>> Mostra tutti gli accordi legali
Regole aziendali riguardanti gli Utenti PayPal
L'obiettivo del Gruppo PayPal è l'implementazione di appropriati e uniformi standard relativi alla tutela e alla privacy in merito alla gestione dei Dati personali degli Utenti in tutte le Società del Gruppo. Le presenti "Regole aziendali riguardanti gli Utenti PayPal" devono essere applicate al Trattamento dei Dati personali degli Utenti da parte delle Società membri del Gruppo in tutto il mondo.
Gli Utenti di tutto il mondo forniscono i propri Dati personali alle Società membri del Gruppo per poter usufruire dei servizi che questi offrono. La maggior parte dei Dati personali degli Utenti vengono raccolti e archiviati negli Stati Uniti. La presenza globale di PayPal rende necessaria la condivisione dei Dati personali degli Utenti con le altre Società del Gruppo PayPal negli Stati Uniti e in tutti i Paesi del mondo in cui questa è già presente o ha in programma di esserlo.
Al momento, possono accedere ai Dati personali degli utenti i dipendenti delle filiali dei seguenti Paesi dello Spazio economico europeo: Lussemburgo, Belgio, Francia, Germania, Irlanda, Italia, Paesi Bassi, Polonia, Spagna, Svezia.
Anche i dipendenti che attualmente si trovano nei seguenti Paesi extra UE hanno la possibilità di accedere ai Dati personali degli utenti: Stati Uniti d'America, Taiwan, Turchia, Isole Vergini (britanniche), Australia, Canada, Cina, Hong Kong, India, Indonesia, Israele, Giappone, Repubblica di Corea, Malesia, Mauritius, Filippine, Russia, Singapore, Svizzera, Regno Unito, Argentina, Brasile e Messico.
PayPal si impegna a proteggere i Dati personali degli Utenti, indipendentemente dal luogo in cui questi si trovino, anche quando vengono trasferiti al di fuori dello Spazio economico europeo.
L'elenco di Paesi può variare in funzione delle politiche di espansione dell'azienda.
1. Governance, Struttura e Responsabilità relative alla Privacy
Le Regole Aziendali riguardanti gli utenti PayPal vengono rese legalmente vincolanti da un contratto ("CIG") stipulato tra PayPal (Europe) S.à r.l. & Cie, S.C.A ("Capogruppo") e altre Società del Gruppo PayPal. Il CIG impone alle Società membri del Gruppo il rispetto delle Regole aziendali riguardanti gli Utenti PayPal. Le Società membri del Gruppo devono fare osservare queste Regole aziendali riguardanti gli Utenti PayPal ai propri Dipendenti in merito al Trattamento dei Dati personali degli Utenti.
I dirigenti del Gruppo PayPal sono responsabili di fare rispettare ai Dipendenti le Regole aziendali riguardanti gli Utenti PayPal, mantenendoli aggiornati in merito e facendo in modo che queste vengano applicate.
Il Responsabile di Compliance Privacy dirige il programma relativo alla privacy di PayPal. Si tratta di una posizione "senior" all'interno di PayPal Holdings, Inc. che riferisce direttamente al Chief Compliance Officer o ai massimi dirigenti di Compliance presso PayPal. Il Responsabile di Compliance Privacy supervisiona e gestisce il Global Privacy Compliance Team di PayPal e interagisce con altre organizzazioni interne o team, come Operations, Information Security, Compliance, Risk e Internal Audit, per garantire comunicazioni, regole e pratiche relative alla privacy che siano coerenti all'interno del Gruppo PayPal, in tutto il mondo. Il Global Privacy Compliance Team di PayPal è responsabile dello sviluppo e dell'implementazione delle proprie strategie di compliance all'interno del Gruppo PayPal e delle relative verifiche operative. Il Global Privacy Compliance Team di PayPal si avvale di rappresentanti diretti o indiretti in tutto il Gruppo PayPal, i quali, tra le altre cose, contribuiscono a garantire il rispetto delle Regole aziendali riguardanti gli Utenti e delle leggi sulla tutela dei Dati personali.
Il Responsabile Legale per la Privacy sorveglia le attività del Global Privacy Legal Team di PayPal e riferisce direttamente al responsabile legale o al più alto dirigente con mansioni di responsabilità legali presso PayPal. Il Responsabile Legale per la Privacy definisce gli obblighi dell'azienda ai sensi della leggi sulla tutela dei dati e delle Regole aziendali riguardanti gli Utenti PayPal. Il Responsabile Legale per la Privacy e il Global Privacy Legal Team di PayPal lavorano in stretta collaborazione con il Responsabile di Compliance Privacy e il PayPal Global Compliance Privacy Team e insieme interagiscono con altre organizzazioni interne e team, come Legal, Operations, Information Security e Risk, per fornire supporto legale e per interpretare tutte le implicazioni legali e le normative in evoluzione in ambito di privacy in tutto il Gruppo PayPal, a livello globale.
Il Global Privacy Compliance Team e il Global Privacy Legal Team di PayPal formano insieme il Global Privacy Team di PayPal.
