INFORMATIVA SULLA PRIVACY ARIBA
Transcript
INFORMATIVA SULLA PRIVACY ARIBA
INFORMATIVA SULLA PRIVACY ARIBA INFORMATIVA SULLA PRIVACY ARIBA Ariba è una società del gruppo SAP che offre prodotti e servizi nel settore del business-to-business. Per questo motivo, le informazioni raccolte da Ariba sulle persone (ovvero i dati personali) sono in genere unicamente relative al loro ruolo professionale all'interno della società e non vengono utilizzate per creare profili personali o dei consumatori. Questo documento descrive la direttiva Ariba relativa alla gestione, l'elaborazione, l'archiviazione e il trattamento delle informazioni personali inviate a determinate soluzioni Ariba (definite di seguito). Il termine "Ariba" indica Ariba, Inc., le sue società madri e quelle consociate. Nel presente documento, viene fatto riferimento ai clienti Ariba utilizzando i termini "compratore" o "fornitore". Si può inoltre fare collettivamente e singolarmente riferimento ai singoli utenti delle soluzioni (dipendenti sia dell'organizzazione del compratore che di quella del fornitore) con i termini "contraente" e "del contraente". SOMMARIO Definizioni Gestione delle informazioni personali e privacy Informazioni personali Uso delle informazioni personali da parte di Ariba Visibilità delle informazioni personali in una soluzione Altre entità aziendali Consenso Trasferimento Correzione delle informazioni sull'account (esercizio del diritto di accesso alle informazioni personali) Divulgazione dei dati da parte di Ariba a terzi Sicurezza Ritenzione dei dati Modifiche Programma Safe Harbor Domande (compresa la dichiarazione TrustE) Varie Definizioni Il termine soluzione indica il servizio Ariba che include un collegamento a questa Informativa sulla privacy, compresi: 1. la soluzione Ariba Network (incluse le offerte Ariba Invoice Automation e Ariba PO Automation, l’abbonamento ad Ariba Network, il servizio di quotazione automatica Ariba e "Supplier Connectivity") (https://service.ariba.com), 2. la soluzione Ariba Discovery (http://discovery.ariba.com), 3. i servizi cloud Ariba (denominati anche "Ariba Technology Features", "soluzioni Ariba on-demand" o "Ariba Application Services" nei contratti precedenti) (https://s1.ariba.com/[pagina-specifica-società]), 4. le soluzioni Ariba StartSourcing e Ariba StartContracts (https://s1.ariba.com/[pagina-specifica-società]), 5. Ariba Commerce Cloud, un'applicazione per la creazione di un profilo della società, l'amministrazione e la reportistica (accessibile tramite http://seller.ariba.com) per l'uso da parte dei fornitori unitamente all'uso di Ariba Network, Ariba Discovery e le funzionalità destinate ai fornitori delle altre soluzioni Ariba on-demand. 6. i servizi di applicazione sul mercato e approvvigionamento strategico forniti dal team di sourcing globale Ariba ("servizi Ariba Sourcing")(notare che Ariba non è più attivamente impegnata a siglare nuovi accordi relativi ai servizi Ariba Sourcing) e 7. i servizi di hosting di Ariba (accessibili tramite URL specifici dei clienti). Il termine partner commerciale indica un soggetto con il quale un compratore o un fornitore effettua transazioni utilizzando la soluzione. Gestione delle informazioni personali e privacy Informazioni personali Il termine informazioni personali indica il nome di una persona e le informazioni associate all'identità della persona stessa, a differenza delle informazioni relative a un'azienda. Le informazioni personali, quali il nome, l'indirizzo della sede e di posta elettronica dell'azienda e il numero della carta di credito aziendale utilizzata dal dipendente, potrebbero essere richieste per l'uso di alcune funzioni di una soluzione. Se il contraente non desidera fornire informazioni personali ad Ariba oppure se desidera richiedere ad Ariba di rimuovere le proprie informazioni personali dalla soluzione, è tenuto a contattare l'amministratore dell'account Ariba del proprio datore di lavoro per stabilire se sia possibile eseguire la funzione aziendale di propria competenza senza rendere note tali informazioni. I compratori possono utilizzare la soluzione per stabilire l'eventuale appartenenza dei partner commerciali a categorie speciali (ad esempio società di proprietà di una minoranza etnica) o se questi soddisfino altri criteri. Se un fornitore non intende inviare queste informazioni riepilogative a un compratore tramite la soluzione, è tenuto a contattare direttamente il compratore per discutere le opzioni disponibili. È buona norma inviare solo le informazioni sui contatti aziendali di dominio pubblico. Le informazioni inviate alla soluzione non possono includere informazioni