Return to top

Le nostre norme BCR sono giuridicamente vincolanti per le Società American Express vincolate dalle norme BCR e i loro Dipendenti in forza di un Accordo infragruppo tra American Express Company e American Express Europe, S.A. (AEESA), legale rappresentante di American Express nel SEE (N.d.T: Spazio economico europeo).

Ciascuna Società American Express vincolata dalle norme BCR e i suoi Dipendenti potrà trattare i Dati personali soltanto in conformità con tali norme BCR. I Dipendenti che violano tali norme BCR potranno essere soggetti ad azioni disciplinari.

Return to top

3.1. Ambito geografico

Le norme BCR si applicano a tutti i Trattamenti dei Dati personali subordinatamente alla Normativa applicabile in materia di protezione dei dati. Si tratta dei Dati personali di un Soggetto interessato che sono o sono stati trattati nel contesto delle attività di una Società American Express vincolata dalle norme BCR costituita nel SEE, anche se il Trattamento viene eseguito da una Società American Express vincolata dalle norme BCR al di fuori del SEE.

3.2. Ambito materiale

Nella sua qualità di Titolare del Trattamento, American Express tratta i Dati personali di ex-dipendenti, di dipendenti presenti e futuri, direttori, appaltatori, consulenti individuali, lavoratori subordinati, personale impiegato da American Express a tempo pieno, parziale, indeterminato o a termine, nonché pensionati ("Dipendenti") e i Dati personali dei propri consumatori passati, presenti e futuri nonché di persone fisiche che lavorano presso i clienti, fornitori e partner aziendali di American Express ("Clienti").

Le finalità per le quali American Express tratta i Dati personali si riferiscono principalmente a servizi di consumo, commerciali, mercantili, assicurativi, viaggi, riunioni ed eventi, servizi di rete e risorse umane.

Per condurre efficacemente le attività globali di American Express, il Trattamento dei Dati personali eseguito dalle Società American Express vincolate dalle norme BCR, per le finalità indicate in tali norme BCR, potrà comportare il trasferimento a livello internazionale dei Dati personali dei Soggetti interessati, da una Società American Express vincolata dalle norme BCR che opera nel SEE a un’altra Società American Express vincolata dalle norme BCR al di fuori del SEE (compresi, dai paesi del SEE agli Stati Uniti, i siti in cui i principali server di American Express sono situati), e qualsiasi altro trasferimento successivo dei Dati personali ricevuti, a terzi al di fuori del gruppo American Express.

Per una visione più completa delle attività di Trattamento svolte da American Express, fare riferimento all’ Appendice 1. Per conoscere l’ubicazione delle nostre Società American Express vincolate dalle norme BCR, fare riferimento all’ Appendice 2.

Return to top

Quando trattano i tuoi Dati personali, le Società American Express vincolate dalle norme BCR si impegnano a rispettare i principi di protezione dei dati (articolo 4.1) e a rispettare i tuoi diritti in materia di protezione dei dati (articolo 4.2).

4.1. Principi di protezione dei dati

4.1.1. Trasparenza e correttezza

Le Società American Express vincolate dalle norme BCR raccoglieranno e tratteranno i tuoi Dati personali in maniera trasparente e in modo equo.

La nostra società assicura che Ti venga fornito un facile accesso alle informazioni sulle nostre attività di Trattamento, come previsto dal Regolamento generale sulla protezione dei dati (GDPR). Queste informazioni Ti vengono fornite in forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice e sono disponibili nella pertinente Informativa di American Express in materia di Privacy, per quanto applicabile al tuo rapporto con la nostra società. Le informative, i termini e le condizioni del servizio possono anche contenere disposizioni aggiuntive rilevanti per il Trattamento dei Dati personali, ai sensi delle leggi e regolamenti nazionali in vigore.

In particolare, quando i Dati personali sono raccolti presso il Soggetto interessato, le seguenti informazioni saranno fornite al momento della raccolta dei Dati personali:

- l'identità e i dati di contatto del Titolare del Trattamento e, se del caso, del suo rappresentante;
- i dati di contatto del DPO;
- le finalità del Trattamento cui sono destinati i Dati personali e la base giuridica del Trattamento;
- i destinatari o le eventuali categorie di destinatari dei Dati personali;
- l’esistenza dei Trasferimenti dei Dati personali verso paesi privi di adeguati livelli di protezione e le misure appropriate di salvaguardia adottate per garantire un livello di protezione identico a quello previsto dal GDPR ;
- il periodo di conservazione dei Dati personali o, se ciò non è possibile, i criteri adoperati per stabilire quel periodo, e l’esistenza dei diritti dei Soggetti interessati riconosciuti dal GDPR.

