PRIVACY POLICY DEL GRUPPO IEG

SOMMARIO

INTRODUZIONE

CATEGORIE DI INTERESSATI E DI DATI

PRINCIPI GENERALI DEL TRATTAMENTO

FINALITÀ DEL TRATTAMENTO

BASE GIURIDICA DEL TRATTAMENTO. OBBLIGATORIETÀ O FACOLTATIVITÀ DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL MANCATO CONFERIMENTO

TITOLARITA’ DEL TRATTAMENTO

DATA PROTECTION OFFICER

LEGALE RAPPRESENTANTE NELLA UE DI SOCIETA’ EXTRA-UE

LEGALE RAPPRESENTANTE EXTRA-UE DI SOCIETA’ UE

COMUNICAZIONE E DIFFUSIONE DEI DATI

TRASFERIMENTO DI DATI ALL’ESTERO

DURATA DEL TRATTAMENTO

MODALITA’ DI TRATTAMENTO

MISURE DI SICUREZZA

DIRITTI DELL’INTERESSATO

MODIFICHE DELL’INFORMATIVA

INTRODUZIONE

La presente Privacy Policy viene resa ai sensi della normativa sulla protezione dei dati personali applicabile, in relazione ai dati personali trattati:

1. dalla società ITALIAN EXHIBITION GROUP S.p.A. (“IEG”) e/o dalle altre società dalla stessa controllate elencate nella seguente tabella (le “Società Controllate”), che:
• organizzano, ospitano, anche insieme a terzi partners, anche in favore di soggetti terzi, manifestazioni, mostre, eventi, convegni/congressi, workshop, webinar e/o business meeting, fisici e/o virtuali (gli “Eventi”), o
• erogano servizi e prodotti (a titolo esemplificativo ma non esaustivo: ristorazione, allestimenti, pulizia e facchinaggio, formazione, editoria, servizi di manifestazione, ecc.) (i “Servizi”).

1. da Italian Exhibition Group S.p.A. (“IEG”) e da ICE - Agenzia per la promozione all’estero e l’internazionalizzazione delle imprese italiane (“Agenzia ICE”), P. IVA 12020391004, con sede legale in Via Liszt 21, 00144 Roma, e-mail privacy@ice.it, quali Contitolari, in occasione o in funzione delle attività meglio indicate nelle finalità (punto 12) della presente Privacy Policy;

da ICE - Agenzia per la promozione all’estero e l’internazionalizzazione delle imprese italiane (“Agenzia ICE”), in qualità di Titolare Autonomo in occasione o in funzione delle attività meglio indicate nelle finalità (punto 13) della presente Privacy Policy.

Sono dati personali (i “dati”) i dati consistenti in qualsiasi informazione che sia collegata o collegabile a i) soggetti qualificabili come “interessati” ai sensi del Regolamento UE 679/2016 (“GDPR”) (cioè, persone fisiche, ditte individuali e/o società di persone o altre organizzazioni a base soggettiva ristretta alle quali si riferiscono i dati personali) e/o ii) altri soggetti sostanzialmente assimilati agli interessati dalla normativa UE o estera sulla protezione dei dati applicabile al relativo trattamento.

Il trattamento dei dati include, secondo i casi, operazioni di registrazione, organizzazione, conservazione ed elaborazione su supporti cartacei, magnetici, automatizzati o telematici, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione tra dati in base a criteri qualitativi, quantitativi e temporali, ricorrenti o definibili volta per volta, trattamento temporaneo finalizzato ad una rapida aggregazione o alla trasformazione dei dati stessi, comunicazione, cancellazione e distruzione dei dati, o combinazioni di due o più delle operazioni suddette, in base a quanto reso necessario dalle finalità di cui oltre.

CATEGORIE DI INTERESSATI E RACCOLTA DI DATI

I dati trattati riguardano le seguenti categorie di interessati, che forniscono i dati per sé o per le organizzazioni a cui essi appartengono:

• clienti (cioè, espositori, visitatori/consumatori, buyers, convegnisti, congressisti, relatori di Eventi, partecipanti a workshop, webinar e business meeting, acquirenti di Servizi e Prodotti),
• prospect (cioè, soggetti che hanno manifestato interesse agli Eventi, ai Servizi e/o ai Prodotti mediante richieste di contatto, di informazioni o di preventivi o in qualsiasi altra forma, inclusa l’adesione alle newsletter del Gruppo IEG),
• altre categorie di interessati (destinatari di inviti a presenziare agli Eventi, ad esempio ospiti, giornalisti e referenti di organi di comunicazione; minori di età superiore ai 14 anni; utenti dei siti web e/o delle apps erogate da IEG e/o dalle Società Controllate).

La raccolta dei dati avviene:

• presso l’interessato e/o,
• presso banche dati pubbliche e/o private, limitatamente a dati identificativi, di contatto, societari, fiscali, economico – patrimoniali e finanziari, di solvibilità e reputazione commerciale dell’interessato,
• presso le Società Controllate, limitatamente a dati identificativi, di contatto, societari, fiscali, economico – patrimoniali e finanziari, e
• presso piattaforme di social network (es. LinkedIn, Facebook) e/o piattaforme online di IEG (es.MyAgenda per l’organizzazione di business meeting), limitatamente a dati identificativi (nome e cognome o ragione/denominazione sociale), dati di contatto (città

e regione di residenza e/o sede, indirizzo e-mail, numero telefonico fisso-mobile), settore economico e merceologico di appartenenza e/o di interesse commerciale.

PRINCIPI GENERALI DEL TRATTAMENTO

I dati sono trattati nel rispetto dei principi di liceità, equità, correttezza, trasparenza, proporzionalità, necessità, esattezza, completezza, sicurezza e degli altri obblighi previsti dalle normative di volta in volta applicabili in materia di trattamento dei dati personali.

FINALITÀ DEL TRATTAMENTO

Il trattamento ha le seguenti finalità:

1. Protezione del patrimonio informativo immateriale di IEG e/o delle Società Controllate e Continuità operativa e sicurezza informatica.
2. 2.a) Adesione al servizio newsletter.

2.b) Soddisfazione di esigenze precontrattuali (es. verifiche di solvibilità e di controllo rischi e di frode, evasione di richieste dell’interessato di preventivi o di altre informazioni e/o adempimento di obblighi contrattuali (inclusa, tra l’altro, la pianificazione e gestione tecnico-organizzativa degli Eventi e/o dei Servizi e Prodotti e/o di obblighi previsti da una legge, da un regolamento o da una normativa comunitaria o estera connessi agli Eventi e/o Servizi e Prodotti di IEG (compresa ad esempio la redazione del bilancio consolidato del Gruppo IEG, da parte della Capogruppo IEG) e/o delle Società Controllate (es. obblighi contabili, fiscali o amministrativi).

1. Indagini di mercato, eseguite tramite surveys nominative (erogate esclusivamente da IEG), dirette a rilevare livelli di prestazione percepiti e/o gradi di soddisfazione in relazione agli Eventi, Servizi e Prodotti e le conseguenti aspettative di clienti e prospect di IEG e/o delle Società Controllate.
2. Profilazione basica svolta da IEG e/o dalle Società Controllate.

Si intende per profilazione un trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti (…) la situazione economica, (…) le preferenze individuali, gli interessi, l'affidabilità, il comportamento, l'ubicazione (…) di detta persona fisica.

La profilazione rileva, ai fini privacy, solo se riguarda persone fisiche, cioè ditte individuali o società di persone e relativi soci/amministratori, oppure referenti interni di società di capitali, enti od organizzazioni.

