Version 2.3

2025-05-01

CGI protegge i Dati Personali che tratta e collabora strettamente con i propri clienti e fornitori terzi per affrontare le sfide poste dal panorama normativo in continua evoluzione in materia di protezione dei dati.

Manteniamo la presente Informativa sulla Privacy che descrive nel dettaglio i nostri principi, standard e pratiche in materia di privacy, nonché il modo in cui proteggiamo tutti i Dati Personali nell'ambito delle nostre attività, sia che il Trattamento dei Dati Personali avvenga per finalità proprie o per le necessità dei nostri clienti.

I termini con l'iniziale maiuscola sono definiti nell'Appendice 1 del presente documento.

Principi

In qualità di organizzazione globale di servizi di consulenza informatica e aziendale, CGI si impegna a mantenere livelli di protezione dei Dati Personali in linea con le migliori pratiche, la Legislazione Applicabile sulla Protezione dei Dati e gli obblighi contrattuali di CGI.   

CGI raccoglie e/o utilizza i Dati Personali per le proprie necessità.

CGI può inoltre trattare Dati Personali per conto di e su istruzione di un cliente, incluse le misure tecniche e organizzative necessarie per prevenire la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l'accesso ai Dati Personali. Qualsiasi impegno relativo a tali responsabilità e misure deve essere espressamente riportato negli accordi stipulati tra CGI e i nostri clienti.

La proposta di valore di CGI include la protezione dei dati e la prevenzione dell'esposizione ai rischi informatici. CGI guida e assiste i propri clienti nella gestione e nella protezione dei loro Dati Personali per soddisfare i requisiti di conformità. Su istruzione del cliente, CGI implementerà misure di sicurezza efficaci per salvaguardare i Dati Personali e prevenire violazioni dei dati.

Ambito di applicazione e conformità

La presente Informativa sulla Privacy costituisce parte integrante della "CGI Management Foundation" ed è vincolante per tutte le entità legali di CGI e per i dipendenti ("CGI Partners") indipendentemente dalla loro ubicazione, nonché per i fornitori terzi incaricati da CGI. Nella misura consentita dalla legge, qualsiasi violazione della presente Informativa sulla Privacy può comportare azioni amministrative e/o disciplinari da parte di CGI (incluse sanzioni pecuniarie, sospensione o licenziamento).

I CGI Partner prendono atto di tali requisiti e confermano annualmente l'accettazione della presente Informativa sulla Privacy come parte del loro impegno verso il Codice Etico. Oltre alla presente Informativa sulla Privacy, i CGI Partner devono rispettare anche gli altri obblighi applicabili in materia di riservatezza e privacy, inclusi quelli previsti dalla Legislazione Applicabile sulla Protezione dei Dati, dai loro contratti di lavoro, dalla CGI Management Foundation e/o dalle istruzioni del cliente.

Qualsiasi fornitore terzo che tratti Dati Personali per conto di CGI è tenuto a implementare misure tecniche e organizzative adeguate per garantire la conformità ai principi e ai requisiti della presente Informativa sulla Privacy. Quando CGI tratta Dati Personali per conto di un cliente, tutti gli impegni contrattuali o gli altri obblighi di CGI verso il proprio cliente devono essere trasferiti a tutti i fornitori terzi coinvolti. Qualsiasi impegno o obbligo deve essere espressamente riportato negli accordi stipulati tra CGI e i fornitori terzi.

Quali categorie di Dati Personali tratta CGI nell'ambito delle proprie attività?