personali riservate. I codici di identificazione fiscale vanno immessi solo nei campi preposti a tale scopo. Il termine informazioni personali riservate indica dati quali il numero di previdenza sociale, il numero di un conto bancario o di una carta di credito associati a una persona, i dati della patente di guida, nonché dati medici o sull'assicurazione sanitaria di natura personale, comprese le richieste di indennizzo per qualsiasi tipo di assistenza sanitaria ricevuta. Uso delle informazioni personali da parte di Ariba Ariba considera le informazioni personali come informazioni riservate (a meno che il contraente o il suo amministratore dell'account non renda queste informazioni pubblicamente visibili tramite le funzionalità di una soluzione) e le utilizza solo per: facilitare il funzionamento della soluzione e dei servizi correlati; migliorare l'uso della soluzione e delle pagine Web correlate; monitorare internamente la soluzione e migliorarla; consentire ad Ariba di contattare il contraente; elaborare le transazioni richieste tramite la soluzione (compresi l'uso di modelli e la creazione di documenti); e analizzare il volume e la cronologia d'uso della soluzione da parte di una società. Uso dei cookie Alcune aree della soluzione utilizzano la tecnologia basata sui cookie per gli stessi scopi. Se si configura il proprio browser affinché non accetti i cookie delle soluzioni Ariba, non sarà possibile accedere alla soluzione. Ariba e i suoi provider di servizi non collegano le informazioni salvate nei cookie alle informazioni personali inviate quando si utilizza la soluzione, a eccezione di quanto necessario per garantire la sicurezza del sito Web e la funzionalità del servizio o per analizzare l'uso del sito stesso. Ariba non memorizza nel computer del contraente cookie di rilevazione a scopi pubblicitari di terze parti durante l'uso delle soluzioni Ariba. Le pagine Web a cui si accede durante l'uso delle soluzioni Ariba non rispondono alla direttiva di controllo "Do not track" inviata dal browser in uso. Con riferimento ai messaggi di posta elettronica inviati o ricevuti da una soluzione, Ariba si riserva il diritto di tenere traccia dei tassi di apertura, delle percentuali di clic e/o dei tassi di abbandono dei messaggi a livello individuale. Visibilità delle informazioni personali in una soluzione Le soluzioni Ariba consentono alle società di stabilire contatti per facilitare le attività aziendali. A seconda della soluzione, il contraente o il suo amministratore dell'account possono utilizzare la soluzione per fornire ai partner commerciali (anche solo potenziali) le informazioni sul contatto specifiche del contraente, qualora quest'ultimo abbia effettivamente il ruolo di contatto aziendale. Consultare la documentazione della soluzione per rivedere le opzioni sulla visibilità del contatto aziendale e del profilo della società. Se il contraente invia una referenza per un fornitore in Ariba Discovery, (1) il testo della referenza (ma non l'identità del contraente) verrà reso pubblico e (2) gli utenti del fornitore potranno visualizzare le informazioni personali del contraente nella soluzione Ariba Discovery. Altre entità aziendali Ariba può condividere le informazioni personali con società globali affiliate o controllanti, nonché con società controllate, agenti e fornitori di servizi integrati ("affiliati") che collaborano per fornire al contraente la soluzione e i servizi correlati in tutto il mondo. Tutti gli affiliati di Ariba adottano procedure per la protezione degli utenti della soluzione simili a quelle descritte nella presente direttiva, nei limiti consentiti dalle leggi in materia. Nel caso in cui Ariba e/o i suoi affiliati decidessero di fondersi con un'altra entità aziendale o siano acquistati da una di queste, il contraente è consapevole del fatto che Ariba potrebbe condividere con tale entità le informazioni personali o parte di esse per poter continuare a fornire la soluzione. Il contraente verrà informato nel caso si verifichi tale situazione e alla nuova entità aziendale verrà richiesto di adottare le procedure riportate nella presente direttiva. Consenso Con l'invio di informazioni personali alla soluzione, si consente ad Ariba di raccogliere, elaborare, archiviare e utilizzare tali informazioni in conformità alla presente direttiva. Prima di inviare informazioni personali alla soluzione, ad esempio le informazioni sul contatto aziendale, il contraente dovrà ottenere dalla persona in questione il consenso alla raccolta, al trasferimento, all'elaborazione e all'uso di tali informazioni in conformità alla presente direttiva. In qualità di utente della