BRT si impegna a trattare e proteggere i tuoi Dati Personali conformemente alla legge, sia durante le sue operazioni commerciali che nell'ambito dei servizi forniti. La Privacy è un valore che BRT riconosce e rispetta.

1. Policy aziendale per il trattamento e la protezione dei dati personali

La presente policy è parte integrante del sistema di gestione per il trattamento e la protezione dei dati personali di BRT S.p.A. con sede legale in Italia, Milano, Via Tiziano 32, 20145 e sede amministrativa in Italia, Bologna, Via Enrico Mattei 42, 40138, con codice fiscale e partita IVA 04507990150, iscritta presso il Registro delle Imprese di Milano, R.E.A. 1734257 (di seguito anche semplicemente “BRT”). La presente policy descrive i principi e le linee guida che BRT applica per proteggere i tuoi “Dati Personali” ed è stata redatta allo scopo di chiarirti:

  • il ruolo di BRT nella erogazione dei suoi servizi;

  • la natura dei Dati Personali che raccogliamo ed i motivi per cui li raccogliamo;

  • in che modo usiamo i tuoi Dati Personali;

  • i tuoi diritti in qualità di interessato.

Questa policy si applica ai trattamenti dei dati personali nel contesto delle attività di gestione delle spedizioni affidate a BRT ed ai servizi erogati da BRT on-line. Tutte le operazioni sui tuoi Dati Personali sono svolte nel rispetto della normativa vigente ed in particolare del Regolamento Europeo sulla protezione dei dati personali (Reg. UE 2016/679 di seguito “GDPR”), e del Codice in materia di protezione dei dati personali (Dlgs. 196/2003 e ss.mm., di seguito “Codice della Privacy”).

1.1 Che ruolo ha BRT nella erogazione dei suoi servizi?

Alla luce delle modalità operative attraverso cui BRT svolge i suoi servizi, i Dati Personali relativi alle spedizioni e ai destinatari delle stesse sono trattati da BRT in piena autonomia. Pertanto, BRT è titolare del trattamento nell’esercizio della sua attività caratteristica.

BRT ha pieno potere decisionale in merito alle modalità con cui le sue infrastrutture informatiche sono configurate e, di conseguenza, sulle modalità con cui vengono trattati i tuoi Dati Personali. Questa autonomia e questo potere decisionale non risultano coerenti con le caratteristiche del responsabile del trattamento, come delineate dalla normativa e dalle linee guida in materia.

BRT resta obbligata a trattare i Dati Personali delle spedizioni e dei destinatari delle stesse con la massima cura e riservatezza, adempiendo a tutti gli obblighi di legge che ricadono sui titolari in materia di trattamento e protezione dei dati personali.

Nell’ambito della gestione di alcuni servizi BRT collabora con due aziende con le quali ha stipulato un accordo di contitolarità (vedi in seguito il paragrafo “Contitolarità”).

1.2 In che modo BRT gestisce la protezione dei dati personali?

BRT tiene conto della protezione dei tuoi Dati Personali e della privacy fin dalla progettazione di nuovi prodotti e servizi (principi di "privacy by design" e "privacy by default") e, se del caso, quando questi prodotti o servizi vengono rivisti o aggiornati. Per garantire la sicurezza dei tuoi Dati Personali e salvaguardare il corretto esercizio dei tuoi diritti, BRT implementa misure volte a proteggere i tuoi Dati Personali come:

  • Adozione di procedure per l'esercizio dei diritti degli interessati ed in caso di violazione dei Dati Personali;

  • Svolgimento di indagini/audit sulla sicurezza informatica e sulla conformità al GDPR prima dell'implementazione di un progetto o di un'applicazione;

  • Verifica delle garanzie presentate rispetto ai requisiti del GDPR dai fornitori che gestiscono Dati Personali per conto di BRT;

  • Svolgimento di audit interni con la formulazione di raccomandazioni ed il monitoraggio ed aggiornamento delle azioni di miglioramento;

  • Definizione, unitamente ai responsabili interni del business, di periodi di conservazione dei Dati Personali pertinenti e ragionevoli, non eccedenti il ​​tempo necessario per raggiungere la finalità del trattamento;

  • Redazione ed aggiornamento del registro dei trattamenti;

  • Realizzazione di un piano formativo relativo alla protezione dei Dati Personali con sessioni di formazione regolari per tutti i dipendenti;

  • Impegno alla riservatezza da parte dei dipendenti di BRT e di tutte le persone autorizzate al trattamento dei Dati Personali;

  • Coordinamento di una rete di referenti della protezione dei dati che include tutte le nostre filiali sul territorio italiano e tutte le società appartenenti al gruppo di cui BRT fa parte, ovvero GeoPost/DPDGroup.

