In quanto organizzazione globale di servizi di consulenza IT e aziendale, CGI si impegna a mantenere livelli di protezione dei Dati personali allineati con le migliori pratiche del settore che, come minimo, soddisfino i requisiti della Legge applicabile in materia di protezione dei dati e gli obblighi contrattuali di CGI.
Nell'ambito di questo impegno, CGI richiede ai propri Membri e ai Terzi cui CGI faccia ricorso o che forniscano beni e/o servizi a CGI (compresi fornitori, subappaltatori e autonomi Terzi) di adottare misure adeguate per la tutela dei Dati personali nell'esercizio delle loro funzioni.
Mantenendo la trasparenza sui dati che utilizza, CGI ha progettato questa Informativa sulla privacy dei dati ("Politica") per informare gli utenti circa le modalità e le motivazioni della raccolta e del trattamento dei Dati personali, le pratiche relative alla privacy di CGI e i diritti degli utenti come Interessati in relazione al trattamento dei rispettivi Dati personali.
La presente Politica stabilisce lo standard generale che CGI ha implementato nel trattamento dei Dati personali. La presente Politica si applica quando CGI agisce in qualità di Titolare o di Responsabile del trattamento dei dati. Si applica al trattamento di tutti i Dati personali, indipendentemente dalla natura o dalla categoria dei Dati personali e indipendentemente dal supporto su cui tali Dati sono memorizzati.
Ulteriori dettagli per specifiche attività di trattamento sono disponibili nelle relative Informative sulla privacy.
CGI si impegna a trattare i Dati personali con lo stesso livello di protezione, indipendentemente dal fatto che tratti Dati personali per le proprie esigenze o per le esigenze dei propri clienti o di Terzi. L'attuazione della presente Politica sulla Privacy richiede a tutti i Membri dei soggetti CGI e a qualsiasi Terzo cui CGI faccia ricorso di partecipare pienamente alla sua applicazione, senza alcuna eccezione.
Scarica la Politica sulla privacy
Politica sulla privacy dei dati di CGI – Versione pubblica
- 1 - Definizioni
-
Ai fini della presente politica si applicano le seguenti definizioni:
“Legge applicabile in materia di protezione dei dati” indica (i) il Regolamento Europeo sulla Protezione dei Dati 2016/679 relativo al trattamento dei Dati personali, (ii) qualsiasi legge di implementazione del Regolamento UE sulla Protezione dei Dati e (iii) qualunque Legge locale applicabile relativa al trattamento dei Dati personali.
“Persone giuridiche di CGI” indica tutte le persone giuridiche controllate direttamente o indirettamente da CGI Inc. che gestiscono Dati personali, escludendo qualsiasi persona giuridica che rientri nell'ambito operativo di CGI Federal.
“Titolare del trattamento” indica qualsiasi soggetto (ossia persona fisica o giuridica, autorità pubblica, agenzia o altro organismo) che, da solo o congiuntamente ad altri Titolari del trattamento, determini le finalità e i mezzi per il trattamento dei Dati personali.
“Responsabile del trattamento” indica qualsiasi soggetto (ossia persona fisica o giuridica, autorità pubblica, agenzia o altro organismo) che agisca a nome e su istruzioni di un Titolare o altro Responsabile per il trattamento dei Dati personali.
“Interessato” indica una persona fisica identificata o identificabile i cui Dati personali siano trattati, per esempio, da un Membro di CGI o un consulente esterno in un contesto interno di CGI, ovvero dipendenti o utenti finali di clienti in un contesto commerciale.
“SEE” indica lo Spazio Economico Europeo, composto dagli Stati membri dell'Unione Europea (UE), oltre a Islanda, Liechtenstein e Norvegia, in appresso altresì denominati “Stati membri”.
"Dipendente", ai soli fini della presente Politica, si intende: un dipendente, un membro del personale, un lavoratore, un individuo consulente, un agente, un funzionario o un direttore e "impiego" deve essere interpretato di conseguenza. I dipendenti della CGI lo sono denominati “Membri” o “Membro”.
“Legge locale” indica regolamenti, statuti, ordinanze giudiziarie o norme obbligatorie locali.
“Dati personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, ove una persona fisica identificabile è quella che possa essere identificata, direttamente o indirettamente, in particolare facendo riferimento a elementi identificativi quali nome della persona fisica, numero di identificazione, dati di localizzazione, identificativo online ovvero uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica. I Dati personali includono i Dati personali sensibili.
“Trattamento” indica qualsiasi operazione o insieme di operazioni effettuate sui Dati personali, sia con mezzi automatizzati che non, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento, l’alterazione, il recupero, la consultazione (compreso l'accesso remoto), l’utilizzo, la divulgazione tramite trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di tali dati.
“Dati personali sensibili” indica delle categorie specifiche di Dati personali che rivelano l'origine razziale o etnica, l'opinione politica, le convinzioni religiose, filosofiche o l'appartenenza sindacale, nonché il trattamento di dati genetici o biometrici al fine di identificare in modo univoco una persona fisica, i dati sanitari e i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
- 2 - Portata
-
La presente politica stabilisce le regole generali che CGI ha implementato nel trattamento dei Dati personali ed è applicabile sia quando CGI agisce in qualità di Titolare del trattamento dei dati che quando lo fa in qualità di Responsabile. La presente politica riguarda il trattamento di tutti i Dati personali, indipendentemente dalla natura o dalla categoria degli stessi e indipendentemente dal supporto su cui tali Dati sono memorizzati. Ulteriori dettagli sulle specifiche attività di trattamento sono forniti nelle rispettive informative sulla privacy. Tali informazioni possono riguardare, tra le altre cose, diritti specifici degli Interessati, Dati personali condivisi, periodi di conservazione dei dati o base giuridica specifica. CGI si impegna a trattare i Dati personali con lo stesso livello di protezione, indipendentemente dal fatto che tratti Dati personali per le proprie esigenze o per le esigenze dei propri clienti o di Terzi. L'attuazione della presente Politica sulla Privacy richiede a tutti i Membri delle persone giuridiche di CGI e a qualsiasi Terzo cui CGI faccia ricorso di partecipare pienamente alla sua applicazione, senza alcuna eccezione.
