Binding Corporate Rules

1. Introduzione

Il Gruppo Total (o “Total”) promuove una cultura e pratiche per la protezione dei dati personali[1] in conformità alla normativa vigente. A tal fine, Total ha implementato delle Binding Corporate Rules (“BCR”, regole aziendali vincolanti).

Il presente documento riassume i principi di protezione dei dati personali che si applicano ai sensi delle nostre BCR e i diritti da esse conferiti.

2. Obiettivo

Le nostre BCR sono un insieme di regole interne vincolanti che si applicano a tutte le società del Gruppo che le hanno adottate. Sono state approvate dalle autorità europee per la protezione dei dati.

Esse consentono alle società del Gruppo di trasferire i dati personali provenienti dallo Spazio Economico Europeo (“SEE”)[2] a società del Gruppo situate al di fuori del SEE, in conformità alle normative vigenti.

3. Ambito di applicazione

Le nostre BCR si applicano a tutti i dati personali provenienti dal SEE e trattati dalle società del Gruppo, compresi i dati relativi a dipendenti, candidati all’assunzione, clienti, potenziali clienti, fornitori, subappaltatori e personale di società terze che agiscono per conto delle società del Gruppo, nonché dei soci (di seguito gli “interessati”).

4. Principi di protezione

I principi enunciati nelle nostre BCR devono essere rispettati.

  • Legalità

Tutte le operazioni di trattamento[3] poste in essere hanno una base legale, prevista dalla legge applicabile.

I dati personali possono essere trattati solo per scopi legittimi, specificati e legali. I dati non devono essere ulteriormente trattati in modo incompatibile con tali finalità.

  • Pertinenza

I dati personali devono essere accurati e proporzionati, in termini di qualità e quantità, in relazione allo scopo dell’operazione di trattamento.

  • Trasparenza

I dati personali devono essere ottenuti in modo corretto e lecito. Gli interessati devono essere informati delle caratteristiche del trattamento e dei loro diritti, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato.

  • Sicurezza

I dati personali devono essere soggetti ad adeguate misure di sicurezza per limitare il rischio di accesso, distruzione, alterazione o perdita non autorizzati.

A tal fine, si applica una serie di standard interni per garantire la sicurezza e la riservatezza dei dati personali:

  • L’Informativa per l’utilizzo delle risorse informatiche e di comunicazione, che richiede di agire nel rispetto delle norme e delle regole di riservatezza;
  • La Politica di sicurezza dei sistemi informativi, che definisce la modalità di governance per la sicurezza dei sistemi informativi;
  • Il quadro di riferimento di sicurezza dei sistemi informativi del gruppo Total, che elenca tutti i requisiti del Gruppo in termini di sicurezza dei sistemi informativi in 19 argomenti dettagliati;
  • La Direttiva sulla sicurezza del patrimonio informativo, che stabilisce i requisiti per la protezione della riservatezza, dell’integrità, della disponibilità e del controllo delle informazioni detenute e scambiate all’interno del Gruppo.

Quando si avvale di un terzo per il trattamento dei dati personali, la società del Gruppo assicura che il terzo offra sufficienti garanzie in termini di sicurezza e riservatezza dei dati.

  • Conservazione

I dati personali possono essere conservati solo per un periodo di tempo ragionevole e non eccessivo rispetto allo scopo dell’operazione di trattamento.

Al termine del periodo di conservazione, i dati vengono distrutti, resi anonimi o archiviati.

  • Trasferimenti[4] internazionali di dati personali

Total non trasferisce dati personali provenienti da un paese del SEE direttamente a una società del Gruppo situata in un paese che non offra un livello di protezione adeguato, tranne quando la società ha formalmente adottato le BCR o utilizza uno degli altri strumenti giuridici riconosciuti dalla Commissione europea.

Total non trasferisce dati personali provenienti dal SEE direttamente a una società esterna al Gruppo (titolare o responsabile del trattamento dei dati) situata in un paese che non offra un livello di protezione adeguato, senza una base giuridica prevista dalla legge applicabile e senza un meccanismo che stabilisca garanzie sufficienti come le clausole contrattuali standard.

Analogamente, quando un importatore di dati trasferisce successivamente dati personali provenienti dal SEE a una società esterna al Gruppo (titolare o responsabile del trattamento dei dati), situata in un paese che non offre un livello adeguato di protezione dei dati, deve firmare un contratto con questa società terza, con il quale quest’ultima si impegna a rispettare i principi delle BCR.

5. Diritti degli interessati

In particolare, le nostre BCR conferiscono ai soggetti i cui dati personali sono trattati i seguenti diritti:

  • Diritto di accesso ai dati
  • Diritto di rettifica, cancellazione o blocco dei dati
  • Diritto di opposizione al trattamento dei dati
  • Diritto di limitazione del trattamento dei dati

[Un elenco dettagliato delle diritti è allegato all’ALLEGATO 1 qui di seguito].