1.3 Quali Dati Personali vengono raccolti da BRT?

BRT si impegna a raccogliere solo i dati personali strettamente necessari all'erogazione dei servizi richiesti.

BRT richiede normalmente solo dati anagrafici (nome e cognome) e dati di contatto (indirizzo, numero di telefono, email) al fine di effettuare un servizio di trasporto o per la registrazione ad un servizio online.

Se vengono richiesti dati facoltativi, ti verrà fornita una chiara spiegazione dei dati personali di cui BRT ha bisogno per fornire il servizio richiesto e dei dati che potresti decidere di fornire volontariamente.

1.4 Da dove provengono i dati che trattiamo?

Se spedisci un pacco, riceviamo i tuoi Dati Personali quando ci contatti, quando accedi ad una nostra filiale o ad un punto di spedizione.

Se sei il destinatario di una spedizione, riceviamo i tuoi Dati Personali dai mittenti (aziende o persone fisiche), ovvero dai nostri clienti. I tuoi Dati Personali ci vengono forniti, insieme alle informazioni sulla spedizione o alle istruzioni di notifica, principalmente in forma elettronica o tramite i propri o i nostri sistemi di spedizione. Questo avviene nell’ambito del rapporto contrattuale stabilito con te ai sensi dell'articolo 6 (comma 1b) del GDPR, abbiamo infatti bisogno dei tuoi Dati Personali per consegnare la merce che il mittente ti invia. Inoltre, riceviamo i tuoi Dati Personali da altri corrieri che usufruiscono dei nostri servizi per la consegna dei colli, ad esempio se la merce proviene dall'estero riceviamo i tuoi Dati Personali dal nostro partner estero a cui il mittente ha affidato la spedizione.

Infine, riceviamo i Dati Personali direttamente da te stesso quando inserisci informazioni personali nella tua area utente (indirizzo di consegna, preferenze di consegna, ecc.) del nostro sito web.

Se sei un visitatore del nostro sito web, riceviamo i tuoi Dati Personali attraverso varie funzioni del sito web. A tale scopo utilizziamo i cookie o ti chiediamo direttamente informazioni. La nostra priorità è ottimizzare le prestazioni del nostro sito web e fornirti informazioni sui nostri servizi. Puoi limitare i cookie o disabilitarli completamente in qualsiasi momento effettuando l'apposita selezione.

I tuoi Dati Personali saranno utilizzati per proporre altri servizi solo se hai acconsentito a ricevere comunicazioni commerciali. In ogni caso, hai la possibilità di revocare il tuo consenso in qualsiasi momento.

1.5 A chi vengono trasferiti i tuoi dati personali?

I tuoi Dati Personali potranno essere trasferiti a:

  • Vari dipartimenti all'interno di BRT: sono gli uffici preposti allo svolgimento dei servizi richiesti;

  • Fornitori esterni: fornitori di servizi IT, altre tipologie di fornitori, inclusi i nostri fornitori di servizi di trasporto (se applicabile, i dati sono trasmessi alle condizioni previste dall'articolo 28 del GDPR);

  • Società del Gruppo di cui BRT fa parte, per la prestazione dei servizi (se applicabile, in virtù di un accordo di contitolarità sottoscritto tra le parti).

  • Società controllate da BRT (se applicabile, in virtù di un accordo di contitolarità sottoscritto tra le parti).

1.6 I tuoi Dati Personali possono essere trasferiti in paesi extra UE?

BRT svolge tutte le attività di trattamento dei Dati Personali all'interno dell'Unione Europea (UE).

Tuttavia, per alcuni servizi specifici, BRT potrebbe avvalersi di Responsabili del trattamento o partner commerciali situati al di fuori dell'UE. Alcuni dei tuoi Dati Personali potrebbero, pertanto, essere loro trasferiti per la sola finalità di svolgimento dei loro servizi. In tali casi e in conformità con le normative vigenti, BRT richiede ai suoi Responsabili del trattamento di fornire le garanzie necessarie per garantire trasferimenti regolamentati e sicuri, principalmente richiedendo loro la sottoscrizione delle clausole contrattuali standard della Commissione Europea.

