Informativa privacy consulenti partner fornitori 2025

INFORMAZIONI SUL TRA TTAMENTO DEI DATI AR T. 13 DEL RE GOLAMENTO (UE) 2 016/679
La presente Privacy Policy viene resa ai sensi della normativa sulla protezione dei dati personali applicabile, in relazione ai dati personali trattati dalla società ITALIAN EXHIBITION GROUP S.p.A. (“IEG”) e/o dalle altre società dalla stessa Controllate elencate nella seguente tabella (le “Società Controllate”), che:
• organizzano, ospitano, anche insieme a terzi partners e/o in favore di soggetti terzi, manifestazioni, mostre, eventi, convegni/congressi, workshop, webinar e/o business meeting, fisici e/o virtuali (gli “Eventi”), o
• erogano servizi e prodotti (a titolo esemplificativo ma non esaustivo: ristorazione, allestimenti, pulizia e facchinaggio, formazione, editoria, servizi di manifestazione, ecc.) (i “Servizi”).
Sono dati personali (i “dati”) i dati consistenti in qualsiasi informazione che sia collegata o collegabile a i) soggetti qualificabili come “interessati” ai sensi del Regolamento UE 679/2016 (“GDPR”) (cioè, persone fisiche, ditte individuali e/o società di persone o altre organizzazioni a base soggettiva ristretta alle quali si riferiscono i dati personali) e/o ii) altri soggetti sostanzialmente assimilati agli interessati dalla normativa UE o estera sulla protezione dei dati applicabile al relativo trattamento.
Il trattamento dei dati include, secondo i casi, operazioni di registrazione, organizzazione, conservazione ed elaborazione su supporti cartacei, magnetici, automatizzati o telematici, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione tra dati in base a criteri qualitativi, quantitativi e temporali, ricorrenti o definibili volta per volta, trattamento temporaneo finalizzato ad una rapida aggregazione o alla trasformazione dei dati stessi, comunicazione, cancellazione e distruzione dei dati, o combinazioni di due o più delle operazioni suddette, in base a quanto reso necessario dalle finalità di cui oltre.
Categorie di interessati. Operazioni di trattamento e modalità di raccolta.
I dati trattati possono riguardare a) fornitori, collaboratori, partner, prestatori d’opera/servizi, appaltanti e appaltatori, concedenti spazi espositivi e/o pubblicitari, consulenti, nonché comodanti, comodatari, locatori e locatari di spazi, agenti, e b) soggetti che potenzialmente possono assumere uno dei suddetti ruoli.
Le categorie di dati raccolti (es. dati anagrafici, identificativi, fiscali, economico-patrimoniali e finanziari) sono indicate nella modulistica di raccolta dati o nel contratto a cui si riferisce la presente informativa, inoltre possono riferirsi a referenti interni o subfornitori dell’organizzazione delle predette categorie di interessati (es. legali rappresentanti, amministratori, dipendenti, ecc.). Nel caso in cui l’interessato comunichi dati di terzi soggetti, garantisce di avere raccolto il loro consenso, eventualmente necessario per legge, in relazione a tale comunicazione.
La raccolta dati avviene tramite contratto stipulato tra le parti o form on-line. Nel solo caso di partecipazione a Eventi (quali ad esempio manifestazioni orafe) che, per motivi di sicurezza dei locali e/o dei beni ivi esposti al pubblico, richiedano la creazione di un cartellino identificativo con fototessera, una fotografia dell’interessato potrà essere raccolta anche mediante sessione fotografica svolta da operatori autorizzati da IEG o dalle Società Controllate, all’ingresso delle proprie strutture.
Il trattamento avverrà con strumenti elettronici e cartacei e con logiche connesse alle singole finalità sotto dichiarate. I dati raccolti potranno essere trattati dagli Autorizzati di primo e secondo livello, incaricati per iscritto da IEG o dalle Società Controllate, che abbiano necessità di venirne a conoscenza nell’espletamento delle proprie attività (es. uffici legale, commerciale, marketing, amministrativo, logistico, IT, controllo di gestione, ecc.).
