Eataly S.p.A., con sede legale in Torino (TO), Via Nizza n. 224, in qualità di titolare del trattamento (qui di seguito indicata anche come "Eataly", “Titolare” o la “Società”), Le fornisce le seguenti informazioni riguardanti il trattamento dei Dati Personali e delle Categorie Particolari di dati personali, come di seguito definiti, raccolti online e offline - tramite vari canali, come i negozi e i ristoranti di Eataly (di seguito, i "Negozi"), il programma fedeltà della Società denominato Eataly Club, comprensivo degli eventuali concorsi e/o altre iniziative collegate (di seguito il “Programma”), il nostro sito web, comprensivo dell'area riservata a Eataly Club (di seguito, il “Sito”), l’app di Eataly (di seguito, “App”), i social network, e, più in generale, tutte le attività descritte nella presente Informativa, ai sensi del Regolamento 2016/679/UE del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, "GDPR") e al D.Lgs. 30 giugno 2003, n. 196 e s.m.i. (cd. "Codice Privacy").
L'Informativa può essere modificata, integrata o aggiornata periodicamente, anche in considerazione di eventuali modifiche della normativa applicabile o di provvedimenti del Garante per la protezione dei dati personali e/o dello European Data Protection Board. Le modifiche e gli aggiornamenti sostanziali all’Informativa saranno portati a conoscenza dei soggetti interessati non appena adottati, aggiornando il link all’Informativa sulla Privacy nel footer e/o in altre specifiche sezioni del Sito e nelle comunicazioni via email e/o sull’App. Si invitano pertanto gli interessati a consultare regolarmente la presente Informativa per conoscerne l’ultima versione aggiornata, in modo da essere sempre informati circa le modalità di raccolta e trattamento dei loro dati personali.
1. QUALI DATI PERSONALI CHE LA RIGUARDANO POSSONO ESSERE TRATTATI
Ai fini della presente informativa, sono da intendersi nel complesso quali “Dati Personali” o “Dati” (eventualmente comprensivi anche delle Categorie Particolari di dati, come definite di seguito e nei limiti di quanto chiarito oltre), tutte le informazioni riguardanti la Sua persona, idonee a identificarla direttamente e/o indirettamente, di seguito meglio descritte:
· dati di contatto, quali nome, cognome, indirizzo, CAP, numeri di telefono, indirizzi e-mail e gli eventuali altri dati da Lei conferiti per effettuare acquisti, anche online, per registrarsi al Sito e/o all’App, per effettuare prenotazioni, nonché per partecipare al Programma e/o ad altre iniziative di Eataly, quali ad esempio i corsi (di seguito, "Dati di Contatto");
· dati anagrafici, quali la Sua data di nascita, anche per gli eventuali omaggi riservati ai clienti nel giorno del compleanno, e/o l’età o la fascia di età e il Suo genere (di seguito, "Dati Anagrafici");
· dati di acquisto, cioè le informazioni relative agli acquisti da Lei effettuati, quali l'elenco dei prodotti acquistati, le date e gli importi di tali acquisti (di seguito, "Dati di Acquisto");
· dati di pagamento, quali il numero di carta di credito/debito e/o bancomat (limitatamente ai dati necessari per identificare / tracciare la transazione, mediante oscuramento di parte del numero stesso), l'IBAN, compresi i dati relativi ai mezzi di pagamento (contanti, bancomat, tipo di carta di credito) e ai relativi circuiti da Lei utilizzati (di seguito, "Dati di Pagamento");
· dati necessari per dare esecuzione al regolamento di un Programma o di un concorso, come ad esempio i punti accumulati (di seguito, "Dati del Programma");
· dati demografici e interessi, quali la provenienza geografica, i prodotti preferiti, gli hobby e gli interessi, le preferenze alimentari, la composizione del Suo nucleo familiare (di seguito, "Dati Demografici e Interessi");
· dati sull'utilizzo del Sito / dell’App, incluse le informazioni raccolte tramite cookie, la cui informativa è consultabile al seguente indirizzo (Cookie Policy | Eataly) (di seguito, “Dati di Utilizzo”);
· dati che Eataly riceve da altre fonti per svolgere i propri servizi, come ad esempio società di servizi postali, corrieri, società di data entry, servizi di prenotazione, società affidatarie della gestione di reparti – o che esercitano direttamente la propria attività – nell'ambito dei Negozi, franchisee (di seguito, "Dati di Terze Parti");
· dati relativi agli account Social da Lei eventualmente utilizzati per accedere al Sito e/o all'App, nonché gli altri dati da Lei conferiti a tali Social Network, che possono essere comunicati in base alle preferenze sulla privacy che Lei ha impostato sugli stessi (di seguito, "Dati Social ");
· in caso suo specifico consenso, dati trattati per valutare determinati aspetti personali che La riguardano, in particolare per analizzare o prevedere aspetti riguardanti la Sua situazione economica, le Sue preferenze personali, i Suoi interessi e/o il Suo comportamento, per offrire prodotti e/o servizi in linea con le Sue preferenze, mediante l'elaborazione, l'analisi, il raffronto, la combinazione e/o qualsiasi altro trattamento dei Suoi Dati di Contatto, Dati Anagrafici, Dati di Acquisto, Dati del Programma, Dati di Pagamento (per determinare, ad esempio, il livello di spesa, la frequenza di visita del Sito, dell'App e/o dei Negozi, nonché le modalità di acquisto, anche online, inclusi i criteri di eventuale "abbandono" del carrello), Dati Demografici e Interessi, Dati di Utilizzo e Dati Social (di seguito, "Dati di Profilazione").