Quando i Dati personali non sono stati raccolti presso il Soggetto interessato, le informazioni precedenti, nonché le categorie dei Dati personali interessate e la fonte da cui provengono i Dati personali, saranno comunicati tempestivamente (a meno che il Soggetto interessato non disponga già dell'informazione, che la fornitura di tale informazione si riveli impossibile o comporti uno sforzo sproporzionato, che l'ottenimento o la divulgazione sia espressamente prevista dal diritto dell'Unione o degli Stati membri o che i Dati personali debbano rimanere riservati in virtù di un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza legale).

Le nostre norme BCR Ti informano anche in merito ai diritti che sei legittimato a far valere nei confronti di AEESA o di qualsiasi Società American Express vincolata dalle norme BCR come terzo beneficiario per il Trattamento dei tuoi Dati personali ai sensi di dette norme BCR (“Diritti del Terzo beneficiario”) e sui mezzi per esercitare tali diritti (vedi l’articolo 8). Inoltre, tali norme BCR Ti forniranno le informazioni sui principi di protezione dei dati che la nostra società applica quando tratta i tuoi Dati personali (come illustrato nel presente articolo 4) e le informazioni sulla responsabilità assunta dalle Società American Express vincolate dalle norme BCR in caso di violazione di dette norme BCR (vedi l’articolo 8).

Inoltre, Tu potrai sempre ottenere, su richiesta, copia delle nostre norme BCR. Una versione pubblica sarà disponibile sui siti accessibili al pubblico delle Società American Express vincolate dalle norme BCR in tutto lo spazio SEE e nella nostra Intranet se sei un Dipendente.

4.1.2. Legalità del Trattamento

I tuoi Dati personali e le Speciali Categorie di Dati sono raccolti e trattati in modo corretto e legale, in conformità alla Normativa applicabile in materia di protezione dei dati. Le basi giuridiche del Trattamento dei tuoi Dati personali sono descritte più dettagliatamente nella pertinente Informativa sulla Privacy di American Express, per quanto applicabile al tuo rapporto con American Express.

• Trattamento dei Dati personali

I tuoi Dati personali sono raccolti e trattati solo in presenza di una base legale per il Trattamento:

- quando hai espresso il tuo esplicito Consenso (ad esempio, per inviare le Tue comunicazioni via e-mail contenenti avvisi pubblicitari, promozioni e offerte per i prodotti e servizi American Express);

- quando il Trattamento è necessario per eseguire un contratto del quale Tu sei parte contraente o per intraprendere azioni prima di stipulare un contratto (ad esempio, per amministrare il nostro rapporto contrattuale con Te ed elaborare la tua richiesta riguardante il rilascio carta, l’apertura conto o un altro prodotto o per gestire i tuoi conti esistenti);

- quando il Trattamento è necessario per l’osservanza di un obbligo legale (ad esempio, per segnalare determinate transazioni sospette alle autorità competenti ai sensi delle norme antiriciclaggio o come richiesto dalla legge per eseguire la due diligence sui Clienti prima di approvare le loro richieste); o

- quando il Trattamento è necessario ai fini degli interessi legittimi perseguiti da una Società American Express vincolata dalle norme BCR o da terzi) (ad esempio, per fornire prodotti e servizi, pubblicizzare e commercializzare prodotti e servizi, condurre ricerche e analisi e gestire i nostri rischi in materia di frode e sicurezza), a meno che su tali interessi prevalgano i tuoi diritti e libertà fondamentali.

• Trattamento delle Speciali Categorie di Dati

La nostra società potrà raccogliere Speciali Categorie di Dati inclusi i dati riguardanti la salute, i dati biometrici, l’orientamento sessuale o la razza/origine etnica. Tali dati sono raccolti e trattati per adempiere ad obblighi di legge, per finalità indispensabili all'amministrazione del rapporto di lavoro o ove forniti con esplicito Consenso, e solo se consentito dalla normativa vigente.

Talvolta, Tu potresti fornire alla nostra società questo tipo di dati per migliorare il viaggio da compiere con la nostra società (ad esempio, se Tu ci informi su esigenze dietetiche specifiche o necessità di assistenza speciale durante un volo).