La profilazione basica utilizza limitati set di dati, fornitici dall’interessato e raccolti presso le fonti terze sopra indicate e/o comunicati a IEG dalle Società Controllate. Vengono trattati, principalmente, i seguenti dati:

• espositori: nome e cognome, ragione sociale dell’organizzazione di appartenenza, dati di contatto, residenza o sede, paese di provenienza, sito web, settore di attività, brand, tipologie di servizio o prodotto offerti dall’espositore, budget annuo promozionale/pubblicitario, tipologia di distribuzione (negozio, grande magazzino, concept store), mercati di interesse (es. paesi, tipologia di clientela B2B o B2C);

altri acquirenti di Servizi e Prodotti: nome e cognome, ragione sociale dell’organizzazione di appartenenza, dati di contatto, residenza o sede, paese di provenienza, sito web, settore di attività, tipologia di Servizio o di Prodotto acquistati;

• buyers/visitatori: nome e cognome, ragione sociale dell’organizzazione di appartenenza, dati di contatto, posizione lavorativa e livello di responsabilità del referente, residenza o sede, paese di provenienza, sito web, anno di fondazione dell’azienda, fatturato, numero dipendenti, settore di attività, percentuale di business connesso all’Italia e all’estero, regioni italiane ed estere di interesse, principali categorie di Eventi, Servizi o Prodotti di interesse del buyer, principali categorie di servizi e/o prodotti commercializzati dallo stesso (anche in termini percentuali di vendita per area geografica), categorie di clienti dell’organizzazione, scopo della visita all’Evento;
• giornalisti: nome e cognome, dati di contatto, settore e testata di appartenenza, paese di provenienza, lingua;
• relatori degli Eventi, congressisti/convegnisti: nome e cognome, dati di contatto, settore di appartenenza, professionalità/argomenti trattati, lingua;
• altre categorie di clienti: nome e cognome, dati di contatto, paese di provenienza, settore merceologico o economico di attività, fatturato, numero di dipendenti, principali categorie di servizi o prodotti di interesse e/o commercializzati dal cliente.

1. Profilazione avanzata svolta esclusivamente da IEG

(NB: Tale finalità è limitata a clienti e prospect di IEG e/o delle Società Controllate che siano persone fisiche, ditte individuali o società di persone e relativi soci/amministratori e/o referenti interni di società di capitali, enti od organizzazioni. Alla stessa analisi, se invece relativa a dati di soggetti diversi dalle categorie sopra citate, non si applica la normativa sulla protezione dei dati personali).

Tale finalità presuppone un consenso specifico dell’interessato.

La profilazione avanzata mira ad analizzare le complessive interazioni dell’interessato con le diverse entità del Gruppo IEG (c.d. “customer centricity”) utilizzando e integrando tra loro, confrontando e rielaborando secondo logiche pertinenti a tale obiettivo, le categorie di dati e/o i principali criteri di seguito descritti:

• settore merceologico o economico di attività del buyer/visitatore/espositore/congressista o convegnista o altro cliente di IEG e/o delle Società Controllate;
• categorie di Eventi, Servizi e/o Prodotti richiesti dall’interessato e/o ad esso offerti;
• storico delle transazioni intercorse con IEG e/o le Società Controllate. Ad esempio: categorie di Eventi e Servizi e/o Prodotti acquistati o di interesse, andamento dei relativi prezzi di acquisto entro periodi di tempo predefiniti, andamento del budget annuo promozionale/pubblicitario degli Eventi dichiarato dall’interessato;
• livelli di prestazione percepita e grado di soddisfazione dell’interessato rispetto agli Eventi partecipati e Servizi e/o Prodotti acquistati, dedotti da:
• survey nominative erogate da IEG agli interessati e riferibili alla sola IEG e/o da
• altri report statistici anche nominativi elaborati da IEG a partire da dati relativi alla partecipazione a Eventi o all’acquisto di Servizi e/o Prodotti, relativi a interessati riferibili alle Società Controllate e condivisi da IEG con le Società Controllate,

elaborate/i per individuare strategie comuni di marketing operativo, funzionali:

• all’incremento, nel tempo, del livello di soddisfazione degli interessati rispetto agli Eventi, ai Servizi e ai Prodotti e del connesso tasso di partecipazione e/o utilizzo dei medesimi nonché
• allo sviluppo del conseguente fatturato del Gruppo IEG sia a livello di singole Società Controllate sia consolidato;
• marginalità commerciale, riferibile all’interessato e/o a cluster di interessati, valutata a livello di Gruppo (per singoli Eventi, Servizi e/o Prodotti e/o per aggregazioni dei medesimi, ad esempio basate su categorie merceologiche, periodi di tempo rilevanti, fasce di prezzo applicato, ecc.) in dipendenza delle marginalità commerciali applicate all’interessato, rispettivamente, da IEG e/o dalle Società Controllate;
• (se l’interessato è cliente o prospect) dati sulle condotte di navigazione sui siti web di IEG e/o delle Società Controllate o durante l’uso dei Servizi e/o Prodotti erogati tramite tali siti (es. tramite cookies relativi alle pagine dei siti web che l’interessato visita, o al paese da cui l’interessato si collega), interazioni con altri canali di comunicazione (es. tramite cookies relativi alle pagine e profili su social media network) e/o con servizi di invio di e-mail commerciali (es. cookies relativi al buon fine dei messaggi inviati, a reazioni dell’utente alle e-mail mediante azioni quali l’apertura di un allegato o l’adesione ad una richiesta di linkare a landing pages o ad allegati al messaggio, ecc.);

La profilazione avanzata permette, secondo i casi, di inviare all’interessato solo comunicazioni promozionali pertinenti alle sue più probabili aspettative ed esigenze dedotte dall’analisi suddetta, limitare la frequenza di tali messaggi entro periodi di tempo predefiniti evitando affaticamenti, limitare l’invio di messaggi da canali inefficaci, garantire la migliore esperienza di acquisto di Eventi, Servizi e/o Prodotti, individuare le azioni più efficaci per determinati target di interessati.

1. Invio da parte di IEG e/o delle Società Controllate (tramite e-mail, sms, messaggi push- up da app, funzioni di messaggistica istantanea tipo WhatsApp e Telegram, chiamate telefoniche con operatore, social network e altri strumenti automatizzati, posta ordinaria) di comunicazioni commerciali e pubblicitarie - incluse newsletter - e offerte di vendita di Eventi e/o Servizi e/o Prodotti di natura analoga a quelli già acquistati in precedenza dall’interessato (cliente) o a quelli che sono stati resi oggetto di richieste precontrattuali o di un’altra manifestazione di interesse dell’interessato (prospect), anche implicita (es. espressa tramite consegna spontanea di un biglietto da visita a IEG e/o ad una Società Controllata (nel complesso denominato “soft spam”).

Nel caso di trattamento da parte delle Società Controllate con sede in BRASILE, CINA e SINGAPORE, il Titolare può trattare per la finalità sub 6 i dati dell’interessato (esclusivamente visitatore di Eventi di natura B2C) solo in base ad un previo specifico consenso dell’interessato.

1. A seguito, di regola ma non solo, delle survey nominative di cui al punto 3 e/o dei report statistici di cui al punto 5: Azioni di marketing diretto (cioè, comunicazioni commerciali e pubblicitarie - incluse newsletter - e/o offerte di vendita di Eventi e/o Servizi e/o Prodotti) esclusivamente da parte di IEG (non anche delle Società Controllate) verso

lead (cioè, interessati che non hanno mai acquistato Eventi, Servizi o Prodotti) di IEG e/o delle Società Controllate,

• clienti e prospect di IEG e/o delle Società Controllate se il marketing diretto riguarda Eventi, Servizi e Prodotti di natura non analoga a quelli già acquistati o di manifestato interesse dei medesimi e/o
• clienti e prospect delle Società Controllate i cui dati siano trasferiti a IEG dalle stesse.

Tale finalità presuppone un consenso specifico dell’interessato.

1. Cessione dei dati

1. da IEG a società o soggetti terzi partners di IEG e/o delle Società Controllate (es. organizzatori di Eventi, espositori, altri operatori attivi negli Eventi o Servizi/Prodotti) per loro autonome azioni di marketing diretto relative ai rispettivi servizi/prodotti.

Tale finalità presuppone un consenso specifico dell’interessato

nonché

1. da IEG a piattaforme di social network per finalità di determinazione - a partire dall’analisi del/i profilo/i social dell’interessato - di nuovi gruppi di lead (cioè di potenziali altri clienti) aventi un profilo simile all’insieme di quelli comunicati da IEG, e di successive azioni di marketing diretto rivolte a tali nuovi gruppi di lead (c.d. servizi di tipo “lookalike”) da parte delle piattaforme di social network.

