1. Policy aziendale per la protezione dei dati personali

La presente policy è parte integrante del sistema di gestione di BRT S.p.A. (di seguito “BRT”) per la protezione dei Dati Personali e descrive i principi e le linee guida che BRT applica per proteggere i tuoi Dati Personali.

È stata redatta allo scopo di chiarirti:

  • la natura dei Dati Personali che raccogliamo ed i motivi per cui li raccogliamo;

  • in che modo usiamo i tuoi Dati Personali;

  • i tuoi diritti in qualità di interessato.

Questa policy si applica ai trattamenti dei dati personali nel contesto delle attività di gestione delle spedizioni affidate a BRT ed ai servizi erogati da BRT on-line. Tutte le operazioni sui tuoi Dati Personali sono svolte nel rispetto della normativa vigente ed in particolare del Regolamento Europeo sulla protezione dei dati personali (Reg. UE 2016/679 di seguito “GDPR”), e del Codice in materia di protezione dei dati personali (Dlgs. 196/2003 e ss.mm., di seguito “Codice della Privacy”).

1.1 In che modo BRT gestisce la protezione dei dati personali?

BRT tiene conto della protezione dei tuoi Dati personali e della privacy fin dalla progettazione di nuovi prodotti e servizi (principi di "privacy by design" e "privacy by default") e, se del caso, quando questi prodotti o servizi vengono rivisti o aggiornati. Per garantire la sicurezza dei tuoi Dati Personali e salvaguardare il corretto esercizio dei tuoi diritti, BRT implementa misure volte a proteggere i tuoi Dati Personali come:

  • Adozione di procedure per l'esercizio dei diritti degli interessati ed in caso di violazione dei Dati Personali;

  • Svolgimento di indagini/audit sulla sicurezza informatica e sulla conformità al GDPR prima dell'implementazione di un progetto o di un'applicazione;

  • Verifica delle garanzie presentate rispetto ai requisiti del GDPR dai fornitori che gestiscono Dati Personali per conto di BRT;

  • Svolgimento di audit interni con la formulazione di raccomandazioni ed il monitoraggio ed aggiornamento delle azioni di miglioramento;

  • Definizione, unitamente ai responsabili interni del business, di periodi di conservazione dei Dati Personali pertinenti e ragionevoli, non eccedenti il ​​tempo necessario per raggiungere la finalità del trattamento;

  • Redazione ed aggiornamento del registro dei trattamenti;

  • Realizzazione di un piano formativo relativo alla protezione dei Dati Personali con sessioni di formazione regolari per tutti i dipendenti;

  • Coordinamento di una rete di referenti della protezione dei dati che include tutte le nostre filiali sul territorio italiano e tutte le società appartenenti al gruppo di cui BRT fa parte, ovvero GeoPost/DPDGroup.

1.2 Quali Dati Personali vengono raccolti da BRT?

BRT si impegna a raccogliere solo i dati strettamente necessari all'erogazione dei servizi richiesti.

Se vengono richiesti dati facoltativi, ti verrà fornita una chiara spiegazione dei Dati Personali di cui BRT ha bisogno per fornire il servizio richiesto e dei dati che potresti decidere di fornire volontariamente.

1.3 Da dove provengono i dati che trattiamo?

Se spedisci un pacco, riceviamo i tuoi dati quando ci contatti, quando accedi ad una nostra filiale o ad un punto di spedizione.

Se sei il destinatario di una spedizione, riceviamo i tuoi dati dai mittenti (aziende o persone fisiche), ovvero dai nostri clienti. I tuoi dati ci vengono forniti, insieme alle informazioni sulla spedizione o alle istruzioni di notifica, principalmente in forma elettronica o tramite i propri o i nostri sistemi di spedizione. Questo avviene nell’ambito del rapporto contrattuale stabilito con te ai sensi dell'articolo 6 (comma 1b) del GDPR, abbiamo infatti bisogno dei tuoi Dati Personali per consegnare la merce che il mittente ti invia. Inoltre, riceviamo i tuoi dati da altri corrieri che usufruiscono dei nostri servizi per la consegna dei colli, ad esempio se la merce proviene dall'estero riceviamo i tuoi Dati Personali dal nostro partner estero a cui il mittente ha affidato la spedizione.

Infine, riceviamo i dati direttamente da te stesso quando inserisci informazioni personali nella tua area utente (indirizzo di consegna, preferenze di consegna, ecc.) del nostro sito web.