Nei limiti in cui le Speciali Categorie di Dati sono raccolte, esse saranno trattate solo secondo una delle basi giuridiche sopra menzionate, purché si applichi una delle condizioni per il Trattamento delle Speciali Categorie di Dati , come ad esempio quando:

Tu hai prestato il tuo esplicito Consenso al Trattamento;

- il Trattamento è necessario al fine di adempiere agli obblighi e ai diritti specifici di American Express nel campo del diritto del lavoro e della sicurezza sociale e della protezione sociale;

- il Trattamento si riferisce alle Speciali Categorie di Dati che Tu hai manifestamente reso pubbliche;

- il Trattamento è necessario per l'istituzione, l'esercizio o la difesa di rivendicazioni legali;

- il Trattamento è necessario per motivi di interesse pubblico notevole, sulla base del diritto dell'Unione o dello Stato membro.

Inoltre, le Società American Express vincolate dalle norme BCR adotteranno misure rafforzate per il Trattamento di Speciali Categorie di Dati , come previsto dalla Normativa applicabile in materia di protezione dei dati.

4.1.3. Minimizzazione dei dati, accuratezza e limitazione dell'archiviazione

Le Società American Express vincolate dalle norme BCR utilizzano la tecnologia appropriata e le pratiche consolidate dei Dipendenti per trattare i tuoi Dati personali in modo tempestivo e accurato.

La nostra società adotta misure ragionevoli per garantire che i tuoi Dati personali siano:

- Accurati e aggiornati rispetto alle finalità per le quali vengono trattati (accuratezza dei dati). Dati personali inaccurati vengono cancellati o rettificati senza indugio;

- Adeguati, pertinenti e non eccessivi rispetto allo scopo per il quale i Dati personali sono raccolti e trattati (minimizzazione dei dati);

- Conservati in una forma identificabile per un periodo non più lungo del necessario per gli scopi per i quali i Dati personali sono trattati, e conservati solo per un periodo più lungo ai fini di archiviazione ovvero in qualsiasi altro modo consentito o richiesto in conformità con le leggi applicabili, e solo quando vengono adottate misure amministrative, tecniche e organizzative appropriate.

4.1.4. Limitazione delle finalità

Le Società American Express vincolate dalle norme BCR raccolgono Dati personali soltanto per finalità specifiche e legittime. La nostra società tratta i tuoi Dati personali in maniera corretta e solo per le finalità che la nostra società Ti ha comunicato, per le finalità autorizzate da Te o dalla Normativa applicabile in materia di protezione dei dati. La nostra società garantirà che i tuoi Dati personali non siano ulteriormente trattati secondo modalità incompatibili con tali finalità.

4.1.5. Sicurezza e riservatezza dei dati

American Express ha attuato e si impegna a mantenere un programma completo di sicurezza delle informazioni scritte conforme alle leggi applicabili e alla Normativa applicabile in materia di protezione dei dati.

Le Società American Express vincolate dalle norme BCR attuano misure amministrative, tecniche e organizzative adeguate per proteggere i tuoi Dati personali da distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai Dati personali trasmessi, archiviati o diversamente trattati. La nostra società terrà i tuoi Dati personali riservati e limiterà l’accesso ai tuoi Dati personali a coloro che ne hanno specificamente bisogno per lo svolgimento della propria attività aziendale, salvo quanto diversamente previsto dalla normativa vigente per la nostra società.

Tali misure garantiscono un livello di sicurezza adeguato al rischio e tengono conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del Trattamento così come del rischio di mutare l’attendibilità e l’entità dei diritti e delle libertà dei Soggetti interessati , e possono includere, a seconda dei casi:

- la pseudonimizzazione e la crittografia dei Dati personali dei Soggetti interessati,

- misure atte a garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi del trattamento;

- misure atte a garantire la capacità di ripristinare la disponibilità e l'accesso ai Dati personali dei Soggetti interessati tempestivamente in caso di incidente fisico o tecnico; e

- un processo atto a testare, misurare e valutare regolarmente l'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del Trattamento.

La nostra società richiede inoltre adeguate misure amministrative, tecniche e organizzative ai soggetti terzi da noi autorizzati a trattare i tuoi Dati personali per nostro conto; inoltre la nostra società sottoscrive impegni contrattuali con i Responsabili del Trattamento interni ed esterni conformi alle tutele richieste dal GDPR.

In particolare, il Trattamento da parte del Responsabile del Trattamento sarà disciplinato da un accordo, che è vincolante per il Responsabile del Trattamento nei confronti del Titolare del Trattamento e che stabilisce l'oggetto e la durata del Trattamento, la natura e le finalità del Trattamento, il tipo di Dati personali e le categorie dei Soggetti interessati nonché gli obblighi e i diritti del Titolare del Trattamento.