Fatta salva la Legislazione Applicabile sulla Protezione dei Dati, CGI e qualsiasi fornitore terzo possono trattare il seguente elenco non esaustivo di categorie di Dati Personali:

  • Dati demografici e informazioni sulla vita privata (es. età, genere, tratti fisici, data di nascita, indirizzo di residenza, stato civile, appartenenza ad associazioni, preferenze, interessi)
  • Dati di posizione, login, traffico e tracciamento (es. indirizzo IP, impronta digitale del browser, log)
  • Informazioni economiche e finanziarie (es. numero di conto corrente, affidabilità creditizia, azioni, posizione fiscale, stipendio, transazioni finanziarie)
  • Dati Personali Sensibili (es. numero di previdenza sociale, dati biometrici, informazioni sullo stato di salute)
  • Identità e informazioni di contatto (es. nome, indirizzo email, numero di telefono, foto, nazionalità, numero della carta d'identità e del passaporto)
  • Vita professionale e informazioni aziendali (es. datore di lavoro, dipartimento, qualifica lavorativa, cronologia lavorativa, prestazioni, colloqui, titoli di studio e certificazioni, fatturazione, indirizzo di spedizione)

Tali categorie di Dati Personali si riferiscono al seguente elenco non esaustivo di individui:

  • Candidati a posizioni lavorative, tirocinanti e studenti;
  • CGI Partner, ex dipendenti e i loro familiari;
  • Dipendenti ed ex dipendenti dei clienti e i loro familiari;
  • Pazienti, clienti o cittadini dei clienti;
  • Dipendenti e clienti dei potenziali clienti;
  • Visitatori dei siti web di CGI;
  • Azionisti;
  • Dipendenti di fornitori terzi e liberi professionisti (freelancer).

Informazioni più dettagliate sono disponibili nelle relative informative sulla privacy.

Con chi condivide i tuoi Dati Personali CGI?

Nell'ambito delle proprie attività, CGI può comunicare i Dati Personali alle entità legali di CGI, ai clienti e ai potenziali clienti, ai fornitori terzi e/o ad altre terze parti (inclusi banche e consulenti finanziari, consulenti esterni e revisori), nonché alle autorità amministrative, giudiziarie o governative, agenzie statali o enti pubblici, in conformità con la Legislazione Applicabile sulla Protezione dei Dati.

In che modo CGI protegge i Dati Personali trattati per le proprie necessità?

CGI è responsabile della protezione di tutti i Dati Personali gestiti nell'ambito delle proprie attività.

Di conseguenza, i CGI Partner rispettano i seguenti principi fondamentali:

  • 01 Trasparenza, Correttezza e Liceità I Dati Personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato, in conformità con i requisiti della presente Informativa sulla Privacy. CGI fornisce informazioni dettagliate sul trattamento dei dati alle persone interessate, in un formato facilmente comprensibile e accessibile, attraverso le informative sulla privacy.
  • 02 Limitazione della Finalità Qualsiasi trattamento di Dati Personali è preceduto dall'identificazione della finalità specifica di tale trattamento, che deve essere esplicita, legittima e in linea con quanto un individuo potrebbe ragionevolmente aspettarsi.
  • 03 Minimizzazione dei Dati I Dati Personali sono raccolti e utilizzati solo nella misura necessaria per il raggiungimento della finalità per cui sono trattati. I Dati Personali devono essere adeguati, pertinenti e limitati a quanto strettamente necessario rispetto a tale finalità.
  • 04 Esattezza I Dati Personali raccolti devono rimanere esatti e aggiornati. Devono essere adottate misure ragionevoli per garantire che i Dati Personali inesatti vengano cancellati o rettificati senza ritardo, anche attraverso opzioni di self-service per gli interessati. Devono essere forniti agli interessati mezzi adeguati per informare CGI di qualsiasi modifica ai propri Dati Personali.
  • 05 Limitazione della Conservazione I Dati Personali non devono essere conservati più a lungo di quanto strettamente necessario per il raggiungimento della finalità per cui sono stati raccolti. Di conseguenza, CGI deve determinare il periodo di conservazione dei dati richiesto in conformità con il Piano di Conservazione dei Documenti (Records Retention Schedule) di CGI e con la Legislazione Applicabile sulla Protezione dei Dati.
  • 06 Integrità e Riservatezza Devono essere implementate misure tecniche e organizzative adeguate, come prescritto dall'Enterprise Security Management Framework (ESMF) di CGI, per proteggere i Dati Personali da trattamenti e/o accessi illeciti.

