Informativa Privacy Generale
Ex art.13 e 14 Regolamento UE n.2016/679
Il presente documento fornisce un insieme di informazioni a tutti coloro che, intrattenendo rapporti commerciali con Revisiolab S.r.l., rilasciano a quest’ultimo propri dati personali. A tal riguardo si desidera informare gli utenti che il “Regolamento UE n.2016/679 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati” (di seguito “RGPD/GDPR”) prevede la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale come un diritto tutelato dall’ordinamento europeo.
Titolare del trattamento
Il Titolare del trattamento dei dati personali oggetto della presente informativa è G.P.B. S.r.l. (di seguito anche “GPB” o “Titolare del trattamento”), con sede legale Via Della Repubblica 34/36, CAP 20090 Trezzano Sul Naviglio (AT) – C.F. e P.IVA 04584790960, PEC: gpb@certopec.it, nella persona del suo Legale Rappresentante pro tempore.
Ai sensi dell’art. 13 e 14 RGPD/GDPR, si informano i clienti e i fornitori che i trattamenti di dati personali effettuati da Revisiolab nell’esercizio delle attività inerenti alla propria offerta di servizi saranno improntati ai principi di correttezza, liceità e trasparenza, tutelando la riservatezza e i diritti degli interessati. Il trattamento dei dati personali che Revisiolab intende così effettuare ha le seguenti finalità:
Finalità del trattamento
1) Gestione commerciale ed Esecuzione del contratto d’opera di consulenza e supporto in materia societaria, contabile, fiscale e tributaria (scambio di informazioni con i clienti potenziali e gestione di tutti gli aspetti commerciali del rapporto contrattuale con i clienti effettivi);
Il trattamento dei dai personali di clienti potenziali ed effettivi è prima di tutto rivolto al popolamento della banca dati clienti di GPB mediante la creazione delle anagrafiche dei clienti potenziali ed effettivi. Esso è inoltre rivolto alla gestione delle comunicazioni con i soggetti interessati ad avere informazioni tramite i canali di contatto resi disponibili dal Titolare anche attraverso il sito https://gpbsrl.com/; è inoltre finalizzato alla preparazione di preventivi, alla stipula dell’incarico/mandato professionale e alla sua esecuzione, rinnovo, aggiornamento e conclusione; è rivolto infine alla gestione dell’archivio commerciale dove sono conservati tutti i documenti inerenti al rapporto commerciale in essere con i clienti.
2) Gestione degli acquisti (scambio di informazioni con i fornitori potenziali e gestione di tutti gli aspetti commerciali del rapporto contrattuale con i fornitori effettivi)
Il trattamento dei dai personali di fornitori potenziali ed effettivi è prima di tutto rivolto al popolamento della banca dati fornitori di GPB attraverso la creazione delle anagrafiche dei fornitori potenziali ed effettivi. Esso è inoltre rivolto alla gestione delle comunicazioni con gli utenti interessati ad avere/dare informazioni tramite i canali di contatto resi disponibili dal Titolare; il trattamento è altresì finalizzato alla ricezione di preventivi, all’emissione di ordini e conferme d’ordine d’acquisto, alla stipula di contratti di fornitura e loro successiva esecuzione ed evasione. Serve infine per la gestione dell’archivio fornitori dove sono conservati tutti i documenti inerenti il rapporto commerciale in essere con i fornitori.
3) Rispetto degli obblighi derivanti dall’implementazione di specifici sistemi di gestione (“c.d. compliance normativa”);
4) Gestione delle attività amministrative e contabili legate agli acquisti e alle vendite;
Il trattamento ha per oggetto le attività di gestione delle fatture, dei documenti commerciali riferibili ai servizi resi e agli acquisti, dei rapporti con gli istituti bancari e assicurativi, della prima nota di cassa e in generale di cespiti, assicurazioni, bilanci, automezzi, tesoreria, gestione della tempistica dei pagamenti ai fornitori e degli incassi dai clienti. La trasmissione dei documenti contabili e fiscali agli specialisti del settore come i commercialisti è organizzata secondo le forme previste dalla legge.
5) Sicurezza dei locali aziendali mediante l’installazione di un sistema di videosorveglianza.
