A decorrere dal 25 maggio si applica il regolamento UE 2016/679 (General Data Protection Regulation – GDPR), pubblicato in data 4/5/2016 sulla Gazzetta Ufficiale della U.E.
In relazione ai contratti di servizio in corso, siglati in data precedente e la cui durata ed effetti si protraggono oltre alla data di applicazione del GDPR e in virtù dei quali l’azienda cliente abbia nominato TIM responsabile del trattamento ai sensi del d.lgs 196/2003, a partire dal 25 maggio 2018 TIM adotta le seguenti determinazioni:
La nomina di TIM a responsabile del trattamento assume validità legale anche ai sensi del regolamento UE 2016/679, nei limiti temporali previsti dai contratti in corso.
TIM nomina direttamente i propri fornitori responsabili del trattamento in relazione ai trattamenti svolti sui dati personali di cui è titolare l’azienda cliente, previa richiesta di autorizzazione all’azienda cliente stessa.
TIM conserva nel proprio Registro dei trattamenti le informazioni previste dal GDPR e relative al servizio contrattualizzato con l’azienda cliente. La registrazione è mantenuta anche successivamente alla data di cessazione del servizio contrattualizzato.
Nel caso TIM rilevi violazioni di dati personali (c.d. data breach) di cui l’azienda cliente è titolare, TIM ne dà tempestiva segnalazione.
Ove applicabile in relazione al servizio contrattualizzato e nel rispetto dei contratti in corso e delle normative in vigore, TIM fornisce all’azienda cliente il supporto per permettere l’esercizio degli ulteriori diritti previsti dal GDPR da parte delle persone fisiche interessate.
I servizi erogati al cliente in virtù dei contratti in corso sono stati acquisiti da terze parti soggette a stringenti vincoli contrattuali o sviluppati da TIM secondo metodologie già conformi al principio della privacy by design e by default. In particolare, tramite l’applicazione del processo di risk analysis e l’adozione di policy interne di sicurezza e compliance Privacy, TIM ha definito le misure di sicurezza adeguate per la protezione dei dati personali trattati nelle proprie piattaforme. Ad esse si aggiungono, ove applicabile e in relazione al servizio, le misure di sicurezza specifiche per rispondere alle esigenze del cliente e previste dai contratti in corso.
Per i nuovi servizi caratterizzati da una valutazione del rischio significativa, progettati e contrattualizzati successivamente il 25/5/2018, TIM effettua il Privacy Impact Assessment (PIA) previsto dal GDPR che viene messo a disposizione, su richiesta dell’azienda cliente.
TIM tratta i dati personali di cui l’azienda cliente è titolare nei propri data center collocati sul territorio italiano. Solo nei casi previsti dal servizio contrattualizzato, a partire dal 25/5/2018 TIM applica le garanzie previste dal GDPR per il trasferimento extra-EU, previa autorizzazione all’azienda cliente, dei dati personali di cui l’azienda cliente stessa è titolare.
TIM fornisce supporto all’azienda cliente per lo svolgimento delle attività di verifica dei trattamenti svolti da TIM in qualità di responsabile, relativamente ai dati personali di cui è titolare e previo accordo che stabilisca le modalità e i corrispettivi.
I riferimenti del Data Protection Officer del Gruppo TIM sono i seguenti: Recapito: Data Protection Officer, via Gaetano Negri, 1 – 20123 Milano Indirizzo email: dpo.clientibusiness.tim@telecomitalia.it
Per l’esecuzione dei contratti relativi a servizi che prevedono il trattamento di dati personali di cui è nominato responsabile dal cliente titolare, TIM si impegna, prima dell’inizio del trattamento, a nominare responsabili i propri subappaltatori/subfornitori utilizzando le medesime istruzioni con le quali è stato nominato dal titolare. O comunque, prevedendo gli stessi obblighi in materia di protezione dei dati contenuti nel contratto, in modo tale che il trattamento soddisfi i requisiti previsti dai commi 2 e 4 dell’art. 28 del GDPR.
L’elenco aggiornato dei subappaltatori/subfornitori nominati responsabili è presente qui.
Le misure di sicurezza previste in conformità all’art. 32 del GDPR e ad eventuali provvedimenti del Garante Privacy sono indicate ai seguenti indirizzi, suddivise per tipologia di dati definito in ciascuna offerta.