Politica di protezione dei dati personali del gruppo Asmodee
La presente politica di protezione dei Dati personali (di seguito la “Politica”) comporta le regole minime in materia di protezione dei Dati personali stabilite da Financière Amuse BidCo e dalle sue Filiali, compresa la società per azioni belga Repos Production, con sede legale a 1000 Bruxelles, Rue des Comédiens 22, iscritta alla Banque Carrefour des Entreprises con il numero 0535.709.224 (di seguito “Gruppo Asmodee”, “noi”, “nostra”), affinché la raccolta, l’utilizzo, la conservazione e la comunicazione dei Dati personali avvengano in maniera corretta, trasparente e sicura.
Essa rispetta, e in alcuni casi supera, i requisiti principali previsti dalla legislazione e dalla normativa in vigore. Inoltre, è conforme alle altre politiche specifiche del Gruppo Asmodee relative alla raccolta e all’utilizzo dei Dati personali adottate da ciascuna delle entità del Gruppo Asmodee per soddisfare specifiche esigenze legate al Trattamento dei Dati personali, giorno dopo giorno (esempi: politica relativa ai cookie, politiche locali specifiche quali le carte di protezione dei Dati personali dei dipendenti). La presente Politica tiene conto del fatto che alcune Filiali del Gruppo Asmodee hanno sede in paesi con approcci alla privacy e alla protezione dei Dati personali diversi da un punto di vista giuridico e culturale. In alcuni paesi, la Politica può quindi essere completata da altre politiche o procedure per essere conforme alla legislazione in vigore e alle norme culturali locali.
In caso di conflitto tra la presente Politica e le politiche locali di protezione dei Dati personali o la legislazione locale in vigore, o nel caso in cui le clausole della presente Politica non possano essere applicate, saranno la politica locale e la legislazione locale a prevalere.
Per facilitare la comprensione, alla sezione 2 della presente Politica sono indicate alcune definizioni utili.
1. Qual è il campo di applicazione della presente Politica?
1. La presente Politica copre la totalità dei Dati personali, sotto qualsivoglia forma, quali dati elettronici, documenti cartacei o su disco e qualsiasi tipo di Trattamento, manuale o automatizzato, appartenente o controllato dal Gruppo Asmodee, in tutti i paesi in cui è presente il Gruppo. Sono incluse le informazioni sui membri del Gruppo Asmodee, i suoi partner, dipendenti, consulenti, clienti, consumatori, fornitori, rapporti professionali ed eventuali terze parti.
2. La protezione dei minori è estremamente importante per noi e a questo scopo abbiamo adottato varie misure ragionevoli per impedire il Trattamento dei Dati personali che li riguardano. Pertanto, non procediamo al trattamento dei Dati personali riguardanti i minori senza verificarne prima la maggiore età digitale, che può variare in base ai paesi, e senza ottenere per loro conto il consenso della persona che esercita la responsabilità genitoriale, nel caso in cui non abbiano l’età minima richiesta per fornirci i loro Dati personali.
3. La presente Politica si applica anche a eventuali Terzi che forniscono servizi per conto o a nome del Gruppo Asmodee. Questi soggetti Terzi sono tenuti a rispettare le norme di condotta in conformità con i principi della presente Politica.
2. Definizioni
1. Gruppo Asmodee: indica la società Financière Amuse BidCo (R.C.S. di Versailles n. 815 143 904) e le varie Filiali di Financière Amuse BidCo che fanno parte del Gruppo Asmodee.
2. Filiale: indica qualsiasi società o entità che controlla direttamente o indirettamente o che è controllata da o sotto controllo comune con la società Financière Amuse BidCo. Controllare un’entità significa possedere, direttamente o indirettamente, il potere di dirigere o far dirigere la gestione o le politiche di quell’entità, attraverso la proprietà dei titoli con diritto di voto, per contratto o in qualsiasi altro modo.
3. Terzi: indica una terza parte o un partner commerciale a cui vengono affidati Dati personali da parte o a nome del Gruppo Asmodee, quali fornitori, imprese subappaltatrici di primo livello e oltre e fornitori di altri tipi di servizi.