Tale finalità presuppone un consenso specifico dell’interessato, a favore di IEG.

1. Gestione sicurezza online e fisica, in specie per proteggere IEG e le Società Controllate, i partecipanti agli Eventi e ai Servizi, i siti web e le apps del Gruppo IEG da frodi, furti, appropriazioni indebite, danneggiamenti o altre violazioni di legge, accertare le relative responsabilità e tutelare i connessi diritti di IEG e/o delle Società Controllate.
2. Gestione di altre attività organizzative e produttive di IEG e/o delle Società Controllate:

• gestione del sistema di qualità adottato da IEG e/o dalle Società Controllate, miglioramento della qualità degli Eventi, dei servizi e dei Prodotti,
• controllo di gestione,
• gestione dell’accesso (es. tramite registrazione spontanea da parte dell’utente) ai siti web di IEG e/o delle Società Controllate e ai contenuti e/o servizi da essi raggiungibili (qualora tali attività non siano già dovute per contratto),
• gestione dell’anagrafica dei soggetti VIP (per es. per applicazione di condizioni agevolate di accesso agli Eventi),
• produzione, stampa e diffusione di materiali editoriali cartacei e/o via web,
• gestione dell’accreditamento e della partecipazione agli Eventi e/o Servizi di organi di comunicazione, media e referenti di servizi giornalistici e di comunicazione,
• gestione extra-contrattuale della partecipazione degli interessati a iniziative tematiche a carattere straordinario e/o temporaneo, collaterali agli Eventi,
• gestione della videosorveglianza nelle sedi degli Eventi.

Specifiche ulteriori finalità relative ai singoli trattamenti potranno essere individuate in maniera dettagliata tramite informative integrative da parte dei Titolari.

Gestione dei dati creditizi da parte della Società Controllata, IEG EVENTS ARABIA LLC: il trattamento riguarda dati relativi alla situazione economico - finanziaria di un individuo, dati sulla capacità di rimborso, dati inerenti transazioni e comportamenti passati relativi ai pagamenti e ai debiti.

Tale finalità presuppone un consenso specifico dell’interessato.

1. Finalità in contitolarità tra IEG e Agenzia ICE:

1. Precontrattuale: riscontro a spontanee richieste di informazioni e/o di contatto da parte di terzi potenzialmente interessati a partecipare ad Eventi di interesse comune ai Contitolari.
2. Contrattuale: Organizzazione e gestione degli Eventi finalizzati all’incoming di buyer esteri.
3. Cessione dei dati da IEG e Agenzia ICE, quali Contitolari, a soggetti terzi partners, per autonome azioni di marketing diretto di questi ultimi relative ai propri servizi/prodotti.

Tale finalità sub c) presuppone un consenso specifico dell’interessato, a favore dei Contitolari IEG e Agenzia ICE.

1. Soft-spam: Invio di nuove proposte di partecipazione, congiunte da parte dei Contitolari, a buyers / operatori che hanno già partecipato a Eventi di interesse comune ai Contitolari.
2. Marketing diretto: Ricerca di buyers / operatori di settori merceologici per Eventi di interesse comune ai Contitolari anche tramite invio di proposte di partecipazione agli stessi.

Tale finalità sub e) presuppone un consenso specifico dell’interessato, a favore dei Contitolari IEG e Agenzia ICE.

1. Finalità esclusive di Agenzia ICE

Esclusivamente da parte di Agenzia ICE, in qualità di Titolare Autonomo:

1. i dati sono raccolti nella Banca Dati Centrale (BDC) dell’Agenzia ICE e trattati dalla stessa per proprie finalità istituzionali di promozione e sviluppo del commercio del suo prodotto e/o servizio all’estero, come previsto dall'art. 14 comma 20 D.L. 98/2011 convertito in Legge 111/2011, come sostituito dall'art. 22 comma 6 D.L. 201/2011 convertito in Legge 214/2011 e modificato dall’art.2 cc. 6 e 7 del D.L. 104/2019 convertito dalla L. 132/2019.
2. Inoltre, ai sensi del “Disciplinare di concessione contributo Agenzia ICE per attività promozionali” all’art.11 nonché dell'art. 3 p.7 delle Linee Guida della stessa, nel caso in cui IEG SPA quale soggetto destinatario del contributo di Agenzia ICE debba trasmettere ad Agenzia ICE i dati personali di operatori esteri da coinvolgere in iniziative fieristiche in Italia che prevedano l’organizzazione di delegazioni imprenditoriali, tali dati saranno trattati da Agenzia ICE per ulteriori e proprie finalità promozionali (compresa la diffusione per attività di business matchmaking). A tal fine sarà cura di IEG SPA fornire agli operatori, per conto di Agenzia ICE, l’informativa privacy con in calce un apposito campo di consenso esplicito che permette ad Agenzia ICE di acquisire i dati personali dell’operatore estero all’interno della propria banca dati, con adeguata tempistica rispetto alle iniziative oggetto del Disciplinare.

La finalità sub b) presuppone un consenso specifico dell’interessato, a favore di Agenzia ICE.

BASE GIURIDICA DEL TRATTAMENTO. OBBLIGATORIETÀ O FACOLTATIVITÀ DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL MANCATO CONFERIMENTO

Le basi giuridiche del trattamento sono le seguenti:

• In relazione alle finalità sub 1 (protezione del patrimonio informativo immateriale e Continuità operativa e sicurezza informatica): il legittimo interesse di IEG e/o delle Società Controllate all’adeguata protezione, gestita in modalità centralizzata presso IEG e/o decentrata anche presso le Società Controllate, del patrimonio informativo immateriale di IEG e delle Società Controllate e alla relativa continuità operativa e sicurezza informatica.
• In relazione alle finalità sub 2a (adesione al servizio newsletter): il legittimo interesse di IEG e/o delle Società Controllate di restare in contatto commerciale con chi ha già dimostrato un interesse agli Eventi, Servizi o Prodotti del Gruppo IEG, aderendo al servizio di newsletter (quindi senza necessità di consenso dell’interessato);
• In relazione alle finalità sub 2b (soddisfazione di esigenze precontrattuali e/o adempimento di obblighi contrattuali e/o di obblighi previsti da una legge, da un regolamento o da una normativa comunitaria o estera): la necessità di IEG e/o delle Società Controllate di adempiere alle esigenze precontrattuali e/o agli obblighi contrattuali (incluso quello di diligente pianificazione e organizzazione degli Eventi e/o Servizi/Prodotti e di accertamento dell’affidabilità dell’azienda richiedente un visto di ingresso agli Eventi) e/o a esigenze di legge, di regolamento o di altra normativa (applicabile a livello esclusivamente locale o a livello transnazionale, es. disposizioni della legge italiana che obbligano le Società Controllate a collaborare con IEG alla redazione del bilancio consolidato di Gruppo).

L’interessato è libero di non conferire i suoi dati, ma in tal caso non si potranno evadere le sue richieste precontrattuali e/o stipulare il contratto richiesto e/o non si potranno adempiere gli obblighi legali o regolamentari suddetti.

Nel caso di un Evento o Servizio/Prodotto erogato in modalità online l’interessato è libero di non attivare le telecamere e/o il microfono del pc, ma in tal caso, se per usufruire dell’Evento o del Servizio/Prodotto fosse richiesta la sua immagine o la sua voce, non saremo in grado di erogare gli stessi.

• In relazione alle finalità sub 3 (indagini di mercato nominative): il legittimo interesse di IEG di analizzare e tutelare la reputazione di IEG, delle Società Controllate, degli Eventi, dei Servizi e/o dei Prodotti presso gli interessati, e la qualità percepita dagli stessi, essendo un’utilità anche degli interessati la massimizzazione della soddisfazione dei medesimi. L’interessato è libero di non conferire i propri dati ma in tal caso non si potranno svolgere le indagini specificate.
• In relazione alla finalità sub 4 (profilazione basica): il legittimo interesse di IEG e/o delle Società Controllate di disporre di un profilo commerciale minimale dell’interessato utile a orientare le azioni di mantenimento nel tempo del rapporto commerciale con il medesimo e in particolare a verificare e ottimizzare l’efficacia delle comunicazioni

promozionali e/o di offerte di vendita di Eventi, Servizi e/o Prodotti evitando contenuti non pertinenti allo stesso.