Il Responsabile Europeo per la Protezione dei Dati (European Data Protection Officer) ha sede in Lussemburgo ed è nominato dalla direzione di PayPal (Europe) S.à r.l. et Cie, S.C.A., alla quale riferisce. Il Responsabile Europeo per la Protezione dei Dati è l'interlocutore principale per le autorità competenti dello Spazio economico europeo in merito alla protezione dei dati e ha tra le proprie funzioni: informare le Società membri del Gruppo e i relativi Dipendenti e offrire loro consulenza in merito agli obblighi legati al Trattamento dei Dati personali, in conformità alla normativa sulla privacy, per garantire il rispetto delle Regole aziendali riguardanti gli Utenti PayPal; collaborare con il Global Privacy Team di PayPal per controllare e monitorare la compliance con le normative sulla privacy e con le relative policy delle Società membri del Gruppo; offrire consulenza legale alle Società membri del Gruppo, ove richiesto, per quanto riguarda la valutazione dell'impatto del GDPR e la sua implementazione.
2. Principi per il Trattamento dei Dati personali degli Utenti
Le Società membri del Gruppo devono osservare i seguenti principi per quanto riguarda il trattamento dei Dati personali degli Utenti.
2.1 Ambito di applicazione ed esclusioni
I Dati personali degli Utenti possono essere Trattati solo ed esclusivamente per motivi specifici, espliciti e legittimi. In particolare, i Dati personali degli Utenti possono essere trattati per:
- Offrire e agevolare la fornitura dei Servizi richiesti dagli Utenti, inclusa la creazione di un conto;
- Migliorare i Servizi e svilupparne dei nuovi;
- Appianare contrasti, gestire controversie, risolvere problemi e fornire assistenza ai clienti;
- Occuparsi della gestione del rischio (Risk Management);
- Elaborare transazioni e riscuotere le tariffe dovute;
- Verificare la solvibilità e la situazione creditizia;
- Misurare l'interesse degli Utenti in merito ai Servizi offerti e raccoglierne i feedback e i pareri, informare gli Utenti relativamente alle offerte online e offline, ai Servizi offerti e agli aggiornamenti;
- Creare un'esperienza personalizzata per gli Utenti;
- Rilevare e prevenire errori, frodi e altre attività criminali;
- Garantire l'ottemperanza agli obblighi legali, contrattuali o normativi del Gruppo PayPal;
- Fare osservare i termini e le condizioni del servizio, salvo disposizioni contrarie, rese note agli Utenti al momento dell'acquisizione dei dati e nell'informativa sulla privacy;
- Proteggere la sicurezza, garantire l'integrità e la disponibilità dei Servizi e del network del Gruppo PayPal; e
- Tutelare legalmente gli interessi del Gruppo PayPal, incluso, a titolo di esempio, usandoli per la costituzione in giudizio, per l'esercizio di azioni legali o per preparare una difesa legale.
Il Trattamento dei Dati personali degli Utenti per altri scopi diversi da quelli precedentemente elencati sarà soggetto all'approvazione del Global Privacy Legal Team di PayPal. In caso di dubbi, le Società membri del Gruppo dovranno consultare il Global Privacy Legal Team di PayPal.
I Dati personali degli Utenti non potranno essere Trattati in modi non compatibili con le finalità sopra indicate, a meno che non esista un fondamento giuridico che lo giustifichi, nell'ambito della giurisdizione locale di riferimento nello Spazio economico europeo della Società membro del Gruppo addetto alla raccolta e/o al trasferimento dei Dati personali.
2.2 Qualità e proporzionalità dei dati
I Dati personali degli Utenti devono essere:
- Precisi e, ove necessario, mantenuti aggiornati;
- Adeguati, rilevanti e non in eccesso in relazione agli scopi per i quali vengono Trattati; e
- Conservati non più del necessario per raggiungere gli scopi per cui sono stati originalmente raccolti o per essere ulteriormente Trattati.
I Dati personali degli Utenti che non sono più necessari per gli scopi per i quali sono stati Trattati devono essere cancellati, eliminati, distrutti o resi anonimi, a meno che non esista un fondamento legale per continuare con il loro trattamento o che la conservazione degli stessi non sia richiesta dalla legge applicabile.
2.3 Fondamenti giuridici per il Trattamento
Le Società membri del Gruppo devono garantire che i Dati personali degli Utenti vengano trattati in forma equa e legale e in particolare basandosi su almeno uno dei seguenti fondamenti giuridici:
- Consenso inequivocabile dell'Utente;
- Il Trattamento è indispensabile per l'esecuzione di un contratto di cui l'Utente è parte integrante o, su richiesta dell'Utente per adottare misure preventive alla stipula di un contratto:
- Il Trattamento è necessario per soddisfare un obbligo legale al quale le Società membri del Gruppo sono soggette;
- Il Trattamento è necessario per proteggere gli interessi fondamentali dell'Utente;
- Il Trattamento è necessario per l'espletamento di una funzione di interesse pubblico o connessa all'esercizio di pubblici poteri, da parte di una Società membro del Gruppo o da una Terza parte a cui vengono forniti i dati; o
- Il Trattamento è necessario per tutelare gli interessi legittimi della Società membro del Gruppo, della Terza parte o di terzi ai quali i dati vengono comunicati, ad eccezione dei casi in cui su tali interessi non prevalgano quelli costituiti dai diritti fondamentali e delle libertà degli Utenti.
Come regola generale, le Società membri del Gruppo non raccolgono Dati personali sensibili. Qualora questi dati siano obbligatori o nel caso in cui vengano forniti volontariamente dagli Utenti, le Società membri del Gruppo devono garantire che vengano Trattati solo ed esclusivamente sulla base di almeno uno dei seguenti fondamenti:
- Consenso esplicito dell'Utente;
- Il Trattamento è necessario per tutelare gli interessi fondamentali dell'Utente o di un'altra persona nei casi in cui l'Utente sia fisicamente o giuridicamente impossibilitato a fornire il proprio consenso;
- Il Trattamento si riferisce a Dati personali resi palesemente pubblici dall'Utente; o
- Il Trattamento è necessario per la costituzione in giudizio, per l'esercizio di azioni legali o per preparare una difesa legale.
