Norme aziendali vincolanti (BCR)

Le Norme aziendali vincolanti del Titolare (BCR-C) si applicano quando CGI agisce come Titolare del trattamento dei dati e quando CGI agisce come Responsabile del trattamento dei dati a nome di CGI, ruolo noto anche come Responsabile del trattamento dei dati interno.

Descargar BCR-C

1 – Definizioni

Ai fini delle presenti Norme aziendali vincolanti del Titolare (BCR-C), si applicano le seguenti definizioni:

“Legge applicabile in materia di protezione dei dati” indica (i) il Regolamento Generale sulla Protezione dei Dati 2016/679 relativo al trattamento dei Dati personali e (ii) qualsiasi legge di implementazione del Regolamento UE sulla Protezione dei Dati.

“CGI” indica, a seconda dei casi, una, più o l’insieme delle persone giuridiche partecipate, controllate o detenute da CGI Inc., nonché le business unit strategiche e le business unit che agiscono a suo nome, che trattano Dati personali e il cui rispetto delle presenti BCR-C non violi, né sia incompatibile con qualsiasi legge, regolamento, statuto, ordine giudiziario, norma o vincolo locale. I soggetti partecipati di CGI sono elencati all'Appendice A. Tale elenco può essere aggiornato nel corso del tempo.

“Titolare del trattamento” indica qualsiasi persona giuridica che, da sola o congiuntamente ad altri Titolari del trattamento, determini le finalità e i mezzi per il trattamento dei Dati personali.

“Responsabile del trattamento” indica qualsiasi persona giuridica che agisca a nome di un Titolare del trattamento.

“Interessato” indica una persona fisica identificata o identificabile i cui Dati personali siano trattati da CGI, incluso qualsiasi Membro di CGI, consulente esterno di CGI, ovvero dipendenti o utenti finali di clienti di CGI.

“Spazio Economico Europeo” o “SEE” indica gli Stati membri dell'UE (Austria, Belgio, Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Repubblica Ceca, Romania, Svezia, Slovacchia, Slovenia, Spagna, Ungheria), nonché la Norvegia, il Liechtenstein e l’Islanda, in appresso altresì denominati “Stati membri”.

“GDPR” indica il Regolamento Europeo 2016/679 denominato Regolamento Generale sulla Protezione dei Dati.

“Responsabile del trattamento dei dati interno” indica qualsiasi soggetto di CGI elencato all'Allegato A che agisca come Responsabile del trattamento a nome di un altro soggetto di CGI elencato all'Allegato A che agisca come Titolare del trattamento.

“Legge locale” ha il significato attribuito a tale espressione alla Sezione 13.5 del presente documento.

“Membro”, “Membri” indica i dipendenti di CGI.

“Dati personali” indica qualsiasi informazione relativa a una persona fisica che possa identificarla, direttamente o indirettamente, in particolare facendo riferimento a un elemento identificativo quale nome, numero di identificazione, dati di localizzazione, identificativo online ovvero uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica. I Dati personali includono i Dati personali sensibili.

“Trattamento”, “trattare” o “trattato” indicano qualsiasi operazione o insieme di operazioni effettuate sui Dati personali, sia con mezzi automatizzati che non, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento, l’alterazione, il recupero, la consultazione (compreso l'accesso remoto), l’utilizzo, la divulgazione tramite trasmissione, diffusione o messa a disposizione, l’allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di tali dati.

“Dati personali sensibili” indica delle categorie specifiche di Dati personali che rivelano l'origine razziale o etnica, l'opinione politica, le convinzioni religiose, filosofiche o l'appartenenza sindacale, nonché il trattamento di dati genetici o biometrici al fine di identificare in modo univoco una persona fisica, i dati sanitari e i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.

“Terzo/i” indica i fornitori e i subappaltatori di CGI, nonché qualsiasi altro soggetto o organismo pubblico al quale possano essere divulgati dei Dati personali.

“Trasferimento di Dati personali” indica il Trasferimento di Dati personali situati nello Spazio Economico Europeo (SEE) verso un paese al di fuori del SEE.

2 – Portata

2.1 Attività interessate

Le presenti Norme aziendali vincolanti del Titolare (BCR-C) si applicano quando CGI agisce come Titolare del trattamento dei dati e quando CGI agisce come Responsabile del trattamento dei dati a nome di CGI, ruolo noto anche come Responsabile del trattamento interno.

Le categorie di trattamento, gli Interessati e i Dati personali interessati dalle presenti BCR-C sono stabiliti all’Appendice B.

2.2 Territori interessati

I principi contenuti nel presente documento si applicano al Trasferimento di Dati personali nei seguenti casi:

• Da un soggetto CGI situato nel SEE a un soggetto CGI situato al di fuori del SEE.
• Da un soggetto CGI situato al di fuori del SEE a un soggetto CGI situato all'interno o all'esterno del SEE, ma solo nella misura in cui si trattino Dati personali degli Interessati situati nel SEE.
• Da un soggetto CGI situato nel SEE a Terzi situati al di fuori del SEE
• Da Terzi situati al di fuori del SEE a un soggetto CGI situato nel SEE, ma solo nella misura in cui si trattino Dati personali di Interessati situati nel SEE.

3 – Conformità alla Politica sulla privacy dei dati e responsabilità

3.1 Responsabilità di CGI

Le presenti BCR-C sono vincolanti per CGI, incluse tutte le persone giuridiche partecipate da CGI elencate all'Appendice A.