Su quale base giuridica CGI tratta i Dati Personali per le proprie necessità?

Nella maggior parte dei casi, CGI può trattare i Dati Personali nelle seguenti circostanze:

  • Quando CGI deve adempiere a un obbligo legale.
  • Quando è necessario per l'esecuzione di un contratto con un individuo.
  • Quando CGI ha un interesse legittimo a farlo nell'ambito delle proprie attività.

In alcune occasioni, potrebbe rendersi necessario per CGI trattare i Dati Personali per proteggere gli interessi degli individui o previo consenso degli stessi.

Dati Personali Sensibili trattati per le necessità di CGI

CGI non tratterà Dati Personali Particolari a meno che non venga soddisfatta una delle seguenti condizioni:

  1. L'interessato ha prestato il proprio consenso preventivo, oppure
  2. Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici di CGI o dell'interessato in materia di diritto del lavoro, della sicurezza sociale e della protezione sociale, oppure
  3. Qualora l'interessato non sia in grado di prestare il proprio consenso (ad esempio per motivi medici), il trattamento è necessario per salvaguardare gli interessi vitali dell'interessato o di un'altra persona, oppure
  4. Il trattamento è richiesto nell'ambito della medicina preventiva o della diagnosi medica da parte di un professionista sanitario ai sensi della legislazione locale, oppure
  5. L'interessato ha già reso manifestamente pubblici i Dati Personali Particolari in questione, oppure
  6. Il trattamento è essenziale ai fini di accertare, esercitare o difendere un diritto in sede giudiziaria, a meno che non prevalga un interesse legittimo dell'interessato a garantire che tali Dati Personali Particolari non siano trattati, oppure
  7. Il trattamento è esplicitamente consentito dalla legislazione locale.

In che modo CGI protegge i Dati Personali dei clienti?

Quando CGI tratta i Dati Personali dei clienti, garantisce che tali dati siano trattati esclusivamente per le finalità espresse dal cliente e secondo le sue istruzioni scritte, anche per quanto riguarda la durata, così come stabilito nei termini e nelle condizioni concordati tra CGI e il cliente.

Il cliente rimane l'unico responsabile di garantire la sussistenza di una valida base giuridica per il trattamento effettuato da CGI e che le istruzioni fornite a CGI in merito al trattamento siano conformi alla Legislazione Applicabile sulla Protezione dei Dati, incluso il periodo di conservazione da applicare. Ciononostante, CGI informerà tempestivamente il cliente qualora ritenga che tali istruzioni contravvengano alla Legislazione Applicabile sulla Protezione dei Dati.

Salvo diversa istruzione del cliente, CGI applicherà (come standard minimo) i requisiti di sicurezza di base previsti dall'Enterprise Security Management Framework (ESMF) di CGI. Qualsiasi deroga a tale standard richiede apposite analisi dei rischi e l'approvazione dei team Privacy e Security di CGI, in conformità con la CGI Management Foundation.

CGI, subordinatamente alle condizioni finanziarie, tecniche e organizzative concordate per iscritto, fornirà ragionevole assistenza al cliente per supportarlo nell'adempimento dei suoi obblighi previsti dalla Legislazione Applicabile sulla Protezione dei Dati.

Privacy by Design e Privacy by Default

Per garantire che i principi definiti nella presente Policy sulla Privacy dei Dati siano considerati efficacemente durante il Trattamento dei Dati Personali da parte di CGI, l'azienda identificherà e affronterà i vincoli relativi alla protezione dei dati all'inizio di ogni nuovo progetto interno o opportunità commerciale con i clienti. Ciò assicura che i principi qui contenuti siano riflessi nella progettazione del progetto e implementati in modo appropriato. CGI ha pertanto implementato processi di revisione della Sicurezza e della Privacy dei Dati, oltre a un Codice di Condotta sulla "Privacy by Design" e diversi framework (ad esempio: Uso Responsabile dei Dati, Uso Responsabile dell'Intelligenza Artificiale e Uso Responsabile della Tecnologia Cloud). Tali strumenti sono applicabili a tutti i progetti interni e alle opportunità per i clienti di CGI che comportano il Trattamento di Dati Personali, assistendo ogni Partner CGI di riferimento nell'analisi e nella gestione dei rischi legati alla privacy dei dati.

