Skip to content

Versione Ridotta Delle Norme Vincolanti D’impresa di Total

VERSIONE RIDOTTA
DELLE NORME VINCOLANTI D’IMPRESA DI TOTAL

  1.    Premessa

    Il Gruppo Total (o “Total”) promuove una cultura aziendale e delle pratiche che puntano alla tutela dei dati personali1, ai sensi della normativa applicabile. A tal fine, Total istituisce delle Norme Vincolanti d'Impresa (“NVI”).

    Il presente documento riassume i principi di tutela dei dati che si applicano ai sensi delle nostre NVI e i diritti che conferiscono.
     

  2.    Finalità

    Le nostre NVI sono norme vincolanti interne che si applicano a tutte le filiali Total che le abbiano adottate. Sono state approvate dalle autorità europee di tutela dei dati.

    Esse permettono alle filiali Total il trasferimento dei dati personali provenienti dallo Spazio economico europeo (“SEE”)2 alle filiali Total situate all’esterno dello stesso, ai sensi della normativa applicabile.
     

  3.    Campo d’applicazione

    Le nostre NVI si applicano a tutti i dati personali provenienti dallo SEE e trattati dalle filiali Total inclusi i dati relativi a collaboratori presenti e passati, candidati alla posizione lavorativa, clienti effettivi e potenziali, fornitori, subfornitori, e allo staff di società terze che agiscano in nome delle filiali del Gruppo nonché agli azionisti (qui di seguito “interessati al trattamento”).
     

  4.    Principi di tutela

    I seguenti principi definiti nelle nostre NVI devono essere rispettati, tra di essi:

       •   Legalità

    Tutte le operazioni di trattamento3 eseguite si basano su fondamenti giuridici previsti dalla normativa vigente.

    I dati personali devono essere trattati esclusivamente per finalità legali, determinate e legittime. I dati non possono essere ulteriormente trattati in maniera incompatibile con tali finalità.

       •   Rilevanza

    I dati personali devono essere esatti e adeguati, in termini di qualità e quantità, in riferimento alla finalità del trattamento.

       •   Trasparenza

    I dati personali devono essere ottenuti legalmente e lealmente. Gli interessati al trattamento dei dati devono essere informati sulle caratteristiche del trattamento dei loro dati personali e sui loro diritti, a meno che sia impossibile o che comporti un impegno sproporzionato.

       •   Sicurezza

    I dati personali devono essere tutelati con adeguati mezzi di sicurezza per arginare il rischio di accessi, cancellazioni, alterazioni o perdite non autorizzate.

    A tal fine, sono applicate un insieme di norme interne che permettono di garantire la sicurezza e la riservatezza dei dati personali:

       •   la Carta di utilizzo delle risorse informatiche e di comunicazione, che impone di agire nel rispetto della regolamentazione vigente e della normativa sulla privacy;
       •   la politica di Sicurezza dei sistemi informatici, che definisce la modalità di gestione della sicurezza dei sistemi informatici;
       •   il Sistema di riferimento per la sicurezza dei sistemi informatici, che elenca, attraverso 19 tematiche dettagliate, i diversi requisiti del Gruppo in riferimento ai sistemi di sicurezza informatici;
       •   la politica di Tutela delle informazioni, che presenta i requisiti relativi alla protezione della riservatezza, integrità e disponibilità delle informazioni conservate e scambiate all’interno del Gruppo

    Qualora dovesse ricorrere ai servizi di una parte terza per il trattamento dei dati personali, la filiale Total si assicurerà che tale parte terza offra adeguate garanzie in riferimento alla sicurezza e alla riservatezza dei dati.

       •   Conservazione

    I dati personali possono essere conservati soltanto per un periodo di tempo ragionevole e non eccessivo rispetto alle finalità del trattamento.

    Una volta decorso il termine di conservazione, i dati saranno distrutti, resi anonimi o archiviati.

       •   Trasferimenti internazionali4 dei dati personali

    Total non trasferisce i dati personali provenienti dallo SEE direttamente a una filiale Total situata in un paese terzo che non fornisca un adeguato livello di protezione, a meno che tale filiale abbia formalmente sottoscritto alle NVI o adotti un altro strumento legale riconosciuto dalla Commissione europea.