Ciascun soggetto CGI elencato all'Appendice A, che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento interno, sarà responsabile della dimostrazione della conformità alle presenti BCR-C.

3.2 Conformità dei Membri

Tutti i Membri di CGI (dipendenti) sono vincolati dalle presenti BCR-C attraverso l'obbligo, in tutti i contratti di lavoro, di rispettare gli obblighi di riservatezza e privacy applicabili, nonché le politiche, i processi e gli standard CGI, come previsto dal Codice etico di CGI. I Membri di CGI, se del caso, acconsentiranno annualmente alle presenti BCR-C e al Codice etico.

Come specificato in dettaglio alle Sezioni 13.1 e 14 delle BCR-C, i Membri di CGI sono informati delle BCR attraverso i canali di comunicazione interna e la relativa formazione. I Membri di CGI sono anche consapevoli del fatto che la violazione del Codice etico e, in questo caso specifico, delle BCR-C può comportare sanzioni in conformità alle Leggi locali applicabili.

3.3 Conformità di fornitori e subappaltatori di CGI e altri Terzi

Tutti i Terzi che trattino Dati personali a nome di CGI devono attuare adeguate misure organizzative per garantire il rispetto dei principi e dei requisiti delle presenti BCR-C.

Un soggetto di CGI che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento interno consentirà ad altri soggetti di CGI o a Terzi di trattare i Dati personali a proprio nome esclusivamente in presenza di un contratto di incarico al trattamento in essere tra loro, che comprenda i requisiti di cui all'Articolo 28.3 del GDPR.

4 - Principi fondamentali CGI per il trattamento dei Dati personali

4.1 Il rispetto dei seguenti principi non solo soddisfa o supera quanto disposto dalla Legge applicabile in materia di protezione dei dati, ma soddisfa anche i più elevati standard e le prassi di mercato per il trattamento dei Dati personali. Principi applicabili quando CGI agisce in qualità di Titolare del trattamento dei dati

(i) Trasparenza, equità e legalità

CGI tratterà i Dati personali in modo legale, equo e trasparente nei confronti dell'Interessato, conformemente ai requisiti delle presenti BCR-C e, in particolare, alle Sezioni 4.1 e 13.

(ii) Definizione di uno scopo

Qualsiasi trattamento di Dati personali da parte di CGI, in particolare la raccolta degli stessi, sarà preceduto dall'identificazione della finalità specifica di tale trattamento. Tale scopo deve essere esplicito e legittimo. I Dati personali non possono essere trattati in modo incompatibile con tale scopo.

(iii) Minimizzazione dei dati

Una volta stabilito lo scopo del trattamento dei Dati personali, CGI raccoglierà i Dati personali solo nella misura necessaria per raggiungere tale scopo. Ogni dettaglio del trattamento viene rivisto come parte delle prime fasi di progettazione della soluzione e incluso nel processo di revisione della privacy o equivalente, al fine di garantire che i Dati personali siano adeguati, pertinenti e limitati a quanto necessario in relazione allo scopo per cui sono trattati.

(iv) Qualità dei Dati personali

Durante tutto il ciclo di vita di qualsiasi trattamento, CGI garantirà che i Dati personali raccolti siano mantenuti corretti e aggiornati. A tal fine, si adotteranno tutte le misure ragionevoli per garantire che i Dati personali errati siano cancellati o rettificati senza indugio, compresa, tra l'altro, la possibilità di autocorrezione da parte degli Interessati. In particolare, CGI fornirà agli Interessati i mezzi adeguati per informare CGI in caso di modifiche dei loro Dati personali.

CGI attuerà audit non programmati, come definito successivamente alla Sezione 15.

(v) Limitazione della conservazione dei dati

CGI farà in modo di non conservare i Dati personali per un periodo più lungo di quello strettamente necessario allo scopo per il quale i Dati personali sono raccolti. Di conseguenza, CGI stabilirà un appropriato periodo di conservazione prima di iniziare il trattamento. A tal fine, CGI prenderà in considerazione il tempo durante il quale i Dati personali sono necessari per raggiungere lo scopo del trattamento, tenendo conto dei seguenti fattori:

• Periodo dopo il quale il mantenimento di tali Dati personali può avere un impatto sul diritto all'oblio dell'Interessato;
• Qualsiasi obbligo di legge che imponga un periodo minimo di conservazione dei dati, come definito nella Politica di conservazione dei registri di CGI e nel Programma di conservazione dei registri o equivalente.

(vi) Misure di sicurezza

CGI applicherà misure operative e tecniche appropriate, equivalenti a quelle prescritte dalle politiche e dagli standard di sicurezza di CGI, per proteggersi contro l'accesso illecito, la perdita, la distruzione, l'alterazione e/o il trattamento dei propri Dati personali.

In particolare, CGI concederà ai Membri l'accesso ai Dati personali solo se necessario per svolgere i compiti assegnati in base allo scopo per il quale tali Dati personali sono trattati.

In caso di accesso e/o trattamento illecito, CGI rispetterà la Politica di sicurezza delle informazioni e le relative procedure.