1.7 Per quanto tempo BRT conserverà i tuoi Dati Personali?

Vengono applicati periodi di conservazione diversi a seconda dei servizi che forniamo. BRT si impegna a non conservare i tuoi Dati Personali oltre il tempo necessario per l'erogazione del servizio o per il raggiungimento della finalità del trattamento, e, se applicabile, nel rispetto dei periodi di conservazione definiti dai termini di legge relativi.

1.8 Contitolarità

Per l'attuazione del trattamento dei dati personali di cui ai successivi punti 1.7.1 e 1.7.2, BRT determina, congiuntamente ad altre società, le finalità e i mezzi del trattamento. Ai sensi dell'articolo 26 del GDPR, BRT e gli altri titolari del trattamento hanno sottoscritto un accordo di contitolarità. Tale accordo descrive in particolare le responsabilità e gli obblighi di ciascuno dei contitolari del trattamento, i rapporti con gli interessati e le modalità con cui questi ultimi possono esercitare i propri diritti rispetto al GDPR, le misure di sicurezza e riservatezza adottate per proteggere i propri dati personali, i periodi di conservazione definiti, nonché la procedura da attuare in caso di rilevazione di un data breach.

Attualmente BRT ha stipulato accordi di contitolarità con:

- GeoPost SA, sede legale in Issy-les-Moulineaux (Francia) 26 Rue Guynemer, società capogruppo di DPDGroup;

- Fermopoint s.r.l., sede legale in Treviolo (BG) Via Nelson Mandela n. 20, società controllata da BRT.

Di seguito trovi maggiori informazioni in merito ai trattamenti oggetto degli accordi di contitolarità.

1.8.1 Trattamenti di Dati Personali nell’ambito di accordi di contitolarità: GeoPost SA

Consegna spedizioni e interazioni con destinatari non registrati (servizio myBRT per il destinatario)

Finalità: gestione operativa del servizio di consegna e di ritiro della merce (reso), al fine di facilitare il miglioramento e l’efficientamento di tali servizi, comprendente la gestione degli strumenti di consegna, la gestione di ordini/richieste di ritiro, la facilitazione dei servizi di consegna, il tracciamento di pacchi dai destinatari, il miglioramento delle conoscenze e l’interazione con i destinatari ed i potenziali clienti, la gestione dei resi, la raccolta del livello di soddisfazione dei destinatari.

Basi legali: esecuzione del contratto di cui l’interessato è parte (gestione operativa consegna e ritiro), Interesse legittimo dei Contitolari (miglioramento servizio, soddisfazione destinatari), Obbligo di legge (gestione resi).

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, data di nascita, contrassegno, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, etc.).

Conservazione: i dati personali dell’utente saranno conservati per 6 mesi nel database attivo; in seguito, verranno conservati in un database di archivio ad accesso limitato fino al termine previsto dalla legge. L'indirizzo di spedizione è conservato per 3 anni in base alla necessità di disporre di dati affidabili e di poter elaborare pianificazione di itinerari.

Per ulteriori informazioni in merito a questo trattamento, consulta l’informativa specifica myBRT.

  • Customer Services e gestione dei reclami per spedizioni internazionali

Finalità: erogazione dei servizi di Customer Care relativo alle spedizioni internazionali, misurazione della performance dei servizi.

Basi legali: esecuzione di un contratto di cui l’interessato è parte (per la gestione dei reclami), interesse legittimo dei Contitolari (per la misurazione delle performances).

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. indirizzo di spedizione, e-mail, numero di telefono, numero della spedizione, numero della richiesta di ritiro, numero del caso, importo del contrassegno, campi di testo liberi all’interno dei form di richiesta, informazioni sul contenuto del pacco, etc.).

Conservazione: i dati personali dell’utente saranno conservati per 6 mesi dopo la chiusura del caso nel database e 6 mesi nel database di archivio.

  • Controlli “Embargo”

Finalità: individuare eventuali soggetti presenti all'interno delle liste di sanzioni internazionali e spedizioni destinate in paesi oggetto di provvedimenti di embargo.

Basi legali: obbligo di legge.

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome, Cognome, e-mail, indirizzo, numero di telefono, numero della spedizione, risultato dell’indagine).

Conservazione: i dati personali saranno conservati 30 giorni nel database live, da 30 giorni a 2 anni nel database ad accesso ristretto, Da 2 a 10 anni nel database archivio (per obbligo di legge, accesso ristretto solo per l’amministratore di sistema dell’applicativo di controllo).

