Le Norme aziendali vincolanti (o Binding Corporate Rules dall’acronimo inglese BRC) sono un meccanismo giuridicamente vincolante che consente a qualsiasi soggetto CGI di trasferire Dati personali da residenti dell'Unione Europea a qualsiasi altro soggetto CGI al di fuori dello Spazio Economico Europeo.
CGI ha 2 tipi di BCR:
BCR come Titolare (Controller BCR) quando CGI agisce in qualità di Titolare del trattamento dei dati; e BCR come Responsabile (Processor BCR) quando CGI agisce in qualità di Responsabile del trattamento dei dati secondo le istruzioni di un cliente UE.
Le Norme aziendali vincolanti del Titolare (BCR-C) si applicano quando CGI agisce come Titolare del trattamento dei dati e quando CGI agisce come Responsabile del trattamento dei dati a nome di CGI, ruolo noto anche come Responsabile del trattamento dei dati interno.
- 1 – Definizioni
-
Ai fini delle presenti Norme aziendali vincolanti del Titolare (BCR-C), si applicano le seguenti definizioni:
“Legge applicabile in materia di protezione dei dati” indica (i) il Regolamento Generale sulla Protezione dei Dati 2016/679 relativo al trattamento dei Dati personali e (ii) qualsiasi legge di implementazione del Regolamento UE sulla Protezione dei Dati.
“CGI” indica, a seconda dei casi, una, più o l’insieme delle persone giuridiche partecipate, controllate o detenute da CGI Inc., nonché le business unit strategiche e le business unit che agiscono a suo nome, che trattano Dati personali e il cui rispetto delle presenti BCR-C non violi, né sia incompatibile con qualsiasi legge, regolamento, statuto, ordine giudiziario, norma o vincolo locale. I soggetti partecipati di CGI sono elencati all'Appendice A. Tale elenco può essere aggiornato nel corso del tempo.
“Titolare del trattamento” indica qualsiasi persona giuridica che, da sola o congiuntamente ad altri Titolari del trattamento, determini le finalità e i mezzi per il trattamento dei Dati personali.
“Responsabile del trattamento” indica qualsiasi persona giuridica che agisca a nome di un Titolare del trattamento.
“Interessato” indica una persona fisica identificata o identificabile i cui Dati personali siano trattati da CGI, incluso qualsiasi Membro di CGI, consulente esterno di CGI, ovvero dipendenti o utenti finali di clienti di CGI.
“Spazio Economico Europeo” o “SEE” indica gli Stati membri dell'UE (Austria, Belgio, Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Repubblica Ceca, Romania, Svezia, Slovacchia, Slovenia, Spagna, Ungheria), nonché la Norvegia, il Liechtenstein e l’Islanda, in appresso altresì denominati “Stati membri”.
“GDPR” indica il Regolamento Europeo 2016/679 denominato Regolamento Generale sulla Protezione dei Dati.
“Responsabile del trattamento dei dati interno” indica qualsiasi soggetto di CGI elencato all'Allegato A che agisca come Responsabile del trattamento a nome di un altro soggetto di CGI elencato all'Allegato A che agisca come Titolare del trattamento.
“Legge locale” ha il significato attribuito a tale espressione alla Sezione 13.5 del presente documento.
“Membro”, “Membri” indica i dipendenti di CGI.
“Dati personali” indica qualsiasi informazione relativa a una persona fisica che possa identificarla, direttamente o indirettamente, in particolare facendo riferimento a un elemento identificativo quale nome, numero di identificazione, dati di localizzazione, identificativo online ovvero uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica. I Dati personali includono i Dati personali sensibili.
“Trattamento”, “trattare” o “trattato” indicano qualsiasi operazione o insieme di operazioni effettuate sui Dati personali, sia con mezzi automatizzati che non, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento, l’alterazione, il recupero, la consultazione (compreso l'accesso remoto), l’utilizzo, la divulgazione tramite trasmissione, diffusione o messa a disposizione, l’allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di tali dati.
“Dati personali sensibili” indica delle categorie specifiche di Dati personali che rivelano l'origine razziale o etnica, l'opinione politica, le convinzioni religiose, filosofiche o l'appartenenza sindacale, nonché il trattamento di dati genetici o biometrici al fine di identificare in modo univoco una persona fisica, i dati sanitari e i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
“Terzo/i” indica i fornitori e i subappaltatori di CGI, nonché qualsiasi altro soggetto o organismo pubblico al quale possano essere divulgati dei Dati personali.
“Trasferimento di Dati personali” indica il Trasferimento di Dati personali situati nello Spazio Economico Europeo (SEE) verso un paese al di fuori del SEE.
- 2 – Portata
-
2.1 Attività interessate
Le presenti Norme aziendali vincolanti del Titolare (BCR-C) si applicano quando CGI agisce come Titolare del trattamento dei dati e quando CGI agisce come Responsabile del trattamento dei dati a nome di CGI, ruolo noto anche come Responsabile del trattamento interno.
Le categorie di trattamento, gli Interessati e i Dati personali interessati dalle presenti BCR-C sono stabiliti all’Appendice B.
2.2 Territori interessati
I principi contenuti nel presente documento si applicano al Trasferimento di Dati personali nei seguenti casi:
- Da un soggetto CGI situato nel SEE a un soggetto CGI situato al di fuori del SEE.
- Da un soggetto CGI situato al di fuori del SEE a un soggetto CGI situato all'interno o all'esterno del SEE, ma solo nella misura in cui si trattino Dati personali degli Interessati situati nel SEE.
- Da un soggetto CGI situato nel SEE a Terzi situati al di fuori del SEE
- Da Terzi situati al di fuori del SEE a un soggetto CGI situato nel SEE, ma solo nella misura in cui si trattino Dati personali di Interessati situati nel SEE.
- 3 – Conformità alla Politica sulla privacy dei dati e responsabilità
-
3.1 Responsabilità di CGI
Le presenti BCR-C sono vincolanti per CGI, incluse tutte le persone giuridiche partecipate da CGI elencate all'Appendice A.
Ciascun soggetto CGI elencato all'Appendice A, che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento interno, sarà responsabile della dimostrazione della conformità alle presenti BCR-C.
3.2 Conformità dei Membri
Tutti i Membri di CGI (dipendenti) sono vincolati dalle presenti BCR-C attraverso l'obbligo, in tutti i contratti di lavoro, di rispettare gli obblighi di riservatezza e privacy applicabili, nonché le politiche, i processi e gli standard CGI, come previsto dal Codice etico di CGI. I Membri di CGI, se del caso, acconsentiranno annualmente alle presenti BCR-C e al Codice etico.
Come specificato in dettaglio alle Sezioni 13.1 e 14 delle BCR-C, i Membri di CGI sono informati delle BCR attraverso i canali di comunicazione interna e la relativa formazione. I Membri di CGI sono anche consapevoli del fatto che la violazione del Codice etico e, in questo caso specifico, delle BCR-C può comportare sanzioni in conformità alle Leggi locali applicabili.
3.3 Conformità di fornitori e subappaltatori di CGI e altri Terzi
Tutti i Terzi che trattino Dati personali a nome di CGI devono attuare adeguate misure organizzative per garantire il rispetto dei principi e dei requisiti delle presenti BCR-C.
Un soggetto di CGI che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento interno consentirà ad altri soggetti di CGI o a Terzi di trattare i Dati personali a proprio nome esclusivamente in presenza di un contratto di incarico al trattamento in essere tra loro, che comprenda i requisiti di cui all'Articolo 28.3 del GDPR.
- 4 - Principi fondamentali CGI per il trattamento dei Dati personali
-
4.1 Il rispetto dei seguenti principi non solo soddisfa o supera quanto disposto dalla Legge applicabile in materia di protezione dei dati, ma soddisfa anche i più elevati standard e le prassi di mercato per il trattamento dei Dati personali. Principi applicabili quando CGI agisce in qualità di Titolare del trattamento dei dati
(i) Trasparenza, equità e legalità
CGI tratterà i Dati personali in modo legale, equo e trasparente nei confronti dell'Interessato, conformemente ai requisiti delle presenti BCR-C e, in particolare, alle Sezioni 4.1 e 13.
(ii) Definizione di uno scopo
Qualsiasi trattamento di Dati personali da parte di CGI, in particolare la raccolta degli stessi, sarà preceduto dall'identificazione della finalità specifica di tale trattamento. Tale scopo deve essere esplicito e legittimo. I Dati personali non possono essere trattati in modo incompatibile con tale scopo.
(iii) Minimizzazione dei dati
Una volta stabilito lo scopo del trattamento dei Dati personali, CGI raccoglierà i Dati personali solo nella misura necessaria per raggiungere tale scopo. Ogni dettaglio del trattamento viene rivisto come parte delle prime fasi di progettazione della soluzione e incluso nel processo di revisione della privacy o equivalente, al fine di garantire che i Dati personali siano adeguati, pertinenti e limitati a quanto necessario in relazione allo scopo per cui sono trattati.
(iv) Qualità dei Dati personali
Durante tutto il ciclo di vita di qualsiasi trattamento, CGI garantirà che i Dati personali raccolti siano mantenuti corretti e aggiornati. A tal fine, si adotteranno tutte le misure ragionevoli per garantire che i Dati personali errati siano cancellati o rettificati senza indugio, compresa, tra l'altro, la possibilità di autocorrezione da parte degli Interessati. In particolare, CGI fornirà agli Interessati i mezzi adeguati per informare CGI in caso di modifiche dei loro Dati personali.
CGI attuerà audit non programmati, come definito successivamente alla Sezione 15.
(v) Limitazione della conservazione dei dati
CGI farà in modo di non conservare i Dati personali per un periodo più lungo di quello strettamente necessario allo scopo per il quale i Dati personali sono raccolti. Di conseguenza, CGI stabilirà un appropriato periodo di conservazione prima di iniziare il trattamento. A tal fine, CGI prenderà in considerazione il tempo durante il quale i Dati personali sono necessari per raggiungere lo scopo del trattamento, tenendo conto dei seguenti fattori:
- Periodo dopo il quale il mantenimento di tali Dati personali può avere un impatto sul diritto all'oblio dell'Interessato;
- Qualsiasi obbligo di legge che imponga un periodo minimo di conservazione dei dati, come definito nella Politica di conservazione dei registri di CGI e nel Programma di conservazione dei registri o equivalente.
(vi) Misure di sicurezza
CGI applicherà misure operative e tecniche appropriate, equivalenti a quelle prescritte dalle politiche e dagli standard di sicurezza di CGI, per proteggersi contro l'accesso illecito, la perdita, la distruzione, l'alterazione e/o il trattamento dei propri Dati personali.
