Informativa privacy ex art. 13 Reg. (UE) 2016/679 (“GDPR”)

Di seguito vengono fornite le informazioni relative al trattamento dei dati personali dei partecipanti (di seguito “Partecipanti”) all’iniziativa Yamamay Club (di seguito “Programma”), così come descritta nel relativo regolamento. Per registrarsi al Programma è necessario conferire i dati personali richiesti, compilando l’apposito form presente sul sito e-commerce www.yamamay.com nonché presso tutti i punti vendita ad insegna Yamamay e Yamamay Man (outlet esclusi).

1. Chi è il “titolare” del trattamento di dati personali (cioè, colui che decide finalità e modalità del trattamento)

   Il titolare del trattamento dei Suoi dati è la società Inticom S.p.a., c.f. e p. IVA 02649140122, con sede legale in Via Carlo Noè n. 22, 21013 - Gallarate (VA), indirizzo e-mail privacy@yamamay.com, indirizzo P.E.C. inticomspa@certimprese.it (di seguito, “Titolare”).

2. Dati di contatto del Responsabile della protezione dati (DPO)

   Il DPO è contattabile all’indirizzo e-mail dpo@yamamay.com.

3. Finalità del trattamento, basi giuridiche e periodo di conservazione dei dati

   Per quale finalità i dati sono trattati dal Titolare?	Quale è la base giuridica che legittima il trattamento?	Per quanto tempo sono conservati i dati?
   a. Per permettere l’iscrizione e la partecipazione al Programma [e la fruizione dei relativi vantaggi] e per inviare comunicazioni di servizio ai Partecipanti.	L’esecuzione di un contratto di cui l’interessato è parte [art. 6.1, lett. b GDPR].	Per tutta la durata del Programma e, al termine dello stesso, per un periodo pari a 10 anni.
   b. Per verificare la regolarità della partecipazione al Programma.	L’interesse legittimo del Titolare [art. 6.1, lett. f GDPR].	Per tutta la durata del Programma e per i successivi 12 mesi successivi. In caso di contenzioso giudiziale, i dati sono conservati sino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.
   c. Per accertare, esercitare o difendere i diritti del Titolare,, se necessario.	L’interesse leggittimo del Titolare [art. 6.1 lett. f GDPR].	Per tutta la durata del Programma e per i successivi 12 mesi successivi. In caso di contenzioso giudiziale, i dati sono conservati sino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.
   d. Per assolvere adempimenti amministrativo-contabili, fiscali e ulteriori adempimenti di legge, in conformità a quanto richiesto dalla normativa vigente.	L’adempimento di un obbligo legale cui è soggetto il Titolare [art. 6.1 lett. c. GDPR].	Per 10 anni, quale termine generale di conservazione decennale prescritto dalla legge.
   e. Per inviare - all’indirizzo e-mail fornito dal Partecipante - comunicazioni commerciali/pubblicitarie sulle successive edizioni del Programma, nonché su iniziative analoghe organizzate dal Titolare.	L’interesse legittimo del Titolare [art. 6.1, lett. f GDPR]. La fattispecie è equiparabile al cd. “soft spam” di cui all’art. 130, c. 4 del d. lgs. 196/2003 [“Codice Privacy”].	Per tutta la durata del Programma, fermo restando la facoltà dell’interessato di opporsi in qualsiasi momento [anche cliccando sul link “unsubscribe” presente in ogni comunicazione].
   f. Per effettuare attività di marketing e dunque inviare comunicazioni, tramite e-mail ed SMS, su novità, promozioni, buoni sconto, informazioni relative a prodotti ed eventi del Titolare.	Il consenso dell’interessato [art. 6.1 lett. a GDPR].	Per 4 anni dal rilascio del consenso, fermo restando il diritto dell’interessato di revocarlo o di opporsi in qualsiasi momento.
   g. Per attività di profilazione e in particolare consentire al Partecipante di usufruire di un’esperienza personalizzata sulla base dei suoi interessi e delle sue abitudini di acquisto. Nel caso in cui il Partecipante abbia rilasciato entrambi i consensi di cui al punto f. e g. le comunicazioni di cui al punto f. saranno anche personalizzate.	Il consenso dell’interessato [art. 6.1 lett. a. GDPR].	Per 4 anni dal rilascio del consenso, fermo restando il diritto dell’interessato di revocarlo o di opporsi in qualsiasi momento

   Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup.

