INFORMATIVA SULLA PRIVACY ARIBA

INFORMATIVA SULLA PRIVACY ARIBA
INFORMATIVA SULLA PRIVACY ARIBA
Ariba è una società del gruppo SAP che offre prodotti e servizi nel settore del business-to-business. Per questo motivo, le
informazioni raccolte da Ariba sulle persone (ovvero i dati personali) sono in genere unicamente relative al loro ruolo
professionale all'interno della società e non vengono utilizzate per creare profili personali o dei consumatori. Questo
documento descrive la direttiva Ariba relativa alla gestione, l'elaborazione, l'archiviazione e il trattamento delle informazioni
personali inviate a determinate soluzioni Ariba (definite di seguito). Il termine "Ariba" indica Ariba, Inc., le sue società madri e
quelle consociate.
Nel presente documento, viene fatto riferimento ai clienti Ariba utilizzando i termini "compratore" o "fornitore". Si può inoltre
fare collettivamente e singolarmente riferimento ai singoli utenti delle soluzioni (dipendenti sia dell'organizzazione del
compratore che di quella del fornitore) con i termini "contraente" e "del contraente".
SOMMARIO
Definizioni
Gestione delle informazioni personali e privacy












Informazioni personali
Uso delle informazioni personali da parte di Ariba
Visibilità delle informazioni personali in una soluzione
Altre entità aziendali
Consenso
Trasferimento
Correzione delle informazioni sull'account (esercizio del diritto di accesso alle informazioni personali)
Divulgazione dei dati da parte di Ariba a terzi
Sicurezza
Ritenzione dei dati
Modifiche
Programma Safe Harbor
Domande (compresa la dichiarazione TrustE)
Varie
Definizioni
Il termine soluzione indica il servizio Ariba che include un collegamento a questa Informativa sulla privacy, compresi:
1.
la soluzione Ariba Network (incluse le offerte Ariba Invoice Automation e Ariba PO Automation, l’abbonamento ad Ariba
Network, il servizio di quotazione automatica Ariba e "Supplier Connectivity") (https://service.ariba.com),
2.
la soluzione Ariba Discovery (http://discovery.ariba.com),
3.
i servizi cloud Ariba (denominati anche "Ariba Technology Features", "soluzioni Ariba on-demand" o "Ariba Application
Services" nei contratti precedenti) (https://s1.ariba.com/[pagina-specifica-società]),
4.
le soluzioni Ariba StartSourcing e Ariba StartContracts (https://s1.ariba.com/[pagina-specifica-società]),
5.
Ariba Commerce Cloud, un'applicazione per la creazione di un profilo della società, l'amministrazione e la reportistica
(accessibile tramite http://seller.ariba.com) per l'uso da parte dei fornitori unitamente all'uso di Ariba Network, Ariba
Discovery e le funzionalità destinate ai fornitori delle altre soluzioni Ariba on-demand.
6.
i servizi di applicazione sul mercato e approvvigionamento strategico forniti dal team di sourcing globale Ariba ("servizi
Ariba Sourcing")(notare che Ariba non è più attivamente impegnata a siglare nuovi accordi relativi ai servizi Ariba Sourcing)
e
7.
i servizi di hosting di Ariba (accessibili tramite URL specifici dei clienti).
Il termine partner commerciale indica un soggetto con il quale un compratore o un fornitore effettua transazioni utilizzando la
soluzione.
Gestione delle informazioni personali e privacy
Informazioni personali
Il termine informazioni personali indica il nome di una persona e le informazioni associate all'identità della persona stessa, a
differenza delle informazioni relative a un'azienda. Le informazioni personali, quali il nome, l'indirizzo della sede e di posta
elettronica dell'azienda e il numero della carta di credito aziendale utilizzata dal dipendente, potrebbero essere richieste per
l'uso di alcune funzioni di una soluzione. Se il contraente non desidera fornire informazioni personali ad Ariba oppure se
desidera richiedere ad Ariba di rimuovere le proprie informazioni personali dalla soluzione, è tenuto a contattare
l'amministratore dell'account Ariba del proprio datore di lavoro per stabilire se sia possibile eseguire la funzione aziendale di
propria competenza senza rendere note tali informazioni.