• In relazione alle finalità sub 5 (profilazione avanzata): il previo specifico consenso. L’interessato è libero di non conferire i propri dati e di non prestare il proprio consenso. In tal caso non si potrà svolgere tale profilazione avanzata, ma non vi saranno altri effetti giuridici (in particolare resterà salva la possibilità, dell’interessato, di partecipare agli Eventi e/o usufruire dei Servizi e/o Prodotti).
• In relazione alle finalità sub 6 (soft-spam, anche negli USA e a DUBAI): il legittimo interesse di IEG e/o delle Società Controllate a mantenere attivo, con ragionevole frequenza nel tempo, un contatto commerciale con i clienti e i prospect, fatto salvo in qualsiasi momento il diritto di opporsi, da parte dell’interessato, al trattamento per tale finalità.

Nel caso di trattamento da parte delle Società Controllate con sede in BRASILE, CINA e SINGAPORE, il Titolare può trattare, per la finalità sub 6, i dati dell’interessato (esclusivamente visitatore di Eventi di natura B2C) solo in base ad un previo specifico consenso dell’interessato.

• In relazione alla finalità sub 7 (marketing diretto da parte di IEG diverso dal soft-spam): il previo specifico consenso. L’interessato è libero di non conferire i propri dati e di non prestare il proprio consenso, ma in tal caso non si potranno svolgere tali attività di marketing diretto diverso dal soft-spam.
• In relazione alle finalità sub 8 a-b (cessione dati a società o soggetti terzi partners diversi da IEG e dalle Società Controllate; cessione dati a piattaforme di social network e per servizi di tipo “lookalike”), previo specifico rispettivo consenso. L’interessato è libero di non prestare il proprio consenso e in tal caso la cessione a terzi non potrà avere luogo.
• In relazione alle finalità sub 9 (sicurezza): il legittimo interesse di IEG e/o delle Società Controllate a garantire la sicurezza di Eventi e Servizi.
• In relazione alle finalità sub 10 (scopi vari): il legittimo interesse di IEG e/o delle Società Controllate a svolgere diligentemente le attività ad esse rispettivamente correlate.
• In relazione alle finalità sub 11 (gestione di dati creditizi da parte della Società Controllata, IEG EVENTS ARABIA LLC): il previo specifico consenso. L’interessato è libero di non prestare il proprio consenso e in tal caso la gestione dei dati creditizi non potrà avere luogo.
• In relazione alle finalità in contitolarità sub 12 tra IEG e Agenzia ICE:
1. Soddisfazione di esigenze precontrattuali: la necessità di IEG e di Agenzia ICE di adempiere alle esigenze precontrattuali.
2. Adempimento di obblighi contrattuali: la necessità di eseguire i contratti con buyers/operatori.
3. Cessione dei dati a terzi partners: il previo specifico e libero consenso degli interessati.
4. Soft-spam: il legittimo interesse dei Contitolari a mantenersi in contatto con buyers

/ operatori che hanno già partecipato a Eventi di interesse comune ai Contitolari.

Marketing diretto: il previo specifico e libero consenso degli interessati.

In relazione alle finalità sub 13 (attività svolte esclusivamente da Agenzia ICE quale Titolare Autonomo):

1. per esigenze legate a generiche finalità istituzionali: la necessità di esercizio di attività di pubblico interesse svolte da parte dell’Agenzia ICE (art. 6 co. 1 lettera “e” del GDPR);
2. per ulteriori finalità promozionali autonome di Agenzia ICE (compresa la diffusione per attività di business matchmaking), il previo specifico consenso. L’interessato è libero di non conferire i propri dati e di non prestare il proprio consenso, ma in tal caso non si potranno svolgere tali attività di marketing diretto diverso dal soft-spam.

TITOLARITA’ DEL TRATTAMENTO

In base alle normative di volta in volta applicabili in materia, ad esclusione di quella sub 12,

Titolari del trattamento sono:

• per tutte le finalità previste nella presente Privacy Policy: IEG, in relazione ai dati personali degli interessati (es. dati di clienti o di utenti dei siti web) trattati:
• da IEG e/o dalle Società Controllate con sede nello spazio SEE,
• dalle Società Controllate con sede extra SEE, quando la suddetta veste di Titolare di IEG deriva dalle regole di applicazione extra-territoriale contenute nella normativa locale di volta in volta applicabile nel paese di rispettiva sede delle Società Controllate extra SEE;
• per le sole finalità sub 1, 2, 4, 6: ciascuna Società Controllata (con sede SEE o extra- SEE), in relazione ai dati da essa trattati in base alle rispettive normative locali applicabili; e
• per la sola finalità sub 11: la Società Controllata IEG EVENTS ARABIA LLC.
• Per la sola finalità sub 13: Agenzia ICE.

CONTITOLARITA’ DEL TRATTAMENTO

Contitolari del trattamento per le sole finalità sub 12 prevista nella presente Privacy Policy sono IEG e Agenzia ICE.

DATA PROTECTION OFFICER

Il DPO – Data Protection Officer (Responsabile per la Protezione dei dati) di ITALIAN EXHIBITION GROUP SPA è l’Avv. Luca De Muri, domiciliato presso la stessa.

Il DPO - Data Protection Officer (Responsabile per la Protezione dei dati) della Società Controllata IEG ASIA PTE LDT. – 1 Maritime Square #09-57 | Harbourfront Centre – Singapore 099253, è l’Avv. Ilaria Cicero, domiciliata presso la stessa.

Il DPO – Data Protection Officer (Responsabile per la Protezione dei dati) di Agenzia ICE, con sede in Via Liszt, 21 – 00144 Roma (Italia), indirizzo e-mail: privacy@ice.it. è il dott. Simonluca Dettori, dipendente interno

LEGALE RAPPRESENTANTE NELLA UE DI SOCIETA’ EXTRA-UE

Le società IEG CHINA Co. Ltd (Società Controllata in CINA), IEG ASIA PTE. LIMITED (Società Controllata in SINGAPORE), IEG EVENTS MIDDLE EAST LLC (Società Controllata in DUBAI), IEG EVENTS ARABIA LLC (Società Controllata in ARABIA SAUDITA), ITALIAN EXHIBITION GROUP USA INC. (Società Controllata in U.S.A.) e ITALIAN EXHIBITION

GROUP BRASIL EVENTOS LTDA (Società Controllata in BRASILE), nella loro veste di titolari del trattamento non occasionale di dati personali per le finalità sub 1, 2, 4, 6, 11 (operata solo da IEG EVENTS ARABIA LLC) nell’ambito dell’offerta di Servizi (inclusi gli Eventi da esse organizzati) e/o di Prodotti a interessati con sede o residenza nella UE, hanno designato ITALIAN EXHIBITION GROUP SPA quale proprio rispettivo rappresentante nella UE, ai sensi e per gli effetti di cui all’art. 27 del GDPR.

Come tale, ITALIAN EXHIBITION GROUP SPA, in sostituzione o in aggiunta delle suddette designanti ma senza pregiudizio per la responsabilità delle stesse funge da interlocutore, verso le Autorità di Controllo nazionali e verso gli interessati per ogni questione riguardante tali attività di trattamento, al fine di garantire la conformità al GDPR ed agevolare l’esercizio dei diritti ai sensi del GDPR.

LEGALE RAPPRESENTANTE EXTRA-UE DI SOCIETA’ UE

ITALIAN EXHIBITION GROUP SPA, nella sua veste di titolare del trattamento di dati personali nell’ambito dell’offerta di Servizi (inclusi gli Eventi da essa organizzati) e/o di Prodotti a interessati con sede o residenza in Cina, ha designato IEG CHINA Co. Ltd (Società Controllata in CINA) quale proprio rappresentante in Cina, ai sensi e per gli effetti di cui all’art. 53 della Legge cinese sulla protezione dei dati personali (PIPL). In tale veste, IEG CHINA Co. Ltd funge da interlocutore, verso le Autorità di Controllo nazionali cinesi e gli interessati suddetti per ogni questione che riguarda le suddette attività di trattamento.