6) Difesa dei diritti della società, in sede contenziosa, anche amministrativa e penale, precontenziosa e conciliativa
Base giuridica
In ottemperanza a quanto stabilito dagli art.6.1 e 9.2 RGPD/GDPR, il fondamento giuridico per il trattamento lecito dei dati personali raccolti dal Titolare è rappresentato:
- dall’esecuzione del rapporto contrattuale con clienti e fornitori [art.6.1 lett. b) RGPD/GDPR];
- dal rispetto di obblighi di legge stabiliti a carico del Titolare del trattamento in materia contabile, fiscale bancaria, assicurativa e in tema di compliance [art.6.1 lett. c) ed e); art.10 RGPD/GDPR];
- dal consenso libero, espresso e inequivoco manifestato dall’utente con azione positiva mediante l’utilizzo degli strumenti di contatto resi disponibili attraverso il sito web o Internet [art.6.1. lett. a) RGPD/GDPR];
- dal suo legittimo interesse a promuovere i propri servizi e attività nei confronti dei clienti effettivi via mail [art.6.1 lett. f) RGPD/GDPR e art.130.4 D.lgs. n.196/2003 come modificato dal D.lgs. n.101/2018)];
- dal suo legittimo interesse a difendere giudizialmente o extragiudizialmente i propri diritti o a difendere il proprio patrimonio aziendale mediante installazione di un impianto di videosorveglianza [art.6.1 lett. f) RGPD/GDPR].
Modalità di trattamento
Il titolare tratta i dati personali conferiti mediante strumenti cartacei ed informatici con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
Tempi di conservazione
Tutti i dati personali trattati dal titolare nell’ambito delle proprie attività sono conservati secondo i seguenti tempi o criteri:
Ambito di trattamento | Finalità del trattamento | Tempo di conservazione a partire dalla raccolta |
Marketing/commerciale | Creazione anagrafiche clienti potenziali ed effettivi | 2 anni dall’ultimo scambio di informazioni o dall’ultimo preventivo se il cliente resta potenziale; 10 anni successivi alla conclusione del contratto, salvo pendenza di controversia legale |
Marketing/commerciale | Comunicazioni commerciali via corrispondenza cartacea, telefono ed email | 2 anni dall’ultimo scambio di informazioni o dall’ultimo preventivo se il cliente resta potenziale; 10 anni successivi alla conclusione del contratto, salvo pendenza di controversia legale |
Commerciale/esecuzione del contratto d’opera |
Preparazione di preventivi; Stipula, esecuzione, rinnovo, aggiornamento e conclusione dell’incarico professionale ricevuto/contratto d’opera; Gestione di tutte le comunicazioni commerciali ed operazioni necessarie all’esecuzione delle obbligazioni derivanti dall’incarico ricevuto. |
10 anni dalla scadenza dell’ultimo contratto, salvo pendenza di controversia legale. |
Marketing/commerciale | Promozione di servizi analoghi a quelli oggetto del contratto in essere con i clienti effettivi | 5 anni dal termine dell’ultimo contratto salvo opposizione |
Marketing/commerciale | Installazione di cookie tecnici per il buon funzionamento del sito | Vedere politica sui cookie di gpbsrl.com |
Acquisti | Creazione anagrafiche fornitori potenziali ed effettivi | 2 anni dall’ultimo scambio di informazioni o dall’ultima offerta se il fornitore resta potenziale; 10 anni successivi allo scioglimento del rapporto di fornitura di beni o servizi, salvo pendenza di controversia legale |
Acquisti | Comunicazioni commerciali via corrispondenza cartacea, telefono ed email | 2 anni dall’ultimo scambio di informazioni o dall’ultima offerta se il fornitore resta potenziale; 10 anni successivi allo scioglimento del rapporto di fornitura di beni o servizi, salvo pendenza di controversia legale |
Acquisti | Emissione, esecuzione (compresa la conservazione) degli ordini di acquisto incluse tutte le comunicazioni commerciali necessarie alla scelta e alla gestione della fornitura. | 10 anni dalla conclusione dell’ultimo contratto in ordine di tempo, salvo pendenza di controversia legale |
Direzione/Amministrazione | Costruzione di Sistemi di gestione per la governance aziendale (es: privacy) | 3 anni a partire dalla data certa contenuta nel M.O.P. |
Direzione/Amministrazione | Adempimenti amministrativi (es: scritture contabili obbligatorie; emissione fatture clienti; registrazioni fatture fornitori, ecc…); | 10 anni ex art.2220 c.c., fatto salvo l’art. 22, comma 2, D.P.R. n. 600/1973 |
Direzione/Amministrazione | Difesa di un diritto o interesse legittimo in sede di contenzioso, giudiziale o extragiudiziale. | Fino alla conclusione della controversia e per ulteriori 5 anni |
Direzione/Amministrazione | Riprese video effettuate solo negli orari di chiusura dell’azienda. | 24 ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura aziendale, nonché nel caso in cui si debba aderire ad una specifica richiesta investigativa |
Al decorrere di tali termini, i dati personali eventualmente contenuti nei documenti citati o nella corrispondenza commerciale saranno distrutti o cancellati.
