Binding Corporate Rules

Livello adeguato e uniforme di protezione dei dati

Fresenius deve rispettare, nel mondo, numerose leggi sulla protezione dei dati. Le Binding Corporate Rules (BCR) istituiscono un livello uniforme e adeguato di protezione dei dati. Ciò consente lo scambio interno di dati personali tra le entità Fresenius a cui si applicano. 

Applicabilità in tutto il mondo

Le BCR si applicano alle seguenti entità Fresenius:

• Fresenius Kabi AG, incluse tutte le controllate / collegate 
• Fresenius Digital Technology (FDT)
• Fresenius SE & Co. KGaA

Applicabilità per alcune attività

Le BCR si applicano alle seguenti attività di trattamento dei dati personali: 

• tutte le attività di entità europee
• attività di entità non europee:
  • quando raccolgono dati personali per conto di un’entità Fresenius europea o 
  • quando collaborano con un’entità Fresenius europea o 
  • quando ricevono dati personali da entità europee
  • quando raccolgono dati personali da persone localizzate in Europa per l’offerta di beni e servizi o relativi al monitoraggio del comportamento.

Le BCR si applicano sia a trattamenti su carta sia informatici. 
Le BCR si applicano a tutti i trattamenti che consentono una ricerca strutturata di dati personali.

Fissazione di un livello minimo da parte delle BCR

Una legge locale di protezione dei dati personali che richiedesse regole più stringenti o addizionali rispetto alle BCR per il trattamento dei dati personali, dovrà essere rispettata. 

Il Data Protection Officer (DPO) dovrà essere informato se una legge locale contraddicesse le BCR. Il DPO valuterà l’impatto e risolverà il conflitto. 

Il DPO dovrà essere informato qualora un’entità ricevesse da un’autorità l’ordine di divulgare dati personali in violazione dei requisiti delle BCR. Il DPO avviserà l’autorità di vigilanza in Germania.

Obbligatorietà delle BCR per organizzazione e dipendenti

Le BCR sono obbligatorie e vincolanti per:

• tutte le entità: sottoscrivono un contratto 
• tutti i dipendenti: hanno il dovere di rispettare le policy aziendali sulla base del rispettivo contratto di lavoro.

Da tali obbligazioni possono insorgere diritti a favore di organizzazioni e persone. 
L’efficacia delle BCR e le potenziali sanzioni in caso di violazioni sono le medesime di qualunque altra violazione di policy.
 

Fresenius Group ha istituito un’organizzazione interna per la protezione dei dati e assegnato i seguenti ruoli e responsabilità:

• Il Data Protection Officer (DPO) monitora, ossia controlla e supervisiona se sono rispettate BCR, leggi locali, regole e processi. Il DPO può effettuare audit, verifiche e analisi. Il DPO rappresenta inoltre il punto di contatto per le autorità di protezione dei dati in Europa. Informazioni per contattarlo:
  
  Data Protection Officer:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Germania
  O via e-mail:
  per Fresenius SE e FDT: dataprotectionofficer@fresenius.com
  per le entità Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com
   
• Il Local Data Protection Advisor (LDPA) supporta e fornisce consulenze ai dipendenti locali e ai process owner in caso di domande o preoccupazioni relative alla protezione dei dati. Il LDPA, ove necessario, supporta il Data Protection Advisor (DPA) e il DPO ad es. su richiesta nella sua funzione di sorveglianza e contatta le autorità di vigilanza ad es. per problemi relativi alla lingua.
• Il DPA fornisce attività di supporto e consulenza ai LDPA ed è responsabile del sistema di gestione della protezione dei dati. Il DPA, ove necessario, supporta il DPO su richiesta nella sua funzione di sorveglianza e contatta le Autorità di Vigilanza ad es. per problemi relativi alla lingua.