In particolare, CGI concederà ai Membri l'accesso ai Dati personali solo se necessario per svolgere i compiti assegnati in base allo scopo per il quale tali Dati personali sono trattati.
In caso di accesso e/o trattamento illecito, CGI rispetterà la Politica di sicurezza delle informazioni e le relative procedure.
(vii) Definizione di una base giuridica
Oltre ai principi sopra indicati, il trattamento può essere effettuato solo quando:
- Sia necessario per adempiere a un obbligo di legge applicabile a CGI (per esempio, comunicare i dati alle autorità fiscali); o
- Sia necessario per l'esecuzione di un contratto con un Interessato (per esempio, un contratto di lavoro); o
- In assenza di un contratto con un Interessato, il trattamento sia necessario per il legittimo interesse di CGI, che sarà valutato tenendo conto degli interessi dell'Interessato. Esiste un interesse legittimo se:
- Il trattamento è necessario per conseguire l'interesse legittimo perseguito da CGI senza ledere gli interessi dell'Interessato;
- L'interesse di CGI non è annullato dai diritti o dagli interessi fondamentali degli Interessati; e
- CGI rispetta la legge applicabile e i propri obblighi in modo trasparente.
Pertanto, tale interesse legittimo sarà determinato alla luce dell'attività principale di CGI e della legislazione applicabile, nonché di qualsiasi impatto negativo sulla privacy degli Interessati.
- Qualora il trattamento non ricadesse in alcuna delle precedenti basi di legittimazione, CGI dovrà ottenere il previo consenso dell’Interessato prima di trattare i suoi Dati personali. Il consenso è valido quando:
- È dato liberamente mediante una chiara dichiarazione di consenso;
- Rappresenta un'indicazione specifica, informata e inequivocabile del consenso dell'Interessato al trattamento dei propri Dati personali.
Il trattamento dei Dati personali da parte di CGI è considerato lecito quando tale trattamento è necessario per l'interesse vitale dell'Interessato o quando il trattamento è necessario per lo svolgimento di un'attività svolta nell'interesse pubblico, in conformità alla Legge applicabile in materia di protezione dei dati.
- 5 – Trattamento di Dati personali sensibili
-
Il trattamento dei Dati personali sensibili richiede garanzie rafforzate, come descritto di seguito.
CGI tratterà i Dati personali sensibili solo se strettamente necessario. Nel trattare i Dati personali sensibili a proprio nome, CGI garantirà che sia rispettata almeno una delle seguenti condizioni:
- L'Interessato ha dato il suo previo consenso;
- Il trattamento è necessario al fine di adempiere agli obblighi e di esercitare i diritti specifici del Titolare o dell’Interessato nel campo del diritto del lavoro e della sicurezza sociale e della prevenzione dei rischi lavorativi;
- Se l'Interessato non è in grado di dare il proprio consenso (per esempio per motivi medici), il trattamento è necessario per proteggere gli interessi vitali dell'Interessato o di un'altra persona;
- Il trattamento è necessario nel contesto della medicina preventiva o della diagnosi medica da parte di un operatore sanitario secondo la legislazione nazionale;
- L'Interessato ha già reso noti i Dati personali sensibili, che sono di pubblico dominio;
- Il trattamento è essenziale ai fini della costituzione, dell'esercizio o della difesa di rivendicazioni legali, a condizione che non vi sia motivo di ritenere che l'Interessato abbia un legittimo interesse primario a garantire che tali Dati personali sensibili non siano trattati; o
- Il trattamento è esplicitamente consentito dalle leggi di SEE/Stati membri (per esempio, registrazione/protezione delle minoranze).
In ogni caso, CGI tratterà i Dati personali sensibili in conformità alla Legge applicabile in materia di protezione dei dati. Se tale legge richiede specifiche condizioni di conservazione e trattamento, CGI otterrà la certificazione o la qualificazione richiesta, ovvero ricorrerà a un Terzo già certificato o qualificato a tale scopo.
- 6 – Trasferimento di Dati personali a paesi terzi
-
Un Trasferimento di Dati personali avviene quando un soggetto situato al di fuori del SEE è coinvolto nel trattamento effettuato da un soggetto situato nel SEE.
Un Trasferimento di Dati personali può richiedere ulteriori garanzie o condizioni, come descritto di seguito.
6.1 Trasferimento di Dati personali all'interno di CGI
La presenti BCR-C forniscono adeguate tutele per qualsiasi Trasferimento di Dati personali effettuato:
- Da un soggetto CGI situato nel SEE che agisca in qualità di Titolare del trattamento dei dati a un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati o come Responsabile del trattamento interno;
- Da un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati e tratti i Dati personali che rientrano nel campo di applicazione delle presenti BCR-C, a un soggetto CGI che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento dei dati interno, a prescindere da dove si trovi.
Le finalità previste di tale Trasferimento di Dati personali sono definite alla precedente Sezione 2.1.
6.2 Trasferimento dei Dati personali al di fuori di CGI
In caso di Trasferimento dei Dati personali tra un soggetto CGI situato nel SEE e un Terzo situato al di fuori del SEE, il Trasferimento di Dati personali comprenderà una delle seguenti tutele appropriate, a seconda dei casi:
- L'adozione, da entrambe le parti, delle clausole tipo dell'UE derivanti dalla Decisione di esecuzione (UE) 2021/914 della Commissione dell'UE, del 4 giugno 2021, sulle clausole contrattuali tipo per il Trasferimento di Dati personali a paesi terzi a norma del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio;
- Qualsiasi altra tutela adeguata riconosciuta dalla Legge applicabile in materia di protezione dei dati che richieda un livello di protezione dei Dati personali pari o superiore a quello previsto dal Regolamento Europeo sulla Protezione dei Dati 2016/679, come una decisione di adeguatezza, un codice di condotta approvato o un adeguato meccanismo di certificazione.
- 7 – Diritti dei Terzi beneficiari
-
7.1 Quando CGI agisce in qualità di Titolare del trattamento dei dati
In caso di violazione delle presenti BCR-C da parte di CGI, gli Interessati hanno il diritto di far rispettare le seguenti disposizioni delle presenti BCR-C come Terzi beneficiari:
- Sezione 4: PRINCIPI DI BASE DI CGI NEL TRATTAMENTO DEI DATI PERSONALI
- Sezione 5: TRATTAMENTO DI DATI PERSONALI SENSIBILI
- Sezione 6: TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI
- Sezione 7: DIRITTI DEI TERZI BENEFICIARI
- Sezione 8: RESPONSABILITÀ DI CGI IN CASO DI VIOLAZIONE DELLA POLITICA SULLA PRIVACY DEI DATI
- Sezione 9: RICHIESTE DEGLI INTERESSATI E PROCEDURA DI GESTIONE DEI RECLAMI
- Sezione 10: DIRITTI DEGLI INTERESSATI
- Sezione 11: PRIVACY PER DESIGN E DI DEFAULT
- Sezione 13.1: (TRASPARENZA) RISPETTO ALLA POLITICA SULLA PRIVACY DEI DATI
- Sezione 13.4: COOPERAZIONE CON LE AUTORITÀ PREPOSTE ALLA PROTEZIONE DEI DATI
- Sezione 13.5: DOVE LA LEGGE LOCALE PREVALE SULLE PRESENTI BCR-C
In caso di violazione di qualsiasi diritto garantito dalle presenti BCR-C, gli Interessati dei dati e CGI possono cercare una soluzione amichevole nel quadro di un accordo concluso conformemente alla Sezione 9 delle presenti BCR-C ("Procedura di gestione delle richieste e dei reclami degli Interessati").
Gli Interessati hanno inoltre il diritto di presentare un reclamo direttamente all'Autorità competente per la protezione dei dati dello Stato membro in cui hanno residenza abituale, del luogo di lavoro o del luogo della presunta violazione, ovvero di adire direttamente i tribunali, nei confronti di CGI France SAS, dello Stato membro in cui CGI abbia uno stabilimento o in cui l'Interessato abbia residenza abituale, per qualsiasi violazione dei diritti garantiti ai sensi delle presenti BCR-C e, se del caso, hanno il diritto di ricevere un risarcimento per qualsiasi danno materiale o morale derivante da tale violazione. Tuttavia, CGI incoraggia gli Interessati a utilizzare questa specifica procedura di trattamento dei reclami, anche se sono liberi di non ricorrervi.
7.2 Giurisdizione
- Qualora un Interessato intenda presentare un reclamo ai sensi della precedente Sezione 7.1 per violazione di uno qualsiasi dei diritti concessi ai sensi delle presenti BCR-C e in merito al trattamento rientrante nel campo di applicazione delle presenti BCR-C, la giurisdizione appartiene alle seguenti autorità o tribunali:
- Qualora la violazione derivi dal trattamento effettuato da un soggetto CGI situato nel SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI presso una delle seguenti autorità:
- Dinanzi l'Autorità per la protezione dei dati dello Stato membro in cui ha residenza abituale, luogo di lavoro o luogo della presunta violazione;
- Dinanzi gli organi giurisdizionali dello Stato membro in cui l'Interessato ha residenza abituale;
- Dinanzi i Tribunali dello Stato membro in cui CGI, in qualità di esportatore dei dati, ha uno stabilimento.
- Qualora la violazione derivi dal trattamento effettuato da CGI al di fuori del SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI France SAS direttamente presso l'Autorità per la protezione dei dati competente nell'UE del suo luogo di residenza, luogo di lavoro o luogo della presunta violazione; ovvero presso il Tribunale dello Stato membro in cui l'Interessato ha la residenza o in cui CGI ha uno stabilimento.
- 8 – Responsabilità di CGI in caso di violazione della Politica sulla privacy dei dati
-
In caso di violazione delle presenti BCR-C da parte di un soggetto CGI situato al di fuori del SEE, CGI France SAS sarà responsabile di tale violazione e intraprenderà le azioni necessarie per porre rimedio alla violazione, oltre a pagare un risarcimento per i danni accertati derivanti da tale violazione. CGI France SAS avrà anche l'onere della prova per dimostrare che CGI non è responsabile di alcuna presunta violazione delle BCR-C.
