Versione 2
Il presente Protocollo per il trattamento dei dati (“Protocollo”) è parte integrante di qualsiasi accordo in essere tra Willis Towers Watson e il Cliente che ad esso faccia espressamente riferimento (l’“Accordo”).
Laddove il presente Protocollo utilizzi termini definiti nel Regolamento generale sulla protezione dei dati dell’UE (Regolamento (UE) 2016/679) o nel Regolamento generale sulla protezione dei dati del Regno Unito, come recepito nella legge nazionale mediante l’applicazione della sezione 3 dell’European Union (Withdrawal) Act 2018, ed entrambi come di volta in volta modificati (ciascuno, il “Regolamento”), le definizioni stabilite nel rispettivo Regolamento si applicheranno come appropriato. “Leggi sulla Protezione dei Dati” indica tutte le leggi e i regolamenti pertinenti relativi alla sicurezza, riservatezza, protezione o privacy dei Dati Personali, come modificati o riemanati di volta in volta, incluso, (nella misura applicabile), il Regolamento per quanto applicabile ai servizi forniti ai sensi dell’Accordo. In caso di incongruenze tra i termini del presente Protocollo e i termini della restante parte dell’Accordo, prevarranno i termini del presente Protocollo.
Il Cliente, (“Titolare del Trattamento dei Dati”), dichiara e garantisce che i Dati Personali raccolti sono stati raccolti in conformità alle Leggi Applicabili in materia di Protezione dei Dati e di avere la piena autorità, ai sensi delle Leggi Applicabili in materia di Protezione dei Dati, di fornire tali Dati Personali a Willis Towers Watson (“Responsabile del trattamento dei dati”) ai fini dell’Accordo e della fornitura dei servizi, anche come stabilito nella descrizione del trattamento di cui all’Allegato 1 (la “Descrizione del Trattamento”). Il Cliente rispetterà i propri obblighi in qualità di Titolare del Trattamento dei Dati, in conformità alla Legge Applicabile.
Trattamento dei dati personali
Per quanto riguarda i Dati Personali trattati dal Responsabile del Trattamento per conto del Titolare del Trattamento dei Dati:
1.1. Conformità alle Leggi.
Entrambe le parti rispetteranno le Leggi in materia di Protezione dei Dati e non faranno sì, consapevolmente, che l’altra parte violi tali Leggi in materia di Protezione dei Dati.
1.2. Limitazioni d’uso.
Il Responsabile del Trattamento tratterà i Dati Personali solo per le finalità descritte nell’Accordo, inclusa la clausola 1.5 di seguito, e nella Descrizione del Trattamento e solo come ulteriormente concordato di volta in volta per iscritto tra il Titolare del Trattamento e il Responsabile del Trattamento, salvo diversamente richiesto dalle leggi applicabili, nel qual caso il Responsabile del Trattamento informerà il Titolare del Trattamento, a meno che tale legge non vieti al Responsabile del Trattamento di farlo per importanti motivi di interesse pubblico. Il Responsabile del Trattamento informerà il Titolare del Trattamento qualora ritenga che un’istruzione impartita dal Titolare del Trattamento violi le Leggi in materia di Protezione dei Dati.
1.3. Riservatezza.
Il Responsabile del Trattamento dei Dati:
i. manterrà riservati i Dati Personali e imporrà al proprio personale, o a qualsiasi altra persona che agisca sotto la propria autorità e che Tratti i Dati Personali, il rispetto degli obblighi di riservatezza, in base a un accordo scritto o a un obbligo di riservatezza previsto dalla legge o in altro modo, e proteggerà tutti i Dati Personali in conformità ai requisiti del presente Protocollo e delle Leggi in materia di Protezione dei Dati; e
ii. divulgherà i Dati Personali solo al proprio personale o a qualsiasi altra persona che agisca sotto la sua autorità e che Tratti i Dati Personali, e il cui utilizzo sia necessario per lo svolgimento delle rispettive funzioni.
