del GDPR.

Puoi esercitare tutti i diritti elencati qui  sopra, oppure chiedere chiarimenti in tema di valutazione del legittimo interesse o dell’attività di profilazione, con richiesta rivolta senza formalità al Titolare scrivendo agli indirizzi sopra indicati o inviando una email a privacy@gs1it.org. Il Titolare ti risponderà ragionevolmente entro cinque giorni lavorativi.

La versione aggiornata della presente informativa è riportata alla pagina web: https://gs1it.org/privacy-policy/
Eventuali modifiche o aggiornamenti saranno portati alla tua conoscenza tramite pubblicazione nella medesima pagina web del Sito e saranno applicabili e vincolanti a decorrere da tale momento.