In caso di violazione delle presenti BCR-C da parte di un soggetto CGI situato nel SEE, CGI France SAS sarà responsabile di tale violazione e prenderà le misure necessarie per porre rimedio alla violazione, oltre a pagare un risarcimento per i danni dimostrati che ne derivano. Qualsiasi risarcimento di questo tipo dovuto da CGI France SAS sarà sostenuto da CGI Inc., la controllante di tutte le sussidiarie operative di CGI, confermando così che CGI France SAS ha accettato la responsabilità per le azioni delle sussidiarie operative di CGI vincolate da questa Politica al di fuori dell'UE e dispone di risorse sufficienti per pagare un risarcimento per i danni derivanti dalla violazione di questa Politica. CGI France SAS avrà anche l'onere della prova per dimostrare che CGI non è responsabile di alcuna presunta violazione delle BCR-C.
In ciascuna delle situazioni di cui sopra, gli Interessati hanno il diritto di presentare un reclamo secondo le condizioni definite alla precedente Sezione 7.1.
- 9 –Trattamento delle domande e gestione dei reclami presentati dall'Interessato
-
La procedura stabilita in questa Sezione si applica al reclamo presentato da un Interessato o a una sua richiesta per esercitare alcuni dei suoi diritti di accesso, aggiornamento o cancellazione dei propri Dati personali.
Gli Interessati possono presentare un reclamo o una richiesta in relazione al trattamento dei Dati personali se ritengono che CGI stia violando le presenti BCR-C. Il reclamo o la richiesta possono essere presentati contro il soggetto CGI che ritiene essere in violazione o, se l'inadempienza è probabilmente il risultato di un’azione di un soggetto CGI situato al di fuori del SEE, l'Interessato ha il diritto di presentare un reclamo o una richiesta direttamente contro CGI France SAS.
Tale reclamo o richiesta deve essere inoltrata all'area Enterprise Data Privacy utilizzando i dati di contatto disponibili sull'intranet e sul sito web di CGI. Il reclamo o la richiesta saranno gestiti da Enterprise Data Privacy con l'assistenza delle aree interessate, senza indebito ritardo ed entro un massimo di un mese dalla ricezione del reclamo o della richiesta.
- 10 – Diritti dell'Interessato
-
Quando CGI agisce in qualità di Titolare del trattamento dei dati, gli Interessati possono anche in qualsiasi momento:
- Accedere ai Dati personali a essi relativi e trattati da CGI;
- Richiedere la rettifica o la cancellazione di qualsiasi Dato personale inesatto o incompleto a essi relativo, o che non sia più trattato per uno scopo valido o appropriato;
- Opporsi al trattamento dei propri Dati personali in qualsiasi momento, a meno che tale trattamento sia richiesto dalla legislazione applicabile del SEE/Stato membro, a condizione che l'Interessato dimostri di avere un motivo per opporsi in relazione alla sua situazione particolare (per esempio, un Interessato si oppone sostenendo che il trattamento gli stia causando danni o difficoltà sostanziali, come perdite finanziarie; un Membro di CGI chiede a CGI di rimuovere la sua fotografia da un organigramma perché ne travisa l'aspetto).
- Avere il diritto di non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici a essi relativi o che incidano significativamente su di essi in modo analogo.
- Richiedere la limitazione del trattamento quando i Dati personali non siano più richiesti o necessari, il trattamento sia illegale o l'Interessato si sia opposto al trattamento finché il Titolare del trattamento dei dati verifichi la base legale per il trattamento; o
- Ricevere i propri Dati personali in un formato strutturato, di uso comune e leggibile con mezzi automatici, quando i Dati personali siano stati raccolti con il consenso dell'Interessato o come parte di un contratto con quest'ultimo.
CGI si assicurerà di gestire tali richieste senza indebito ritardo e in conformità al processo di gestione dei reclami.
- 11 – Privacy per design e di default
-
In linea con i principi contenuti nelle presenti BCR-C, CGI fornirà un livello adeguato di protezione ai Dati personali trattati.
Al fine di garantire che tali principi siano effettivamente presi in considerazione quando CGI tratta i Dati personali, CGI identificherà e implementerà restrizioni per la protezione dei dati durante il ciclo di vita di sviluppo e consegna di qualsiasi progetto o servizio che comporti il trattamento dei Dati personali.
- 12 – Valutazione dell'impatto sulla privacy
-
CGI è responsabile della supervisione della conformità del trattamento alla Legge applicabile in materia di protezione dei dati. CGI ha quindi implementato una procedura di valutazione dell'impatto sulla privacy che consente di:
(i) Identificare quale trattamento presenta rischi specifici per la protezione dei Dati personali;
(ii) Valutare il livello di conformità dei principi di trattamento alla Legge applicabile in materia di protezione dei dati;
(iii) Valutare il livello di gravità o di probabilità di rischio associato al trattamento; e;
(iv) Stabilire le misure correttive da attuare per garantire che i Dati personali siano trattati in conformità alla Legge applicabile in materia di protezione dei dati e che i rischi siano mitigati.Se, dopo la mitigazione, i rischi per gli Interessati rimangono significativi, l’Autorità competente in materia di protezione dei dati sarà consultata prima dell’inizio del trattamento previsto.
- 13 – Trasparenza
-
13.1 Per quanto riguarda la Politica sulla privacy dei dati
CGI creerà consapevolezza sulle presenti BCR-C per promuoverne la conformità. CGI comunicherà agli Interessati, i cui Dati personali sono trattati da CGI, le informazioni richieste dagli Articoli 13 e 14 del GDPR (elencati alla successiva Sezione 13.2), le informazioni in merito ai loro diritti in qualità di Terzi beneficiari in relazione al trattamento dei loro Dati personali e ai mezzi per esercitare tali diritti, la clausola relativa alla responsabilità, nonché le clausole relative ai principi di protezione dei dati (vale a dire i requisiti chiave delle presenti BCR-C, di cui alle Sezioni 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4, 13.5) e renderà tali informazioni accessibili, nella loro interezza, attraverso la pubblicazione sull'intranet aziendale di CGI e sul sito web pubblico per altri Interessati, a seconda dei casi.
13.2 Trattamento dei dati
In qualità di Titolare del trattamento, CGI fornirà agli Interessati le informazioni pertinenti sul trattamento dei propri Dati personali, come richiesto dalla Legge applicabile in materia di protezione dei dati, tra cui:
- Identità e recapiti del Titolare del trattamento dei dati;
- Recapiti del Responsabile della protezione dei dati e del suo team;
- Finalità del trattamento e rispettiva base giuridica;
- Soggetti ai quali i Dati personali sono comunicati e/o resi accessibili;
- Se del caso, l'esistenza di Trasferimenti di Dati personali al di fuori del SEE, i paesi in cui i Dati personali sono trasferiti e le misure attuate per garantire un adeguato livello di protezione;
- Periodo di conservazione dei dati;
- Diritti degli Interessati, quali definiti alla precedente Sezione 10;
- Diritto di presentare un reclamo all’Autorità per la protezione dei dati; e
- Se il trattamento si basa su un interesse legittimo di CGI, spiegazioni su tale interesse legittimo;
- Se il trattamento si basa sul consenso, l'esistenza del diritto di revoca del consenso in qualsiasi momento;
- Se la fornitura di Dati personali è un requisito di legge o contrattuale, ovvero un requisito per la conclusione di un contratto, nonché se l'Interessato è tenuto a fornire i Dati personali e le eventuali conseguenze della mancata fornitura di tali dati;
- Qualora CGI intenda continuare a trattare i Dati personali per uno scopo diverso da quello per il quale i Dati personali sono stati raccolti, CGI fornirà agli Interessati, prima del trattamento, informazioni su tale ulteriore scopo e su eventuali informazioni aggiuntive rilevanti, come specificato in precedenza nel presente articolo.
Oltre a quanto sopra, si applica quanto segue se le informazioni non sono raccolte direttamente dall'Interessato.
- Le categorie di Dati personali trattati;
- La fonte da cui provengono i Dati personali e, se del caso, se provengono da una fonte accessibile al pubblico;
- Entro un periodo ragionevole dalla raccolta dei Dati personali non superiore a un mese, tenuto conto delle circostanze specifiche in cui i Dati personali sono trattati;
- Se i Dati personali devono essere utilizzati per comunicare con l'Interessato, al più tardi al momento della prima comunicazione all'Interessato; o
- Se è prevista una comunicazione a un altro destinatario, al più tardi quando i Dati personali sono divulgati per la prima volta.
CGI fornirà tali informazioni in una forma facilmente comprensibile e generalmente accessibile, al momento della raccolta dei Dati personali, e in una breve descrizione con un link all'informativa sulla privacy sull'intranet aziendale di CGI e sul suo sito web pubblico per altri Interessati, a seconda dei casi. Nel caso di alcuni sistemi informatici, viene fornita una breve descrizione al momento dell'accesso con un link all'informativa sulla privacy dettagliata per tale sistema informatico.
13.3 Notifica di violazione dei Dati personali
In conformità alle politiche e agli standard di sicurezza di CGI, nel caso in cui si identifichi un incidente di sicurezza che provochi la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai Dati personali trasmessi, memorizzati o altrimenti trattati, CGI, senza indebito ritardo e, per quanto possibile, entro 72 ore dal momento in cui è venuta a conoscenza della violazione, fornirà una notifica dell'incidente di sicurezza e degli aggiornamenti di stato all'Autorità per la protezione dei dati competente e agli Interessati e/o al Titolare del trattamento, come richiesto dalla Legge applicabile in materia di protezione dei dati e/o come concordato nel relativo accordo. Allo stesso modo e per maggiore chiarezza, in caso di violazione di Dati personali al di fuori del SEE che coinvolga Dati personali trasferiti dal SEE, saranno avvertiti CGI France SAS e gli Interessati, quando risulti probabile che la violazione dei Dati personali possa comportare un alto rischio per i loro diritti e libertà. Tutte le violazioni dei Dati personali saranno documentate e messe a disposizione delle autorità di controllo su richiesta.
13.4 Cooperazione con le Autorità per la protezione dei dati
CGI cerca di mantenere relazioni solide con le Autorità per la protezione dei dati. CGI coopera con le Autorità competenti in materia di protezione dei dati in relazione a qualsiasi richiesta inoltrata in conformità alla Legge applicabile in materia di protezione dei dati, comprese le richieste di audit. CGI si conformerà inoltre alle raccomandazioni emesse dalle Autorità competenti per la protezione dei dati in relazione al trattamento dei Dati personali effettuato da CGI in qualità di Titolare.
13.5 Quando la Legge locale prevale sulle presenti BCR-C
Prima di effettuare un Trasferimento di dati, il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, tenendo conto delle circostanze del Trasferimento, valuterà se la Legge locale, i regolamenti, gli statuti, gli ordini giudiziari o le norme obbligatorie (di seguito "Legge locale") impediranno a CGI di adempiere i propri obblighi ai sensi delle BCR-C e stabilirà le misure complementari da adottare.