1.4. Assistenza.
Il Responsabile del Trattamento dei Dati:
i. tenendo conto della natura del Trattamento e nella misura possibile, metterà in atto misure tecniche e organizzative volte a fornire assistenza al Titolare del Trattamento nell’adempimento del suo obbligo di rispondere a:
a. qualsiasi richiesta da parte degli Interessati di esercitare i propri diritti ai sensi di qualsiasi Legge in materia di Protezione dei Dati; e
b. qualsiasi richiesta o comunicazione con un’autorità di controllo in relazione ai Dati Personali;
ii. tenendo conto della natura del trattamento e delle informazioni accessibili al Responsabile del Trattamento, assisterà il Titolare del Trattamento nell’adempimento degli obblighi in capo a quest’ultimo di predisporre misure di sicurezza tecniche e organizzative appropriate, notificare eventuali Violazioni dei Dati Personali alle autorità di controllo e agli Interessati, condurre valutazioni di impatto sulla protezione dei dati, nonché confrontarsi con le autorità di controllo in relazione alle valutazioni stesse, ove necessario003B
iii. al fine di verificare la conformità del Responsabile del Trattamento ai propri obblighi ai sensi del presente Protocollo, il Responsabile del Trattamento fornirà al Titolare del Trattamento, con ragionevole preavviso (di almeno 30 giorni): (a) accesso ai locali di trattamento delle informazioni e ai registri pertinenti ai servizi in questione; (b) ragionevole assistenza e cooperazione da parte del personale pertinente; e (c) strutture ragionevoli presso i locali del Responsabile del Trattamento. Inoltre, previa notifica al Responsabile del Trattamento, il Responsabile del Trattamento dei dati fornirà assistenza e supporto ragionevoli al Titolare del Trattamento in caso di indagini da parte di qualsiasi autorità di regolamentazione, inclusa un’autorità di regolamentazione della protezione dei dati o altra autorità analoga, se e nella misura in cui tali indagini riguardino i Dati Personali del Titolare del Trattamento trattati dal Responsabile del Trattamento. Eventuali verifiche saranno a carico esclusivo del Titolare del Trattamento, compreso il tempo dedicato dal personale del Responsabile del Trattamento, e non saranno eseguite con una frequenza superiore a una volta ogni 12 mesi per Titolare del Trattamento per tutti i servizi forniti dal Responsabile del Trattamento, a meno che tali verifiche non siano associate a una violazione confermata che abbia un impatto sui Dati Personali del Titolare del Trattamento, tale da costituire un’eccezione alla limitazione annuale, a condizione che: (i) tale verifica avvenga in un momento reciprocamente concordato e la sua durata sia limitata a un periodo ragionevole; (ii) tale verifica non interferisca in modo irragionevole con le operazioni del Responsabile del Trattamento; (iii) qualsiasi terza parte che esegua tale verifica per conto del Titolare del Trattamento debba sottoscrivere un accordo di non divulgazione con il Responsabile del Trattamento in una forma ragionevolmente accettabile per il Responsabile del Trattamento in merito al trattamento riservato e all’uso limitato delle informazioni riservate del Responsabile del Trattamento o dei suoi Responsabili del Trattamento terzi, e in nessun caso il Responsabile del Trattamento sia tenuto a divulgare informazioni di altri clienti propri; (iv) il Titolare del Trattamento manterrà riservate le informazioni divulgategli nel corso della verifica da tutte le terze parti, ad eccezione di qualsiasi terza parte che partecipi alla verifica con il consenso del Responsabile del Trattamento, come descritto di seguito; (v) la verifica sia eseguita nel rispetto delle ragionevoli restrizioni di sicurezza del Responsabile del Trattamento; e (vi) il Titolare del Trattamento riconosca che il Responsabile del Trattamento potrà richiedere che alcuni registri, politiche, documenti o altri materiali siano esaminati in loco a causa della loro natura riservata e che al revisore del Titolare del Trattamento non sia consentito copiarli. Fermo restando quanto sopra, nessuna terza parte potrà partecipare a una verifica a meno che il Titolare del Trattamento non ottenga il previo consenso del Responsabile del Trattamento (consenso che non sarà irragionevolmente negato) e a condizione che il Titolare del Trattamento comprenda che il Responsabile del Trattamento non acconsentirà alla partecipazione di alcuna terza parte che offra servizi o prodotti in concorrenza con i propri.
1.5. Ulteriore Trattamento dei Dati Personali.
Il Responsabile del Trattamento Tratterà solo i Dati Personali del Titolare del Trattamento ottenuti nel corso della fornitura dei servizi per: (i) trattare o conservare i Dati Personali per conto del Titolare del Trattamento e in conformità all’Accordo; (ii) nominare un sub-responsabile del trattamento laddove tale sub-responsabile del trattamento sia tenuto a fornire i servizi oggetto dell’Accordo; (iii) uso interno per sviluppare e migliorare i servizi di WTW; (iv) rilevare incidenti di sicurezza dei dati, o proteggere da attività fraudolente o illegali; (v) rispettare le leggi applicabili come necessario; (vi) fatte salve le disposizioni della clausola 1.8 di seguito, ottemperare a un’indagine civile, penale o normativa; e (vii) esercitare o difendere diritti legali. Il Titolare del Trattamento riconosce che il Responsabile del Trattamento potrà rendere anonimi i Dati Personali ai fini di una rendicontazione in forma aggregata e per migliorare la qualità dei servizi forniti al Titolare del Trattamento.