Se sei un visitatore del nostro sito web, riceviamo i tuoi dati attraverso varie funzioni del sito web. A tale scopo utilizziamo i cookie o ti chiediamo direttamente informazioni. La nostra priorità è ottimizzare le prestazioni del nostro sito web e fornirti informazioni sui nostri servizi. Puoi limitare i cookie o disabilitarli completamente in qualsiasi momento effettuando l'apposita selezione.

I tuoi Dati Personali saranno utilizzati per proporre altri servizi solo se hai acconsentito a ricevere comunicazioni commerciali. In ogni caso, hai la possibilità di revocare il tuo consenso in qualsiasi momento.

1.4 A chi vengono trasferiti i tuoi dati personali?

I tuoi dati potranno essere trasferiti a:

-  Vari dipartimenti all'interno di BRT: sono gli uffici preposti allo svolgimento dei servizi richiesti;

- Fornitori esterni: fornitori di servizi IT, altre tipologie di fornitori, inclusi i nostri fornitori di servizi di trasporto (se applicabile, i dati sono trasmessi alle condizioni previste dall'articolo 28 del GDPR);

- Società del Gruppo di cui BRT fa parte, per la prestazione dei servizi (se applicabile, in virtù di un accordo di contitolarità sottoscritto tra le parti).

- Società controllate da BRT (se applicabile, in virtù di un accordo di contitolarità sottoscritto tra le parti).

1.5 I tuoi Dati Personali possono essere trasferiti in paesi extra UE?

BRT svolge tutte le attività di trattamento dei Dati Personali all'interno dell'Unione Europea (UE).

Tuttavia, per alcuni servizi specifici, BRT potrebbe avvalersi di Responsabili del trattamento o partner commerciali situati al di fuori dell'UE. Alcuni dei tuoi Dati Personali potrebbero, pertanto, essere loro trasferiti per la sola finalità di svolgimento dei loro servizi. In tali casi e in conformità con le normative vigenti, BRT richiede ai suoi Responsabili del trattamento di fornire le garanzie necessarie per garantire trasferimenti regolamentati e sicuri, principalmente richiedendo loro la sottoscrizione delle clausole contrattuali standard della Commissione Europea.

1.6 Per quanto tempo BRT conserverà i tuoi Dati Personali?

Vengono applicati periodi di conservazione diversi a seconda dei servizi che forniamo. BRT si impegna a non conservare i tuoi Dati Personali oltre il tempo necessario per l'erogazione del servizio o per il raggiungimento della finalità del trattamento, e, se applicabile, nel rispetto dei periodi di conservazione definiti dai termini di legge relativi.

1.7 Contitolarità

Per l'attuazione del trattamento dei dati personali di cui ai successivi punti 1.7.1 e 1.7.2, BRT determina, congiuntamente ad altre società, le finalità e i mezzi del trattamento. Ai sensi dell'articolo 26 del GDPR, BRT e gli altri titolari del trattamento hanno sottoscritto un accordo di contitolarità. Tale accordo descrive in particolare le responsabilità e gli obblighi di ciascuno dei contitolari del trattamento, i rapporti con gli interessati e le modalità con cui questi ultimi possono esercitare i propri diritti rispetto al GDPR, le misure di sicurezza e riservatezza adottate per proteggere i propri dati personali, i periodi di conservazione definiti, nonché la procedura da attuare in caso di rilevazione di un data breach.

Attualmente BRT ha stipulato accordi di contitolarità con:

- GeoPost SA, sede legale in Issy-les-Moulineaux (Francia) 26 Rue Guynemer, società capogruppo di DPDGroup;

- Fermopoint s.r.l., sede legale in Treviolo (BG) Via Nelson Mandela n. 20, società controllata da BRT.

Di seguito trovi maggiori informazioni in merito ai trattamenti oggetto degli accordi di contitolarità.

1.7.1 Trattamenti di Dati Personali nell’ambito di accordi di contitolarità: GeoPost SA

- Consegna spedizioni e interazioni con destinatari non registrati (servizio myBRT per il destinatario)

Finalità: gestione operativa del servizio di consegna e di ritiro della merce (reso), al fine di facilitare il miglioramento e l’efficientamento di tali servizi.

Basi legali: esecuzione del contratto di cui l’interessato è parte, Interesse legittimo dei Contitolari, Obbligo di legge.

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, data di nascita, contrassegno, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, etc.).

Conservazione: i dati personali dell’utente saranno conservati per 6 mesi nel database attivo; in seguito, verranno conservati in un database di archivio ad accesso limitato fino al termine previsto dalla legge. L'indirizzo di spedizione è conservato per 3 anni in base alla necessità di disporre di dati affidabili e di poter elaborare pianificazione di itinerari.

