Norme Aziendali Vincolanti UE per American Express (Norme BCR UE)
Table of Contents
- Introduzione
- Natura Vincolante delle Norme BCR
- Ambito Applicativo delle Norme BCR
- In Quale Modo American Express Protegge i Tuoi Dati Personali?
- Rete DPO di American Express
- Formazione e Consapevolezza
- Controllo e Audit
- Compliance, Esecuzione e Responsabilità
- Come Presentare un Reclamo e Far Rispettare le Norme BCR UE?
- Obbligo di Collaborazione con le Autorità di Vigilanza
- La Nostra Società Come Gestisce Potenziali Conflitti Legislativi?
- Aggiornamenti alle Norme BCR UE
- Natura e Finalità dei Dati Personali Trasferiti nell’Ambito delle Norme BCR
- Ubicazione delle Società American Express Vincolate dalle Norme BCR
- Glossario
1.1. Contesto di riferimento
American Express valorizza la tua fiducia e rispetta la tua privacy.
La protezione dei dati e la sicurezza delle informazioni sono una priorità di lunga data per la nostra azienda. In qualità di organizzazione multinazionale, ci impegniamo a proteggere i dati personali, indipendentemente dal luogo in cui vengono utilizzati, e tutti i dati personali raccolti da American Express vengono gestiti secondo i nostri Principi in materia di protezione dei dati e di privacy.
Nel 2012, American Express è stata una delle prime società a pubblicare le Norme aziendali vincolanti (“Binding Corporate Rules” – BCR) approvate dall’Autorità inglese per la protezione dei dati personali (“Information Commissioner’s Office). Ad Oggi, le BCR continuano a rappresentare il nostro impegno in materia di protezione dei dati personali , promuovendo una solida cultura della conformità in tutto il nostro gruppo societario.
Tra l’altro, le norme BCR disciplinano i Trasferimenti internazionali dei Dati personali all’interno delle Società American Express vincolate dalle norme BCR in conformità con la Normativa applicabile in materia di protezione dei dati e garantiscono che i tuoi Dati personali siano sempre adeguatamente protetti, indipendentemente dal luogo in cui verranno trasferiti.
1.2. Accesso agevole alle norme BCR
Le nostre norme BCR sono disponibili sui siti web di American Express in tutta Europa. Tu potrai anche richiedere una copia di tali norme BCR in un formato alternativo al Responsabile della protezione dei dati (DPO) all'indirizzo seguente o ai dati di contatto di American Express Italia Srl, Titolare del trattamento dei tuoi Dati personali. Nota che la Autorità di Vigilanza principale che presiede il controllo delle nostre norme BCR è la Agencia Española de Protección de Datos (AEPD).
Le nostre norme BCR sono giuridicamente vincolanti per le Società American Express vincolate dalle norme BCR e i loro Dipendenti in forza di un Accordo infragruppo tra American Express Company e American Express Europe, S.A. (AEESA), legale rappresentante di American Express nel SEE (N.d.T: Spazio economico europeo).
Ciascuna Società American Express vincolata dalle norme BCR e i suoi Dipendenti potrà trattare i Dati personali soltanto in conformità con tali norme BCR. I Dipendenti che violano tali norme BCR potranno essere soggetti ad azioni disciplinari.
3.1. Ambito geografico
Le norme BCR si applicano a tutti i Trattamenti dei Dati personali subordinatamente alla Normativa applicabile in materia di protezione dei dati. Si tratta dei Dati personali di un Soggetto interessato che sono o sono stati trattati nel contesto delle attività di una Società American Express vincolata dalle norme BCR costituita nel SEE, anche se il Trattamento viene eseguito da una Società American Express vincolata dalle norme BCR al di fuori del SEE.
3.2. Ambito materiale
Nella sua qualità di Titolare del Trattamento, American Express tratta i Dati personali di ex-dipendenti, di dipendenti presenti e futuri, direttori, appaltatori, consulenti individuali, lavoratori subordinati, personale impiegato da American Express a tempo pieno, parziale, indeterminato o a termine, nonché pensionati ("Dipendenti") e i Dati personali dei propri consumatori passati, presenti e futuri nonché di persone fisiche che lavorano presso i clienti, fornitori e partner aziendali di American Express ("Clienti").
Le finalità per le quali American Express tratta i Dati personali si riferiscono principalmente a servizi di consumo, commerciali, mercantili, assicurativi, viaggi, riunioni ed eventi, servizi di rete e risorse umane.
Per condurre efficacemente le attività globali di American Express, il Trattamento dei Dati personali eseguito dalle Società American Express vincolate dalle norme BCR, per le finalità indicate in tali norme BCR, potrà comportare il trasferimento a livello internazionale dei Dati personali dei Soggetti interessati, da una Società American Express vincolata dalle norme BCR che opera nel SEE a un’altra Società American Express vincolata dalle norme BCR al di fuori del SEE (compresi, dai paesi del SEE agli Stati Uniti, i siti in cui i principali server di American Express sono situati), e qualsiasi altro trasferimento successivo dei Dati personali ricevuti, a terzi al di fuori del gruppo American Express.
Per una visione più completa delle attività di Trattamento svolte da American Express, fare riferimento all’ Appendice 1. Per conoscere l’ubicazione delle nostre Società American Express vincolate dalle norme BCR, fare riferimento all’ Appendice 2.
Quando trattano i tuoi Dati personali, le Società American Express vincolate dalle norme BCR si impegnano a rispettare i principi di protezione dei dati (articolo 4.1) e a rispettare i tuoi diritti in materia di protezione dei dati (articolo 4.2).
4.1. Principi di protezione dei dati
4.1.1. Trasparenza e correttezza
Le Società American Express vincolate dalle norme BCR raccoglieranno e tratteranno i tuoi Dati personali in maniera trasparente e in modo equo.
La nostra società assicura che Ti venga fornito un facile accesso alle informazioni sulle nostre attività di Trattamento, come previsto dal Regolamento generale sulla protezione dei dati (GDPR). Queste informazioni Ti vengono fornite in forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice e sono disponibili nella pertinente Informativa di American Express in materia di Privacy, per quanto applicabile al tuo rapporto con la nostra società. Le informative, i termini e le condizioni del servizio possono anche contenere disposizioni aggiuntive rilevanti per il Trattamento dei Dati personali, ai sensi delle leggi e regolamenti nazionali in vigore.