I Dati Personali trattati da Eataly non riguarderanno, di regola, le convinzioni personali, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale (di seguito “Categorie Particolari di dati”). Nel caso in cui sia necessario trattare le Categorie Particolari di Dati, Eataly si impegna a trattare tali dati in conformità alla normativa applicabile.
2. PER QUALI FINALITÀ POSSONO ESSERE UTILIZZATI I SUOI DATI PERSONALI E SU QUALE PRESUPPOSTO DI LICEITÀ
I Dati saranno trattati per le seguenti finalità:
a. Evasione degli ordini di acquisto, eseguiti mediante i Negozi / il Sito / l’App, e attività connesse alla gestione degli ordini.
I Suoi Dati di Contatto, Dati di Pagamento, Dati d'Acquisto e Dati di Terze Parti oltre che – ove applicabili – i Dati del Programma saranno trattati dalla Società per tutte le finalità connesse all’evasione dei Suoi acquisti, effettuati anche online, e per la gestione dei relativi ordini, quali, ad esempio, l’erogazione dei servizi di e-commerce, la ricezione di eventuali richieste di informazioni relativamente ai prodotti acquistati e/o segnalazioni, la gestione dei pagamenti, l’invio di comunicazioni sullo stato dell’ordine, la consegna a domicilio e/o il ritiro da e/o presso il punto vendita convenuto, oltre che per fornirLe assistenza (cd. "customer care"), nonché per garantire il corretto adempimento degli obblighi previsti dalla legge.
Presupposto del trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto, Dati di Pagamento e Dati d'Acquisto è obbligatorio, in quanto necessario per l’evasione e la gestione dei Suoi ordini, e il mancato conferimento degli stessi potrà comportare l’impossibilità di dare corso al Suo ordine.
b. Registrazione e accesso al Sito / all’App, anche mediante il sistema del Social Log-In.
I Suoi Dati di Contatto saranno trattati dalla Società per consentirLe di completare la procedura di registrazione al Sito e/o all’App e accedere alla sua area personale (di seguito, l’”Area Personale”), anche al fine di scaricare i documenti relativi ai prodotti / servizi da Lei acquistati e di dare corso alle Sue altre richieste, anche attraverso il Sito e/o l’App. Inoltre, durante la fase di registrazione, la Società richiederà anche i Suoi Dati Anagrafici, per offrirLe gli eventuali omaggi riservati agli utenti nel giorno del compleanno.
La registrazione al Sito / all’App potrà avvenire, laddove Lei decida volontariamente di avvalersene, anche con il meccanismo del Social Log-In. In questo modo Lei non dovrà inserire i dati necessari alla registrazione, che saranno comunicati dal Social Network attraverso il quale viene effettuato il Log-In. Si precisa che, in questo caso, il Titolare potrà trattare i Dati Social, ovvero non solo quelli relativi al Suo account social, ma anche eventuali altri dati personali che potrebbero essere resi visibili secondo le preferenze da Lei impostate o in base alla politica sulla privacy del Social Network. La invitiamo, pertanto, a prendere visione dell’informativa privacy del Suo Social Network, anche per ulteriori informazioni in merito a tali preferenze.
Presupposto del trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto è facoltativo, ma il mancato conferimento degli stessi potrà comportare l’impossibilità di completare la registrazione. Il conferimento dei Dati Anagrafici è parimenti facoltativo, ma in difetto la Società non potrà offrire gli eventuali omaggi riservati agli utenti nel giorno del compleanno. L’utilizzo del Social Log-In per completare la registrazione e, quindi, il conferimento dei Dati Social è facoltativo e non ci saranno conseguenze di alcun tipo in caso di mancato conferimento.
c. Gestione dell’account.
I Suoi Dati di Contatto saranno trattati per consentirLe di gestire il Suo account personale sul Sito e sull'App, ad esempio per modificare tali dati, nonché i Suoi Dati Anagrafici, Dati d'Acquisto, Dati di Pagamento, Dati del Programma, Dati Demografici e Interessi, e visualizzare il Suo “storico ordini” e gli eventuali buoni sconto disponibili, nonché per consentirLe di accedere alle pagine e alle funzionalità riservate ai soli utenti registrati.
Presupposto per il trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto è facoltativo, ma il mancato conferimento degli stessi potrà comportare l’impossibilità di accedere alle pagine del Sito riservate agli utenti registrati; il conferimento dei Dati Anagrafici è parimenti facoltativo, ma in difetto la Società non potrà offrire gli eventuali omaggi riservati agli utenti nel giorno del compleanno.
d. Programmi di fidelizzazione / Convenzioni.
