Registrazione Buyer

Ai sensi degli artt. 13 e 14 del Regolamento Privacy UE 679/2016 (“GDPR”) informiamo che i dati personali forniti da parte dell’interessato (“Lei”), per sé o per l’organizzazione cui Lei appartiene, alla società Italian Exhibition Group S.p.A. (“IEG”) e a ICE Agenzia per la promozione all'estero e l'internazionalizzazione delle imprese italiane (“Agenzia ICE”) di seguito anche i Contitolari (“noi”), in occasione o in funzione delle attività di ricerca di buyers / operatori di settori merceologici per progetti di interesse quali manifestazioni, mostre, eventi, workshop, webinar e/o “business meeting virtuali e/o in presenza” (d’ora in poi “Eventi”), sono trattati nel rispetto dei principi di liceità, equità, correttezza, proporzionalità, necessità, esattezza, completezza e sicurezza e degli altri obblighi normativi vigenti. Gli “Eventi” si potranno svolgere anche su piattaforme on-line (Swapcard, My Agenda), sia in forma virtuale e on-site o in forma full digital, che permettono di effettuare incontri on-line fra espositori e visitatori/buyers, con la creazione, tra le altre opportunità, di un’agenda di incontri che metterà in contatto direttamente gli interessati. Le suddette piattaforme potranno essere utilizzate dal visitatore/buyer anche per richiedere contatti con gli espositori presenti sulla stessa, attraverso le seguenti azioni: salvataggio di uno o più espositori sulla lista dei “preferiti”, chat, networking, richieste di appuntamento specifiche, ecc…. E’ disponibile, per gli interessati, su questo link https://www.iegexpo.it/it/accordo-ice il contenuto essenziale dell'accordo di contitolarità ai sensi dell’articolo 26, comma 2, del Regolamento Privacy. Categorie di interessati. Operazioni di trattamento e modalità di raccolta I dati trattati riguardano i clienti (ovvero gli espositori, i visitatori, i buyers, i partecipanti a workshop, webinar e/o “business meeting virtuali e/o in presenza” che abbiano rivestito il rispettivo ruolo nel corso degli ultimi 10 anni) e i prospect (soggetti che abbiano manifestato interesse agli Eventi, nel corso degli ultimi 10 anni – ad esempio anche attraverso la consegna di proprio biglietto da visita o richiesta di informazioni o preventivi), intesi come persone fisiche di età superiore ai 14 anni che agiscono in proprio e/o come referenti interni di persone giuridiche, enti o altre organizzazioni. Le singole categorie di dati raccolti sono indicate nella nostra modulistica di raccolta che integra la presente informativa. Il trattamento avviene con strumenti elettronici e cartacei e con logiche connesse alle singole finalità sotto dichiarate. Raccogliamo i dati i) tramite form on-line o moduli cartacei o via app di pre-registrazione o di partecipazione da Lei compilati e/o acquisiti da parte di terzi operatori da noi autorizzati o ii) tramite dispositivi mobili di tipo tablet, smartphone presenti nel luogo degli Eventi. I dati raccolti potranno essere trattati dal personale da noi espressamente autorizzato, nei limiti strettamente necessari all'espletamento delle rispettive attività ad esso assegnato (per IEG ad es. uffici legale, commerciale, marketing, amministrativo, logistico, IT, controllo di gestione, ecc., Agenzia ICE nel suo complesso). Finalità del trattamento congiunte Il trattamento ha le seguenti finalità (punti da 1 a 6): 1. Adempimento di obblighi contrattuali e di legge derivanti dalla partecipazione o connessi alla partecipazione già contrattualizzata o potenziale dell’interessato agli Eventi (come ad esempio la partecipazione a incontri di business in presenza e/o virtuali attraverso videocall su specifici link on-line o piattaforme dedicate; l’iscrizione ad un webinar, ecc…). Gli espositori potrebbero presentare testi, video, presentazioni, live section; approfondimenti e percorsi su tendenze e innovazione, percorsi di visita guidati, condividere e comunicare importanti eventi aziendali, oltre ad altri servizi opzionali. I visitatori/buyers avranno a disposizione un profilo semplificato e la possibilità di ricercare tutti i profili delle aziende espositrici, nonché di interagire con i relativi contenuti (con commento pubblico su profilo, commento pubblico su contenuto, pagina evento, gruppo ecc.) modulo di contatto (per richiedere maggiori informazioni o ricercare interazione con gli organizzatori o gli espositori della piattaforma, partecipazione ad eventi, messaggi privati, gruppi su invito, etc.). IEG potrà comunicare, in adempimento al rapporto contrattuale inteso ad agevolare i rapporti fra espositori e visitatori/buyers, i dati di contatto dei visitatori/buyers che si sono dimostrati interessati a chiedere un incontro/appuntamento con l’espositore prescelto o che hanno manifestato interesse verso uno o più espositori, ai suddetti espositori, attraverso azioni specifiche (es. chat, networking, salvataggio dell’espositore nei preferiti, richieste di appuntamento specifiche, ecc…) su apposite piattaforme digitali (Swapcard, My Agenda). In tal caso i dati verranno trattati dall’espositore in qualità di Titolare Autonomo (ciascun espositore dovrà pertanto, in autonomia, procurarsi, presso gli interessati, un separato consenso informato per eventuali e ulteriori finalità di marketing diretto, poiché IEG condivide i dati personali ai soli fini del servizio suddetto ed è estranea a successivi trattamenti). 2. Pianificazione e gestione organizzativa degli Eventi, es. emissione e pagamento di titoli, accrediti e pass d’ingresso (incluso controllo del buon fine del pagamento operato tramite servizi di terzi), gestione di cartellini identificativi personali (con fototessera) a fini di security, pianificazione e gestione di specifici servizi da Lei richiestici (ad esempio servizi di traduzioni, hostess, catering, accompagnamento), comunicazione, su Sua richiesta di informazioni precontrattuali (es. programmi, proposte, ecc.) connesse agli Eventi, redazione di lettere di invito per la richiesta di visti consolari, gestione dei contratti da noi stipulati con terzi fornitori di beni e/o servizi da Lei utilizzati durante o in occasione degli Eventi; pubblicazione di nome e cognome o denominazione e ragione sociale, numero di telefono, email, nel catalogo pubblico on-line e cartaceo dell’Evento cui Lei partecipa; comunicazione, da parte di IEG, di informazioni (es. programmi, proposte, aggiornamenti, avvisi, promemoria, ecc.) connesse agli Eventi. Per la migliore organizzazione e la completa realizzazione dei “business meeting virtuali e/o in presenza”, IEG potrebbe prevedere l’invio dell’indirizzo e-mail del buyer all’espositore e viceversa, qualora fosse già stato pianificato un incontro virtuale e/o in presenza e lo stesso fosse successivamente saltato per cause di forza maggiore. Attraverso lo scambio degli indirizzi e-mail gli interessati potranno provvedere, in autonomia, a ricalendarizzare l’incontro secondo le proprie disponibilità e comunque a inviarsi comunicazioni di loro interesse. Nell’ambito della suddetta finalità IEG potrà offrire al visitatore/buyer anche la possibilità di utilizzare la tecnologia QR code (il QR Code è generato dal fornitore - nominato Responsabile Esterno del Trattamento di IEG – Vivaticket), con cui il visitatore/buyer potrà trasmettere i propri dati direttamente all’espositore di interesse presso il suo stand, oppure, al medesimo fine, scansionare il QR code presente presso lo stand dell’espositore prescelto. In entrambi i casi i dati verranno trattati dall’espositore in qualità di Titolare Autonomo (ciascun espositore dovrà pertanto, in autonomia, procurarsi, presso gli interessati, un separato consenso informato per eventuali e ulteriori finalità di marketing diretto), poiché IEG condivide i dati personali ai soli fini del servizio suddetto ed è estranea a successivi trattamenti). 3. Invio, esclusivamente da parte di IEG, (tramite email, posta ordinaria, sms, mms, messaggi push-up, funzioni di messaggistica istantanea tipo WhatsApp, telefax, chiamate telefoniche con operatore, social network e altri strumenti automatizzati) di comunicazioni commerciali, pubblicità e offerte di vendita di prodotti/servizi affini a quelli di Suo interesse ovvero relativi a prodotti/servizi fieristico/congressuali e/o ad essi correlati (es. editoria di settore, webinar, business meeting virtuali e/o in presenza, etc.) - nel complesso attività definite come “soft spam”. 