1.6. Misure di sicurezza.
Il Responsabile del Trattamento manterrà un programma scritto di sicurezza delle informazioni che contenga adeguate salvaguardie amministrative, tecniche e fisiche per proteggere i Dati Personali da minacce o pericoli prevedibili per la loro sicurezza, riservatezza o integrità e, tenuto conto dello stato dello sviluppo tecnologico, dei costi di implementazione e della natura, del contesto e delle finalità del Trattamento, il Responsabile del Trattamento implementerà adeguate misure tecniche e organizzative di sicurezza e riservatezza (che potranno includere la pseudonimizzazione e/o l’anonimizzazione dei Dati Personali, ove appropriato, tenendo conto della natura del Trattamento) necessarie a proteggere dal Trattamento non autorizzato o illecito dei Dati Personali e dalla loro perdita o distruzione accidentale, o dal loro danneggiamento, in misura adeguata al danno che potrebbe derivare dal Trattamento non autorizzato o illecito o dalla perdita, distruzione o danneggiamento accidentale. Tale programma scritto di sicurezza delle informazioni non dovrà essere modificato qualora tali modifiche possano abbassare il livello di protezione dei Dati Personali.
1.7. Incidente di Sicurezza.
Il Responsabile del Trattamento informerà senza indebito ritardo il Titolare del Trattamento ogniqualvolta venga a conoscenza di una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Dati Personali Trattati dal Responsabile del Trattamento nel contesto del presente Protocollo (“Incidente di Sicurezza”). Dopo aver fornito tale notifica, il Responsabile del Trattamento indagherà sull’Incidente di Sicurezza, adottando le misure necessarie per eliminare o contenere l’impatto dell’Incidente di Sicurezza e terrà informato il Titolare del Trattamento sullo stato dello stesso e su tutte le questioni correlate.
1.8. Notifica di richieste di accesso o reclami.
Il Responsabile del Trattamento, nella misura consentita dalla legge, informerà tempestivamente il Titolare del Trattamento di qualsiasi richiesta o comunicazione da parte di qualsiasi autorità preposta all’applicazione della legge relativa ai Dati Personali trattati ai sensi del presente Accordo. Il Responsabile del Trattamento non darà sostanzialmente seguito a nessuna richiesta di divulgazione dei Dati Personali prima di aver ricevuto l’autorizzazione scritta dal Titolare del Trattamento, a meno che non sia obbligato a farlo per legge, per un’ordinanza del tribunale o altri meccanismi legali applicabili.
1.9. Restituzione o smaltimento.
Il Titolare del Trattamento potrà dare istruzioni al Responsabile del Trattamento di cancellare o restituire i Dati Personali dopo la risoluzione o la scadenza del presente Accordo e il Responsabile del Trattamento rispetterà tali istruzioni e confermerà al Titolare del Trattamento l’avvenuta cancellazione (se applicabile) salvo diversamente richiesto dalla legge applicabile, dai requisiti di archiviazione del Responsabile del Trattamento (compresi i requisiti degli standard professionali, la difesa da rivendicazioni legali e la comprova dei prodotti del lavoro) o per quanto riguarda i supporti di backup e i Dati Personali archiviati per i quali la cancellazione selettiva dei file non è fattibile, fermo restando sempre che il Responsabile del Trattamento continuerà a rispettare i termini pertinenti del presente Protocollo in relazione a qualsiasi Dato Personale conservato e non Tratterà i Dati Personali conservati per nessun’altra finalità.
1.10. Trattamento in subappalto.
Il Titolare del Trattamento conviene, e con il presente documento autorizza il Responsabile del Trattamento, ad avvalersi di sub-responsabili del trattamento ai fini dell’Accordo e come illustrato nella Descrizione del Trattamento, a condizione che il Responsabile del Trattamento (i) rimanga responsabile dell’adempimento dei propri obblighi ai sensi del presente Protocollo, (ii) ingaggi tali sub-responsabili del trattamento in conformità alle Leggi in materia di Protezione dei Dati (ove richiesto) e (iii) si assicuri di stipulare accordi scritti e giuridicamente vincolanti con tali sub-responsabili del trattamento che contengano obblighi almeno altrettanto restrittivi di quelli stabiliti nel presente Protocollo. Il Responsabile del Trattamento sarà espressamente autorizzato a utilizzare i sub-responsabili del trattamento necessari alla fornitura dei servizi al Titolare del Trattamento e fornirà un elenco di sub-responsabili del trattamento su richiesta.
Il Responsabile del Trattamento potrà modificare o aggiungere sub-responsabili del trattamento di volta in volta, dandone ragionevole preavviso scritto al Titolare del Trattamento in modo che questi possa, per motivi ragionevoli ed entro 14 giorni di calendario, sollevare eventuali obiezioni a qualsiasi modifica proposta.