In particolare, quando i Dati personali sono raccolti presso il Soggetto interessato, le seguenti informazioni saranno fornite al momento della raccolta dei Dati personali:
- l'identità e i dati di contatto del Titolare del Trattamento e, se del caso, del suo rappresentante;
- i dati di contatto del DPO;
- le finalità del Trattamento cui sono destinati i Dati personali e la base giuridica del Trattamento;
- i destinatari o le eventuali categorie di destinatari dei Dati personali;
- l’esistenza dei Trasferimenti dei Dati personali verso paesi privi di adeguati livelli di protezione e le misure appropriate di salvaguardia adottate per garantire un livello di protezione identico a quello previsto dal GDPR ;
- il periodo di conservazione dei Dati personali o, se ciò non è possibile, i criteri adoperati per stabilire quel periodo, e l’esistenza dei diritti dei Soggetti interessati riconosciuti dal GDPR.
Quando i Dati personali non sono stati raccolti presso il Soggetto interessato, le informazioni precedenti, nonché le categorie dei Dati personali interessate e la fonte da cui provengono i Dati personali, saranno comunicati tempestivamente (a meno che il Soggetto interessato non disponga già dell'informazione, che la fornitura di tale informazione si riveli impossibile o comporti uno sforzo sproporzionato, che l'ottenimento o la divulgazione sia espressamente prevista dal diritto dell'Unione o degli Stati membri o che i Dati personali debbano rimanere riservati in virtù di un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza legale).
Le nostre norme BCR Ti informano anche in merito ai diritti che sei legittimato a far valere nei confronti di AEESA o di qualsiasi Società American Express vincolata dalle norme BCR come terzo beneficiario per il Trattamento dei tuoi Dati personali ai sensi di dette norme BCR (“Diritti del Terzo beneficiario”) e sui mezzi per esercitare tali diritti (vedi l’articolo 8). Inoltre, tali norme BCR Ti forniranno le informazioni sui principi di protezione dei dati che la nostra società applica quando tratta i tuoi Dati personali (come illustrato nel presente articolo 4) e le informazioni sulla responsabilità assunta dalle Società American Express vincolate dalle norme BCR in caso di violazione di dette norme BCR (vedi l’articolo 8).
Inoltre, Tu potrai sempre ottenere, su richiesta, copia delle nostre norme BCR. Una versione pubblica sarà disponibile sui siti accessibili al pubblico delle Società American Express vincolate dalle norme BCR in tutto lo spazio SEE e nella nostra Intranet se sei un Dipendente.
4.1.2. Legalità del Trattamento
I tuoi Dati personali e le Speciali Categorie di Dati sono raccolti e trattati in modo corretto e legale, in conformità alla Normativa applicabile in materia di protezione dei dati. Le basi giuridiche del Trattamento dei tuoi Dati personali sono descritte più dettagliatamente nella pertinente Informativa sulla Privacy di American Express, per quanto applicabile al tuo rapporto con American Express.
- Trattamento dei Dati personali
I tuoi Dati personali sono raccolti e trattati solo in presenza di una base legale per il Trattamento:
- quando hai espresso il tuo esplicito Consenso (ad esempio, per inviare le Tue comunicazioni via e-mail contenenti avvisi pubblicitari, promozioni e offerte per i prodotti e servizi American Express);
- quando il Trattamento è necessario per eseguire un contratto del quale Tu sei parte contraente o per intraprendere azioni prima di stipulare un contratto (ad esempio, per amministrare il nostro rapporto contrattuale con Te ed elaborare la tua richiesta riguardante il rilascio carta, l’apertura conto o un altro prodotto o per gestire i tuoi conti esistenti);
- quando il Trattamento è necessario per l’osservanza di un obbligo legale (ad esempio, per segnalare determinate transazioni sospette alle autorità competenti ai sensi delle norme antiriciclaggio o come richiesto dalla legge per eseguire la due diligence sui Clienti prima di approvare le loro richieste); o
- quando il Trattamento è necessario ai fini degli interessi legittimi perseguiti da una Società American Express vincolata dalle norme BCR o da terzi) (ad esempio, per fornire prodotti e servizi, pubblicizzare e commercializzare prodotti e servizi, condurre ricerche e analisi e gestire i nostri rischi in materia di frode e sicurezza), a meno che su tali interessi prevalgano i tuoi diritti e libertà fondamentali.
- Trattamento delle Speciali Categorie di Dati
La nostra società potrà raccogliere Speciali Categorie di Dati inclusi i dati riguardanti la salute, i dati biometrici, l’orientamento sessuale o la razza/origine etnica. Tali dati sono raccolti e trattati per adempiere ad obblighi di legge, per finalità indispensabili all'amministrazione del rapporto di lavoro o ove forniti con esplicito Consenso, e solo se consentito dalla normativa vigente.
Talvolta, Tu potresti fornire alla nostra società questo tipo di dati per migliorare il viaggio da compiere con la nostra società (ad esempio, se Tu ci informi su esigenze dietetiche specifiche o necessità di assistenza speciale durante un volo).
Nei limiti in cui le Speciali Categorie di Dati sono raccolte, esse saranno trattate solo secondo una delle basi giuridiche sopra menzionate, purché si applichi una delle condizioni per il Trattamento delle Speciali Categorie di Dati , come ad esempio quando:
Tu hai prestato il tuo esplicito Consenso al Trattamento;
- il Trattamento è necessario al fine di adempiere agli obblighi e ai diritti specifici di American Express nel campo del diritto del lavoro e della sicurezza sociale e della protezione sociale;
- il Trattamento si riferisce alle Speciali Categorie di Dati che Tu hai manifestamente reso pubbliche;
- il Trattamento è necessario per l'istituzione, l'esercizio o la difesa di rivendicazioni legali;
- il Trattamento è necessario per motivi di interesse pubblico notevole, sulla base del diritto dell'Unione o dello Stato membro.
Inoltre, le Società American Express vincolate dalle norme BCR adotteranno misure rafforzate per il Trattamento di Speciali Categorie di Dati , come previsto dalla Normativa applicabile in materia di protezione dei dati.
4.1.3. Minimizzazione dei dati, accuratezza e limitazione dell'archiviazione
Le Società American Express vincolate dalle norme BCR utilizzano la tecnologia appropriata e le pratiche consolidate dei Dipendenti per trattare i tuoi Dati personali in modo tempestivo e accurato.