(vii) Definizione di una base giuridica

Oltre ai principi sopra indicati, il trattamento può essere effettuato solo quando:

• Sia necessario per adempiere a un obbligo di legge applicabile a CGI (per esempio, comunicare i dati alle autorità fiscali); o
• Sia necessario per l'esecuzione di un contratto con un Interessato (per esempio, un contratto di lavoro); o
• In assenza di un contratto con un Interessato, il trattamento sia necessario per il legittimo interesse di CGI, che sarà valutato tenendo conto degli interessi dell'Interessato. Esiste un interesse legittimo se:
  1. Il trattamento è necessario per conseguire l'interesse legittimo perseguito da CGI senza ledere gli interessi dell'Interessato;
  2. L'interesse di CGI non è annullato dai diritti o dagli interessi fondamentali degli Interessati; e
  3. CGI rispetta la legge applicabile e i propri obblighi in modo trasparente.

Pertanto, tale interesse legittimo sarà determinato alla luce dell'attività principale di CGI e della legislazione applicabile, nonché di qualsiasi impatto negativo sulla privacy degli Interessati.

• Qualora il trattamento non ricadesse in alcuna delle precedenti basi di legittimazione, CGI dovrà ottenere il previo consenso dell’Interessato prima di trattare i suoi Dati personali. Il consenso è valido quando:
  • È dato liberamente mediante una chiara dichiarazione di consenso;
  • Rappresenta un'indicazione specifica, informata e inequivocabile del consenso dell'Interessato al trattamento dei propri Dati personali.

Il trattamento dei Dati personali da parte di CGI è considerato lecito quando tale trattamento è necessario per l'interesse vitale dell'Interessato o quando il trattamento è necessario per lo svolgimento di un'attività svolta nell'interesse pubblico, in conformità alla Legge applicabile in materia di protezione dei dati.

5 – Trattamento di Dati personali sensibili

Il trattamento dei Dati personali sensibili richiede garanzie rafforzate, come descritto di seguito.

CGI tratterà i Dati personali sensibili solo se strettamente necessario. Nel trattare i Dati personali sensibili a proprio nome, CGI garantirà che sia rispettata almeno una delle seguenti condizioni:

• L'Interessato ha dato il suo previo consenso;
• Il trattamento è necessario al fine di adempiere agli obblighi e di esercitare i diritti specifici del Titolare o dell’Interessato nel campo del diritto del lavoro e della sicurezza sociale e della prevenzione dei rischi lavorativi;
• Se l'Interessato non è in grado di dare il proprio consenso (per esempio per motivi medici), il trattamento è necessario per proteggere gli interessi vitali dell'Interessato o di un'altra persona;
• Il trattamento è necessario nel contesto della medicina preventiva o della diagnosi medica da parte di un operatore sanitario secondo la legislazione nazionale;
• L'Interessato ha già reso noti i Dati personali sensibili, che sono di pubblico dominio;
• Il trattamento è essenziale ai fini della costituzione, dell'esercizio o della difesa di rivendicazioni legali, a condizione che non vi sia motivo di ritenere che l'Interessato abbia un legittimo interesse primario a garantire che tali Dati personali sensibili non siano trattati; o
• Il trattamento è esplicitamente consentito dalle leggi di SEE/Stati membri (per esempio, registrazione/protezione delle minoranze).

In ogni caso, CGI tratterà i Dati personali sensibili in conformità alla Legge applicabile in materia di protezione dei dati. Se tale legge richiede specifiche condizioni di conservazione e trattamento, CGI otterrà la certificazione o la qualificazione richiesta, ovvero ricorrerà a un Terzo già certificato o qualificato a tale scopo.

6 – Trasferimento di Dati personali a paesi terzi

Un Trasferimento di Dati personali avviene quando un soggetto situato al di fuori del SEE è coinvolto nel trattamento effettuato da un soggetto situato nel SEE.

Un Trasferimento di Dati personali può richiedere ulteriori garanzie o condizioni, come descritto di seguito.

6.1 Trasferimento di Dati personali all'interno di CGI

La presenti BCR-C forniscono adeguate tutele per qualsiasi Trasferimento di Dati personali effettuato:

• Da un soggetto CGI situato nel SEE che agisca in qualità di Titolare del trattamento dei dati a un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati o come Responsabile del trattamento interno;
• Da un soggetto CGI situato al di fuori del SEE che agisca in qualità di Titolare del trattamento dei dati e tratti i Dati personali che rientrano nel campo di applicazione delle presenti BCR-C, a un soggetto CGI che agisca in qualità di Titolare del trattamento dei dati o di Responsabile del trattamento dei dati interno, a prescindere da dove si trovi.

Le finalità previste di tale Trasferimento di Dati personali sono definite alla precedente Sezione 2.1.

6.2 Trasferimento dei Dati personali al di fuori di CGI

In caso di Trasferimento dei Dati personali tra un soggetto CGI situato nel SEE e un Terzo situato al di fuori del SEE, il Trasferimento di Dati personali comprenderà una delle seguenti tutele appropriate, a seconda dei casi:

• L'adozione, da entrambe le parti, delle clausole tipo dell'UE derivanti dalla Decisione di esecuzione (UE) 2021/914 della Commissione dell'UE, del 4 giugno 2021, sulle clausole contrattuali tipo per il Trasferimento di Dati personali a paesi terzi a norma del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio;
• Qualsiasi altra tutela adeguata riconosciuta dalla Legge applicabile in materia di protezione dei dati che richieda un livello di protezione dei Dati personali pari o superiore a quello previsto dal Regolamento Europeo sulla Protezione dei Dati 2016/679, come una decisione di adeguatezza, un codice di condotta approvato o un adeguato meccanismo di certificazione.