Quando trattiamo i dati personali rispettiamo numerosi principi per proteggere i diritti fondamentali e le libertà delle persone ai sensi delle BCR. Ogni entità, durante il trattamento dei dati personali, deve conformarsi ai seguenti principi: 

Principio 1: liceità

Quando si raccolgono, utilizzano e trattano i dati personali occorre agire su basi giuridiche documentate. Tali basi giuridiche sono elencate in modo non esaustivo. Ne sono esempi: 

• il trattamento è necessario per l’esecuzione di un contratto con la persona, come nel caso di contratti di assunzione e di vendita
• la persona ha fornito il proprio consenso
• gli interessi legittimi di Fresenius sono superiori rispetto alle conseguenze negative per le persone
• la necessità di adempiere a obblighi legali, quali leggi sulle imposte, requisiti di vigilanza o requisiti di buona pratica.

Categorie speciali di informazioni, quali dati relativi alla salute, necessitano di basi giuridiche addizionali.
Nel caso in cui la normativa locale prevedesse disposizioni aggiuntive o divergenti rispetto alle BCR, questa deve essere rispettata (ciò può valere, ad esempio, per i dati relativi ai dipendenti).

Principio 2: Trasparenza e correttezza

Gestire i dati personali in modo corretto e trasparente. Informare le persone preventivamente o al momento della raccolta e dell’uso dei dati personali relativamente a quanto segue: 

• chi è responsabile e come può essere contattato
• quali sono i dati raccolti
• come vengono raccolti i dati
• perché ci servono i dati (finalità)
• con quali organizzazioni sono condivisi i dati
• se i dati saranno condivisi con altri Paesi
• per quanto tempo i dati saranno conservati
• la base giuridica della raccolta e dell’utilizzo dei dati e la spiegazione di ciò (principio 1)
• se le persone sono profilate
• se prendiamo decisioni con strumenti automatici
• se i dati devono essere forniti e cosa accade se non sono forniti
• le informazioni per contattare il DPO e l’autorità
• i diritti in capo alle persone.

Tutte queste informazioni devono essere fornite in forma comprensibile e facilmente accessibile utilizzando un linguaggio semplice e chiaro. 

Principio 3: Limitazione delle finalità

Utilizzare i dati personali solamente per le finalità specificate, esplicite e legittime per le quali sono raccolti. Non ne è consentito un uso ulteriore, a meno che tale utilizzo sia in linea con la finalità originaria e/o siano intraprese misure aggiuntive.
Le finalità di altri trattamenti che, in genere, sono ritenuti in linea con la finalità originaria sono le seguenti: 

• archiviazione;
• audit interno 
• indagini

Il DPA/LDPA fornirà una consulenza appropriata rispetto alla possibilità di modificare il cambio della finalità. Qualora sia possibile modificare la finalità, le persone dovranno essere informate di tali cambiamenti.

Principio 4: Minimizzazione dei dati

Raccogliere e utilizzare i dati personali solamente nella misura necessaria per la finalità definita comunicata alla persona. Ciò significa garantire che i dati personali siano pertinenti e non eccessivi rispetto alla finalità.

Principio 5: Accuratezza

Conservare i dati personali in modo accurato e aggiornato. Devono essere implementate procedure che consentano la cancellazione, correzione o l’aggiornamento senza indugi dei dati imprecisi.

Principio 6: Limitazione nella conservazione

Non conservare i dati personali più a lungo del necessario per la finalità della raccolta fatti salvi obblighi di legge. In tali casi l’accesso ad essi deve essere ristretto. Cancellare o anonimizzare i dati personali, quando non vi siano più i motivi giuridici o la finalità.

Principio 7: Sicurezza, integrità e riservatezza

Assumere i provvedimenti di natura tecnica e organizzativa appropriati per proteggere i dati personali da distruzioni, perdite, modifiche, divulgazioni o accesso ad essi (ad es. tramite l’elaborazione di modelli appropriati su ruoli & diritti, attività di backup, ripristino e criptaggio). 
Quando si implementano tali misure devono essere considerati i rischi per le persone. La sicurezza dei sistemi informatici deve essere valutata alla luce di questi rischi nel momento della loro installazione e manutenzione. 
Documentare e segnalare ogni violazione della sicurezza dalla quale potrebbe risultare un rischio per le persone interessate all’organizzazione per la protezione dei dati. Tali violazioni, a seconda della situazione, devono essere inoltre notificate all’autorità di vigilanza, alle persone e ad altre organizzazioni.