La nostra società adotta misure ragionevoli per garantire che i tuoi Dati personali siano:
- Accurati e aggiornati rispetto alle finalità per le quali vengono trattati (accuratezza dei dati). Dati personali inaccurati vengono cancellati o rettificati senza indugio;
- Adeguati, pertinenti e non eccessivi rispetto allo scopo per il quale i Dati personali sono raccolti e trattati (minimizzazione dei dati);
- Conservati in una forma identificabile per un periodo non più lungo del necessario per gli scopi per i quali i Dati personali sono trattati, e conservati solo per un periodo più lungo ai fini di archiviazione ovvero in qualsiasi altro modo consentito o richiesto in conformità con le leggi applicabili, e solo quando vengono adottate misure amministrative, tecniche e organizzative appropriate.
4.1.4. Limitazione delle finalità
Le Società American Express vincolate dalle norme BCR raccolgono Dati personali soltanto per finalità specifiche e legittime. La nostra società tratta i tuoi Dati personali in maniera corretta e solo per le finalità che la nostra società Ti ha comunicato, per le finalità autorizzate da Te o dalla Normativa applicabile in materia di protezione dei dati. La nostra società garantirà che i tuoi Dati personali non siano ulteriormente trattati secondo modalità incompatibili con tali finalità.
4.1.5. Sicurezza e riservatezza dei dati
American Express ha attuato e si impegna a mantenere un programma completo di sicurezza delle informazioni scritte conforme alle leggi applicabili e alla Normativa applicabile in materia di protezione dei dati.
Le Società American Express vincolate dalle norme BCR attuano misure amministrative, tecniche e organizzative adeguate per proteggere i tuoi Dati personali da distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai Dati personali trasmessi, archiviati o diversamente trattati. La nostra società terrà i tuoi Dati personali riservati e limiterà l’accesso ai tuoi Dati personali a coloro che ne hanno specificamente bisogno per lo svolgimento della propria attività aziendale, salvo quanto diversamente previsto dalla normativa vigente per la nostra società.
Tali misure garantiscono un livello di sicurezza adeguato al rischio e tengono conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del Trattamento così come del rischio di mutare l’attendibilità e l’entità dei diritti e delle libertà dei Soggetti interessati , e possono includere, a seconda dei casi:
- la pseudonimizzazione e la crittografia dei Dati personali dei Soggetti interessati,
- misure atte a garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi del trattamento;
- misure atte a garantire la capacità di ripristinare la disponibilità e l'accesso ai Dati personali dei Soggetti interessati tempestivamente in caso di incidente fisico o tecnico; e
- un processo atto a testare, misurare e valutare regolarmente l'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del Trattamento.
La nostra società richiede inoltre adeguate misure amministrative, tecniche e organizzative ai soggetti terzi da noi autorizzati a trattare i tuoi Dati personali per nostro conto; inoltre la nostra società sottoscrive impegni contrattuali con i Responsabili del Trattamento interni ed esterni conformi alle tutele richieste dal GDPR.
In particolare, il Trattamento da parte del Responsabile del Trattamento sarà disciplinato da un accordo, che è vincolante per il Responsabile del Trattamento nei confronti del Titolare del Trattamento e che stabilisce l'oggetto e la durata del Trattamento, la natura e le finalità del Trattamento, il tipo di Dati personali e le categorie dei Soggetti interessati nonché gli obblighi e i diritti del Titolare del Trattamento.
Inoltre, nell’accordo devono essere contemplati i seguenti compiti che obbligano il Responsabile del Trattamento a:
- trattare i Dati personali solo su istruzioni documentate del Titolare del Trattamento o a garantire che le persone autorizzate a eseguire il Trattamento dei Dati personali siano impegnate alla riservatezza o abbiano un adeguato obbligo giuridico di riservatezza;
- adottare tutte le misure tecniche e organizzative appropriate necessarie per garantire un livello di sicurezza accettabile;
- non stipulare alcun contratto con altri Responsabili del Trattamento (“Sub-responsabili”), in assenza di preventiva autorizzazione scritta specifica o generale del Titolare del Trattamento e procedere alla stipula solo a condizione che gli stessi obblighi di protezione dei dati stabiliti nel contratto tra il Titolare del Trattamento e il Responsabile del Trattamento siano imposti a tali Sub-responsabili;
- assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, ove possibile, nell'adempimento dell’obbligo del Titolare del Trattamento di rispondere alle richieste compiute dal Soggetto interessato nell’esercizio dei suoi diritti;
- assistere il Titolare del Trattamento nell'adempimento dei propri obblighi riguardanti la sicurezza del Trattamento, le Violazioni dei Dati personali e le Valutazioni dell’impatto sulla protezione dei dati;
- a scelta del Titolare del Trattamento, eliminare o restituire tutti i Dati personali al Titolare del Trattamento al termine della prestazione dei servizi relativi al Trattamento, ed eliminare le copie esistenti a meno che la legge applicabile non richieda la conservazione dei Dati personali;
- mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall'articolo 28 del GDPR riguardante i Responsabili del Trattamento e consentire e contribuire alle verifiche, anche ispettive, condotte dal Titolare del Trattamento o da altro revisore incaricato dal Titolare del Trattamento.
Inoltre, le Società American Express vincolate dalle norme BCR hanno posto in essere misure amministrative, tecniche e organizzative atte a rilevare, indagare, intensificare e porre rimedio alle Violazioni dei Dati personali. Il DPO di American Express riceve notifica delle Violazioni dei Dati personali dalle Società American Express vincolate dalle norme BCR senza ritardi ingiustificati e decide se notificare ciò alla competente Autorità di Vigilanza e ai Soggetti interessati in conformità con quanto prescritto dal GDPR. Le Violazioni dei Dati personali sono documentate (compresi i fatti relativi alle Violazioni dei Dati Personali, ai loro effetti e alle azioni correttive intraprese) e la documentazione è messa a disposizione dell'Autorità di Vigilanza su richiesta.
4.1.6. Trasferimenti successivi
I tuoi Dati personali sono trasferiti tramite le Società American Express vincolate dalle norme BCR e in seguito a terze parti, garantendo sempre un livello adeguato di protezione per il Trattamento dei tuoi dati come previsto dalla Normativa applicabile in materia di protezione dei dati, indipendentemente dal luogo in cui sono trasferiti.
Questo flusso di dati è legittimato tramite la nostra norma BCR, che consente alla nostra società di trasferire Dati personali dal SEE alle Società American Express vincolate dalle norme BCR situate al di fuori del SEE.