4. Finalità esclusive di Agenzia ICE Esclusivamente da parte di Agenzia ICE, i dati personali sono raccolti, trattati, utilizzati e diffusi unicamente per le finalità istituzionali come previsto dall'art. 14 comma 20 D.L. 98/2011 convertito in Legge 111/2011, come sostituito dall'art. 22 comma 6 D.L. 201/2011 convertito in Legge 214/2011 e modificato dall’art.2 cc. 6 e 7 del D.L. 104/2019 convertito dalla L. 132/2019, e tal fine saranno inseriti nella banca dati dell'Agenzia ICE. 5. Profilazione (svolta esclusivamente da parte di IEG). La profilazione rileva ai fini privacy solo se riguarda persone fisiche, cioè ditte individuali o società di persone e relativi soci/amministratori, oppure referenti interni di società di capitali, enti od organizzazioni. La profilazione utilizza alcuni dati da Lei fornitici e talora li associa a dati societari tratti da banche dati pubbliche (es. Registro Imprese CCIAA). In particolare, analizziamo i seguenti dati, nel caso di partecipanti a webinar, partecipanti a “business meeting virtuali e/o in presenza”: nome e cognome, dati di contatto, nazione di provenienza, settore di appartenenza, professionalità/argomenti trattati. In alcuni casi, se Lei è un cliente o un prospect, associamo i dati da Lei fornitici a ulteriori Suoi dati personali acquisiti durante la Sua navigazione sui nostri siti web o durante l’uso dei servizi erogati da tali siti (es. cookies relativi alle pagine del nostro sito web che ha visitato, al paese da cui Lei si collega) o tramite altri canali di comunicazione (es. social media) o tramite servizi di invio massivo di email commerciali (es. quali messaggi le sono arrivati, quali email Lei ha aperto, quali proposte Lei ha accettato mediante specifiche azioni quali quella di aprire un allegato o aderire ad una nostra richiesta di linkare a landing pages o ad allegati al messaggio email, ecc.). Nel caso di buyers/visitatori, i seguenti dati: nome e cognome, ragione sociale dell’organizzazione di appartenenza, dati di contatto, posizione lavorativa e livello di responsabilità del referente, residenza o sede, paese di provenienza, sito web, anno di fondazione dell’azienda, fatturato, nr. dipendenti, settore di attività, percentuale di business connesso all’Italia e all’estero, regioni italiane ed estere di interesse, principali categorie di prodotti o servizi di interesse del buyer e/o commercializzati dallo stesso (anche in termini percentuali di vendita per area geografica), categorie di clienti dell’azienda, scopo della visita. La profilazione ci permette, in particolare, di limitare l’invio a Lei di comunicazioni promozionali non pertinenti alle Sue probabili aspettative ed esigenze o tramite canali non graditi. La limitata natura della profilazione non La esclude da vantaggi specifici o dalla possibilità di esercitare liberamente i Suoi diritti privacy, né ha particolari effetti giuridici; in particolare essa non pregiudica in alcun modo la Sua possibilità di partecipare agli Eventi e/o di usufruire dei nostri servizi (es. pre-registrazione on-line, acquisto servizi). 6. Solo previo suo separato consenso: comunicazione dei dati a nostri terzi partners (es. organizzatori degli Eventi, espositori per i quali ad es. il visitatore/buyer non ha espresso interesse o altri operatori attivi negli Eventi), per autonome azioni di marketing diretto relativi a beni/servizi inerenti tali terzi partner. BASE GIURIDICA DEL TRATTAMENTO. OBBLIGATORIETÀ O FACOLTATIVITÀ DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL MANCATO CONFERIMENTO Il trattamento per le finalità sub 1 ha la sua base giuridica nella nostra necessità di adempiere agli obblighi assunti tramite il contratto stipulato o da stipularsi con Lei (e di svolgere tutte le azioni funzionali alla corretta e completa esecuzione degli impegni ivi assunti) e/o agli obblighi di legge ad esso connessi, tra cui agevolare la gestione dei rapporti tra espositori e buyers. Pertanto tale trattamento non richiede un Suo preventivo consenso e Lei è altresì libero di non conferire i Suoi dati, tuttavia, in tal caso, non potremo stipulare il contratto richiesto e/o erogare regolarmente la prestazione richiesta da Lei o dall’organizzazione cui Lei appartiene (es. farLa partecipare all’Evento d’interesse e fornirLe i servizi connessi per esempio per il webinar di interesse e/o al business meeting virtuale e/o in presenza di interesse) e/o non potremo adempiere agli obblighi di legge connessi al contratto. Il trattamento per le finalità sub 2 ha la sua base giuridica nel nostro legittimo interesse di organizzare gli Eventi, pianificare e gestire tutte le attività organizzative utili a permetterLe di partecipare in modo efficiente ed efficace agli Eventi e di gestire i contatti con gli espositori di interesse. (Ad esempio aderendo e perfezionando la richiesta di partecipazione ad un webinar, Lei potrà ricevere, tramite e-mail, aggiornamenti / avvisi e/o promemoria relativi ai webinar di interesse o affini a quelli di suo interesse; aderendo al business meeting virtuale e/o in presenza potrebbe ricevere l’indirizzo email del buyer e/o espositore di suo interesse per procedere in autonomia, attraverso la piattaforma messa a disposizione da IEG, ad organizzare quegli incontri che non si sono realizzati o sono stati cancellati o rinviati.) In particolar modo la richiesta di dati e documenti personali, soprattutto per gli ospiti stranieri, renderà più affidabile la comprensione corretta dei dati stessi, ma soprattutto più sicuro l’accertamento dell’affidabilità dell’azienda che richiede un visto d’ingresso. Pertanto tale trattamento non richiede un Suo preventivo consenso. Lei è libero di non conferire i dati, ma in tal caso non potrà partecipare all’Evento. Nel caso di un Evento come il webinar o il business meeting virtuale potrebbe venirLe richiesto di attivare le telecamere del pc per una migliore e più proficua relazione e comunicazione tra i partecipanti all’evento ed il relatore dello stesso. Lei sarà libero di decidere di non attivare la telecamera e anche in tal caso potrà partecipare al webinar. Il trattamento per le finalità sub 3 (soft spam) ha la sua base giuridica nel legittimo interesse di Italian Exhibition Group a ricontattare liberamente i nostri clienti, nonché i prospect, al fine di poter loro proporre tramite canali elettronici/telefonici/cartacei nuove opportunità relative a servizi o prodotti analoghi a quelli precedentemente acquistati/ contrattualizzati (nel caso dei clienti) oppure a quelli per i quali è stato manifestato interesse (nel caso dei prospect), ovvero relativi a prodotti/servizi fieristico/congressuali e/o ad essi correlati. (es. editoria di settore, webinar, business meeting virtuali e/o in presenza, etc.). Pertanto il cd. soft spam, appena descritto, può lecitamente avvenire anche senza Suo previo consenso, che quindi non è necessario. Il trattamento per le finalità sub 4 (attività poste in essere da ICE Agenzia) si fonda sulle seguenti basi giuridiche: (i) il trattamento è necessario per l’esercizio di attività di pubblico interesse svolte dal Titolare art. 6 co. 1 lettera “e”; (ii), il trattamento è necessario per adempiere obblighi legali a cui è soggetto il titolare del trattamento, es. obblighi di legge, regolamento, esecuzione di provvedimenti dell’autorità giudiziaria o amministrativa (art. 6 co.1 lettera “c”) del Regolamento. I dati personali fornitici saranno utilizzati per organizzare gli eventi e gli incoming di buyer esteri, gestire ogni relativa attività organizzativa si rendesse necessaria per il buon fine dell’Evento a cui partecipa. I Suoi dati personali inoltre confluiranno nella Banca Dati Centrale (BDC) dell’Agenzia ICE potranno inoltre essere utilizzati nell’ambito della propria attività istituzionale e dunque per promuovere e sviluppare il commercio del suo prodotto e/o servizio all’estero, come previsto dell’art. 14, comma 20, D.L.98/11 convertito in L.111/11 come sostituito dall’art. 22 c. 6 D.L. 201/11 convertito in L.214/11 e modificato dall'art.2 cc. 6 e 7 del D.L. 104/2019 convertito dalla L.132/2019. I suoi dati potranno, quindi, essere utilizzati per l’invio di proposte di partecipazione ad altre iniziative