L’informativa privacy per fornitori è un testo che spiega in modo chiaro e trasparente quali dati personali dell’operatore economico (e dei suoi referenti) vengono raccolti dall’azienda, per quali finalità vengono trattati e su quale base giuridica (ad esempio esecuzione del contratto o obblighi normativi). Serve a garantire il rispetto della normativa sulla protezione dei dati (come il GDPR), informando i fornitori sui diritti esercitabili — accesso, rettifica, cancellazione, limitazione, opposizione, portabilità — nonché sui tempi di conservazione, sulle misure di sicurezza adottate e su eventuali trasferimenti o comunicazioni a terzi. In sintesi, è lo strumento che tutela la trasparenza e la responsabilità del titolare del trattamento nei confronti dei soggetti coinvolti nel rapporto commerciale.
Come scrivere Informativa privacy per fornitori
L’informativa privacy rivolta ai fornitori deve chiarire in modo comprensibile e completo chi è il titolare del trattamento, indicando la ragione sociale, la sede legale e i contatti utili per esercitare i diritti (indirizzo postale e indirizzo e‑mail), nonché, se nominato, il responsabile della protezione dei dati (DPO) con i relativi recapiti. È importante specificare le finalità per cui i dati personali sono raccolti e trattati: ad esempio esecuzione e gestione del contratto di fornitura, fatturazione e adempimenti contabili e fiscali, controllo qualità, attività di logistica e trasporto, verifica dei requisiti di conformità normativa, gestione dei pagamenti, prevenzione di frodi e screening sanzioni, valutazioni di solvibilità e, dove previsto, attività di marketing o invio di comunicazioni commerciali. Per ciascuna finalità va indicata la base giuridica del trattamento ai sensi del GDPR, precisando quando il trattamento è necessario per l’esecuzione del contratto (art. 6(1)(b)), quando è obbligatorio per adempiere a obblighi di legge (art. 6(1)(c)), quando si fonda sul legittimo interesse del titolare (art. 6(1)(f)) con una sintetica descrizione dell’interesse perseguito e dell’equilibrio degli interessi, o quando si basa sul consenso dell’interessato (art. 6(1)(a)). Se sono trattate categorie particolari di dati (dati sensibili o giudiziari), l’informativa deve spiegare la specifica base giuridica che legittima tali trattamenti e le eventuali misure di garanzia adottate (ad esempio consenso esplicito o disposizioni normative che autorizzano il trattamento).
Deve essere chiaramente indicato quali categorie di dati personali sono trattate: dati identificativi e anagrafici del soggetto o del referente aziendale, dati di contatto (telefono, e‑mail), dati fiscali e bancari necessari per la fatturazione e i pagamenti (partita IVA, codice fiscale, coordinate bancarie), dati contrattuali e documentazione amministrativo‑contabile, eventuali dati relativi a certificazioni e qualifiche, dati acquisiti tramite strumenti di controllo accessi o videosorveglianza se presenti nei locali, nonché eventuali informazioni raccolte tramite controlli di credito, antiriciclaggio o compliance. L’informativa dovrebbe anche specificare l’eventuale origine dei dati quando non provengono direttamente dall’interessato, per esempio dati ricevuti da altri soggetti del gruppo, banche dati pubbliche o da terze parti incaricate di verifiche.
Occorre descrivere i destinatari o le categorie di destinatari dei dati: dipendenti e uffici interni coinvolti nella gestione dei fornitori, società del gruppo, consulenti esterni quali studi legali, revisori e consulenti fiscali, istituti bancari, corrieri e società di logistica, provider ICT che erogano servizi cloud o gestiscono sistemi informativi, società di credit scoring o di anti‑fraud, autorità giudiziarie o amministrative quando la comunicazione sia imposta dalla legge. L’informativa deve inoltre segnalare la possibilità di avvalersi di responsabili esterni del trattamento (fornitori di servizi) e informare che tali soggetti sono nominati con appositi contratti che prevedono obblighi di sicurezza e limiti d’uso dei dati.
Qualora sia prevista la trasferimento di dati personali verso paesi terzi non appartenenti all’Unione Europea o che non sono stati riconosciuti con decisione di adeguatezza dalla Commissione europea, l’informativa deve indicare la destinazione del trasferimento e le garanzie adottate per proteggere i dati, come clausole contrattuali standard, regole vincolanti d’impresa (BCR) o misure aggiuntive di sicurezza, nonché le modalità per ottenere copia delle garanzie o ulteriori informazioni su di esse. Se il trasferimento è basato sul consenso dell’interessato o su eccezioni specifiche previste dalla normativa, ciò va esplicitato.
La comunicazione relativa al periodo di conservazione dei dati deve essere chiara: vanno indicati i criteri usati per determinare i tempi di conservazione, come la durata del rapporto contrattuale e i tempi minimi richiesti dalle norme fiscali e contabili (a titolo esemplificativo, le disposizioni nazionali possono imporre conservazioni fino a un certo numero di anni per documenti fiscali e contabili), nonché il periodo di conservazione per finalità di responsabilità legale, reclamazioni e obblighi di compliance. Quando non è possibile fornire un termine preciso, l’informativa deve spiegare i criteri che determinano la durata della conservazione.