7 – Diritti dei Terzi beneficiari

 

7.1 Quando CGI agisce in qualità di Titolare del trattamento dei dati

In caso di violazione delle presenti BCR-C da parte di CGI, gli Interessati hanno il diritto di far rispettare le seguenti disposizioni delle presenti BCR-C come Terzi beneficiari:

• Sezione 4: PRINCIPI DI BASE DI CGI NEL TRATTAMENTO DEI DATI PERSONALI
• Sezione 5: TRATTAMENTO DI DATI PERSONALI SENSIBILI
• Sezione 6: TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI
• Sezione 7: DIRITTI DEI TERZI BENEFICIARI
• Sezione 8: RESPONSABILITÀ DI CGI IN CASO DI VIOLAZIONE DELLA POLITICA SULLA PRIVACY DEI DATI
• Sezione 9: RICHIESTE DEGLI INTERESSATI E PROCEDURA DI GESTIONE DEI RECLAMI
• Sezione 10: DIRITTI DEGLI INTERESSATI
• Sezione 11: PRIVACY PER DESIGN E DI DEFAULT
• Sezione 13.1: (TRASPARENZA) RISPETTO ALLA POLITICA SULLA PRIVACY DEI DATI
• Sezione 13.4: COOPERAZIONE CON LE AUTORITÀ PREPOSTE ALLA PROTEZIONE DEI DATI
• Sezione 13.5: DOVE LA LEGGE LOCALE PREVALE SULLE PRESENTI BCR-C

In caso di violazione di qualsiasi diritto garantito dalle presenti BCR-C, gli Interessati dei dati e CGI possono cercare una soluzione amichevole nel quadro di un accordo concluso conformemente alla Sezione 9 delle presenti BCR-C ("Procedura di gestione delle richieste e dei reclami degli Interessati").

Gli Interessati hanno inoltre il diritto di presentare un reclamo direttamente all'Autorità competente per la protezione dei dati dello Stato membro in cui hanno residenza abituale, del luogo di lavoro o del luogo della presunta violazione, ovvero di adire direttamente i tribunali, nei confronti di CGI France SAS, dello Stato membro in cui CGI abbia uno stabilimento o in cui l'Interessato abbia residenza abituale, per qualsiasi violazione dei diritti garantiti ai sensi delle presenti BCR-C e, se del caso, hanno il diritto di ricevere un risarcimento per qualsiasi danno materiale o morale derivante da tale violazione. Tuttavia, CGI incoraggia gli Interessati a utilizzare questa specifica procedura di trattamento dei reclami, anche se sono liberi di non ricorrervi.

7.2 Giurisdizione

• Qualora un Interessato intenda presentare un reclamo ai sensi della precedente Sezione 7.1 per violazione di uno qualsiasi dei diritti concessi ai sensi delle presenti BCR-C e in merito al trattamento rientrante nel campo di applicazione delle presenti BCR-C, la giurisdizione appartiene alle seguenti autorità o tribunali:
  • Qualora la violazione derivi dal trattamento effettuato da un soggetto CGI situato nel SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI presso una delle seguenti autorità:
  • Dinanzi l'Autorità per la protezione dei dati dello Stato membro in cui ha residenza abituale, luogo di lavoro o luogo della presunta violazione;
  • Dinanzi gli organi giurisdizionali dello Stato membro in cui l'Interessato ha residenza abituale;
  • Dinanzi i Tribunali dello Stato membro in cui CGI, in qualità di esportatore dei dati, ha uno stabilimento.
• Qualora la violazione derivi dal trattamento effettuato da CGI al di fuori del SEE, l'Interessato ha il diritto di presentare un reclamo contro CGI France SAS direttamente presso l'Autorità per la protezione dei dati competente nell'UE del suo luogo di residenza, luogo di lavoro o luogo della presunta violazione; ovvero presso il Tribunale dello Stato membro in cui l'Interessato ha la residenza o in cui CGI ha uno stabilimento.

8 – Responsabilità di CGI in caso di violazione della Politica sulla privacy dei dati

In caso di violazione delle presenti BCR-C da parte di un soggetto CGI situato al di fuori del SEE, CGI France SAS sarà responsabile di tale violazione e intraprenderà le azioni necessarie per porre rimedio alla violazione, oltre a pagare un risarcimento per i danni accertati derivanti da tale violazione. CGI France SAS avrà anche l'onere della prova per dimostrare che CGI non è responsabile di alcuna presunta violazione delle BCR-C.

In caso di violazione delle presenti BCR-C da parte di un soggetto CGI situato nel SEE, CGI France SAS sarà responsabile di tale violazione e prenderà le misure necessarie per porre rimedio alla violazione, oltre a pagare un risarcimento per i danni dimostrati che ne derivano. Qualsiasi risarcimento di questo tipo dovuto da CGI France SAS sarà sostenuto da CGI Inc., la controllante di tutte le sussidiarie operative di CGI, confermando così che CGI France SAS ha accettato la responsabilità per le azioni delle sussidiarie operative di CGI vincolate da questa Politica al di fuori dell'UE e dispone di risorse sufficienti per pagare un risarcimento per i danni derivanti dalla violazione di questa Politica. CGI France SAS avrà anche l'onere della prova per dimostrare che CGI non è responsabile di alcuna presunta violazione delle BCR-C.