Finalità del trattamento
Il trattamento ha le seguenti finalità:
1. Adempimento di obblighi contrattuali (di fornitura, di collaborazione, di partnership, di prestazione d’opera o di servizi, di appalto, di concessione di spazi espositivi e/o pubblicitari, di consulenza, di comodato, di locazione, di agenzia) e/o previsti da leggi, da regolamenti o dalla normativa comunitaria e/o dalle diverse normative applicabili nei paesi delle Società Controllate.
2. Esigenze pre-contrattuali (trattative, scambi di proposte commerciali, ecc.) e/o gestione organizzativa del contratto stipulato (di fornitura, di collaborazione, di partnership, di prestazione d’opera o di servizi, di appalto, di concessione di spazi espositivi e/o pubblicitari, di consulenza, di comodato, di locazione, di agenzia) e delle attività in generale connesse all’Evento/ Servizio e/o Prodotto cui le attività previste dal contratto si riferiscono (es. pianificazione ed esecuzione di prestazioni, gestione dei rapporti con altri fornitori, terzi partners, organizzatori di Eventi e/o clienti, (es. espositori, buyers, visitatori, congressisti/convegnisti), comunicazioni dei dati a soggetti terzi coinvolti negli Eventi (es. per finalità di security, ecc.).
Base giuridica del trattamento. Obbligatorietà o facoltatività del conferimento dei dati e conseguenze del mancato conferimento
Il trattamento sub 1 ha base giuridica nella necessità di IEG e delle Società Controllate di adempiere agli obblighi assunti tramite il contratto (di fornitura, di collaborazione, di partnership, di prestazione d’opera o di servizi, di appalto, di concessione di spazi espositivi e/o pubblicitari di consulenza, di comodato, di locazione, di agenzia) stipulato con l’interessato e di svolgere tutte le azioni funzionali alla corretta e completa esecuzione degli impegni assunti e/o all’adempimento degli obblighi di legge ad esso connessi; pertanto non richiede alcun preventivo consenso. L’interessato è libero di non conferire i dati; tuttavia, in tal caso non si potrà procedere con la stipula o l’esecuzione del contratto e/o adempiere agli obblighi di legge connessi.
Il trattamento sub 2 ha base giuridica nel legittimo interesse di IEG e delle Società Controllate di negoziare, e, dopo l’eventuale stipula, gestire e organizzare adeguatamente il contratto e di pianificare/gestire efficacemente tutte le attività organizzative utili alla migliore esecuzione del contratto.
Nel solo caso di partecipazione agli Eventi che, per particolari scopi di sicurezza dei locali e/o dei beni ivi esposti al pubblico, richiedano la creazione e consegna di un cartellino identificativo con la fotografia dell’interessato, la stessa viene raccolta e trattata da IEG e dalle Società Controllate. Per tali finalità non è necessario alcun preventivo consenso.
Lei è comunque libero di non conferire i dati richiesti, ma in tal caso non si potrà procedere con la stipula ed esecuzione del contratto. Base giuridica del trattamento è altresì il legittimo interesse di garantire la sicurezza degli Eventi rispetto al rischio di commissione di illeciti da parte di terzi.
Durante gli Eventi possono essere effettuate in loco, da parte di incaricati di IEG o delle Società Controllate e/o da parte di fotografi e/o videomakers autorizzati da IEG o dalle Società Controllate, riprese video (inclusa voce) e/o fotografie di tipo generico (riprese di gruppi di persone, del flusso dei visitatori durante un evento/manifestazione, ecc…) destinate, anche, alla pubblicazione sui siti web e profili social di IEG o delle Società Controllate (es. Twitter, Facebook, Whatsapp, Youtube, Vimeo, ecc.) e/o su brochure, cataloghi e altro materiale cartaceo che promuovono gli Eventi/Servizi e/o Prodotti.