Inoltre, nell’accordo devono essere contemplati i seguenti compiti che obbligano il Responsabile del Trattamento a:

- trattare i Dati personali solo su istruzioni documentate del Titolare del Trattamento o a garantire che le persone autorizzate a eseguire il Trattamento dei Dati personali siano impegnate alla riservatezza o abbiano un adeguato obbligo giuridico di riservatezza;

- adottare tutte le misure tecniche e organizzative appropriate necessarie per garantire un livello di sicurezza accettabile;

- non stipulare alcun contratto con altri Responsabili del Trattamento (“Sub-responsabili”), in assenza di preventiva autorizzazione scritta specifica o generale del Titolare del Trattamento e procedere alla stipula solo a condizione che gli stessi obblighi di protezione dei dati stabiliti nel contratto tra il Titolare del Trattamento e il Responsabile del Trattamento siano imposti a tali Sub-responsabili;

- assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, ove possibile, nell'adempimento dell’obbligo del Titolare del Trattamento di rispondere alle richieste compiute dal Soggetto interessato nell’esercizio dei suoi diritti;

- assistere il Titolare del Trattamento nell'adempimento dei propri obblighi riguardanti la sicurezza del Trattamento, le Violazioni dei Dati personali e le Valutazioni dell’impatto sulla protezione dei dati;

- a scelta del Titolare del Trattamento, eliminare o restituire tutti i Dati personali al Titolare del Trattamento al termine della prestazione dei servizi relativi al Trattamento, ed eliminare le copie esistenti a meno che la legge applicabile non richieda la conservazione dei Dati personali;

- mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall'articolo 28 del GDPR riguardante i Responsabili del Trattamento e consentire e contribuire alle verifiche, anche ispettive, condotte dal Titolare del Trattamento o da altro revisore incaricato dal Titolare del Trattamento.

Inoltre, le Società American Express vincolate dalle norme BCR hanno posto in essere misure amministrative, tecniche e organizzative atte a rilevare, indagare, intensificare e porre rimedio alle Violazioni dei Dati personali. Il DPO di American Express riceve notifica delle Violazioni dei Dati personali dalle Società American Express vincolate dalle norme BCR senza ritardi ingiustificati e decide se notificare ciò alla competente Autorità di Vigilanza e ai Soggetti interessati in conformità con quanto prescritto dal GDPR. Le Violazioni dei Dati personali sono documentate (compresi i fatti relativi alle Violazioni dei Dati Personali, ai loro effetti e alle azioni correttive intraprese) e la documentazione è messa a disposizione dell'Autorità di Vigilanza su richiesta.

4.1.6. Trasferimenti successivi

I tuoi Dati personali sono trasferiti tramite le Società American Express vincolate dalle norme BCR e in seguito a terze parti, garantendo sempre un livello adeguato di protezione per il Trattamento dei tuoi dati come previsto dalla Normativa applicabile in materia di protezione dei dati, indipendentemente dal luogo in cui sono trasferiti.

Questo flusso di dati è legittimato tramite la nostra norma BCR, che consente alla nostra società di trasferire Dati personali dal SEE alle Società American Express vincolate dalle norme BCR situate al di fuori del SEE.

In tutti i casi di Trasferimenti successivi (ossia, dei Dati personali che sono stati dapprima trasferiti da una Società American Express vincolata dalle norme BCR situata nel SEE a una Società American Express vincolata dalle norme BCR non situata nel SEE e successivamente trasferiti a terze parti non previste dalla norma BCR), le Società American Express vincolate dalle norme BCR faranno in modo di stipulare un accordo scritto con dette terze parti contenente clausole che assicurino la protezione dei Dati personali almeno secondo gli standard di riservatezza e sicurezza contemplati da tali norme BCR, o di utilizzare un altro metodo legale valido per garantire che il Trasferimento sia legittimo e siano fornite garanzie adeguate ai sensi dell'articolo 46 del GDPR.

4.1.7. Responsabilità

Tutte le Società American Express vincolate dalle norme BCR hanno la responsabilità e devono dimostrare l’osservanza di tali norme BCR. L’osservanza di tali obblighi include:

- la conservazione delle registrazioni elettroniche delle attività di Trattamento, a disposizione delle Autorità di Vigilanza su richiesta, che contengano le informazioni previste dal GDPR, come il nome e i dati di contatto del Titolare del Trattamento, le finalità del Trattamento, le categorie dei Soggetti interessati e le categorie dei Dati personali, i destinatari dei Dati personali, i Trasferimenti a paesi al di fuori del SEE, i termini per la cancellazione delle categorie di Dati personali e la descrizione delle misure di sicurezza applicate);

- il completamento delle Valutazioni dell'impatto sulla protezione dei dati (applicabile solo quando è probabile che le attività di Trattamento comportino un rischio elevato per i diritti e le libertà dei Soggetti interessati); e

- la consultazione con le Autorità di Vigilanza competenti quando richiesto per dimostrare tale osservanza.