organizzate dal Titolare quali fiere, workshop, seminari, corsi di formazione, ecc. ed utilizzati per proporre la rilevazione della customer satisfaction ed effettuare altri sondaggi attinenti alle attività istituzionale e di pubblico interesse. Il trattamento per le finalità sub 5 (profilazione - operata esclusivamente da IEG) ha base giuridica nell’ interesse legittimo di IEG di mantenere e analizzare un limitato set di informazioni che La riguardano, per poterLa più efficacemente ricontattare nel caso Lei sia un nostro cliente o prospect. Stante il limitato perimetro di dati utilizzato nella profilazione, essa avviene anche senza suo previo consenso, che quindi non è necessario. Il trattamento per le finalità sub 6 (cessione dati a terzi) avviene solo previo Suo specifico consenso espresso (costituente, quindi, la base giuridica di liceità del trattamento). Il consenso richiestoLe può essere da Lei liberamente negato, senza pregiudizio al Suo diritto di partecipare agli Eventi e/o di ottenere le prestazioni da Lei richiesteci. COMUNICAZIONE E DIFFUSIONE DEI DATI Per le finalità sub 1 e 2 i dati sono da noi comunicati a: fornitori del servizio di gestione e manutenzione dei nostri sistemi informatici, siti web e banche dati, fotografi e/o videomakers che realizzano i materiali video-audio o la relativa post-produzione, giornalisti e testate giornalistiche, rappresentanze diplomatiche, consulenti, banche (per l’esecuzione o la ricezione di pagamenti connessi agli Eventi), a società affidatarie di servizi necessari per l’organizzazione e gestione degli Eventi (es. installazione di allestimenti e attrezzature, editori di cataloghi cartacei e on-line, logistica, security, ecc.) a personale dei Contitolari autorizzato a trattare i dati (area Comunicazione, Travel, Sales, Marketing, ecc…), ad eventuali espositori di interesse del visitatore/buyer per poter fissare gli incontri virtuali e/o on-site in adempimento al rapporto contrattuale e/o per interagire con gli stessi. Per le finalità sub 4, Agenzia ICE potrà comunicare i dati a soggetti che svolgono attività di controllo, enti o amministrazione pubbliche, ivi incluse autorità fiscali, nonché soggetti legittimati per legge a ricevere tali informazioni, autorità giudiziarie italiane e straniere e altre pubbliche autorità, per le finalità connesse all’adempimento di obblighi legali, o per l’espletamento delle obbligazioni scaturenti dalla relazione contrattuale, compresa l’esigenza di difesa in giudizio. Per le finalità sub 3 e 5 i dati sono comunicati a: società incaricate di operare analisi di marketing, agenzie di pubblicità, comunicazione e/o pubbliche relazioni, società di editoria digitale e cartacea che producono nostri materiali pubblicitari o promozionali, società di produzione di siti web o blog, società di web marketing, soggetti incaricati della ideazione e/o manutenzione di materiali promozionali, società di gestione e manutenzione dei sistemi informatici, siti web e database utilizzati per organizzare e gestire gli Eventi, agenzie di immagine. Tali terzi tratteranno i dati in veste di Responsabili Esterni attenendosi alle nostre direttive scritte e sotto la nostra vigilanza. Per tutte le suddette finalità comunichiamo inoltre i dati a terzi partner commerciali che partecipano alla realizzazione e/o promozione degli Eventi, che tratteranno i dati quali titolari autonomi (ad es. gli espositori per cui si è espresso interesse tramite azioni specifiche sulle piattaforme digitali) o contitolari o responsabili esterni, tra cui in particolare, Swapcard Corporation con sede legale in 6 rue de Paradis – Parigi - https://www.swapcard.com/privacy-policy/, che fornisce una delle piattaforme digitali presenti. Lei può chiederci un elenco dei contitolari, titolari autonomi e responsabili (vedi la sezione “diritti dell’interessato” della presente informativa). TRASFERIMENTO ALL’ESTERO DI DATI IEG comunica i dati a terzi destinatari aventi sede extra-UE (società controllate dal Titolare, partners - es. Repubblica Popolare Cinese, Emirati Arabi Uniti, Colombia, Hong-Kong - fornitori di servizi cloud, oppure fornitori e clienti (di seguito gli “importatori”). L’elenco dei soggetti terzi destinatari dei dati è disponibile sul sito al link https://www.iegexpo.it/images/TAB.IMPORTATORI_DI_DATI_30.07.2019.pdf Tale trasferimento dati ha luogo a fronte di adeguate garanzie, costituite dalla previa stipula da parte del terzo importatore di un accordo contrattuale con noi mediante il quale egli, per i trattamenti di propria competenza, si impegna al rispetto di obblighi privacy sostanzialmente equivalenti a quelli previsti dalla normativa UE a ns. carico (tramite l’utilizzo di clausole contrattuali standard - o “CCS” - conformi come minimo al testo adottato dalla Commissione UE, salvo eventuali integrazioni e/o modifiche più favorevoli all’interessato). In taluni casi di trasferimento dati verso fornitori cloud aventi sede o datacenter extra-UE, tali fornitori sono soggetti ai poteri di regolamentazione di autorità pubbliche locali e in alcune situazioni, in base alla normativa estera, (negli USA: la Federal Trade Commission, l’Art. 702 della FISA e l’Executive Order EO 12333) l’importatore potrebbe essere obbligato a comunicare i dati personali trasferiti, in risposta a richieste pervenutegli da autorità pubbliche, per soddisfare i requisiti di sicurezza nazionale (es. antiterrorismo) o di applicazione della legge locale (con conseguenti possibili accessi ai dati, di cui l’importatore in base alla normativa locale potrebbe dover non dare avviso all’esportatore e all’interessato, i quali non potranno quindi esercitare i relativi diritti normalmente riconosciuti dal GDPR). Pertanto, in astratto, non si può escludere il rischio che in determinate quanto eccezionali situazioni legate ai citati specifici requisiti l'autorità pubblica estera possa trattare tali dati senza che si applichino all’interessato tutele sostanzialmente equivalenti a quelle previste dal GDPR. Tuttavia, il rischio che in concreto ricorra effettivamente un interesse dell’autorità pubblica americana ad applicare ai dati trasferiti la normativa locale appare essere di fatto ragionevolmente trascurabile sulla base delle seguenti circostanze: i) la prestazione dell’esportatore (IEG) in favore degli interessati di cui l’importatore tratta i dati e il conseguente trattamento dati, hanno un oggetto limitato (l’erogazione di servizi fieristici) e uno scopo limitato (la gestione di processi tecnico-organizzativo funzionali ai citati servizi e l’adempimento di obblighi di legge); la prestazione non comporta la pubblicazione di opinioni personali, commenti o informazioni simili, né la messa a disposizione di servizi o prodotti impiegabili in attività contro la sicurezza nazionale; ii) risultano circoscritte le tipologie di dati personali trasferiti (es. dati anagrafici, di contatto, contrattuali, amministrativi); non vengono trasferiti categorie particolari di dati (es. su opinioni politiche e religiose, biometrici); sono limitate le categorie di interessati cui i dati si riferiscono (espositori, visitatori, partecipanti a Manifestazioni, buyers, giornalisti, relatori) e le stesse riguardano operatori appartenenti a categorie merceologiche o economiche che non sono ragionevolmente rilevanti con riguardo a finalità di sicurezza nazionale (es. turismo, wellness, movimentazione macchine, attività sportive, e via dicendo). Pertanto, IEG reputa che le CCS applicate nel rapporto con gli importatori (in particolare USA) in concreto garantiscano effettivamente una tutela dei diritti degli interessati sostanzialmente analoga a quella prevista dal GDPR, a prescindere dall’applicazione di eventuali misure supplementari al trattamento in esame. L'adozione di misure supplementari pattizie da parte di IEG nei confronti degli importatori (es. obblighi di comunicazione degli accessi pubblici, facoltà di sospendere o cessare il trasferimento e di risolvere il contratto con l’importatore, e simili), potrà essere introdotta in qualsiasi momento da parte dell’esportatore all’esito di eventuali indicazioni fornite agli operatori dall’EDPB – European Data Protection Board all’esito della sentenza delle Corte di Giustizia delle Comunità Europee (CGCE del 17 luglio 2020 che ha dichiarato