- 3 - Categorie di Interessati
-
Nell'ambito delle sue operazioni, CGI raccoglierà e tratterà i Dati personali relativi a:
- Candidati all'occupazione;
- Dipendenti ed ex dipendenti;
- Clienti pubblici e privati e potenziali clienti;
- Azionisti;
- Fornitori di servizi, consulenti professionisti, fornitori, appaltatori e subappaltatori;
- Qualsiasi altro Terzo.
- 4 - Quali Dati personali utilizziamo
-
Ai sensi della Legge applicabile in materia di protezione dei dati, alcune o tutte le seguenti categorie di Dati personali possono essere trattate da CGI e da qualsiasi Terzo cui CGI faccia ricorso per la fornitura di beni e/o servizi a CGI:
- Informazioni relative a identità e contatti (per esempio nome, cognome, titolo, nome utente o identificativo);
- Informazioni sulla vita professionale/aziendale (per esempio indirizzo e-mail, datore di lavoro, ufficio, posizione, numeri di telefono, indirizzo di fatturazione o di consegna);
- Informazioni personali (per esempio data di nascita, Dati personali di contatto, biografie, affiliazioni, conflitti di interesse dichiarati, dati sanitari, informazioni sulla diversità);
- Dati economici e finanziari;
- Dati relativi a posizione, registrazione, traffico, monitoraggio e tracciamento e dati demografici.
4.1 Dati personali dei nostri Membri o ex dipendenti
Quando trattiamo i Dati personali relativi ai nostri Membri o ex dipendenti, in qualità di Titolari del trattamento dei dati, rispettiamo le leggi applicabili in materia di protezione dei dati (compresi, se necessario, eventuali requisiti per ottenere il consenso di un Interessato o dell'organo competente di rappresentanza dei dipendenti, per esempio il comitato aziendale). In aggiunta a questa Politica, i contratti di lavoro standard di CGI, le politiche applicabili e le comunicazioni dei membri possono specificare le finalità precise e dettagliate per le quali CGI potrà, di volta in volta, raccogliere e trattare i Dati Personali.
Le principali finalità del trattamento dei Dati personali (compresi i Dati personali sensibili) relativi ai Membri possono essere le seguenti:
Nomina, pensione, finanze e azioni: CGI può condividere i Dati personali pertinenti con amministratori di fondi pensione e azioni, fornitori di fondi, compagnie di assicurazione, autorità fiscali e altri fornitori di servizi simili in relazione agli obblighi lavorativi e ai benefit dei Membri. CGI tratterà inoltre i Dati personali al fine di identificare e pagare i Membri, nonché i Dati personali sensibili, se richiesto dalla Legge locale applicabile (per esempio origine razziale o etnica, convinzioni religiose o filosofiche o dati sanitari).
Amministrazione e gestione commerciale: CGI può utilizzare i Dati personali per gestire le sue attività commerciali, come il pagamento delle fatture, la comunicazione con i suoi partner commerciali e potenziali partner commerciali, l'organizzazione di riunioni, viaggi d'affari, la richiesta di visti, la gestione dei beni e l'adempimento e la gestione degli obblighi contrattuali dei partner commerciali (compresa la collocazione/assegnazione dei Membri ai clienti).
Amministrazione e gestione dei dipendenti: CGI può trattare Dati personali (inclusi, se del caso, e nel rispetto della presente politica e della Legge applicabile in materia di protezione dei dati, i Dati personali sensibili) relativi ai Membri e (se del caso) ai loro familiari e dipendenti, per finalità connesse al loro impiego in CGI. Ciò può includere l'assunzione, la gestione generale, la gestione delle prestazioni, lo sviluppo della carriera, il rispetto delle norme in materia di salute e sicurezza, la fornitura di un'assicurazione sanitaria, l'assicurazione sulla vita, il monitoraggio/il rispetto delle norme in caso di malattia, il controllo della diversità, le procedure disciplinari, i controlli di sicurezza (se e quando necessario), le domande di visto e altri requisiti in materia di immigrazione, le comunicazioni da e verso i Membri, gli elenchi dei contatti dei Membri, i controlli di accesso alle aree sensibili/sicure, l’amministrazione e la gestione del sistema IT, il pagamento delle imposte, il trattamento delle spese e dei benefit dei Membri. Di tanto in tanto, e nel rispetto dei requisiti locali, CGI può offrire ai propri Membri una serie di benefit e sconti che ha negoziato con altre aziende e può fornire i Dati personali pertinenti a organizzazioni di Terzi accuratamente selezionate per offrire e fornire tali benefit.