In tutti i casi di Trasferimenti successivi (ossia, dei Dati personali che sono stati dapprima trasferiti da una Società American Express vincolata dalle norme BCR situata nel SEE a una Società American Express vincolata dalle norme BCR non situata nel SEE e successivamente trasferiti a terze parti non previste dalla norma BCR), le Società American Express vincolate dalle norme BCR faranno in modo di stipulare un accordo scritto con dette terze parti contenente clausole che assicurino la protezione dei Dati personali almeno secondo gli standard di riservatezza e sicurezza contemplati da tali norme BCR, o di utilizzare un altro metodo legale valido per garantire che il Trasferimento sia legittimo e siano fornite garanzie adeguate ai sensi dell'articolo 46 del GDPR.
4.1.7. Responsabilità
Tutte le Società American Express vincolate dalle norme BCR hanno la responsabilità e devono dimostrare l’osservanza di tali norme BCR. L’osservanza di tali obblighi include:
- la conservazione delle registrazioni elettroniche delle attività di Trattamento, a disposizione delle Autorità di Vigilanza su richiesta, che contengano le informazioni previste dal GDPR, come il nome e i dati di contatto del Titolare del Trattamento, le finalità del Trattamento, le categorie dei Soggetti interessati e le categorie dei Dati personali, i destinatari dei Dati personali, i Trasferimenti a paesi al di fuori del SEE, i termini per la cancellazione delle categorie di Dati personali e la descrizione delle misure di sicurezza applicate);
- il completamento delle Valutazioni dell'impatto sulla protezione dei dati (applicabile solo quando è probabile che le attività di Trattamento comportino un rischio elevato per i diritti e le libertà dei Soggetti interessati); e
- la consultazione con le Autorità di Vigilanza competenti quando richiesto per dimostrare tale osservanza.
Inoltre, le Società American Express vincolate dalle norme BCR hanno messo in atto misure amministrative, tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e per facilitare l’osservanza dei requisiti stabiliti dalle presenti norme BCR (protezione dei dati per progettazione e per impostazione predefinita).
4.2. Diritti dei Soggetti interessati
- Diritti di accesso, limitazione, opposizione, rettifica, cancellazione, diritto di revoca di Consenso e di portabilità dei dati
Le Società American Express vincolate dalle norme BCR ottemperano alle tue richieste di esercizio dei diritti che Ti sono riconosciuti dal GDPR, ove applicabile. Più specificamente, la nostra società si assicura che Tu possa esercitare il diritto di:
- accedere ai tuoi Dati personali (diritto di accesso);
- limitare e/o opporsi al Trattamento dei tuoi Dati personali (diritto alla limitazione del Trattamento e diritto di opporsi al Trattamento);
- rettificare i tuoi Dati personali (diritto di rettifica);
- cancellare i tuoi Dati personali (diritto alla cancellazione);
- revocare un Consenso precedentemente fornito per il Trattamento, e
- ricevere i tuoi Dati personali in un formato strutturato, di uso comune e leggibile da una macchina e/o trasmettere tali dati a un altro Titolare del Trattamento (diritto alla portabilità dei dati).
Le Società American Express vincolate dalle norme BCR sono soggette a linee di condotta in merito alla modalità di gestione di tali richieste per garantire che Tu disponga dei mezzi per esercitare detti diritti. Qualora Tu intenda esercitare i tuoi diritti, potrai contattare il nostro DPO all’indirizzo DPO-Europe@aexp.com.
- Processo decisionale automatizzato
Le Società American Express vincolate dalle norme BCR garantiscono che Tu non sia soggetto a decisioni basate esclusivamente sul Trattamento automatizzato dei Dati personali, inclusa la Profilazione, che producono effetti legali o effetti significativi simili, a meno che il Trattamento sia:
- necessario per stipulare o eseguire un contratto tra Te e American Express;
- autorizzato da una legge a cui American Express è soggetta e che prevede anche misure idonee a salvaguardare i tuoi diritti, libertà e interessi legittimi; o
- basato sul tuo esplicito Consenso a tale Trattamento.
In conformità con le leggi applicabili, la nostra società metterà in atto misure adeguate a salvaguardare i tuoi diritti, le tue libertà e interessi legittimi, quantomeno il diritto di ottenere l'intervento umano, di esprimere il tuo punto di vista e di contestare la decisione.
In linea con tali limitazioni, la nostra società potrà utilizzare processi automatizzati per assumere talune decisioni, ad esempio, per scoprire e gestire le frodi (ad esempio, per decidere se il tuo account viene utilizzato per scopi di frode o riciclaggio di denaro o per scoprire se i truffatori hanno effettuato l'accesso al tuo account); o per elaborare le richieste di carte e valutare i rischi di credito e di sicurezza. Questi metodi vengono regolarmente testati per garantire che rimangano equi, efficaci e imparziali.
Tu potrai contattare il nostro DPO all’indirizzo DPO-Europe@aexp.com per esercitare il tuo diritto di richiedere una revisione manuale di alcune attività automatizzate di Trattamento che possono avere un impatto sui tuoi diritti legali o altri diritti contrattuali o che possono avere un effetto giuridico analogo.
American Express ha nominato un DPO che vigila sull'osservanza delle norme BCR. Il DPO ha i seguenti compiti:
- informa e consiglia le società American Express e i Dipendenti American Express riguardo agli obblighi a loro carico previsti dalla Normativa applicabile in materia di protezione dei dati;
- vigila sull’osservanza della Normativa applicabile in materia di protezione dei dati attraverso la valutazione dei principali indicatori di rischio e dei controlli. Il DPO riferisce i risultati di queste attività di monitoraggio al competente forum interno di governance di alto livello;
- fornisce consulenza in relazione alle Valutazioni dell’impatto sulla protezione dei dati e vigila sui risultati delle stesse;
- collabora con le Autorità di Vigilanza; e
- funge da punto di contatto per le Autorità di Vigilanza.
Il DPO, nominato sulla base delle qualità professionali, riferisce al Responsabile della Privacy di American Express. Il DPO è nominato dalle società American Express europee Consigliere di amministrazione di AEESA e di American Express Payments Europe SA, rispettivamente le principali entità emittenti e acquirenti del gruppo in Europa.
La nomina è comunicata alle Autorità di Vigilanza dei paesi europei in cui American Express si stabilisce.