invalida nei rapporti UE la convenzione bilaterale denominata “Scudo Privacy”). Il trasferimento dei dati verso il Paese extra-UE avviene comunque anche perché è necessario all’esecuzione di i) un contratto concluso tra l’interessato e IEG e/o di misure precontrattuali adottate su istanza dell’interessato, oppure ii) di un contratto stipulato tra IEG ed un’altra persona fisica o giuridica (es. ns. società controllata, fornitore, aventi sede extra-UE, ecc.) in favore dell’interessato. Agenzia ICE non effettua il trasferimento di dati all’estero. DURATA DEL TRATTAMENTO Nel caso delle finalità sub 1 e/o 2 i contitolari trattano i dati per 10 anni dalla data di stipula del contratto (nel caso di clienti), iscrizione al webinar di interesse e/o al business meeting virtuale e/o in presenza o dalla raccolta del dato dell’interessato (nel caso dei prospect). Nel caso delle finalità sub 3 e 5 IEG tratta i dati per 10 anni dalla raccolta del dato dell’interessato (nel caso di clienti e prospect). Nel caso della finalità sub 4 (esclusiva di Agenzia ICE), i dati personali saranno conservati per un periodo di tempo non superiore al conseguimento delle finalità o in base alle scadenze previste dalle norme di legge. IEG Tratta i dati per un periodo di 60 giorni, dopo il termine di ciascun Evento, nel caso di dati resi disponibili presso punti di raccolta delle richieste di assistenza comunicateci da parte di visitatori e espositori (incluso desk assicurativo, Info point e Pronto Soccorso). IEG Tratta I dati di certificazione delle Manifestazioni/Eventi fino al termine della certificazione e quindi fino a certificazione avvenuta. IEG Tratta i dati necessari per le finalità di sicurezza informatica (es. registrazioni di log-in, log falliti e log-out, in sede di accesso ad aree riservate nei siti web IEG relativi agli Eventi) per 1 anno dalla raccolta. Le registrazioni dei logs relativi alla lettura di informative privacy on-line di IEG e alle azioni on-line (es. click, flag e simili) tramite le quali avviene la comunicazione a IEG del consenso dell’interessato vengono conservate per 10 anni dalla raccolta. I dati connessi al servizio di “Business Matching” erogato durante gli Eventi sono trattati da IEG per 3 mesi dal termine del singolo Evento cui si riferiscono. I dati connessi alla redazione di lettere di invito per la richiesta di visti consolari (ad es. copia del passaporto, ecc…) sono trattati da IEG per 3 mesi dal termine del singolo Evento cui si riferiscono. Cessata la suddetta rispettiva durata massima (per i trattamenti sub 1,2,3 e 5 svolti da IEG) i dati personali sono definitivamente distrutti oppure resi totalmente anonimi dalla stessa. Per il trattamento sub 4(esclusivo di Agenzia ICE), i dati personali potranno essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica e storica o ai fini statistici fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento a tutela dei diritti e delle libertà dell’interessato. In caso di contenzioso tra Lei e i Contitolari o terzi fornitori dei Contitolari, i Contitolari trattano i dati per il tempo necessario ad esercitare la tutela dei diritti dei Contitolari o dei loro fornitori e cioè fino all’emissione e integrale esecuzione di un provvedimento avente valore di giudicato tra le parti o di una transazione. DIRITTI DELL’INTERESSATO Lei ha il diritto di: - chiederci la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. - qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate relative al trasferimento; - richiedere, ed ottenere senza ingiustificato ritardo, la rettifica dei dati inesatti; tenuto conto delle finalità del trattamento, l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa; - richiedere la cancellazione dei dati se a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento; c) l'interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento operato per finalità di marketing diretto (compresa la profilazione funzionale a tale marketing diretto); d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione. - richiedere la limitazione del trattamento che La riguarda, quando ricorre una delle seguenti ipotesi: a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; d) l'interessato si è opposto al trattamento svolto per finalità di marketing diretto, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.; - ottenere dal titolare del trattamento, su richiesta, la comunicazione dei terzi destinatari cui sono stati trasmessi i dati personali; - revocare in qualsiasi momento il consenso al trattamento ove in precedenza comunicato per una o più specifiche finalità dei propri dati personali, restando inteso che ciò non pregiudicherà la liceità del trattamento basata sul consenso prestato prima della revoca. - ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che La riguardano da Lei fornitici e, se tecnicamente fattibile, di far trasmettere tali dati direttamente a un altro titolare del trattamento senza impedimenti da parte nostra, qualora ricorra la seguente condizione (cumulativa): a) il trattamento si basi sul consenso dell’interessato per una o più specifiche finalità, o su un contratto di cui l’interessato è parte e alla cui esecuzione il trattamento è necessario; e b) il trattamento sia effettuato con mezzi automatizzati (software) - complessivo diritto alla c.d. “portabilità”. L’esercizio del diritto c.d. alla portabilità fa salvo il diritto alla cancellazione sopra previsto; - non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. - proporre reclamo all’Autorità di controllo competente in base al GDPR (quella della sua sede di residenza o domicilio); in Italia essa è il Garante della protezione dei dati personali. Lei può esercitare i suoi diritti scrivendo a: ConTitolare del trattamento Italian Exhibition Group S.p.A., con sede in Via Emilia, 155 – 47921 Rimini (Italia), indirizzo e-mail: privacy@iegexpo.it. Al fine di garantire l’osservanza del GDPR e delle leggi applicabili al trattamento dei dati personali, IEG ha nominato come Data Protection Officer l’Avv. Luca De Muri, domiciliato per la carica presso Italian Exhibition Group S.p.A. ConTitolare del trattamento Agenzia ICE, con sede in Via Liszt, 21 – 00144 Roma (Italia), indirizzo e-mail: privacy@ice.it. Al fine di garantire l’osservanza del GDPR e delle leggi applicabili al trattamento dei dati personali, ICE ha nominato come Data Protection Officer il dott. Simonluca Dettori, dipendente interno. Il Legale Rappresentante dell’azienda o il Rappresentante dell’organizzazione si impegna a comunicare la presente Informativa anche agli altri soggetti appartenenti all’azienda o all’organizzazione medesima e di cui dichiara di fornire legittimamente i relativi dati. Parimenti il consenso prestato per le finalità sub 6 da parte del Legale Rappresentante dell’azienda o dal Rappresentante dell’organizzazione, si intende esteso anche agli altri soggetti appartenenti all’azienda o all’organizzazione medesima e di cui lo stesso dichiara di fornire legittimamente i relativi dati. REV. 15.11.2022 – INFORMATIVA CLIENTI E PROSPECT PER PIATTAFORMA MYAGENDA – CONTITOLARITA’ TRA ICE E IEG.

