Spedizione gratuita con iscrizione alla newsletter

Spedizione gratuita sopra i 49€

Boutique Locator

Assistenza

INFORMATIVA PRIVACY – AI FORNITORI

Documento informativo ai sensi e per gli effetti di cui all’articolo 13 del Regolamento (UE) 2016/679 (GDPR)

1. CHI È IL TITOLARE DEL TRATTAMENTO DATI? COME CONTATTARLO?
Il Titolare del trattamento dati è LEGAMI S.P.A. SOCIETÀ BENEFIT, con sede legale in Via Stezzano, 18 - 24052 - Azzano San Paolo (BG), nella persona del suo Legale Rappresentante pro-tempore, che potrà contattare per qualsiasi informazione tramite e-mail all’indirizzo privacy@legami.com

IL RESPONSABILE DELLA PROTEZIONE DEI DATI È STATO NOMINATO? QUALI SONO I SUOI DATI DI CONTATTO?
LEGAMI S.P.A. SOCIETÀ BENEFIT ha nominato il proprio Responsabile della protezione dei dati (RPD/DPO - Data Protection Officer) ai sensi degli artt. 37, 38 e 39 del GDPR. Il DPO è reperibile presso la sede del Titolare sopra indicata e via e-mail scrivendo a: dpo@legami.com

2. PRINCIPALI DEFINIZIONI
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

3. FINALITÀ DEL TRATTAMENTO, BASE GIURIDICA, PERIODO DI CONSERVAZIONE, NATURA DEL CONFERIMENTO
A) FINALITÀ DEL TRATTAMENTO
Adempimento di obblighi contrattuali e finalità amministrativo-contabili e di legge correlate alla instaurazione, esecuzione e cessazione del rapporto contrattuale.
BASE GIURIDICA
Il trattamento dati è necessario per l’esecuzione di un contratto (C44). Art. 6 par. 1 lett. b) del GDPR.
PERIODO CONSERVAZIONE DATI
10 anni.Articolo 2220 Codice Civile, salvo questioni di natura contrattuale ed extracontrattuale che potrebbero insorgere e salvo diversi obblighi di legge.
NATURA DEL CONFERIMENTO
Il conferimento dei dati personali è necessario ai fini contrattuali. Il mancato conferimento dei dati personali necessari comporta l'impossibilità di instaurare un rapporto contrattuale con gli interessati.

B) FINALITÀ DEL TRATTAMENTO
Gestione e conduzione delle controversie e di altre questioni legali e per la difesa in caso di giudizio.
BASE GIURIDICA
Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali (C47-C50). Art. 6 par. 1 lett. f) GDPR.
PERIODO CONSERVAZIONE DATI
10 anni, salvo opposizione e salvo il tempo necessario per la difesa in giudizio.
NATURA DEL CONFERIMENTO
Il conferimento dei dati è necessario. Il mancato conferimento impedirà il raggiungimento dell’interesse legittimo del Titolare indicato nelle finalità di questo punto. Il diniego dovrà essere bilanciato con l’interesse legittimo del Titolare indicato nelle finalità di questo punto.

C) FINALITÀ DEL TRATTAMENTO
Gestione delle richieste in materia di protezione dei dati personali e delle richieste di altri interessati, ai sensi degli artt. 15 e ss. del GDPR (diritti dell’interessato).
BASE GIURIDICA
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (C45). Art. 6 par. 1 lett. c) del GDPR.
PERIODO CONSERVAZIONE DATI
5 anni dalla chiusura della richiesta, salvo contenziosi.
NATURA DEL CONFERIMENTO
Il conferimento dei dati personali è obbligatorio, in quanto indispensabile per poter dare esecuzione agli obblighi di Legge.