I compratori possono utilizzare la soluzione per stabilire l'eventuale appartenenza dei partner commerciali a categorie speciali
(ad esempio società di proprietà di una minoranza etnica) o se questi soddisfino altri criteri. Se un fornitore non intende inviare
queste informazioni riepilogative a un compratore tramite la soluzione, è tenuto a contattare direttamente il compratore per
discutere le opzioni disponibili.
È buona norma inviare solo le informazioni sui contatti aziendali di dominio pubblico. Le informazioni inviate alla soluzione non
possono includere informazioni personali riservate. I codici di identificazione fiscale vanno immessi solo nei campi preposti a
tale scopo.
Il termine informazioni personali riservate indica dati quali il numero di previdenza sociale, il numero di un conto bancario o di
una carta di credito associati a una persona, i dati della patente di guida, nonché dati medici o sull'assicurazione sanitaria di
natura personale, comprese le richieste di indennizzo per qualsiasi tipo di assistenza sanitaria ricevuta.
Uso delle informazioni personali da parte di Ariba
Ariba considera le informazioni personali come informazioni riservate (a meno che il contraente o il suo amministratore
dell'account non renda queste informazioni pubblicamente visibili tramite le funzionalità di una soluzione) e le utilizza solo per:
facilitare il funzionamento della soluzione e dei servizi correlati; migliorare l'uso della soluzione e delle pagine Web correlate;
monitorare internamente la soluzione e migliorarla; consentire ad Ariba di contattare il contraente; elaborare le transazioni
richieste tramite la soluzione (compresi l'uso di modelli e la creazione di documenti); e analizzare il volume e la cronologia d'uso
della soluzione da parte di una società.
Uso dei cookie
Alcune aree della soluzione utilizzano la tecnologia basata sui cookie per gli stessi scopi. Se si configura il proprio browser
affinché non accetti i cookie delle soluzioni Ariba, non sarà possibile accedere alla soluzione. Ariba e i suoi provider di servizi
non collegano le informazioni salvate nei cookie alle informazioni personali inviate quando si utilizza la soluzione, a eccezione di
quanto necessario per garantire la sicurezza del sito Web e la funzionalità del servizio o per analizzare l'uso del sito stesso. Ariba
non memorizza nel computer del contraente cookie di rilevazione a scopi pubblicitari di terze parti durante l'uso delle soluzioni
Ariba. Le pagine Web a cui si accede durante l'uso delle soluzioni Ariba non rispondono alla direttiva di controllo "Do not track"
inviata dal browser in uso. Con riferimento ai messaggi di posta elettronica inviati o ricevuti da una soluzione, Ariba si riserva il
diritto di tenere traccia dei tassi di apertura, delle percentuali di clic e/o dei tassi di abbandono dei messaggi a livello
individuale.
Visibilità delle informazioni personali in una soluzione
Le soluzioni Ariba consentono alle società di stabilire contatti per facilitare le attività aziendali. A seconda della soluzione, il
contraente o il suo amministratore dell'account possono utilizzare la soluzione per fornire ai partner commerciali (anche solo
potenziali) le informazioni sul contatto specifiche del contraente, qualora quest'ultimo abbia effettivamente il ruolo di contatto
aziendale. Consultare la documentazione della soluzione per rivedere le opzioni sulla visibilità del contatto aziendale e del
profilo della società.
Se il contraente invia una referenza per un fornitore in Ariba Discovery, (1) il testo della referenza (ma non l'identità del
contraente) verrà reso pubblico e (2) gli utenti del fornitore potranno visualizzare le informazioni personali del contraente nella
soluzione Ariba Discovery.