Pursuant to the articles 13 and 14 of the EU Privacy Regulation 679/2016 ("GDPR") we inform you that the personal data provided by the interested party ("you"), for yourself or for the organization to which you belong, to Italian Exhibition Group S.p.A. ("IEG"), ICE Agency for the Promotion Abroad and Internationalization of Italian Companies (“ICE Agency”) and ACIMAC, hereafter also the Joint Controllers or "We", on the occasion of or in connection with research activity of buyers/sector operators of commodity sectors for projects of interest such as events, exhibitions, events, workshops, webinars and / or "virtual and / or face-to-face business meetings" (hereinafter "Events"), are treated in compliance with the principles of lawfulness , fairness, correctness, proportionality, necessity, accuracy, completeness and safety and of the other legal requirements in force. The "Events" can also be held on an online platform (eg SWAPCARD, My Agenda), both in virtual and on-site form, or in full digital form, which allows for online meetings between exhibitors and visitors / buyers, with the creation of an agenda of meetings that will put interested parties in direct contact. The aforementioned platforms can also be used by the visitor / buyer to request contacts with the exhibitors present on it, through the following actions: saving one or more exhibitors on the list of "favorites", chat, networking. The essential content of the joint ownership agreement is available, for interested parties, on this link https://buyers.iegexpo.it/Business-meeting/Privacy/Accordo_TECNA_ENG.PDF pursuant to Article 26, paragraph 2, of the Privacy Regulation. Categories of interested parties. Processing operations and collection methods The processed data concerns customers (ie exhibitors, visitors and buyers, participants in workshops, webinars and / or "virtual and/or face-to-face business meetings", who have played their respective roles over the last 10 years) and prospects (individuals who have expressed an interest in the Events over the last 10 years, including through the delivery of their own business card or request for information), intended as natural persons over the age of 14 who act on their own and/or as internal contacts of legal entities, institutions or other organizations. The individual categories of data collected are indicated in our collection forms which supplements this information. The processing takes place with electronic and paper instruments and with logics connected to the single purposes stated below. We collect data i) through online forms or paper forms or via pre-registration or participation app you filled in and / or acquired by third parties authorized by us or ii) via mobile devices such as tablets, smartphones present in the place of the Events. The data collected may be processed by the staff expressly authorized by us, within the limits strictly necessary for the performance of the respective activities assigned to it (for IEG eg legal, commercial, marketing, administrative, logistic, IT, management control, and ICE Agency and ACIMAC as a whole). Processing purposes The processing has the following purposes: 1. Fulfillment of contractual and legal obligations deriving from participation or connected to the already contractual or potential participation of the interested party in the Events (such as participation in virtual business meetings through video calls on specific online links or dedicated platforms; registration for a webinar, ect….). Exhibitors could present texts, videos, presentations, live sections; insights and paths on trends and innovation, guided tour itineraries, sharing and communicating important corporate events, as well as other optional services. Visitors/buyers will have a simplified profile and the ability to search for all the profiles of the exhibiting companies, as well as interact with their contents (with public comment on profile, public comment on content (event page, group, etc.). contact form (to request more information or seek interaction with the organizers or exhibitors of the platform, participation in events, private messages, groups by invitation, etc.) IEG will be able to communicate, in fulfillment of the contractual relationship intended to facilitate relations between exhibitors and visitors / buyers, the contact details of visitors / buyers who have shown interest in requesting a meeting / appointment with the chosen exhibitor or who have expressed interest. towards one or more exhibitors through specific actions (eg chat, networking, saving the exhibitor in favorites, etc…) on a specific digital platform (eg Swapcard, MyAgenda) In this case, the data will be processed by the exhibitor as an Autonomous Owner. 2. Planning and organizational management of Events, eg issue and payment of securities, credits and entry passes (including check of payment termination by third-party services), management of personal identification tags (with photo ID) for security, planning and management of specific services requested by you (for example translation services, hostesses, catering, accompaniment), communication, upon your request, for pre-contractual information (eg programs, proposals, etc.) connected to the Events, drafting of invitation letters for consular visa applications, management of the contracts we stipulate with third-party suppliers of goods and / or services used by you during or on the occasion of the Events; publication of name and surname or company name and name, telephone number, fax, e-mail, website, in the public online and paper catalog of the Event in which you participate. For the best organization and the complete realization of the "virtual and/or face-to-face business meetings", IEG could provide for the sending of the buyer's e-mail address to the exhibitor and vice versa, if a virtual meeting has already been planned and it was subsequently skipped due to force majeure. Through the exchange of email addresses, interested parties will be able to arrange, independently, to re-schedule the meeting according to their availability and in any case to send each other communications of interest to them. As part of the aforementioned purpose, IEG may also offer the visitor/buyer the option of using QR code technology, whereby the visitor/buyer can either transmit their data directly to the exhibitor of interest at their booth, or scan the QR code present at the selected exhibitor's booth; in both cases, the data will be processed by the exhibitor as the Autonomous Data Controller. 3. Sending, exclusively by IEG (via email, ordinary mail, sms, mms, push-up messages, instant messaging functions such as whatsapp, telefax, telephone calls with operator, social networks and other automated tools) of commercial communications, advertising and sales offers products / services related to those of your interest or relating to exhibition / congress and / or related products / services (eg sector publishing, championships / competitions, virtual or face to face business meeting, etc.) (overall activities defined as "soft spam"). Sending by ACIMAC of commercial communications, advertising and offers for the sale of products / services similar to those of your interest. 4. Exclusive purposes of ICE Exclusively by ICE, personal data are collected, processed, used and only widespread for institutional purposes as required by the article 14 paragraph 20 Legislative Decree 98/2011 converted into Law 111/2011, as replaced by art. 22 paragraph 6 D.L. 201/2011 converted into Law 214/2011 and amended by Article 2 of the Civil Code 6 and 7 of the D.L. 104/2019 converted by Law 132/2019, and for this purpose they will be included in the ICE Agency database. 5. Profiling. (exclusively by IEG). The profiling detects for privacy purposes only if it concerns natural persons, that is, individual companies or partnerships and relative partners / directors, or internal referents of corporations, institutions or organizations. The profiling uses some data supplied by you and sometimes associates them with company data taken from public databases (eg the Business Register of the Chamber of Commerce). For example, we treat the following data: In the case of Events speakers / congressmen / convention attendees, webinar participants, participants in "virtual and/or face-to-face business meetings: name and surname, contact details, country of origin, sector of belonging, professionalism / topics covered. In some cases, if you are a customer or a prospect, we associate the data you provide to us with your personal data acquired during your browsing on our websites or during the use of the services provided by these sites (eg cookies relating to pages of our website that you have visited, to the country from which you connect) or through other communication channels (eg social media) or through mass mailing of commercial e-mail (eg which messages have you received, such as e-mails you have opened, what proposals you have accepted through specific actions such as opening an attachment or adhering to our request to link to landing pages or attachments to the email message, etc.). In the case of buyers/visitors: name and surname, business name of the organization to which they belong, job attachment, level of professional responsability, contact details, residence or location, country of origin, website, year of foundation of the company, turnover, employees number, sector of activity, percentage of business connected to Italy and to the foreign, Italian and foreign regions of interest, main categories of products or services of interest to the buyer and / or marketed by the same also as a percentage of sales by geographical area, categories of customers of the company, purpose of the visit; The profiling allows us, in particular, to limit the sending to you of promotional communications not pertinent to your probable expectations and needs or through unwanted channels. The limited nature of profiling does not exclude you from specific advantages or from the possibility to freely exercise your privacy rights, nor has any particular legal effects; in particular it does not in any way prejudice your ability to participate in the Events and / or take advantage of our services (eg online pre-registration, purchase of services). ACIMAC does not carry out profiling activities. 