E) FINALITÀ DEL TRATTAMENTO
Valutazione del fornitore attraverso, dati anagrafici, presentazioni aziendali o C.V., job profile, certificazioni, eventuali referenze
BASE GIURIDICA
Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, tenuto conto delle ragionevoli aspettative nutrite dall’interessato (Art. 6, par. 1 lett. f e considerando 47 del GDPR).
PERIODO CONSERVAZIONE DATI
Massimo 3 anni, salvo opposizione.
NATURA DEL CONFERIMENTO
Il conferimento dei dati è necessario. Il mancato conferimento impedirà il raggiungimento dell’interesse legittimo del Titolare indicato nelle finalità di questo punto. Il diniego dovrà essere bilanciato con l’interesse legittimo del Titolare indicato nelle finalità di questo punto

4. A CHI VERRANNO COMUNICATI I DATI PERSONALI? DESTINATARI DEI DATI
I dati non saranno diffusi. I dati personali saranno comunicati a soggetti che tratteranno i dati in qualità di Titolari autonomi del trattamento, o Responsabili del trattamento (art. 28 GDPR) e trattati da persone fisiche (art. 29 GDPR) che agiscono sotto l’autorità del Titolare e dei Responsabili sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento. I dati saranno comunicati a destinatari appartenenti alle seguenti categorie:
- soggetti, con sede in Italia, che gestiscono/supportano/assistono, anche solo occasionalmente, il Titolare nell’amministrazione del Sistema Informativo e delle reti di telecomunicazioni (ivi compresa la posta elettronica, siti web e/o piattaforme web);
- enti, con sede in Italia, previsti dalla vigente normativa in materia contabile e fiscale come destinatari di comunicazioni obbligatorie;
- istituti bancari ed equiparati, con sede in Italia;
- soggetti, con sede in Italia, con i quali il Titolare del trattamento ha stipulato accordi economici;
- studi o Società, con sede in Italia, nell’ambito di rapporti di assistenza e consulenza fiscale e gestione amministrativa/contabile;
- enti e società per certificazioni, con sede in Italia;
- eventuali clienti, con sede in Italia, in Paesi SEE o Extra SEE;
- Autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di organi pubblici, su richiesta.

5. VI È UN TRASFERIMENTO DATI VERSO UN PAESE EXTRA SEE?
I dati personali non saranno trasferiti in Paesi Extra SEE. Si precisa, in particolare, che i dati saranno conservati in Italia e che i destinatari dei dati hanno sede in Italia. Si precisa che in caso di trasferimento dei dati personali in Paesi situati al di fuori dello Spazio Economico Europeo, lo stesso sarà effettuato in conformità alle misure stabilite dalla normativa applicabile assicurando un adeguato livello di tutela agli interessati.
Per avere informazioni circa le garanzie inerenti il trasferimento di dati fuori dal SEE, gli interessati possono scrivere a privacy@legami.com.

6. VI È UN PROCESSO AUTOMATIZZATO?
I dati personali saranno sottoposti a trattamento manuale tradizionale, elettronico e automatizzato. Si precisa che non si effettuano processi decisionali completamente automatizzati.

7. DIRITTI DEGLI INTERESSATI
Gli interessati potranno far valere i propri diritti come espressi dagli artt. 15 e s.s. GDPR, contattando il DPO/RPD all’indirizzo e-mail: dpo@legami.com o rivolgendosi al Titolare del trattamento all’indirizzo e-mail: privacy@legami.com, o scrivendo ai contatti sopra indicati. Il titolare garantisce agli interessati la possibilità di richiedere, in qualunque momento, l’accesso ai propri dati personali (art.15), la rettifica (art.16), la cancellazione degli stessi (art.17), la limitazione del trattamento (art.18). Il titolare del trattamento comunica (art. 19), a ciascuno dei destinatari cui sono stati trasmessi i dati personali, le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate. Il titolare del trattamento comunica agli interessati che ne facciano richiesta tali destinatari. Il titolare garantisce il diritto alla portabilità (art.20) e, in caso di richieste ai sensi dell’art.20, fornirà agli interessati i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico. È riconosciuto agli interessati il diritto di opporsi (art.21), in qualsiasi momento, al trattamento dei dati basato sul legittimo interesse, scrivendo ai contatti sopra riportati con oggetto “opposizione”. In caso di esercizio del diritto di opposizione al trattamento basato sul legittimo interesse, il titolare riconosce agli interessati la possibilità di ottenere, su richiesta, informazioni sul test di bilanciamento effettuato. Nel caso in cui gli interessati ritengano che il trattamento dei dati personali effettuato dal Titolare avvenga in violazione di quanto previsto dal Regolamento (UE) 2016/679, sono liberi di presentare un reclamo all’Autorità nazionale di controllo, in particolare nello Stato membro in cui risiedono abitualmente o lavorano, oppure nel luogo ove si è verificata la presunta violazione del Regolamento (Garante Privacy https://www.garanteprivacy.it/), o di adire le opportune sedi giudiziarie.