Altre entità aziendali
Ariba può condividere le informazioni personali con società globali affiliate o controllanti, nonché con società controllate, agenti
e fornitori di servizi integrati ("affiliati") che collaborano per fornire al contraente la soluzione e i servizi correlati in tutto il
mondo. Tutti gli affiliati di Ariba adottano procedure per la protezione degli utenti della soluzione simili a quelle descritte nella
presente direttiva, nei limiti consentiti dalle leggi in materia. Nel caso in cui Ariba e/o i suoi affiliati decidessero di fondersi con
un'altra entità aziendale o siano acquistati da una di queste, il contraente è consapevole del fatto che Ariba potrebbe
condividere con tale entità le informazioni personali o parte di esse per poter continuare a fornire la soluzione. Il contraente
verrà informato nel caso si verifichi tale situazione e alla nuova entità aziendale verrà richiesto di adottare le procedure
riportate nella presente direttiva.
Consenso
Con l'invio di informazioni personali alla soluzione, si consente ad Ariba di raccogliere, elaborare, archiviare e utilizzare tali
informazioni in conformità alla presente direttiva. Prima di inviare informazioni personali alla soluzione, ad esempio le
informazioni sul contatto aziendale, il contraente dovrà ottenere dalla persona in questione il consenso alla raccolta, al
trasferimento, all'elaborazione e all'uso di tali informazioni in conformità alla presente direttiva. In qualità di utente della
soluzione e in base ai ruoli tenuti e alle impostazioni di notifica, il contraente potrà necessariamente ricevere alcune notifiche
amministrative da Ariba. Il contraente potrà tuttavia decidere di non ricevere messaggi promozionali da Ariba seguendo le
apposite procedure specificate in questi messaggi.
Trasferimento
Ariba, Inc., società del gruppo SAP con sede all'indirizzo 910 Hermosa Court, Sunnyvale, CA 94085, Stati Uniti, gestisce tutte le
soluzioni da centri dati situati negli Stati Uniti. Su richiesta, alcune soluzioni sono inoltre offerte ai clienti tramite centri dati
situati in paesi dell'Unione europea. Con l’aggiunta di nuovi centri dati in altre aree geografiche, i presenti termini verranno
applicati anche alla fornitura di servizi in tali centri dati. L'invio di dati alla soluzione implica il consenso affinché questi siano
trasferiti negli Stati Uniti e in altre sedi operative scelte da Ariba e dai provider di servizi autorizzati di Ariba. Gli affiliati di Ariba
che controllano o sono controllati da Ariba, Inc. risiedono sia nello Spazio economico europeo che al di fuori di esso. Qualsiasi
trasferimento di informazioni personali dallo Spazio economico europeo agli affiliati Ariba residenti in paesi esterni allo Spazio
economico europeo, e che potrebbero pertanto non essere in grado di fornire un adeguato livello di protezione dei dati come
definito dalla Normativa europea sulla protezione dei dati, richiederà una conferma da parte di Ariba relativa all'adeguatezza
dei sistemi di protezione adottati, in base al programma Safe Harbor del Dipartimento del commercio degli Stati Uniti, o la
presenza di un cosiddetto accordo sul trasferimento dei dati basato su clausole contrattuali standard, come approvato dalla
Commissione europea.
Correzione delle informazioni sull'account (esercizio del diritto di accesso alle informazioni personali)
Il contraente ha il diritto di accedere alle proprie informazioni personali, modificarle ed eliminarle nei limiti indicati di seguito.
Ariba si avvale di procedure che consentono al contraente di esercitare questi diritti aggiornando le informazioni personali non
appena ciò sia richiesto. Nella maggior parte delle soluzioni, il contatto amministrativo della società del contraente può
modificare direttamente la maggior parte delle informazioni relative ai contatti eseguendo il login alla soluzione e gestendo
direttamente il profilo dell'account. In Ariba Commerce Cloud, ciascun utente può amministrare autonomamente i dettagli del
proprio account. Per alcune soluzioni, è possibile richiedere le modifiche chiamando l'assistenza clienti di Ariba.