Tali immagini generiche, riferendosi a Eventi fieristici qualificabili come manifestazioni di carattere pubblico, sono trattate, senza necessità di un preventivo consenso.
Comunicazione e diffusione dei dati
Per le finalità suddette i dati potranno essere comunicati a: fornitori del servizio di gestione e manutenzione dei sistemi informatici, dei siti web e banche dati, altri fornitori che per conto di IEG e delle Società Controllate svolgono servizi o forniscono prodotti necessari e/o funzionali all’organizzazione degli Eventi/Servizi, (es. fotografi e/o videomakers che realizzano i materiali video-audio o la relativa post-produzione, giornalisti e testate giornalistiche, agenzie di pubblicità, comunicazione e/o pubbliche relazioni, società di editoria digitale e cartacea che producono nostri materiali pubblicitari o promozionali, utilizzati per organizzare e gestire gli Eventi), partner commerciali terzi con i quali è condivisa l’attività di realizzazione e/o promozione degli Eventi/Servizi, società di vigilanza privata e Autorità di pubblica sicurezza o altre Autorità dei paesi di pertinenza delle Società Controllate, clienti (visitatori, espositori, buyers, altri invitati agli Eventi).
I dati possono altresì essere comunicati ai Clienti per la gestione di Eventi/Servizi o per l’acquisto di Prodotti, nonchè ad avvocati, dottori commercialisti, sindaci, revisori dei conti, fornitori di servizi di certificazione qualità, audit indipendenti, per esigenze di natura legale, contabile, di bilancio, di certificazione del sistema di gestione della qualità, e per l’ottenimento di report specifici. Alcuni dati sono comunicati a consulenti del lavoro e in materia di sicurezza e igiene dei luoghi di lavoro al fine di permettere il corretto adempimento delle formalità di legge (es. valutazione dei rischi di interferenza).
Tali terzi potranno trattare i dati in veste di Responsabili Esterni o vesti analoghe, (attenendosi, in tal caso, alle direttive scritte e sotto la vigilanza di IEG e/o delle Società Controllate) oppure di Titolari autonomi o vesti analoghe (decidendo in tale caso autonomamente le modalità di trattamento), secondo quanto previsto dal GDPR o dalle normative privacy vigenti nei paesi extra UE delle Società Controllate.
Trasferimento all’estero di dati
Nel caso in cui le prestazioni del fornitore si riferiscano all’organizzazione di Eventi (come meglio specificati in premessa) localizzati all’estero, IEG e le Società Controllate indicheranno, per iscritto, i paesi esteri e in particolare, quelli Extra-Ue verso i quali tale trasferimento avrà luogo e le garanzie che assistono tale trasferimento.
Se il trasferimento dati viene effettuato da IEG e/o dalle Società Controllate con sede nella UE verso terzi destinatari con sede nella UE, tale trasferimento viene effettuato previa Nomina a Responsabile esterno del trattamento dati, così come previsto dalla normativa UE.