Prima dell'entrata in vigore di qualsiasi Legge locale aggiornata quando il Trasferimento è già in corso, il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, valuterà se la Legge locale aggiornata impedirà a CGI di adempiere i propri obblighi ai sensi delle presenti BCR-C e stabilirà le misure complementari da adottare. Il Direttore della privacy, il Direttore legale e CGI France SAS riesamineranno e approveranno l'indagine documentata e qualsiasi misura complementare proposta.
Laddove la Legge locale richiedesse un livello di protezione superiore a quello previsto dalle presenti BCR-C, tale Legge locale prevarrà sulle presenti BCR-C e il trattamento sarà effettuato in conformità alla Legge locale.
Qualora i risultati della valutazione della Legge locale dimostrassero la necessità di applicare misure complementari, CGI le applicherà. Tuttavia, se non fosse possibile stabilire misure complementari, CGI dovrà sospendere il Trasferimento.
I risultati della valutazione e le misure complementari proposte saranno adeguatamente documentati e tenuti a disposizione dell'Autorità per la protezione dei dati.
Qualora un soggetto CGI abbia motivo di ritenere che qualsiasi requisito di legge al quale CGI è o può essere soggetta in un paese terzo impedisca o possa impedire a CGI di adempiere i propri obblighi ai sensi delle BCR-C o abbia o possa avere un effetto sostanziale sulle garanzie fornite dalla Legge applicabile in materia di protezione dei dati, comprese eventuali richieste legalmente vincolanti di divulgazione dei Dati personali da parte di un'autorità di polizia o di un ente di sicurezza dello Stato, il Responsabile della protezione dei dati e CGI France SAS saranno immediatamente informati (salvo quando ciò sia vietato da un'autorità di polizia, come il divieto ai sensi del diritto penale di mantenere la riservatezza di un'indagine di polizia). Nei casi specifici in cui la notifica di cui sopra fosse vietata, il pertinente soggetto CGI si adopererà affinché tale divieto sia revocato. Se, nonostante i suoi sforzi, il soggetto CGI in questione non potesse dare notifica alle Autorità competenti per la protezione dei dati, fornirà annualmente informazioni generali sulle richieste ricevute alle Autorità competenti per la protezione dei dati.
In ogni caso, le cessioni di Dati personali da parte di un soggetto CGI vincolato dalle presenti BCR-C a qualsiasi autorità pubblica non possono essere di grandi dimensioni, sproporzionate e indiscriminate in modo da andare oltre quanto necessario in una società democratica.
Trasferimenti o divulgazioni non autorizzate dal Diritto dell'Unione
Per i soggetti CGI situati nel SEE, qualsiasi sentenza di un tribunale e qualsiasi decisione di un'autorità amministrativa di un paese terzo che richieda al Titolare o al Responsabile del trattamento di trasferire o divulgare Dati personali può essere riconosciuta o resa esecutiva in ogni caso solo se basata su un accordo internazionale, quale un trattato di assistenza giudiziaria reciproca in vigore tra il paese terzo richiedente e l'Unione Europea o uno Stato membro, fatti salvi altri motivi di Trasferimento ai sensi del capo V del GDPR.
- 14 – Formazione
-
CGI adotterà e implementerà un programma di formazione sulla privacy per i propri Membri, in modo che conoscano i principi e le procedure contenute nelle presenti BCR-C.
Il programma di formazione fornirà ai Membri di CGI:
- Conoscenze di base comuni sui principi applicabili al trattamento dei Dati personali;
- Una buona comprensione delle procedure esistenti e della loro applicazione;
- Una formazione specifica adattata alle diverse funzioni all'interno dell'organizzazione.
Questo programma di formazione mira a garantire che i Membri le cui funzioni richiedano il trattamento dei Dati personali siano adeguatamente formati.
Oltre a implementare una formazione adeguata sulla protezione dei dati, CGI continuerà a promuovere una cultura della protezione dei dati all'interno della propria organizzazione. A tal fine, CGI intraprenderà azioni di comunicazione specifiche, tra cui campagne di sensibilizzazione, materiali relativi alla privacy, webinar e forum, per fornire consulenza e rispondere a domande su qualsiasi questione relativa alle presenti BCR-C.
La formazione alla privacy è obbligatoria per i Membri le cui funzioni richiedano il trattamento dei Dati personali.
- 15 – Audit
-
CGI integrerà nel proprio programma di audit interno una revisione della conformità da parte di CGI di tutti gli aspetti delle presenti BCR-C.
La procedura di audit interno definirà quanto segue:
- Calendario di esecuzione degli audit;
- Portata prevista degli audit;
- Team responsabile dell'audit.
Il processo di audit interno può essere rivisto periodicamente. Tuttavia, CGI effettuerà regolarmente audit interni tramite un gruppo di audit qualificato. Il programma sarà avviato dal dipartimento di audit interno di CGI.
I risultati dell'audit saranno comunicati alla sede di CGI e al dipartimento Privacy; le azioni risultanti saranno definite e messe in ordine di priorità, consentendo al settore Privacy di stabilire un calendario per l'attuazione delle misure correttive e preventive.
Le Autorità competenti per la protezione dei dati potranno chiedere l'accesso ai risultati dell'audit.
- 16 – Ufficio Privacy
-
L'attuazione della Politica sulla privacy dei dati richiede che tutti i soggetti CGI partecipanti elencati all'Appendice A siano pienamente coinvolti nella sua applicazione. In ogni caso, essi rimangono pienamente responsabili della propria conformità alle presenti BCR-C.
CGI istituirà un'organizzazione interna per la Privacy responsabile della definizione di politiche, processi e standard appropriati, che interessino tutti i soggetti CGI partecipanti, oltre che del monitoraggio della conformità alle presenti BCR-C.
In particolare, CGI nominerà un Direttore della Privacy (Chief Data Privacy Officer - CDPO), il cui Ufficio sarà composto da un team di Responsabili della protezione dei dati e Partner per la privacy per le diverse regioni e business unit, in conformità alla Legge applicabile in materia di protezione dei dati.
Il CDPO riporta direttamente al Chief Legal Officer (Direttore legale), che dipende direttamente dal CEO. Per quanto riguarda questa Politica, il CDPO ha principalmente i seguenti compiti:
- Definire la strategia del Gruppo in termini di implementazione della presente Politica e delle procedure da implementare in tutta l'organizzazione per garantire che ogni Business unit strategica (SBU) e Business unit (BU) rispetti la presente Politica;
- Definire il programma di formazione;
- Definire la strategia di audit per monitorare l'effettiva attuazione della presente Politica;
- Fornire consulenza alle SBU quando necessario.
Per ogni Business unit strategica di ogni regione del Gruppo (SBU), abbiamo nominato dei Responsabili della protezione dei dati regionali che supportano le Unità strategiche, appoggiandosi ai loro team di Partner per la privacy designati a livello locale e/o di Business unit. I Responsabili della protezione dei dati di ogni SBU faranno in modo che la presente Politica sia correttamente implementata a livello di SBU e che qualsiasi reclamo presentato a questo livello, compresi i reclami degli Interessati, sia gestito in modo adeguato, in particolare conformemente al processo descritto nella presente Politica. Controlleranno inoltre, insieme ai team locali per la privacy, che i Trasferimenti di dati e gli impegni siano effettivamente attuati.
In ogni caso, gli Interessati riceveranno un contatto dotato dell'esperienza pertinente cui rivolgersi in caso di domande e/o reclami.
- 17 – Registrazione delle attività di trattamento
-
CGI terrà un Registro delle attività di trattamento svolte in qualità di Titolare del trattamento dei dati personali ("Inventario delle attività di trattamento") contenente tutte le seguenti informazioni:
- Nome e recapito del Titolare del trattamento e, se del caso, del Titolare congiunto del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
- Le finalità del trattamento;
- Una descrizione delle categorie di Interessati e delle categorie di Dati personali;
- Le categorie di destinatari ai quali i Dati personali sono stati comunicati o divulgati, compresi i destinatari di paesi terzi o organizzazioni internazionali;
- Se del caso, il Trasferimento di Dati personali a un paese terzo o a un’organizzazione internazionale, compresa l’identificazione di tale paese terzo o organizzazione internazionale e la documentazione delle garanzie adeguate;
- Per quanto possibile, i termini previsti per la cancellazione delle diverse categorie di dati;
- Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
CGI garantirà che ogni nuovo trattamento dei Dati personali venga registrato nell'Inventario del trattamento dei dati con informazioni rilevanti sul contesto di ogni attività di trattamento. CGI metterà il registro o i registri del trattamento a disposizione delle autorità di vigilanza che ne facciano richiesta.
- 18 – Aggiornamento della Politica sulla privacy dei dati
-
Le presenti BCR-C possono essere modificate di volta in volta, se necessario, secondo una procedura specifica. Qualora le modifiche incidessero in modo significativo sulle BCR o sul livello di protezione offerto, CGI informerà senza indugio l’Autorità competente per la protezione dei dati e tutti i soggetti CGI elencati all’Appendice A. Per qualsiasi altra modifica delle BCR-C, CGI, almeno una volta all’anno, comunicherà con tutti i seguenti gruppi:
- Ciascun soggetto CGI partecipante elencato all’Appendice A;
- Membri di CGI;
- Soggetti per i quali CGI agisce in qualità di Titolare del trattamento dei dati; e
- Autorità competenti per la protezione dei dati, tramite l’Autorità competente per la protezione dei dati, con una breve spiegazione dei motivi che giustificano l’aggiornamento.
CGI terrà un elenco aggiornato dei soggetti vincolati dalle presenti BCR-C e l'Ufficio privacy monitorerà e registrerà qualsiasi aggiornamento delle regole, farà in modo che le informazioni siano comunicate tempestivamente alle parti interessate di cui sopra e fornirà le informazioni necessarie agli Interessati o alle Autorità di protezione dei Dati personali che ne facciano richiesta.
CGI si impegna a non trasferire Dati personali a un nuovo soggetto CGI non effettivamente vincolato dalle presenti BCR-C secondo la procedura definita alla Sezione 3.
Qualora un soggetto CGI non appartenente al SEE di cui all'Appendice A cessasse di far parte del gruppo di soggetti CGI vincolati dalle BCR-C in futuro, deve essere garantito che continuerà ad applicare i requisiti delle BCR-C al trattamento dei Dati personali che gli sono trasferiti tramite le BCR, a meno che, al momento dell'uscita dal gruppo, l'ex Membro cancelli o restituisca la totalità di tali dati ai soggetti ai quali si applicano ancora le BCR-C.