L'eliminazione delle informazioni personali potrebbe richiedere l'approvazione da parte del datore di lavoro (ad esempio nel
caso di dati su un resoconto spese) e l'assistenza di Ariba. Alcune richieste relative all'eliminazione dei dati devono essere
inviate ad Ariba tramite il contatto amministrativo della società del contraente.
Ariba può rifiutare di concedere l'accesso alla soluzione per ragioni legittime che includono pagamenti dovuti in relazione
all'account, cause legali o problemi di sicurezza. Se il contraente non può correggere, aggiornare o eliminare le informazioni
personali poiché non è più un dipendente dell'azienda proprietaria dell'account o il suo account è stato chiuso, può contattare il
coordinatore della privacy di Ariba all'indirizzo riportato di seguito. In ciascun caso, Ariba farà il possibile per soddisfare la
richiesta del contraente o risponderà per iscritto illustrando i motivi legali del rifiuto della richiesta entro (30) giorni.
Divulgazione dei dati da parte di Ariba a terzi
Ariba non fornisce le informazioni personali del contraente a terzi, eccetto nei casi indicati nella presente direttiva e nei
contratti con i clienti, a meno che (1) la divulgazione venga richiesta o autorizzata dal contraente stesso o dall'amministratore
dell'account del contraente che agisce per conto di quest'ultimo; (2) la divulgazione sia necessaria per elaborare transazioni o
fornire servizi richiesti (ad esempio, elaborazione delle carte di acquisto con società di carta di credito); (3) Ariba sia obbligata a
divulgare le informazioni da un'autorità pubblica, da un ente normativo, a causa di una citazione o di analoga richiesta di un
ente pubblico o per definire o difendere un'azione legale; (4) i terzi agiscano in qualità di agenti o subappaltatori di Ariba
nell'esecuzione di determinati servizi (ad esempio, l'utilizzo da parte di Ariba di un servizio di telecomunicazione appartenente a
terzi); (5) il contraente imposti le sue informazioni personali in modo che queste siano visibili pubblicamente nella soluzione; o
(6) la terza parte sia un partner commerciale, come descritto di seguito.
Ariba non vende informazioni personali in nessun caso. Nel caso di fornitori che dispongano di profili di società visibili nelle
soluzioni Ariba Discovery o Ariba Network all'interno di Ariba Commerce Cloud, Ariba può fornire le informazioni su questi
contatti aziendali a partner commerciali di fiducia ("partner commerciali") che (a) offrono servizi integrati in Ariba Commerce
Cloud, (b) offrono servizi gratuiti in collaborazione con Ariba; o (c) partecipano ad attività di marketing congiunte rivolte ai
fornitori. Ad esempio, nel caso di un utente della soluzione Ariba Discovery, Ariba potrà condividere le informazioni personali
con un partner commerciale di fiducia per inviare un'offerta speciale o congiunta relativa all'uso di Ariba Discovery. Tutte le
società che agiscono per conto di Ariba o congiuntamente ad essa secondo queste modalità sono tenute a proteggere le
informazioni personali e rispettare le procedure Ariba che consentono al contraente di non partecipare a tali offerte.
Sicurezza
Ariba utilizza le misure interne e le tecnologie di sicurezza standard del settore per proteggere le Informazioni personali dalla
divulgazione non autorizzata. Ariba si impegna a salvaguardare in modo appropriato le informazioni sulle carte di credito e sui
pagamenti mediante l'uso dei metodi crittografici ritenuti più affidabili nel settore. I servizi Ariba sono progettati affinché
queste informazioni possano essere visualizzate solo all'interno della soluzione. Il contraente può inoltre fare ricorso alle
funzionalità basate sui ruoli per limitare ulteriormente l'accesso ai soli utenti che hanno l'effettiva necessità di visualizzare
queste informazioni. Consultare le Informazioni sulla sicurezza (http://www.ariba.com/legal/security-disclosures-for-aribaonline-services-07-07-2006) per informazioni sulle misure adottate da Ariba per garantire la sicurezza della soluzione e la
protezione delle informazioni personali.