Se il trasferimento dati viene effettuato da IEG e/o dalle Società Controllate con sede nella UE, alle seguenti categorie di terzi destinatari con sede extra-UE (di seguito gli “importatori”):
• Società Controllate e/o fornitori delle stesse, con sede extra-UE (Cina, Singapore, U.S.A., Emirati Arabi Uniti, Brasile, Arabia), nei limiti necessari alle finalità precontrattuali, 
contrattuali e/o di adempimento di obblighi legali o regolamentari, ad esempio, quando IEG
o le altre Società Controllate, con sede in UE, trasferiscono i dati in veste di agenti nell’interesse della Controllata estera;
• fornitori extra-UE di servizi on-line di i) raccolta dati tramite moduli di testo compilabili dall’interessato contenuti in landing page erogate dal Titolare, ii) piattaforme social (U.S.A.) nelle quali sono attive pagine e/o profili social di IEG e/o delle Società del Gruppo iii) gestione log-in tramite account social LinkedIn dell’utente, iv) analisi del traffico generato dagli utenti dei siti web di IEG e/o delle altre Società del Gruppo (U.S.A.). v) Servizi di pagamento elettronico; vi) CRM – Customer RelationShip Management, tale trasferimento dati avrà luogo a fronte di adeguate garanzie, quali:
Nel caso di trasferimento verso gli U.S.A.: la Decisione di Adeguatezza della Commissione UE del 10 Luglio 2023 relativa alla normativa americana in materia di protezione dei dati personali così come modificata dalla convenzione bilaterale UE – U.S.A. “Trans Atlantic Data Protection Framework”;
Nel caso di trasferimento verso Paesi extra-UE diversi dagli U.S.A.: dalla previa stipula da parte IEG e/o delle Società Controllate con sede nella UE, verso il terzo importatore, di clausole contrattuali standard – o c.d. “CCS” – conformi come minimo al testo approvato dalla Commissione UE (salvo eventuali integrazioni e/o modifiche più favorevoli all’interessato) mediante le quali, per i trattamenti di propria competenza, l’importatore dei dati si impegna al rispetto di obblighi privacy sostanzialmente equivalenti a quelli previsti dalla normativa UE in materia.
Il trasferimento dati, effettuato da Società Controllate extra-UE, verso IEG o soggetti extra-UE, avrà luogo a fronte di adeguate garanzie, costituite dalla stipula, tra le parti coinvolte nel trasferimento, di contratti standard o clausole contrattuali standard, conformi come minimo ai testi approvati dalle competenti Autorità amministrative del paese in cui ha sede la singola Società Controllata estera (salvo eventuali integrazioni e/o modifiche più favorevoli all’interessato), o, dove permesso dalla legge applicabile, conformi al testo approvato dalla Commissione UE.
Mediante tali contratti e/o clausole IEG e/o il diverso importatore dei dati si impegnano al rispetto di obblighi di protezione e trattamento di dati personali trasferiti sostanzialmente equivalenti a quelli previsti dalla normativa UE in materia.
Durata del trattamento
I dati sono trattati per 10 anni dalla data di stipula del contratto.
In caso di contenzioso tra gli interessati e IEG e/o le Società Controllate i dati sono trattati per il tempo necessario ad esercitare la tutela dei diritti di IEG e /o delle Società Controllate e cioè fino a 10 anni dopo l’emissione e integrale esecuzione di un provvedimento avente valore di giudicato tra le parti o di una transazione. Cessata la suddetta rispettiva durata i dati personali sono cancellati, distrutti o resi anonimi mediante opportune misure di sicurezza.
Diritti dell’interessato
I soggetti interessati, utilizzando i dati di contatto del Titolare (visionabili nella Tabella delle Società del Gruppo IEG), possono esercitare i seguenti diritti, previsti dal GDPR e/o, secondo i casi, dalla diversa normativa locale applicabile di volta in volta nel Paese extra-UE rilevante in relazione al trattamento dei dati:
Accesso ai propri dati personali trattati dal Titolare,
Rettifica o integrazione dei dati inesatti o incompleti,
Cancellazione di dati obsoleti, ove non vi abbia provveduto in autonomia il Titolare, nei casi in cui (i) non siano più necessari ai fini del trattamento dati, (ii) l’interessato abbia revocato il proprio consenso al trattamento dei dati per i quali per legge sia necessario tale consenso, (iii) l’interessato si sia opposto al trattamento dei dati, (iv) il trattamento dei dati personali sia illecito, (v) i dati personali debbano essere cancellati per ottemperare a un obbligo di legge in capo al Titolare. Ciascun Titolare si impegna ad adottare ogni ragionevole misura al fine di informare della cancellazione le altre società del gruppo IEG.