I Suoi Dati di Contatto, Dati di Pagamento e Dati d'Acquisto e i Dati del Programma saranno trattati dalla Società per la gestione e l'esecuzione dei programmi di fidelizzazione indetti da Eataly, per l’adesione alle convenzioni stipulate tra Eataly e i diversi enti (sia pubblici che privati), per consentirLe di fruire dei premi e degli sconti connessi con tali programmi e per procedere, anche mediante la procedura di cd. “light registration” (come descritta nel regolamento del Programma, al quale si rinvia), al rilascio e alla gestione delle card (ad es. Eataly Club, eventuali altri programmi fedeltà di Eataly) necessarie per usufruire dei premi / vantaggi e/o degli sconti connessi.
Presupposto del trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto, Dati di Pagamento, Dati del Programma e Dati d'Acquisto è obbligatorio, in quanto necessario per la gestione e l'esecuzione dei Programmi di fidelizzazione e/o delle convenzioni; in difetto di tale conferimento, perciò, non sarà possibile per Lei partecipare a tali programmi e/o beneficiare di tali convenzioni.
e. Attività di profilazione.
Previo suo specifico ed espresso consenso, Eataly potrà utilizzare i Suoi Dati di Contatto, Dati Anagrafici, Dati Demografici e Interessi, Dati di Pagamento, Dati D'Acquisto, Dati del Programma e Dati di Utilizzo per finalità di profilazione, ivi incluso, a mero titolo esemplificativo, elaborare Dati di Profilazione e/o i dati relativi alle Sue scelte, abitudini e preferenze di acquisto, dell'area geografica di riferimento, analisi dei dati relativi alla registrazione ai programmi di fidelizzazione e all’utilizzo degli stessi, ai beni o servizi acquistati, alla fascia di consumo, al livello di spesa sostenuto, ai servizi attivi, alla frequenza di fruizione per realizzare studi di mercato e analisi statistiche – anche circa la Sua appartenenza a particolari gruppi sulla base dell’algoritmo RFM (Recency, Frequency, Monetary) – per la creazione di profili (individuali e/o aggregati), per proporle comunicazioni commerciali personalizzate che potrebbero essere di Suo interesse in caso di consenso anche ai sensi del successivo punto f).
Presupposto per il trattamento: consenso dell’interessato (art. 6, par. I, lett. a), GDPR). La mancata prestazione del consenso per finalità di profilazione non comporta conseguenze sui rapporti contrattuali. Il consenso può essere revocato in ogni momento per mezzo dei contatti indicati di seguito, nella sezione 7) dell'Informativa. Inoltre, Lei potrà – in ogni momento – modificare o arricchire le proprie scelte in materia di consenso nell’Area Personale e, inoltre, esercitare il diritto di opposizione al trattamento di dati che La riguardano per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto, con le modalità descritte al punto 7 della presente informativa.
In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
f. Attività di marketing.
Previo Suo specifico ed espresso consenso, i Suoi Dati di Contatto possono essere trattati da Eataly per finalità di invio di materiale pubblicitario, promozionale e/o di vendita diretta o per il compimento di ricerche di mercato o per altre forme di comunicazione commerciale (anche personalizzate, trattando in tal caso anche i Suoi Dati di Profilazione, in caso di consenso prestato ai sensi del precedente punto e), mediante utilizzo di posta elettronica, sms, social network e altri strumenti di messaggistica massiva, ecc. o modalità tradizionali di contatto (ad esempio, posta cartacea, telefonata con operatore).
Inoltre, il Suo indirizzo e-mail potrebbe essere trattato nell’ambito delle piattaforme di Meta, in forma esclusivamente nativamente cifrata (mediante condivisione del mero hash del Suo indirizzo), per escluderLa da eventuali campagne pubblicitarie di Eataly presenti su tali piattaforme.
Qualora Lei non prestasse il consenso anche per il trattamento dei Suoi dati per finalità di profilazione, ai sensi del precedente punto e), le comunicazioni inviate per il perseguimento della presente finalità potranno essere meramente partizionate (ad esempio su base territoriale, qualora Lei ci indichi quale sia il Negozio di riferimento del quale Lei intende ricevere la newsletter, anche mediante il relativo CAP, oppure qualora Lei scelga di ricevere la newsletter delle offerte online e/o di quelle di un particolare Negozio), senza comunque effettuare previsioni o trarre conclusioni in merito a Suoi aspetti personali, quali preferenze d’acquisto, interessi, gusti ed abitudini, comportamenti on line, ubicazione o spostamenti.
Presupposto per il trattamento: consenso dell’interessato (art. 6, par. I, lett. a), GDPR). La mancata prestazione del consenso per finalità di marketing non comporta conseguenze sui rapporti contrattuali. Il consenso può essere revocato in ogni momento per mezzo dei contatti indicati di seguito, nella sezione 7) dell'Informativa. Inoltre, Lei potrà – in ogni momento – modificare o arricchire le proprie scelte in materia di consenso nell’Area Personale e, inoltre, esercitare il diritto di opposizione al trattamento di dati che La riguardano per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto, con le modalità descritte al punto 7 della presente informativa.