6. Only with your separate consent: communication of data to our third-party partners (eg Event organizers, exhibitors for which eg. the visitor / buyer has not expressed interest or other operators active in the Events), for autonomous direct marketing actions related to goods / services concerning such third-party partners. Legal basis of the processing. Mandatory or optional nature of providing data and consequences of failure to provide data The processing for the purposes sub 1 has its legal basis in our need to fulfill the obligations assumed through the contract stipulated or to be stipulated with you (and to carry out all the actions functional to the correct and complete execution of the commitments undertaken therein) and / or to the legal obligations connected to it including facilitating the management of relations between exhibitors and buyers. Therefore, this treatment does not require your prior consent and you are also free not to provide your data, however, in this case, we will not be able to stipulate the requested contract and / or regularly provide the service requested by you or by the organization to which you belong. (e.g. let you participate in the Event of interest and provide you with the related services for example for the webinar of interest and/or for the virtual and/or face to face business meeting of interest) and / or we will not be able to fulfill the legal obligations related to the contract. The processing for the purposes sub 2 has its legal basis in our legitimate interest to organize the Events, plan and manage all the organizational activities useful to allow you to participate efficiently and effectively in the Events and to manage contacts with exhibitors of interest. (For example, by joining and completing the request to participate in a webinar, you can receive, via e-mail, updates / notices and / or reminders relating to webinars of interest or similar to those of your interest; by joining the virtual and/or face to face business meeting, you could receive the email address of the buyer and/or exhibitor of his interest to proceed independently, through the platform made available by IEG, to organize those meetings that have not taken place or have been canceled or postponed.) In particular, the request for personal data and documents, especially for foreign guests, will make the correct understanding of the data more reliable, but above all, assurance of the reliability of the company that requires an entry visa. Therefore this treatment does not require your prior consent. You are free not to provide the data, but in this case you will not be able to participate in the Event. In the case of an event such as a webinar or virtual business meeting, you may be asked to activate the PC cameras for a better and more profitable relationship and communication between the participants in the event and the speaker of the same. You will be free to decide not to activate the camera and even then you can participate in the webinar. The processing for the purposes sub 3 (soft spam) has its legal basis in the legitimate interest of Italian Exhibition Group and ACIMAC to freely contact their customers, as well as prospects, in order to be able to propose to them new relative opportunities through electronic/telephone/paper channels to services or products similar to those previously purchased / contracted (in the case of customers) or to those for which interest has been expressed (in the case of prospects), or relating to products / exhibition / congress services and / or related to them and in any case similar to those of your interest, (eg sector publishing, championships / competitions, webinars, virtual and / or face-to-face business meetings, etc.). So the soft spam, just described, can lawfully occur even without your prior consent, which is therefore not necessary. The treatment for the purposes sub 4 (activities carried out by ICE Agency) is based on the following legal bases: (i) the treatment is necessary for the exercise of activities of public interest carried out by the Data Controller art. 6 co. 1 letter “e”; (ii), the processing is necessary to fulfill legal obligations to which the data controller is subject, e.g. legal obligations, regulations, execution of provisions of the judicial or administrative authority (art. 6 paragraph 1 letter "c") of the Regulation. The personal data provided to us will be used to organize events and incoming foreign buyers, to manage any related organizational activity that may be necessary for the successful conclusion of the Event in which you participate. Your personal data will also flow into the Central Data Bank (BDC) of the ICE Agency and may also be used in the context of one's own institutional activity and therefore to promote and develop the trade of one's product and/or service abroad, as envisaged by the 'art. 14, paragraph 20, Legislative Decree 98/11 converted into Law 111/11 as replaced by art. 22 c. 6 Legislative Decree 201/11 converted into Law 214/11 and modified by article 2 of the civil code. 6 and 7 of the Legislative Decree 104/2019 converted by Law 132/2019. Your data may therefore be used to send proposals for participation in other initiatives organized by the Data Controller such as fairs, workshops, seminars, training courses, etc. and used to propose the survey of customer satisfaction and carry out other surveys relating to institutional and public interest activities. The processing for the purposes sub 5 (profiling - operated exclusively by IEG) has a legal basis in the legitimate interest of IEG to maintain and analyze a limited set of information concerning you, in order to be able to contact you more effectively if you are one of our customers or prospect. Given the limited perimeter of data used in profiling, it also takes place without your prior consent, which is therefore not necessary. The processing for the purposes sub 6 (transfer of data to third parties) takes place only with your specific express consent (thus constituting the legal basis for the lawfulness of the processing). The consent requested may be freely denied by you, without prejudice to your right to participate in the Events and / or to obtain the services requested by you. Communication and dissemination of data For the purposes sub 1 and 2, the data are communicated by us to: suppliers of the management and maintenance service of our IT systems, websites and databases, photographers and/or videomakers who create the video-audio materials or the related post- production, journalists and newspapers, diplomatic representations, consultants, banks (for the execution or receipt of payments related to the Events), companies entrusted with the services necessary for the organization and management of the Events (e.g. installation of fittings and equipment, publishers of paper and online catalogs, logistics, security, etc.) to staff of the Joint Controllers authorized to process the data (i.e. Communication, Travel, Sales, Marketing, etc ...). to any exhibitors of interest of the visitor/buyer in order to be able to schedule virtual meetings in fulfillment of the contractual relationship and / or to interact with them. For the purposes sub 4, ICE may communicate the data to subjects that carry out control activities, public bodies or administrations, including tax authorities, as well as