Quando il Trattamento comporta un processo decisionale automatico ("decisione automatica"), le Società membri del Gruppo devono fornire misure appropriate per salvaguardare i legittimi interessi dell'Utente, come ad esempio, offrire allo stesso la possibilità di fare controllare in forma individuale da parte di un addetto all'assistenza clienti la singola decisione, per potersi fare una propria idea in merito. L'operatore dell'Assistenza clienti deve seguire le procedure di escalation e passare la pratica all'istanza superiore, rappresentata dal Responsabile Europeo della Protezione dei Dati, qualora l'Utente continui a essere in disaccordo con una risposta automatica. Se opportuno, si provvederà a consultare in merito il Responsabile Legale per la Privacy e a informare il Responsabile Compliance Privacy.
2.4 Trasparenza
Al momento di raccogliere i Dati personali, le Società membri del Gruppo devono informare gli Utenti in merito a:
- Il nome e l'indirizzo della Società membro del Gruppo responsabile alla raccolta e al Trattamento degli stessi;
- Le relative categorie di Dati personali;
- Gli scopi del Trattamento;
- Le categorie degli Incaricati del Trattamento destinatari e delle Terze parti a cui i Dati personali degli Utenti vengono comunicati;
- Se sia obbligatorio rispondere alle domande o meno, nonché le possibili conseguenze nel caso di non voler fornire una risposta;
- I diritti dell'Utente; e
- In caso di un processo di decisione automatica, il tipo di logica decisionale applicata.
Le Società membri del Gruppo forniranno le informazioni relative all'informativa sulla privacy usando un apposito link o mettendo queste in evidenza in una posizione prominente all'interno delle pagine internet del servizio o sull'applicazione in oggetto e durante il processo di registrazione. Non sarà obbligatorio informare gli Utenti se questi sono già a conoscenza delle informazioni.
Qualora fornire le informazioni risulti impossibile o comporti uno sforzo sproporzionato, le Società membri del Gruppo potranno esservi esentate. Questo solo nei casi in cui i Dati personali non siano stati ottenuti direttamente dagli Utenti.
In circostanze eccezionali, la comunicazione di informazioni specifiche può essere posticipata od omessa, ad esempio, nell'ambito di indagini relative a un comportamento illecito o per rispettare eventuali leggi e quando queste informazioni possono compromettere l'integrità dell'indagine.
2.5 Riservatezza e sicurezza
Le Società membri del Gruppo useranno controlli di sicurezza di tipo fisico, tecnologico e organizzativo, commisurati alla quantità e al grado di sensibilità dei Dati personali degli Utenti, per scongiurare un Trattamento non autorizzato degli stessi, come, per esempio, l'accesso non autorizzato, la loro raccolta e il loro impiego, lo smarrimento, la distruzione, e il loro danneggiamento. Le Società membri del Gruppo useranno sistemi di crittografia, firewall, controlli di accesso, standard e altre procedure di sicurezza per proteggere i dati Utente da accessi non autorizzati. L'accesso fisico o logico ai file elettronici e fisici dipenderà dalle responsabilità legate alla mansione e dalle esigenze aziendali.
2.6 Scelte e diritti degli Utenti
Gli Utenti hanno la possibilità di accedere e correggere o modificare la maggior parte dei Dati personali che li riguardano, in possesso delle Società membri del Gruppo, usando gli strumenti self-service online disponibili sulla pagina web del Servizio o sulla relativa applicazione.
In ogni caso, gli Utenti hanno il diritto di inviare una richiesta di accesso ai propri Dati personali, per vedere o ricevere una copia dei dati non accessibili tramite la pagina web del Servizio o la relativa applicazione. Gli Utenti possono contattare l'Assistenza clienti usando le indicazioni fornite sulla pagina Internet del Servizio o sulla relativa applicazione. Le Società membri del Gruppo dovranno fare fronte alle richieste nei termini previsti dalla legge applicabile, salvo per quanto riguarda le eccezioni previste. Agli Utenti potrebbe essere chiesto di fornire una prova relativa alla propria identità e potrebbero essere soggetti al pagamento di una tariffa di manutenzione, negli ambiti consentiti dalla legge applicabile.
Gli Utenti possono richiedere inoltre la correzione o la modifica dei propri dati se questi sono incompleti o inesatti. Le Società membri del Gruppo dovranno esaudire tale richiesta e provvederanno a informare gli Utenti in merito non appena ciò avvenga. Le Società membri del Gruppo provvederanno a inviare una notifica alle Terze parti alle quali sono stati comunicati i dati, relativamente a qualsiasi tipo di modifica, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato.
Per motivi legali stringenti, gli utenti possono opporsi al trattamento dei loro dati personali. I membri del gruppo PayPal ottempereranno a tali richieste, a meno che la conservazione dei dati personali in questione non sia richiesta dalla legge applicabile o serva a difendere il gruppo PayPal in caso di reclami legali. Gli utenti saranno informati sull'esito della richiesta e sulle misure adottate dai membri del gruppo PayPal.