4. Conferimento dei dati

   I dati contrassegnati con un asterisco nel form di registrazione al Programma sono obbligatori e il loro mancato conferimento non permette la partecipazione allo stesso. I dati non contrassegnati con l’asterisco sono puramente facoltativi e non impediscono l’adesione al Programma.

5. Destinatari dei dati

   I dati saranno inseriti all’interno di un sistema centralizzato - Customer Relationship Management (“CRM”) - di gruppo utilizzato sia per la gestione del rapporto contrattuale con i clienti che per l’effettuazione di attività di marketing e profilazione. Il CRM è accessibile da parte di tutte le società appartenenti al Gruppo Pianoforte e pertanto dai loro dipendenti che sono stati espressamente autorizzati al trattamento per tali finalità e hanno ricevuto adeguate istruzioni operative.
   I dati potranno essere comunicati a soggetti terzi operanti in qualità di Titolari autonomi, quali autorità pubbliche e studi professionali.
   I dati potranno essere altresì trattati, per conto del Titolare, da soggetti terzi, designati come Responsabili del trattamento ai sensi dell’art. 28 del GDPR, quali persone fisiche e/o giuridiche che svolgono attività funzionali o connesse al Programma (es. servizi di spedizione/consegna dei prodotti, servizi di postalizzazione del materiale pubblicitario, servizi di customer care, attività di analisi e ricerche di mercato, servizi di manutenzione dei sistemi informatici).

6. Soggetti che accedono ai dati all’interno dell’organizzazione del Titolare

   All’interno di Yamamay potranno accedere ai dati i dipendenti che sono stati espressamente autorizzati al trattamento per le finalità di cui al precedente par. 3 e che hanno ricevuto adeguate istruzioni operative.

7. Diritti degli interessati

   Tutti gli interessati (cioè i Partecipanti a cui si riferiscono i dati) possono esercitare i diritti di cui agli artt. 15- 22 del GDPR, inviando una mail all’indirizzo privacy@yamamay.com, oppure contattando il Titolare agli altri punti di contatto di cui al precedente par. 1. In particolare, possono:

   • ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, chiedere l’accesso a tali dati e alle informazioni di cui all’art. 15 del GDPR (finalità del trattamento, categorie di dati personali, etc.);
   • ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16 del GDPR;
   • chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17 del GDPR¹;
   • ottenere la limitazione del trattamento (cioè, la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR² ;
   • opporsi in qualsiasi momento al trattamento dei dati personali che li riguardano sulla base del legittimo interesse;
   • qualora il trattamento sia basato sul consenso o sul contratto e sia effettuato con strumenti automatizzati, richiedere di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti, ai sensi dell’art. 20 del GDPR (“diritto alla portabilità”).

¹L’interessato ha diritto di ottenere la cancellazione dei suoi dati in particolare nei seguenti casi:

1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
2. l'interessato revoca il consenso su cui si basa il trattamento conformemente all'art. 6.1, lett. a., o all'art. 9.2, lett. a., e se non sussiste altro fondamento giuridico per il trattamento;
3. l'interessato si oppone al trattamento ai sensi dell'art. 21.1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'art. 21.2;
4. i dati personali sono stati trattati illecitamente;
5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
6. i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'art. 8.1.

²Le ipotesi in cui è possibile ottenere la limitazione del trattamento sono le seguenti:

1. l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare l'esattezza di tali dati;
2. il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati e chiede invece che ne sia limitato l'utilizzo;
3. il titolare del trattamento non ne ha più bisogno, ma i dati sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
4. l'interessato si è opposto al trattamento ai sensi dell'art. 21.1 del GDPR, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell'interessato.

Gli interessati potranno altresì, in qualsiasi momento, opporsi al trattamento dei propri dati per finalità di marketing diretto, compresa la connessa profilazione (anche cliccando sull’apposito link di unsubscribe in calce alle comunicazioni promozionali inviate via e-mail), nonché revocare i consensi prestati a tal fine. Gli interessati hanno in ogni caso il diritto di proporre reclamo all’autorità di controllo competente nello Stato membro in cui risiede abitualmente o lavora o dello Stato in cui si è verificata la presunta violazione.