1.11. Trasferimento dei dati.
Il Titolare del Trattamento conferma che il Responsabile del Trattamento potrà trasferire i Dati Personali alle sue affiliate e ai suoi sub-responsabili del trattamento a livello globale, anche al di fuori del Regno Unito e dello Spazio economico europeo, a condizione che il Responsabile del Trattamento garantisca che tali trasferimenti siano effettuati in conformità alle leggi applicabili, compresa l’implementazione di adeguate misure di salvaguardia per garantire un livello equivalente di protezione dei Dati Personali e adeguate protezioni contrattuali come richiesto dalle leggi applicabili, dall’autorità di vigilanza o dall’autorità di regolamentazione pertinente in materia di protezione dei dati. A scanso di equivoci, il Responsabile del Trattamento conferma che laddove, ai fini della fornitura dei servizi, trasferisca Dati Personali alle proprie affiliate o sub-responsabili del trattamento al di fuori del Regno Unito o dello Spazio economico europeo, tali trasferimenti saranno effettuati in conformità all’accordo o all’addendum sul trasferimento transfrontaliero dei dati del Regno Unito e/o alle clausole contrattuali tipo dell’UE, a seconda dei casi.
Allegato 1: Descrizione del trattamento dei dati personali
1. Oggetto, natura e finalità
Tutte le attività di trattamento (compresa la raccolta, l’organizzazione e l’analisi dei dati personali) che siano ragionevolmente necessarie al fine di facilitare o contribuire all’erogazione dei servizi descritti nell’Accordo.
2. Durata del trattamento dei dati personali
Il Responsabile del Trattamento tratterà i dati personali per tutto il periodo di fornitura dei servizi al Titolare del Trattamento ai sensi dell’Accordo e conserverà i dati personali in archivio dopo tale periodo in linea con le disposizioni di conservazione dell’Accordo (incluso il Protocollo).
3. Categorie di interessati:
Tra gli interessati potranno figurare persone nominate in qualsiasi polizza o programma in ordine al quale il Responsabile del Trattamento è impegnato a prestare i propri servizi, e/o i beneficiari di tali polizze o programmi, o persone che hanno presentato richieste di risarcimento o che sono altrimenti coinvolte negli stessi. Più comunemente, tra gli interessati figurano: (1) dipendenti, appaltatori o altri lavoratori passati, attuali o potenziali del Titolare del Trattamento o membri o beneficiari di piani di previdenza o pensionistici per i quali il Titolare del Trattamento è responsabile (“Lavoratori”) e/o i loro familiari, rappresentanti o persone correlate ai Lavoratori; (2) clienti passati, attuali o potenziali del Cliente, e/o i loro dipendenti o persone a questi correlate, e/o i loro familiari, rappresentanti o persone a questi correlate; e/o (3) soggetti ricorrenti o richiedenti passati, attuali o potenziali in ordine a qualsiasi polizza assicurativa, e/o i loro familiari, rappresentanti o persone a questi correlate.
4. Categorie di dati personali:
I servizi previsti dal Contratto possono comportare il trattamento delle seguenti categorie di dati personali:
- nomi e informazioni di contatto;
- dati demografici (sesso, età, data di nascita, stato civile, nazionalità, storia formativa/professionale, titoli accademici/qualifiche professionali, esperienza professionale, interessi, composizione del nucleo familiare e persone a carico);
- documentazione di identificazione personale e informazioni ad essa correlate, tra cui numeri di passaporto e numeri di identificazione dei dipendenti;
- informazioni finanziarie ed estremi di pagamento, tra cui numeri di conti bancari e informazioni sulle transazioni;
- informazioni relative alla fornitura dei servizi, quali informazioni sulle polizze e informazioni sulle richieste di risarcimento, comprese le informazioni relative agli incidenti che danno origine ai sinistri e le relative perdite;
- registrazioni di comunicazioni; e
- dati sulle risorse umane, tra cui qualifica e ruolo; informazioni su indennità e retribuzione; informazioni su persone a carico/beneficiari; informazioni su titoli scolastici e accademici e qualifiche professionali; informazioni di contatto per emergenze e informazioni sulla gestione delle prestazioni.
5. Tipi di categorie speciali di dati indicati nell’Articolo 9 del Regolamento:
Tra i dati personali trattati dal Responsabile del Trattamento potranno figurare le seguenti categorie speciali di dati personali: caratteristiche e circostanze personali di natura sensibile, quali razza o etnia, sesso, orientamento sessuale, salute mentale e fisica, informazioni genetiche, dettagli su infortuni, terapie/trattamenti ricevuti, credenze politiche o religiose, iscrizione a sindacati.