8. MODIFICHE INFORMATIVA
Il titolare potrebbe cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa sulla privacy. Al fine di facilitare la verifica di eventuali cambiamenti, l'informativa conterrà l'indicazione della data di aggiornamento dell'informativa stessa.

Data di aggiornamento: 21 maggio 2026

PRIVACY NOTICE – SUPPLIERS

Notice provided pursuant to Article 13 of Regulation (EU) 2016/679 (GDPR)

1. WHO IS THE DATA CONTROLLER AND HOW CAN YOU CONTACT IT?
The Data Controller is LEGAMI S.P.A. SOCIETÀ BENEFIT, , with its registered office at Via Stezzano, 18 - 24052 - Azzano San Paolo (BG), acting through its pro tempore legal representative. For any information, you may contact the Data Controller by email at privacy@legami.com.

HAS A DATA PROTECTION OFFICER BEEN APPOINTED? WHAT ARE THE CONTACT DETAILS?
LEGAMI S.P.A. SOCIETÀ BENEFIT has appointed a Data Protection Officer (DPO) pursuant to Articles 37, 38 and 39 of the GDPR. The DPO may be contacted at the Data Controller's registered office indicated above or by email at: dpo@legami.com

2. DEFINITIONS
Personal data: any information relating to an identified or identifiable natural person (the “data subject”); an identifiable natural person is a natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier, or one or more factors specific to that person’s physical, physiological, genetic, mental, economic, cultural or social identity.

3. PURPOSES OF PROCESSING, LEGAL BASES, RETENTION PERIODS AND NATURE OF DATA PROVISION
A)PROCESSING PURPOSE
Performance of contractual obligations, including administrative and accounting purposes, as well as legal purposes connected with the establishment, performance and termination of the contractual relationship.
LEGAL BASIS
Processing is necessary for the performance of a contract (Recital 44). Art. 6(1)(b) GDPR.
RETENTION PERIOD
10 years. Pursuant to Article 2220 of the Italian Civil Code, without prejudice to any contractual or non-contractual claims that may arise or to any different retention obligations imposed by law.
NATURE OF DATA PROVISION
Provision of personal data is necessary for contractual purposes. Failure to provide the required personal data will make it impossible to establish the contractual relationship with the data subjects concerned.

B)PROCESSING PURPOSE
Management of disputes and other legal matters, including the establishment, exercise or defence of legal claims..
LEGAL BASIS
Processing is necessary for the purposes of the legitimate interests pursued by the Data Controller or by third parties, provided that such interests are not overridden by the interests or fundamental rights and freedoms of the data subject requiring protection of personal data (Recitals 47-50). Art. 6(1)(f) GDPR.
RETENTION PERIOD
10 years, subject to any objection and without prejudice to any longer period required for the establishment, exercise or defence of legal claims.
NATURE OF DATA PROVISION
Provision of the data is necessary. Failure to provide such data will prevent the pursuit of the Data Controller’s legitimate interest referred to in this section. Any refusal will be assessed in light of the Data Controller’s legitimate interest referred to in this section.

C)PROCESSING PURPOSE
Handling requests relating to personal data protection and requests submitted by data subjects pursuant to Articles 15 et seq. of the GDPR (exercise of data subject rights).
LEGAL BASIS
Processing is necessary for compliance with a legal obligation to which the Data Controller is subject (Recital 45). Art. 6(1)(c) GDPR.
RETENTION PERIOD
5 years from the closure of the request, without prejudice to any disputes.
NATURE OF DATA PROVISION
Provision of personal data is mandatory, as it is necessary for compliance with legal obligations.