Gli Utenti possono inoltre richiedere la chiusura del proprio conto, seguendo le istruzioni fornite tramite la pagina Internet del Servizio o la relativa applicazione. Le Società membri del Gruppo provvederanno a rimuovere o rendere anonimi i dati dell'Utente relativi a un servizio non appena ciò sia ragionevolmente possibile, in base alla cronologia e all'attività del conto. In alcuni casi, le Società membri del Gruppo potrebbero ritardare la chiusura di un conto o conservare i Dati personali degli Utenti per effettuare delle indagini o se richiesto dalla legge applicabile. Le Società membri del Gruppo potrebbero anche trattenere i dati di Utenti i cui conti siano già stati chiusi per rilevare e prevenire eventuali frodi, riscuotere eventuali tariffe dovute, risolvere controversie e problemi, collaborare a eventuali indagini, gestire i rischi, applicare i termini e le condizioni del servizio, rispettare requisiti legali o normativi e intraprendere qualsiasi tipo di azione ulteriore, consentita dalla legge applicabile. I dati saranno conservati in forma tale da consentire l'identificazione dei soggetti interessati per un periodo non superiore a quello previsto dagli scopi per cui gli stessi sono stati raccolti o sono stati successivamente trattati e verranno cancellati una volta venuto meno il motivo per la loro conservazione.
Fatta eccezione per gli Utenti che hanno scelto di non ricevere determinate comunicazioni, le Società membri del Gruppo potranno usare i Dati personali degli Utenti per comunicazioni mirate, sulla base degli interessi di questi ultimi, in base alle leggi applicabili. Gli Utenti che non desiderino ricevere comunicazioni di marketing del Gruppo PayPal potranno facilmente opporsi a ricevere ulteriori pubblicità, ad esempio, modificando il profilo e le impostazioni o seguendo le indicazioni fornite tramite email o da un link all'interno della comunicazione ricevuta.
Gli Utenti possono esercitare i diritti sopra citati contattando l'Assistenza clienti. Qualora l'identità di un Utente sia difficile da verificare, le Società membri del Gruppo potranno richiedere all'Utente di fornire un'ulteriore identificazione.
2.7 Divulgazione e comunicazione dei Dati personali
Le Società membri del Gruppo possono condividere i dati personali degli utenti nell'ambito dello svolgimento normale e quotidiano delle attività aziendali con altre Società membri del Gruppo, in tutto il mondo, per le finalità indicate nella Sezione 2.1.
In base alle leggi applicabili, ai trattati o alle convenzioni internazionali, le Società membri del Gruppo potranno condividere i Dati personali con le forze dell'ordine e le autorità di controllo quando in un regime democratico ciò sia reso necessario per motivi di sicurezza nazionale, per tutelare la difesa, la pubblica sicurezza, la prevenzione, l'indagine, il rilevamento e la persecuzione di delitti, in particolare, per rispettare normative e le sanzioni previste per i metodi di pagamento internazionali e/o nazionali, far fronte alle richieste della Guardia di Finanza o per fornire resoconti obbligatori per prevenire il lavaggio e il riciclaggio del denaro.
Le Società membri del Gruppo non potranno vendere o cedere i Dati personali degli Utenti a Terze parti per scopi di marketing senza aver ricevuto il previo consenso esplicito e univoco. Le Società membri del Gruppo possono divulgare i dati dell'Utente a Terze parti in base alle disposizioni dell'Utente o nei limiti del consenso da questo fornito (laddove consentito dalla legge applicabile).
Quando i Dati personali degli Utenti vengono trasferiti agli Incaricati del loro Trattamento, questi ultimi dovranno sottostare a un processo preventivo di valutazione del rischio relativo alla privacy, alla protezione dei dati e alla sicurezza dell'informazione, prima di qualsiasi trasferimento. L'ambito della valutazione dipenderà dal tipo di Dati personali trattati e dal loro grado di sensibilità. Gli Incaricati del Trattamento, inclusa una Società membro del Gruppo qualora questa partecipi al processo di Trattamento, dovranno sottoscrivere un accordo con le Società membri del Gruppo pertinenti, relativamente a misure adeguate per la protezione della privacy dei dati e delle informazioni. Questo contratto dovrà includere delle clausole atte a garantire l'uso appropriato dei Dati personali degli Utenti e delle misure di sicurezza commisurate alla quantità, alla natura e al grado di sensibilità dei Dati personali degli Utenti in oggetto. I requisiti minimi che le garanzie contrattuali dovranno contemplare sono i seguenti:
- Dovranno essere rispettate le leggi vigenti e si dovranno Trattare i Dati personali degli Utenti solo in conformità alle condizioni del contratto e unicamente sulla base delle istruzioni delle Società membri del Gruppo interessate;
- Dovranno essere adottate delle misure tecniche e di tipo organizzativo funzionali al grado di sensibilità dei Dati personali degli Utenti e al Trattamento contemplato;
- Si avrà diritto di controllare che l'Incaricato del Trattamento dei dati rispetti le garanzie contrattuali;
- Obblighi di notifica relativi a violazioni della sicurezza; e
- Disposizioni relative al rimborso di eventuali danni in caso di mancato rispetto degli obblighi legali o contrattuali da parte dell'Incaricato del Trattamento dei dati.
I contratti devono contenere tra le misure di tutela previste, delle disposizioni che garantiscano che l'eventuale mancato rispetto dei termini contrattuali possa determinare la sospensione o cessazione del contratto stesso.