COMUNICAZIONE E DIFFUSIONE DEI DATI

I dati sono condivisi con il personale di IEG e/o delle Società Controllate autorizzato a trattare i dati (esempio delle aree Financial, Comunicazione, Travel, Sales, Marketing, Legale, ecc.).

I dati sono comunicati per le finalità sub 1, 2, 3 da IEG e per le finalità sub 1, 2, 7 dalle Società Controllate e per la finalità sub 11 dalla Società Controllata IEG EVENTS ARABIA LLC, a:

• fornitori di servizi di hosting, sviluppo, gestione, manutenzione, disaster recovery e cybersecurity in relazione a sistemi informatici (servizi, siti web e banche dati) di IEG e/o delle Società Controllate; fornitori di servizi di survey,
• altri fornitori attivati per l’organizzazione e gestione degli Eventi e/o Servizi e/o Prodotti (es. fornitori di materiali e prodotti; fornitori di servizi: di design, progettazione tecnica ed allestimento, di biglietteria, di segreteria organizzativa, di imbustamento e spedizione di corrispondenza, di progettazione, stampa e manutenzione di materiali editoriali, pubblicitari o promozionali, di logistica, di security, di safety, di pronto soccorso, di pagamento elettronico, bancari, assicurativi e finanziari, di informazioni sullo standing e la reputazione aziendale, di hospitality/hotellerie, di catering, di trasporto persone, di traduzioni linguistiche, di piattaforme di business, di accoglienza, di emissione di titoli, accrediti, ticket e pass di ingresso agli Eventi e Servizi e/o Prodotti, di help desk di manifestazione, di servizi di corriere, vettore e spedizioniere, di pubblicità, media relations e comunicazione, di direct e-mail marketing, di web marketing, di analisi di marketing, di CRM - Customer Relationship Management, di gestione della compliance, di servizi di comunicazione elettronica ad esempio telefonici o telematici),
• soggetti terzi partners che svolgano attività funzionali o complementari alla promozione degli Eventi e/o all’acquisto di Servizi e Prodotti, ad esempio enti privati e pubblici, altri enti fieristici e/o organizzatori di eventi, associazioni di categoria, con cui IEG e/o le Società Controllate attivano azioni di co-marketing di Eventi,
• giornalisti, testate giornalistiche e referenti di altri organi di comunicazione,
• agenti, regional advisors,
• studi legali e notarili,
• organi di controllo e vigilanza, in particolare, ad esempio, società di revisione e revisori dei conti, dottori commercialisti, esperti contabili, DPO – Data Protection Officer, membri di organismi di vigilanza sui modelli organizzativi di IEG e/o delle Società del Gruppo diretti alla prevenzione della commissione di determinate categorie di reati, sindaci e membri di collegi sindacali,
• studi e società di recupero crediti,
• società e professionisti di computer forensics nel caso di accertamenti tecnici e legali relativi a sospetti reati o ad altri illeciti commessi in danno di IEG, delle altre Società Controllate e/o di terzi,
• altri consulenti e professionisti,

Autorità pubbliche verso le quali la comunicazione si renda necessaria per obbligo di legge, di regolamento o previsto da altra normativa (es. rappresentanze diplomatiche e consolari, Questura, Prefettura, Polizia, altre Autorità di Pubblica Sicurezza, Agenzia delle Entrate, Guardia di Finanza, e simili),

• IEG (in tal caso i dati sono comunicati solo dalle Società Controllate),
• Società Controllate (in tal caso i dati sono comunicati solo da IEG e a discrezione di IEG).

Possono essere comunicati ad espositori (es. tramite le funzionalità di ricerca e/o di richiesta di incontri e/o di contatto disponibili su piattaforme digitali o tramite QR Code o Bar Code) i dati identificativi e di contatto e i dati merceologici di visitatori e buyers, ed eventuali spontanei messaggi degli stessi interessati.

Possono essere comunicati a visitatori/buyer (es. tramite le funzionalità di ricerca e/o di richiesta di incontri e/o di contatto disponibili su piattaforme digitali, tramite QR Code o Bar Code, o tramite cataloghi degli Eventi) i dati identificativi e di contatto e i dati merceologici di espositori ed eventuali spontanei messaggi degli stessi.

I dati sono comunicati, secondo i casi, da IEG per le finalità da sub 4 a 7 e/o dalle Società Controllate per le sole finalità sub 4 e 6 a:

• fornitori di servizi di analisi di marketing, agenzie di comunicazione e/o pubbliche relazioni,
• fornitori di servizi di acquisto di spazi pubblicitari in internet;
• fornitori di materiali pubblicitari o promozionali (es. agenzie grafiche e creative in genere),
• società di produzione e gestione di siti web o blog, società di web marketing,
• fornitori di servizi di gestione di landing page,
• fornitori di servizi di large language model che supportano l’analisi dei dati a fini di profilazione e marketing senza condivisione pubblica dei dati trattati.

Nel caso in cui i suddetti terzi destinatari trattino i dati per conto e in base a direttive scritte di IEG e/o delle Società Controllate mittenti, gli stessi sono designati come Responsabili esterni del trattamento dei dati ai sensi e per gli effetti di cui all’art. 28 del GDPR.

Le Società Controllate per le finalità sub 4 e 6 comunicano i dati anche alla capogruppo IEG (vedi anche successivo capitolo “TRASFERIMENTO DI DATI ALL’ESTERO”).

IEG e le altre Società del Gruppo si astengono da qualsiasi diffusione dei dati.

I dati degli espositori verranno diffusi, solo su richiesta dei medesimi, tramite il catalogo di manifestazione relativo agli Eventi, sia in formato cartaceo che on-line.

Per le finalità sub 12 in contitolarità, Agenzia ICE potrà comunicare i dati a soggetti che svolgono attività di controllo e revisione, enti o amministrazione pubbliche, ivi incluse autorità fiscali, nonché soggetti legittimati per legge a ricevere tali informazioni, autorità giudiziarie italiane e straniere e altre pubbliche autorità, per le finalità connesse all’adempimento di

obblighi legali, o per l’espletamento delle obbligazioni scaturenti dalla relazione contrattuale, compresa l’esigenza di difesa in giudizio.

TRASFERIMENTO DI DATI ALL’ESTERO

I dati sono trasferiti da IEG e/o dalle Società Controllate con sede nella UE, alle seguenti categorie di terzi destinatari con sede extra-UE (di seguito gli “importatori”):

• Società Controllate e/o fornitori delle stesse, con sede extra-UE (Cina, Singapore, U.S.A., Emirati Arabi Uniti, Brasile e Arabia Saudita), nei limiti necessari alle finalità precontrattuali, contrattuali e/o di adempimento di obblighi legali o regolamentari, ad esempio, quando IEG o le altre Società Controllate, con sede in UE, trasferiscono i dati in veste di agenti nell’interesse della Controllata estera;
• fornitori extra-UE di servizi on-line di
1. raccolta dati tramite moduli di testo compilabili dall’interessato contenuti in landing page erogate dal Titolare,
2. piattaforme social (U.S.A.) nelle quali sono attive pagine e/o profili social di IEG e/o delle Società del Gruppo (per maggiori informazioni sul regime di contitolarità applicabile in tale specifico caso alle parti coinvolte, vedi la sezione “contitolarità” nella ns. Cookie Policy), e/o alle quali IEG comunica dati in relazione ai servizi di tipo “lookalike” con esse sottoscritti,
3. gestione log-in tramite account social LinkedIn dell’utente,
4. analisi del traffico generato dagli utenti dei siti web di IEG e/o delle altre Società del Gruppo (U.S.A.).
5. Servizi di pagamento elettronico;
6. CRM – Customer Relationship Management.

Le Privacy Policy dei Fornitori extra-UE dei servizi online sono consultabili al seguente link .