E)PROCESSING PURPOSE
Supplier evaluation based on personal data, company presentations or CVs, job profiles, certifications and references, where provided.
LEGAL BASIS
Processing is necessary for the purposes of the legitimate interests pursued by the Data Controller or by third parties, provided that such interests are not overridden by the interests or fundamental rights and freedoms of the data subject requiring protection of personal data, taking into account the data subject’s reasonable expectations. (Art. 6(1)(f) and Recital 47 GDPR).
RETENTION PERIOD
Up to 3 years, subject to any objection.
NATURE OF DATA PROVISION
Provision of the data is necessary. Failure to provide such data will prevent the pursuit of the Data Controller’s legitimate interest referred to in this section. Any refusal will be assessed in light of the Data Controller’s legitimate interest referred to in this section.

4. TO WHOM MAY PERSONAL DATA BE DISCLOSED? DATA RECIPIENTS
Personal data will not be made public. Personal data may be disclosed to entities acting as independent data controllers or as data processors pursuant to Art. 28 GDPR, and may be processed by natural persons acting under the authority of the Data Controller or the data processors pursuant to Art. 29 GDPR, on the basis of specific instructions concerning the purposes and methods of processing. Personal data may be disclosed to recipients belonging to the following categories:
- entities based in Italy that manage, support or assist, even on an occasional basis, the Data Controller in the administration of its IT systems and telecommunications networks (including email, websites and/or web platforms);
- entities based in Italy that, under applicable accounting and tax legislation, are recipients of mandatory communications;
- banks and equivalent financial institutions based in Italy;
- entities based in Italy with which the Data Controller has entered into commercial agreements;
- firms or companies based in Italy engaged for tax assistance and consultancy, and for administrative/accounting management;
- certification bodies and companies based in Italy;
- clients based in Italy, in EEA Countries or in non-EEA Countries;
- competent authorities, where required for compliance with legal obligations and/or provisions issued by public bodies, upon request.

5. MAY PERSONAL DATA BE TRANSFERRED TO A NON-EEA COUNTRY?
Personal data will not be transferred to countries outside the EEA. In particular, the data will be stored in Italy and the recipients of the data are based in Italy. Should personal data be transferred to countries outside the European Economic Area, such transfer will take place in compliance with the safeguards provided for under applicable law, so as to ensure an adequate level of protection for data subjects.
To obtain information on the safeguards applicable to transfers of data outside the EEA, data subjects may write to privacy@legami.com

6. IS ANY PROCESSING CARRIED OUT BY AUTOMATED MEANS?
Personal data may be processed by manual, electronic and automated means. No decisions are taken solely by automated means.

7. DATA SUBJECT RIGHTS
Data subjects may exercise the rights provided for in Articles 15 et seq. of the GDPR by contacting the DPO at dpo@legami.com, by contacting the Data Controller at privacy@legami.com, or by writing to the contact details indicated above. The Data Controller ensures that data subjects may, at any time, request access to their personal data (Art. 15), rectification (Art. 16), erasure (Art. 17) and restriction of processing (Art. 18). Pursuant to Art. 19, the Data Controller shall communicate any rectification, erasure or restriction of processing to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The Data Controller shall also inform data subjects of those recipients if requested to do so. The Data Controller also guarantees the right to data portability (Art. 20) and, where a request is made pursuant to Art. 20, will provide the data subject with the personal data in a structured, commonly used and machine-readable format. Data subjects have the right to object at any time, pursuant to Art. 21, to processing based on legitimate interest by writing to the contact details indicated above and stating “objection” in the subject line. Where the right to object to processing based on legitimate interest is exercised, the Data Controller acknowledges the data subject’s right to obtain, upon request, information regarding the balancing test carried out. If data subjects believe that the processing of their personal data by the Data Controller infringes Regulation (EU) 2016/679, they may lodge a complaint with the competent supervisory authority, in particular in the Member State of their habitual residence or place of work, or in the place where the alleged infringement occurred (Italian Data Protection Authority: https://www.garanteprivacy.it/), or they may bring proceedings before the competent courts.

8. AMENDMENTS TO THIS NOTICE
The Data Controller reserves the right to amend, update, add to or remove any part of this Privacy Notice. To facilitate verification of any amendments, this notice will indicate the date on which it was last updated.

Last Update: 21 May 2026