In ciascuna delle situazioni di cui sopra, gli Interessati hanno il diritto di presentare un reclamo secondo le condizioni definite alla precedente Sezione 7.1.

9 –Trattamento delle domande e gestione dei reclami presentati dall'Interessato

La procedura stabilita in questa Sezione si applica al reclamo presentato da un Interessato o a una sua richiesta per esercitare alcuni dei suoi diritti di accesso, aggiornamento o cancellazione dei propri Dati personali.

Gli Interessati possono presentare un reclamo o una richiesta in relazione al trattamento dei Dati personali se ritengono che CGI stia violando le presenti BCR-C. Il reclamo o la richiesta possono essere presentati contro il soggetto CGI che ritiene essere in violazione o, se l'inadempienza è probabilmente il risultato di un’azione di un soggetto CGI situato al di fuori del SEE, l'Interessato ha il diritto di presentare un reclamo o una richiesta direttamente contro CGI France SAS.

Tale reclamo o richiesta deve essere inoltrata all'area Enterprise Data Privacy utilizzando i dati di contatto disponibili sull'intranet e sul sito web di CGI. Il reclamo o la richiesta saranno gestiti da Enterprise Data Privacy con l'assistenza delle aree interessate, senza indebito ritardo ed entro un massimo di un mese dalla ricezione del reclamo o della richiesta.

10 – Diritti dell'Interessato

Quando CGI agisce in qualità di Titolare del trattamento dei dati, gli Interessati possono anche in qualsiasi momento:

• Accedere ai Dati personali a essi relativi e trattati da CGI;
• Richiedere la rettifica o la cancellazione di qualsiasi Dato personale inesatto o incompleto a essi relativo, o che non sia più trattato per uno scopo valido o appropriato;
• Opporsi al trattamento dei propri Dati personali in qualsiasi momento, a meno che tale trattamento sia richiesto dalla legislazione applicabile del SEE/Stato membro, a condizione che l'Interessato dimostri di avere un motivo per opporsi in relazione alla sua situazione particolare (per esempio, un Interessato si oppone sostenendo che il trattamento gli stia causando danni o difficoltà sostanziali, come perdite finanziarie; un Membro di CGI chiede a CGI di rimuovere la sua fotografia da un organigramma perché ne travisa l'aspetto).
• Avere il diritto di non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici a essi relativi o che incidano significativamente su di essi in modo analogo.
• Richiedere la limitazione del trattamento quando i Dati personali non siano più richiesti o necessari, il trattamento sia illegale o l'Interessato si sia opposto al trattamento finché il Titolare del trattamento dei dati verifichi la base legale per il trattamento; o
• Ricevere i propri Dati personali in un formato strutturato, di uso comune e leggibile con mezzi automatici, quando i Dati personali siano stati raccolti con il consenso dell'Interessato o come parte di un contratto con quest'ultimo.

CGI si assicurerà di gestire tali richieste senza indebito ritardo e in conformità al processo di gestione dei reclami.

11 – Privacy per design e di default

In linea con i principi contenuti nelle presenti BCR-C, CGI fornirà un livello adeguato di protezione ai Dati personali trattati.

Al fine di garantire che tali principi siano effettivamente presi in considerazione quando CGI tratta i Dati personali, CGI identificherà e implementerà restrizioni per la protezione dei dati durante il ciclo di vita di sviluppo e consegna di qualsiasi progetto o servizio che comporti il trattamento dei Dati personali.

12 – Valutazione dell'impatto sulla privacy

CGI è responsabile della supervisione della conformità del trattamento alla Legge applicabile in materia di protezione dei dati. CGI ha quindi implementato una procedura di valutazione dell'impatto sulla privacy che consente di:

(i) Identificare quale trattamento presenta rischi specifici per la protezione dei Dati personali;
(ii) Valutare il livello di conformità dei principi di trattamento alla Legge applicabile in materia di protezione dei dati;
(iii) Valutare il livello di gravità o di probabilità di rischio associato al trattamento; e;
(iv) Stabilire le misure correttive da attuare per garantire che i Dati personali siano trattati in conformità alla Legge applicabile in materia di protezione dei dati e che i rischi siano mitigati.

Se, dopo la mitigazione, i rischi per gli Interessati rimangono significativi, l’Autorità competente in materia di protezione dei dati sarà consultata prima dell’inizio del trattamento previsto.

13 – Trasparenza

13.1 Per quanto riguarda la Politica sulla privacy dei dati

CGI creerà consapevolezza sulle presenti BCR-C per promuoverne la conformità. CGI comunicherà agli Interessati, i cui Dati personali sono trattati da CGI, le informazioni richieste dagli Articoli 13 e 14 del GDPR (elencati alla successiva Sezione 13.2), le informazioni in merito ai loro diritti in qualità di Terzi beneficiari in relazione al trattamento dei loro Dati personali e ai mezzi per esercitare tali diritti, la clausola relativa alla responsabilità, nonché le clausole relative ai principi di protezione dei dati (vale a dire i requisiti chiave delle presenti BCR-C, di cui alle Sezioni 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4, 13.5) e renderà tali informazioni accessibili, nella loro interezza, attraverso la pubblicazione sull'intranet aziendale di CGI e sul sito web pubblico per altri Interessati, a seconda dei casi.