Chiunque può esercitare i propri diritti inviando una richiesta al contatto indicato nell’informativa sul trattamento dei propri dati personali. Total si impegna a rispondere entro i termini di legge.

Inoltre, se una persona ritiene che una società del Gruppo non abbia rispettato le BCR, può presentare un reclamo al Gruppo inviando:

  • Una raccomandata al seguente indirizzo: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

La persona viene informata dello stato di avanzamento del suo reclamo e, se del caso, delle misure previste da Total per rispondere ad esso.

La procedura interna di gestione dei reclami è descritta nell’ALLEGATO 2.

La presentazione di un reclamo a Total non pregiudica il diritto di presentare un reclamo alle autorità competenti per la protezione dei dati personali nel SEE o di adire i tribunali del paese all’interno del SEE in cui ha sede la società del Gruppo responsabile del trasferimento dei dati personali.

6. Governance

Un sistema interno chiamato “Protezione dei dati personali” è responsabile del monitoraggio e del controllo dell’attuazione delle BCR all’interno del Gruppo.

Si compone di:

  • Un Coordinatore per la protezione dei dati aziendali, che organizza e controlla le azioni di conformità a livello di Gruppo;
  • Coordinatori di filiale per la protezione dei dati personali, che guidano e coordinano le azioni di conformità a livello di filiale;
  • Delle reti di protezione dei dati personali, che guidano e coordinano le azioni di conformità a livello di Entità o Società.

7. Controllo interno e audit

Al fine di garantire la corretta applicazione delle nostre BCR, vengono implementati sistemi di controllo interno e di audit.
La rete di protezione dei dati personali definisce un piano di controllo interno annuale per valutare la conformità delle operazioni di trattamento del Gruppo con le nostre BCR. Il reporting è organizzato anche per riferire regolarmente sui piani d’azione a seguito delle valutazioni.

Inoltre, la Direzione di audit interna del Gruppo include anche il controllo del sistema di protezione dei dati personali nel suo piano di audit periodico.

8. Aggiornamento delle BCR di Total

Se necessario, le nostre BCR possono essere completate o aggiornate.

9. Per maggiori informazioni

È possibile ottenere una copia della versione completa delle nostre BCR e l’elenco delle società del Gruppo che li hanno adottati inviando una e-mail al seguente indirizzo: data-protection@total.com

ALLEGATO 1
DIRITTI DI TERZI BENEFICIARI

Le nostre BCR concedono agli interessati il diritto di farle valere come beneficiari terzi.

In particolare, essi possono applicare i seguenti principi secondo i termini e le condizioni stabilite nelle nostre BCR:

  • Qualsiasi trattamento effettuato all’interno del Gruppo si basa su una base legale prevista dalla legge applicabile;
  • Total raccoglierà ed elaborerà i Dati personali per scopi legittimi, specificati ed espliciti, e non elaborerà ulteriormente i Dati personali in modo incompatibile con lo scopo per cui sono stati raccolti;
  • Total deve trattare i Dati personali che siano pertinenti e non eccessivi rispetto alle finalità per le quali sono raccolti e che siano esatti e, se necessario, aggiornati;
  • In qualsiasi momento, gli interessati possono accedere facilmente alle informazioni sui loro diritti ai sensi delle BCR;
  • Gli interessati i cui Dati personali provengono dal SEE hanno il diritto di accesso, rettifica e opposizione al trattamento dei loro dati in conformità con la legge applicabile;
  • Gli interessati i cui dati personali provengono dal SEE non dovrebbero essere soggetti a una decisione che produca effetti giuridici che li riguardano o interessino in modo significativo, presa esclusivamente sulla base di un trattamento automatizzato dei dati destinato a valutare alcuni aspetti personali che li riguardano, a meno che tale decisione:
  • sia presa in relazione alla conclusione o all’esecuzione di un contratto, a condizione che la richiesta di conclusione o di esecuzione del contratto, avanzata dall’interessato, sia stata soddisfatta o che misure appropriate, come l’opportunità di esporre il proprio punto di vista, garantiscano la salvaguardia del suo legittimo interesse; oppure
  • sia autorizzata dalla legge applicabile, che specifica anche le misure per salvaguardare l’interesse legittimo dell’interessato;
  • Total deve attuare misure adeguate per garantire la sicurezza e la riservatezza dei dati, tenendo conto dello stato dell’arte e dei costi associati alla loro attuazione;
  • Total deve stipulare un accordo scritto di outsourcing con qualsiasi fornitore di servizi che elabora i Dati personali, stabilendo che tale fornitore di servizi deve agire su istruzioni di Total e deve attuare misure adeguate per garantire la sicurezza e la riservatezza dei dati;
  • Total non trasferisce dati da uno Stato membro del SEE o provenienti dal SEE a una società esterna al Gruppo situata in un Paese terzo che non offre un livello di protezione adeguato (sia esso un controllore esterno dei dati o un subappaltatore) senza una base giuridica prevista dalla legge applicabile e senza un meccanismo che stabilisca garanzie sufficienti;
  • Se una Società del Gruppo ritiene che la legislazione ad essa applicabile potrebbe impedirle di adempiere agli obblighi previsti dalle BCR di Total e avere un impatto negativo sulle garanzie offerte da tali BCR, tale Società deve informare immediatamente l’esportatore di dati, a meno che ciò non sia vietato da un’autorità preposta all’applicazione della legge, in particolare a causa di un divieto di diritto penale di preservare la segretezza dell’indagine;
  • Ogni interessato può presentare un reclamo a Total attraverso il processo interno di gestione dei reclami in conformità con le condizioni stabilite nella sezione “Gestione dei reclami”;
  • Le Società del Gruppo che hanno adottato le BCR devono cooperare con le autorità di vigilanza competenti, seguire le loro raccomandazioni in materia di trasferimento internazionale dei dati in caso di reclamo o di richiesta specifica da parte di tali autorità e accettare di sottoporsi a qualsiasi audit effettuato dall’autorità di vigilanza del loro paese di stabilimento;
  • Ciascun interessato può presentare un reclamo alle autorità nazionali di controllo o intentare un’azione legale dinanzi al tribunale dello Stato membro del SEE in cui è stabilito l’esportatore di dati al fine di far rispettare i principi di cui sopra e, se del caso, ottenere il risarcimento di eventuali danni subiti a seguito di una violazione delle BCR di Total. Se, in occasione di un trasferimento di dati personali al di fuori del SEE, l’importatore di dati non si conforma alle BCR di Total, spetta all’esportatore di dati contestare il reclamo, stabilire che l’importatore di dati non ha violato le BCR e risarcire l’interessato per i danni subiti a seguito di tale violazione.