Il DPO lavora a stretto contatto con una rete di specialisti in materia di privacy e consulenti legali esperti in compliance presenti in ogni mercato europeo che monitorano l’osservanza della Normativa applicabile in materia di protezione dei dati nella loro regione. Il DPO è supportato nelle sue mansioni dal Global Privacy Office guidato dal Responsabile della Privacy di American Express.
Tutte le Società American Express vincolate dalle norme BCR forniscono materiali e corsi di formazione appropriati per tutti i Dipendenti, e in particolare per i Dipendenti che raccolgono, trattano, hanno accesso permanente o regolare ai Dati personali o che sono coinvolti nello sviluppo di strumenti utilizzati ai fini del Trattamento dei Dati personali, per assicurarsi che essi siano a conoscenza degli obblighi a loro carico previsti dalla Normativa applicabile in materia di protezione dei dati e da queste norme BCR. Tali corsi sono obbligatori, e il loro completamento è monitorato.
American Express ha attuato un programma di conformità che prevede regolari controlli di conformità e audit dell’operatività riguardante le Società American Express vincolate dalle norme BCR (da parte di revisori interni o, ove necessario, di revisori esterni) per assicurarsi che le norme BCR e tutte le relative linee di condotta e procedure siano osservate e aggiornate.
Gli audit sulla protezione dei dati coprono tutti gli aspetti delle norme BCR, compresi i metodi per garantire l'attuazione di misure correttive.
Ulteriori audit sulla protezione dei dati possono essere richiesti dal DPO di propria iniziativa o su specifica richiesta di una Società American Express vincolata dalle norme BCR. Il gruppo di audit interno American Express, in qualità di organismo di controllo indipendente, valuterà l'opportunità di tali richieste di audit in base al proprio quadro di valutazione del rischio.
I risultati di questi controlli di conformità e audit saranno comunicati al Global Privacy Office di American Express, al DPO, alla competente Autorità di Vigilanza (se previsto) e messi a disposizione del Comitato di controllo del Consiglio di Amministrazione di American Express Company. Laddove si riscontri un divario di conformità, la pertinente Società American Express vincolata dalle norme BCR dovrà seguire le indicazioni specifiche del DPO. Laddove le indicazioni non possano essere osservate, la Società American Express vincolata dalle norme BCR deve documentare il motivo di tale inosservanza.
American Express collaborerà inoltre con eventuali controlli di conformità condotti da qualsiasi Autorità di Vigilanza con il foro competente, indipendentemente dal fatto che siano avviati in risposta a un reclamo presentato da un Soggetto interessato, o d’iniziativa dell’Autorità di Vigilanza
8.1. Responsabilità delle Società American Express vincolate dalle norme BCR
Le Società American Express vincolate dalle norme BCR sono responsabili dell’osservanza delle norme BCR. Oltre alle responsabilità individuali delle Società American Express vincolate dalle norme BCR, AEESA accetterà di assumere la responsabilità per qualsiasi violazione delle norme BCR compiuta da una Società American Express vincolata dalle norme BCR al di fuori del SEE che tratti Dati personali secondo la Normativa applicabile in materia di protezione dei dati. AEESA avrà il diritto di intraprendere qualsiasi iniziativa necessaria per porre rimedio alle azioni o alle omissioni compiute da una Società American Express vincolata dalle norme BCR che tratti i Dati personali in violazione delle norme BCR.
AEESA è tenuta a pagare il risarcimento dovuto per eventuali danni materiali o immateriali subiti da Soggetti interessati derivanti dalla violazione delle norme BCR. Il risarcimento deve essere concordato dal DPO prima che venga presentata un'offerta di risarcimento o pagamento. Tutti i risarcimenti corrisposti saranno a totale soddisfacimento della richiesta avanzata da un Soggetto interessato nei confronti di tutte le Società American Express vincolate dalle norme BCR. A scanso di dubbi, la responsabilità di AEESA si estende a tutte le azioni o omissioni compiute da una Società American Express vincolata dalle norme BCR non situata nel SEE che violi le norme BCR.
Qualora una Società American Express vincolata dalle norme BCR (incluso il caso in cui tale società sia situata al di fuori del SEE) violi le norme BCR, i tribunali europei competenti avranno giurisdizione in relazione a tale violazione. Nella misura in cui una Società American Express vincolata dalle norme BCR viola le norme BCR, i Soggetti interessati , le Autorità di Vigilanza e i tribunali delle giurisdizioni competenti potranno esercitare i loro diritti e intentare un’azione contro AEESA come se tale condotta fosse stata tenuta da AEESA nel SEE (per ulteriori informazioni sul modo di presentare una richiesta di risarcimento, fare riferimento all’articolo 9 di seguito).
8.2. Diritti di terzi beneficiari
Ciascun Soggetto interessato potrà far valere nei confronti di AEESA o di una Società American Express vincolata dalle norme BCR, i termini delle seguenti clausole delle norme BCR come terzo beneficiario:
- principi di protezione dei dati (articolo 4.1);
- trasparenza e facile accesso alle norme BCR (articoli 1.2 e 4.1.1);
- diritti dei Soggetti interessati (articolo 4.2);
- compliance, esecuzione e responsabilità (articolo 8);
- diritto di presentare una richiesta di risarcimento tramite il meccanismo di reclamo interno di American Express (articolo 9);
- diritto di presentare una richiesta di risarcimento presso l’Autorità di Vigilanza e davanti al tribunale europeo competente (articolo 9);
- collaborazione con le Autorità di Vigilanza (articolo 10); e
- conflitti legislativi (articolo 11.1).
8.3. Onere della prova
AEESA ha l'onere di provare che la Società American Express vincolata dalle norme BCR situata al di fuori del SEE non è responsabile per presunte violazioni delle norme BCR che danno luogo alla richiesta di risarcimento del Soggetto interessato per danni. Qualora AEESA sia in grado di provare che una Società American Express vincolata dalle norme BCR al di fuori del SEE non è responsabile dell’evento che aveva dato luogo al danno, AEESA e tale società potranno liberarsi da tale responsabilità.
Se Tu desideri presentare un reclamo o una richiesta di risarcimento ed esercitare i tuoi diritti in relazione a tali norme BCR, sei invitato a contattare il DPO in qualsiasi momento, scrivendo alla sede di AEESA presso American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid/SPAGNA o via e-mail all’indirizzo DPO-Europe@aexp.com.
Il nostro DPO tratterà i tuoi reclami senza ritardi ingiustificati e in ogni caso entro un mese. Tenuto conto della complessità e del numero delle richieste, tale periodo di un mese può essere prorogato al massimo di altri due mesi, nel qual caso la nostra società Ti informerà al riguardo.