soluzione e in base ai ruoli tenuti e alle impostazioni di notifica, il contraente potrà necessariamente ricevere alcune notifiche amministrative da Ariba. Il contraente potrà tuttavia decidere di non ricevere messaggi promozionali da Ariba seguendo le apposite procedure specificate in questi messaggi. Trasferimento Ariba, Inc., società del gruppo SAP con sede all'indirizzo 910 Hermosa Court, Sunnyvale, CA 94085, Stati Uniti, gestisce tutte le soluzioni da centri dati situati negli Stati Uniti. Su richiesta, alcune soluzioni sono inoltre offerte ai clienti tramite centri dati situati in paesi dell'Unione europea. Con l’aggiunta di nuovi centri dati in altre aree geografiche, i presenti termini verranno applicati anche alla fornitura di servizi in tali centri dati. L'invio di dati alla soluzione implica il consenso affinché questi siano trasferiti negli Stati Uniti e in altre sedi operative scelte da Ariba e dai provider di servizi autorizzati di Ariba. Gli affiliati di Ariba che controllano o sono controllati da Ariba, Inc. risiedono sia nello Spazio economico europeo che al di fuori di esso. Qualsiasi trasferimento di informazioni personali dallo Spazio economico europeo agli affiliati Ariba residenti in paesi esterni allo Spazio economico europeo, e che potrebbero pertanto non essere in grado di fornire un adeguato livello di protezione dei dati come definito dalla Normativa europea sulla protezione dei dati, richiederà una conferma da parte di Ariba relativa all'adeguatezza dei sistemi di protezione adottati, in base al programma Safe Harbor del Dipartimento del commercio degli Stati Uniti, o la presenza di un cosiddetto accordo sul trasferimento dei dati basato su clausole contrattuali standard, come approvato dalla Commissione europea. Correzione delle informazioni sull'account (esercizio del diritto di accesso alle informazioni personali) Il contraente ha il diritto di accedere alle proprie informazioni personali, modificarle ed eliminarle nei limiti indicati di seguito. Ariba si avvale di procedure che consentono al contraente di esercitare questi diritti aggiornando le informazioni personali non appena ciò sia richiesto. Nella maggior parte delle soluzioni, il contatto amministrativo della società del contraente può modificare direttamente la maggior parte delle informazioni relative ai contatti eseguendo il login alla soluzione e gestendo direttamente il profilo dell'account. In Ariba Commerce Cloud, ciascun utente può amministrare autonomamente i dettagli del proprio account. Per alcune soluzioni, è possibile richiedere le modifiche chiamando l'assistenza clienti di Ariba. L'eliminazione delle informazioni personali potrebbe richiedere l'approvazione da parte del datore di lavoro (ad esempio nel caso di dati su un resoconto spese) e l'assistenza di Ariba. Alcune richieste relative all'eliminazione dei dati devono essere inviate ad Ariba tramite il contatto amministrativo della società del contraente. Ariba può rifiutare di concedere l'accesso alla soluzione per ragioni legittime che includono pagamenti dovuti in relazione all'account, cause legali o problemi di sicurezza. Se il contraente non può correggere, aggiornare o eliminare le informazioni personali poiché non è più un dipendente dell'azienda proprietaria dell'account o il suo account è stato chiuso, può contattare il coordinatore della privacy di Ariba all'indirizzo riportato di seguito. In ciascun caso, Ariba farà il possibile per soddisfare la richiesta del contraente o risponderà per iscritto illustrando i motivi legali del rifiuto della richiesta entro (30) giorni. Divulgazione dei dati da parte di Ariba a terzi Ariba non fornisce le informazioni personali del contraente a terzi, eccetto nei casi indicati nella presente direttiva e nei contratti con i clienti, a meno che (1) la divulgazione venga richiesta o autorizzata dal contraente stesso o dall'amministratore dell'account del contraente che agisce per conto di quest'ultimo; (2) la divulgazione sia necessaria per elaborare transazioni o fornire servizi richiesti (ad esempio, elaborazione delle carte di acquisto con società di carta di credito); (3) Ariba sia obbligata a divulgare le informazioni da un'autorità pubblica, da un ente normativo, a causa di una citazione o di analoga richiesta di un ente pubblico o per definire o difendere un'azione legale; (4) i terzi agiscano in qualità di agenti o subappaltatori di Ariba nell'esecuzione di determinati servizi (ad esempio, l'utilizzo da parte di Ariba di un servizio di telecomunicazione appartenente a terzi); (5) il contraente imposti le sue informazioni personali in modo che queste siano visibili