    Total non trasferisce i dati personali provenienti dallo SEE direttamente a una società che non faccia parte del Gruppo situata in un paese che non offra un livello adeguato di protezione dei dati (titolare del trattamento o responsabile del trattamento) senza un fondamento giuridico previsto dalla normativa applicabile e senza strumenti che offrano garanzie sufficienti, come le clausole contrattuali standard.

    Parimenti, qualora un importatore di dati trasferisca ulteriormente i dati personali provenienti dallo SEE a una società che non faccia parte del Gruppo (titolare del trattamento o responsabile del trattamento) situata in un paese che non offra un adeguato livello di tutela dei dati, l’importatore di dati dovrà concludere un accordo con detta società attraverso cui si impegna a rispettare le NVI.
     

  5.    Diritti degli interessati al trattamento

    Le nostre NVI conferiscono i seguenti diritti agli interessati i cui dati personali siano oggetto di trattamento:

       •   Diritto di accesso ai dati

       •   Diritto di rettifica e cancellazione dei dati e limitazione dell'accesso

       •   Diritto di opposizione al trattamento

       •   Diritto di limitazione del trattamento

    [Le NVI offrono un elenco esaustivo dei diritti concessi nell’APPENDICE 1 di cui nel prosieguo].

    Gli interessati al trattamento dei dati possono esercitare tali diritti inoltrando una richiesta avvalendosi dei recapiti forniti nelle note legali riguardanti il trattamento dei loro dati. Le filiali Total si impegnano a fornire una risposta entro i termini sanciti dalla legge in merito alle richieste relative al trattamento dei dati all’esterno dello SEE.

    Inoltre, qualora gli interessati al trattamento fossero persuasi che la filiale Total non abbia ottemperato alle NVI, essi hanno il diritto di presentare un reclamo inviando:

       -   un’e-mail a: [email protected]

    o

       -   una lettera a TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Gli interessati al trattamento dei dati saranno informati sull’avanzamento del reclamo e degli eventuali passaggi successivi.

    La procedura di reclamo interna è descritta nell’APPENDICE 2 di cui nel prosieguo.

    Il fatto che gli interessati al trattamento si riservino il diritto di presentare un reclamo nei confronti di Total non inficia i loro diritti relativi alla presentazione di un reclamo all’autorità competente per la tutela dei dati nello SEE né al fatto di intentare un’azione giudiziaria presso un tribunale di un paese membro dello SEE ove abbia sede la filiale Total responsabile dell’esportazione dei dati personali.
     

  6.    Governance

    Una rete interna di “Tutela dei dati personali” si occupa del monitoraggio e del controllo dell’attuazione delle NVI all’interno del Gruppo. Essa è composta da:
       •   un Responsabile corporate della riservatezza dei dati, che monitora e mette in atto azioni di ottemperanza alle norme per l’intero Gruppo;
       •   dei Responsabili della riservatezza dei dati per ramo aziendale, che guidano e coordinano le azioni di ottemperanza alle norme per il proprio ramo aziendale;
       •   dei Coordinatori della riservatezza dei dati, che guidano e coordinano le azioni di ottemperanza alle norme per la propria società affiliata.
     

  7.    Controllo interno e audit

    Per garantire una corretta applicazione delle nostre NVI, sono stati messi in atto alcuni meccanismi di controllo interno e di audit.

    La rete di Tutela dei dati personali definisce un programma di controllo annuo, al fine di valutare la conformità del trattamento effettuato dal Gruppo rispetto alle nostre NVI. È predisposto inoltre un sistema di reporting che permette di esaminare regolarmente l’andamento dei programmi di azione elaborati in seguito a una valutazione.

    Inoltre, la Direzione di audit interna al Gruppo integra il controllo del sistema di tutela dei dati personali nel suo piano di audit annuo.
     

  8.    Modifiche alle norme Total

    Qualora necessario, le nostre NVI potrebbero subire modifiche o aggiornamenti.
     