Non sarà necessario che l'Incaricato del Trattamento dei dati si sottoponga nuovamente al processo di valutazione del rischio relativo alla privacy, alla protezione dei dati e alla sicurezza dell'informazione se lo ha già fatto in precedenza, a meno che i dati Trattati siano da considerarsi ad alto rischio, per la loro natura e quantità e per il tipo di Trattamento in questione.
Ciò nonostante, qualora le Società membri del Gruppo trasferiscano Dati personali di Utenti residenti nello Spazio economico europeo (SEE) a Terze parti o a Incaricati del Trattamento dei dati che non siano Società membri del Gruppo: (i) residenti in Paesi che non forniscono un livello adeguato di protezione (ai sensi della direttiva 95/46/CE), (ii) non coperti da Regole aziendali approvate e vincolanti, o (iii) che non siano in possesso di altri documenti che soddisfino i requisiti adeguatezza dell'UE, le Società membri del Gruppo dovranno garantire:
- Che le Terze parti applichino dei controlli contrattuali adeguati, come le clausole contrattuali modello approvate dalla Commissione europea, per garantire dei livelli di protezione commisurati a queste Regole aziendali riguardanti gli Utenti PayPal o, in alternativa, assicurino che il trasferimento (i) avvenga con il consenso univoco e dell'Utente, (ii) che sia necessario per concludere o eseguire un contratto in essere con l'Utente, (iii) sia necessario o obbligatorio per legge, per motivi di interesse pubblico o (iv) sia necessario per salvaguardare gli interessi fondamentali dell'Utente;
- Che gli Incaricati del Trattamento dei dati implementino un sistema di controlli adeguati, come ad esempio le clausole contrattuali modello approvate dalla Commissione Europea, per garantire dei livelli di protezione commisurati a queste Regole aziendali riguardanti gli Utenti PayPal.
3. Meccanismo di gestione reclami
Se un Utente dovesse ritenere che i suoi i Dati personali sono stati trattati in violazione alle Regole aziendali riguardanti gli Utenti PayPal, potrà segnalare il problema all'assistenza clienti della Società membro del Gruppo tramite la relativa pagina Internet, un'email, o come altrimenti indicato, nei termini e nelle condizioni applicabili. Gli Utenti, in genere possono trovare le risposte alle domande sulla privacy e relative ai problemi più comuni digitando la parola "privacy" nella sezione aiuto del servizio pertinente, che solitamente li condurrà a una pagina o policy specifica relativa alla privacy. La sezione "aiuto" del servizio può essere usata dagli Utenti per qualsiasi domanda relativa alla privacy o al Trattamento dei Dati personali e offre la possibilità di contattare l'assistenza clienti.
In caso di dubbi su quale canale usare per segnalare problemi relativi alla privacy, gli utenti possono contattare il Responsabile della protezione dei dati della UE online.
L'Assistenza clienti cercherà, dopo avere svolto le indagini del caso, di risolvere i problemi e di diramare i dubbi sollevati dagli Utenti. I Dipendenti responsabili per l'indirizzamento delle questioni relative alla privacy lavorano a stretto contatto con il Global Privacy Team di PayPal e rispondono agli Utenti in base alle regole, alle procedure e alle indicazioni di PayPal. Se un Utente ritiene che il problema sollevato non sia stato affrontato adeguatamente o in mancanza di una risposta, può richiedere di passare la questione a un'istanza superiore rappresentata dal Responsabile Europeo per la Protezione dei Dati. A tal proposito sarà consultato il responsabile legale per la privacy e il Responsabile di Compliance Privacy verrà informato. La procedura di escalation sarà determinata dalla natura e dall'ambito del problema e dovrà essere inoltrata al team più appropriato senza indugi. L'Utente deve ricevere una risposta al reclamo entro un periodo di tempo ragionevole e in ogni caso non superiore a un periodo di tre (3) mesi a partire dalla data di richiesta, tranne in circostanze anomale o quando si tratti di richieste complesse. In questo caso l'Utente sarà informato che la risposta potrebbe richiedere più di tre (3) mesi.
Il meccanismo previsto per l'inoltro dei reclami non pregiudica il diritto dell'Utente di presentare un reclamo direttamente alle Autorità preposte alla protezione dei dati o ai tribunali competenti.
4. Responsabilità e diritti di terze parti beneficiarie
Gli Utenti che sospettino una violazione delle Regole aziendali riguardanti gli Utenti PayPal commessa al di fuori dello Spazio economico europeo (SEE) hanno il diritto di richiedere l'applicazione delle Regole aziendali riguardanti gli Utenti PayPal in qualità di terze parti beneficiarie, in base alle sezioni 2, 3, 4, 7 e 8, presso il foro legale della Capogruppo o della Società membro del Gruppo che agisce in qualità di esportatore. L'applicazione di questi diritti può essere esercitata in combinazione con altre soluzioni o diritti forniti da PayPal o disponibili in base alle leggi vigenti.
Se non strettamente necessario, gli Utenti dello Spazio economico europeo vengono incoraggiati a segnalare il problema direttamente alle Società membri del Gruppo prima di rivolgersi alle Autorità preposte alla protezione dei dati o al tribunale. Ciò consente una risposta rapida ed efficiente del Gruppo PayPal ed evita i tempi lunghi tipicamente richiesti dalle procedure presentate alle Autorità preposte alla protezione dei dati o ai tribunali.