In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
g. Comunicazioni istituzionali / di servizio
I Suoi Dati di Contatto saranno trattati per finalità di comunicazione istituzionale / di servizio, ad esempio per segnalare l'aggiornamento di condizioni contrattuali, di regolamenti relativi a carte di fidelizzazione / manifestazioni a premio / concorsi, di siti e/o app, ovvero di informative. Tali comunicazioni potranno essere riguardare soltanto i clienti di alcuni negozi / sedi e, in tal caso, saranno segmentate territorialmente, in particolare mediante il trattamento del Suo indirizzo e/o del Suo CAP.
Presupposto per il trattamento: legittimo interesse della Società a mantenere un rapporto efficace con i clienti (art. 6, par. I, lett. f, GDPR). In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità). In caso di eventuale esercizio e di accoglimento del diritto di opposizione, con le modalità descritte al punto 7) della presente informativa, la Società non potrà più raggiungerLa direttamente per fornirLe le informazioni e segnalare gli aggiornamenti descritti al capoverso precedente e, perciò, non potrà essere ritenuta responsabile per qualunque eventuale conseguenza derivante dal mancato invio di tali comunicazioni.
h. Manifestazioni a premio / Altri Premi e/o Concorsi.
I Suoi Dati di Contatto, Dati Anagrafici, Dati di Acquisto e Dati di Pagamento saranno trattati per rispettare i regolamenti delle manifestazioni a premio e/o concorsi eventualmente promossi dalla Società (di seguito, le "Manifestazioni"), nonché per erogare gli ulteriori premi eventualmente previsti, ad esempio in occasione del compleanno, alle condizioni stabilite tempo per tempo, oltre che per inviare tutte le comunicazioni funzionali alla partecipazione alle Manifestazioni (es., eventuale vincita, mancata vincita, ecc.), nonché per l’eventuale assegnazione e consegna di premi e per rispondere alle Sue eventuali richieste.
Presupposto per il trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto e dei Dati Anagrafici è obbligatorio, per consentire la Sua partecipazione alle Manifestazioni e per l'eventuale assegnazione e consegna di eventuali premi; in difetto, non potremo consentirLe di partecipare alle Manifestazioni e assegnarLe / consegnarLe eventuali premi. In questo caso, non Le è richiesto un nuovo e specifico conferimento di Dati di Acquisto e Dati di Pagamento, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando i Dati di Acquisto e Dati di Pagamento raccolti per le finalità di cui sopra, ritenute compatibili con la presente (anche in ragione del contesto in cui i dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
i. Analisi aggregata e miglioramento dei prodotti / servizi.
I Suoi Dati saranno elaborati in forma aggregata, con modalità tali da escludere la Sua identificazione personale, per analizzare, rivedere e migliorare i servizi della Società e/o per la conduzione di indagini volte a misurare il livello di soddisfazione generale della clientela, oltre che per la gestione efficiente delle proprie risorse e per ulteriori analisi statistiche interne, anche sulla percezione della Società.
Presupposto per il trattamento: legittimo interesse della Società al miglioramento dei propri servizi e alla ricerca a fini commerciali (art. 6, par. I, lett. f, GDPR). In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
j. Iscrizione / prenotazione e partecipazione a corsi / eventi – fruizione dei servizi di Eataly.
I Suoi Dati di Contatto e, ove necessari, i Suoi Dati di Pagamento potranno essere utilizzati per consentirLe di iscriversi e/o prenotarsi, anche mediante piattaforme di terze parti, e partecipare ai corsi di cucina, pasticceria, anche per bambini, degustazioni e altri eventi organizzati da Eataly quali, ad esempio, cene tematiche e/o festival enogastronomici.
Presupposto per il trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR). Il conferimento dei Dati di Contatto e (qualora sia richiesto un pagamento) dei Dati di Pagamento è obbligatorio, in quanto necessario per l’iscrizione e la partecipazione ai corsi e/o agli eventi organizzati da Eataly, e il mancato conferimento degli stessi potrà comportare l’impossibilità di partecipare ai corsi e/o agli eventi organizzati da Eataly.
k. Servizi di prenotazione.
I Suoi Dati di Contatto e, in caso di prenotazione mediante l’apposito widget del Sito e/o attraverso siti web / applicazioni di fornitori di servizi di prenotazione, i Suoi Dati di Utilizzo, saranno trattati per consentirLe di prenotare presso i Negozi e dare seguito alle Sue richieste di prenotazione.
Qualora, nell’ambito di una prenotazione, si rendesse necessaria la comunicazione di Categorie Particolari di dati quali, ad esempio, informazioni su eventuali allergie e/o intolleranze alimentari, tali dati saranno ulteriormente trattati previa raccolta del Suo consenso esplicito e specifico in tal senso.
Presupposto del trattamento: esecuzione di misure precontrattuali/contrattuali (art. 6, par. I, lett. b), GDPR); per ciò che concerne le eventuali Categorie Particolari di dati di cui sopra, consenso dell’interessato (art. 9, par. II, lett. a), GDPR).