  9.    Maggiori informazioni
    È possibile ottenere una copia della versione completa delle nostre NVI nonché dell’elenco delle filiali Total che le hanno adottate inviando un’e-mail a:
    [email protected]
     

    1 I dati personali sono informazioni che permettono l’identificazione diretta o indiretta di una persona fisica.
    2 SEE significa: stati membri dell’Unione Europea più Islanda, Liechtenstein e Norvegia.
    3 Il trattamento consiste in qualsiasi operazione che abbia ad oggetto i dati personali, tramite metodi automatici o meno (per es.: raccolta, salvataggio, archiviazione, cancellazione, ecc.).
    4 Per trasferimento si intende qualsiasi scambio, tanto virtuale quanto fisico, da un paese a un altro, di dati personali provenienti dallo SEE.

APPENDICE 1
DIRITTI DEI TERZI BENEFICIARI

Le nostre NVI conferiscono agli Interessati al trattamento il diritto di fare applicare tali Norme in qualità di terzi beneficiari.

Nello specifico, essi potranno esigere il rispetto dei seguenti principi, secondo le modalità e condizioni previste nelle nostre NVI:

  • il diritto che qualsiasi operazione di trattamento portata avanti all’interno del Gruppo abbia un fondamento giuridico come previsto dalla normativa applicabile;
  • il diritto che Total raccolga e tratti i Dati personali per finalità legittime, determinate ed esplicite, e che non esegua nessun ulteriore trattamento dei Dati personali che sia in contrasto in qualsiasi modo con le finalità per cui sono stati raccolti;
  • il diritto che Total tratti esclusivamente Dati personali pertinenti e non eccessivi rispetto alle finalità per cui sono raccolti, e che tali Dati siano esatti e, se necessario, aggiornati;
  • il diritto che sia fornito agli Interessati al trattamento un accesso facile e permanente alle informazioni relative ai loro diritti ai sensi delle presenti NVI;
  • il diritto, fruibile da parte degli Interessati al trattamento i cui Dati personali provengano dallo SEE, all’accesso, alla rettifica e all’opposizione al trattamento dei propri Dati personali ai sensi della normativa applicabile;
  • il diritto che gli Interessati al trattamento i cui Dati personali provengano dallo SEE non siano soggetti a decisioni che producano effetti giuridicamente rilevanti in capo agli stessi o che abbiano conseguenze significative sugli stessi, e che siano fondate esclusivamente sul trattamento automatizzato dei Dati personali destinato a valutare esclusivamente alcuni aspetti personali che li riguardino, tranne se tali decisioni:
    • sono adottate durante la conclusione o l’esecuzione di un contratto, sempre che la richiesta di conclusione o di esecuzione del contratto, presentata dall’Interessato al trattamento, sia stata soddisfatta o che sussistano misure di salvaguardia dei suoi interessi legittimi, per esempio accordi che permettano all’Interessato al trattamento di esprimere il suo punto di vista; o
    • sono autorizzate dalla normativa applicabile, che prevede inoltre misure di salvaguardia dei legittimi interessi degli Interessati al trattamento;
  • il diritto che Total ponga in essere delle misure che garantiscano la sicurezza e la privacy dei Dati personali, tenendo conto dello stato dell'arte e dei costi di attuazione;
  • il diritto che Total concluda un accordo scritto di trattamento con qualsiasi fornitore di servizi portato a trattare dei Dati personali, specificando che il fornitore di servizi dovrà agire esclusivamente nel rispetto delle istruzioni fornite da Total e sarà tenuto ad adottare le misure adeguate di sicurezza e privacy;
  • il diritto che Total non trasferisca i Dati personali da uno stato membro dello SEE o provenienti dallo SEE a una società che non faccia parte del Gruppo e situata in un Paese terzo che non offra un livello adeguato di protezione dei dati (che si tratti di un titolare del trattamento o di un responsabile del trattamento) senza un fondamento giuridico previsto dalla normativa applicabile e senza strumenti che offrano garanzie sufficienti;
  • il diritto che la Filiale Total informi immediatamente l’Esportatore di dati qualora la Filiale Total stessa ritenga che la normativa applicabile nella sua giurisdizione sia atta a impedirgli di adempiere agli obblighi di cui alle NVI di Total, e che essa arrechi pregiudizio alle garanzie previste dalle NVI, salvo qualora vietato da un’autorità incaricata dell'applicazione della legge, in particolare quale risultato di un divieto di natura penale mirante a tutelare il segreto delle indagini;
  • il diritto in capo a qualsiasi Interessato al trattamento di presentare un reclamo presso Total grazie alla procedura interna di gestione dei reclami in conformità alle condizioni definite nel Capitolo “Gestione dei reclami”;
  • il diritto che qualsiasi Filiale Total che abbia sottoscritto alle NVI debba cooperare con le autorità di controllo competenti, debba seguire le loro raccomandazioni in merito ai Trasferimenti internazionali di Dati in caso di reclamo o di richiesta specifica di tali autorità e debba accettare di essere oggetto di audit dall’autorità di controllo del paese competente;
  • il diritto di qualsiasi Interessato al trattamento di presentare un reclamo alle Autorità nazionali di controllo o intraprendere un’azione giudiziaria nel Paese membro dello SEE in cui l’Esportatore di dati abbia sede al fine di ottenere il rispetto dei summenzionati principi, e, se del caso, di ricevere compensazione per qualsiasi danno sofferto a causa della mancata osservanza delle NVI di Total. Se, nel corso del trasferimento dei Dati personali al di fuori dello SEE, L’Importatore di dati non rispettasse le NVI di Total, spetterà all’Esportatore di dati contestare il reclamo, dimostrare che l’Importatore di dati non abbia violato le NVI e corrispondere la compensazione dovuta all’Interessato al trattamento per i danni sofferti per via dell’inadempimento.