Tale trasferimento dati avrà luogo a fronte di adeguate garanzie, quali:

• Nel caso di trasferimento verso gli U.S.A.: la Decisione di Adeguatezza della Commissione UE del 10 Luglio 2023 relativa alla normativa americana in materia di protezione dei dati personali così come modificata dalla convenzione bilaterale UE –

U.S.A. “Trans Atlantic Data Protection Framework”;

• Nel caso di trasferimento verso il Canada (attivo solo verso fornitori di servizi di gestione di landing pages): la Decisione di Adeguatezza della Commissione UE del 15 Gennaio 2024 relativa alla normativa canadese in materia di protezione dei dati personali, in particolare la Personal Information Protection and Electronic Documents Act (PIPEDA);
• Nel caso di trasferimento verso Paesi extra-UE diversi dagli U.S.A. e dal Canada: dalla previa stipula da parte IEG e/o delle Società Controllate con sede nella UE, verso il terzo importatore, di clausole contrattuali standard - o c.d. “CCS” - conformi come minimo al testo approvato dalla Commissione UE (salvo eventuali integrazioni e/o modifiche più favorevoli all’interessato) mediante le quali, per i trattamenti di propria competenza, l’importatore dei dati si impegna al rispetto di obblighi privacy sostanzialmente equivalenti a quelli previsti dalla normativa UE in materia.

I dati sono altresì trasferiti dalle Società Controllate con sede extra-UE, per le finalità sub 1, 2, 4, 6, 7 e 11, a IEG nonché ai seguenti terzi destinatari extra-UE con sede al di fuori del paese delle stesse Società Controllate (di seguito gli “importatori”):

• agenti;
• fornitori di Prodotti e/o Servizi funzionali alle attività e/o agli Eventi relativi alle Società Controllate estere;
• fornitori di piattaforme di social network (U.S.A.) nelle quali sono attive pagine e/o profili social delle Società del Gruppo con sede extra UE (per maggiori informazioni sul regime di contitolarità applicabile in tale specifico caso alle parti coinvolte, vedi la sezione “contitolarità” nella ns. Cookie Policy).

Tale trasferimento dati, nel caso in cui sia effettuato da Società Controllate extra-UE, verso IEG o soggetti extra-UE, avrà luogo a fronte di adeguate garanzie, costituite dalla stipula, tra le parti coinvolte nel, trasferimento, di contratti standard o clausole contrattuali standard, conformi come minimo ai testi approvati dalle competenti Autorità amministrative del paese in cui ha sede la singola Società Controllata estera (salvo eventuali integrazioni e/o modifiche più favorevoli all’interessato), o, dove permesso dalla legge applicabile, conformi al testo approvato dalla Commissione UE.

Mediante tali contratti e/o clausole IEG e/o il diverso importatore dei dati si impegnano al rispetto di obblighi di protezione e trattamento di dati personali trasferiti sostanzialmente equivalenti a quelli previsti dalla normativa UE in materia.

I dati sono inoltre trasferiti dalle Società Controllate, con sede nella UE, per le finalità sub 1, 2, 4, 6 e 7, a IEG senza necessità di particolari, adeguate garanzie, in quanto l’intero ambito del trattamento risulta adeguatamente disciplinato dal GDPR.

I Suoi dati personali saranno trattati da Agenzia ICE mediante strumenti informatici e telematici, ivi inclusi software online e servizi cloud, situati all’interno dell’Unione Europea. Tali trattamenti avverranno nel pieno rispetto delle misure di sicurezza previste dalla normativa vigente e dei diritti e delle garanzie stabiliti dal Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati – GDPR).

Tuttavia, qualora, per motivi organizzativi o logistici legati alla partecipazione a specifici eventi, missioni o iniziative promozionali, si rendesse necessario trasferire i Suoi dati personali verso Paesi non appartenenti all’Unione Europea o allo Spazio Economico Europeo – dunque al di fuori dell’ambito di applicazione diretto del GDPR – tale trasferimento avverrà esclusivamente nel rispetto di quanto previsto dal Capo V del GDPR (articoli 44 e seguenti).

In particolare, il trasferimento potrà avvenire solo in presenza di:

• una decisione di adeguatezza adottata dalla Commissione Europea ai sensi dell’art. 45 del GDPR; oppure
• in mancanza di tale decisione, mediante l’adozione di garanzie adeguate ai sensi dell’art.

46 del GDPR (quali clausole contrattuali standard approvate dalla Commissione Europea, norme vincolanti d’impresa – Binding Corporate Rules – o altri strumenti equivalenti); oppure

in assenza delle condizioni precedenti, solo laddove ricorra una delle deroghe previste dall’art. 49 del GDPR, come ad esempio la necessità del trasferimento per l’esecuzione di un contratto o la partecipazione a un’iniziativa richiesta dall’interessato stesso.

In ogni caso, Agenzia ICE adotterà tutte le misure necessarie per garantire un adeguato livello di protezione dei dati, nel rispetto dei principi di liceità, correttezza, trasparenza e proporzionalità.

DURATA DEL TRATTAMENTO

I dati sono conservati per periodi di tempo massimo (retention) che dipendono dalla finalità del trattamento, decorsi i quali i dati sono cancellati o resi anonimi, come segue:

• finalità sub 1 (protezione del patrimonio informativo): a tempo indeterminato, fatto salvo quanto oltre qui previsto: i dati trattati per la continuità operativa e i log di sicurezza informatica, esempio dati di log-in, log falliti e log-out, log di sospette anomalie, ecc.) sono conservati 1 anno dalla data di raccolta, salvo eventuale più breve termine previsto dalle procedure interne del Titolare;
• finalità sub 2 (esigenze precontrattuali - nel caso l’interessato sia un lead), cioè un potenziale cliente non avendo effettuato alcun acquisto e non avendo manifestato un interesse agli Eventi, Servizi e/o Prodotti): 2 anni dalla data di raccolta dei dati (salvo il successivo trattamento determini una manifestazione di interesse agli Eventi, Servizi e/o Prodotti, nel quale caso il trattamento avrà la durata prevista nel paragrafo che segue);
• finalità sub 2 (esigenze precontrattuali - nel caso l’interessato sia un prospect, cioè un potenziale cliente non avendo effettuato alcun acquisto, ma avendo manifestato interesse a Eventi, Servizi e/o Prodotti): 10 anni dalla raccolta del dato dell’interessato; (salvo tale attività non determini la stipula di un contratto, nel quale caso il trattamento avrà la durata prevista nel paragrafo che segue);
• finalità sub 2 (esecuzione contratto - nel caso l’interessato sia un cliente): per tutta la durata della relazione commerciale e per 10 anni dalla data di cessazione del contratto; sono fatti salvi i più brevi termini che seguono in relazione a categorie specifiche di dati:
• dati connessi alla redazione di lettere di invito per la richiesta di visti consolari (ad es. copia del passaporto, ecc.): 6 mesi dal termine dell’Evento cui si riferiscono;
• dati delle richieste di assistenza comunicate presso punti di raccolta (incluso desk assicurativo, Info point e Pronto Soccorso) da parte di visitatori ed espositori durante gli Eventi: 60 giorni dopo il termine di ciascun Evento; nel caso di reclami dall’interessato presentati in relazione agli Eventi (es. richieste di risarcimento) i dati possono essere ulteriormente trattati come meglio prevosto dal successivo capitolo “In caso di contenzioso”.
• dati contenuti nel catalogo promozionale degli Eventi: per 2 edizioni del catalogo;
• dati connessi al servizio di “Business Matching” erogato durante gli Eventi: 3 mesi

dal termine del singolo Evento;

• prodotti editoriali: 5 anni dalla pubblicazione (NB: il Titolare dopo la vendita del Prodotto in cui sono contenuti i dati non ne controlla la ulteriore circolazione);

finalità sub 2 (adempimento obblighi di legge e regolamento): 10 anni dalla data di stipula del contratto (nel caso di clienti) o dalla raccolta del dato dell’interessato (nel caso dei prospect);

sono fatti salvi i più brevi termini che seguono in relazione a categorie specifiche di dati:

• dati di certificazione degli Eventi: fino al termine della certificazione e quindi fino a certificazione avvenuta;
• finalità sub 3 (survey nominative): 2 anni dalla raccolta del dato dell’interessato (nel caso di clienti e prospect);
• finalità sub 4 (profilazione basica): 2 anni dalla raccolta del dato dell’interessato (nel caso di clienti e prospect);
• finalità sub 5 (profilazione avanzata): 2 anni dalla raccolta del dato dell’interessato (nel caso di clienti e prospect);
• finalità sub 6 (soft-spam): fino ad eventuale opposizione da parte dell’interessato;
• finalità sub 7 (marketing diretto) verso lead, clienti e prospect: 10 anni dalla data di raccolta del dato o fino alla data di revoca del consenso da parte dell’interessato, se tale revoca avviene prima della suddetta scadenza;
• finalità sub 11 (gestione di dati creditizi operata da IEG EVENTS ARABIA LLC): 2 anni

dalla data di raccolta del dato;

• In caso di contenzioso stragiudiziale o giudiziale, verso l’interessato e/o verso terzi (es. persone danneggiate durante gli Eventi a causa di attività del Titolare, dell’interessato e/o di terzi), i dati sono trattati, per il tempo necessario ad esercitare la tutela dei diritti del Titolare (di regola, fino al 6° anno solare successivo a quello di integrale esecuzione di un provvedimento avente valore di giudicato o di una transazione tra le parti in lite).
• Nel caso delle finalità in contitolarità sub 12, i dati personali saranno conservati per la stessa durata come sopra applicabile per il caso dei medesimi trattamenti svolti in titolarità autonoma.
• In caso di contenzioso stragiudiziale o giudiziale, verso l’interessato e/o verso terzi (es. persone danneggiate durante gli Eventi a causa di attività dei Contitolari, dell’interessato e/o di terzi), i dati sono trattati, per il tempo necessario ad esercitare la tutela dei diritti dei Contitolari (di regola, fino al 6° anno solare successivo a quello di integrale esecuzione di un provvedimento avente valore di giudicato o di una transazione tra le parti in lite).
• Nel caso delle finalità sub 13, i dati personali saranno conservati per la durata prevista autonomamente da Agenzia ICE (10 anni, oppure fino a revoca del consenso se il consenso è la base giuridica, fatti salvi gli obblighi di legge).

MODALITA’ DI TRATTAMENTO

IEG, anche tramite le Società Controllate e/o terzi fornitori dalle stesse delegati, raccoglie i dati tramite:

• siti web del Gruppo IEG di cui l’interessato naviga le pagine elettroniche;
• moduli on-line o cartacei o app di preregistrazione o di partecipazione compilati dall’interessato in occasione o in funzione degli Eventi e/o Servizi e/o Prodotti;

QR Code o BAR Code esibito e scannerizzato agli ingressi degli Eventi o durante la partecipazione agli stessi;

• biglietti da visita spontaneamente consegnati dall’interessato;
• domande (cartacee od online) di adesione dell’interessato agli Eventi, ai Servizi e/o ai Prodotti;
• contratti stipulati con l’interessato;
• richieste di preventivi e/o di informazioni inviate da parte dell’interessato (es. tramite moduli on line);
• piattaforme on-line per la gestione di richieste di contatto / business meetings e per lo scambio di informazioni tra espositori, visitatori e/o buyers (es. testi, video, presentazioni, live sections; approfondimenti e percorsi su tendenze e innovazione, visit tours, condivisione e comunicazione di eventi e/o di altri contenuti digitali; condivisione di commenti pubblici relativi a contenuti come sopra condivisi, scambio di messaggi).

IEG inoltre raccoglie dati presso le Società Controllate nell’ambito di scambi di informazioni infragruppo.

I dati sono trattati dal personale autorizzato e istruito da parte di IEG e/o dalle Società Controllate, nei limiti strettamente necessari all'esecuzione dei rispettivi compiti (es. uffici legale, commerciale, marketing, amministrativo, logistico, IT, controllo di gestione, ecc.), mediante strumenti elettronici e cartacei e con logiche strettamente connesse alle singole finalità come sopra rispettivamente previste.

Nel solo di Eventi organizzati da IEG e/o dalle Società Controllate, che comportino trattamenti in contitolarità con Agenzia ICE, anche quest’ultima si attiene, in modo simile, ad analoghe modalità.

MISURE DI SICUREZZA

Al trattamento dei dati personali dell’interessato sono applicate misure tecniche ed organizzative di sicurezza idonee a garantire la integrità, sicurezza e disponibilità degli stessi. Per ragioni di sicurezza, non tutte le relative informazioni sono rese qui disponibili. Le misure potrebbero variare a seconda della società del Gruppo. Le principali tipologie di misure applicate sono le seguenti:

• Procedure di IT Asset Management
• Firewall
• Antivirus
• Antispam
• DMZ - De-Militarized Zone
• Storage ridondato
• Procedure di Identity e Access Management:
• Credenziali di Autenticazione univoche per l’accesso ai dati; 2FA e VPN per accessi da remoto
• Limitazione dell’accesso ai dati al solo personale interno previamente designato per iscritto autorizzato e istruito dal Titolare

Profili di autorizzazione gestiti tramite Active Directory e/o Azure Directory (Entra ID) limitati in conformità al principio “need-to-use, need to know”

• Obblighi scritti di riservatezza
• Formazione del personale
• Nomina dei responsabili esterni che svolgono trattamenti in outsourcing per conto dei Titolari
• VLAN - Virtual Local Area Network
• Back-up giornaliero
• Disaster Recovery
• Procedura di Patch Management
• Procedura Gestione Incidenti e Procedura di Data Breach
• Sistemi IDS (Intrusion Detection System), IPS (Intrusion Prevention Sysyem), EDR (Endpoint Detection and Response), DLP (Data Loss Prevention)
• SIEM – Security Information and Event Management
• SOC – Security Operation Center
• Connessioni su protocollo HTTP sicuro (HTTPS) con crittografia a 2048 bit e protocollo TLS v1.x (PCI DSS Compliance)
• Vulnerability Assessment e Penetration Test periodici
• Audit periodici.

L'utilizzo di programmi software di tipo 'bot' (cioè, automatizzati) viola le nostre Condizioni di Utilizzo dei nostri siti web. IEG e le Società Controllate si riservano pertanto ogni diritto al risarcimento dei danni derivanti da tale comportamento e la facoltà di sospendere l’accesso ai servizi di chi viola tale divieto.

Ci riserviamo il diritto di condurre in qualsiasi momento controlli di sicurezza (es. analisi dei logs) per convalidare la tua identità, i dati di registrazione da te forniti e per verificare il tuo corretto utilizzo dei nostri servizi online nonché per accertare possibili violazioni delle condizioni di utilizzo dei nostri siti web e/o della legge ad essi applicabile.

Anche Agenzia ICE adotta misure di sicurezza coerenti con i principi del GDPR, comparabili a quelle descritte, in base al proprio modello organizzativo e operativo. Qualora necessario, il Data Protection Officer (DPO) e i relativi uffici tecnici di Agenzia ICE potranno fornire ulteriori dettagli sulle misure adottate specificamente dall’Agenzia, nel rispetto dei criteri di proporzionalità, minimizzazione e riservatezza. In ogni caso al trattamento dei dati personali dell’interessato sono applicate misure tecniche e organizzative idonee a garantire la riservatezza, integrità, disponibilità e resilienza dei dati, in conformità a quanto previsto dall’articolo 32 del Regolamento (UE) 2016/679.

DIRITTI DELL’INTERESSATO

I soggetti interessati, utilizzando i dati di contatto del Titolare (visionabili nella Tabella delle Società del Gruppo IEG), possono esercitare i seguenti diritti, previsti dal GDPR e/o, secondo i casi, dalla diversa normativa locale applicabile di volta in volta nel Paese extra-UE rilevante in relazione al trattamento dei dati:

Accesso ai propri dati personali trattati dal Titolare.