subjects entitled by law to receive such information, Italian and foreign judicial authorities and other public authorities, for the purposes related to the fulfillment of legal obligations, or for the fulfillment of the obligations arising from the contractual relationship, including the need for defense in court. For the purposes sub 3 and 5, the data are communicated to: companies in charge of marketing analysis, advertising, communication and / or public relations agencies, digital and paper publishing companies that produce our advertising or promotional materials, production companies of websites or blogs, web marketing companies, subjects in charge of the design and / or maintenance of promotional materials, IT systems management and maintenance companies, websites and databases used to organize and manage Events, image agencies. These third parties will process the data as External Managers in accordance with our written directives and under our supervision. For all the aforementioned purposes, we also communicate the data to third-party commercial partners who participate in the creation and / or promotion of the Events, which will treat the data as autonomous owners (e.g. exhibitors in which interest has been expressed through specific actions on the digital platform) or joint controllers or external managers, including in particular, Swapcard Corporation with registered office at 6 rue de Paradis - Paris, which provides the digital platform of the Event). You can ask us for a list of co-owners, autonomous and responsible owners (see the "rights of the interested party" section of this information). Transfer of data abroad IEG communicates the data to third party recipients based outside the EU (companies controlled by the Data Controller, partners - eg. People's Republic of China, United Arab Emirates, Colombia, Hong-Kong - cloud service providers, or suppliers and customers (hereinafter the "importers "). This data transfer takes place in the face of adequate guarantees, consisting of the prior stipulation by the third importer of a contractual agreement with us through which he, for the treatments within his competence, undertakes to comply with privacy obligations substantially equivalent to those provided. from EU legislation to ns. load (through the use of standard contractual clauses - or "CCS" - compliant at least with the text adopted by the EU Commission, except for any additions and / or changes more favorable to the interested party). In some cases of data transfer to cloud suppliers based outside the EU, these suppliers are subject to the regulatory powers of local public authorities and in some situations, based on foreign legislation, (in the USA: the Federal Trade Commission, 'Article 702 of the FISA and the Executive Order EO 12333) the importer may be obliged to communicate the personal data transferred, in response to requests received from public authorities, to meet national security requirements (e.g. anti-terrorism) or application of local law (with consequent possible access to data, of which the importer, based on local legislation, may not have to give notice to the exporter and the interested party, who will therefore not be able to exercise the relative rights normally recognized by the GDPR). Therefore, in the abstract, the risk cannot be excluded that in certain and exceptional situations related to the aforementioned specific requirements, the foreign public authority may process such data without applying substantially equivalent safeguards to those provided for by the GDPR to the data subject. However, the risk that the American public authority actually has an interest in applying local legislation to the transferred data appears to be reasonably negligible based on the following circumstances: i) the performance of the exporter (IEG) in favor of the interested parties whose data the importer processes and the consequent data processing, have a limited object (the provision of exhibition services) and a limited purpose (the management of technical processes - organizational functional to the aforementioned services and the fulfillment of legal obligations); the performance does not involve the publication of personal opinions, comments or similar information, nor the making available of services or products that can be used in activities against national security; ii) the types of personal data transferred are limited (eg personal, contact, contractual, administrative data); no particular categories of data are transferred (e.g. on political and religious opinions, biometrics); the categories of interested parties to which the data refer are limited (exhibitors, visitors, participants in events, buyers, journalists, speakers) and they concern operators belonging to product or economic categories that are not reasonably relevant with regard to national security purposes ( eg tourism, wellness, machine handling, sports activities, and so on). Therefore, IEG believes that the CCS applied in the relationship with importers (in particular the USA) effectively guarantee protection of the rights of interested parties substantially similar to that provided for by the GDPR, regardless of the application of any additional measures to the processing in question. The adoption of additional contractual measures by IEG towards importers (e.g. obligations to communicate public access, the right to suspend or terminate the transfer and to terminate the contract with the importer, and the like), may be introduced in at any time by the exporter following any information provided to operators by the EDPB - European Data Protection Board following the judgment of the Court of Justice of the European Communities (ECJ of 17 July 2020 which declared the bilateral agreement called "Privacy Shield"). The transfer of data to the non-EU country takes place in any case also because it is necessary for the execution of i) a contract concluded between the interested party and IEG and / or pre-contractual measures adopted at the request of the interested party, or ii) of a contract stipulated between IEG and another natural or legal person (e.g. our subsidiary, supplier, with headquarters outside the EU, etc.) in favor of the interested party. ICE Agency and ACIMAC do not transfer data abroad. Duration of treatment In the case of the purposes sub 1 and 2, the Joint Controllers, ICE and IEG, process the data for 10 years from the date of signing the contract (in the case of customers), registration to the webinar of interest and / or to the virtual business meeting or from the collection of the data of the 'interested party (in the case of prospects). In the case of the purposes sub 3, IEG processes the data for 10 years from the collection of the data of the interested party (in the case of customers and prospects). In the case of the purposes sub 5, IEG processes the data for 10 years from the collection of the data of the interested party (in the case of customers and prospects). In the case of the sub 4 purpose (exclusive by ICE), personal data will be kept for a period of time not exceeding the achievement of the purposes or according to the deadlines set by law. IEG processes the data for a period of 60 days, after the end of each Event, in the case of data made available at the collection points for assistance requests, communicated to us by visitors and exhibitors (including insurance desk, Info point and First Aid). IEG processes the certification data of the Shows / Events up to the end of the certification and therefore up to the certification. IEG processes the data necessary for IT security purposes (e.g. log-in registrations, failed logs and log-outs, when accessing restricted areas on the IEG websites relating to Events) for 1 year from collection. The recordings of the logs relating to the reading of IEG's on-line privacy information and on-line actions (e.g. clicks, flags and the like) through which the data subject's consent is communicated to IEG are kept for 10 years from collection. . The data connected to the “Business Matching” service provided during the Events are processed by IEG for 3 months from the end of the single Event to which they refer. The data related to the drafting of letters of invitation for the request for