APPENDICE 2
PROCEDURA INTERNA DI GESTIONE DEI RECLAMI

Se un Interessato al trattamento sia persuaso che una Filiale Total non abbia rispettato le NVI Total, questi potrà presentare reclamo seguendo la procedura di reclamo prevista nell’informativa sulla privacy o nel contratto applicabili, oppure rifacendosi alla procedura spiegata qui di seguito.

  1.    Come presentare un reclamo

    Gli Interessati al trattamento possono presentare un reclamo inviando:

       -   un’e-mail a: [email protected]

    o

       -   una lettera a TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Il reclamo deve contenere una descrizione chiara e dettagliata relativa al problema riscontrato, menzionando:

       -   il paese e la Filiale Total coinvolti, il punto di vista dell’Interessato al trattamento rispetto alla violazione delle NVI, la riparazione richiesta;

       -   il nome completo dell’Interessato al trattamento nonché i suoi recapiti, insieme a una copia della sua carta d’identità o di qualsiasi documento identificativo;

       -   qualsiasi comunicazione precedente che riguardi il problema in questione.
     

  2.    Risposta di Total

    Entro tre mesi dalla ricezione del reclamo da parte di Total, il Responsabile della riservatezza dei dati per ramo aziendale (o “Branch Data Privacy Lead” – “BDPL”) competente dovrà informare l’Interessato al trattamento per iscritto in merito all’ammissibilità del reclamo; qualora sia ammissibile, gli comunicherà le misure correttive che Total ha intrapreso o intraprenderà di conseguenza. Il BDPL competente dovrà assicurarsi che, se necessario, siano adottate le misure correttive adeguate ai sensi delle NVI.

    Il BDPL competente dovrà inviare una copia del reclamo e qualsiasi risposta scritta al Responsabile corporate della riservatezza dei dati (o “Corporate Data Privacy Lead” – “CDPL”).
     

  3.    Come presentare ricorso

    Se la risposta del BDPL competente non soddisfacesse l’Interessato al trattamento (per esempio, in caso di rigetto del reclamo), questi si può rivolgere al CDPL inviando un’e-mail o una lettera ai recapiti summenzionati. Il CDPL riesaminerà il reclamo e si pronuncerà entro tre mesi dalla data di ricezione della richiesta. Scaduto tale termine, il CDPL sarà tenuto a comunicare all’Interessato al trattamento se la risposta iniziale sia stata confermata oppure gli dovrà comunicare la nuova risposta.

    Il fatto che gli Interessati al trattamento si riservino il diritto di presentare un reclamo nei confronti di Total non inficia i loro diritti relativi alla presentazione di un reclamo all’Autorità nazionale di controllo o di intentare un’azione giudiziaria presso un tribunale del paese membro dello SEE in cui l’Esportatore di dati abbia la propria sede.