POLITICHE GENERALI DI GESTIONE DEI DATI PERSONALI DEL SISTEMA ERION

A. Chi siamo e qual è la ragione del presente documento?

Il Sistema Erion (nel seguito“ERION ” o “Sistema Erion”), composto da un gruppo di soggetti giuridici responsabili dei servizi di conformità normativa e del coordinamento delle attività di gestione dei rifiuti di apparecchiature elettriche ed elettroniche, dei rifiuti di pile e accumulatori e dei rifiuti di imballaggi, considera di fondamentale importanza la tutela dei dati personali dei propri e/o potenziali consorziati, clienti, fornitori ed utenti garantendo che il trattamento dei dati personali, effettuato con qualsiasi modalità, sia automatizzata che manuale, avvenga nel pieno rispetto delle tutele e dei diritti riconosciuti dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito il “Regolamento”) e dalle ulteriori norme applicabili in tema di protezione dei dati personali.

Con il termine dati personali si fa riferimento alla definizione contenuta nell’articolo 4, punto 1) del Regolamento ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (nel seguito i “Dati Personali”).

Il Regolamento prevede che, prima di procedere al trattamento di Dati Personali – con tale termine dovendosi intendere, secondo la relativa definizione contenuta nell’articolo 4, punto 2) del Regolamento, “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (nel seguito il “Trattamento”) – è necessario che la persona a cui tali Dati Personali appartengono sia informata circa i motivi per i quali tali dati sono richiesti ed in che modo verranno utilizzati.

A tal proposito, il presente documento:

  • ha lo scopo di fornire informazioni importanti sui dati personali che vengono trattati dal Sistema Erion durante lo svolgimento delle sue attività, di tipo commerciale o operativo ovvero raccolti visitando il presente Sito Web, gli altri siti di Erion e le relative pagine ufficiali sui social network (collettivamente, i “Siti Web”), come utente registrato o non registrato e descrive le modalità di utilizzo di tali dati;
  • ha carattere integrativo rispetto a qualunque altra informazione eventualmente ricevuta in tali altre circostanze;
  • spiega, in maniera semplice ed intuitiva, tutte le informazioni utili e necessarie affinché il conferimento dei Dati Personali avvenga in modo consapevole ed informato e, in qualsiasi momento, sia possibile richiedere ed ottenere chiarimenti e/o rettifiche.

La presente informativa, quindi, è stata redatta sulla base del principio della trasparenza e di tutti gli elementi richiesti dall’articolo 13 del Regolamento ed è articolata in singole sezioni (nel seguito “Sezioni” e singolarmente “Sezione”) ognuna delle quali tratta uno specifico argomento in modo da rendere la lettura più rapida, agevole e di facile comprensione (nel seguito l’“Informativa”).

La stessa potrà essere aggiornata o modificata in ogni momento.

B. Chi tratterà i Dati Personali?

I soggetti che afferiscono a Erion e che tratteranno i Dati Personali per le finalità di cui alla Sezione C della presente Informativa sono riportati nel seguente elenco, con i relativi siti web:

Ciascuno di summenzionati soggetti ricopre, nell’ambito delle proprie attività e funzioni, il ruolo di titolare del trattamento secondo la relativa definizione contenuta nell’articolo 4 al punto 7) del Regolamento, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (nel seguito ciascun soggetto è pertanto definito come “Titolare del Trattamento”). Ogni Titolare del Trattamento rispetta la presente policy Erion.

Tra la società Erion Compliance Organization S.c.a r.l. e ciascuno degli altri soggetti che afferiscono a Erion (Erion WEEE, Erion Professional, Erion Energy, Erion Packaging, Erion Care) esiste un accordo di contitolarità, ai sensi dell’art. 26 del Regolamento, per alcuni trattamenti legati a finalità di marketing diretto (intendendosi con tale espressione tutte le attività compiute dai Contitolari per promuovere prodotti, servizi, iniziative, erogate dai Contitolari del Trattamento sulla base del loro interesse legittimo a perseguire il loro oggetto sociale).

I Contitolari del trattamento hanno stipulato un accordo di contitolarità con il quale si sono impegnati a:

  • determinare congiuntamente le modalità di trattamento dei dati personali degli interessati per le finalità di marketing e profilazione;
  • determinare congiuntamente, in modo chiaro e trasparente, le procedure per fornire all’interessato un tempestivo riscontro qualora lo stesso desiderasse esercitare i propri diritti, così come previsti dagli articoli 15, 16, 17, 18 e 21 del Regolamento nonché nei casi di portabilità dei Dati Personali previsti dall’articolo 20 del Regolamento come meglio descritti di seguito;
  • definire congiuntamente le informative nelle parti di interesse comune indicando tutte le informazioni previste dal Regolamento.