PayPal Europe S.à r.l. et Cie, S.C.A., una società di capitali a responsabilità limitata con sede in Lussemburgo si accolla la responsabilità relativa alle Società membri del Gruppo ed è d'accordo a fare in modo che le stesse agiscano in conformità alle Regole aziendali riguardanti gli utenti PayPal. La Capogruppo si impegna ad (i) adottare le misure necessarie per risolvere una violazione commessa da Società membri del Gruppo fuori dallo Spazio economico europeo; e (ii) a risarcire gli Utenti dello Spazio economico europeo qualora il Garante per la protezione dei dati o i tribunali del Lussemburgo abbiano determinato eventuali danni derivanti direttamente dalla violazione delle Regole aziendali riguardanti gli Utenti PayPal da parte di Società membri del Gruppo al di fuori dello Spazio economico europeo e le stesse non siano in grado o disposte a effettuare il rimborso o a rispettare la sentenza.
La Capogruppo accetta e riconosce la responsabilità relativa all'onere di presentare eventuali prove per quanto riguarda una presunta violazione delle Regole aziendali riguardanti gli Utenti PayPal.
La Capogruppo (o qualsiasi altra Società membro del Gruppo) non sarà responsabile se si potrà dimostrare, sulla base dei dati disponibili, tenendo in considerazione i commenti dell'Utente, che la Società membro del Gruppo non appartenente allo Spazio economico europeo non abbia violato le Regole aziendali riguardanti gli Utenti PayPal o che sia estranea a qualsiasi tipo di danno lamentato dall'Utente.
5. Formazione
Le Società membri del Gruppo dovranno garantire che tutti i Dipendenti che hanno a che fare con il Trattamento dei Dati personali degli Utenti, nonché quelli coinvolti nella progettazione di strumenti dedicati alla loro raccolta o Trattamento, vengano sensibilizzati in merito alla privacy e alle informazioni di sicurezza, con una formazione che serva a far loro comprendere la necessità di proteggere e mettere in sicurezza i Dati personali degli Utenti, in conformità con le Regole aziendali riguardanti gli Utenti PayPal.
I Dipendenti dovranno completare un percorso di formazione online sulla compliance, offerto su base annua, incentrato sul Codice di condotta ed etica aziendale e che includa una sezione dedicata alla protezione dei dati. I nuovi Dipendenti dovranno completare il percorso di formazione online sulla compliance prima di iniziare a lavorare nel Gruppo.
Oltre a questo percorso di formazione online sulla compliance, il Global Privacy Team di PayPal insieme al Responsabile Europeo per la Protezione dei Dati offriranno un percorso di formazione per sensibilizzare e informare i dipendenti sulla necessità di proteggere e di mettere in sicurezza i Dati personali. Questa formazione verrà offerta su base annua o a scadenze più brevi qualora le circostanze lo richiedano.
La formazione offerta ai Dipendenti dovrà essere direttamente proporzionale ai livelli di accesso che questi hanno relativamente ai Dati personali degli Utenti: i Dipendenti in possesso di livelli di accesso più elevati dovranno ricevere una maggior formazione.
Le Società membri del Gruppo devono informare i Dipendenti che il mancato rispetto di queste Regole aziendali riguardanti gli Utenti PayPal potrà determinare azioni disciplinari, oltre ad altre azioni previste dalla legge. Una copia di queste Regole aziendali riguardanti gli Utenti PayPal e altre regole e procedure relative alla privacy e alla sicurezza sono disponibili e possono essere consultate dai Dipendenti, in qualsiasi momento, tramite l'Intranet dell'azienda. Le Regole aziendali riguardanti gli Utenti PayPal sono inoltre contenute nel Codice di condotta ed etica aziendale che tutti i Dipendenti devono aver letto e accettato.
6. Auditing e monitoraggio
Per assicurare la compliance con le Regole aziendali riguardanti gli Utenti PayPal, il Global Privacy Compliance Team di PayPal riesamina e controlla in modo continuativo le attività e le procedure relative al trattamento dei Dati personali. Queste attività di controllo e verifica sono coordinate in stretta collaborazione con il Responsabile Europeo per la Protezione dei Dati.
Il team Internal Audit è indipendente e funge da consulente obiettivo per la dirigenza e il consiglio di amministrazione, al quale comunica eventuali problemi rilevati tramite l'Audit Committee. Anche il Responsabile per la privacy e il Responsabile Europeo per la Protezione dei Dati dono destinatari di questo tipo di informazioni.
Il team Internal Audit può eseguire a intervalli costanti una revisione e un controllo delle attività o procedure identificate dal Global Privacy Team. Il team Internal Audit, il responsabile per la privacy e il Responsabile Europeo per la Protezione dei Dati, se necessario, possono prescrivere la messa in pratica di questo piano di azione per garantire la conformità con le regole e normative aziendali. Nella misura in cui i gruppi interni non riescano a risolvere adeguatamente i problemi, il Gruppo potrà nominare dei revisori esterni per trovare una soluzione.
Il Responsabile Europeo per la Protezione dei Dati, il Global Privacy Compliance Team di PayPal o i team di internal audit e i revisori esterni sono responsabili di redarre, in forma dettagliata, i piani di controllo e di pianificazione, relativamente ai rischi presenti durante il Trattamento dei dati.
I problemi rilevati dall'auditing relativo alla privacy saranno messi a disposizione delle autorità competenti. PayPal si riserva il diritto di compilare alcune parti del resoconto di auditing per garantire la riservatezza dei proprietari o di altri dati aziendali riservati.