Sicurezza aziendale e controllo qualità: CGI fornisce ai suoi Membri computer, laptop e telefoni (cellulari) che consentono l'accesso a Internet, alla posta elettronica e ai social network, all'Intranet CGI e a varie applicazioni e strumenti software. Oltre a queste apparecchiature digitali, CGI può anche fornire auto e spazi di lavoro fisici (tutti di proprietà dell'azienda). CGI si aspetta che ogni Membro agisca in modo responsabile e lecito quando utilizza la proprietà dell'azienda e si attenga rigorosamente a tutti i codici di condotta applicabili in materia, come per esempio il Codice etico e di condotta aziendale, la Politica sulla sicurezza e l’uso accettabile e la Politica che disciplina l'uso di software di Terzi. Solo per motivi di sicurezza, CGI potrà sorvegliare i suoi impianti con telecamere. CGI può avere ragioni valide e legalmente giustificabili per monitorare l'uso di apparecchiature/dispositivi digitali e il traffico digitale attraverso le apparecchiature e i dispositivi utilizzati dai Membri, tenendo conto della necessità di monitoraggio e della privacy dei Membri. Le indagini incidentali saranno svolte solo per ragioni sostanziali in situazioni specifiche e CGI Global Security parteciperà sempre a tali indagini, tenendo conto dei processi di indagine e di notifica degli incidenti di sicurezza. Il monitoraggio e la registrazione della cronologia di utilizzo di Internet e della corrispondenza elettronica in tutta l'organizzazione CGI saranno attuati solo dopo un processo di consultazione collettiva con il Comitato Aziendale.
Finanze aziendali, fusioni e acquisizioni: di tanto in tanto CGI acquista, vende e/o trasferisce imprese del gruppo, attività commerciali, strumenti finanziari/accordi e contratti. In relazione a tali opportunità, operazioni e accordi, CGI può condividere i Dati personali pertinenti con potenziali acquirenti, venditori, consulenti professionali e autorità di regolamentazione (compresa la presentazione di rapporti normativi alle autorità governative competenti), nel rispetto degli obblighi di riservatezza e delle restrizioni di legge locali.
Requisiti normativi, professionali e di affiliazione: CGI può trattare i Dati personali dei Membri e trasferirli alle autorità di regolamentazione, alle autorità governative e alle organizzazioni professionali/commerciali/industriali pertinenti in relazione alle richieste di affiliazione e di rinnovo, ai requisiti normativi (compresi i requisiti di sicurezza, di informazione regolamentare/legale), alle norme professionali, ecc.
Salute, sicurezza, leggi e assicurazioni: CGI può trattare e trasferire Dati personali a Terzi appropriati (compresi i gestori delle strutture CGI, organizzatori di eventi, assicuratori, consulenti e partner commerciali) per soddisfare le esigenze di salute, sicurezza, legali, assicurative, di viaggio e di emergenza.
Rispetto dei requisiti di legge locali e delle pratiche concordate: CGI può trattare e trasferire Dati personali ad altri soggetti all'interno del Gruppo CGI e/o a Terzi appropriati, a condizione che le leggi locali lo richiedano o lo consentano o che le pratiche locali siano state concordate con i Membri, i rappresentanti dei dipendenti, i Titolari della protezione dei dati e/o le autorità/gli organismi di regolamentazione della protezione dei dati.
4.2 Dati personali dei nostri clienti
Quando trattiamo i Dati personali a nome dei nostri clienti per fornire un servizio o eseguire un progetto, agiremo in qualità di Responsabili del trattamento seguendo le rispettive istruzioni dei clienti, debitamente documentate, e per gli scopi definiti, come per esempio:
Gestione di progetti e servizi per clienti in settori quali banche, servizi pubblici, manifattura o fabbricazione, assicurazioni, amministrazione pubblica, commercio al dettaglio, servizi e consumo, scienze della salute e della vita, trasporti e logistica, petrolio e gas o comunicazioni e mezzi di comunicazione, compresa l'introduzione, la correzione e il consolidamento di Dati personali, l'archiviazione, la tenuta di registri e copie di sicurezza, la gestione e l'analisi dei dati, la gestione di consulenze individuali, la gestione di applicazioni e infrastrutture, lo sviluppo e le prove, la corrispondenza, la gestione di sistemi informatici delegati/consolidati/esternalizzati, l'hosting e la gestione, compreso il controllo dell'accesso e dell'audit, la gestione di beni, il trattamento delle spese, il marketing e l'analisi di ricerca.
Quando agiamo in qualità di Titolari del trattamento dei dati, trattiamo i Dati personali per:
La gestione di amministrazione, consegna e chiusura di progetti e servizi dei clienti, comprese le operazioni di contrattazione, la formazione, la gestione di fornitori e subappaltatori, la fatturazione, i rapporti e le attività di audit;
I comunicati stampa o le informazioni di marketing, come parte della nostra comunicazione aziendale e la creazione e la manutenzione delle relative mailing list, richiedono il trattamento dei seguenti Dati personali: nome, indirizzo e-mail, indirizzo e potenzialmente ulteriori informazioni come numeri di telefono. Questo trattamento si basa sull'Art. 6 comma 1 lettera a) e f) del GDPR, vale a dire il consenso o l'interesse legittimo di CGI per una comunicazione aziendale efficace e adeguata. I Dati personali saranno conservati per il tempo necessario ai fini della comunicazione aziendale o cancellati prima nel caso in cui siamo stati informati dell’assenza di interesse alla ricezione di informazioni da parte di CGI.