Il conferimento dei Dati di Contatto e, in caso di prenotazione online, dei Dati di Utilizzo è obbligatorio, in quanto necessario per dare seguito alle richieste di prenotazione e il mancato conferimento degli stessi potrà comportare l’impossibilità di soddisfare tali richieste. In caso di particolari esigenze alimentari il conferimento delle Categorie Particolari di dati è obbligatorio, perché in difetto Eataly potrebbe non essere in grado di gestire le Sue prenotazioni in linea con tali esigenze. Il consenso al trattamento di Categorie Particolari di dati per il perseguimento della presente finalità può essere revocato in ogni momento per mezzo dei contatti indicati di seguito, nella sezione 7) dell'Informativa.
l. Finalità connesse ad esigenze di tutela dei diritti, anche dell'interessato.
I Suoi Dati saranno trattati dalla Società per tutelare i propri diritti, anche rispetto a eventuali richieste, o per agire in giudizio, anche avanzando pretese nei confronti suoi o di terze parti, nonché per poter provare di aver fornito riscontro alle eventuali richieste di esercizio di uno o più diritti dell'interessato, descritti dettagliatamente di seguito al punto 7) della presente informativa.
Presupposto per il trattamento: legittimo interesse della Società alla tutela dei propri diritti (art. 6, par. I, lett. f), GDPR). In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
m. Assolvimento di richieste giuridicamente vincolanti per adempiere a obblighi legali, regolamenti o provvedimenti / richieste delle autorità competenti, anche di vigilanza.
I Suoi Dati potrebbero essere trattati per adempiere a un obbligo legale e/o a provvedimenti / richieste delle autorità competenti, anche di vigilanza.
Presupposto per il trattamento: obblighi di legge, ai quali la Società è soggetta (art. 6, par. I, lett. c, GDPR). In questo caso, non Le è richiesto un nuovo e specifico conferimento di dati, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità).
n. Questionari di gradimento.
I Suoi Dati Anagrafici e Dati di Contatto potranno essere trattati per sottoporLe questionari di gradimento, in particolare relativi a Manifestazioni eventi e/o ad altre iniziative analoghe organizzate da Eataly per analizzarne la qualità e l’efficacia, in un’ottica di costante miglioramento dei prodotti e servizi resi a vantaggio della clientela.
Presupposto per il trattamento: legittimo interesse della Società al miglioramento dei propri prodotti e servizi (art. 6, par. I, lett. f, GDPR). In questo caso, non Le è richiesto un nuovo e specifico conferimento di Dati Anagrafici e di Contatto, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando dati già raccolti per il perseguimento di altre finalità, ritenute compatibili con la presente (anche in ragione del contesto in cui tali dati sono stati raccolti, del rapporto tra lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra le finalità di cui sopra e la presente ulteriore finalità). Per ciò che concerne il dato relativo al Suo gradimento, il conferimento è facoltativo.
3. DA QUALI FONTI POSSONO ESSERE RACCOLTI I DATI E CON QUALI MODALITA’
I Dati possono essere raccolti dal Titolare direttamente presso di Lei, mediante il conferimento degli stessi da parte Sua.
In particolare, la Società può raccogliere i Dati attraverso:
a. la Sua registrazione al Sito, all’App, social network o altri siti web nella titolarità o disponibilità di Eataly;
b. i Suoi acquisti online;
c. la Sua iscrizione a programmi fedeltà e/o Manifestazioni;
d. la Sua iscrizione alla newsletter relativa allo store virtuale e/o ai singoli negozi fisici;
e. il Servizio Clienti, qualora Lei usufruisca di tale servizio;
f. i form da Lei compilati online e/o presso i negozi fisici, nell’ambito di attività promozionali, manifestazioni a premio, concorsi, corsi, cene, eventi, festival, richieste di informazioni;
g. altre società del gruppo di Eataly;
h. società terze, partner di Eataly, anche operanti presso le sedi di quest'ultima, per la promozione di prodotti e/o l'offerta di servizi (ad esempio, servizi di pagamento o di prenotazione, anche di eventi);
i. soggetti terzi, quali Enti e/o società, che abbiano stipulato con Eataly una convenzione rivolta ai propri dipendenti / associati (o altri specifici beneficiari);
j. franchisee di Eataly, o altre società del gruppo di Eataly;
k. società operanti nel settore dei servizi di prenotazione, anche digitale.
I Dati potranno essere aggiornati e/o integrati sulla base di informazioni reperibili pubblicamente e/o raccolte da soggetti terzi, e/o direttamente da Lei.
4. COME MANTENIAMO SICURI I SUOI DATI PERSONALI E PER QUANTO TEMPO
Il trattamento dei Suoi Dati sarà improntato ai principi di correttezza, liceità e trasparenza e potrà essere effettuato anche attraverso modalità automatizzate. La Società, comunque, non si avvale di alcun processo decisionale unicamente automatizzato per il trattamento dei Suoi Dati.
Il trattamento avverrà in ogni caso tramite strumenti idonei a garantire la riservatezza mediante l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione, oltre che l'utilizzo di misure di sicurezza adeguate al rischio. Limitiamo l’accesso ai Suoi Dati solamente a coloro che necessitano di utilizzarli per finalità rilevanti.