Limitazione del trattamento dei dati personali, qualora (i) sia contestata l’accuratezza dei dati personali dell’interessato, per consentire al Titolare di effettuare le verifiche del caso, (ii) l’interessato intenda limitare i propri dati personali anziché cancellarli, nonostante il trattamento sia illecito, (iii) l’interessato desideri che il Titolare conservi i dati personali in quanto ritenuti necessari per difendersi in azioni legali, (iv) l’interessato si sia opposto al trattamento ma il Titolare debba eseguire verifiche per appurare la sussistenza di motivi legittimi Portabilità dei dati (cioè, di ottenere una copia in formato leggibile da un elaboratore dei dati forniti da parte dell’interessato al Titolare, o di farne comunicare tale copia ad altro titolare indicato dall’interessato, quando i dati si riferiscano ad un contratto in essere tra l’interessato e il primo Titolare e gli stessi siano trattati mediante software) nei limiti previsti dalla normativa applicabile.
Opposizione al trattamento eseguito in base ad un interesse legittimo del Titolare.
(negli U.S.A. e nel caso di un soggetto consumatore) Opposizione alle comunicazioni e-mail 
con finalità di marketing diretto (c.d. marketing opt-out).
Diritto di non essere soggetto ad un processo decisionale automatizzato che produce effetti legali che riguardano o in modo simile influiscano significativamente sull’interessato e di opposizione all’esito di una eventuale decisione automatizzata del Titolare relativa al trattamento dei dati personali dell’interessato. Un processo decisionale automatizzato si ha quando vengono prese decisioni impiegando mezzi tecnologici senza coinvolgimento umano.
Tale diritto non sussiste allorquando la suddetta decisione automatizzata i) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o ii) sia autorizzata dal diritto della UE o dello Stato membro UE cui è soggetto il titolare del trattamento, che in tal caso precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, oppure iii) si basi sul consenso esplicito dell’interessato.
(Nota Bene: i Titolari in ogni caso non si avvalgono di processi decisionali automatizzati).
Revoca del consenso quando il consenso per legge sia la base giuridica del trattamento (fermo restando la liceità del trattamento eseguito fino al momento della revoca).
• (quando applicabile il GDPR) diritto di Reclamo all’Autorità di controllo competente; in Italia è il Garante della protezione dei dati personali – Piazza Venezia 11 – IT-00187 – Roma), tel. (+39) 06.69677.1, e-mail: [email protected].
• (quando applicabile una normativa sulla protezione dei dati personali diversa dal GDPR) diritto di Reclamo, di azione in giudizio e/o di risoluzione alternativa della controversia, previsto di volta in volta dalla normativa estera applicabile al trattamento che prevalgano sui tuoi diritti.
(es. nello Stato del New Jersey, diritto di proporre appello contro l’eventuale rigetto di una richiesta di esercizio dei diritti previsti dal New Jersey Data Privacy Act, entro un termine ragionevole dopo la comunicazione del rigetto e con una modalità simile a quella del processo di comunicazione della prima richiesta; la risposta del Titolare deve essere comunicata entro 60 giorni; nel caso in cui il Titolare rigetti l’appello, il consumatore può presentare reclamo alla New Jersey Division of Consumer Affairs nel Department of Law and Public Safety (vedi https://www.njconsumeraffairs.gov/).
• Diritto di Richiedere:
✓ a IEG e/o alle Società Controllate con sede nello spazio UE, nonchè alle Società Controllate con sede in DUBAI, SINGAPORE e/o U.S.A., un elenco nominativo dei terzi destinatari dei dati designati come responsabili esterni del trattamento (vedi
anche capitolo “COMUNICAZIONE E DIFFUSIONE DEI DATI” della presente Privacy Policy), e
✓ alle Società Controllate con sede in CINA e in BRASILE, un elenco nominativo di tutti i terzi destinatari dei dati (sia Responsabili Esterni che Titolari del trattamento).