4.3 Dati personali relativi ad altri Interessati
CGI può anche trattare Dati personali relativi ad altri Interessati (per esempio richiedenti, visitatori del sito web, contatti di marketing/business, potenziali candidati, visitatori degli uffici CGI) per le finalità di seguito descritte:
- Pianificazione e amministrazione
- Risorse umane e assunzioni
- Finanze
- Informatica/Sicurezza
- Comunicazione/Marketing,
- Ingegneria aziendale e operazioni
- Legale
CGI agirà normalmente in qualità di Titolare del trattamento relativamente a tali operazioni di trattamento e qualsiasi Terzo cui CGI faccia ricorso o fornitore di beni e/o servizi a CGI agirà normalmente in qualità di Responsabile.
- 5 - Motivi dell’utilizzo dei Dati personali
-
CGI tratterà i Dati personali solo quando strettamente necessario e applicherà i seguenti principi, a seconda che CGI agisca in qualità di Titolare o di Responsabile.
5.1 Principi quando CGI agisce in qualità di Titolare del trattamento
Trasparenza, equità e legalità: CGI tratterà i Dati personali in modo lecito, equo e trasparente in relazione all’Interessato, in conformità ai requisiti della presente Politica, mediante l'utilizzo di informative sulla privacy che stabiliscano chiaramente le informazioni necessarie per il rispetto della Legge applicabile in materia di protezione dei dati.
Definizione di una finalità: qualsiasi trattamento di Dati personali da parte di CGI, in particolare la loro raccolta, è preceduto dall'identificazione della finalità specifica di tale trattamento. Tale finalità deve essere esplicita e legittima. I Dati personali non possono essere trattati in modo incompatibile con tale finalità.
Minimizzazione dei dati: una volta stabilita la finalità del trattamento dei Dati personali, CGI raccoglierà i Dati personali solo nella misura necessaria a tale scopo. Ogni occorrenza del trattamento dei dati dovrà essere rivista come parte delle prime fasi di progettazione della soluzione e inclusa nel processo di revisione e approvazione della Privacy e della sicurezza dei dati, a seconda del caso, al fine di garantire che i Dati personali siano adeguati, pertinenti e limitati a quanto necessario in relazione allo scopo per cui sono trattati.
Qualità dei Dati personali: durante il ciclo di vita di qualsiasi trattamento dei Dati personali, CGI garantirà che i Dati personali raccolti siano accurati e aggiornati. Si adotteranno tutte le misure ragionevoli per garantire che i Dati personali inesatti siano cancellati o rettificati senza indugio, compresa, tra l'altro, la possibilità di autocorrezione da parte degli Interessati. In particolare, CGI fornirà agli Interessati i mezzi adeguati per informare CGI in caso di modifiche dei loro Dati personali.
Limitazione della conservazione dei dati: CGI si assicurerà di non conservare i Dati personali per un periodo di tempo superiore a quello strettamente necessario per raggiungere lo scopo per cui sono raccolti. CGI pertanto definirà, prima del trattamento, un periodo di conservazione adeguato. A tal fine, CGI prenderà in considerazione il tempo durante il quale i Dati personali sono necessari per raggiungere la finalità del trattamento, tenendo conto dei seguenti fattori:
- Periodo dopo il quale il mantenimento di tali Dati personali può avere un impatto sul diritto all'oblio dell'Interessato; e
- Qualsiasi obbligo di legge che imponga un periodo minimo di conservazione dei dati, come definito nella Politica di conservazione dei registri di CGI e nel Programma di conservazione dei registri, a seconda del caso.
Definizione di una base giuridica: oltre ai principi di cui sopra, qualsiasi trattamento potrà essere effettuato solo se si trova in una delle circostanze indicate di seguito o nella presente informativa sulla privacy:
- Sia necessario per adempiere a un obbligo di legge applicabile a CGI (per esempio, comunicare i dati alle autorità fiscali) (Art.6. comma 1 lettera c) del GDPR); o
- Sia necessario per l'esecuzione di un contratto (per esempio un accordo di servizio con un cliente o accordi di comitato aziendale) (art. 6, comma 1, lettera b) e art. 88, comma 2). 88 comma 1 del GDPR); o
- Sia necessario per il legittimo interesse di CGI, fermo restando che tale legittimo interesse di CGI deve essere valutato rispetto agli interessi degli Interessati (Art. 6 comma 1 lettera f) del GDPR):
- Il trattamento è necessario per raggiungere l'interesse perseguito da CGI senza pregiudicare l'interesse e/o la privacy dell'Interessato;
- L'interesse di CGI non è annullato dai diritti o dagli interessi fondamentali degli Interessati; e
- L'interesse di CGI sarà determinato alla luce dell'attività principale di CGI, ma rispetterà tutte le leggi applicabili in materia di protezione dei dati in modo trasparente;
- Sia necessario per l'interesse vitale dell’Interessato (Art. 6 comma 1 lettera d) del GDPR), oppure
- Sia necessario per svolgere un compito nell'interesse pubblico (Art. 6 comma 1 lettera e) del GDPR).
Se non si applica nessuna delle basi giuridiche di cui sopra, CGI cercherà e conserverà il previo consenso degli Interessati (Art. 6 comma 1 lettera a) del GDPR) prima di trattare i relativi Dati personali, fermo restando che il consenso dell’Interessato è valido quando (i) è dato liberamente mediante un atto affermativo chiaro; e (ii) rappresenta un’indicazione specifica, informata e inequivocabile del consenso dell’Interessato al trattamento dei suoi Dati personali.