7. Rapporto tra le Regole aziendali riguardanti gli Utenti PayPal e le leggi nazionali
Con l'esistenza a livello mondiale di requisiti legali eterogenei relativi alla protezione dei dati, le Regole aziendali riguardanti gli Utenti PayPal stabiliscono un insieme coerente dei requisiti atti a garantire un trattamento appropriato dei Dati personali degli Utenti. Anche se le Regole aziendali riguardanti gli Utenti PayPal costituiscono un requisito di base che deve essere rispettato dalle Società membri del Gruppo, queste dovranno attenersi alle eventuali leggi applicabili, qualora queste impongano degli standard più severi.
Il contenuto dalle presenti Regole aziendali riguardanti gli Utenti PayPal non riduce gli obblighi delle Società membri del Gruppo per quanto riguarda le leggi bancarie applicabili, in particolare in relazione al segreto bancario. Se le leggi applicabili dovessero entrare in conflitto con le Regole aziendali riguardanti gli Utenti PayPal impedendo a una Società membro del Gruppo di ottemperare agli obblighi in esse contenuti, influenzando in tal maniera in forma sostanziale le garanzie in esse contemplate, la Società membro del Gruppo dovrà provvedere senza indugi a inviare una notifica al Responsabile Europeo per la Protezione dei Dati, ad eccezione di quando ciò sia esplicitamente vietato dalla legge o da un'autorità esecutiva. Il Responsabile Europeo per la Protezione dei Dati, il responsabile per la privacy e la Capogruppo dovranno decidere in merito alle azioni da intraprendere e, in caso di dubbi, dovranno consultare l'Autorità competente preposta alla protezione dei dati.
8. Assistenza e cooperazione nei rapporti con le Autorità preposte alla protezione dei dati
Le Società membri del Gruppo dovranno collaborare e aiutarsi reciprocamente per gestire le richieste o i reclami degli Utenti per quanto riguarda le Regole aziendali riguardanti gli Utenti PayPal.
Le Società membri del Gruppo dovranno rispondere in maniera diligente e appropriata alle richieste ricevute dalle Autorità preposte alla protezione dei dati relative alle Regole aziendali riguardanti gli Utenti PayPal. Al ricevere una richiesta di questo tipo da parte di un'Autorità preposta alla protezione dei dati, il dipendente dovrà informare senza indugi il Responsabile Europeo per la Protezione dei Dati.
Le Società membri del Gruppo dovranno cooperare e rispondere alle richieste di informazioni e accettare le verifiche e gli audit delle Autorità competenti preposte alla protezione dei dati dello Spazio economico europeo, per quanto riguarda la conformità con le Regole aziendali riguardanti gli Utenti, rispettando le decisioni prese, osservando i diritti di legge e le procedure applicabili.
9. Aggiornamenti del contenuto delle Regole aziendali riguardanti gli Utenti PayPal ed elenco dei membri interessati
PayPal si riserva il diritto di modificare le presenti Regole aziendali riguardanti gli Utenti PayPal se necessario, ad esempio, per fare fronte a eventuali modifiche delle leggi in vigore, per rispettare regole, normative, pratiche PayPal, procedure e strutture organizzative o requisiti imposti dai garanti della protezione dei dati.
Il Global Privacy Legal Team di PayPal (dietro la supervisione del responsabile legale per la privacy), proporrà le modifiche necessarie relative a queste Regole aziendali riguardanti gli Utenti PayPal. Il Global Privacy Compliance Team di PayPal (dietro la supervisione del responsabile legale per la privacy) e il Responsabile Europeo per la Protezione dei Dati dovranno approvare tutte le modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal e dovranno tenere traccia di tutte le modifiche apportate ad esse e all'elenco delle Società membri del Gruppo. Le Società membri del Gruppo dovranno comunicare le modifiche delle Regole aziendali riguardanti gli Utenti PayPal alle Autorità preposte alla protezione dei dati per un'approvazione formale, come richiesto dalla legge applicabile.
La Capogruppo contatterà il Garante della protezione dei dati per modifiche delle Regole aziendali riguardanti gli Utenti PayPal che possano avere un impatto negativo sulla compliance relativa alla protezione dei dati o che possano compromettere il funzionamento delle Regole stesse. La Capogruppo comunicherà le modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal e all'elenco delle Società membri del Gruppo almeno una volta all'anno al Garante della protezione dei dati. Il Global Privacy Team di PayPal collaborerà con il Responsabile Europeo per la Protezione dei Dati che in modo particolare sarà responsabile di coordinare le risposte da indirizzare, senza indugi, per conto di PayPal, ai commenti, alle obiezioni e ai suggerimenti sollevati dal Garante della protezione dei dati, relativamente alle modifiche apportate. Eventuali ulteriori commenti, suggerimenti o obiezioni ricevuti da altre Autorità preposte alla protezione dei dati verranno comunicati da parte del Garante della protezione dei dati, che le rappresenterà, al Responsabile Europeo per la Protezione dei Dati.
Eventuali modifiche relative alle Regole aziendali riguardanti gli Utenti PayPal avranno valenza per tutte le Società membri del Gruppo alla data di implementazione. Le Società membri del Gruppo avviseranno gli Utenti in merito alle modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal, rispettando le preferenze di servizio selezionate da questi ultimi, tramite email massiva o tramite la pagina web, pubblicando un avviso chiaro agli Utenti, relativamente alle modifiche delle Regole riguardanti gli Utenti, in anticipo sulla data di entrata in vigore delle stesse. Le Società membri del Gruppo dovranno provvedere a pubblicare le nuove Regole aziendali riguardanti gli Utenti PayPal su pagine internet esterne selezionate, o su applicazioni accessibili agli Utenti. I cambiamenti relativi alle Regole aziendali riguardanti gli Utenti PayPal entreranno in vigore con una decorrenza di due mesi dalla notifica delle Società membri del Gruppo agli Utenti e dalla loro pubblicazione.