In conformità con la Legislazione applicabile sulla protezione dei dati, CGI effettuerà una valutazione d'impatto sulla protezione dei dati (DPIA) per tutti i progetti interni CGI in cui l’attività di Trattamento dei Dati Personali possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, e determinerà le misure correttive da implementare per garantire la mitigazione dei rischi.

L'organizzazione CGI Privacy esamina e approva gli aspetti relativi alla protezione dei dati delle proposte e/o dei servizi sviluppati per i clienti, nonché di qualsiasi Proprietà Intellettuale CGI o nuovo progetto interno, secondo quanto definito nella CGI Management Foundation. Il Partner CGI responsabile della soluzione, del servizio e/o del progetto conserva la prova della conformità ai requisiti di approvazione dell'organizzazione CGI Privacy.

Quali sono i diritti degli individui e come possono essere esercitati?

I diritti degli individui sui propri Dati Personali variano da un Paese all'altro. CGI opera in conformità con la Legislazione applicabile sulla protezione dei dati.

A seconda della giurisdizione, la Legislazione applicabile sulla protezione dei dati può conferire agli individui i seguenti diritti:

  • Avere accesso ai propri Dati Personali e alle informazioni sulle modalità del loro Trattamento;
  • Richiedere la rettifica o la cancellazione di qualsiasi Dato Personale impreciso o incompleto che li riguardi;
  • Revocare il consenso o opporsi per motivi legittimi al Trattamento dei propri Dati Personali, a meno che tale Trattamento non sia imposto dalla legge;
  • Richiedere la limitazione del Trattamento qualora i Dati Personali non siano più accurati o necessari, oppure il Trattamento sia illecito;
  • Non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che li riguardino o che incida in modo analogo e significativo sulle persone;
  • Ricevere i propri Dati Personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (portabilità dei dati);
  • Designare un individuo che eserciti i propri diritti in caso di decesso o incapacità.

Gli individui che desiderano esercitare tali diritti e/o ottenere informazioni sul Trattamento dei propri Dati Personali possono inviare una richiesta secondo quanto indicato nella sezione "Domande e Ricorsi" riportata di seguito.

Quando CGI tratta i Dati Personali per le proprie finalità: CGI comunica ogni rettifica o cancellazione dei Dati Personali o limitazione del Trattamento, effettuata in conformità con la Legislazione applicabile sulla protezione dei dati, a ciascun destinatario a cui i Dati Personali sono stati comunicati, a meno che ciò si riveli impossibile o richieda uno sforzo sproporzionato. CGI garantisce la gestione delle richieste senza indebito ritardo, in conformità con il processo di gestione delle richieste dei diritti degli interessati di CGI.

Quando CGI tratta i Dati Personali dei clienti: Se CGI riceve un reclamo o una richiesta da parte di individui che desiderano esercitare i propri diritti, CGI comunicherà tempestivamente tutte le informazioni pertinenti al cliente e indicherà espressamente all'interessato che la responsabilità di gestire tale reclamo o richiesta spetta al cliente. CGI è responsabile della gestione dei reclami o delle richieste esclusivamente in conformità alle istruzioni ricevute dal cliente.

In che modo CGI gestisce le violazioni dei Dati Personali?

CGI dispone di un processo di gestione e risposta agli incidenti di sicurezza maturo e basato su standard, progettato per gestire tutte le fasi di un incidente, inclusi quelli con impatti sulla privacy. Le responsabilità dei Partner CGI sono chiaramente definite a tutti i livelli. Vengono seguiti standard di valutazione e priorità degli incidenti per garantire livelli di coinvolgimento adeguati e una risoluzione tempestiva.