Misure tecniche e organizzative: CGI adotterà le opportune misure tecniche e organizzative per impedire l'accesso e/o il trattamento illegittimo dei Dati personali, compresa la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l'accesso non autorizzati ai Dati personali trasmessi, archiviati o altrimenti trattati. In particolare, CGI concederà ai Membri l'accesso ai Dati personali solo se necessario per svolgere i compiti assegnati in base allo scopo per il quale tali Dati personali sono trattati. Qualora CGI si avvalesse di un Terzo per effettuare il trattamento a suo nome, garantirà che tale Terzo adotti misure equivalenti mediante accordi contrattuali. In caso di accesso e/o trattamento illecito, CGI rispetterà la Politica di sicurezza delle informazioni e le relative procedure.
Valutazione dell'impatto della protezione dei dati (DPIA): CGI sarà responsabile del controllo della conformità del trattamento dei dati alla Legge applicabile in materia di protezione dei dati. Qualora un tipo di trattamento, in particolare quello che utilizza nuove tecnologie, e tenendo conto della natura, della portata, del contesto e della finalità del trattamento, potesse comportare un rischio elevato per la protezione dei dati, CGI applicherà una procedura di valutazione d'impatto sulla protezione dei dati che consente di:
- Identificare quale trattamento presenta rischi specifici per la protezione dei Dati personali;
- Valutare il livello di conformità dei principi di trattamento alla Legge applicabile in materia di protezione dei dati;
- Valutare il livello di gravità o di probabilità di rischio associato al trattamento;
- Determinare le misure correttive da applicare per garantire che il trattamento dei Dati personali avvenga con rischi mitigati e in conformità alla Legge applicabile in materia di protezione dei dati. Se, dopo la mitigazione, i rischi per gli Interessati rimarranno significativi e quando richiesto dalla Legge applicabile in materia di protezione dei dati, l’Autorità competente in materia di protezione dei dati sarà consultata prima dell’inizio del trattamento previsto.
Per adempiere al nostro obbligo di rendicontazione ai sensi dell'art. 5 comma 2 del GDPR, i documenti di valutazione dell'impatto sulla privacy dei dati saranno conservati almeno per la durata del trattamento dei dati a cui si riferiscono.
5.2 Principi quando CGI agisce in qualità di Responsabile del trattamento dei dati
CGI si assicurerà di trattare i Dati personali solo in conformità alle istruzioni documentate del Titolare del trattamento.
In particolare, tale trattamento verrà effettuato:
- Per le finalità esplicite definite dal Titolare del trattamento;
- Alle condizioni concordate tra CGI e il Titolare del trattamento;
- Per un tempo non superiore a quello espressamente prescritto dal Titolare del trattamento; e
- In conformità alle istruzioni scritte e comunicate dal Titolare del trattamento, come stabilito nel contratto di incarico per il trattamento dei Dati personali sottoscritto tra CGI e il Titolare del trattamento.
Il Titolare è l'unico responsabile di assicurare una valida base giuridica per il Trattamento eseguito da CGI e che esso sia conforme alla Legge applicabile in materia di protezione dei dati, incluso il periodo di conservazione definito. Tuttavia, CGI informerà senza indugio il Titolare del Trattamento se, a suo parere, un'istruzione di quest'ultimo violasse la Legge applicabile in materia di protezione dei dati.
Se non diversamente indicato dal Titolare del trattamento, CGI applicherà (come minimo) la stessa linea di base di sicurezza che applica quando agisce in qualità di Titolare del trattamento.
CGI fornirà un'assistenza ragionevole al Titolare per supportarlo nell'adempimento dei suoi obblighi ai sensi della Legge applicabile in materia di protezione dei dati. L'assistenza che CGI fornirà al Titolare ai fini della conformità ai sensi della presente sezione sarà soggetta alle condizioni finanziarie, tecniche e organizzative concordate tra CGI e il Titolare nell'accordo pertinente. Al termine del relativo contratto d'incarico per il trattamento dei dati, CGI e i Terzi cui essa faccia ricorso distruggeranno o restituiranno tutti i Dati personali al cliente, in conformità alle istruzioni e alla Legge applicabile in materia di protezione dei dati. In caso di distruzione, CGI certificherà al Titolare che tale eliminazione è avvenuta. In caso di reso, CGI garantirà la riservatezza dei Dati personali trasferiti al Titolare del trattamento attenendosi alle istruzioni del cliente.
A scanso di equivoci, nulla della presente Politica limita il diritto di CGI di conservare i Dati personali per le controversie esistenti o per presentare o difendere reclami futuri, in conformità allo statuto di prescrizione applicabile a CGI.
5.3 Principi quando CGI tratta i Dati personali sensibili
CGI, quando agisce in qualità di Titolare del trattamento dei dati, tratterà i Dati personali sensibili solo se strettamente necessario.