Qualora, nel decorso dei tempi summenzionati, dovesse sorgere un contenzioso in sede giudiziale o extragiudiziale che dovesse protrarre la conservazione dei dati personali usati nel contenzioso oltre quegli stessi tempi, tale conservazione sarebbe giustificata fino alla conclusione definitiva della controversia.
Natura obbligatoria e conseguenze del rifiuto al conferimento
I dati personali di clienti o fornitori trattati dal Titolare nell’ambito della propria attività sono necessari per la conclusione del contratto d’opera nonché per la gestione della corrispondenza commerciale precedente e connessa. Il conferimento di tali dati non è obbligatorio ma senza di essi non è possibile dar corso alle richieste degli interessati o gestire il rapporto commerciale con il cliente.
Soggetti ai quali potranno essere comunicati i dati personali
Il Titolare procede al trattamento dei dati personali necessari al raggiungimento delle finalità indicate anche attraverso persone della propria organizzazione istruite ex art.29 RGPD/GDPR ed autorizzate con formale lettera di incarico, formate e impegnatesi ad un obbligo di riservatezza circa le informazioni trattate. fornitori esterni.
Alcune categorie di soggetti indicati agiscono per conto e nell’interesse del Titolare e sono designate a tal fine Responsabili del trattamento ex art.28 RGPD/GDPR attraverso formale atto giuridico di nomina. Un elenco delle categorie dei principali destinatari è riportato più sotto in questo paragrafo mentre una lista con i singoli nominativi può essere ottenuta contattando il Titolare del trattamento al seguente indirizzo mail: info@gpbsrl.com
- Professionisti/Consulenti Esterni in ambito contabile/fiscale e legale;
- Professionisti/Consulenti esterni in materia di sistemi di gestione (es: privacy);
- Organismi di controllo (Agenzia delle entrate, Guardia di finanza, Camera di commercio);
- Istituti assicurativi, di credito, bancari e postali;
- Fornitori di servizi ICT per la cura, mantenimento e protezione del sistema informatico (compresi i software per la gestione dell’attività aziendale) e del patrimonio aziendale;
- Fornitori di soluzioni per il marketing digitale.
Trasferimento all’estero (fuori dai confini dell’UE)
I dati personali trattati secondo la presente informativa non sono oggetto di trasferimento al di fuori dell’UE.
Processo decisionale automatizzato, compresa la profilazione
I dati personali trattati secondo quanto descritto in questa informativa non sono soggetti ad alcun processo decisionale automatizzato, ivi compresa la profilazione di cui all’art.22.1 e 4 RGPD/GDPR.