I registri degli incidenti vengono mantenuti e comunicati al senior management di CGI, come richiesto. Tutti gli incidenti sono gestiti tramite il Global Security Operations Centre (SOC) di CGI, attivo 24 ore su 24, 7 giorni su 7, dove professionisti specializzati nella risposta agli incidenti coordinano le attività. Il team Privacy di CGI viene immediatamente coinvolto nel processo di gestione degli incidenti ogni qualvolta si sospetti o si confermi il coinvolgimento di Dati Personali.

Qualora CGI ritenga ragionevolmente che si sia verificata una violazione della sicurezza che comporti accidentalmente o illecitamente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque Trattati, CGI fornirà la notifica dell'incidente di sicurezza e gli aggiornamenti di stato all'Autorità Garante per la protezione dei dati competente, agli individui e/o ai clienti (a seconda dei casi), in conformità con la Legislazione applicabile sulla protezione dei dati e con la CGI Management Foundation.

Allo stesso modo, nel caso in cui una violazione dei Dati Personali venga identificata da un fornitore terzo incaricato da CGI, il fornitore terzo dovrà informare CGI secondo quanto stabilito nel relativo accordo e in conformità con la Legislazione applicabile sulla protezione dei dati.

Comunicazione e formazione

CGI promuove costantemente la cultura della protezione dei dati all'interno della propria organizzazione. CGI implementa un programma di formazione annuale sulla privacy dei dati, regolarmente aggiornato per riflettere i cambiamenti tecnologici e legislativi. Tale formazione è obbligatoria per tutti i Partner CGI, i subappaltatori e i freelance. Tutti i leader CGI devono garantire che i Partner CGI che rispondono a loro effettuino la formazione.

Sono inoltre disponibili sulla piattaforma di apprendimento di CGI corsi specifici per ruolo, adattati a diverse funzioni all'interno dell'organizzazione, e formazioni sulla sicurezza.

Ulteriori informazioni per i Partner CGI possono essere fornite attraverso vari canali, tra cui briefing mirati sulla Privacy, webinar, incontri individuali, newsletter, sessioni di "Know How", campagne di sensibilizzazione sulla sicurezza e comunicazioni globali in occasione della giornata annuale sulla protezione dei dati.

Tali iniziative garantiscono la consapevolezza dei Partner CGI riguardo ai principi cardine contenuti nella presente Policy sulla Privacy dei Dati e alle relative best practice, al fine di proteggere CGI e i suoi stakeholder da accessi non autorizzati e da una gestione impropria dei Dati Personali.

Audit

CGI integra nel proprio programma di audit interno a livello aziendale una verifica della conformità alla presente Policy sulla Privacy dei Dati. Il programma di audit interno definisce:

  • Un calendario secondo il quale verranno effettuati gli audit;
  • L'ambito (scope) previsto dell'audit;
  • Il team responsabile dell'audit.

Il programma di audit interno a livello aziendale include verifiche a livello di erogazione dei servizi (delivery), funzionale e corporate. I programmi di audit possono essere revisionati regolarmente; tuttavia, CGI eseguirà audit interni con cadenza periodica avvalendosi di team di audit qualificati. Tali programmi saranno avviati dai dipartimenti di audit CGI competenti per ogni livello.

I risultati dell'audit saranno comunicati all'organizzazione CGI Privacy e le azioni conseguenti saranno definite e priorizzate, consentendo all'organizzazione CGI Privacy di stabilire un programma per l'attuazione di misure correttive e preventive.

Le autorità competenti per la protezione dei dati, così come i clienti, possono richiedere l'accesso ai risultati dell'audit (in quest'ultimo caso, subordinatamente agli obblighi contrattuali definiti nel Contract Management Framework). Tale comunicazione è soggetta a un accordo di riservatezza e i risultati dell'audit non includono alcuna informazione riservata relativa ad altri clienti CGI o ad aree di business interne di CGI. La diffusione di tali risultati è soggetta all'approvazione dell'organizzazione CGI Privacy e dei Servizi Legali.