13.2 Trattamento dei dati

In qualità di Titolare del trattamento, CGI fornirà agli Interessati le informazioni pertinenti sul trattamento dei propri Dati personali, come richiesto dalla Legge applicabile in materia di protezione dei dati, tra cui:

• Identità e recapiti del Titolare del trattamento dei dati;
• Recapiti del Responsabile della protezione dei dati e del suo team;
• Finalità del trattamento e rispettiva base giuridica;
• Soggetti ai quali i Dati personali sono comunicati e/o resi accessibili;
• Se del caso, l'esistenza di Trasferimenti di Dati personali al di fuori del SEE, i paesi in cui i Dati personali sono trasferiti e le misure attuate per garantire un adeguato livello di protezione;
• Periodo di conservazione dei dati;
• Diritti degli Interessati, quali definiti alla precedente Sezione 10;
• Diritto di presentare un reclamo all’Autorità per la protezione dei dati; e
• Se il trattamento si basa su un interesse legittimo di CGI, spiegazioni su tale interesse legittimo;
• Se il trattamento si basa sul consenso, l'esistenza del diritto di revoca del consenso in qualsiasi momento;
• Se la fornitura di Dati personali è un requisito di legge o contrattuale, ovvero un requisito per la conclusione di un contratto, nonché se l'Interessato è tenuto a fornire i Dati personali e le eventuali conseguenze della mancata fornitura di tali dati;
• Qualora CGI intenda continuare a trattare i Dati personali per uno scopo diverso da quello per il quale i Dati personali sono stati raccolti, CGI fornirà agli Interessati, prima del trattamento, informazioni su tale ulteriore scopo e su eventuali informazioni aggiuntive rilevanti, come specificato in precedenza nel presente articolo.

Oltre a quanto sopra, si applica quanto segue se le informazioni non sono raccolte direttamente dall'Interessato.

• Le categorie di Dati personali trattati;
• La fonte da cui provengono i Dati personali e, se del caso, se provengono da una fonte accessibile al pubblico;
• Entro un periodo ragionevole dalla raccolta dei Dati personali non superiore a un mese, tenuto conto delle circostanze specifiche in cui i Dati personali sono trattati;
• Se i Dati personali devono essere utilizzati per comunicare con l'Interessato, al più tardi al momento della prima comunicazione all'Interessato; o
• Se è prevista una comunicazione a un altro destinatario, al più tardi quando i Dati personali sono divulgati per la prima volta.

CGI fornirà tali informazioni in una forma facilmente comprensibile e generalmente accessibile, al momento della raccolta dei Dati personali, e in una breve descrizione con un link all'informativa sulla privacy sull'intranet aziendale di CGI e sul suo sito web pubblico per altri Interessati, a seconda dei casi. Nel caso di alcuni sistemi informatici, viene fornita una breve descrizione al momento dell'accesso con un link all'informativa sulla privacy dettagliata per tale sistema informatico.

13.3 Notifica di violazione dei Dati personali

In conformità alle politiche e agli standard di sicurezza di CGI, nel caso in cui si identifichi un incidente di sicurezza che provochi la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai Dati personali trasmessi, memorizzati o altrimenti trattati, CGI, senza indebito ritardo e, per quanto possibile, entro 72 ore dal momento in cui è venuta a conoscenza della violazione, fornirà una notifica dell'incidente di sicurezza e degli aggiornamenti di stato all'Autorità per la protezione dei dati competente e agli Interessati e/o al Titolare del trattamento, come richiesto dalla Legge applicabile in materia di protezione dei dati e/o come concordato nel relativo accordo. Allo stesso modo e per maggiore chiarezza, in caso di violazione di Dati personali al di fuori del SEE che coinvolga Dati personali trasferiti dal SEE, saranno avvertiti CGI France SAS e gli Interessati, quando risulti probabile che la violazione dei Dati personali possa comportare un alto rischio per i loro diritti e libertà. Tutte le violazioni dei Dati personali saranno documentate e messe a disposizione delle autorità di controllo su richiesta.

13.4 Cooperazione con le Autorità per la protezione dei dati

CGI cerca di mantenere relazioni solide con le Autorità per la protezione dei dati. CGI coopera con le Autorità competenti in materia di protezione dei dati in relazione a qualsiasi richiesta inoltrata in conformità alla Legge applicabile in materia di protezione dei dati, comprese le richieste di audit. CGI si conformerà inoltre alle raccomandazioni emesse dalle Autorità competenti per la protezione dei dati in relazione al trattamento dei Dati personali effettuato da CGI in qualità di Titolare.

13.5 Quando la Legge locale prevale sulle presenti BCR-C

Prima di effettuare un Trasferimento di dati, il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, tenendo conto delle circostanze del Trasferimento, valuterà se la Legge locale, i regolamenti, gli statuti, gli ordini giudiziari o le norme obbligatorie (di seguito "Legge locale") impediranno a CGI di adempiere i propri obblighi ai sensi delle BCR-C e stabilirà le misure complementari da adottare.

Prima dell'entrata in vigore di qualsiasi Legge locale aggiornata quando il Trasferimento è già in corso, il soggetto che esporta i dati, con l'aiuto del soggetto che importa i dati, valuterà se la Legge locale aggiornata impedirà a CGI di adempiere i propri obblighi ai sensi delle presenti BCR-C e stabilirà le misure complementari da adottare. Il Direttore della privacy, il Direttore legale e CGI France SAS riesamineranno e approveranno l'indagine documentata e qualsiasi misura complementare proposta.