Ritenzione dei dati
Ariba archivia le informazioni personali in database attivi per un periodo di tempo che varia in base alla soluzione specifica, al
tipo di dati e alla legge applicabile. La direttiva in materia di ritenzione dei dati è definita nella documentazione o nelle
condizioni di ciascuna soluzione. In linea con le procedure di backup e archiviazione di Ariba e a causa della stretta integrazione
tra i dati e la soluzione, Ariba potrebbe archiviare le informazioni personali in registri e file di backup per la durata necessaria
richiesta a termini di legge o per gli scopi descritti nella presente direttiva. Tuttavia, Ariba non si impegna ad archiviare tali dati
a tempo indeterminato. Durante il periodo di abbonamento alla soluzione, il contraente potrà accedere alle proprie
informazioni personali per un determinato periodo, in base alla particolare soluzione acquistata e alle direttive relative alla
soluzione. Inviare eventuali domande tramite l'amministratore dell'account Ariba della società al coordinatore della privacy di
Ariba all'indirizzo indicato di seguito.
Modifiche a questa direttiva
Occasionalmente sarà necessario che Ariba modifichi questa direttiva. Alcune modifiche saranno necessarie in risposta alle
modifiche apportate alle leggi e alle norme applicabili. Inoltre, con l'aggiunta alle soluzioni di nuove funzionalità e nuovi servizi,
sebbene le informazioni personali continueranno a essere gestite in conformità alla presente direttiva, potrebbero essere
richieste variazioni o chiarimenti.
Qualora Ariba intenda apportare una modifica alla sua direttiva per consentire l'uso delle informazioni personali per nuovi e
legittimi scopi commerciali, fornirà informazioni sulla modifica, annoterà la data dell'ultimo aggiornamento in fondo alla
direttiva e invierà un avviso ai contatti amministrativi di ciascun compratore e fornitore. Consultare periodicamente questa
direttiva per verificare se le norme e le procedure Ariba in relazione alle informazioni personali siano state modificate.
Nell'eventualità di cambiamenti significativi a questa direttiva, Ariba farà il possibile per rendere tali aggiornamenti noti a tutti
gli utenti interessati invitando a consultare il documento aggiornato.
Programma Safe Harbor
Nel caso di Ariba Network, delle soluzioni Ariba on-demand e di Ariba Hosting Service, Ariba ha formalmente aderito al
programma Safe Harbor gestito dal Dipartimento del commercio degli Stati Uniti e si è impegnata a rispettare i principi sulla
privacy di questo programma in relazione alla raccolta, all'uso e alla ritenzione dei dati personali provenienti dall'Unione
europea e dalla Svizzera. Per ulteriori informazioni sul programma Safe Harbor o per accedere alla certificazione di Ariba,
consultare l'indirizzo http://www.export.gov/safeharbor/.
Domande
Per eventuali domande su questa direttiva, inviare un messaggio di posta elettronica all'indirizzo [email protected]
all'attenzione del coordinatore della privacy di Ariba (Ariba Privacy Coordinator), o inviare una lettera scritta a: Ariba Privacy
Coordinator, Legal Department, Ariba, Inc., 910 Hermosa Court, Sunnyvale, CA 94085, USA.