Come parte della certificazione ISO 27701:2019 di CGI, auditor esterni indipendenti da CGI fungono da ulteriore linea di conformità. Essi forniscono supervisione e garanzia sull'implementazione della norma ISO 27701:2019 presso i siti CGI certificati e conducono audit annuali. I risultati di tali audit sono trattati come tutti gli altri risultati di audit, con la prioritarizzazione di eventuali misure correttive e preventive raccomandate in tutte le aree aziendali.

Organizzazione CGI Privacy

CGI ha nominato un Chief Privacy Officer (“CPO”) e una rete di Privacy Business Partner, i quali possono anche essere designati come Responsabili della Protezione dei Dati (DPO), in conformità con la Legislazione applicabile sulla protezione dei dati, oltre a specialisti nella gestione dei documenti (records management). L'organizzazione CGI Privacy è ulteriormente definita nella pagina dedicata alla Privacy dell'intranet aziendale di CGI.

Registro delle attività di Trattamento

CGI tiene un registro delle attività di Trattamento effettuate nell'ambito delle proprie operazioni (denominato "Inventario del Trattamento dei Dati"). CGI garantirà che ogni nuovo Trattamento di Dati Personali venga registrato nell'Inventario del Trattamento dei Dati, con le informazioni pertinenti relative al contesto di ciascun Trattamento di Dati Personali. CGI metterà il registro (o i registri) del Trattamento a disposizione dell'autorità di controllo su richiesta.

Aggiornamenti della Policy sulla Privacy dei Dati

La presente Policy sulla Privacy dei Dati potrà essere modificata periodicamente, se necessario, e CGI provvederà a inviare le comunicazioni relative a tali cambiamenti a tempo debito.

Domande, richieste e ricorsi

Domande e richieste:: In caso di domande relative all'interpretazione o al funzionamento della presente Policy, o di richieste relative ai propri Dati Personali trattati da CGI, si prega di:

  • inviare un’e-mail a privacy@cgi.com, oppure
  • contattare il Chief Privacy Officer di CGI a Parigi – Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, Francia, oppure
  • compilare il seguente modulo online.

Meccanismo di ricorso indipendente:: Se ritiene di avere prove di una condotta inappropriata che potrebbe danneggiare CGI, i Partner CGI, i suoi clienti o gli azionisti, è invitato a segnalarlo utilizzando la Ethics Hotline di CGI.

CGI si impegna a mantenere solide relazioni con le autorità per la protezione dei dati e a collaborare con esse per ogni questione pertinente, incluse eventuali richieste di audit. CGI valuterà inoltre attentamente le raccomandazioni emesse dalle autorità competenti per la protezione dei dati in relazione al Trattamento dei Dati Personali effettuato da CGI nell'ambito delle proprie attività.

Qualora avesse domande o richieste relative ai propri Dati Personali che non siano state soddisfatte da CGI in conformità con la Legislazione applicabile sulla protezione dei dati, o qualora necessitasse di assistenza da parte di un'autorità competente per la protezione dei dati, può presentare un reclamo o rivolgersi all'autorità di riferimento. Di seguito sono elencate alcune risorse utili:

Corte di revisione sulla protezione dei dati (Data Protection Review Court): As per the EU-In conformità con il Quadro UE-USA per la protezione dei dati personali (EU-U.S. Data Privacy Framework), convalidato dalla Commissione Europea il 10 luglio 2023, la Corte di revisione sulla protezione dei dati rappresenta il secondo livello di un meccanismo di ricorso a due fasi. Tale meccanismo prevede l'esame di reclami idonei presentati da individui tramite le competenti autorità pubbliche in Paesi esteri designati o organizzazioni regionali di integrazione economica, i quali contestino determinate violazioni della legge degli Stati Uniti riguardanti le attività di signals intelligence (intelligence elettronica) degli Stati Uniti.