- 19 – Comunicazione
-
Per i Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-C deve essere inviata al seguente indirizzo e-mail: enterprisedataprivacy@cgi.com
Per gli Interessati che non sono Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-C deve essere inviata al seguente indirizzo e-mail: privacy@cgi.com
Le Norme aziendali vincolanti del Responsabile (BCR-P) si applicano quando CGI agisce come Responsabile del trattamento dei dati secondo le istruzioni di un Titolare del trattamento dei dati non situato in UE.
- 1 – Definizioni
-
Ai fini delle presenti Norme aziendali vincolanti del Titolare (BCR-C), si applicano le seguenti definizioni:
“Legge applicabile in materia di protezione dei dati"indica (i) il Regolamento Generale sulla Protezione dei Dati 2016/679 relativo al trattamento dei Dati personali e (ii) qualsiasi legge di implementazione del Regolamento UE sulla Protezione dei Dati.
"CGI" indica, a seconda dei casi, una, più o l’insieme delle persone giuridiche partecipate, controllate o detenute da CGI Inc., nonché le business unit strategiche e le business unit che agiscono a suo nome, che trattano Dati personali e il cui rispetto delle presenti BCR-C non violi, né sia incompatibile con qualsiasi legge, regolamento, statuto, ordine giudiziario, norma o vincolo locale. I soggetti partecipati di CGI sono elencati all'Appendice A. Tale elenco può essere aggiornato nel corso del tempo.
"Titolare del trattamento" indica qualsiasi persona giuridica che, da sola o congiuntamente ad altri Titolari del trattamento, determini le finalità e i mezzi per il trattamento dei Dati personali.
"Responsabile del trattamento" indica qualsiasi persona giuridica che agisca a nome di un Titolare del trattamento.
"Interessato" indica una persona fisica identificata o identificabile i cui Dati personali siano trattati da CGI, incluso qualsiasi Membro di CGI, consulente esterno di CGI, ovvero dipendenti o utenti finali di clienti di CGI.
"Spazio Economico Europeo" o "SEE" indica gli Stati membri dell'UE (Austria, Belgio, Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Repubblica Ceca, Romania, Svezia, Slovacchia, Slovenia, Spagna, Ungheria), nonché la Norvegia, il Liechtenstein e l’Islanda, in appresso altresì denominati “Stati membri”.
"GDPR" indica il Regolamento Europeo 2016/679 denominato Regolamento Generale sulla Protezione dei Dati.
"Legge locale" ha il significato attribuito a tale espressione alla Sezione 13.5 del presente documento.
“Membro”, “Membri” indica i dipendenti di CGI.
"Dati personali" indica qualsiasi informazione relativa a una persona fisica che possa identificarla, direttamente o indirettamente, in particolare facendo riferimento a un elemento identificativo quale nome, numero di identificazione, dati di localizzazione, identificativo online ovvero uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica. I Dati personali includono i Dati personali sensibili.
Trattamento”, “trattare” o “trattato" indicano qualsiasi operazione o insieme di operazioni effettuate sui Dati personali, sia con mezzi automatizzati che non, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento, l’alterazione, il recupero, la consultazione (compreso l'accesso remoto), l’utilizzo, la divulgazione tramite trasmissione, diffusione o messa a disposizione, l’allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di tali dati.
“Dati personali sensibili” indica delle categorie specifiche di Dati personali che rivelano l'origine razziale o etnica, l'opinione politica, le convinzioni religiose, filosofiche o l'appartenenza sindacale, nonché il trattamento di dati genetici o biometrici al fine di identificare in modo univoco una persona fisica, i dati sanitari e i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
"Terzo/i” indica i fornitori e i subappaltatori di CGI, nonché qualsiasi altro soggetto o organismo pubblico al quale possano essere divulgati dei Dati personali.
“Trasferimento di Dati personali” indica il Trasferimento di Dati personali situati nello Spazio Economico Europeo (SEE) verso un paese al di fuori del SEE.
- 2 – Portata
-
2.1 Attività interessate
Le presenti BCR-P si applicano quando CGI agisce come Responsabile del trattamento dei dati secondo le istruzioni di un Titolare del trattamento dei dati diverso da CGI.
Le categorie di trattamento, gli Interessati e i Dati personali interessati dalle presenti BCR-P sono stabiliti all’Appendice B.
2.2 Territori interessati/h4>
I principi contenuti nel presente documento si applicano al Trasferimento di Dati personali nei seguenti casi:
- Da un soggetto CGI situato nel SEE a un soggetto CGI situato al di fuori del SEE.
- Da un soggetto CGI situato al di fuori del SEE a un soggetto CGI situato all'interno o all'esterno del SEE, ma solo nella misura in cui si trattino Dati personali degli Interessati situati nel SEE.
- Da un soggetto CGI situato nel SEE a Terzi situati al di fuori del SEE
- Da Terzi situati al di fuori del SEE a un soggetto CGI situato nel SEE, ma solo nella misura in cui si trattino Dati personali di Interessati situati nel SEE.
- 3 – Conformità alla Politica sulla privacy dei dati e responsabilità
-
3.1 Responsabilità di CGI
Le presenti BCR-C sono vincolanti per CGI, incluse tutte le persone giuridiche partecipate da CGI elencate all'Appendice A.
Qualsiasi soggetto CGI che agisca in qualità di Responsabile del trattamento dei dati metterà a disposizione del Titolare del trattamento tutte le informazioni ragionevoli necessarie per dimostrare l'adempimento dei propri obblighi ai sensi delle presenti BCR-P.
3.2 Conformità dei Membri
Tutti i Membri di CGI (dipendenti) sono vincolati dalle presenti BCR-P attraverso l'obbligo, in tutti i contratti di lavoro, di rispettare gli obblighi di riservatezza e privacy applicabili, nonché le politiche, i processi e gli standard CGI, come previsto dal Codice etico di CGI. I Membri di CGI, se del caso, acconsentiranno annualmente alle presenti BCR-C e al Codice etico.
Come specificato in dettaglio alle Sezioni 13.1 e 14 delle BCR-P, i Membri di CGI sono informati delle BCR attraverso i canali di comunicazione interna e la relativa formazione. I Membri di CGI sono anche consapevoli del fatto che la violazione del Codice etico e, in questo caso specifico, delle BCR-P può comportare sanzioni in conformità alle Leggi locali applicabili.
3.3 Conformità relativa ai clienti CGI e altri Titolari del trattamento
CGI, in qualità di Responsabile del trattamento, si impegna nei confronti dei clienti e di altri Titolari del trattamento a rispettare le presenti BCR-P.
CGI, inclusi i suoi dipendenti, si impegna a trattare i Dati personali dei Titolari del trattamento solo in conformità alle loro istruzioni e, in particolare, nel rispetto della natura, del metodo, dello scopo e della durata del trattamento, nonché delle misure operative e tecniche necessarie per evitare l'accesso illecito ai Dati personali. Ai sensi dell'articolo 28 del GDPR, tale impegno deve essere espressamente indicato negli accordi conclusi tra CGI e i Titolari del trattamento.
3.4 Conformità di fornitori e subappaltatori di CGI e altri Terzi
Tutti i Terzi che trattino Dati personali a nome di CGI devono implementare adeguate misure organizzative per garantire il rispetto dei principi e dei requisiti delle presenti BCR-P insieme a tutti gli altri elementi richiesti che devono figurare nel contratto ai sensi dell'art. 28.3 del GDPR.
- 4 – Principi fondamentali di CGI per il trattamento dei Dati personali.
-
Il rispetto dei seguenti principi non solo soddisfa o supera quanto disposto dalla Legge applicabile in materia di protezione dei dati, ma soddisfa anche i più elevati standard e le prassi di mercato per il trattamento dei Dati personali
Agendo in qualità di Responsabile del trattamento dei dati, CGI garantirà che i Dati personali siano trattati unicamente secondo le istruzioni del Titolare del trattamento, che nella maggior parte dei casi sarà un cliente di CGI. In particolare, tale trattamento deve soddisfare ciascuna delle seguenti condizioni:
- Eseguito seguendo solamente gli scopi indicati dal Titolare del trattamento;
- Eseguito alle condizioni concordate tra CGI e il Titolare del trattamento; e
- Eseguito solo per il periodo espressamente prescritto dal Titolare del trattamento.
Titolare
In particolare, in qualità di Responsabile del trattamento, CGI tratterà i Dati personali in conformità alla Legge applicabile in materia di protezione dei dati e le istruzioni del Titolare del trattamento, secondo quanto stabilito nel contratto concluso tra CGI e il Titolare. Tale trattamento sarà effettuato da CGI secondo le istruzioni del Titolare del trattamento e non per altri scopi incompatibili, a meno che il Titolare del trattamento lo autorizzi espressamente e sia soggetto alla Legge applicabile in materia di protezione dei dati. CGI informerà immediatamente il Titolare del trattamento qualora ritenesse che un'istruzione di quest'ultimo violi la Legge applicabile in materia di protezione dei dati.
Il Titolare del trattamento sarà responsabile della definizione del periodo di conservazione necessario per il raggiungimento degli scopi del trattamento e CGI si impegna al riguardo a trattare solo i Dati personali del Titolare secondo le istruzioni di quest'ultimo.
CGI tratterà i Dati personali del Titolare del trattamento in modo trasparente, in conformità alla Sezione 12 delle presenti BCR-P e subappalterà tale trattamento a Terzi solo previo consenso generale o specifico del Titolare del trattamento e in conformità alla successiva Sezione 6. CGI assisterà e fornirà ragionevole assistenza al Titolare per soddisfare i suoi obblighi ai sensi della Legge applicabile in materia di protezione dei dati.
Inoltre, su richiesta del Titolare del trattamento e secondo le sue istruzioni, CGI aggiornerà, correggerà, anonimizzerà o eliminerà qualsiasi Dato personale e, se del caso, istruirà i propri fornitori a soddisfare tale richiesta.
CGI, su richiesta del Titolare, adotterà le opportune misure tecniche e organizzative per l’adempimento degli obblighi del Titolare di rispondere alle richieste di esercizio dei diritti degli Interessati, secondo la relativa procedura CGI.
Agendo in qualità di Responsabile del trattamento dei dati, e salvo diversa indicazione del Titolare, CGI applicherà la stessa linea di base di sicurezza che applica quando agisce come Titolare del trattamento dei Dati personali. A seconda della natura del trattamento e delle informazioni disponibili per CGI, quest’ultima fornirà al Titolare un'assistenza ragionevole per garantire l'adempimento dei suoi obblighi ai sensi degli articoli da 32 a 36 del GDPR.