Di seguito sono indicate le modalità con le quali l’interessato può ottenere ulteriori informazioni circa i propri diritti:
• se l’interessato risiede o ha sede nello spazio SEE, o comunque è soggetto ad un trattamento dei dati personali regolato dal GDPR, deve consultare per maggiori dettagli gli articoli da 15 a 22 e 77 del Regolamento Privacy UE 679/2016 (“GDPR”), consultabile al link:https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679#d1e2800-1-1;
• se l’interessato risiede o ha sede in Cina, o comunque è soggetto ad un trattamento regolato dalla normativa cinese per la protezione dei dati personali, deve consultare per maggiori dettagli gli articoli da 44 a 50 del capitolo IV della Legge sulla Protezione dei dati personali della Repubblica Cinese (PIPL), consultabile il seguente link: http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm;
• se l’interessato risiede o ha sede in Dubai, o comunque è soggetto ad un trattamento regolato dalla normativa araba per la protezione dei dati personali, per maggiori dettagli deve consultare – la UAE – ‘The Guide to Access Government Information’ and Law No. 26 of 2015 on the Organization of Dubai Data Publication and Sharing also known as Law No. 26 of 2015 Regulating Data Dissemination and Exchange; e la Personal Data Protection Law, Federal Decree Law No. 45 of 2021 regarding the Protection of Personal Data) al seguente link: https://u.ae/en/about-the-uae/digital-uae/data/data-protection-laws;
• se l’interessato risiede o ha sede in Brasile, o comunque è soggetto ad un trattamento regolato dalla normativa brasiliana per la protezione dei dati personali, deve consultare gli articoli da 17 a 22 del capitolo III della General Personal Data Protection Act (LGPD), al seguente link: https://lgpd-brazil.info;
• se l’interessato risiede o ha sede in Singapore, o comunque è soggetto ad un trattamento regolato dalla normativa di Singapore per la protezione dei dati personali, deve consultare gli articoli da 5.1 a 5.2 del capitolo V della “The Personal Data Protection Act 2012 (“PDPA”)”. The principal data protection legislation in Singapore, consultabile al seguente link:
https://www.pdpc.gov.sg/overview-of-pdpa/the-legislation/personal-data-protection-act;
• se l’interessato risiede o ha sede in sede in U.S.A., o comunque è soggetto ad un trattamento regolato dalla normativa americana per la protezione dei dati personali, può consultare la seguente tabella dei diritti, le informazioni disponibili al seguente link: https://www.whitecase.com/insight-our-thinking/us-data-privacy-guide e, in relazione al trattamento di dati personali relativi a soggetti qualificati come consumatori (cioè, che agiscono in un contesto individuale o familiare) eseguito da parte della nostra Società Controllata con sede nello Stato del New Jersey (U.S:A.), la New Jersey Data Privacy Law visionabile al seguente link https://pub.njleg.state.nj.us/Bills/2022/S0500/332_R6.PDF.
• se l’interessato risiede o ha sede in Arabia Saudita, o comunque è soggetto ad un trattamento regolato dalla normativa saudita per la protezione dei dati personali, deve consultare il seguente link: https://sdaia.gov.sa/en/Research/Pages/DataProtection.aspx
DATA PROTECTION OFFICER
Il DPO – Data Protection Officer (Responsabile per la Protezione dei dati) di ITALIAN EXHIBITION GROUP SPA è l’Avv. Luca De Muri, domiciliato presso la stessa.
Il DPO – Data Protection Officer (Responsabile per la Protezione dei dati) della Società Controllata IEG ASIA PTE LDT. – 1 Maritime Square #09-57 | Harbourfront Centre – Singapore 099253, è l’Avv. Ilaria Cicero, domiciliata presso la stessa.
Rev.01 del 13.01.2025