Conserviamo i suoi Dati solo per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti o per qualsiasi altra legittima finalità collegata. Pertanto, se i Dati sono trattati per due differenti finalità, conserveremo tali Dati fino a che non cesserà la finalità con il termine più lungo; tuttavia, non tratteremo più i Dati per quella finalità per la quale sia terminato il periodo di conservazione. I Dati che non siano più necessari, o per i quali non vi sia più un presupposto giuridico per la relativa conservazione, vengono anonimizzati irreversibilmente (e in tal modo possono essere conservati) o distrutti in modo sicuro.
Qui di seguito riportiamo i tempi di conservazione in relazione alle differenti finalità sopra elencate:
a. Evasione degli ordini di acquisto, eseguiti mediante i Negozi / il Sito / l’App, e attività connesse alla gestione degli ordini.
I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a dieci anni dalla data dell'acquisto, coerentemente con i termini prescrizionali previsti dal codice civile.
b. Registrazione e accesso al Sito / all’App, anche mediante il sistema del Social Log-In.
I dati trattati per il perseguimento della presente finalità saranno conservati per il periodo necessario per la finalizzazione della registrazione e per tutta la durata della stessa; successivamente, per un periodo di tempo non superiore a dieci anni, coerentemente con i termini prescrizionali previsti dal codice civile.
c. Gestione dell’account.
I dati trattati per il perseguimento della presente finalità saranno conservati per tutto il periodo di fruizione dei servizi dell’account e, successivamente, per un periodo di tempo non superiore a dieci anni dalla data dell’ultimo servizio fornito all’utente ovvero, in caso di inerzia, dieci anni dall’ultimo accesso all’account, coerentemente con i termini prescrizionali previsti dal codice civile.
d. Programmi di fidelizzazione / Convenzioni.
I dati trattati per il perseguimento della presente finalità saranno conservati per l’intera durata dei singoli programmi e, successivamente, per un periodo di tempo non superiore a dieci anni dalla data di piena fruizione dei singoli programmi.
e. Attività di profilazione.
I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a due anni dalla loro registrazione, salva la Sua possibilità di revoca del consenso e la facoltà di esercitare il diritto di opposizione con le modalità previste al punto 7 della presente informativa.
f. Attività di marketing.
I dati trattati per il perseguimento della presente finalità saranno conservati per tre anni dalla loro registrazione, salva la Sua possibilità di revoca del consenso e la facoltà di esercitare il diritto di opposizione con le modalità previste al punto 7 della presente informativa.
g. Comunicazioni istituzionali / di servizio.
I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a un anno dall'invio di ogni singola comunicazione, fatto salvo il caso in cui il trattamento di tali comunicazioni sia necessario anche per il perseguimento di altre finalità (ad es., contrattuali) descritte nella presente informativa, fermo comunque il Suo diritto di opposizione con le modalità previste al punto 7 della presente informativa.
h. Manifestazioni a premio / altri Premi e/o Concorsi.
I dati trattati per il perseguimento della presente finalità saranno conservati per l’intera durata delle singole Manifestazioni (o altre iniziative riguardanti premi) e, successivamente, per un periodo di tempo non superiore a dieci anni dalla conclusione delle stesse.
i. Analisi aggregata e miglioramento dei prodotti / servizi.
I dati trattati per il perseguimento della presente finalità saranno trattati in forma aggregata e anonima, per il tempo necessario per il raggiungimento degli scopi descritti nella finalità presente al punto 2.j della presente informativa.
j. Iscrizione e partecipazione ai corsi / eventi – fruizione dei servizi di Eataly.
I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a dieci anni dalla data di svolgimento del corso / della Sua partecipazione ad un evento e/o, comunque, della Sua fruizione di uno o più servizi, coerentemente con i termini prescrizionali previsti dal codice civile.
k. Servizi di prenotazione.
I dati trattati per il perseguimento della presente finalità saranno conservati per un periodo di tempo non superiore a sei mesi dalla data della prenotazione.
l. Finalità connesse ad esigenze di tutela dei diritti, anche dell'interessato.
I dati trattati per il perseguimento della presente finalità saranno conservati per tutta la durata dei relativi procedimenti, e comunque per il tempo ritenuto ragionevolmente necessario dalla Società per la tutela dei propri diritti, anche in relazione ai relativi termini prescrizionali.
Con particolare riferimento ai dati conservati per fornire la prova del riscontro all'interessato, tali Dati saranno conservati per un periodo di dieci anni dall'ultima richiesta dell'interessato stesso, o dall'ultima comunicazione interruttiva della prescrizione, coerentemente con i termini prescrizionali previsti dal codice civile.
m. Adempimento di richieste giuridicamente vincolanti per adempiere a obblighi legali, regolamenti o provvedimenti / richieste delle autorità competenti.
I dati trattati per il perseguimento della presente finalità saranno conservati per tutta la durata dei procedimenti presso le pertinenti autorità competenti, oltre ai relativi tempi di prescrizione.
n. Questionari di gradimento.
