Trattamento dei dati personali ai sensi del Regolamento 2016/679/EU (Regolamento generale sulla protezione dei dati – GDPR)

A decorrere dal 25 maggio si applica il Regolamento UE 2016/679 (General Data Protection Regulation – GDPR), pubblicato in data 4/5/2016 sulla Gazzetta Ufficiale della U.E.

In relazione ai contratti di servizio in corso, siglati in data precedente e la cui durata ed effetti si protraggono oltre alla data di applicazione del GDPR e in virtù dei quali l’azienda cliente abbia nominato TIM “responsabile del trattamento” ai sensi del d.lgs 196/2003, a partire dal 25 maggio 2018 TIM adotta le seguenti determinazioni:

  • La nomina di TIM a “responsabile del trattamento” assume validità legale anche ai sensi del Regolamento UE 2016/679, nei limiti temporali previsti dai contratti in corso.
  • TIM nomina direttamente i propri fornitori “responsabili del trattamento” in relazione ai trattamenti svolti sui dati personali di cui è titolare l’azienda cliente, previa richiesta di autorizzazione all’azienda cliente stessa.
  • TIM conserva nel proprio Registro dei Trattamenti le informazioni previste dal GDPR e relative al servizio contrattualizzato con l’azienda cliente. La registrazione è mantenuta anche successivamente alla data di cessazione del servizio contrattualizzato.
  • Nel caso TIM rilevi violazioni di dati personali (c.d. “databreach”) di cui l’azienda cliente è titolare, TIM ne dà tempestiva segnalazione.
  • Ove applicabile in relazione al servizio contrattualizzato e nel rispetto dei contratti in corso e delle normative in vigore, TIM fornisce all’azienda cliente il supporto per permettere l’esercizio degli ulteriori diritti previsti dal GDPR da parte delle persone fisiche interessate.
  • I servizi erogati al cliente in virtù dei contratti in corso sono stati acquisiti da terze parti soggette a stringenti vincoli contrattuali o sviluppati da TIM secondo metodologie già conformi al principio della privacy by design eby default. In particolare, tramite l’applicazione del processo di risk analysise l’adozione di policy interne di sicurezza e compliance Privacy, TIM ha definito le misure di sicurezza adeguate per la protezione dei dati personali trattati nelle proprie piattaforme. Ad esse si aggiungono, ove applicabile e in relazione al servizio, le misure di sicurezza specifiche per rispondere alle esigenze del cliente e previste dai contratti in corso.
  • Per i nuovi servizi caratterizzati da una valutazione del rischio significativa, progettati e contrattualizzati successivamente il 25/5/2018, TIM effettua il Privacy Impact Assessment (PIA) previsto dal GDPR che viene messo a disposizione, su richiesta dell’azienda cliente.
  • TIM tratta i dati personali di cui l’azienda cliente è titolare nei propri datacenter collocati sul territorio italiano. Solo nei casi previsti dal servizio contrattualizzato, a partire dal 25/5/2018 TIM applica le garanzie previste dal GDPR per il trasferimento extra-EU, previa autorizzazione all’azienda cliente, dei dati personali di cui l’azienda cliente stessa è titolare.
  • TIM fornisce supporto all’azienda cliente per lo svolgimento delle attività di verifica dei trattamenti svolti da TIM in qualità di responsabile, relativamente ai dati personali di cui è titolare e previo accordo che stabilisca le modalità e i corrispettivi.
  • I riferimenti del Data Protection Officer del Gruppo TIM sono i seguenti:

recapito: Data Protection Officer, via Gaetano Negri, 1 – 20123 Milano

indirizzo email: dpo.clientibusiness.tim@telecomitalia.it

Per l’esecuzione dei contratti relativi a servizi che prevedono il trattamento di dati personali di cui è nominato Responsabile dal cliente Titolare, TIM si impegna, prima dell’inizio del trattamento, a nominare Responsabili i propri subappaltatori/subfornitori utilizzando le medesime istruzioni con le quali è stato nominato dal Titolare. O comunque, prevedendo gli stessi obblighi in materia di protezione dei dati contenuti nel contrattoin modo tale che il trattamento soddisfi i requisiti previsti dai commi 2 e 4 dell’art. 28 del GDPR.

L’elenco dei subappaltatori/subfornitori nominati responsabili aggiornato è presente qui.

Le misure di sicurezza previste in conformità all’art. 32 del GDPR e ad eventuali provvedimenti del Garante Privacy sono indicate ai seguenti indirizzi, suddivise per tipologia di dati definito in ciascuna offerta.