Per ulteriori informazioni in merito a questo trattamento, consulta l’informativa specifica myBRT.

- Customer Services e gestione dei reclami per spedizioni internazionali

Finalità: erogazione dei servizi di Customer Care relativo alle spedizioni internazionali, misurazione della performance dei servizi.

Basi legali: esecuzione di un contratto di cui l’interessato è parte (per la gestione dei reclami), interesse legittimo dei Contitolari (per la misurazione delle performances).

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. indirizzo di spedizione, e-mail, numero di telefono, numero della spedizione, numero della richiesta di ritiro, numero del caso, importo del contrassegno, campi di testo liberi all’interno dei form di richiesta, informazioni sul contenuto del pacco, etc.).

Conservazione: i dati personali dell’utente saranno conservati per 6 mesi dopo la chiusura del caso nel database e 6 mesi nel database di archivio.

- Controlli “Embargo”

Finalità: individuare eventuali soggetti presenti all'interno delle liste di sanzioni internazionali e spedizioni destinate in paesi oggetto di provvedimenti di embargo.

Basi legali: obbligo di legge.

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome, Cognome, e-mail, indirizzo, numero di telefono, numero della spedizione, risultato dell’indagine).

Conservazione: i dati personali saranno conservati 30 giorni nel database live, da 30 giorni a 2 anni nel database ad accesso ristretto, Da 2 a 10 anni nel database archivio (per obbligo di legge, accesso ristretto solo per l’amministratore di sistema dell’applicativo di controllo).

- Processi doganali

Finalità: gestione delle notifiche e pagamento di dazi e tasse, generazione di prove di pagamento.

Basi legali: obbligo di legge.

Dati personali oggetto di trattamento: dati comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome, e-mail, numero di telefono, SMS, dati di contatto, numero della spedizione, indirizzo IP, contenuto dei colli associato al valore della merce)

Conservazione: i dati personali saranno conservati 6 mesi nel database live, 5 anni nel database archivio.

- Consegna spedizioni e interazioni con destinatari registrati (servizio myBRT per il destinatario)

Finalità: gestione operativa del servizio di consegna e di ritiro (reso) della merce al fine di facilitare il miglioramento e l’efficientamento di tali servizi, attività di marketing diretto.

Basi legali: esecuzione del contratto di cui l’interessato è parte, interesse legittimo dei Contitolari, consenso espresso.

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, data di nascita, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, preferenze di consegna etc.). I dati possono riguardare anche terzi e/o il vicino che ritira il collo al posto del destinatario.

Conservazione: i dati personali saranno conservati per 2 anni dopo l'ultimo collegamento. L'indirizzo di spedizione è conservato per 3 anni in base alla necessità di disporre di dati affidabili e di poter elaborare pianificazione di itinerari.

Per ulteriori informazioni in merito a questo trattamento, consulta l’informativa specifica myBRT.

1.7.2 Trattamento di Dati Personali nell’ambito di accordi di contitolarità: Fermopoint S.r.l.

Consegna spedizioni attraverso la rete di negozi PUDO (PickUp DropOff)

Finalità: gestione operativa del processo operativo di consegna e ritiro della merce attraverso la rete di negozi PUDO.

Basi legali: esecuzione del contratto di cui l’interessato è parte o di misure pre-contrattuali.

Dati personali oggetto di trattamento: dati anagrafici comuni del mittente o del destinatario, se o soltanto quando questo è una persona fisica (es. Nome/cognome, nome utente, e-mail, indirizzo, numero di telefono, numero della spedizione, recapiti, informazioni aggiuntive necessarie per il controllo dell'identità, etc.).

Conservazione: i Dati Personali saranno conservati 12 mesi nel database live, 10 anni nel database di archivio

1.8 I tuoi Dati Personali sono protetti?

BRT si impegna ad adottare tutte le misure a tutela della sicurezza e riservatezza dei tuoi Dati Personali e, in particolare, a prevenire eventuali danni, cancellazioni o accessi non autorizzati da parte di terzi.

A tal fine, BRT dispone di una politica di sicurezza dei sistemi informativi basata sullo standard ISO 27001, che definisce le linee guida per le buone pratiche di gestione della sicurezza delle informazioni. La policy contempla controlli di sicurezza umani, fisici, organizzativi e tecnici.