Proprietario della Policy 

Chief Privacy Officer di CGI

Autorità approvante 

Comitato di Direzione Esecutiva di CGI 

Data di entrata in vigore 

1° maggio 2025

Versione Data Autore Descrizione
1.0 16-10-2017 Data Privacy Documento originale della Policy
1.1 2018-01-09 Data Privacy Data Privacy Modifiche stilistiche
1.2 01-01-2021 Data Privacy Aggiornamento per riflettere i futuri requisiti delle Norme Vincolanti d'Impresa (BCR) e il California Consumer Privacy Act (CCPA)
2.0 01-10-2021 Data Privacy Aggiornamento per riflettere le Norme Vincolanti d'Impresa (BCR)
2.1 11-12-2023 Data Privacy Aggiunta del quadro UE-USA per la protezione dei dati (DPF), dell'estensione per il Regno Unito e del DPF Svizzera-USA; aggiunta della Sezione 14 "Domande e Ricorsi" dalla Policy Esterna e allineamento tra le versioni esterna e interna.
2.2 19-12-2024 Data Privacy Aggiornamenti per riflettere la terminologia "CGI Partners", revisione annuale delle Norme Vincolanti d'Impresa (BCR) di CGI, nuove modifiche legislative, fusione tra le versioni esterna e interna della Policy e riferimento ai framework CGI sull'uso responsabile di Dati, IA e tecnologia Cloud.
2.3 26-03-2025 Data Privacy Aggiornamento minore nella sezione Audit per riflettere gli esiti degli audit esterni.

Ai fini della presente Policy sulla Privacy dei Dati, vengono utilizzati i seguenti termini con le relative definizioni:

Termini Definizioni
Legislazione applicabile sulla protezione dei dati

Tutte le leggi applicabili al Trattamento dei Dati Personali, inclusi, a titolo esemplificativo e ove applicabili:

(i) il Regolamento Europeo sulla protezione dei dati 2016/679 (Regolamento generale sulla protezione dei dati, "GDPR") relativo al Trattamento dei Dati Personali;

(ii) ogni legislazione locale applicabile.
BCR Norme Vincolanti d'Impresa (Binding Corporate Rules), come descritte dettagliatamente nell'Appendice 2 "Trasferimento di Dati Personali".
Entità Legali CGI Tutte le entità legali controllate direttamente o indirettamente da CGI Inc., ad esclusione di CGI Federal Inc. e delle sue sussidiarie.
Partner CGI Dipendente/i delle Entità Legali CGI.
CPO Chief Privacy Officer, come descritto dettagliatamente nella sezione "Organizzazione CGI Privacy".
Titolare del Trattamento Qualsiasi entità che determini le finalità e i mezzi del Trattamento dei Dati Personali. Il cliente è il Titolare del Trattamento quando CGI tratta i Dati Personali per suo conto nell'ambito di un progetto cliente. CGI può agire in qualità di Titolare del Trattamento quando implementa, per le proprie necessità, una nuova soluzione interna che prevede il Trattamento di Dati Personali.
Responsabile del Trattamento Qualsiasi entità che agisca per conto e secondo le istruzioni di un Titolare del Trattamento. CGI è un Responsabile del Trattamento quando tratta Dati Personali per conto dei propri clienti.
DPF Quadro per la protezione dei dati (Data Privacy Framework), come descritto dettagliatamente nell Appendice 2 “Trasferimento di Dati Personali”.
Legislazione Locale Tutte le leggi applicabili nelle aree geografiche in cui CGI opera, incluse, a titolo esemplificativo: la legislazione in materia di protezione dei dati, sicurezza, lavoro, settori industriali e dei consumatori.
Dati Personali Qualsiasi informazione relativa a un individuo che può essere identificato, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica. I Dati Personali includono i Dati Personali Sensibili.
Trattamento (Trattare o Trattato) Qualsiasi operazione o insieme di operazioni compiute su Dati Personali, con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione (incluso l'accesso remoto), l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Dati Personali Sensibili Categorie specifiche di Dati Personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute e dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica, così come i precedenti penali.
Fornitore Terzo Qualsiasi terza parte incaricata da CGI o che fornisce beni e/o servizi a CGI, inclusi fornitori, appaltatori, subappaltatori e freelance.
Trasferimento Invio di Dati Personali a un'altra Entità Legale CGI o a qualsiasi altra parte, o la messa a disposizione degli stessi, laddove l'altra Entità Legale CGI o parte non si trovi nello stesso paese, provincia o area geografica, come descritto dettagliatamente nell'Appendice 2 “Trasferimento di Dati Personali”.