4. Interessato: indica un soggetto identificato o identificabile i cui Dati personali sono trattati dal Gruppo Asmodee.
5. Consenso informato: indica qualsiasi indicazione di consenso liberamente concessa ed informata da parte dell’Interessato nei confronti del Trattamento dei suoi Dati personali.
6. Dati a carattere personale o Dati personali: indica qualsiasi informazione che permette di identificare una persona fisica, direttamente o indirettamente, con particolare riferimento a un numero di identificazione o a uno o più fattori propri alla sua identità fisica, fisiologica, psicologica, economica, culturale o sociale. I dati sono definiti a carattere personale se permettono a chiunque di associare un’informazione a una persona in particolare, anche qualora la persona o l’entità che dispone di questi dati non sia in grado di stabilirne da sola il legame.
7. I Dati sensibili (o le categorie di dati particolari che comprendono i dati riguardanti l’origine etnica o razziale di una persona fisica, le sue opinioni politiche, convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché il Trattamento dei dati genetici e biometrici ai fini dell’identificazione di una persona fisica in maniera univoca, i dati riguardanti la salute, la vita sessuale o l'orientamento sessuale di una persona fisica) e i Dati personali relativi alle condanne penali o alle infrazioni costituiscono una sotto categoria dei Dati personali che, per natura, sono stati classificati in conformità con la legislazione o la politica applicabile come dati che necessitano di misure aggiuntive di protezione in termini di riservatezza e sicurezza.
8. Trattamento dei Dati o Trattamento: indica qualsiasi operazione o la totalità delle operazioni applicate ai Dati personali, in maniera automatizzata o non, come raccogliere, salvare, organizzare, conservare, accedere, adattare, modificare, estrarre, consultare, utilizzare, comunicare, divulgare o mettere a disposizione, accostare, interconnettere, limitare, cancellare o distruggere, in qualsiasi forma (il Trattamento sarà interpretato di conseguenza).
3. Come garantiamo la legalità, l'equità e la trasparenza del Trattamento dei Dati personali da noi effettuato?
I Dati personali sono oggetto di un Trattamento (i) fondato su basi legali (ii) con il consenso informato degli Interessati.
1. Utilizziamo i Dati personali esclusivamente:
-ai fini delle esigenze dell’esecuzione di un contratto concluso con l'Interessato (es. dipendenti, imprese subappaltatrici, clienti, fornitori, ecc.); o
-per rispettare un obbligo legale; o
-se l’utilizzo dei Dati personali è motivato da un bisogno o da un motivo operativo legittimo per portare a termine le nostre attività (es. il Trattamento dei Dati personali per conoscere al meglio i nostri clienti); o
-se abbiamo ottenuto il Consenso informato dell’Interessato laddove il consenso è espressamente richiesto. Così, se la legislazione o la politica locale di protezione dei Dati personali applicabile lo richiede (es. per comunicare informazioni commerciali per via elettronica), la Filiale interessata del Gruppo Asmodee potrebbe dover ottenere il consenso degli Interessati ai fini della raccolta, dell’utilizzo, della conservazione o della comunicazione dei loro Dati personali. Allo stesso modo, ciò potrebbe rendersi necessario anche nel caso in cui i suddetti motivi legittimi non dovessero essere applicabili, nei limiti di ciò che è previsto dalla legislazione in vigore.
2. Riteniamo sia importante valutare i rischi per la privacy prima di un’eventuale raccolta, utilizzo, conservazione o comunicazione dei Dati personali, ad esempio per l’implementazione di un nuovo sistema o nell’ambito di un progetto.
3. Il Gruppo Asmodee procede al Trattamento dei Dati personali soltanto in conformità con le disposizioni contenute nelle presenti informative o specifiche politiche di protezione dei Dati e in conformità con il Consenso informato dell’Interessato.
4. Il Gruppo Asmodee non effettua operazioni di profilazione sulla base di decisioni automatizzate, tranne nei casi fondati su un’esigenza legale o per rispondere alle esigenze legate all’esecuzione di un contratto o su riserva del consenso dell’Interessato e su riserva che vengano adottate garanzie adeguate per proteggere i diritti del suddetto.