Laddove la Legge locale richiedesse un livello di protezione superiore a quello previsto dalle presenti BCR-C, tale Legge locale prevarrà sulle presenti BCR-C e il trattamento sarà effettuato in conformità alla Legge locale.

Qualora i risultati della valutazione della Legge locale dimostrassero la necessità di applicare misure complementari, CGI le applicherà. Tuttavia, se non fosse possibile stabilire misure complementari, CGI dovrà sospendere il Trasferimento.

I risultati della valutazione e le misure complementari proposte saranno adeguatamente documentati e tenuti a disposizione dell'Autorità per la protezione dei dati.

Qualora un soggetto CGI abbia motivo di ritenere che qualsiasi requisito di legge al quale CGI è o può essere soggetta in un paese terzo impedisca o possa impedire a CGI di adempiere i propri obblighi ai sensi delle BCR-C o abbia o possa avere un effetto sostanziale sulle garanzie fornite dalla Legge applicabile in materia di protezione dei dati, comprese eventuali richieste legalmente vincolanti di divulgazione dei Dati personali da parte di un'autorità di polizia o di un ente di sicurezza dello Stato, il Responsabile della protezione dei dati e CGI France SAS saranno immediatamente informati (salvo quando ciò sia vietato da un'autorità di polizia, come il divieto ai sensi del diritto penale di mantenere la riservatezza di un'indagine di polizia). Nei casi specifici in cui la notifica di cui sopra fosse vietata, il pertinente soggetto CGI si adopererà affinché tale divieto sia revocato. Se, nonostante i suoi sforzi, il soggetto CGI in questione non potesse dare notifica alle Autorità competenti per la protezione dei dati, fornirà annualmente informazioni generali sulle richieste ricevute alle Autorità competenti per la protezione dei dati.

In ogni caso, le cessioni di Dati personali da parte di un soggetto CGI vincolato dalle presenti BCR-C a qualsiasi autorità pubblica non possono essere di grandi dimensioni, sproporzionate e indiscriminate in modo da andare oltre quanto necessario in una società democratica.

Trasferimenti o divulgazioni non autorizzate dal Diritto dell'Unione

Per i soggetti CGI situati nel SEE, qualsiasi sentenza di un tribunale e qualsiasi decisione di un'autorità amministrativa di un paese terzo che richieda al Titolare o al Responsabile del trattamento di trasferire o divulgare Dati personali può essere riconosciuta o resa esecutiva in ogni caso solo se basata su un accordo internazionale, quale un trattato di assistenza giudiziaria reciproca in vigore tra il paese terzo richiedente e l'Unione Europea o uno Stato membro, fatti salvi altri motivi di Trasferimento ai sensi del capo V del GDPR.

14 – Formazione

CGI adotterà e implementerà un programma di formazione sulla privacy per i propri Membri, in modo che conoscano i principi e le procedure contenute nelle presenti BCR-C.

Il programma di formazione fornirà ai Membri di CGI:

• Conoscenze di base comuni sui principi applicabili al trattamento dei Dati personali;
• Una buona comprensione delle procedure esistenti e della loro applicazione;
• Una formazione specifica adattata alle diverse funzioni all'interno dell'organizzazione.

Questo programma di formazione mira a garantire che i Membri le cui funzioni richiedano il trattamento dei Dati personali siano adeguatamente formati.

Oltre a implementare una formazione adeguata sulla protezione dei dati, CGI continuerà a promuovere una cultura della protezione dei dati all'interno della propria organizzazione. A tal fine, CGI intraprenderà azioni di comunicazione specifiche, tra cui campagne di sensibilizzazione, materiali relativi alla privacy, webinar e forum, per fornire consulenza e rispondere a domande su qualsiasi questione relativa alle presenti BCR-C.

La formazione alla privacy è obbligatoria per i Membri le cui funzioni richiedano il trattamento dei Dati personali.

15 – Audit

CGI integrerà nel proprio programma di audit interno una revisione della conformità da parte di CGI di tutti gli aspetti delle presenti BCR-C.

La procedura di audit interno definirà quanto segue:

• Calendario di esecuzione degli audit;
• Portata prevista degli audit;
• Team responsabile dell'audit.

Il processo di audit interno può essere rivisto periodicamente. Tuttavia, CGI effettuerà regolarmente audit interni tramite un gruppo di audit qualificato. Il programma sarà avviato dal dipartimento di audit interno di CGI.

I risultati dell'audit saranno comunicati alla sede di CGI e al dipartimento Privacy; le azioni risultanti saranno definite e messe in ordine di priorità, consentendo al settore Privacy di stabilire un calendario per l'attuazione delle misure correttive e preventive.

Le Autorità competenti per la protezione dei dati potranno chiedere l'accesso ai risultati dell'audit.

16 – Ufficio Privacy

L'attuazione della Politica sulla privacy dei dati richiede che tutti i soggetti CGI partecipanti elencati all'Appendice A siano pienamente coinvolti nella sua applicazione. In ogni caso, essi rimangono pienamente responsabili della propria conformità alle presenti BCR-C.

CGI istituirà un'organizzazione interna per la Privacy responsabile della definizione di politiche, processi e standard appropriati, che interessino tutti i soggetti CGI partecipanti, oltre che del monitoraggio della conformità alle presenti BCR-C.