  • Processi doganali

Finalità: gestione delle notifiche e pagamento di dazi e tasse, generazione di prove di pagamento.

Basi legali: obbligo di legge.

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome, e-mail, numero di telefono, SMS, dati di contatto, numero della spedizione, indirizzo IP, contenuto dei colli associato al valore della merce)

Conservazione: i dati personali saranno conservati 6 mesi nel database live, 5 anni nel database archivio.

  • Consegna spedizioni e interazioni con destinatari registrati (servizio myBRT per il destinatario)

Finalità: gestione operativa del servizio di consegna e di ritiro (reso) della merce al fine di facilitare il miglioramento e l’efficientamento di tali servizi, attività di marketing diretto.

Basi legali: esecuzione del contratto di cui l’interessato è parte (servizio consegna e ritiro), interesse legittimo dei Contitolari (miglioramento servizi), consenso espresso (marketing diretto).

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, data di nascita, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, preferenze di consegna etc.). I dati possono riguardare anche terzi e/o il vicino che ritira il collo al posto del destinatario.

Conservazione: i dati personali saranno conservati per 2 anni dopo l'ultimo collegamento. L'indirizzo di spedizione è conservato per 3 anni in base alla necessità di disporre di dati affidabili e di poter elaborare pianificazione di itinerari.

Per ulteriori informazioni in merito a questo trattamento, consulta l’informativa specifica myBRT.

  • Segnalazioni Whistleblowing

Finalità: Ricezione ed inserimento delle segnalazioni whistleblowing; indagini e follow-up in merito alle segnalazioni; esecuzione di attività di analisi dei dati (per fini statistici) a partire da dati anonimizzati.

Basi legali: obbligo di legge, legittimo interesse.

Dati personali oggetto di trattamento: dati anagrafici del mittente o del segnalante, soltanto nel caso lui/lei scelga di condividerli con BRT, dati personali contenuti nel testo delle segnalazioni e/o nei relativi allegati.

Conservazione: i dati personali saranno conservati in una forma che consenta l'identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.

1.8.2 Trattamento di Dati Personali nell’ambito di accordi di contitolarità: Fermopoint S.r.l.

Consegna spedizioni attraverso la rete di negozi PUDO (PickUp DropOff)

Finalità: gestione operativa del processo operativo di consegna e ritiro della merce attraverso la rete di negozi PUDO.

Basi legali: esecuzione del contratto di cui l’interessato è parte o di misure pre-contrattuali.

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, etc.).

Conservazione: i Dati Personali saranno conservati 12 mesi nel database live, 10 anni nel database di archivio.

1.9 I tuoi Dati Personali sono protetti?

BRT si impegna ad adottare tutte le misure a tutela della sicurezza e riservatezza dei tuoi Dati Personali e, in particolare, a prevenire eventuali danni, cancellazioni o accessi non autorizzati da parte di terzi.

A tal fine, BRT dispone di una politica di sicurezza dei sistemi informativi basata sullo standard ISO 27001, che definisce le linee guida per le buone pratiche di gestione della sicurezza delle informazioni. La policy contempla controlli di sicurezza umani, fisici, organizzativi e tecnici.

Se i tuoi Dati personali sono interessati da una violazione della sicurezza (distruzione, perdita, alterazione o divulgazione), BRT si impegna ad adempiere al suo obbligo di notificare le violazioni dei Dati Personali, in particolare all'Autorità Garante per la protezione dei dati personali e di informarti non appena possibile, nei casi previsti, ai sensi dell'articolo 34 del GDPR.

1.10 Quali sono i tuoi diritti sui tuoi dati personali?

Puoi contattare BRT e le altre società contitolari in qualsiasi momento per esercitare i tuoi diritti previsti dalla normativa vigente in materia di dati personali:

  • Diritto di accesso: puoi ottenere una copia dei tuoi Dati Personali oggetto di trattamento;

  • Diritto di rettifica: puoi aggiornare i tuoi Dati Personali o chiedere di rettificare i tuoi Dati Personali trattati;

  • Diritto di opposizione, in particolare per impedire il marketing diretto: puoi comunicare la tua preferenza a non ricevere marketing diretto o chiedere di interrompere il trattamento dei tuoi Dati Personali;

  • Diritto alla cancellazione: puoi chiedere di cancellare i tuoi Dati Personali;

  • Diritto alla limitazione del trattamento: puoi chiedere di sospendere il trattamento dei tuoi Dati Personali;

  • Diritto alla portabilità dei dati: puoi chiedere di recuperare i tuoi Dati Personali per il riutilizzo.