5. Utilizziamo i cookie per valutare e ottimizzare le funzionalità dei nostri siti web. Utilizziamo anche cookie pubblicitari o analitici; su riserva del suo consenso e in funzione della scelta da lei effettuata per mezzo dei nostri strumenti di controllo dei cookie. Per maggiori informazioni su Repos Production e sul suo utilizzo dei cookie, si prega di consultare la politica dei cookie1 online presente su ciascuno dei suoi siti web.
6. Laddove sia richiesto per legge, facciamo in modo che gli Interessati abbiano accesso alle informazioni pertinenti sul Trattamento dei propri Dati personali, tranne qualora questo sia impossibile o necessiti di sforzi sproporzionati. Tali informazioni comprendono ad esempio le finalità del Trattamento dei Dati personali, i tipi di Dati personali raccolti, qualora questi non provengano direttamente dall’Interessato, le categoria dei destinatari, la lista dei diritti che possono essere esercitati dall’Interessato, le conseguenze di una mancata risposta, le condizioni del trasferimento dei Dati personali al di fuori dell’Unione europea (di seguito “UE”), se del caso, i meccanismi utilizzati per proteggere i Dati personali in caso di trasferimento, ecc. Rispondiamo a questa domanda mettendo a disposizione dell’Interessato un’informativa relativa alla protezione dei Dati personali al momento della raccolta dei Dati. Le informative relative alla protezione dei Dati personali devono essere redatte in modo che gli Interessati possano comprendere con facilità l’utilizzo che viene fatto dei loro Dati personali.
4. Come trattiamo i Dati personali a fini specifici e legittimi e come verifichiamo l’esattezza e la minimizzazione di questi Dati?
I Dati personali vengono raccolti e trattati esclusivamente a fini legittimi, in conformità con il principio di minimizzazione e di esattezza.
1. Vengono raccolti in vista di una o più finalità determinate, esplicite e legittime. Non vengono trattati al di fuori di o in modo incompatibile con queste finalità.
2. Valutiamo e definiamo con cura le finalità del Trattamento dei Dati personali prima di avviare un progetto (es. gestione dei dati relativi alla selezione del personale, gestione della paga, della contabilità e gestione finanziaria, gestione dei rischi e della sicurezza dei dipendenti, attribuzione degli strumenti informatici e di qualsiasi altra soluzione digitale e piattaforma collaborativa, gestione dell’assistenza informatica, gestione della salute e della sicurezza, gestione della sicurezza informatica, della relazione con il cliente, delle gare di appalto, delle vendite e del marketing, degli approvvigionamenti, gestione della comunicazione interna, esterna e di eventi, conformità con le misure antiriciclaggio e con qualsiasi obbligo legale, in particolare in materia di lotta alla corruzione, attuazione del processo di conformità, gestione delle fusioni e delle acquisizioni, ecc.).
3. Facciamo in modo che i Dati personali che raccogliamo siano pertinenti, adeguati e limitati rispetto alle finalità del Trattamento e al loro eventuale utilizzo (customer insight, marketing, promozioni, ecc.). Ciò significa che vengono raccolti e trattati soltanto i dati necessari e pertinenti rispetto agli obiettivi perseguiti.
4. Al momento della raccolta dei Dati sensibili o riguardanti condanne penali o infrazioni, il principio di proporzionalità è fondamentale. Non raccogliamo Dati sensibili o riguardanti condanne penali o infrazioni, fatto salvo ove sia richiesto dalla legislazione in vigore o previo espresso consenso da parte dell’Interessato.
5. Vengono adottate tutte le misure ragionevoli affinché i Dati personali siano esatti e aggiornati, in ogni fase del Trattamento, ovvero della raccolta, del trasferimento, della conservazione e dell’estrazione.
6. Invitiamo gli Interessati ad aiutarci a mantenere i loro Dati personali aggiornati esercitando i loro diritti, in particolare quelli di accesso e rettifica dei Dati.
5. Quali sono le misure di sicurezza e di protezione dei Dati personali adottate?
Poiché i dipendenti, i clienti, i fornitori, i consumatori e i partner commerciali ripongono la propria fiducia nel Gruppo Asmodee nel fornire i propri Dati personali, il Gruppo Asmodee garantisce la sicurezza e la protezione dei suddetti dati nel corso del loro Trattamento.