Al termine del contratto di incarico in qualità di Responsabile di trattamento con il corrispondente Titolare, CGI e i suoi subappaltatori distruggeranno o restituiranno tutti i Dati personali al Titolare del trattamento in conformità alle istruzioni e alla Legge applicabile in materia di protezione dei dati. In tal caso, CGI certificherà al Titolare che tale cancellazione e/o restituzione ha avuto luogo. In caso di restituzione, CGI garantirà la riservatezza dei Dati personali trasferiti al Titolare del trattamento.
L'assistenza che CGI fornirà al Titolare del trattamento ai fini della conformità alla presente Sezione sarà soggetta alle condizioni finanziarie, tecniche e organizzative concordate tra CGI e il Titolare del trattamento nel relativo accordo di servizio.
A scanso di equivoci, nulla delle presenti BCR-P limita il diritto di CGI di conservare i Dati personali per le controversie esistenti o per presentare o difendere reclami futuri, in conformità allo statuto di prescrizione applicabile a CGI.
Il Titolare del trattamento dei dati rimane il solo responsabile di garantire che il trattamento richiesto sia conforme alla Legge applicabile in materia di protezione dei dati.
- 5 – Trattamento di Dati personali sensibili
-
Il trattamento dei Dati personali sensibili richiede garanzie rafforzate, come descritto di seguito.
Qualora un Titolare del trattamento dei dati richiedesse a CGI il trattamento di Dati personali sensibili disciplinati come tali dalla Legge applicabile in materia di protezione dei dati, tale Titolare rimane il solo responsabile della definizione delle misure di sicurezza che ritiene appropriate per affrontare i rischi sottostanti, in conformità alla Legge applicabile in materia di protezione dei dati. Tuttavia, salvo diversa indicazione del Titolare del trattamento, CGI tratterà i Dati personali secondo le migliori prassi normalmente applicate in circostanze simili. CGI seguirà, in ogni caso, le istruzioni del Titolare e applicherà le misure concordate tra le parti.
Quando CGI effettua il trattamento di Dati personali sensibili in qualità di Responsabile, CGI non sarà tenuta a garantire che il trattamento sia basato su una delle basi legali definite all'art. 9 del GDPR.
In ogni caso, CGI tratterà i Dati personali sensibili in conformità alla Legge applicabile in materia di protezione dei dati. Se tale legge richiede specifiche condizioni di conservazione e trattamento, CGI otterrà la certificazione o la qualificazione richiesta, ovvero ricorrerà a un Terzo già certificato o qualificato a tale scopo.
- 6 – Trasferimento di Dati personali a paesi terzi
-
Un Trasferimento di Dati personali avviene quando un soggetto situato al di fuori del SEE è coinvolto nel trattamento effettuato da un soggetto situato nel SEE.
Un Trasferimento di Dati personali può richiedere ulteriori garanzie o condizioni, come descritto di seguito.
6.1 Trasferimento di Dati personali all'interno di CGI
La presenti BCR-P forniscono adeguate tutele per qualsiasi Trasferimento di Dati personali effettuato:
- Da un soggetto CGI situato nel SEE che agisca in qualità di Titolare del trattamento dei dati a un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati o come Responsabile del trattamento interno;
- Da un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati e tratti i Dati personali che rientrano nel campo di applicazione delle presenti BCR-C, a un soggetto CGI che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento dei dati interno, a prescindere da dove si trovi.
Le finalità previste di tale Trasferimento di Dati personali sono definite alla precedente Sezione 2.1.
In qualità di Responsabile del trattamento, CGI si assicurerà di ottenere l'autorizzazione scritta specifica o generale del Titolare prima di effettuare qualsiasi Trasferimento di Dati personali. Se viene concessa un'autorizzazione generale, CGI informerà il Titolare del trattamento di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione di un Sub-responsabile, in modo così tempestivo che il Titolare abbia la possibilità di opporsi al cambiamento o di risolvere il contratto prima di qualsiasi Trasferimento di Dati personali al nuovo Sub-responsabile.
6.2 Trasferimento dei Dati personali al di fuori di CGI
Quando CGI agisce in qualità di Responsabile del trattamento dei dati a nome di un Titolare situato nel SEE e quando i Dati personali del Titolare vengono trasferiti a un Terzo fuori dal SEE, CGI garantirà che:
(i) Il Titolare del trattamento dei dati conceda una previa autorizzazione scritta specifica o generale per tale Trasferimento e;
(ii) Che il Titolare del trattamento dei dati nel SEE e il Terzo al di fuori del SEE richiedano il Trasferimento dei Dati personali con una delle tutele appropriate di seguito indicate:- L'adozione, da entrambe le parti, delle clausole tipo dell'UE derivanti dalla Decisione di esecuzione (UE) 2021/914 della Commissione dell'UE, del 4 giugno 2021, sulle clausole contrattuali tipo per il Trasferimento di Dati personali a paesi terzi a norma del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio;
- Qualsiasi altra tutela adeguata riconosciuta dalla Legge applicabile in materia di protezione dei dati che richieda un livello di protezione dei Dati personali pari o superiore a quello previsto dal Regolamento Generale sulla Protezione dei Dati 2016/679, come una decisione di adeguatezza, un codice di condotta approvato, adeguato meccanismo di certificazione.
Se viene concessa un'autorizzazione generale, CGI informerà il Titolare del trattamento dei dati di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione di un Sub-responsabile esterno, in modo così tempestivo che il Titolare del trattamento abbia la possibilità di opporsi al cambiamento o di risolvere il contratto prima di qualsiasi Trasferimento di Dati personali al nuovo Sub-responsabile esterno.
Qualsiasi altro scambio di informazioni personali che non siano Dati personali e che non abbiano origine in un soggetto situato nel SEE non viene considerato un Trasferimento di Dati personali in virtù delle presenti BCR-P. Di conseguenza, tale Trasferimento non è soggetto ai requisiti qui contenuti. Tuttavia, il soggetto CGI coinvolto in tali Trasferimenti metterà in atto tutte le misure tecniche e organizzative necessarie e ragionevoli in linea con i rischi associati a tale trattamento, in conformità alle presenti BCR-P e alle politiche di sicurezza di CGI applicabili.
- 7 – Diritti dei Terzi beneficiari
-
7.1 Quando CGI agisce in qualità di Responsabile del trattamento dei dati
Quando CGI agisce in qualità di Responsabile del trattamento dei dati, gli Interessati hanno il diritto di far rispettare le seguenti disposizioni delle presenti BCR-P come Terzi beneficiari direttamente nei confronti di CGI quando i requisiti in questione siano specificamente rivolti ai Responsabili del trattamento dei dati ai sensi del Regolamento Generale sulla Protezione dei Dati 2016/679:
- Sezione 3.3: CLIENTI CGI CONNESSI ALLA COMPLIANCE E ALTRI TITOLARI DEI DATI
- Sezione 4: PRINCIPI DI BASE DI CGI NEL TRATTAMENTO DEI DATI PERSONALI
- Sezione 5: TRATTAMENTO DI DATI PERSONALI SENSIBILI
- Sezione 6: TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI
- Sezione 7: DIRITTI DEI TERZI BENEFICIARI
- Sezione 8: RESPONSABILITÀ DI CGI IN CASO DI VIOLAZIONE DELLA POLITICA SULLA PRIVACY DEI DATI
- Sezione 9: PROCEDURA DI RICHIESTA DEI DATI E GESTIONE DEI RECLAMI
- Sezione 12.1: (TRASPARENZA) RISPETTO ALLA POLITICA SULLA PRIVACY DEI DATI
- Sezione 12.2: (TRASPARENZA) SUL TRATTAMENTO DEI DATI
- Sezione 12.3: NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI
- Sezione 12.4: COOPERAZIONE CON LE AUTORITÀ PREPOSTE ALLA PROTEZIONE DEI DATI
- Sezione 12.5: DOVE LA LEGGE LOCALE PREVALE SULLE PRESENTI BCR-P
Nel caso in cui il Titolare del trattamento sia di fatto scomparso, non esista più come persona giuridica o sia stato dichiarato insolvente e nessun altro soggetto abbia assunto gli obblighi legali del Titolare, gli Interessati avranno il diritto di presentare un reclamo direttamente contro CGI per esercitare i diritti contenuti nelle BCR-P come Terzi beneficiari.
In tal caso gli Interessati e CGI possono cercare una soluzione amichevole nell’ambito di un accordo concluso ai sensi della Sezione 9 delle presenti BCR-P ("Processo di gestione delle richieste e dei reclami degli Interessati”). Quando CGI in qualità di Responsabile e il Titolare coinvolto in uno stesso trattamento siano ritenuti responsabili di qualsiasi danno causato da tale trattamento, gli Interessati avranno diritto a ricevere un risarcimento per i danni diretti da CGI in qualità di Responsabile del trattamento dei Dati o dal Titolare.
CGI incoraggia gli Interessati a utilizzare questa procedura per la gestione dei reclami; gli Interessati hanno inoltre il diritto di presentare un reclamo direttamente all'Autorità competente per la protezione dei dati dello Stato membro in cui hanno residenza abituale, del luogo di lavoro o del luogo della presunta violazione, ovvero di adire direttamente i tribunali, nei confronti di CGI France SAS, dello Stato membro in cui CGI abbia uno stabilimento o in cui l'Interessato abbia residenza abituale, per qualsiasi violazione dei diritti garantiti ai sensi delle presenti BCR-P e, se del caso, hanno il diritto di ricevere un risarcimento per qualsiasi danno materiale o morale derivante da tale violazione.
7.2 Giurisdizione
Qualora un Interessato intenda presentare un reclamo ai sensi della precedente Sezione 7.1 per violazione di uno qualsiasi dei diritti concessi ai sensi delle presenti BCR-P e in merito al trattamento rientrante nel campo di applicazione delle presenti BCR-P, la giurisdizione appartiene alle seguenti autorità o tribunali:
- Qualora la violazione derivi dal trattamento effettuato da un soggetto CGI situato nel SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI presso una delle seguenti autorità:
- Dinanzi l'Autorità per la protezione dei dati dello Stato membro in cui ha residenza abituale, luogo di lavoro o luogo della presunta violazione;
- Dinanzi gli organi giurisdizionali dello Stato membro in cui l'Interessato ha residenza abituale;
- Presso i tribunali dello Stato membro in cui ha sede CGI, in qualità di esportatore di dati o il Titolare del trattamento.