In tal caso, CGI garantirà che sia rispettata almeno una delle seguenti condizioni:
- L'Interessato ha dato il suo previo consenso (art. 9, comma 2, lettera a) del GDPR);
- Il trattamento è necessario per adempiere agli obblighi ed esercitare i diritti specifici del Titolare o dell’Interessato nell’ambito dell’occupazione, della sicurezza sociale e della legge sulla protezione sociale (art. 9 comma 2 lettera b) del GDPR);
- Se l'Interessato non è in grado di dare il proprio consenso (per esempio per motivi medici), il trattamento è necessario per proteggere gli interessi vitali dell'Interessato o di un'altra persona (art. 9 comma 2 lettera c) del GDPR);
- Il trattamento è necessario nel contesto della medicina preventiva o della diagnosi medica da parte di un operatore sanitario secondo la legislazione (art. 9 comma 2 lettera h) del GDPR)
- L'Interessato ha già reso noti i Dati personali sensibili, che sono di pubblico dominio (art. 9 comma 2 lettera e) del GDPR);
- Il trattamento è essenziale per l'istituzione, l'esercizio o la difesa di ricorsi legali, a condizione che non vi sia motivo di ritenere che l'Interessato abbia un interesse legittimo superiore a non trattare tali Dati personali sensibili (art. 9, comma 2, lettera f) del GDPR); o
- Il trattamento è esplicitamente consentito dalla Legge locale (art. 9, comma 4 del GDPR in relazione alla Legge locale corrispondente) (per esempio registrazione/protezione di gruppi minoritari).
Quando CGI, in qualità di Responsabile del trattamento dei dati, è tenuta a trattare Dati personali sensibili, seguirà le istruzioni scritte del Titolare e applicherà le misure concordate tra le parti, che saranno almeno equivalenti alla linea base di sicurezza di CGI.
Il Titolare del trattamento dovrà garantire una valida base giuridica per il trattamento effettuato da CGI.
In ogni caso, CGI tratterà i Dati personali sensibili conformemente alla Legge applicabile in materia di protezione dei dati e rispetterà le specifiche condizioni di hosting e trattamento obbligatorie.
5.4 Privacy per design e di default
Come dimostrano gli impegni assunti nell'ambito della presente Politica, CGI si impegna a fornire un livello adeguato di protezione dei Dati personali trattati. Al fine di garantire che i principi definiti nella presente Politica siano effettivamente presi in considerazione quando CGI tratta i Dati personali, CGI identificherà e tratterà eventuali restrizioni alla protezione dei dati all'inizio di un nuovo progetto, in modo che i principi qui contenuti siano presi in conto nella progettazione e siano correttamente applicati.
Quando CGI agisce in qualità di Responsabile del trattamento dei dati, l'Ufficio privacy dovrà rivedere e approvare gli aspetti relativi alla privacy della proposta e/o dei servizi sviluppati per un cliente. Quando CGI agisce in qualità di Titolare dei dati, l'Ufficio privacy dovrà fornire l'approvazione di qualsiasi nuovo progetto interno di CGI prima dell'inizio del suo sviluppo e successiva attuazione.
- 6 - Gestione di incidenti e violazioni dei dati
-
6.1 Gestione degli incidenti
CGI dispone di un processo di risposta e di gestione degli incidenti di sicurezza maturo e basato su standard, progettato per gestire tutte le fasi di un incidente di sicurezza. Le responsabilità dei Membri sono chiaramente definite a tutti i livelli. Per garantire adeguati livelli di impegno e una tempestiva risoluzione degli incidenti si applicano le norme di valutazione e di definizione delle priorità. I registri degli incidenti sono conservati e comunicati all'alta direzione se necessario. Gli incidenti ad alta priorità sono gestiti dal Centro Operativo di Sicurezza Globale (GSOC) di CGI 24 ore su 24, 7 giorni su 7; professionisti altamente qualificati e a tempo pieno coordinano gli sforzi di risposta. Il team CGI per la privacy dei dati è immediatamente coinvolto nel processo di gestione degli incidenti quando si sospetta che siano coinvolti dei Dati personali.
6.2 Notifica di violazione dei Dati personali
Sia che agisca in qualità di Titolare o di Responsabile del trattamento, se CGI ritiene ragionevolmente che si sia verificata o sia probabile che si verifichi una violazione della sicurezza che porti alla distruzione accidentale o illecita, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati personali trasmessi, memorizzati o altrimenti trattati, CGI fornirà una notifica degli incidenti di sicurezza e gli aggiornamenti dello stato all'Autorità per la protezione dei dati competente, agli Interessati e/o al Titolare del trattamento, conformemente alle disposizioni della vigente Legge applicabile in materia di protezione dei dati o di qualsiasi altra Legge locale applicabile.
Allo stesso modo, a fini di chiarezza, nel caso in cui sia accertata una violazione dei Dati personali da parte di un Terzo cui CGI faccia ricorso, quest'ultimo dovrà informare CGI come concordato nel relativo contratto. Tutti gli altri Terzi possono rivolgersi all’indirizzo privacy@cgi.com per segnalare una possibile o presunta violazione.
- 7 - Soggetti con cui condividiamo i Dati personali
-
Nell'ambito delle operazioni di CGI, possiamo raccogliere i Dati personali e condividerli con:
- Filiali del Gruppo CGI quando si beneficia della nostra gamma completa di soluzioni e servizi come parte del nostro modello di consegna globale;
- Terzi collaboratori o fornitori di beni o servizi a CGI (per esempio fornitori, subappaltatori e lavoratori autonomi);
- Alcuni professionisti regolamentati (per esempio banche, avvocati, notai e revisori).
CGI condividerà i Dati personali se la divulgazione è ragionevolmente necessaria per proteggere i diritti di CGI ed esercitare le risorse disponibili, far rispettare i termini e le condizioni di CGI, indagare sulle frodi o proteggere le operazioni o gli utenti di CGI.
CGI può anche divulgare i Dati personali ad autorità amministrative, giudiziarie o governative, agenzie statali o enti pubblici, rigorosamente in conformità alla Legge applicabile in materia di protezione dei dati e alla Legge locale applicabile e, dopo aver attentamente analizzato la legalità di qualsiasi ordine di divulgazione dei dati. CGI contesterà l'ingiunzione se vi sono motivi per farlo in base alla legislazione del paese di destinazione e informerà gli utenti di un eventuale ordine in conformità alla Legge locale.