1. Proteggiamo la totalità dei Dati personali che raccogliamo, utilizziamo, conserviamo e che ci vengono comunicati nell’ambito delle nostre attività, rispettando le politiche di utilizzo, politiche tecniche e organizzative, norme e procedure.
2. Vengono adottate misure tecniche e organizzative tipo del settore per prevenire la distruzione o la perdita accidentale o illecita, l’alterazione, la comunicazione o l’accesso non autorizzato o qualsiasi altra forma illegale o non autorizzata del Trattamento dei Dati personali.
3. Se il Trattamento deve essere effettuato a nome di o tramite Terzi, il Gruppo Asmodee seleziona fornitori di servizi che offrono garanzie sufficienti ad attuare le misure tecniche e organizzative adeguate in modo che il Trattamento dei Dati personali sia conforme alle disposizioni della legislazione in vigore e che i diritti degli Interessati siano garantiti.
4. Il Gruppo Asmodee si impegna ad adottare tutte le misure ragionevoli fondate sui principi di “Privacy by Design” e “Privacy by Default”, come di seguito specificati, al fine di mettere in atto tutte le garanzie necessarie durante il Trattamento dei Dati personali. Il Gruppo Asmodee adotta quindi misure tecniche e organizzative fin dalle prime fasi delle operazioni di trattamento in modo da preservare la privacy e i principi di protezione dei Dati personali fin dall’inizio del processo (“protezione dei Dati personali fin dalla progettazione del Trattamento” o “Privacy by Design”). Di default, il Gruppo Asmodee si assicura che i Dati personali siano trattati con la massima riservatezza (es. il Trattamento deve basarsi solo sui Dati personali necessari, il periodo di conservazione deve essere corto, l’accessibilità limitata) in modo che i suddetti dati non siano accessibili a un numero indeterminato di persone (“protezione dei Dati personali di default” o “Privacy by Default”).
5. Nel caso in cui un particolare Trattamento dei Dati personali presenti rischi elevati per i diritti e le libertà degli Interessati, ne valutiamo l’impatto sulla privacy prima dell’attuazione.
6. Qualsiasi attacco alla privacy, per quanto minimo, comporta un’azione. Esaminiamo ogni reclamo legato a violazioni potenziali o reali della presente Politica o della legislazione in vigore che vengano portate alla nostra conoscenza o di cui siamo venuti a conoscenza. Adottiamo tutte le misure ragionevoli per limitare gli effetti di queste violazioni.
6. Per quanto tempo vengono conservati i suoi Dati personali?
1. Qualsiasi persona che tratti Dati personali per conto del Gruppo Asmodee può conservarli per tutto il tempo necessario in base alle finalità per le quali sono stati raccolti e trattati (nonché per qualsiasi altra finalità compatibile). Ovvero:
-per rispondere alle esigenze di un’attività commerciale o per sostenerla; o
-per conformarsi a una disposizione di legge o normativa, nonché alle condizioni della prescrizione applicabile;
-per difendersi nell’ambito di un’azione fondata sulla violazione di un obbligo legale o contrattuale (nel qual caso i Dati personali possono essere conservati fino alla fine della prescrizione corrispondente o in conformità con qualsiasi politica di conservazione nell’ambito di un procedimento giudiziario).
2. I Dati personali sono conservati e distrutti in conformità con la legislazione in vigore e con qualsiasi politica di conservazione applicabile del Gruppo Asmodee.
7. Quali sono i suoi diritti in qualità di Interessato?
Prestiamo attenzione a qualsiasi domanda, richiesta o istanza proveniente dagli Interessati e riguardante i propri Dati personali. Qualora sia richiesto dalla legge, consentiamo agli Interessati di accedere ai propri Dati personali, rettificarli, limitarli o cancellarli in conformità con la legislazione in vigore. Inoltre, consentiamo loro di opporsi al Trattamento dei propri Dati personali e di esercitare il diritto alla portabilità.
1. Diritto di accesso. Come richiesto dalla legge, forniamo agli Interessati l’accesso alla totalità dei propri Dati personali, nonché alle categorie di dati trattati e di destinatari, al termine di conservazione, ai diritti di rettifica, cancellazione o restrizione dei Dati personali, se del caso.