Per ulteriori informazioni sul processo di gestione dei reclami di American Express e sul modo in cui presentare un reclamo, poi prendere visione della nostra Informativa online sulla Privacy.
Se il problema non viene risolto in modo per te soddisfacente, potrai anche:
- presentare un reclamo presso l’Autorità di Vigilanza nello Stato membro della tua residenza abituale, luogo di lavoro o luogo della presunta violazione;
- portare la tua richiesta davanti a un tribunale competente del paese europeo in cui la Società American Express vincolata dalle norme BCR interessata è stata costituita oppure dove Tu hai la tua residenza abituale e, se del caso, ottenere il risarcimento dei danni che hai subito a causa della violazione dei sopra menzionati Diritti di terzi beneficiari.
Tutte le Società American Express vincolate dalle norme BCR dovranno collaborare e accettare di essere sottoposte a controllo da parte di qualsiasi competente Autorità di Vigilanza e si atterranno al parere di tali Autorità di Vigilanza su qualsiasi questione riguardante la Normativa applicabile in materia di protezione dei dati.
Qualora l’Autorità di Vigilanza rilevi che una delle Società American Express vincolate dalle norme BCR ha violato uno dei diritti concessi ai Soggetti interessati ai sensi di tali norme BCR, detta Società American Express vincolata dalle norme BCR si atterrà alle decisioni dell’Autorità di Vigilanza, fermo restando il diritto di impugnazione o il ricorso avverso tali decisioni.
11.1. Legislazione nazionale che impedisce l’osservanza delle norme BCR EU
Nel caso in cui una Società American Express vincolata dalle norme BCR abbia motivo di ritenere che una legge a cui essa è soggetta preclude l’osservanza delle norme BCR o può avere un effetto considerevole sulle garanzie stabilite nelle norme BCR, il contatto competente per questa Società American Express vincolata dalle norme BCR informerà il DPO presso AEESA a meno che ciò non sia proibito dalle leggi applicabili. Ove necessario, il DPO notificherà all'Autorità di Vigilanza competente il conflitto di leggi, salvo nella misura vietata dalle leggi applicabili.
Qualora una Società American Express vincolata dalle norme BCR riceva una richiesta di Dati personali da un'autorità incaricata dell’applicazione della legge o da un organismo di sicurezza dello Stato, il DPO informerà l'Autorità di Vigilanza competente in merito alla richiesta (comprese le informazioni sui dati richiesti, l'organismo richiedente e la base giuridica per la divulgazione). Se, in casi specifici, la sospensione e/o notifica all’Autorità di Vigilanza competente è vietata dalla legge applicabile, American Express farà del suo meglio per derogare a tale divieto di comunicare tempestivamente quante più informazioni alla competente Autorità di Vigilanza, e poter dimostrare di averlo fatto.
Qualora, nei casi di cui sopra, nonostante ogni ragionevole sforzo compiuto, la Società American Express vincolata dalle norme BCR non sia in grado di dare comunicazione alla competente Autorità di Vigilanza, fornirà ogni anno informazioni generali sulle richieste che avrà ricevuto alla competente Autorità di Vigilanza (quali il numero di richieste di divulgazione, il tipo di Dati personali richiesti, il nome del richiedente se possibile, ecc.).
In ogni caso, i trasferimenti di Dati personali da una Società American Express vincolata dalle norme BCR a un’autorità pubblica non saranno massicci, sproporzionati e indiscriminati. Questa limitazione si applica a qualsiasi richiesta legalmente vincolante di divulgazione di Dati personali presentata da un'autorità incaricata dell'applicazione della legge o da un organismo di sicurezza dello Stato.
11.2. Rapporto tra le leggi nazionali e le norme BCR UE
Laddove la Normativa applicabile in materia di protezione dei dati richieda un livello di protezione più elevato per i Dati personali, tali leggi sulla protezione dei dati prevarranno su queste norme BCR.
La nostra società potrà aggiornare i termini delle proprie norme BCR per, ad esempio, tener conto delle modifiche del contesto normativo o della struttura aziendale. La nostra società si impegna a segnalare senza ritardi ingiustificati le modifiche sostanziali apportate alle proprie norme BCR a tutte le Società American Express vincolate dalle norme BCR e all’AEPD. Qualsiasi modifica alle norme BCR o all'elenco delle Società American Express vincolate dalle norme BCR verrà segnalata una volta all'anno alle Autorità di Vigilanza interessate, attraverso la competente Autorità di Vigilanza con una breve spiegazione dei motivi che giustificano l'aggiornamento. Laddove una modifica possa influire sul livello di protezione offerto dalle presenti norme BCR o influire in modo significativo su tali norme BCR, sarà prontamente comunicata alle Autorità di Vigilanza interessate, attraverso la competente Autorità di Vigilanza.
American Express ha individuato un team che mantiene un elenco completamente aggiornato delle Società American Express vincolate dalle norme BCR e tiene traccia e registra eventuali aggiornamenti alle norme e fornisce le informazioni necessarie ai Soggetti interessati o alle Autorità di Vigilanza su richiesta. Inoltre, le Società American Express vincolate dalle norme BCR non eseguiranno alcun trasferimento a una nuova Società American Express vincolata dalle norme BCR fino a quando questa nuova società non sarà effettivamente vincolata da queste norme BCR e potrà garantirne l’osservanza.
- Descrizione dei tipi e delle finalità delle attività di Trattamento
American Express è una società di pagamenti e viaggi integrata a livello globale, che è principalmente impegnata in quattro segmenti: i) servizi di pagamento per i Clienti, ii) servizi commerciali, iii) servizi e operazioni di rete e (iv) servizi di viaggio, riunioni ed eventi. Le nostre attività di Trattamento sono svolte nell'ambito di tali attività, come di seguito descritto.
i) Servizi di pagamento per i clienti
American Express fornisce un'ampia gamma di servizi di pagamento (come carte di pagamento e carte di credito) a privati, ciascuno con servizi correlati (come programmi fedeltà, programmi di abbonamento e premi e mediazione assicurativa).
- A tal fine, la nostra società tratta i Dati personali dei Clienti principalmente per amministrare e assistere il nostro rapporto contrattuale; gestire eventuali benefici, assicurazioni o altri programmi a cui Tu sei iscritto, fornire prodotti e servizi, condurre ricerche e analisi per migliorare i nostri prodotti e servizi; comprendere meglio i nostri Clienti e fornire un servizio più personalizzato; gestire i nostri rischi di frode e sicurezza; promuovere i nostri prodotti e servizi (subordinatamente all’acquisizione del Consenso ove previsto dalla Normativa applicabile in materia di protezione dei dati o per osservare le leggi applicabili).