I dati trattati per il perseguimento della presente finalità, se collegata allo svolgimento di Programmi e/o di Manifestazioni (ad esempio, per il conferimento di premi / bonus previsti dai relativi regolamenti), saranno conservati per l’intera durata dei singoli Programmi / Manifestazioni e, successivamente, per un periodo di tempo non superiore a dieci anni dalla data di piena fruizione degli stessi, in linea con i termini prescrizionali previsti dal codice civile.
In assenza di collegamenti con lo svolgimento di Programmi e/o di Manifestazioni, i dati trattati per il perseguimento della presente finalità saranno conservati in forma individuale per un periodo di tempo non superiore a 6 mesi, salva un’eventuale successiva conservazione in forma aggregata / anonima.
5. CON CHI POSSIAMO CONDIVIDERE I SUOI DATI PERSONALI
Ai Dati possono avere accesso i soggetti debitamente autorizzati e istruiti dalla Società.
In particolare, per lo svolgimento di talune delle attività di trattamento dei Dati, la Società potrà comunicare gli stessi alle seguenti categorie di soggetti esterni, i quali tratteranno tali Dati in qualità di titolari autonomi del trattamento oppure in qualità di responsabili del trattamento, regolarmente designati dalla Società in conformità alla normativa vigente (a seconda del ruolo che svolgono in relazione al trattamento), se – e nei limiti di quanto – strettamente necessario per il perseguimento delle finalità descritte al punto 2 della presente informativa:
· le altre società del Gruppo Eataly – con ciò intendendosi tutte le società direttamente o indirettamente controllate da Eataly S.p.A;
· consulenti e fornitori esterni quali cloud service provider (ad esempio, Microsoft), IT provider o hosting provider;
· studi professionali, specialmente ove necessario per la tutela dei diritti della Società;
· banche e istituti di credito;
· imprese di assicurazione;
· società terze, partner di Eataly, anche operanti presso le sedi di quest'ultima per la promozione di prodotti e/o l'offerta di servizi (ad esempio, servizi di pagamento o di prenotazione, anche di eventi);
· società incaricate dell’invio di comunicazioni commerciali e/o promozionali, ivi incluse le piattaforme di social network nell’ambito delle campagne marketing (ad esempio, Meta nell’ambito di campagne con pubblico personalizzato, o Microsoft per quanto riguarda l'utilizzo di Microsoft Forms per eventuali sondaggi di gradimento);
· soggetti terzi, quali Enti e/o società, che abbiano stipulato con Eataly una convenzione rivolta ai propri dipendenti / associati (o altri specifici beneficiari);
· forze di polizia, e altre amministrazioni pubbliche, in adempimento di obblighi previsti da leggi, da regolamenti o dalla normativa applicabile.
In ogni caso, i Suoi Dati non saranno mai ceduti a soggetti terzi per il perseguimento di finalità di marketing estranee a quelle descritte da Eataly nella presente informativa. Qualsiasi accesso ai Suoi Dati è limitato alle persone che hanno necessità di venirne a conoscenza per adempiere alle loro responsabilità lavorative, per effetto di un'apposita lettera di autorizzazione.
Con specifico riferimento ai trattamenti descritti al punto 2.k della presente informativa, Eataly e TheFork sono contitolari dei trattamenti di dati personali eseguiti per raccogliere, gestire e monitorare le prenotazioni eseguite mediante il sito e/o l’applicazione di TheFork (di seguito, le “Prenotazioni su TheFork”), come meglio chiarito nell’“Informativa sulla Privacy e sui Cookie” di TheFork, consultabile al seguente indirizzo: https://www.thefork.it/legal#NormativaSullaPrivacy. Pertanto, per disciplinare i reciproci ruoli e responsabilità in relazione alle Prenotazioni su TheFork, Eataly e TheFork hanno concluso un accordo di contitolarità ai sensi dell’art. 26 del GDPR.
Fermo quanto sopra, TheFork tratterà i dati degli utenti dei propri servizi per le proprie autonome finalità, alle quali Eataly è estranea, descritte nell’informativa privacy di The Fork.
Potrà contattare la Società con le modalità previste nel paragrafo “Contatti” se desidera chiedere di poter visionare la lista dei responsabili del trattamento e degli altri soggetti cui comunichiamo i Dati e/o se vuole richiedere un estratto dell’accordo di contitolarità tra Eataly e TheFork.
6. TRASFERIMENTI INTERNAZIONALI
La Società potrebbe dover trasferire i Suoi Dati verso Paesi che non appartengono allo Spazio Economico Europeo (SEE) (di seguito i “Paesi Terzi”) le cui leggi in materia di protezione dei Dati potrebbero prevedere standard diversi da quelli del SEE. In tale ultimo caso, la Società assicurerà che tutti i suoi Dati accessibili al di fuori del SEE siano trattati con tutele appropriate.
In tale ipotesi, la Società fornirà garanzie e tutele adeguate per tali trasferimenti transfrontalieri, in conformità con quanto previsto dalla normativa in materia di protezione dei dati personali; tra di esse rientrano l’uso di Clausole Contrattuali Standard approvate dalla Commissione europea, Codici di condotta e/o Norme Vincolanti d’Impresa. Tali clausole impongono simili obbligazioni nella tutela dei dati direttamente in capo al destinatario, a meno che sia concesso dalla legge applicabile in materia di protezione dei dati di trasferire i dati senza tali formalità.