Principio 8: Responsabilizzazione

Essere in grado di dimostrare di agire in conformità alle BCR. Ciò può essere ottenuto creando e continuando a mantenere un’idonea documentazione, che comprende: 

• la registrazione delle attività di trattamento 
• le misure tecniche e organizzative assunte per conformarsi ai principi di protezione dei dati e affrontare i rischi
• le valutazioni dei rischi e dei controlli inerenti alla protezione dei dati

Coinvolgimento dei responsabili del trattamento

Coinvolgere solamente responsabili che diano sufficienti garanzie per l’implementazione di misure tecniche e organizzative appropriate in grado di assicurare un trattamento che soddisfi i requisiti delle BCR e delle leggi locali sulla protezione dei dati. Ciò deve essere assicurato mediante un accordo di protezione dei dati tra l’entità interessata e il responsabile.

(A seguire) Trasferimento dei dati personali 

Implementare misure che possano salvaguardare in modo adeguato i trasferimenti di dati personali verso altre organizzazioni situate all’esterno dello SEE in conformità alle presenti BCR. Ciò può essere ottenuto concordando clausole contrattuali standard così come adottate dalla Commissione europea con altre organizzazioni.
 

Valutazione dei rischi inerenti alla protezione dei dati

Deve essere eseguita una valutazione dei rischi inerenti alla protezione dei dati per ogni attività di trattamento degli stessi. Si tratta di un processo formale di valutazione dell’impatto dell’attività sui diritti e sulle libertà degli interessati. 

Devono essere rendicontate e documentate le lacune sui controlli e i rischi potenziali. Prima di avviare l’attività di trattamento dei dati devono essere implementate misure di mitigazione di natura tecnica e organizzativa. 

Valutazione degli impatti inerenti alla protezione dei dati

Se il rischio calcolato nella valutazione dei rischi inerenti alla protezione è elevato, deve essere eseguita una Valutazione d'Impatto sulla Protezione dei Dati (DPIA). Verrà richiesto supporto al DPO.

Qualora la DPIA identificasse per un’attività specifica di trattamento dei dati un rischio elevato, dovranno essere implementate misure adeguate per mitigare tali rischi prima dell’avvio del trattamento. Qualora la DPIA continuasse a indicare un rischio elevato a seguito dell’implementazione di tali misure, dovrà essere sentita, prima del trattamento dei dati, l’autorità di vigilanza interessata.
 

Le persone devono essere messe in grado di esercitare i propri diritti(diritti dell’interessato):

• Diritto all’accesso ai dati personali La persona può chiedere di accedere/ricevere informazioni sui dati personali trattati da Fresenius (ad es. la finalità del trattamento, le categorie dei dati personali di interesse, i destinatari, i periodi di conservazione, l’esistenza di processi decisionali automatici).
• Diritto di rettifica dei dati personali La persona può chiedere di correggere dati personali imprecisi o incompleti
• Diritto di cancellare i dati personali La persona può chiedere di cancellare i suoi dati personali fatta salva la necessità del loro mantenimento, ad es. a causa di disposizioni giuridiche relative alla conservazione.
• Diritto alla limitazione del trattamento dei Dati Personali La persona può chiedere di limitare il trattamento dei suoi dati personali se ne è contestata la precisione ovvero se il trattamento è illegittimo (non è più richiesto per gli scopi perseguiti).
• Diritto di ricevere i dati personali in formato portatile La persona può chiedere di ricevere i propri dati personali in un formato leggibile da un dispositivo, di uso comune, se si realizzano le seguenti condizioni:
  • i dati personali sono stati forniti dalla persona
  • il trattamento si basa sul consenso della persona o su un contratto con la persona
  • il trattamento è eseguito con strumenti automatici.
• Diritto di opporsi al trattamento dei dati personali La persona può, a causa della sua situazione personale, opporsi al trattamento dei suoi dati personali basato su un interesse legittimo o pubblico. Una tale richiesta deve essere valutata. La persona, inoltre, può opporsi al marketing diretto e alla profilazione. Il trattamento, a questo punto, deve interrompersi.
• Diritto a non essere soggetto a processi decisionali automatici La persona ha il diritto di non essere soggetta a processi decisionali automatici (compresa la profilazione) che potrebbero avere conseguenze giuridiche o effetti simili sulla persona, a meno che ciò:
  • sia necessario alla sottoscrizione o all’esecuzione di un contratto tra la persona e la rispettiva entità
  • si basi sul consenso esplicito della persona.