• Rettifica o integrazione dei dati inesatti o incompleti.
• Cancellazione di dati obsoleti, ove non vi abbia provveduto in autonomia il Titolare, nei casi in cui (i) non siano più necessari ai fini del trattamento dati, (ii) l’interessato abbia revocato il proprio consenso al trattamento dei dati per i quali per legge sia necessario tale consenso, (iii) l’interessato si sia opposto al trattamento dei dati, (iv) il trattamento dei dati personali sia illecito, (v) i dati personali debbano essere cancellati per ottemperare a un obbligo di legge in capo al Titolare. Ciascun Titolare si impegna ad adottare ogni ragionevole misura al fine di informare della cancellazione le altre società del Gruppo IEG.
• Limitazione del trattamento dei dati personali, qualora (i) sia contestata l’accuratezza dei dati personali dell’interessato, per consentire al Titolare di effettuare le verifiche del caso, (ii) l’interessato intenda limitare i propri dati personali anziché cancellarli, nonostante il trattamento sia illecito, (iii) l’interessato desideri che il Titolare conservi i dati personali in quanto ritenuti necessari per difendersi in azioni legali, (iv) l’interessato si sia opposto al trattamento ma il Titolare debba eseguire verifiche per appurare la sussistenza di motivi legittimi al trattamento che prevalgano sui diritti dell’interessato.
• Portabilità dei dati (cioè, di ottenere una copia in formato leggibile da un elaboratore dei dati forniti da parte dell’interessato al Titolare, o di farne comunicare tale copia ad altro titolare indicato dall’interessato, quando i dati si riferiscano ad un contratto in essere tra l’interessato e il primo Titolare e gli stessi siano trattati mediante software) nei limiti previsti dalla normativa applicabile.
• Opposizione al trattamento eseguito in base ad un interesse legittimo del Titolare.
• Diritto di non essere soggetto ad un processo decisionale automatizzato che produce effetti legali che riguardano o in modo simile influiscano significativamente sull’interessato e di opposizione all’esito di una eventuale decisione automatizzata del Titolare relativa al trattamento dei dati personali dell’interessato. Un processo decisionale automatizzato si ha quando vengono prese decisioni impiegando mezzi tecnologici senza coinvolgimento umano.

Tale diritto non sussiste allorquando la suddetta decisione automatizzata i) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, o ii) sia autorizzata dal diritto della UE o dello Stato membro UE cui è soggetto il titolare del trattamento, che in tal caso precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato, oppure iii) si basi sul consenso esplicito dell'interessato.

(Nota Bene: i Titolari in ogni caso non si avvalgono di processi decisionali automatizzati).

Revoca del consenso quando il consenso per legge sia la base giuridica del trattamento (fermo restando la liceità del trattamento eseguito fino al momento della revoca).

• (quando applicabile il GDPR) Diritto di Reclamo all’Autorità di controllo competente; in Italia è il Garante per la protezione dei dati personali – Piazza Venezia 11 - IT-00187 - Roma), tel. (+39) 06.69677.1, e-mail: rpd@gpdp.it.
• (quando applicabile una normativa sulla protezione dei dati personali diversa dal GDPR) Diritto di reclamo, di azione in giudizio e/o di risoluzione alternativa della controversia, previsto di volta in volta dalla normativa estera applicabile

(es. nello Stato del New Jersey, diritto di proporre appello contro l’eventuale rigetto di una richiesta di esercizio dei diritti previsti dal New Jersey Data Privacy Act, entro un termine ragionevole dopo la comunicazione del rigetto e con una modalità simile a quella del processo di comunicazione della prima richiesta; la risposta del Titolare deve essere comunicata entro 60 giorni; nel caso in cui il Titolare rigetti l’appello, il consumatore può presentare reclamo alla New Jersey Division of Consumer Affairs nel Department of Law and Public Safety (vedi https://www.njconsumeraffairs.gov/).

• Diritto di Richiedere:
• a IEG e/o alle Società Controllate con sede nello spazio UE, nonchè alle Società Controllate con sede in DUBAI, ARABIA SAUDITA, SINGAPORE e/o U.S.A., un elenco nominativo dei terzi destinatari dei dati designati come responsabili esterni del trattamento (vedi anche capitolo “COMUNICAZIONE E DIFFUSIONE DEI DATI” della presente Privacy Policy), e
• alle Società Controllate con sede in CINA e in BRASILE, un elenco nominativo di tutti i terzi destinatari dei dati (sia Responsabili Esterni che Titolari del trattamento).

Di seguito sono indicate le modalità con le quali l’interessato può ottenere ulteriori informazioni circa i propri diritti:

• se l’interessato risiede o ha sede nello spazio SEE, o comunque è soggetto ad un trattamento dei dati personali regolato dal GDPR, deve consultare per maggiori dettagli gli articoli da 15 a 22 e 77 del Regolamento Privacy UE 679/2016 (“GDPR”), consultabile al link: https://eur-lex.europa.eu/legal- content/IT/TXT/HTML/?uri=CELEX:32016R0679#d1e2800-1-1;
• se l’interessato risiede o ha sede in Cina, o comunque è soggetto ad un trattamento regolato dalla normativa cinese per la protezione dei dati personali, deve consultare per maggiori dettagli gli articoli da 44 a 50 del capitolo IV della Legge sulla Protezione dei dati personali della Repubblica Cinese (PIPL), consultabile il seguente link: http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm;

se l’interessato risiede o ha sede in Dubai, o comunque è soggetto ad un trattamento regolato dalla normativa araba per la protezione dei dati personali, per maggiori dettagli deve consultare – la UAE - 'The Guide to Access Government Information' and Law No. 26 of 2015 on the Organization of Dubai Data Publication and Sharing also known as Law No. 26 of 2015 Regulating Data Dissemination and Exchange; e la Personal Data Protection Law, Federal Decree Law No. 45 of 2021 regarding the Protection of Personal Data) al seguente link: https://u.ae/en/about-the- uae/digital-uae/data/data-protection-laws;

• se l’interessato risiede o ha sede in Brasile, o comunque è soggetto ad un trattamento regolato dalla normativa brasiliana per la protezione dei dati personali, deve consultare gli articoli da 17 a 22 del capitolo III della General Personal Data Protection Act (LGPD), al seguente link: https://lgpd-brazil.info;
• se l’interessato risiede o ha sede in Singapore, o comunque è soggetto ad un trattamento regolato dalla normativa di Singapore per la protezione dei dati personali, deve consultare gli articoli da 5.1 a 5.2 del capitolo V della “The Personal Data Protection Act 2012 (“PDPA”), consultabile al seguente link: https://www.pdpc.gov.sg/overview-of-pdpa/the-legislation/personal-data-protection- act;
• se l’interessato risiede o ha sede in sede in U.S.A., o comunque è soggetto ad un trattamento regolato dalla normativa americana per la protezione dei dati personali, può consultare la seguente tabella dei diritti, le informazioni disponibili al seguente link: https://www.whitecase.com/insight-our-thinking/us-data-privacy-guide e, in relazione al trattamento di dati personali relativi a soggetti qualificati come consumatori (cioè, che agiscono in un contesto individuale o familiare) eseguito da parte della nostra Società Controllata con sede nello Stato del New Jersey (U.S:A.), la New Jersey Data Privacy Law visionabile al seguente link https://pub.njleg.state.nj.us/Bills/2022/S0500/332_R6.PDF.
• se l’interessato risiede o ha sede in Arabia Saudita, o comunque è soggetto ad un trattamento regolato dalla normativa saudita per la protezione dei dati personali, deve consultare il seguente link: https://sdaia.gov.sa/en/Research/Pages/DataProtection.aspx

Nel solo caso di trattamento tra IEG e Agenzia ICE di cui alla finalità sub 12, gli interessati possono esercitare i diritti sopraelencati, così come previsto dal GDPR, rivolgendosi indifferentemente a.

• Italian Exhibition Group S.p.A., con sede in Via Emilia, 155 – 47921 Rimini (Italia), indirizzo e-mail: privacy@iegexpo.it, oppure a
• Agenzia ICE, con sede in Via Liszt, 21 – 00144 Roma (Italia), indirizzo e-mail: privacy@ice.it.

MODIFICHE DELLA PRIVACY POLICY

La Privacy Policy potrà essere cambiata nel tempo per riflettere le modifiche apportate al trattamento dei dati personali e/o per adeguarsi ad eventuali requisiti normativi sopravvenuti.

La Privacy Policy aggiornata sarà comunicata all’interessato come richiesto dalla legge e con modalità idonee (es. mediante pubblicazione sul/i Sito/i di IEG e/o delle Società Controllate, e-mail o inserimento in aree online riservate agli utenti).

REV. 10.04.2025