pubblicamente nella soluzione; o (6) la terza parte sia un partner commerciale, come descritto di seguito. Ariba non vende informazioni personali in nessun caso. Nel caso di fornitori che dispongano di profili di società visibili nelle soluzioni Ariba Discovery o Ariba Network all'interno di Ariba Commerce Cloud, Ariba può fornire le informazioni su questi contatti aziendali a partner commerciali di fiducia ("partner commerciali") che (a) offrono servizi integrati in Ariba Commerce Cloud, (b) offrono servizi gratuiti in collaborazione con Ariba; o (c) partecipano ad attività di marketing congiunte rivolte ai fornitori. Ad esempio, nel caso di un utente della soluzione Ariba Discovery, Ariba potrà condividere le informazioni personali con un partner commerciale di fiducia per inviare un'offerta speciale o congiunta relativa all'uso di Ariba Discovery. Tutte le società che agiscono per conto di Ariba o congiuntamente ad essa secondo queste modalità sono tenute a proteggere le informazioni personali e rispettare le procedure Ariba che consentono al contraente di non partecipare a tali offerte. Sicurezza Ariba utilizza le misure interne e le tecnologie di sicurezza standard del settore per proteggere le Informazioni personali dalla divulgazione non autorizzata. Ariba si impegna a salvaguardare in modo appropriato le informazioni sulle carte di credito e sui pagamenti mediante l'uso dei metodi crittografici ritenuti più affidabili nel settore. I servizi Ariba sono progettati affinché queste informazioni possano essere visualizzate solo all'interno della soluzione. Il contraente può inoltre fare ricorso alle funzionalità basate sui ruoli per limitare ulteriormente l'accesso ai soli utenti che hanno l'effettiva necessità di visualizzare queste informazioni. Consultare le Informazioni sulla sicurezza (http://www.ariba.com/legal/security-disclosures-for-aribaonline-services-07-07-2006) per informazioni sulle misure adottate da Ariba per garantire la sicurezza della soluzione e la protezione delle informazioni personali. Ritenzione dei dati Ariba archivia le informazioni personali in database attivi per un periodo di tempo che varia in base alla soluzione specifica, al tipo di dati e alla legge applicabile. La direttiva in materia di ritenzione dei dati è definita nella documentazione o nelle condizioni di ciascuna soluzione. In linea con le procedure di backup e archiviazione di Ariba e a causa della stretta integrazione tra i dati e la soluzione, Ariba potrebbe archiviare le informazioni personali in registri e file di backup per la durata necessaria richiesta a termini di legge o per gli scopi descritti nella presente direttiva. Tuttavia, Ariba non si impegna ad archiviare tali dati a tempo indeterminato. Durante il periodo di abbonamento alla soluzione, il contraente potrà accedere alle proprie informazioni personali per un determinato periodo, in base alla particolare soluzione acquistata e alle direttive relative alla soluzione. Inviare eventuali domande tramite l'amministratore dell'account Ariba della società al coordinatore della privacy di Ariba all'indirizzo indicato di seguito. Modifiche a questa direttiva Occasionalmente sarà necessario che Ariba modifichi questa direttiva. Alcune modifiche saranno necessarie in risposta alle modifiche apportate alle leggi e alle norme applicabili. Inoltre, con l'aggiunta alle soluzioni di nuove funzionalità e nuovi servizi, sebbene le informazioni personali continueranno a essere gestite in conformità alla presente direttiva, potrebbero essere richieste variazioni o chiarimenti. Qualora Ariba intenda apportare una modifica alla sua direttiva per consentire l'uso delle informazioni personali per nuovi e legittimi scopi commerciali, fornirà informazioni sulla modifica, annoterà la data dell'ultimo aggiornamento in fondo alla direttiva e invierà un avviso ai contatti amministrativi di ciascun compratore e fornitore. Consultare periodicamente questa direttiva per verificare se le norme e le procedure Ariba in relazione alle informazioni personali siano state modificate. Nell'eventualità di cambiamenti significativi a questa direttiva, Ariba farà il possibile per rendere tali aggiornamenti noti a tutti gli utenti interessati invitando a consultare il documento aggiornato. Programma Safe Harbor Nel caso di Ariba Network, delle soluzioni Ariba on-demand e di Ariba Hosting Service, Ariba ha formalmente aderito al programma Safe Harbor gestito dal Dipartimento del commercio degli Stati Uniti e si è impegnata a rispettare i principi sulla privacy di questo programma in relazione alla raccolta, all'uso e alla ritenzione dei dati personali