C. Per quali finalità saranno trattati Dati Personali e su quali basi giuridiche?

Il Titolare del Trattamento ha necessità di trattare, nell’ambito delle sue attività, diversi tipi di Dati Personali, attinenti, in particolare, le seguenti principali categorie di interessanti:

  • Dipendenti o collaboratori, per scopi legati alle risorse umane, alle elaborazioni delle buste paga e in generale al contratto di lavoro;
  • Candidati per posizioni lavorative, allo scopo di valutarne l’idoneità e rispondere alle loro candidature;
  • Consulenti o liberi professionisti o specialisti di settore;
  • Membri dei propri organi sociali e dell’Organismo di Vigilanza;
  • Fornitori, per la gestione dei loro rapporti;
  • Clienti o consorziati, per la ricezione dei pagamenti e la fornitura dei servizi;
  • Persone che si mettono in contatto con il Titolare allo scopo di rispondere a richieste o per formulare domande (ad esempio giornalisti);
  • Persone che partecipano ad eventi organizzati dal Titolare o che accedono alla sua sede per svariate necessità;
  • Visitatori dei siti del Sistema Erion o delle relative pagine ufficiali sui social network, previo consenso degli stessi, allo scopo di inviare loro la newsletter o, fermo restando il nostro legittimo interesse, allo scopo di prevenire le frodi, effettuare analisi web e sviluppare i nostri contenuti.

A seconda delle categorie di interessanti, il trattamento potrà avvenire per le seguenti finalità:

  1. finalità generali legate alle risorse umane e alla gestione del rapporto di lavoro in tutti i suoi aspetti contrattuali, previdenziali, assicurativi e fiscali;
  2. finalità di reclutamento, ad esempio per verificare le informazioni fornite delle persone durante il processo di reclutamento o per ottenere referenze e prove delle qualifiche, tra cui la raccolta di informazioni sul passaporto e sui visti applicabili;
  3. finalità di gestione del Titolare e della sua operatività aziendale e/o dei servizi resi;
  4. finalità di conformità normativa;
  5. finalità di marketing, pubblicità e pubbliche relazioni;
  6. finalità di sicurezza della attività del Titolare;
  7. finalità di conformità alla legge applicabile, ad esempio per rispettare gli obblighi come datore di lavoro ai sensi della legge applicabile o in risposta a una richiesta da parte di un tribunale o di un organismo di regolamentazione, laddove tale richiesta venga effettuata nei termini di legge;
  8. far valere o difendere un diritto in sede giudiziaria, anche da parte di un terzo, a condizione che, qualora i dati siano idonei a rivelare lo stato di salute dell’interessato, il diritto da far valere sia di rango pari o superiore al diritto alla riservatezza dell’interessato stesso.

I Dati personali vengono elaborati in relazione alle seguenti basi giuridiche:

  • ex art. 6(1)(b) del Regolamento (“il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”), ad esempio nell’ambito dei contratti di lavoro con i dipendenti o nei contratti di acquisto o fornitura;
  • ex art. 6(1)(f) del Regolamento (“il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento …”), ad esempio per svolgere attività di marketing diretto, per promuovere i servizi di Erion o per monitorare il traffico sul Sito Web;
  • ex art. l’art. 6(1)(c) del Regolamento (“il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento …”), ad esempio in tutti i casi in cui Erion deve adempiere ad un obbligo legale;
  • ex art. 6(1)(a) del Regolamento (“l’interessato ha espresso il consenso al trattamento…”), in tutti i casi in cui alla persona viene chiesto di manifestare un consenso implicito, come per ricevere e-mail promozionali o per consentire di essere ripresa per finalità promozionali di Erion.

Erion potrebbe trattare anche dati di natura sensibile. Ciò accadrà unicamente per assolvere gli obblighi ed esercitare i diritti del Titolare del trattamento e/o Datore di Lavoro, in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, oltre che per finalità di medicina preventiva o di medicina del lavoro, o, infine, per consentire a Erion di accertare, esercitare o difendere un diritto in sede giudiziaria, in conformità a quanto previsto dall’art. 9, lettere b), c), f) e h) del Regolamento.

Potranno inoltre essere trattati dati personali, raccolti presso terzi, per le medesime finalità sopra indicate, nei limiti consentiti dalla legge applicabile e dal Regolamento.

D. A quali soggetti potranno essere comunicati i Dati Personali degli interessati?

I Dati Personali potranno essere comunicati a specifici soggetti considerati destinatari di tali Dati Personali. Infatti, l’articolo 4 al punto 9) del Regolamento, definisce come destinatario di un Dato Personale “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi” (nel seguito i “Destinatari”).