Inoltre, le Società American Express vincolate dalle norme BCR hanno messo in atto misure amministrative, tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e per facilitare l’osservanza dei requisiti stabiliti dalle presenti norme BCR (protezione dei dati per progettazione e per impostazione predefinita).

4.2. Diritti dei Soggetti interessati

•  Diritti di accesso, limitazione, opposizione, rettifica, cancellazione, diritto di revoca di Consenso e di portabilità dei dati 

Le Società American Express vincolate dalle norme BCR ottemperano alle tue richieste di esercizio dei diritti che Ti sono riconosciuti dal GDPR, ove applicabile. Più specificamente, la nostra società si assicura che Tu possa esercitare il diritto di:

- accedere ai tuoi Dati personali (diritto di accesso);

- limitare e/o opporsi al Trattamento dei tuoi Dati personali (diritto alla limitazione del Trattamento e diritto di opporsi al Trattamento);

- rettificare i tuoi Dati personali (diritto di rettifica);

- cancellare i tuoi Dati personali (diritto alla cancellazione);

- revocare un Consenso precedentemente fornito per il Trattamento, e

- ricevere i tuoi Dati personali in un formato strutturato, di uso comune e leggibile da una macchina e/o trasmettere tali dati a un altro Titolare del Trattamento (diritto alla portabilità dei dati).

Le Società American Express vincolate dalle norme BCR sono soggette a linee di condotta in merito alla modalità di gestione di tali richieste per garantire che Tu disponga dei mezzi per esercitare detti diritti. Qualora Tu intenda esercitare i tuoi diritti, potrai contattare il nostro DPO all’indirizzo DPO-Europe@aexp.com.

• Processo decisionale automatizzato

Le Società American Express vincolate dalle norme BCR garantiscono che Tu non sia soggetto a decisioni basate esclusivamente sul Trattamento automatizzato dei Dati personali, inclusa la Profilazione, che producono effetti legali o effetti significativi simili, a meno che il Trattamento sia:

- necessario per stipulare o eseguire un contratto tra Te e American Express;

- autorizzato da una legge a cui American Express è soggetta e che prevede anche misure idonee a salvaguardare i tuoi diritti, libertà e interessi legittimi; o

- basato sul tuo esplicito Consenso a tale Trattamento.

In conformità con le leggi applicabili, la nostra società metterà in atto misure adeguate a salvaguardare i tuoi diritti, le tue libertà e interessi legittimi, quantomeno il diritto di ottenere l'intervento umano, di esprimere il tuo punto di vista e di contestare la decisione.

In linea con tali limitazioni, la nostra società potrà utilizzare processi automatizzati per assumere talune decisioni, ad esempio, per scoprire e gestire le frodi (ad esempio, per decidere se il tuo account viene utilizzato per scopi di frode o riciclaggio di denaro o per scoprire se i truffatori hanno effettuato l'accesso al tuo account); o per elaborare le richieste di carte e valutare i rischi di credito e di sicurezza. Questi metodi vengono regolarmente testati per garantire che rimangano equi, efficaci e imparziali.

Tu potrai contattare il nostro DPO all’indirizzo DPO-Europe@aexp.com per esercitare il tuo diritto di richiedere una revisione manuale di alcune attività automatizzate di Trattamento che possono avere un impatto sui tuoi diritti legali o altri diritti contrattuali o che possono avere un effetto giuridico analogo.

BACK TO TOP

American Express ha nominato un DPO che vigila sull'osservanza delle norme BCR. Il DPO ha i seguenti compiti:

- informa e consiglia le società American Express e i Dipendenti American Express riguardo agli obblighi a loro carico previsti dalla Normativa applicabile in materia di protezione dei dati;

- vigila sull’osservanza della Normativa applicabile in materia di protezione dei dati attraverso la valutazione dei principali indicatori di rischio e dei controlli. Il DPO riferisce i risultati di queste attività di monitoraggio al competente forum interno di governance di alto livello;

- fornisce consulenza in relazione alle Valutazioni dell’impatto sulla protezione dei dati e vigila sui risultati delle stesse;

- collabora con le Autorità di Vigilanza; e

- funge da punto di contatto per le Autorità di Vigilanza.