Accesso alle BCR

Le BCR devono essere accessibili alle persone nei modi appropriati. Saranno pubblicate su internet e su intranet.

Le persone, inoltre, potranno accedere alle BCR contattando il rispettivo DPO o qualsiasi membro dell’organizzazione per la protezione dei dati.

Gestione dei reclami attinenti alle BCR

Ogni persona ha il diritto di:

• reclamare le violazioni di BCR, leggi locali sulla protezione dei dati, ordini di autorità di vigilanza, policy interne, linee guida o impegni volontari relativi alla protezione dei dati
• far porre l’attenzione sui diritti della propria persona
• applicare gli altri diritti delle BCR.

Tali reclami possono essere sottoposti, ad es. via telefono, e-mail o lettera, oralmente al proprio DPO, al proprio DPA/LDPA o tramite la linea diretta dedicata al rispetto delle attività di compliance.

Nel caso in cui il reclamo sia ritenuto giustificato, l’entità eseguirà l’attività/le attività pertinenti per affrontarlo e informerà la persona entro un mese.

Responsabilità ed esecuzione

Le persone interessate o che hanno subito danni dal trattamento dei rispettivi Dati Personali hanno il diritto di far rispettare le parti delle BCR di interesse e, se applicabile, di ricevere un indennizzo dal tribunale competente.

In caso di violazione provata di terzi situati al di fuori della UE/SEE, Fresenius SE & Co. KGaA accetterà le responsabilità per i danni insorti nei confronti delle persone. L’entità che ha causato il danno fornirà a Fresenius SE & Co. KGaA una ragionevole assistenza per rispondere ai reclami o alle richieste in tempi ragionevoli.

Cooperazione con le Autorità di Vigilanza

Ad ogni entità è richiesto di cooperare con le autorità di vigilanza, di conformarsi alle raccomandazioni relative all’interpretazione delle presenti BCR e di accettare verifiche delle autorità di vigilanza preposte.

Formazione

Ogni entità iscriverà e obbligherà i propri dipendenti a partecipare a un corso di formazione sulle BCR e sulla protezione dei dati e a ripetere regolarmente tale tipo di addestramento. A tutti i dipendenti interessati dovranno essere offerti generici corsi di formazione almeno due volte all’anno. Un addestramento specifico per ruolo (ad es. HR o uffici approvvigionamento) sarà inoltre offerto considerando le necessità particolari di certi ruoli/persone.

Auditing

Tutte le parti si impegnano ad essere regolarmente verificate (con audit pianificati o ad hoc) al fine di valutare e testare la conformità alle BCR e per implementare meccanismi adeguati e sufficienti che consentano di porre rimedio al mancato rispetto delle BCR da parte di una entità. L’organizzazione per la protezione dei dati eseguirà, per ogni audit effettuato, attività di follow up al fine di valutare se le attività proposte di correzione siano implementate in modo opportuno e ne documenterà i risultati in un apposito rendiconto. Ogni entità eseguirà rendiconti sugli audit che, su richiesta, saranno messi a disposizione delle autorità di vigilanza.

Aggiornamento delle BCR

Le parti provvederanno al riesame delle leggi locali di protezione dei dati e indicheranno se sono necessarie modifiche alle BCR. Fresenius, se necessario, potrà modificare le BCR. Ogni modifica importante alle BCR sarà prontamente segnalata ad ogni entità e all’autorità di vigilanza. Ulteriori modifiche non sostanziali alle BCR saranno segnalate alle parti non appena possibile.

Exit Management

L’entità che cessa di aderire alle BCR (ossia recedendo dal rispettivo accordo intragruppo) provvederà

• a restituire tutti i dati personali alle Parti da cui ha ricevuto tali dati oppure
• a distruggere tali dati personali in conformità alle norme locali di conservazione dei dati, oppure
• a fornire garanzie sufficienti relative a tali dati personali (ad es. sottoscrivendo clausole contrattuali standard).