ALLEGATO 2
PROCESSO INTERNO DI GESTIONE DEI RECLAMI

Se un interessato ritiene che una Società del Gruppo non abbia rispettato le BCR di Total, può presentare un reclamo secondo la procedura indicata nell’informativa specifica per il trattamento o il contratto applicabile o secondo la procedura descritta di seguito.

  • Come presentare un reclamo

l’interessato può presentare un reclamo inviando:

oppure

  • Una raccomandata al seguente indirizzo: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

Il reclamo deve fornire una descrizione il più dettagliata possibile del problema presentato, tra cui:

  • Il Paese e la Società del Gruppo interessati, la violazione delle BCR secondo l’interessato, il rimedio richiesto;
  • Cognomi, nomi e recapiti dell’interessato, nonché una copia del suo documento d’identità o qualsiasi altro documento che ne permetta l’identificazione;
  • Ogni precedente corrispondenza relativa al problema invocato.
  • La risposta di Total

Entro tre mesi dal ricevimento del reclamo, l’interessato verrà informato per iscritto dell’ammissibilità del suo reclamo e, se ritenuto ammissibile, delle misure correttive adottate o previste da Total per rispondervi. Il Branch Data Privacy Lead (“BDPL”) competente assicura che, se necessario, vengano attuate misure correttive adeguate per garantire la conformità alle BCR di Total.
Il BDPL competente trasmette una copia del reclamo e l’eventuale risposta scritta al Corporate Data Privacy Lead (CDPL).

  • Meccanismo di ricorso

Se l’interessato non è soddisfatto della risposta del relativo BDPL (ad es. il reclamo è stato respinto), può contattare il CDPL inviando una e-mail o una raccomandata all’indirizzo sopra indicato. Il CDPL esaminerà il reclamo e prenderà una decisione entro tre mesi dal ricevimento della richiesta. Entro tale termine, il CDPL comunica all’interessato se conferma la risposta iniziale e, in caso contrario, fornisce una nuova risposta.

La possibilità per gli interessati di presentare un reclamo a Total non pregiudica il loro diritto di presentare un reclamo all’autorità nazionale di controllo competente o di ricorrere al tribunale dello Stato membro del SEE in cui è stabilito l’esportatore di dati.

[1] Per dato personale si intende qualsiasi informazione che permetta di identificare, direttamente o indirettamente, una persona fisica.

[2] SEE: Stati membri dell’Unione Europea, nonché Islanda, Liechtenstein e Norvegia.

[3] Il trattamento corrisponde a qualsiasi operazione eseguita o meno con procedimenti automatizzati e applicata ai dati personali (ad es. raccolta, registrazione, conservazione, distruzione, ecc.).

[4] Il trasferimento copre tutti gli scambi, sia virtuali che fisici, da un paese all’altro, di dati personali all’interno del SEE.