- Qualora la violazione derivi dal trattamento effettuato da CGI al di fuori del SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI France SAS direttamente presso l'Autorità per la protezione dei dati competente nell'UE del suo luogo di residenza, luogo di lavoro o luogo della presunta violazione; ovvero presso il Tribunale dello Stato membro in cui l'Interessato ha la residenza o in cui CGI o il Titolare ha uno stabilimento.
- 8 – Responsabilità di CGI in caso di violazione della Politica sulla privacy dei dati
-
Qualora CGI o un Sub-responsabile esterno cui CGI faccia ricorso trattasse Dati personali a nome di un Titolare del trattamento, può essere ritenuta responsabile di qualsiasi danno causato dal trattamento solo qualora non abbia adempiuto ai propri obblighi o abbia agito al di fuori o in violazione delle istruzioni legali del Titolare del trattamento. Nel caso in cui il Titolare e CGI France SAS siano coinvolti nello stesso trattamento e siano responsabili di qualsiasi danno causato da tale trattamento, sia il Titolare che CGI France SAS possono essere ritenuti responsabili di tutti i danni al fine di garantire un effettivo risarcimento dell'Interessato.
Quando CGI tratta Dati personali a nome di un Titolare del trattamento che di fatto è scomparso, non esiste più come persona giuridica o è diventato insolvente e nessun soggetto successore ha assunto l'obbligo completo di tale Titolare per contratto o per legge, l'Interessato può far valere i propri diritti nei confronti del soggetto successore, se del caso, o altrimenti nei confronti di CGI France SAS. In tal caso, l'Interessato avrà il diritto di presentare reclamo a qualsiasi Corte o Autorità per la protezione dei dati competente che abbia avuto giurisdizione su tale Titolare del trattamento o che abbia giurisdizione su CGI France SAS. In tutti i casi, gli Interessati avranno il diritto di presentare un reclamo direttamente all'autorità competente per la protezione dei dati dello Stato membro di sua residenza abituale, del luogo di lavoro o del luogo della presunta violazione o di proporre un ricorso giudiziale contro CGI nello Stato membro in cui quest’ultima ha uno stabilimento o in cui l'Interessato ha la sua residenza abituale per qualsiasi violazione dei diritti garantiti ai sensi delle presenti BCR-P e, se del caso, ha il diritto di ricevere un risarcimento per qualsiasi danno materiale o morale derivante da tale violazione.
CGI France SAS avrà anche l'onere della prova per dimostrare che CGI o un Terzo situato al di fuori del SEE non sono responsabili di alcuna presunta violazione della Politica. Tuttavia, in caso di violazione dimostrata in tali circostanze, CGI France SAS prenderà le misure necessarie per porre rimedio alla violazione e pagare un risarcimento per i danni dimostrati derivanti da essa. Qualsiasi risarcimento di questo tipo dovuto da CGI France SAS sarà sostenuto da CGI Inc., il soggetto Titolare di tutte le sussidiarie operative di CGI, confermando così che CGI France SAS ha accettato la responsabilità per le azioni delle sussidiarie operative di CGI vincolate da questa Politica al di fuori dell'UE e dispone di risorse sufficienti per pagare un risarcimento per i danni derivanti dalla violazione di questa Politica.
Inoltre, il Titolare del trattamento dei dati pertinenti ha il diritto di far rispettare le presenti BCR-P nei confronti di qualsiasi soggetto CGI che tratti i Dati personali a suo nome e che violi le presenti BCR-P. Nel caso in cui tale violazione coinvolga un soggetto CGI o un Sub-responsabile esterno cui CGI faccia ricorso al di fuori dell'UE, il Titolare ha il diritto di far rispettare le presenti BCR-P nei confronti di CGI France SAS relativamente all’accettazione delle responsabilità nell'UE/SEE, come descritto in precedenza in questo articolo. Il Titolare del trattamento ha diritto a un risarcimento e a un ricorso giudiziale alle condizioni stabilite dal relativo accordo concluso tra CGI e detto Titolare.
- 9 – Procedura di gestione delle domande e dei reclami presentati da un Interessato
-
La procedura stabilita in questa sezione si applica anche all'esercizio del diritto di accesso, aggiornamento o cancellazione dei Dati personali da parte di un Interessato.
Quando un Interessato presenta un reclamo o una richiesta direttamente a CGI nel suo ruolo di Responsabile del trattamento dei dati, CGI informerà il Titolare del reclamo o della richiesta, non essendo CGI legalmente responsabile della gestione di tale aspetto. CGI sarà responsabile solo di gestire le richieste seguendo le istruzioni del Titolare. Qualora il Titolare fosse di fatto scomparso, avesse cessato di esistere o fosse stato dichiarato insolvente, CGI gestirà tali richieste direttamente, per quanto possibile, secondo la procedura CGI pertinente.
Eventuali reclami o richieste di questo tipo saranno gestiti da CGI a tempo debito secondo la procedura CGI pertinente.
A meno che CGI non abbia messo a disposizione una richiesta specifica o un modulo di reclamo o di contatto nell'ambito dei servizi forniti al Titolare del trattamento in questione, gli stakeholder possono inviare le proprie richieste o presentare i reclami come indicato alla sezione Comunicazione delle presenti BCR-P.
CGI si assicurerà di comunicare tutte le informazioni pertinenti ricevute dallo stakeholder al Titolare del trattamento e indicherà espressamente a quest'ultimo che è responsabilità del Titolare del trattamento gestire tale reclamo o richiesta.
- 10 – Privacy per design e di default
-
In linea con i principi contenuti nelle presenti BCR-P, CGI fornirà un livello adeguato di protezione ai Dati personali trattati.
Al fine di garantire che tali principi siano effettivamente presi in considerazione quando CGI tratta i Dati personali, CGI identificherà e implementerà restrizioni per la protezione dei dati durante il ciclo di vita di sviluppo e consegna di qualsiasi progetto o servizio che comporti il trattamento dei Dati personali.
- 11 – Valutazione dell'impatto sulla privacy
-
In qualità di Responsabile del trattamento dei dati, il Titolare del trattamento può richiedere a CGI di collaborare e fornire informazioni rilevanti per consentire al Titolare del trattamento di effettuare una valutazione di impatto sulla privacy. CGI fornirà al Titolare tutte le informazioni pertinenti in suo possesso, garantendo al tempo stesso di non fornire alcuna consulenza legale nell'esecuzione di tale valutazione d'impatto.
- 12 – Trasparenza
-
12.1 Per quanto riguarda la Politica sulla privacy dei dati
CGI creerà consapevolezza sulle presenti BCR-P per promuoverne la conformità.
CGI garantirà che il Titolare del trattamento dei dati possa accedere facilmente alle presenti BCR-P, in particolare rendendo accessibile una versione pubblica sul proprio sito web e inserendola per riferimento nell’accordo concluso con il Titolare.
12.2 Trattamento dei dati
In qualità di Responsabile del trattamento dei dati, CGI fornirà ai Titolari del trattamento, su richiesta, informazioni pertinenti che consentano loro di adempiere ai propri obblighi nei confronti degli Interessati. Se non diversamente indicato in qualsiasi accordo contrattuale, CGI non sarà tenuta a informare direttamente gli Interessati, in quanto tali obblighi restano di competenza dei Titolari
12.3 Notifica di violazione dei Dati personali
In conformità alle politiche e agli standard di sicurezza di CGI, se CGI o qualsiasi Sub-responsabile esterno cui CGI faccia ricorso identificasse un incidente di sicurezza che porti a distruzione, accidentale o illecita, perdita, alterazione, divulgazione o accesso non autorizzati ai Dati personali trasmessi, memorizzati o altrimenti trattati, CGI, senza indebito ritardo, fornirà una notifica dell'incidente di sicurezza e gli aggiornamenti dello stato al Titolare del trattamento e, se concordato nel relativo accordo, anche all'Autorità per la protezione dei dati e/o agli Interessati qualora la violazione dei Dati personali possa comportare un rischio elevato per i loro diritti e libertà. Allo stesso modo e per maggiore chiarezza, nel caso in cui un Sub-responsabile esterno cui CGI faccia ricorso identifichi una violazione dei Dati personali, il Sub-responsabile informerà CGI come concordato nel relativo accordo e, nel caso in cui la violazione dei Dati personali avvenga al di fuori del SEE e coinvolga Dati personali trasferiti dal SEE, ciò sarà notificato a CGI France SAS. Tutte le violazioni dei Dati personali saranno documentate e messe a disposizione delle autorità di controllo su richiesta.
12.4 Cooperazione con le Autorità per la protezione dei dati
CGI cerca di mantenere relazioni solide con le Autorità per la protezione dei dati. CGI coopera con le Autorità competenti in materia di protezione dei dati per il Titolare del trattamento in relazione a qualsiasi richiesta inoltrata in conformità alla Legge applicabile in materia di protezione dei dati, comprese le richieste di audit. CGI si conformerà inoltre alle raccomandazioni emesse dalle Autorità competenti per la protezione dei dati in relazione al trattamento dei Dati personali effettuato da CGI in qualità di Titolare.
12.5 Quando la Legge locale prevale sulle presenti BCR-P
Prima di effettuare un Trasferimento di dati, il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, tenendo conto delle circostanze del Trasferimento, valuterà se la Legge locale, i regolamenti, gli statuti, gli ordini giudiziari o le norme obbligatorie (di seguito "Legge locale") impediranno a CGI di adempiere i propri obblighi ai sensi delle BCR-P e stabilirà le misure complementari da adottare.
Prima dell'entrata in vigore di qualsiasi Legge locale aggiornata quando il Trasferimento è già in corso,il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, valuterà se la Legge locale aggiornata impedirà a CGI di adempiere i propri obblighi ai sensi delle presenti BCR-C e stabilirà le misure complementari da adottare.
Il Direttore della privacy (CDPO), il Direttore legale e CGI France SAS riesamineranno e approveranno l'indagine documentata e qualsiasi misura complementare proposta e le presenteranno al Titolare del trattamento per convalida.
Laddove la Legge locale richiedesse un livello di protezione superiore a quello previsto dalle presenti BCR-P, tale Legge locale prevarrà sulle presenti BCR-P e il trattamento sarà effettuato in conformità alla Legge locale.
Qualora i risultati della valutazione della Legge locale dimostrassero la necessità di applicare misure complementari, CGI le applicherà previa consultazione del Titolare del trattamento. Tuttavia, se non fosse possibile stabilire misure complementari, CGI informerà immediatamente il Titolare per consentirgli di sospendere il Trasferimento e/o di rescindere il contratto.