American Express offre anche prodotti e servizi commerciali alle imprese (inclusi pagamenti aziendali, servizi di gestione delle spese e prodotti di finanziamento).
- A tal fine, la nostra società tratta i Dati personali dei Clienti principalmente per amministrare e assistere il nostro rapporto contrattuale; fornire i prodotti e servizi commerciali; consentire ai Clienti
- di sviluppare rapporti che possano consentire loro di mantenere efficaci politiche di approvvigionamento, politiche di viaggio e procedure; sviluppare politiche, modelli e procedure di gestione del rischio e/o assumere decisioni sul modo in cui la nostra società gestisce gli account dei Clienti; scambiare informazioni con agenzie di prevenzione delle frodi per rintracciare debitori, recuperare crediti, prevenire frodi, gestire conti o polizze assicurative; assumere decisioni sull'offerta di prodotti come servizi di credito e correlati; o per ottemperare alle leggi applicabili.
ii) Servizi agli esercenti
American Express gestisce un'attività di servizi commerciali globali, ivi compreso l’accordo con il quale gli esercenti accettano carte di marca American Express e altri prodotti finanziari dei loro clienti come mezzo di pagamento, e autorizzano American Express a eseguire il trattamento e il regolamento delle transazioni con carta per detti esercenti.
Come parte di questa attività di servizi commerciali, American Express in particolare assiste gli esercenti che accettano le carte American Express fornendo competenze analitiche e di consulenza per identificare nuove tendenze, consentire l'innovazione del prodotto nonché l'espansione e il miglioramento del marketing attraverso l'uso più efficace dell’infrastruttura dati American Express. Le attività di Trattamento eseguite per tali finalità creeranno database anonimi o aggregati ove opportuno.
- A tal fine, la nostra società tratta i Dati personali principalmente per amministrare e assistere il nostro rapporto contrattuale con gli esercenti; scambiare informazioni con agenzie di riferimento del credito per prevenire frodi o rintracciare i debitori o per la verifica dell'identità; sviluppare i nostri prodotti e/o, subordinatamente all’acquisizione del Consenso ove previsto dalla Normativa applicabile in materia di protezione dei dati, offrire prodotti e servizi; o per ottemperare alle leggi applicabili, comprese le leggi antiriciclaggio e antiterrorismo.
iii) Servizi e operatività di rete
La rete American Express autentica cancella e regola le transazioni con carta e fornisce programmi e capacità di marketing multicanale, servizi e analisi dei dati. Gestisce e sviluppa l’affidabilità della rete di pagamento, sicurezza e capacità di trattamento di American Express per consentire l’esercizio del commercio a livello globale. Inoltre, la rete American Express gestisce una serie di funzionalità che consentono pagamenti in nuove forme o canali, attuando al contempo la politica atta a governare le numerose parti che interagiscono con la rete.
- A tal fine, la nostra società tratta i Dati personali principalmente per amministrare le transazioni compiute dai Clienti di American Express con gli esercenti che accettano American Express. Le attività di Trattamento includono misure per prevenire le frodi e osservare le leggi applicabili, comprese le leggi antiriciclaggio e antiterrorismo.
iv) Servizi di viaggio, riunioni ed eventi
American Express è una delle più grandi agenzie di viaggio del mondo e ogni anno effettua milioni di prenotazioni di viaggi per consumatori e singoli dipendenti di clienti aziendali e, in via eccezionale, per i loro compagni di viaggio, che potrebbero voler viaggiare in qualsiasi parte del mondo.
American Express Global Business Travel (GBT) offre inoltre esperienza nella gestione dei viaggi ai clienti aziendali e assiste i Clienti nell'organizzazione di riunioni ed eventi a livello globale. I dettagli sulle attività di elaborazione di GBT sono disponibili qui- https://privacy.amexgbt.com/.
American Express offre anche servizi di viaggio per consumatori a singoli consumatori, ma principalmente a coloro che sono titolari di una carta di marca American Express.
- A tal fine, la nostra società tratta i Dati personali dei Clienti principalmente per gestire il rapporto commerciale; fornire servizi, condurre ricerche e analisi per migliorare i nostri prodotti e servizi; comprendere meglio i nostri Clienti e fornire un servizio più personalizzato; promuovere i nostri prodotti e servizi subordinatamente all’acquisizione del Consenso ove previsto dalla Normativa applicabile in materia di protezione dei dati o per ottemperare alle leggi applicabili.
v) Risorse umane
Le Società American Express vincolate dalle norme BCR trattano inoltre i Dati personali dei Dipendenti principalmente allo scopo di amministrare e rispettare il rapporto di lavoro con i Dipendenti American Express (ad esempio, nomine o licenziamenti, controllo dei precedenti, gestione delle prestazioni, gestione del lavoro o altre questioni del personale in relazione alla gestione dei rapporti con i Dipendenti ); e per conformarsi alle politiche interne e alle leggi applicabili.
- Descrizione dei tipi di Dati personali
I tipi di Dati personali trattati sono esposti nelle varie Informative American Express sulla Privacy applicabili alle relazioni dei Soggetti interessati con American Express e possono essere generalmente così descritti:
i) Dati personali dei clienti
I Dati personali dei Clienti possono includere dati personali (come nome, indirizzo e altre informazioni di contatto), informazioni relative a prodotti e servizi utilizzati e acquistati; merito creditizio; attività online incluse, ad esempio, informazioni che la nostra società raccoglie quando i Clienti accedono ai nostri servizi di account online o tramite cookie e tecnologie simili; informazioni relative allo stile di vita e alle circostanze sociali; ecc. Per prestare i servizi relativi a viaggi, riunioni ed eventi, American Express deve trattare i Dati personali relativi al viaggiatore, inclusi nazionalità, dettagli del passaporto, sesso, data di nascita, luogo e preferenze di viaggio (nell’insieme “Dati personali dei Clienti ”).