10. Pubblicazione
Le Regole aziendali riguardanti gli Utenti di PayPal saranno pubblicate e un collegamento al documento sarà disponibile sui siti web e nelle app del Servizio. Gli utenti possono richiedere una copia delle suddette regole al Responsabile della protezione dei dati europeo (DPO) presso PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Lussemburgo oppure online.
11. Disposizioni finali
Data di entrata in vigore: 25 maggio 2018
Contatto: gli Utenti possono inviare domande o eventuali dubbi in merito a queste Regole aziendali riguardanti gli Utenti PayPal a:
Il Responsabile Europeo per la Protezione dei Dati
PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Lussemburgo
12. Definizioni
Le Società membri del Gruppo dovranno interpretare le Regole aziendali riguardanti gli Utenti PayPal nella maniera più coerente possibile con i concetti base dei principi della Direttiva dell'Unione europea 95/46/CE o di ogni direttiva o regolamento sostitutivo.
Per gli scopi delle presenti Regole aziendali hanno effetto le seguenti definizioni:
Consiglio di amministrazione è il consiglio di amministrazione della Capogruppo.
Autorità preposte alla protezione dei dati sono le autorità pubbliche responsabili per il monitoraggio e l'effettiva applicazione sul territorio di competenza delle leggi nazionali adottate dagli stati membri dello Spazio economico europeo (SEE), conformemente alla direttiva dell'Unione Europea (95/46/CE) relativa alla protezione dei dati.
SEE sta per Spazio economico europeo che attualmente comprende i membri dell'Unione Europea, l'Islanda, il Liechtenstein e la Norvegia.
Dipendente sta per i dipendenti, lavoratori, tirocinanti e altri membri del personale o dello staff, tra cui i collaboratori esterni o interinali, la forza lavoro a rotazione o gli appaltatori di una Società membro del Gruppo, sia che questi lavorino a tempo pieno o parziale e indipendentemente dal tipo di contratto o rapporto.
Responsabile Europeo per la Protezione dei Dati è il dipendente nominato dalla direzione della Capogruppo alla quale riferisce e che fa parte del Global Privacy Legal Team di PayPal. Il Responsabile Europeo della Protezione dei Dati ha sede in Lussemburgo.
Società membro del Gruppo sta per una società del Gruppo PayPal che ha sottoscritto una copia del CIG.
CIG sta per Contratto infragruppo
Garante per la protezione dei dati è la "Commission nationale pour la protection des données" ("CNPD") in Lussemburgo.
Capogruppo indica PayPal (Europe) S.à r.l. & Cie, S.C.A., una società di capitali a responsabilità limitata del Lussemburgo.
Global Privacy Team di PayPal è composto dal Global Privacy Compliance Team e dal Global Privacy Legal Team di PayPal.
Global Privacy Compliance Team di PayPal è composto dai membri del dipartimento Compliance che si occupano specificamente di temi a questa collegati e del funzionamento del programma sulla privacy di PayPal.
Global Privacy Legal Team di PayPal è composto dai membri del dipartimento Legal che si occupano specificamente della privacy e della protezione dei dati.
Gruppo PayPal indica PayPal Holdings, Inc. ("PayPal") e qualsiasi entità direttamente o indirettamente controllata da PayPal che abbia a che fare con il Trattamento dei dati degli Utenti, laddove per Controllo si intende un quota di rappresentanza superiore al cinquanta per cento (50%) per l'elezione dell'amministrazione della società, o una partecipazione societaria superiore al cinquanta per cento (50%).
Dati personali sta per qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare grazie a un numero di identificazione o a uno o più fattori specifici relativi all'identità fisica, fisiologica, mentale, economica, culturale o sociale di quest'ultima.
Trattamento sta per qualsiasi operazione o gruppo di operazioni eseguite sui Dati personali, in forma più o meno automatica, ad esempio, la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione e trasmissione, la diffusione o altre modalità di distribuzione, l'allineamento o la combinazione, l'aggregazione, la cancellazione o la distruzione.
Incaricato del Trattamento sta per si intende qualsiasi persona fisica o giuridica incaricata da una Società membro del Gruppo con il Trattamento dei Dati personali.
Dati personali sensibili sono i Dati personali relativi alla razza o etnia, alle opinioni politiche, alla religione o alle credenze filosofiche, all'appartenenza sindacale, dati relativi alla fedina penale o alla salute o alla vita sessuale.
Servizio è una pagina sito web, un'applicazione, o un altro prodotto o servizio offerto dal Gruppo PayPal agli Utenti.
Terza parte indica qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro ente che oltre all'Utente, alle Società membri del Gruppo, all'Incaricato del Trattamento dei dati e alle persone fisiche che, dietro autorizzazione diretta di una Società membro del Gruppo o dell'Incaricato del Trattamento dei dati, come ad esempio i Dipendenti, sia autorizzata a Trattare i Dati personali.
Utente indica i clienti, gli ex clienti, i clienti potenziali, gli investitori, i partner commerciali e i commercianti.
Dati personali dell'Utente sono i Dati personali relativi agli Utenti.