Deve essere spiegato in modo concreto come l’interessato può esercitare i diritti riconosciuti dal GDPR: diritto di accesso, rettifica, cancellazione (diritto all’oblio), limitazione del trattamento, opposizione al trattamento per motivi legittimi, portabilità dei dati quando applicabile, nonché il diritto di revocare il consenso senza pregiudicare la liceità dei trattamenti basati sul consenso prima della revoca. Vanno indicati i canali e le modalità per esercitare tali diritti (indirizzo e‑mail, posta ordinaria, modulo dedicato) e i tempi entro i quali il titolare risponderà. L’informativa deve infine ricordare il diritto di proporre reclamo all’autorità di controllo competente (in Italia il Garante per la protezione dei dati personali), fornendo il riferimento all’autorità stessa.
È opportuno informare sulle conseguenze, pratiche e giuridiche, di un eventuale rifiuto nel fornire i dati richiesti: se alcuni dati sono necessari per instaurare, eseguire o adempiere il contratto, il mancato conferimento può implicare l’impossibilità di procedere con l’attivazione del rapporto contrattuale o di eseguire correttamente gli obblighi contrattuali. Quando il trattamento si basa sul legittimo interesse, l’informativa dovrebbe spiegare in che modo l’interessato può opporsi e come verranno valutate eventuali opposizioni.
Deve essere menzionata l’esistenza di eventuali processi decisionali automatizzati, incluse la profilazione, con una spiegazione della logica utilizzata, delle conseguenze previste per l’interessato e delle misure previste per tutelare i suoi diritti; se non sono previste decisioni automatizzate significative, è comunque utile dichiararlo esplicitamente. L’informativa dovrebbe anche descrivere, in termini generali, le misure tecniche e organizzative adottate per la protezione dei dati personali, come crittografia, controlli di accesso, backup, politiche di sicurezza interne e formazione del personale, in modo da rassicurare sul livello di tutela senza però entrare in dettagli che possano compromettere la sicurezza.
Infine, è buona prassi indicare la disponibilità di ulteriori informazioni contrattuali o regolamenti interni collegati (ad esempio policy di sicurezza, clausole contrattuali specifiche sul trattamento dati) e precisare che l’informativa può essere soggetta ad aggiornamenti, specificando come verranno comunicate le modifiche (ad esempio pubblicazione sul sito o invio di comunicazione) e la data dell’ultimo aggiornamento. Il linguaggio dell’informativa deve essere semplice e accessibile, evitando termini giuridici complessi dove possibile, in modo che i referenti dei fornitori possano comprendere pienamente come vengono trattati i loro dati.
Esempio Informativa privacy per fornitori
Titolare del trattamento: _______________
Sede legale: _______________
Referente interno per il trattamento dei dati: _______________ (telefono: _______________, email: _______________)
Responsabile della protezione dei dati (DPO), se nominato: _______________ (email: _______________)
Finalità del trattamento e base giuridica
I dati personali forniti dal Fornitore saranno trattati per le seguenti finalità:
– Gestione del rapporto contrattuale e esecuzione degli obblighi derivanti da contratti di fornitura (inclusi ordini, consegne, fatturazione, pagamenti, garanzie): base giuridica: esecuzione del contratto e misure precontrattuali richieste dal Fornitore.
– Adempimenti fiscali, contabili e amministrativi previsti dalla legge: base giuridica: obbligo legale.
– Tutela del credito, gestione delle eventuali controversie e difesa in giudizio: base giuridica: interesse legittimo del Titolare e/o esecuzione del contratto.
– Valutazione della qualità del servizio e attività di supporto tecnico e commerciale: base giuridica: esecuzione del contratto e/o legittimo interesse.
– Finalità di prevenzione e contrasto di frodi, riciclaggio e altre attività illecite: base giuridica: obbligo legale e/o legittimo interesse.
– Eventuali attività di profilazione o processi decisionali automatizzati, se applicabili: base giuridica: consenso esplicito o interesse legittimo (specificare quale) _______________.
Categorie di dati trattati
– Dati identificativi e anagrafici: ragione sociale, nome e cognome del referente, codice fiscale/partita IVA, data di nascita (se applicabile).
– Dati di contatto: indirizzo, numeri di telefono, email, PEC.
– Dati contrattuali e commerciali: condizioni contrattuali, ordini, liste prezzi, condizioni di fornitura.
– Dati fiscali e contabili: dati per fatturazione, coordinate bancarie, documentazione fiscale.
– Dati relativi a solvibilità e credito: informazioni creditizie, segnalazioni da banche dati quando consentito dalla legge.
– Dati relativi a conformità normativa e certificazioni (es. certificazioni di qualità, sicurezza): _______________.