In alcuni casi, i Dati personali dei Clienti possono includere Speciali Categorie di Dati, come le informazioni biometriche a fini di sicurezza (ad esempio, ID vocale) o, per i servizi relativi ai viaggi, i dettagli di qualsiasi disabilità che possa influire sulla capacità di viaggiare.
ii) Dati personali dei Dipendenti
I Dati personali dei Dipendenti spesso includono, ad esempio, dati personali (come nome, indirizzo, data di nascita, numero di telefono), dati familiari, informazioni relative allo stile di vita e alle circostanze sociali; prodotti e servizi utilizzati; attività online; merito creditizio; carica pubblica ricoperta; stato di immigrazione; istruzione e storia lavorativa nonché altre informazioni relative all'occupazione come prestazioni o designazioni di talenti e informazioni su retribuzioni e benefici (nell’insieme “Dati personali dei Dipendenti ”).
In alcuni casi, e dove consentito dalle leggi nazionali, i Dati personali dei Dipendenti possono includere Speciali Categorie di Dati, comprese le informazioni riguardanti l'origine razziale ed etnica, l'orientamento sessuale, le informazioni sulla salute dei Dipendenti, i programmi di salute sul lavoro, i dati biometrici, il monitoraggio delle pari opportunità, le informazioni sui sindacati e i consigli di fabbrica.
Le Società American Express vincolate dalle norme BCR sono ubicate nei seguenti paesi:
- Argentina
- Austria
- Australia
- Belgio
- Canada
- Cina
- Colombia
- Repubblica ceca
- Danimarca
- Finlandia
- Francia
- Germania
- Grecia
- Hong Kong
- Ungheria
- India
- Irlanda
- Italia
- Giappone
- Jersey
- Malesia
- Messico
- Paesi Bassi
- Norvegia
- Filippine
- Polonia
- Russia
- Singapore
- Slovacchia
- Spagna
- Svezia
- Svizzera
- Taiwan
- Tailandia
- Regno Unito
- Stati Uniti d'America
“AEESA” – indica la società American Express Europe, S.A., avente sede in Avenida Partenón 12 -14, Madrid, 28042. AEESA è la società europea di American Express che ha assunto la responsabilità di assicurare che i Dati personali siano trattati in conformità con le norme BCR. AEESA è una parte firmataria dell’ Accordo Infragruppo.
“Società American Express vincolata dalle norme BCR” o “Società American Express vincolate dalle norme BCR” o “la nostra società” o “noi” – indica le società American Express che sono vincolate dalle Norme aziendali vincolanti.
“American Express Company” - indica American Express Company, avente sede nel World Financial Center, 200 Vesey St., New York, NY 10285 USA. American Express Company è una parte firmataria dell’ Accordo Infragruppo.
“Informativa sulla Privacy di American Express” - indica l’Informativa sulla privacy del titolare della carta (per i titolari di carta), l’ Informativa sulla privacy online (per i Clienti e coloro che visitano il sito web), l’ Informativa sulla privacy per le assunzioni online (per i potenziali Dipendenti), o l’Informativa sulla privacy dei dipendenti (per gli attuali Dipendenti), e altri avvisi, termini e condizioni (ad esempio per esercenti e clienti aziendali) applicabili al rapporto del Soggetto interessato con American Express e successive modifiche.
“Normativa applicabile in materia di protezione dei dati” – indica il GDPR (e le normative nazionali di attuazione), la Direttiva e-Privacy 2002/58/CE (e le legislazioni nazionali di attuazione), e qualsiasi altra legge e regolamento sulla protezione dei dati applicabile nel SEE (e successive modifiche e sostituzioni).
“Consenso” – s’intende qualsiasi indicazione liberamente data, specifica, informata e inequivocabile, mediante una dichiarazione o una chiara azione dichiarativa, dell’assenso prestato dai Soggetti interessati al Trattamento dei loro Dati personali.
“Violazione dei dati” o “Violazione dei dati personali” - indica una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata, o accesso ai Dati personali trasmessi, archiviati o diversamente trattati.
“Titolare del Trattamento” - indica la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che, da solo o insieme ad altri, determina le finalità e i mezzi del Trattamento dei Dati personali.
“Valutazione dell'impatto sulla protezione dei dati” – indica una valutazione dell'impatto di un'operazione di Trattamento prevista sulla protezione dei Dati personali effettuata laddove è probabile che il Trattamento comporti un rischio elevato per i diritti e le libertà dei Soggetti interessati .
“Soggetto interessato” o “Tu” – si riferisce a una persona fisica identificabile che può essere individuata, direttamente o indirettamente, in particolare facendo riferimento a un elemento identificatore come un nome, un numero di identificazione, dati sull'ubicazione, un elemento identificatore online o a uno o più fattori specifici per l'aspetto fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona fisica nell'ambito delle presenti norme BCR.
“Responsabile del Trattamento” - indica la persona fisica o giuridica, autorità pubblica, agenzia di qualsiasi altro ente che tratta Dati personali per conto e secondo le istruzioni di Titolare del Trattamento.
“SEE” – indica lo Spazio economico europeo, che comprende tutti i paesi dell'UE nonché Islanda, Liechtenstein e Norvegia.
“GDPR” – indica il Regolamento generale sulla protezione dei dati 2016/679.
“Accordo infragruppo” – indica l'accordo infragruppo che vincola le Società American Express vincolate dalle norme BCR alle norme BCR.
“Dati personali” – indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (Soggetto interessato) che rientra nell'ambito di dette norme BCR.
“Trattamento” o “Trattare” – indica qualsiasi operazione o insieme di operazioni che viene eseguita sui Dati personali o su insiemi di Dati personali, con o senza mezzi automatizzati, come la raccolta, registrazione, organizzazione, strutturazione, memorizzazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione.
“Profilazione” – indica il Trattamento automatizzato dei Dati personali destinato ad analizzare, a valutare certi aspetti personali relativi agli individui (come il loro rendimento sul lavoro, l'affidabilità, la serietà, la condotta) o a fare previsioni su di loro.
“Categorie speciali di dati” – indica i Dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici o biometrici trattati ai fini dell'identificazione univoca di una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale di una persona fisica o all'orientamento sessuale.
“Autorità di Vigilanza” – un'autorità pubblica indipendente istituita da uno Stato membro conformemente all'articolo 51 del GDPR .
“Trasferimento” – indica un trasferimento di Dati personali da una società del SEE a un'altra o un trasferimento successivo che sarebbe altrimenti limitato dal GDPR. Un trasferimento viene eseguito tramite una comunicazione, copia o divulgazione di Dati personali attraverso una rete, compreso l'accesso remoto a un database o trasferimento da qualsiasi mezzo a un altro.