2. Diritto alla portabilità. Siamo in grado di fornire anche una copia di qualsiasi Dato personale conservato nelle nostre cartelle, in un formato compatibile e strutturato, al fine di consentire l’esercizio del diritto alla portabilità dei Dati personali nei limiti di quanto previsto dalla legislazione in vigore.
3. Diritto di rettifica. Gli Interessati possono richiedere che qualsiasi informazione incompleta, obsoleta o errata venga rettificata, modificata o cancellata.
4. Diritto alla cancellazione. Gli Interessati possono richiedere la cancellazione dei propri Dati personali qualora si applichi uno dei seguenti motivi: (i) i Dati personali non sono più necessari rispetto alle finalità per le quali sono stati trattati; (ii) l’Interessato revoca il consenso sul quale è fondato il Trattamento dei suoi Dati personali; (iii) l’Interessato si oppone al Trattamento dei suoi Dati personali; (iv) i Dati personali sono soggetti a un Trattamento illecito; (v) i Dati personali devono essere cancellati in conformità con un obbligo di legge applicabile al Gruppo Asmodee. Il Gruppo Asmodee adotta tutte le misure ragionevoli per informare le altre entità appartenenti al Gruppo Asmodee di un’eventuale cancellazione.
5. Diritto di limitazione. Nei casi in cui: (i) viene contestata l’esattezza dei Dati personali, per permettere al Gruppo Asmodee di verificarla; (ii) l’Interessato desidera limitare i suoi Dati personali piuttosto che cancellarli, nonostante siano soggetti a un Trattamento illecito; (iii) l’Interessato desidera che il Gruppo Asmodee conservi i suoi Dati personali poiché questi si rivelano necessari nell’abito della difesa dei suoi diritti in tribunale; (iv) l’Interessato si oppone al Trattamento ma il Gruppo Asmodee procede alla verifica dei motivi legittimi del Trattamento. Questi motivi potrebbero prevalere sui diritti dell’Interessato.
6. Diritto di revoca del consenso. Qualora il Trattamento dei Dati personali sia fondato sul consenso dell’Interessato, quest’ultimo può revocare il suo consenso in qualsiasi momento senza compromettere la liceità del Trattamento fondato sul consenso prima della revoca.
7. Diritto di opposizione. L’Interessato può opporsi in qualsiasi momento al Trattamento dei suoi Dati personali:
-se i Dati personali sono trattati a fini di prospezione, profilazione e mailing;
-per opporsi alla comunicazione dei suoi Dati personali a Terzi o all’interno del Gruppo Asmodee;
-se il Trattamento è fondato sugli interessi legittimi del Gruppo Asmodee, salvo che il Gruppo Asmodee dimostri che esistono motivi legittimi e imperiosi per il Trattamento che prevalgono sugli interessi, i diritti e le libertà dell’Interessato o che il Trattamento sia necessario in vista dell’accertamento, dell’esercizio o della difesa di diritti in tribunale.
Inoltre l’Interessato ha il diritto di presentare un reclamo all’autorità di controllo competente.
8. Quando e come comunichiamo i suoi Dati personali a Terzi?
I Dati personali vengono comunicati all’esterno del Gruppo Asmodee esclusivamente se la legislazione lo consente.
1. I Dati personali possono essere comunicati soltanto alle persone (fisiche o giuridiche) che hanno bisogno di accedervi, di esserne a conoscenza e se il trasferimento dei Dati è chiaramente giustificato: o perché l’Interessato ha dato in consenso al trasferimento o perché la comunicazione dei Dati personali è necessaria per la corretta esecuzione di un contratto di cui l’Interessato è parte, oppure per un motivo legittimo che non lede i diritti fondamentali dell’Interessato, compreso il diritto alla privacy (es. Comunicazione dei Dati personali nell’ambito di una fusione o acquisizione, ecc.). In ogni caso, l’Interessato deve essere informato della probabile comunicazione dei suoi Dati personali. Anche il destinatario dovrà garantire che non utilizzerà i Dati personali se non a fini legittimi/autorizzati e che li terrà al sicuro.