consular visas (eg copy of passport, etc ...) are processed by IEG and ACIMAC for 3 months from the end of the single Event to which they refer. Once the aforementioned respective maximum duration has ceased (for the treatments sub 1,2,3 and 5 carried out by IEG) the personal data are definitively destroyed or made totally anonymous by the same. For the processing under 4 (exclusive by ICE), personal data may be stored for longer periods provided that they are processed exclusively for archiving purposes in the public interest, for scientific and historical research or for statistical purposes, without prejudice to the implementation of adequate technical and organizational measures required by the Regulations to protect the rights and freedoms of the data subject. Duration of treatment by ACIMAC In the case of the sub 2 purposes, as specified above, ACIMAC processes the data for 10 years from the termination of the service provided to the interested party. In the case of purposes sub 3, as specified above, ACIMAC processes the data for 10 years from the termination of the service provided to the interested party. In the event of a dispute between you and the Joint Controllers or third party suppliers of the Joint Controllers, the Joint Controllers process the data for the time necessary to exercise the protection of the rights of the Joint Controllers or their suppliers, i.e. until the issue and full execution of a provision having the value of res judicata between the parties or of a transaction. Rights of Data Subject You have the right to: - ask us to confirm whether or not a processing of personal data concerning you is in progress and, in this case, to obtain access to personal data and the following information: a) the purposes of the processing; b) the categories of personal data in question; c) the recipients or categories of recipients to whom the personal data have been or will be communicated, in particular if they are recipients of third countries or international organizations; d) when possible, the period of storage of personal data provided or, if this is not possible, the criteria used to determine this period; e) the existence of the data subject's right to request the data controller to rectify or delete personal data or limit the processing of personal data concerning him or to oppose their processing; f) the right to lodge a complaint with a supervisory authority; g) if the data is not collected from the interested party, all available information on their origin; h) the existence of an automated decision-making process, including profiling and, at least in such cases, significant information on the logic used, as well as the expected importance and consequences of such treatment for the data subject. - if personal data is transferred to a third country or an international organization, the data subject has the right to be informed of the existence of adequate guarantees relating to the transfer; - request, and obtain without undue delay, the correction of inaccurate data; taking into account the purposes of the processing, the integration of incomplete personal data, also providing a supplementary declaration; - request deletion of data if: a) personal data are no longer necessary with respect to the purposes for which they were collected or otherwise processed; b) the data subject revokes the consent on which the processing is based and there is no other legal basis for the processing; c) the data subject opposes the processing, and there is no prevailing legitimate reason to proceed with the processing, or he opposes the processing carried out for direct marketing purposes (including the functional profiling of such direct marketing); d) personal data have been unlawfully processed; e) personal data must be deleted in order to fulfill a legal obligation established by Union law or the Member State to which the data controller is subject; f) personal data has been collected regarding the offer of information society services. - request the limitation of the processing that concerns you, when one of the following hypotheses occurs: a) the data subject disputes the accuracy of the personal data, for the period necessary for the data controller to verify the accuracy of such personal data; b) the processing is unlawful and the data subject opposes the deletion of personal data and requests instead that its use be limited; c) although the data controller no longer needs it for the purposes of processing, personal data is necessary for the data subject to ascertain, exercise or defend a right in court; d) the person concerned has opposed the processing carried out for direct marketing purposes, pending verification regarding the possible prevalence of the legitimate reasons of the data controller with respect to those of the interested party; - to obtain from the data controller, upon request, the communication of the third-party recipients to whom the personal data have been transmitted; - revoke at any time the consent to the processing where previously communicated for one or more specific purposes of one's personal data, it being understood that this will not prejudice the lawfulness of the processing based on the consent given before the revocation. - receive in a structured format, commonly used and readable by automatic device, the personal data concerning you provided by you and, if technically feasible, to have these data transmitted directly to another data controller without hindrance on our part, if necessary the following (cumulative) condition: a) the processing is based on the consent of the interested party for one or more specific purposes, or on a contract to which the interested party is a party and to whose execution the treatment is necessary; and b) the processing is carried out by automated means (software) - overall right to the c.d. "Portability." The exercise of the right c.d. portability is without prejudice to the right to cancellation provided above; - not be subjected to a decision based solely on automated processing, including profiling, which produces legal effects that concern him or that significantly affects his person. - lodge a complaint with the competent control authority based on the GDPR (that of its place of residence or domicile); in Italy it is the Data Protection Authority. You can exercise your rights by writing to: Joint Controller - Italian Exhibition Group S.p.A. - with registered office in Via Emilia, 155 - 47921 Rimini (Italy), e-mail address: privacy@iegexpo.it In order to ensure compliance with the GDPR and the laws applicable to the processing of personal data, IEG has appointed Avv. Luca De Muri, as Data Protection Officer, domiciled for the position at Italian Exhibition Group S.p.A. Joint Controller - ICE Agency - with registered office in Via Liszt, 21 – 00144 Roma (Italia), e-mail address: privacy@ice.it In order to ensure compliance with the GDPR and the laws applicable to the processing of personal data, ICE has appointed Dr. Simonluca Dettori, an internal employee, as Data Protection Officer. Joint Controller ACIMAC - with registered office in via Fossa Buracchione 84 – 41126 Modena o e-mail address: privacy@sala-service.it The Legal Representative of the Company or the Representative of the organization undertakes to communicate this Information to the other subjects belonging to the company or to the organization itself and of which it declares to legitimately supply the relative data. Likewise, the consent given for the purposes sub 6 by the Legal Representative of a company or by the Representative of an organization is also extended to other subjects belonging to the company or to the organization itself, and of which Legal Representatives declares to legitimately provide the relative data. Privacy Notice – Joint Controllers IEG / ICE /ACIMAC– rev 07.02.2023 Having read the information communicated to me, I declare the following will about the processing of data for autonomous direct marketing purposes by Joint Controllers third partners. (purpose 6 of the information)

Letta l’informativa comunicatami DICHIARO LA SEGUENTE VOLONTÀ CIRCA IL TRATTAMENTO DATI PER AUTONOME FINALITÀ DI MARKETING DIRETTO DA PARTE DI TERZI PARTNER DEI CONTITOLARI. (finalità 6 dell’informativa).