I risultati della valutazione e le misure complementari proposte saranno adeguatamente documentati e tenuti a disposizione dell'Autorità per la protezione dei dati.
Qualora un soggetto CGI abbia motivo di ritenere che qualsiasi requisito di legge al quale CGI è o può essere soggetta in un paese terzo impedisca o possa impedire a CGI di rispettare le istruzioni del Titolare e di adempiere i propri obblighi secondo quanto stabilito nel relativo accordo o ai sensi delle BCR-C, comprese eventuali richieste legalmente vincolanti di divulgazione dei Dati personali da parte di un'autorità di polizia o di un ente di sicurezza dello Stato, il Direttore della privacy (CDPO) e CGI France SAS saranno immediatamente informati (salvo quando ciò sia vietato da un'autorità di polizia, come il divieto ai sensi del diritto penale di mantenere la riservatezza di un'indagine di polizia). Titolare. Nei casi specifici in cui la notifica di cui sopra fosse vietata, il pertinente soggetto CGI si adopererà affinché tale divieto sia revocato. Se, nonostante i suoi sforzi, il soggetto CGI in questione non potesse dare notifica alle Autorità competenti per la protezione dei dati, fornirà annualmente informazioni generali sulle richieste ricevute alle Autorità competenti per la protezione dei dati.
In ogni caso, le cessioni di Dati personali da parte di un soggetto CGI vincolato dalle presenti BCR-C a qualsiasi autorità pubblica non possono essere di grandi dimensioni, sproporzionate e indiscriminate in modo da andare oltre quanto necessario in una società democratica.
Trasferimenti o divulgazioni non autorizzate dal Diritto dell'Unione
Per i soggetti CGI situati nel SEE, qualsiasi sentenza di un tribunale e qualsiasi decisione di un'autorità amministrativa di un paese terzo che richieda al Titolare o al Responsabile del trattamento di trasferire o divulgare Dati personali può essere riconosciuta o resa esecutiva in ogni caso solo se basata su un accordo internazionale, quale un trattato di assistenza giudiziaria reciproca in vigore tra il paese terzo richiedente e l'Unione Europea o uno Stato membro, fatti salvi altri motivi di Trasferimento ai sensi del capo V del GDPR. - 13 – Formazione
-
CGI adotterà e implementerà un programma di formazione sulla privacy per i propri Membri, in modo che conoscano i principi e le procedure contenute nelle presenti BCR-P.
Il programma di formazione fornirà ai Membri di CGI:
- Conoscenze di base comuni sui principi applicabili al trattamento dei Dati personali;
- Una buona comprensione delle procedure esistenti e della loro applicazione;
- Una formazione specifica adattata alle diverse funzioni all'interno dell'organizzazione.
Questo programma di formazione mira a garantire che i Membri le cui funzioni richiedano il trattamento dei Dati personali siano adeguatamente formati.
Oltre a implementare una formazione adeguata sulla protezione dei dati, CGI continuerà a promuovere una cultura della protezione dei dati all'interno della propria organizzazione. A tal fine, CGI intraprenderà azioni di comunicazione specifiche, tra cui campagne di sensibilizzazione, materiali relativi alla privacy, webinar e forum, per fornire consulenza e rispondere a domande su qualsiasi questione relativa alle presenti BCR-P.
La formazione alla privacy è obbligatoria per i Membri le cui funzioni richiedano il trattamento dei Dati personali.
- 14 – Audit
-
CGI integrerà nel proprio programma di audit interno una revisione della conformità da parte di CGI di tutti gli aspetti delle presenti BCR-P.
La procedura di audit interno definirà quanto segue:
- Calendario di esecuzione degli audit;
- Portata prevista degli audit;
- Team responsabile dell'audit.
Il processo di audit interno può essere rivisto periodicamente. Tuttavia, CGI effettuerà regolarmente audit interni tramite un gruppo di audit qualificato. Il programma sarà avviato dal dipartimento di audit interno di CGI.
I risultati dell'audit saranno comunicati alla sede di CGI e all’Ufficio Privacy; le azioni risultanti saranno definite e messe in ordine di priorità, consentendo al settore Privacy di stabilire un calendario per l'attuazione delle misure correttive e preventive.
Le Autorità per la protezione dei dati competenti, così come i Titolari del trattamento quando CGI agisce in qualità di Responsabile del trattamento, possono richiedere l'accesso ai risultati dell'audit.
Inoltre, quando CGI agisce in qualità di Responsabile del trattamento dei dati, il Titolare del trattamento può richiedere che CGI effettui degli audit per valutare la conformità di CGI o dei suoi Sub-responsabili ai relativi obblighi contrattuali e alle presenti BCR-P. Questi audit saranno effettuati dal Titolare o da un organismo di ispezione composto da membri indipendenti.
- 15 – Ufficio Privacy
-
L'attuazione della Politica sulla privacy dei dati richiede che tutti i soggetti CGI partecipanti elencati all'Appendice A siano pienamente coinvolti nella sua applicazione. In ogni caso, essi rimangono pienamente responsabili della propria conformità alle presenti BCR-P.
CGI istituirà un'organizzazione interna per la Privacy responsabile della definizione di politiche, processi e standard appropriati, che interessino tutti i soggetti CGI partecipanti, oltre che del monitoraggio della conformità alle presenti BCR-P.
In particolare, CGI nominerà un Direttore della Privacy (Chief Data Privacy Officer - CDPO), il cui Ufficio sarà composto da un team di Responsabili della protezione dei dati e Partner per la privacy per le diverse regioni e business unit, in conformità alla Legge applicabile in materia di protezione dei dati.
Il CDPO riporta direttamente al Chief Legal Officer (Direttore legale), che dipende direttamente dal CEO. Per quanto riguarda questa Politica, il CDPO ha principalmente i seguenti compiti:
- Definire la strategia del Gruppo in termini di implementazione della presente Politica e delle procedure da implementare in tutta l'organizzazione per garantire che ogni Business unit strategica (SBU) e Business unit (BU) rispetti la presente Politica;
- Definire il programma di formazione;
- Definire la strategia di audit per monitorare l'effettiva attuazione della presente Politica;
- Fornire consulenza alle SBU quando necessario.
Per ogni Business unit strategica di ogni regione del Gruppo (SBU), abbiamo nominato dei Responsabili della protezione dei dati regionali che supportano le Unità strategiche, appoggiandosi ai loro team di Partner per la privacy designati a livello locale e/o di Business unit. I Responsabili della protezione dei dati di ogni SBU faranno in modo che la presente Politica sia correttamente implementata a livello di SBU e che qualsiasi reclamo presentato a questo livello, compresi i reclami degli Interessati, sia gestito in modo adeguato, in particolare conformemente al processo descritto nella presente Politica. Controlleranno inoltre, insieme ai team locali per la privacy, che i Trasferimenti di dati e gli impegni siano effettivamente attuati.
In ogni caso, gli Interessati e i Titolari del trattamento (quando CGI agisce in qualità di Responsabile del trattamento dei Dati) riceveranno un contatto dotato dell'esperienza pertinente cui rivolgersi in caso di domande e/o reclami.
- 16 – Registrazione delle attività di trattamento
-
CGI terrà un Registro delle attività di trattamento svolte in qualità di Responsabile del trattamento dei dati personali ("Inventario delle attività di trattamento") contenente tutte le seguenti informazioni:
- Il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento che trattano i dati e di ogni Titolare del trattamento a nome del quale agisce il Responsabile e, se del caso, del rappresentante del Titolare del trattamento o del Responsabile, e il Responsabile della protezione dei dati;
- Le categorie di trattamento effettuate a nome di ciascun Titolare;
- Se del caso, il Trasferimento di Dati personali a un paese terzo o a un’organizzazione internazionale, compresa l’identificazione di tale paese terzo o organizzazione internazionale e la documentazione delle garanzie adeguate;
- Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
CGI garantirà che ogni nuovo trattamento dei Dati personali venga registrato nell'Inventario delle attività di trattamento con informazioni rilevanti sul contesto di ogni attività di trattamento. CGI metterà il registro o i registri del trattamento a disposizione delle autorità di vigilanza che ne facciano richiesta.
- 17 – Aggiornamento della Politica sulla privacy dei dati
-
Le presenti BCR-P possono essere modificate di volta in volta, se necessario, secondo una procedura specifica. Qualora le modifiche incidessero in modo significativo sulle BCR o sul livello di protezione offerto, CGI informerà senza indugio l’Autorità competente per la protezione dei dati e tutti i soggetti CGI elencati all’Appendice A. Per qualsiasi altra modifica delle Politica sulla privacy dei dati, CGI, almeno una volta all’anno, comunicherà con tutti i seguenti gruppi:
- Ciascun soggetto CGI partecipante elencato all’Appendice A;
- Membri di CGI;
- Autorità competenti per la protezione dei dati, tramite l’Autorità competente per la protezione dei dati, con una breve spiegazione dei motivi che giustificano l’aggiornamento.
Quando CGI agisce in qualità di Responsabile del trattamento, qualsiasi modifica alle presenti BCR-P sarà tempestivamente comunicata ai Titolari del trattamento al fine di consentire loro di opporsi al cambiamento o di rescindere il contratto prima della modifica.
CGI terrà un elenco aggiornato dei soggetti vincolati dalle presenti BCR-P e l'Ufficio privacy monitorerà e registrerà qualsiasi aggiornamento delle regole, farà in modo che le informazioni siano comunicate tempestivamente alle parti interessate di cui sopra e fornirà le informazioni necessarie ai Titolari o alle rispettive Autorità di protezione dei Dati personali che ne facciano richiesta.
CGI si impegna a non trasferire Dati personali a un nuovo soggetto CGI non effettivamente vincolato dalle presenti BCR-P secondo la procedura definita alla Sezione 3.
Qualora un soggetto CGI non appartenente al SEE di cui all'Appendice A cessasse di far parte del gruppo di soggetti CGI vincolati dalle BCR-P in futuro, deve essere garantito che continuerà ad applicare i requisiti delle BCR-P al trattamento dei Dati personali che gli sono trasferiti tramite le BCR, a meno che, al momento dell'uscita dal gruppo, l'ex Membro cancelli o restituisca la totalità di tali dati ai soggetti ai quali si applicano ancora le BCR-P.
- 18 – Comunicazione
-
Per i Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-P deve essere inviata al seguente indirizzo e-mail: enterprisedataprivacy@cgi.com.
Per gli Interessati che non sono Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-P deve essere inviata al seguente indirizzo e-mail: privacy@cgi.com.