– Eventuali altri dati necessari per l’esecuzione del contratto o richiesti per obblighi di legge: _______________.
Fonte dei dati
I dati vengono raccolti direttamente dal Fornitore o dai suoi rappresentanti. Possono inoltre provenire da soggetti terzi quali consulenti, enti pubblici, banche dati ufficiali o segnalazioni di terzi (ad esempio segnalazioni creditizie): _______________.
Modalità del trattamento
I trattamenti saranno effettuati con strumenti cartacei, elettronici e telematici, adottando misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l’integrità e la disponibilità dei dati, conformemente al Regolamento UE 2016/679 (GDPR) e alla normativa nazionale vigente.
Comunicazione e categorie di destinatari
I dati potranno essere comunicati a:
– Società del gruppo e controllate per finalità connesse al rapporto contrattuale: _______________.
– Consulenti, professionisti, studi legali e tributari, società di consulenza e assistenza tecnica che svolgono attività per conto del Titolare (responsabili esterni): _______________.
– Istituti bancari e operatori finanziari per le attività di pagamento e gestione del credito: _______________.
– Autorità pubbliche e soggetti cui la comunicazione sia obbligatoria per legge: _______________.
– Fornitori di servizi IT e hosting con funzione di supporto tecnico: _______________.
I destinatari operano in qualità di autonomi titolari o come responsabili del trattamento, secondo quanto stabilito dal Titolare.
Trasferimenti internazionali di dati
I dati potranno essere trasferiti verso paesi terzi al di fuori dello Spazio Economico Europeo solo se necessario e con adeguate garanzie (ad es. clausole contrattuali tipo, decisione di adeguatezza della Commissione Europea, misure di sicurezza): destinazioni previste: _______________. Le garanzie applicate saranno: _______________.
Periodo di conservazione
I dati saranno conservati per il tempo necessario alle finalità per le quali sono trattati e in conformità agli obblighi di legge. Indicativamente:
– Dati contabili e fiscali: conservazione per _______________ anni dall’anno di riferimento.
– Dati relativi al rapporto contrattuale: per tutta la durata del rapporto e per ulteriori _______________ anni successivi per eventuali responsabilità e prescrizioni.
– Dati trattati per finalità di difesa in giudizio: fino al termine delle controversie e degli eventuali termini di prescrizione applicabili.
Termini di conservazione specifici: _______________.
Obbligo di conferimento dei dati e conseguenze del rifiuto
Il conferimento dei dati contrattuali e fiscali è necessario per la gestione del rapporto e l’adempimento degli obblighi di legge. Il mancato conferimento comporta l’impossibilità di instaurare o proseguire il rapporto contrattuale e di eseguire pagamenti, emissione fatture o adempiere agli obblighi previsti dalla normativa vigente.
Diritti dell’interessato
L’interessato ha il diritto di:
– ottenere l’accesso ai propri dati personali e una copia degli stessi;
– ottenere la rettifica di dati inesatti o l’integrazione di dati incompleti;
– ottenere la cancellazione dei dati (diritto all’oblio) nei casi previsti dalla normativa;
– ottenere la limitazione del trattamento nei casi previsti dalla normativa;
– opporti al trattamento dei dati basato su interesse legittimo, inclusa la profilazione; quando il trattamento è basato su consenso, revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
– ottenere la portabilità dei dati forniti quando il trattamento è basato sul consenso o sull’esecuzione di un contratto e il trattamento è effettuato con mezzi automatizzati;
– proporre reclamo all’Autorità di controllo (Garante per la protezione dei dati personali) o adire le vie giudiziarie.
Per esercitare i diritti l’interessato può contattare il Titolare inviando una richiesta a: email _______________, indirizzo postale _______________. Per il DPO (se nominato): email _______________.
Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato. Le misure comprendono controlli di accesso, cifratura ove applicabile, backup e procedure di gestione degli incidenti di sicurezza.
Profilazione e decisioni automatizzate
Per eventuali trattamenti che comportino profilazione o decisioni automatizzate, il Titolare fornisce informazioni specifiche e, se necessario, richiede il consenso esplicito dell’interessato. Descrizione delle eventuali logiche, significato e conseguenze previste per l’interessato: _______________. Se non sono effettuati processi di profilazione/decisione automatizzata indicare: nessuna profilazione/decisione automatizzata è effettuata.
Aggiornamenti dell’informativa
Questa informativa può essere aggiornata nel tempo per adeguarsi a modifiche normative o organizzative. Eventuali modifiche saranno comunicate mediante pubblicazione su: _______________ o invio di comunicazione a: _______________.
Informazioni ulteriori
Per qualsiasi richiesta o informazione relativa al trattamento dei dati personali, contattare il Titolare all’indirizzo email _______________ o al recapito telefonico _______________. Per reclami, è possibile rivolgersi al Garante per la protezione dei dati personali: indirizzo/contatti _______________.