provenienti dall'Unione europea e dalla Svizzera. Per ulteriori informazioni sul programma Safe Harbor o per accedere alla certificazione di Ariba, consultare l'indirizzo http://www.export.gov/safeharbor/. Domande Per eventuali domande su questa direttiva, inviare un messaggio di posta elettronica all'indirizzo [email protected] all'attenzione del coordinatore della privacy di Ariba (Ariba Privacy Coordinator), o inviare una lettera scritta a: Ariba Privacy Coordinator, Legal Department, Ariba, Inc., 910 Hermosa Court, Sunnyvale, CA 94085, USA. Ariba, Inc. aderisce al programma sulla privacy TRUSTe. TRUSTe è una società indipendente che fornisce servizi di certificazione per consentire alle organizzazioni di convalidare e promuovere procedure eque per l'uso delle informazioni su Internet, al fine di consolidare la fiducia degli utenti in questo mezzo di comunicazione. La sezione "Gestione delle informazioni personali e privacy" di questa direttiva riguarda le soluzioni e i siti Web identificati sopra nella definizione del termine "soluzione" (https://service.ariba.com, https://s1.ariba.com e URL specifici dei clienti). Poiché Ariba intende dimostrare tramite questi siti Web il suo impegno nel garantire la privacy dei contraenti, ha accettato di divulgare le sue norme in materia di informazioni e di consentire a TRUSTe di esaminare le sue norme sulla privacy per accertarne la conformità. In caso di domande o dubbi relativi alla sezione Gestione delle informazioni personali e privacy della direttiva, contattare prima l'amministratore della società o il coordinatore della privacy di Ariba indicato sopra ([email protected]). Se non si riceve una risposta alla propria richiesta o non si è soddisfatti della risposta, contattare TRUSTe all'indirizzo http://www.truste.org/consumers/watchdog_complaint.php. TRUSTe fungerà da tramite presso Ariba per risolvere i dubbi dei contraenti in relazione alla gestione delle informazioni personali. Varie La versione inglese di questa direttiva sarà quella di riferimento nel caso di conflitti o di modifiche sostanziali presenti nella traduzione in lingue diverse dall'inglese. Ariba dispone di altre direttive sulla privacy. Questo documento è l'Informativa sulla privacy Ariba ed è indirizzato agli utenti di prodotti e servizi Ariba specifici. Ariba ha inoltre redatto una direttiva sulla privacy interna ad uso dei suoi dipendenti, dei dipendenti temporanei, ecc., e una direttiva sulla privacy separata per i suoi siti Web di marketing di accesso pubblico, nonché per i siti di scambio di informazioni della comunità (ad esempio http://www.ariba.com/ e exchange.ariba.com). Il servizio Ariba Exchange User Community si rivolge agli utenti Ariba che utilizzano i social network e rappresenta uno spazio in cui gli utenti possono, volontariamente, pubblicare commenti e partecipare a discussioni sulle funzionalità delle soluzioni Ariba e sulla documentazione. A causa della sua natura legata ai social network, che implica la pubblicazione dei contenuti a tutti gli utenti, Ariba Exchange User Community dispone di una propria Direttiva sulla privacy applicabile agli utenti che decidono di partecipare alle discussioni e pubblicano commenti o altri contenuti. Alcune società affiliate e controllate di Ariba e SAP dispongono inoltre di direttive sulla privacy indipendenti relative ai servizi offerti, che non riguardano le attività contemplate nella presente direttiva. Condizioni specifiche del paese Italia: questa Informativa sulla privacy relativa all'elaborazione dei dati personali (la sezione sopra intitolata "Gestione delle informazioni personali e privacy" più questa clausola) viene fornita in base alla Sezione 13 del Codice in materia di protezione dei dati personali, Decreto legislativo n. 196 (30 giugno 2003) consolidato ("Codice sulla privacy"). Ariba, Inc. dichiara che l'elaborazione dei dati personali del contraente mediante la soluzione, come definito sopra, verrà eseguita in base alla presente Informativa sulla privacy e in conformità al Codice sulla privacy vigente in Italia. L'elaborazione dei dati viene controllata da Ariba, Inc., 910 Hermosa Court, Sunnyvale, CA 94085, USA e dal datore di lavoro del contraente. In caso di eventuali domande o dubbi relativi a questa informativa, contattare Ariba all'indirizzo di posta elettronica fornito sopra oppure tramite corrispondenza scritta all'attenzione del rappresentante Ariba in Italia in materia di privacy all'indirizzo: Andy Evans, Ariba Italia Srl., Piazza Meda 5, 20121 Milano, Italia. ****** Informativa sulla privacy Ariba v2.4, 24 aprile 2015 © 1996 - 2015 Ariba, Inc. Tutti i diritti riservati