Se i tuoi Dati personali sono interessati da una violazione della sicurezza (distruzione, perdita, alterazione o divulgazione), BRT si impegna ad adempiere al suo obbligo di notificare le violazioni dei Dati Personali, in particolare all'Autorità Garante per la protezione dei dati personali e di informarti non appena possibile, nei casi previsti, ai sensi dell'articolo 34 del GDPR.

1.9 Quali sono i tuoi diritti sui tuoi dati personali?

Puoi contattare BRT in qualsiasi momento per esercitare i tuoi diritti previsti dalla normativa vigente in materia di dati personali:

  • Diritto di accesso: puoi ottenere una copia dei tuoi Dati Personali oggetto di trattamento da parte di BRT;

  • Diritto di rettifica: puoi aggiornare i tuoi Dati Personali o chiederci di rettificare i tuoi Dati Personali trattati da BRT;

  • Diritto di opposizione, in particolare per impedire il marketing diretto: puoi comunicare la tua preferenza a non ricevere marketing diretto da BRT o chiedere a BRT di interrompere il trattamento dei tuoi Dati Personali;

  • Diritto alla cancellazione: puoi chiedere a BRT di cancellare i tuoi Dati Personali;

  • Diritto alla limitazione del trattamento: puoi chiedere a BRT di sospendere il trattamento dei tuoi Dati Personali;

  • Diritto alla portabilità dei dati: puoi chiedere a BRT di recuperare i tuoi Dati Personali per il riutilizzo.

Ogni volta che ti iscrivi a un servizio o fornisci Dati Personali, BRT indicherà nelle specifiche informative gli indirizzi a cui possono essere inviate eventuali richieste dell'interessato.

Tutte le richieste devono essere presentate fornendo le informazioni necessarie ad identificare il richiedente. BRT si impegna a rispondere alle richieste dell'interessato senza indebito ritardo e, comunque, nei tempi previsti dalla legge.

1.10 Contatti

Se hai domande sull'uso dei tuoi dati da parte di BRT, anche riguardo ai trattamenti svolti con altri contitolari, puoi contattarci all'indirizzo [email protected].

1.11 DPO (responsabile della protezione dei dati)

La nomina di un DPO riflette l'impegno di BRT a garantire la protezione, la sicurezza e la riservatezza dei Dati personali.

Il nostro DPO può essere contattato all’indirizzo: [email protected]

Se ritieni, dopo averci contattato, che i tuoi diritti in relazione ai tuoi dati non siano stati rispettati, puoi presentare un reclamo all'Autorità Garante per la protezione dei dati personali.

1.12 Modifiche alla presente privacy policy

La presente policy viene aggiornata regolarmente. La data di aggiornamento ed il numero di revisione della stessa è indicato in calce.

BRT si riserva il diritto di modificare la propria policy in qualsiasi momento con o senza preavviso. Ti consigliamo quindi di consultare periodicamente il sito web per essere a conoscenza di eventuali modifiche.

1.13 Cookie e servizi di terze parti

Noi e i nostri partner utilizziamo cookie o altri sistemi di tracciamento per facilitare l'uso del sito, migliorare le prestazioni e la sicurezza del sito e proporre pubblicità personalizzata in base al tuo utilizzo e al tuo profilo. Questi cookie, a parte i cookie necessari, richiedono il tuo consenso prima del loro deposito. Le tue scelte saranno valide per i fornitori e le finalità elencate nelle "Impostazioni cookie". Puoi revocare il tuo consenso in qualsiasi momento gestendo i tuoi cookie tramite il pulsante "Cookie" nel piè di pagina del nostro sito web.

2. GLOSSARIO

Tutti i termini in maiuscolo sono definiti come segue:

“Policy aziendale per la protezione dei dati personali”: indica la presente policy che descrive le misure adottate per il trattamento, e la gestione dei tuoi Dati Personali e dei tuoi diritti in qualità di interessato.

“Dati Personali”: Indica qualsiasi informazione relativa a te che può essere utilizzata per identificarti, direttamente o indirettamente come persona fisica.

“Trattamento”: indica qualsiasi operazione, singola o strutturata, effettuata sui tuoi dati personali.

 “Data Breach”: indica un incidente di sicurezza che implica la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai tuoi Dati Personali, in modo accidentale o fraudolento.

3. INFORMATIVE

Le informative di seguito elencate descrivono in dettaglio i principali servizi offerti da BRT.

- informativa CLIENTI dedicata ai clienti che ci affidano le loro spedizioni;

- informativa DESTINATARI dedicata ai destinatari delle spedizioni;

- informativa myBRT dedicata a coloro che usufruiscono del servizio myBRT.