Il DPO, nominato sulla base delle qualità professionali, riferisce al Responsabile della Privacy di American Express. Il DPO è nominato dalle società American Express europee Consigliere di amministrazione di AEESA e di American Express Payments Europe SA, rispettivamente le principali entità emittenti e acquirenti del gruppo in Europa.

La nomina è comunicata alle Autorità di Vigilanza dei paesi europei in cui American Express si stabilisce.

Il DPO lavora a stretto contatto con una rete di specialisti in materia di privacy e consulenti legali esperti in compliance presenti in ogni mercato europeo che monitorano l’osservanza della Normativa applicabile in materia di protezione dei dati nella loro regione. Il DPO è supportato nelle sue mansioni dal Global Privacy Office guidato dal Responsabile della Privacy di American Express.

BACK TO TOP

Tutte le Società American Express vincolate dalle norme BCR forniscono materiali e corsi di formazione appropriati per tutti i Dipendenti, e in particolare per i Dipendenti che raccolgono, trattano, hanno accesso permanente o regolare ai Dati personali o che sono coinvolti nello sviluppo di strumenti utilizzati ai fini del Trattamento dei Dati personali, per assicurarsi che essi siano a conoscenza degli obblighi a loro carico previsti dalla Normativa applicabile in materia di protezione dei dati e da queste norme BCR. Tali corsi sono obbligatori, e il loro completamento è monitorato.

BACK TO TOP

American Express ha attuato un programma di conformità che prevede regolari controlli di conformità e audit dell’operatività riguardante le Società American Express vincolate dalle norme BCR (da parte di revisori interni o, ove necessario, di revisori esterni) per assicurarsi che le norme BCR e tutte le relative linee di condotta e procedure siano osservate e aggiornate.

Gli audit sulla protezione dei dati coprono tutti gli aspetti delle norme BCR, compresi i metodi per garantire l'attuazione di misure correttive.

Ulteriori audit sulla protezione dei dati possono essere richiesti dal DPO di propria iniziativa o su specifica richiesta di una Società American Express vincolata dalle norme BCR. Il gruppo di audit interno American Express, in qualità di organismo di controllo indipendente, valuterà l'opportunità di tali richieste di audit in base al proprio quadro di valutazione del rischio.

I risultati di questi controlli di conformità e audit saranno comunicati al Global Privacy Office di American Express, al DPO, alla competente Autorità di Vigilanza (se previsto) e messi a disposizione del Comitato di controllo del Consiglio di Amministrazione di American Express Company. Laddove si riscontri un divario di conformità, la pertinente Società American Express vincolata dalle norme BCR dovrà seguire le indicazioni specifiche del DPO. Laddove le indicazioni non possano essere osservate, la Società American Express vincolata dalle norme BCR deve documentare il motivo di tale inosservanza.

American Express collaborerà inoltre con eventuali controlli di conformità condotti da qualsiasi Autorità di Vigilanza con il foro competente, indipendentemente dal fatto che siano avviati in risposta a un reclamo presentato da un Soggetto interessato, o d’iniziativa dell’Autorità di Vigilanza

BACK TO TOP

8.1. Responsabilità delle Società American Express vincolate dalle norme BCR

Le Società American Express vincolate dalle norme BCR sono responsabili dell’osservanza delle norme BCR. Oltre alle responsabilità individuali delle Società American Express vincolate dalle norme BCR, AEESA accetterà di assumere la responsabilità per qualsiasi violazione delle norme BCR compiuta da una Società American Express vincolata dalle norme BCR al di fuori del SEE che tratti Dati personali secondo la Normativa applicabile in materia di protezione dei dati. AEESA avrà il diritto di intraprendere qualsiasi iniziativa necessaria per porre rimedio alle azioni o alle omissioni compiute da una Società American Express vincolata dalle norme BCR che tratti i Dati personali in violazione delle norme BCR.

AEESA è tenuta a pagare il risarcimento dovuto per eventuali danni materiali o immateriali subiti da Soggetti interessati derivanti dalla violazione delle norme BCR. Il risarcimento deve essere concordato dal DPO prima che venga presentata un'offerta di risarcimento o pagamento. Tutti i risarcimenti corrisposti saranno a totale soddisfacimento della richiesta avanzata da un Soggetto interessato nei confronti di tutte le Società American Express vincolate dalle norme BCR. A scanso di dubbi, la responsabilità di AEESA si estende a tutte le azioni o omissioni compiute da una Società American Express vincolata dalle norme BCR non situata nel SEE che violi le norme BCR.