Diritti dell’Interessato
In relazione al trattamento di dati personali da parte di GPB per le finalità sopra descritte, ogni interessato ha sempre diritto, nei limiti e alle condizioni previste dagli art. da 15-22 RGPD/GDPR, di esercitare i seguenti diritti:
Il Titolare del trattamento comunica a tutti i destinatari a cui sono stati trasmessi i dati personali degli interessati le eventuali rettifiche, cancellazioni o limitazioni del trattamento salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Per l’esercizio effettivo di tali diritti privacy alle condizioni previste dal RGPD/GDPR, ogni interessato può contattare Revisiolab presso l’indirizzo mail indicato di seguito e chiedere il modulo dedicato: info@gpbsrl.com
- L’interessato ha altresì il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati personali qualora ritenga che venga fatto un uso illegittimo dei suoi dati e il trattamento persista nonostante egli abbia chiesto al titolare di interromperne il trattamento. Per la presentazione del reclamo è possibile consultare la pagina web dedicata nel sito dell’Autorità Garante
I DIRITTI PRIVACY
DIRITTO DI ACCESSO
Con riferimento alle Linee guida emanate nel 2022 dall’EDPB[1], il diritto d’accesso implica che l’interessato possa ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano[2] e in aggiunta, di avere le seguenti informazioni:
1) finalità del trattamento,
2) categorie di dati personali in questione,
3) destinatari o categorie di destinatari a cui tali dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali
4) esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o cancellazione dei dati personali o limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento
DIRITTO DI RETTIFICA E DI CANCELLAZIONE
Il diritto di rettifica implica che l’interessato possa ottenere:
1) la correzione dei dati personali inesatti che la riguardano senza ingiustificato ritardo,
2) l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa
Il diritto di cancellazione dei suoi dati personali può essere esercitato se:
1) i dati personali da cancellare non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati,
2) è formulata una revoca del consenso e non sussiste altro fondamento giuridico per il trattamento,
3) è esercitato il diritto di opposizione al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento,
4) i dati personali oggetto di richiesta di cancellazione sono trattati illecitamente,
5) i dati personali oggetto di richiesta di cancellazione devono essere cancellati per adempiere ad un obbligo legale,
6) i dati personali oggetto di richiesta di cancellazione sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
DIRITTO ALLA PORTABILITA’
Il diritto alla portabilità implica che, senza ledere diritti e libertà altrui:
l’interessato abbia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte della presente società. Tale richiesta può essere rivolta direttamente alla presente società perché quest’ultima trasmetta tali dati direttamente ad altro titolare del trattamento.
Questo diritto può essere esercitato se la base giuridica del trattamento è:
1a) un consenso prestato in modo libero, informato, specifico e inequivocabile, o
1b) un contratto concluso con l’interessato, e
2) il trattamento sia effettuato con mezzi automatizzati.
DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO E DI OPPOSIZIONE
Il diritto alla limitazione del trattamento può essere da lei esercitato:
1) qualora l’interessato contesti l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento di verificare l’esattezza di tali dati personali,
2) quando il trattamento è illecito; l’interessato si oppone alla cancellazione dei suoi dati personali e chiede invece che ne sia limitato l’utilizzo,
3) quando i dati dell’interessato personali sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, benchè il titolare non ne abbia più bisogno ai fini del trattamento,
4) qualora sia stato esercitato il diritto di opposizione al trattamento
Il diritto di opposizione al trattamento dei dati personali può essere esercitato dall’interessato in qualunque momento per qualsiasi motivo connesso alla sua situazione particolare e per ragioni di marketing diretto.
Il titolare del trattamento si astiene dal trattare ulteriormente tali dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sui suoi interessi, diritti e libertà oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
DIRITTO A NON ESSERE SOTTOPOSTO A UNA DECISIONE BASATA UNICAMENTE SUL TRATTAMENTO AUTOMATIZZATO
L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Tale decisione automatizzata è permessa nel caso in cui sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento oppure sia consentita dalla legge che però deve precisare le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato oppure ancora, se sia basata sul consenso esplicito della persona oggetto di tale decisione (l’interessato).
Se la decisione si basa su un contratto o sul consenso esplicito, il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra queste:
almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento,
di esprimere la propria opinione e
di contestare la decisione
Le decisioni automatizzate non si possono basare sulle categorie particolari di dati personali a meno che non siano d’applicazione le eccezioni rappresentate dal consenso esplicito dell’interessato oppure un interesse pubblico rilevante stabilito da una norma nazionale o europea che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
[1] EDPB: European Data Protection Board
[2] La definizione di dato personale è quella indicata dall’art.4.1 n.1 RGPD/GDPR così come integrata da quanto statuito dalla CJUE (Court of Justice of European Union) e riportato nei paragrafi da 96-106 delle Linee guida 2022 dell’EDPB sul Diritto d’accesso.