In tale ottica, al fine di svolgere correttamente tutte le attività di Trattamento necessarie a perseguire le finalità di cui alla presente Informativa, i seguenti Destinatari potranno trovarsi nella condizione di trattare i Dati Personali:

  • soggetti terzi che svolgono parte delle attività di Trattamento e/o attività connesse e strumentali alle stesse per conto del Titolare del Trattamento. Tali soggetti sono stati nominati responsabili del trattamento, dovendosi intendere singolarmente con tale locuzione, a norma dell’articolo 4 al punto 8) del Regolamento, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta Dati Personali per conto del Titolare del Trattamento” (nel seguito il “Responsabile del Trattamento”);
  • singoli individui, dipendenti e/o collaboratori del Titolare del Trattamento, a cui sono state affidate specifiche e/o più attività di Trattamento sui Dati Personali. A tali individui sono state impartite specifiche istruzioni in tema di sicurezza e corretto utilizzo dei Dati Personali e vengono definiti, a norma dell’articolo 4 al punto 10) del Regolamento, “persone autorizzate al trattamento dei Dati Personali sotto l’autorità diretta del Titolare o del Responsabile del Trattamento” (nel seguito le “Persone Autorizzate”).
  • Ove richiesto per legge o per prevenire o reprimere la commissione di un reato i Dati Personali potranno essere comunicati ad enti pubblici o all’autorità giudiziaria senza che questi vengano definiti come Destinatari. Infatti, a norma dell’articolo 4 al punto 9), del Regolamento, “le autorità pubbliche che possono ricevere comunicazione di Dati Personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate Destinatari”.

E. Per quanto tempo saranno trattati i Dati Personali trattati?

Uno dei principi applicabili al Trattamento dei Dati Personali concerne la limitazione del periodo di conservazione, disciplinata all’articolo 5, comma 1, punto e) del Regolamento che recita “i Dati Personali sono conservati in una forma che consenta l’identificazione degli Interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i Dati Personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, comma 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’Interessato”.

Alla luce di tale principio, i Dati Personali degli interessati saranno trattati dal Titolare del Trattamento limitatamente a quanto necessario per il perseguimento delle finalità di cui alla Sezione C della presente Informativa e comunque sino a revoca del consenso prestato con la sottoscrizione della liberatoria. In particolare, i Dati Personali saranno trattati per un periodo di tempo pari al minimo necessario, come indicato dal Considerando 39 del Regolamento, ossia fino alla cessazione dei rapporti contrattuali in essere tra l’interessato ed il Titolare del Trattamento fatto salvo un ulteriore periodo di conservazione che potrà essere imposto da norme di legge come anche previsto dal Considerando 65 del Regolamento.

F. Quali sono i diritti degli interessati?

Come previsto dall’articolo 15 del Regolamento, gli interessati potranno accedere ai rispettivi Dati Personali, chiederne la rettifica e l’aggiornamento, se incompleti o erronei, chiederne la cancellazione qualora la raccolta sia avvenuta in violazione di una legge o regolamento, nonché opporsi al Trattamento per motivi legittimi e specifici.

In particolare, riportiamo di seguito tutti i diritti che gli interessati potranno esercitare, in qualsiasi momento, nei confronti del Titolare del Trattamento:

  • Diritto di accesso: consiste nel diritto, a norma dell’articolo 15, comma 1 del Regolamento, di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un Trattamento dei Dati Personali e in tal caso, di ottenere l’accesso a tali Dati Personali ed alle seguenti informazioni: a) le finalità del Trattamento; b) le categorie di Dati Personali in questione; c) i Destinatari o le categorie di Destinatari a cui i Dati Personali sono stati o saranno comunicati, in particolare se Destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei Dati Personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al Titolare del Trattamento la rettifica o la cancellazione dei Dati Personali o la limitazione del Trattamento dei Dati Personali che lo riguardano o di opporsi al loro Trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i Dati Personali non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, commi 1 e 4, del Regolamento e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale Trattamento per l’interessato.
  • Diritto di rettifica: consiste nel diritto di ottenere, a norma dell’articolo 16 del Regolamento, la rettifica dei Dati Personali che risultino inesatti. Tenuto conto delle finalità del Trattamento, inoltre, l’interessato può ottenere l’integrazione dei Dati Personali che risultino incompleti, anche fornendo una dichiarazione integrativa.
  • Diritto alla cancellazione: consiste nel diritto di ottenere, a norma dell’articolo 17, comma 1 del Regolamento, la cancellazione dei Dati Personali senza ingiustificato ritardo ed il Titolare del Trattamento avrà l’obbligo di cancellare i Dati Personali, qualora sussista anche solo uno dei seguenti motivi: a) i Dati Personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato ha provveduto a revocare il consenso su cui si basa il Trattamento dei Dati Personali e non sussiste altro fondamento giuridico per il loro Trattamento; c) l’interessato si è opposto al Trattamento ai sensi dell’articolo 21, comma 1 o 2 del Regolamento e non sussiste più alcun motivo legittimo prevalente per procedere al Trattamento dei Dati Personali; d) i Dati Personali sono stati trattati illecitamente; e) risulta necessario cancellare i Dati Personali per adempiere ad un obbligo di legge previsto da una norma comunitaria o di diritto interno.