Alcuni Paesi Terzi, individuati nell’apposito elenco consultabile sul sito della Commissione Europea, sono stati ritenuti adeguati dalla stessa Commissione Europea, in quanto forniscono una protezione simile a quella della normativa dello SEE in materia di protezione dei dati, e pertanto per tali Paesi non sono necessarie tutele legali supplementari.
Attualmente, per specifiche esigenze connesse ai trattamenti di dati descritti nella presente informativa, la Società si avvale anche di fornitori, ricompresi nelle categorie di soggetti di cui sub 5., situati in Paesi Terzi che non appartengono allo Spazio Economico Europeo. In particolare, la Società potrebbe dover trasferire i Suoi Dati:
· negli Stati Uniti, specialmente per quanto riguarda i trattamenti che coinvolgono Microsoft e/o Meta (nonché, per quanto riguarda la prenotazione di eventi, Eventbrite Inc., la cui informativa è consultabile al seguente indirizzo https://www.eventbrite.com/help/en-us/articles/460838/eventbrite-privacy-policy/ e, comunque, sul sito di Eventbrite), alle condizioni previste dalla Decisione di adeguatezza del 10 luglio 2023 e s.m.i., ai sensi dell’art. 45 GDPR;
· nel Regno Unito, specialmente per quanto riguarda i trattamenti che coinvolgono Meta, in base alla Decisione di adeguatezza del 28 giugno 2021 e s.m.i., ai sensi dell’art. 45 GDPR;
· in Svizzera, specialmente per quanto riguarda i trattamenti che coinvolgono Meta, in base alla Decisione di adeguatezza del 26 luglio 2000 e s.m.i., ai sensi dell’art. 45 GDPR;
· in Israele, specialmente per quanto riguarda i trattamenti che coinvolgono Microsoft e/o Meta, in base alla Decisione di adeguatezza del 31 gennaio 2011 e s.m.i., ai sensi dell’art. 45 GDPR;
· in Sudafrica, specialmente per quanto riguarda i trattamenti che coinvolgono Meta, garantendo livelli di tutela e di salvaguardia adeguati anche mediante appositi accordi contrattuali, ivi comprese le clausole tipo di protezione dei dati adottate dalla Commissione Europea, ai sensi dell’art. 46 del GDPR.
Fermo quanto sopra, laddove si rendesse necessario un trasferimento verso altri Paesi Terzi, la Società avrà cura di specificare previamente il Paese Terzo di destinazione nonché lo specifico strumento adottato per il trasferimento dei Dati verso tale Paese.
7. I SUOI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI E IL SUO DIRITTO DI AVANZARE RECLAMO DINNANZI ALL’AUTORITÀ DI CONTROLLO
Lei ha diritto di chiedere alla Società, nel rispetto delle condizioni previste dal GDPR:
· l’accesso ai Dati che La riguardano, nonché la loro rettifica;
· la cancellazione dei Dati;
· la limitazione del trattamento;
· nei limiti dei Dati trattati per finalità contrattuali e/o sulla base del Suo consenso, e trattati con modalità automatizzate, la ricezione di tali Dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (portabilità) e/o la trasmissione degli stessi ad un altro titolare del trattamento (cd. "portabilità");
· la revoca del Suo consenso, nel caso in cui il trattamento sia basato sul consenso.
Per esercitare i Suoi diritti, Lei potrà contattare la Società al seguente indirizzo: legal@eataly.it.
Diritto di opposizione: Lei ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei Suoi dati personali da parte della Società per il perseguimento del proprio legittimo interesse, per le finalità di cui sopra sub 2.g, 2.i, 2.l e 2.n, nonché in ogni caso al trattamento dei Suoi dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. La richiesta di opposizione va indirizzata al seguente indirizzo: legal@eataly.it.
L’esercizio dei diritti dell'interessato soggiace ad alcune eccezioni, in particolare finalizzate alla salvaguardia dell’interesse pubblico (ad esempio la prevenzione o l’identificazione di reati) e/o alla tutela dei diritti della Società. Nel caso in cui Lei esercitasse uno qualsiasi dei menzionati diritti, sarà onere della Società verificare che Lei sia legittimato a esercitarlo e Le sarà dato riscontro, di regola, entro un mese.
Eataly terrà in stretta considerazione eventuali reclami o segnalazioni sulle modalità di trattamento dei Suoi dati personali e farà ogni sforzo per rispondere alle sue richieste. Tuttavia, Lei potrà inoltrare i reclami o segnalazioni alla competente Autorità di controllo, che è anche la cd. "autorità capofila" rispetto a tutte le società europee del gruppo Eataly, ossia il Garante per la protezione dei dati personali (utilizzando i riferimenti disponibili nel sito internet www.gpdp.it), o adire le opportune sedi giudiziarie.
8. CONTATTI
I dati di contatto della Società, quale titolare del trattamento, sono i seguenti: legal@eataly.it.
I dati di contatto del Responsabile della Protezione dei Dati (DPO) della Società sono i seguenti: dpo@eataly.it.