Ogni volta che ti iscrivi a un servizio o fornisci Dati Personali, ti verrà indicato nelle specifiche informative gli indirizzi a cui possono essere inviate eventuali richieste dell'interessato.

Tutte le richieste devono essere presentate fornendo le informazioni necessarie ad identificare il richiedente. BRT e le altre società contitolari si impegnano a rispondere alle richieste dell'interessato senza indebito ritardo e, comunque, nei tempi previsti dalla legge.

1.11 Destinatari dei Dati Personali

I tuoi Dati Personali possono essere trattati da soggetti esterni operanti in qualità di titolari autonomi quali, a titolo esemplificativo, autorità ed organi di vigilanza e controllo ed in generale soggetti, pubblici o privati, legittimati a richiedere i Dati Personali. I Dati Personali possono altresì essere trattati, per conto delle contitolari, da soggetti esterni designati come responsabili, a cui sono impartite adeguate istruzioni operative. Tali soggetti sono essenzialmente ricompresi nelle seguenti categorie:

a) imprese che offrono servizi di trasporto;

b) imprese e professionisti che offrono servizi bancari, amministrativi, contabili, di tutela del credito e dei diritti delle contitolari;

c) imprese e professionisti che offrono servizi assicurativi;

d) imprese che offrono servizi di gestione, manutenzione e sviluppo dei sistemi informativi delle contitolari;

e) imprese che offrono supporto nella realizzazione di studi di mercato.

1.12 Contatti

Se hai domande sull'uso dei tuoi Dati Personali da parte di BRT, anche riguardo ai trattamenti svolti con altri contitolari, puoi scrivere all'indirizzo: [email protected]

1.13 DPO (responsabile della protezione dei dati)

La nomina di un DPO riflette l'impegno di BRT e delle contitolari a garantire la protezione, la sicurezza e la riservatezza dei Dati personali.

Il DPO di BRT può essere contattato all’indirizzo: [email protected]

Per informazioni in merito a GeoPost SA visita questa pagina: https://www.dpd.com/group/en/data-privacy-policy/

Se ritieni, dopo averci contattato, che i tuoi diritti in relazione ai tuoi dati non siano stati rispettati, puoi presentare un reclamo all'Autorità Garante per la protezione dei dati personali.

1.14 Modifiche alla presente privacy policy

La presente policy viene aggiornata regolarmente. La data di aggiornamento ed il numero di revisione della stessa è indicato in calce.

BRT si riserva il diritto di modificare la propria policy in qualsiasi momento con o senza preavviso. Ti consigliamo quindi di consultare periodicamente il sito web per essere a conoscenza di eventuali modifiche.

1.15 Cookie e servizi di terze parti

Noi e i nostri partner utilizziamo cookie o altri sistemi di tracciamento per facilitare l'uso del sito, migliorare le prestazioni e la sicurezza del sito e proporre pubblicità personalizzata in base al tuo utilizzo e al tuo profilo. Questi cookie, a parte i cookie necessari, richiedono il tuo consenso prima del loro deposito. Le tue scelte saranno valide per i fornitori e le finalità elencate nelle "Impostazioni cookie". Puoi revocare il tuo consenso in qualsiasi momento gestendo i tuoi cookie tramite il pulsante "Cookie" nel piè di pagina del nostro sito web.

2. GLOSSARIO

Tutti i termini in maiuscolo sono definiti come segue:

“Policy aziendale per la protezione dei dati personali”: indica la presente policy che descrive le misure adottate per il trattamento, e la gestione dei tuoi Dati Personali e dei tuoi diritti in qualità di interessato.

“Dati Personali”: Indica qualsiasi informazione relativa a te che può essere utilizzata per identificarti, direttamente o indirettamente come persona fisica.

“Trattamento”: indica qualsiasi operazione, singola o strutturata, effettuata sui tuoi dati personali.

“Data Breach”: indica un incidente di sicurezza che implica la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai tuoi Dati Personali, in modo accidentale o fraudolento.

3. INFORMATIVE

Le informative di seguito elencate descrivono in dettaglio i principali servizi offerti da BRT:

- informativa CLIENTI dedicata ai clienti che ci affidano le loro spedizioni;

- informativa DESTINATARI dedicata ai destinatari delle spedizioni;

- informativa myBRT dedicata a coloro che usufruiscono del servizio myBRT.