Qualora una Società American Express vincolata dalle norme BCR (incluso il caso in cui tale società sia situata al di fuori del SEE) violi le norme BCR, i tribunali europei competenti avranno giurisdizione in relazione a tale violazione. Nella misura in cui una Società American Express vincolata dalle norme BCR viola le norme BCR, i Soggetti interessati , le Autorità di Vigilanza e i tribunali delle giurisdizioni competenti potranno esercitare i loro diritti e intentare un’azione contro AEESA come se tale condotta fosse stata tenuta da AEESA nel SEE (per ulteriori informazioni sul modo di presentare una richiesta di risarcimento, fare riferimento all’articolo 9 di seguito).

8.2. Diritti di terzi beneficiari

Ciascun Soggetto interessato potrà far valere nei confronti di AEESA o di una Società American Express vincolata dalle norme BCR, i termini delle seguenti clausole delle norme BCR come terzo beneficiario:

- principi di protezione dei dati (articolo 4.1);

- trasparenza e facile accesso alle norme BCR (articoli 1.2 e 4.1.1);

- diritti dei Soggetti interessati (articolo 4.2);

- compliance, esecuzione e responsabilità (articolo 8);

- diritto di presentare una richiesta di risarcimento tramite il meccanismo di reclamo interno di American Express (articolo 9);

- diritto di presentare una richiesta di risarcimento presso l’Autorità di Vigilanza e davanti al tribunale europeo competente (articolo 9);

- collaborazione con le Autorità di Vigilanza (articolo 10); e

- conflitti legislativi (articolo 11.1).

8.3. Onere della prova

AEESA ha l'onere di provare che la Società American Express vincolata dalle norme BCR situata al di fuori del SEE non è responsabile per presunte violazioni delle norme BCR che danno luogo alla richiesta di risarcimento del Soggetto interessato per danni. Qualora AEESA sia in grado di provare che una Società American Express vincolata dalle norme BCR al di fuori del SEE non è responsabile dell’evento che aveva dato luogo al danno, AEESA e tale società potranno liberarsi da tale responsabilità.

BACK TO TOP

Se Tu desideri presentare un reclamo o una richiesta di risarcimento ed esercitare i tuoi diritti in relazione a tali norme BCR, sei invitato a contattare il DPO in qualsiasi momento, scrivendo alla sede di AEESA presso American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid/SPAGNA o via e-mail all’indirizzo DPO-Europe@aexp.com.

Il nostro DPO tratterà i tuoi reclami senza ritardi ingiustificati e in ogni caso entro un mese. Tenuto conto della complessità e del numero delle richieste, tale periodo di un mese può essere prorogato al massimo di altri due mesi, nel qual caso la nostra società Ti informerà al riguardo.

Per ulteriori informazioni sul processo di gestione dei reclami di American Express e sul modo in cui presentare un reclamo, poi prendere visione della nostra Informativa online sulla Privacy.

Se il problema non viene risolto in modo per te soddisfacente, potrai anche:

- presentare un reclamo presso l’Autorità di Vigilanza nello Stato membro della tua residenza abituale, luogo di lavoro o luogo della presunta violazione;

- portare la tua richiesta davanti a un tribunale competente del paese europeo in cui la Società American Express vincolata dalle norme BCR interessata è stata costituita oppure dove Tu hai la tua residenza abituale e, se del caso, ottenere il risarcimento dei danni che hai subito a causa della violazione dei sopra menzionati Diritti di terzi beneficiari.

BACK TO TOP

Tutte le Società American Express vincolate dalle norme BCR dovranno collaborare e accettare di essere sottoposte a controllo da parte di qualsiasi competente Autorità di Vigilanza e si atterranno al parere di tali Autorità di Vigilanza su qualsiasi questione riguardante la Normativa applicabile in materia di protezione dei dati.

Qualora l’Autorità di Vigilanza rilevi che una delle Società American Express vincolate dalle norme BCR ha violato uno dei diritti concessi ai Soggetti interessati ai sensi di tali norme BCR, detta Società American Express vincolata dalle norme BCR si atterrà alle decisioni dell’Autorità di Vigilanza, fermo restando il diritto di impugnazione o il ricorso avverso tali decisioni.