- 8 - Trasferimento dei Dati personali
-
Il Trasferimento dei Dati personali dell'UE riguarda i Dati personali dei residenti in UE o degli Interessati situati nell'UE che sono trattati (per esempio sono accessibili, inviati, utilizzati, visualizzati, copiati o cancellati) in un paese terzo al di fuori del SEE.
8.1 All’interno di CGI
CGI, agendo in qualità di Titolare del trattamento o in qualità di Responsabile, trasferirà i Dati personali dell'UE in conformità alla Legge applicabile in materia di protezione dei dati e in conformità alle Norme aziendali vincolanti ("BCR") di CGI, approvate ai sensi del GDPR dall'Autorità di vigilanza francese il 22 luglio 2021. Ciò significa che i diritti in qualità di Interessati rimangono gli stessi, indipendentemente dal luogo in cui vengono trattati i Dati personali.
Per informazioni sulle BCR di CGI, consultare il sito <Inserire sito web locale sulle BCR> o il Registro del Consiglio europeo per la protezione dei dati.
Quando CGI agisce in qualità di Responsabile del trattamento dei dati, è richiesto il consenso preventivo, specifico o generale, in relazione al rispettivo meccanismo di Trasferimento (art. 44 e successivi del GDPR) fornito per iscritto dal Titolare del trattamento dei dati prima dell'avvio del Trasferimento.
I Trasferimenti di Dati personali al di fuori dell'UE saranno effettuati in conformità alla Legge applicabile in materia di protezione dei dati.
8.2 A Terzi
Qualora CGI si avvalga di Terzi per il trattamento dei Dati personali, CGI garantirà che tali Terzi forniscano un livello di protezione adeguato ai Dati personali da essi trattati in conformità alla Legge applicabile in materia di protezione dei dati. Regolarmente, CGI effettua valutazioni di due diligence e dei rischi per la privacy e la sicurezza di Terzi con tutti i Terzi cui CGI faccia ricorso, per stabilire le proprie capacità aziendali e la loro maturità in materia di sicurezza e protezione dei dati, prima di firmare un accordo di trattamento dei dati ai sensi dell'art. 28 comma 3 del GDPR o dell’art. 26 del GDPR, se necessario. Ogniqualvolta tale Trasferimento coinvolga paesi al di fuori dell'UE o del SEE, saranno conclusi accordi relativi al rispettivo meccanismo di Trasferimento (art. 44 e successivi del GDPR).
- 9 - I diritti e come esercitarli
-
Gli Interessati hanno diversi diritti ai sensi della Legge applicabile in materia di protezione dei dati e possono richiedere l'accesso ai Dati personali detenuti da CGI e/o informazioni su come CGI tratta i Dati personali. In caso di domande sul trattamento dei Dati personali, è possibile inviare una richiesta formale all’indirizzo wse.privacy.fr@cgi.com.
Quando agisce in qualità di Responsabile del trattamento dei dati, se richiesto, CGI fornirà ai propri clienti le informazioni pertinenti che consentano loro di adempiere ai propri obblighi verso gli Interessati. Se non diversamente indicato in qualsiasi accordo contrattuale, CGI non sarà tenuta a informare direttamente gli Interessati, in quanto ciò rimane di competenza del Titolare del trattamento.
Ai sensi della Legge applicabile in materia di protezione dei dati, quando CGI agisce in qualità di Titolare del trattamento, l'utente ha generalmente i seguenti diritti:
- accesso e conservazione di una copia dei propri Dati personali;
- rettifica o eliminazione di qualsiasi Dato personale inesatto o incompleto;
- opposizione per motivi legittimi al trattamento dei propri Dati personali in qualsiasi momento, a meno che tale trattamento sia richiesto dalla Legge applicabile in materia di protezione dei dati o da qualsiasi Legge locale;
- limitazione del trattamento dei propri Dati personali non più necessari o richiesti;
- ricezione dei propri Dati personali in un formato strutturato, di uso comune e leggibile con mezzi automatici;
- Revoca del consenso al trattamento dei propri Dati personali;
- Per presentare un reclamo presso un'autorità di vigilanza competente: per CGI Italia S.R.L. la principale autorità di vigilanza competente è la Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 - Roma - Italia (www.garanteprivacy.it).
CGI non sottoporrà i Dati personali alla profilazione ai sensi dell'art. 22 del GDPR.
CGI agirà in conformità alla Legge applicabile in materia di protezione dei dati e ad altri obblighi di legge e contrattuali pertinenti nella ricerca e nella fornitura di Dati personali pertinenti. CGI richiederà ai propri Responsabili del trattamento di dati di fare lo stesso. CGI potrebbe dover porre ulteriori domande sui Dati personali o essere tenuta a verificare l’identità degli utenti.
Al termine dei contratti di lavoro per qualsiasi motivo, CGI conserverà i Dati personali degli ex dipendenti per il periodo consentito in base alle leggi e ai regolamenti applicabili e necessario per la fornitura di prestazioni e servizi adeguati in corso (per esempio piani azionari dei Membri e amministrazione delle pensioni).