In alcuni casi, come previsto dall’articolo 17, comma 3 del Regolamento, il Titolare del Trattamento è legittimato a non provvedere alla cancellazione dei Dati Personali qualora il loro Trattamento sia necessario, ad esempio, per l’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo di legge, per motivi di interesse pubblico, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

  • Diritto di limitazione del trattamento: consiste nel diritto di ottenere la limitazione del Trattamento, a norma dell’articolo 18 del Regolamento, nel caso in cui ricorra una delle seguenti ipotesi: a) l’interessato ha contestato l’esattezza dei Dati Personali (la limitazione si protrarrà per il periodo necessario al Titolare del Trattamento per verificare l’esattezza di tali Dati Personali); b) il Trattamento è illecito ma l’interessato si è opposto alla cancellazione dei Dati Personali chiedendone, invece, che ne sia limitato l’utilizzo; c) benché il Titolare del Trattamento non ne abbia più bisogno ai fini del Trattamento, i Dati Personali servono per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l’interessato si è opposto al Trattamento ai sensi dell’articolo 21, comma 1, del Regolamento ed è in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del Trattamento rispetto ai propri.

In caso di limitazione del Trattamento, i Dati Personali saranno trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante. L’interessato verrà informato, in ogni caso, prima che tale limitazione venga revocata.

  • Diritto alla portabilità dei dati: è il diritto di chiedere e ricevere, in qualsiasi momento, a norma dell’articolo 20, comma 1 del Regolamento, tutti i Dati Personali trattati dal Titolare del Trattamento in un formato strutturato, di uso comune e leggibile oppure richiederne la trasmissione ad altro titolare del trattamento senza In questo caso, sarà cura dell’interessato fornire tutti gli estremi esatti del nuovo titolare del trattamento a cui intende trasferire i Dati Personali fornendo autorizzazione scritta.
  • Diritto di opposizione: a norma dell’articolo 21, comma 2 del Regolamento e come anche ribadito dal Considerando 70, l’interessato potrà opporsi, in qualsiasi momento, al Trattamento dei Dati Personali qualora questi vengano trattati per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
  • Diritto di proporre un reclamo all’autorità di controllo: fatti salvi i diritti di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora l’interessato ritenesse che il Trattamento dei Dati Personali condotto dal Titolare del Trattamento avvenga in violazione del Regolamento e/o della normativa applicabile potrà proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali competente.

Per esercitare tutti i diritti come sopra identificati, basterà contattare direttamente il Titolare del Trattamento cui si riferisce il trattamento specifico ovvero:

  • inviare una e-mail al Sistema Erion alla casella di posta elettronica privacy@erion.it;
  • telefonare al numero telefonico +39 02-50020350.

G. Dove saranno trattati i Dati Personali degli interessati?

I Dati Personali saranno trattati dal Titolare del Trattamento prevalentemente all’interno del territorio dell’Unione Europea.

Qualora per questioni di natura tecnica e/o operativa si renda necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, e tali soggetti saranno nominati Responsabili del Trattamento ai sensi e per gli effetti di cui all’articolo 28 del Regolamento ed il trasferimento di Dati Personali a tali soggetti, limitatamente allo svolgimento di specifiche attività di Trattamento, sarà regolato in conformità a quanto previsto dal capo V del Regolamento. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei Dati Personali basando tale trasferimento: (a) su decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea; (b) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’articolo 46 del Regolamento; (c) sull’adozione di norme vincolanti d’impresa, c.d. corporate binding rules.

In ogni caso gli interessati potranno chiedere maggiori dettagli a ciascun Titolare del Trattamento qualora i Dati Personali siano stati trattati al di fuori dell’Unione Europea richiedendo evidenza delle specifiche garanzie adottate.

Grazie per l’attenzione!

Ultima modifica 22/03/2023