Ariba, Inc. aderisce al programma sulla privacy TRUSTe. TRUSTe è una società indipendente che fornisce servizi di certificazione
per consentire alle organizzazioni di convalidare e promuovere procedure eque per l'uso delle informazioni su Internet, al fine
di consolidare la fiducia degli utenti in questo mezzo di comunicazione. La sezione "Gestione delle informazioni personali e
privacy" di questa direttiva riguarda le soluzioni e i siti Web identificati sopra nella definizione del termine "soluzione"
(https://service.ariba.com, https://s1.ariba.com e URL specifici dei clienti). Poiché Ariba intende dimostrare tramite questi siti
Web il suo impegno nel garantire la privacy dei contraenti, ha accettato di divulgare le sue norme in materia di informazioni e di
consentire a TRUSTe di esaminare le sue norme sulla privacy per accertarne la conformità.
In caso di domande o dubbi relativi alla sezione Gestione delle informazioni personali e privacy della direttiva, contattare prima
l'amministratore della società o il coordinatore della privacy di Ariba indicato sopra ([email protected]). Se non si riceve una
risposta alla propria richiesta o non si è soddisfatti della risposta, contattare TRUSTe all'indirizzo
http://www.truste.org/consumers/watchdog_complaint.php. TRUSTe fungerà da tramite presso Ariba per risolvere i dubbi dei
contraenti in relazione alla gestione delle informazioni personali.
Varie
La versione inglese di questa direttiva sarà quella di riferimento nel caso di conflitti o di modifiche sostanziali presenti nella
traduzione in lingue diverse dall'inglese.
Ariba dispone di altre direttive sulla privacy. Questo documento è l'Informativa sulla privacy Ariba ed è indirizzato agli utenti di
prodotti e servizi Ariba specifici. Ariba ha inoltre redatto una direttiva sulla privacy interna ad uso dei suoi dipendenti, dei
dipendenti temporanei, ecc., e una direttiva sulla privacy separata per i suoi siti Web di marketing di accesso pubblico, nonché
per i siti di scambio di informazioni della comunità (ad esempio http://www.ariba.com/ e exchange.ariba.com). Il servizio Ariba
Exchange User Community si rivolge agli utenti Ariba che utilizzano i social network e rappresenta uno spazio in cui gli utenti
possono, volontariamente, pubblicare commenti e partecipare a discussioni sulle funzionalità delle soluzioni Ariba e sulla
documentazione. A causa della sua natura legata ai social network, che implica la pubblicazione dei contenuti a tutti gli utenti,
Ariba Exchange User Community dispone di una propria Direttiva sulla privacy applicabile agli utenti che decidono di
partecipare alle discussioni e pubblicano commenti o altri contenuti. Alcune società affiliate e controllate di Ariba e SAP
dispongono inoltre di direttive sulla privacy indipendenti relative ai servizi offerti, che non riguardano le attività contemplate
nella presente direttiva.
Condizioni specifiche del paese
Italia: questa Informativa sulla privacy relativa all'elaborazione dei dati personali (la sezione sopra intitolata "Gestione delle
informazioni personali e privacy" più questa clausola) viene fornita in base alla Sezione 13 del Codice in materia di protezione
dei dati personali, Decreto legislativo n. 196 (30 giugno 2003) consolidato ("Codice sulla privacy"). Ariba, Inc. dichiara che
l'elaborazione dei dati personali del contraente mediante la soluzione, come definito sopra, verrà eseguita in base alla presente
Informativa sulla privacy e in conformità al Codice sulla privacy vigente in Italia. L'elaborazione dei dati viene controllata da
Ariba, Inc., 910 Hermosa Court, Sunnyvale, CA 94085, USA e dal datore di lavoro del contraente. In caso di eventuali domande o
dubbi relativi a questa informativa, contattare Ariba all'indirizzo di posta elettronica fornito sopra oppure tramite
corrispondenza scritta all'attenzione del rappresentante Ariba in Italia in materia di privacy all'indirizzo: Andy Evans, Ariba Italia
Srl., Piazza Meda 5, 20121 Milano, Italia.
******
Informativa sulla privacy Ariba v2.4, 24 aprile 2015
© 1996 - 2015 Ariba, Inc. Tutti i diritti riservati