- 10 Conformità alla politica
-
10.1 Conformità dei Membri
I Membri riconoscono i requisiti e confermano annualmente l'accettazione della presente Politica. Oltre alla presente Politica, i Membri devono anche rispettare altri obblighi di riservatezza e privacy applicabili, compresi quelli stabiliti in qualsiasi Legge applicabile in materia di protezione dei dati, i rispettivi accordi di lavoro e le politiche, i processi e le norme di CGI o le istruzioni del cliente.
I Membri devono seguire tutti i programmi obbligatori di formazione e sensibilizzazione alla privacy di CGI. Questi includono, tra gli altri temi, la formazione obbligatoria in materia di privacy dei dati, sicurezza delle informazioni, lotta alla corruzione e gestione dei registri attraverso il web, campagne di comunicazione e formazioni specifiche adattate alle diverse funzioni all'interno dell'organizzazione.
Questi corsi di formazione e programmi di sensibilizzazione sono regolarmente aggiornati per rispecchiare le modifiche della Legge applicabile in materia di protezione dei dati.
10.2 Conformità da parte di Terzi cui CGI faccia ricorso
Se un Terzo tratta i Dati personali a nome di CGI, tale Terzo dovrà:
- Garantire che il personale che accede alle informazioni riservate di CGI e che tratta i Dati personali a nome di CGI partecipi a tutte le formazioni obbligatorie di conformità di CGI (compresi i corsi elettronici di sensibilizzazione alla sicurezza e alla privacy dei dati) nei 30 giorni successivi alla data di entrata in vigore dell'accordo firmato tra CGI e il Terzo;
- Rispettare la presente Politica e le politiche e norme di sicurezza CGI, oltre a qualsiasi altro controllo di sicurezza incluso negli accordi contrattuali tra CGI e i suoi clienti e/o partner.
- Trattare i Dati personali secondo le istruzioni documentate di CGI e per nessun altro scopo diverso da quello espressamente definito in forma scritta da CGI, a meno che sia obbligato a farlo in virtù di qualsiasi obbligo di legge. In tal caso, il Terzo dovrà informare immediatamente CGI di tale obbligo di legge prima di procedere a tale trattamento.
- Attuare e mantenere adeguate misure tecniche, organizzative e contrattuali per garantire un adeguato livello di protezione dei Dati personali ed evitare qualsiasi trattamento non autorizzato o illecito dei Dati personali e qualsiasi perdita, distruzione o danno accidentale ai Dati personali. Tali misure dovranno (i) tenere conto degli standard più elevati e dei rischi derivanti dalle attività di trattamento, (ii) essere concepite per applicare efficacemente i principi di protezione dei dati e fornire alle attività di trattamento le garanzie necessarie per soddisfare i requisiti della Legge applicabile in materia di protezione dei dati.
- Notificare, nei limiti consentiti dalla legge, a CGI qualsiasi richiesta di divulgazione dei Dati personali di CGI ricevuta da Terzi, autorità pubbliche o tribunali, nonché qualsiasi azione e/o misura relativa al trattamento dei Dati personali di CGI oggetto di indagine da parte delle autorità;
- Rispettare ogni richiesta di CGI di accesso, rettifica, blocco, ripristino, eliminazione e opposizione relativa ai Dati personali di CGI e garantire la portabilità e il diritto all’oblio rispetto ai Dati personali di CGI;
- Notificare immediatamente a CGI qualsiasi cambiamento che possa influire sul trattamento dei Dati personali di CGI;
- Collaborare attivamente con CGI per valutare e documentare il rispetto delle condizioni del trattamento dei Dati personali da parte di CGI, compresa la fornitura di qualsiasi informazione che CGI possa necessitare o richiedere per rispettare la Legge applicabile in materia di protezione dei dati (comprese le informazioni richieste per la Valutazione dell'impatto di un trasferimento (TIA));
- Informare immediatamente CGI per iscritto se, a suo parere, qualsiasi istruzione di CGI relativa al trattamento dei Dati personali di CGI costituisse una violazione della Legge applicabile in materia di protezione dei dati.
- 11 - Registrazione delle attività di trattamento
- CGI mantiene un Registro delle attività di trattamento svolte in qualità di Titolare o di Responsabile. CGI garantirà che ogni nuovo trattamento dei Dati personali venga registrato in tale inventario con informazioni rilevanti sul contesto di ogni attività di trattamento dei Dati personali. CGI mette a disposizione dell’Autorità di controllo, su richiesta, il relativo registro delle attività di trattamento.
- 12 Modifiche alla politica
- La presente Politica potrà essere modificata occasionalmente al fine di rispettare la Legge applicabile in materia di protezione dei dati e la Legge locale applicabile. CGI farà in modo che gli Interessati siano informati tempestivamente di eventuali modifiche sostanziali alla Politica, attraverso un "aggiornamento" sul sito CGI (www.CGI.com), via e-mail o altro metodo di comunicazione appropriato. Se è necessario un aggiornamento della situazione, è possibile presentare una richiesta inviando un’e-mail all’indirizzo privacy@cgi.com.
- 13 Organizzazione per la Protezione dei dati - Domande
-
CGI ha nominato un Direttore della privacy che supervisiona la strategia globale di protezione dei dati di CGI, le politiche e le procedure di protezione dei dati in tutta l'azienda e il rispetto delle norme sulla protezione dei dati, nonché una rete di Partner per la privacy. Inoltre, CGI ha anche designato i Titolari della protezione dei dati, laddove richiesto dalla Legge applicabile in materia di protezione dei dati.
In caso di domande o dubbi relativi all'interpretazione o al funzionamento della presente Politica, inviare un'e-mail all’indirizzo wse.privacy.fr@cgi.com.