BACK TO TOP

11.1. Legislazione nazionale che impedisce l’osservanza delle norme BCR EU

Nel caso in cui una Società American Express vincolata dalle norme BCR abbia motivo di ritenere che una legge a cui essa è soggetta preclude l’osservanza delle norme BCR o può avere un effetto considerevole sulle garanzie stabilite nelle norme BCR, il contatto competente per questa Società American Express vincolata dalle norme BCR informerà il DPO presso AEESA a meno che ciò non sia proibito dalle leggi applicabili. Ove necessario, il DPO notificherà all'Autorità di Vigilanza competente il conflitto di leggi, salvo nella misura vietata dalle leggi applicabili.

Qualora una Società American Express vincolata dalle norme BCR riceva una richiesta di Dati personali da un'autorità incaricata dell’applicazione della legge o da un organismo di sicurezza dello Stato, il DPO informerà l'Autorità di Vigilanza competente in merito alla richiesta (comprese le informazioni sui dati richiesti, l'organismo richiedente e la base giuridica per la divulgazione). Se, in casi specifici, la sospensione e/o notifica all’Autorità di Vigilanza competente è vietata dalla legge applicabile, American Express farà del suo meglio per derogare a tale divieto di comunicare tempestivamente quante più informazioni alla competente Autorità di Vigilanza, e poter dimostrare di averlo fatto.

Qualora, nei casi di cui sopra, nonostante ogni ragionevole sforzo compiuto, la Società American Express vincolata dalle norme BCR non sia in grado di dare comunicazione alla competente Autorità di Vigilanza, fornirà ogni anno informazioni generali sulle richieste che avrà ricevuto alla competente Autorità di Vigilanza (quali il numero di richieste di divulgazione, il tipo di Dati personali richiesti, il nome del richiedente se possibile, ecc.).

In ogni caso, i trasferimenti di Dati personali da una Società American Express vincolata dalle norme BCR a un’autorità pubblica non saranno massicci, sproporzionati e indiscriminati. Questa limitazione si applica a qualsiasi richiesta legalmente vincolante di divulgazione di Dati personali presentata da un'autorità incaricata dell'applicazione della legge o da un organismo di sicurezza dello Stato.

11.2. Rapporto tra le leggi nazionali e le norme BCR UE

Laddove la Normativa applicabile in materia di protezione dei dati richieda un livello di protezione più elevato per i Dati personali, tali leggi sulla protezione dei dati prevarranno su queste norme BCR.

BACK TO TOP

La nostra società potrà aggiornare i termini delle proprie norme BCR per, ad esempio, tener conto delle modifiche del contesto normativo o della struttura aziendale. La nostra società si impegna a segnalare senza ritardi ingiustificati le modifiche sostanziali apportate alle proprie norme BCR a tutte le Società American Express vincolate dalle norme BCR e all’AEPD. Qualsiasi modifica alle norme BCR o all'elenco delle Società American Express vincolate dalle norme BCR verrà segnalata una volta all'anno alle Autorità di Vigilanza interessate, attraverso la competente Autorità di Vigilanza con una breve spiegazione dei motivi che giustificano l'aggiornamento. Laddove una modifica possa influire sul livello di protezione offerto dalle presenti norme BCR o influire in modo significativo su tali norme BCR, sarà prontamente comunicata alle Autorità di Vigilanza interessate, attraverso la competente Autorità di Vigilanza.

American Express ha individuato un team che mantiene un elenco completamente aggiornato delle Società American Express vincolate dalle norme BCR e tiene traccia e registra eventuali aggiornamenti alle norme e fornisce le informazioni necessarie ai Soggetti interessati o alle Autorità di Vigilanza su richiesta. Inoltre, le Società American Express vincolate dalle norme BCR non eseguiranno alcun trasferimento a una nuova Società American Express vincolata dalle norme BCR fino a quando questa nuova società non sarà effettivamente vincolata da queste norme BCR e potrà garantirne l’osservanza.

BACK TO TOP

Le Società American Express vincolate dalle norme BCR sono ubicate nei seguenti paesi:

• Argentina
• Austria
• Australia
• Belgio
• Canada
• Cina
• Colombia
• Repubblica ceca
• Danimarca
• Finlandia
• Francia
• Germania
• Grecia
• Hong Kong
• Ungheria
• India
• Irlanda
• Italia
• Giappone
• Jersey
• Malesia
• Messico
• Paesi Bassi
• Norvegia
• Filippine
• Polonia
• Russia
• Singapore
• Slovacchia
• Spagna
• Svezia
• Svizzera
• Taiwan
• Tailandia
• Regno Unito
• Stati Uniti d'America