In particolare, CGI nominerà un Direttore della Privacy (Chief Data Privacy Officer - CDPO), il cui Ufficio sarà composto da un team di Responsabili della protezione dei dati e Partner per la privacy per le diverse regioni e business unit, in conformità alla Legge applicabile in materia di protezione dei dati.

Il CDPO riporta direttamente al Chief Legal Officer (Direttore legale), che dipende direttamente dal CEO. Per quanto riguarda questa Politica, il CDPO ha principalmente i seguenti compiti:

• Definire la strategia del Gruppo in termini di implementazione della presente Politica e delle procedure da implementare in tutta l'organizzazione per garantire che ogni Business unit strategica (SBU) e Business unit (BU) rispetti la presente Politica;
• Definire il programma di formazione;
• Definire la strategia di audit per monitorare l'effettiva attuazione della presente Politica;
• Fornire consulenza alle SBU quando necessario.

Per ogni Business unit strategica di ogni regione del Gruppo (SBU), abbiamo nominato dei Responsabili della protezione dei dati regionali che supportano le Unità strategiche, appoggiandosi ai loro team di Partner per la privacy designati a livello locale e/o di Business unit. I Responsabili della protezione dei dati di ogni SBU faranno in modo che la presente Politica sia correttamente implementata a livello di SBU e che qualsiasi reclamo presentato a questo livello, compresi i reclami degli Interessati, sia gestito in modo adeguato, in particolare conformemente al processo descritto nella presente Politica. Controlleranno inoltre, insieme ai team locali per la privacy, che i Trasferimenti di dati e gli impegni siano effettivamente attuati.

In ogni caso, gli Interessati riceveranno un contatto dotato dell'esperienza pertinente cui rivolgersi in caso di domande e/o reclami.

17 – Registrazione delle attività di trattamento

CGI terrà un Registro delle attività di trattamento svolte in qualità di Titolare del trattamento dei dati personali ("Inventario delle attività di trattamento") contenente tutte le seguenti informazioni:

• Nome e recapito del Titolare del trattamento e, se del caso, del Titolare congiunto del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
• Le finalità del trattamento;
• Una descrizione delle categorie di Interessati e delle categorie di Dati personali;
• Le categorie di destinatari ai quali i Dati personali sono stati comunicati o divulgati, compresi i destinatari di paesi terzi o organizzazioni internazionali;
• Se del caso, il Trasferimento di Dati personali a un paese terzo o a un’organizzazione internazionale, compresa l’identificazione di tale paese terzo o organizzazione internazionale e la documentazione delle garanzie adeguate;
• Per quanto possibile, i termini previsti per la cancellazione delle diverse categorie di dati;
• Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

CGI garantirà che ogni nuovo trattamento dei Dati personali venga registrato nell'Inventario del trattamento dei dati con informazioni rilevanti sul contesto di ogni attività di trattamento. CGI metterà il registro o i registri del trattamento a disposizione delle autorità di vigilanza che ne facciano richiesta.

18 – Aggiornamento della Politica sulla privacy dei dati

Le presenti BCR-C possono essere modificate di volta in volta, se necessario, secondo una procedura specifica. Qualora le modifiche incidessero in modo significativo sulle BCR o sul livello di protezione offerto, CGI informerà senza indugio l’Autorità competente per la protezione dei dati e tutti i soggetti CGI elencati all’Appendice A. Per qualsiasi altra modifica delle BCR-C, CGI, almeno una volta all’anno, comunicherà con tutti i seguenti gruppi:

• Ciascun soggetto CGI partecipante elencato all’Appendice A;
• Membri di CGI;
• Soggetti per i quali CGI agisce in qualità di Titolare del trattamento dei dati; e
• Autorità competenti per la protezione dei dati, tramite l’Autorità competente per la protezione dei dati, con una breve spiegazione dei motivi che giustificano l’aggiornamento.

CGI terrà un elenco aggiornato dei soggetti vincolati dalle presenti BCR-C e l'Ufficio privacy monitorerà e registrerà qualsiasi aggiornamento delle regole, farà in modo che le informazioni siano comunicate tempestivamente alle parti interessate di cui sopra e fornirà le informazioni necessarie agli Interessati o alle Autorità di protezione dei Dati personali che ne facciano richiesta.

CGI si impegna a non trasferire Dati personali a un nuovo soggetto CGI non effettivamente vincolato dalle presenti BCR-C secondo la procedura definita alla Sezione 3.

Qualora un soggetto CGI non appartenente al SEE di cui all'Appendice A cessasse di far parte del gruppo di soggetti CGI vincolati dalle BCR-C in futuro, deve essere garantito che continuerà ad applicare i requisiti delle BCR-C al trattamento dei Dati personali che gli sono trasferiti tramite le BCR, a meno che, al momento dell'uscita dal gruppo, l'ex Membro cancelli o restituisca la totalità di tali dati ai soggetti ai quali si applicano ancora le BCR-C.

19 – Comunicazione

Per i Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-C deve essere inviata al seguente indirizzo e-mail: enterprisedataprivacy@cgi.com

Per gli Interessati che non sono Membri di CGI: qualsiasi domanda, richiesta o consulenza in relazione alle presenti BCR-C deve essere inviata al seguente indirizzo e-mail: privacy@cgi.com