2. Nel caso in cui una particolare comunicazione sia necessaria per soddisfare un obbligo legale (es. a beneficio di un organismo pubblico, delle forze dell’ordine o di un servizio di sicurezza o nell’ambito di procedimenti giudiziari), in linea di principio i Dati personali potranno essere comunicati a condizione che tale comunicazione sia limitata a ciò che è richiesto dalla legge e che, se la legislazione lo consente, l’Interessato sia stato informato della situazione (es. l’Interessato è stato informato di tale possibilità per mezzo di un Consenso informato o all’atto della richiesta di comunicazione).
9. Come vengono protetti i trasferimenti internazionali di Dati personali a partire dall’UE?
I Dati personali provenienti dalle entità del Gruppo Asmodee che operano all’interno dell’UE non vengono trasferiti al di fuori dell’UE verso un pese terzo che non garantisce un livello di protezione adeguato, salvo che vengano messe in atto garanzie adeguate in conformità con la legislazione in vigore.
1. Il trasferimento internazionale dei Dati personali è un argomento estremamente sensibile a cui attribuiamo grande importanza. Prestiamo tutta la nostra attenzione prima di trasferire Dati personali dal paese di origine appartenente allo Spazio economico europeo (di seguito “SEE”) verso un altro paese al di fuori del SEE, indipendentemente dal fatto che il trasferimento sia giustificato da ragioni tecniche (conservazione, hosting, assistenza tecnica, manutenzione, ecc.) o da finalità preponderanti (gestitone delle risorse umane, gestione di database clienti, ecc.).
2. Non effettuiamo mai trasferimenti di Dati personali da un Paese SEE ad un altro paese non SEE senza accertarci che siano in atto meccanismi di trasferimento adeguati ai sensi delle leggi sul trasferimento dei dati applicabili, al fine di garantire un’adeguata protezione dei dati al trasferimento degli stessi (es. Adeguatezza della decisione, firma di clausole modello della Commissione EU appropriate, ecc.). In alcuni casi, prima di effettuare il trasferimento dobbiamo anche comunicare o disporre della pre-approvazione dell’autorità di regolamente della privacy interessata
10. Come vengono gestiti i reclami?
1. Il Gruppo Asmodee si impegna a risolvere problemi legittimi riguardanti la protezione dei Dati personali del suo personale, dei suoi clienti e degli altri suoi contatti. Nel caso in cui un dipendente ritenga di aver infranto la Politica, deve contattare l’ufficio legale di Asmodee Holding, Filiale di Financière Amuse BidCo, all’indirizzo privacy-holding@asmodee.com e comunicare il problema.
2. Gli Interessati possono presentare un reclamo riguardante la protezione dei propri Dati personali inviando una mail all’ufficio legale di Asmodee Holding all’indirizzo privacy-holding@asmodee.com. Inoltre, possono presentare un reclamo presso un’autorità di controllo. Queste possibilità vengono esplicitate in modo particolare all’interno delle politiche di riservatezza accessibili o comunicate agli Interessati.
3. Nel caso in cui una persona fisica interessata dalla presente Politica presenti un reclamo riguardante il Trattamento dei suoi Dati personali o di quelli di un terzo e il suo reclamo non sia stato risolto correttamente per mezzo della presente procedura interna, il Gruppo Asmodee coopererà con le autorità di protezione dei dati competenti e rispetterà il parere di queste ultime per risolvere i reclami non risolti. Nel caso in cui il delegato alla protezione dei dati o le autorità di protezione dei dati decidano che il Gruppo Asmodee o uno o più membri del personale del Gruppo Asmodee non abbiano rispettato la presente Politica o la legislazione in materia di protezione dei Dati personali, in base alle raccomandazioni fornite dal suddetto delegato o dalle suddette autorità, il Gruppo Asmodee adotterà le misure più adatte a rispondere di eventuali conseguenze negative e a promuoverne il rispetto futuro.
11. Aggiornamento della presente Politica
Poiché le nostre attività e il contesto normativo sono in continua evoluzione, la presente Politica è soggetta a cambiamenti. La preghiamo di consultarla periodicamente.