Qualsiasi Trasferimento di Dati Personali deve avvenire in conformità con la Legislazione applicabile sulla protezione dei dati e con le disposizioni della presente Appendice 2.

1) TRASFERIMENTO ALL'INTERNO DI CGI

L'Entità Legale CGI coinvolta in un Trasferimento deve garantire che siano implementate misure tecniche e organizzative appropriate, commisurate ai rischi del Trattamento, in conformità con la presente Policy sulla Privacy dei Dati e con le policy, i processi e gli standard di sicurezza di CGI. Tali misure tecniche e organizzative appropriate devono essere concordate e stabilite in un accordo sul trattamento dei dati (DPA) o documento equivalente.

(I) NORME VINCOLANTI D'IMPRESA (BCR)

CGI può trasferire i Dati Personali di individui situati nell'UE solo in conformità con la Legislazione applicabile sulla protezione dei dati e con le Norme Vincolanti d'Impresa ("BCR") di CGI, approvate dall'autorità garante francese per la protezione dei dati il 22 luglio 2021, e successive modifiche. Le BCR sono applicabili a tutte le Entità Legali CGI elencate nelle BCR stesse e ogni Entità Legale CGI partecipante è responsabile di dimostrare la propria conformità ad esse. Tutti i Partner CGI sono vincolati dalle BCR.

Per saperne di più sulle nostre BCR, si prega di consultare l'intranet aziendale di CGI, il sito web pubblico e il Registro del Comitato Europeo per la Protezione dei Dati (EDPB).

(II) QUADRO UE-USA PER LA PROTEZIONE DEI DATI (DPF), ESTENSIONE PER IL REGNO UNITO E DPF SVIZZERA-USA

In base all'approvazione concessa dal Dipartimento del Commercio degli Stati Uniti, le seguenti Entità Legali CGI sono autocertificate ai sensi dei Quadri per la protezione dei dati UE-USA ("DPF"), dell'Estensione per il Regno Unito e del DPF Svizzera-USA:

  • CGI Technologies and Solutions Inc.
  • CGI Information Systems and Management Consultants (New York) Inc.
  • CGI Group Holdings USA Inc.
  • Accounts Receivable Automated Solutions Inc.

Tali DPF forniscono alle Entità Legali CGI sopra menzionate meccanismi affidabili per i Trasferimenti di Dati Personali verso gli Stati Uniti dall'Unione Europea, dal Regno Unito e dalla Svizzera, garantendo al contempo una protezione dei dati coerente con la Legislazione applicabile sulla protezione dei dati dell'UE, del Regno Unito e della Svizzera.

CGI è conforme al Quadro UE-USA per la protezione dei dati (EU-U.S. DPF), all'Estensione del Regno Unito al DPF UE-USA e al Quadro Svizzera-USA per la protezione dei dati (Swiss-U.S. DPF) come stabilito dal Dipartimento del Commercio degli Stati Uniti. CGI ha certificato al Dipartimento del Commercio degli Stati Uniti di aderire ai Principi del Quadro UE-USA per la protezione dei dati (Principi DPF UE-USA) per quanto riguarda il trattamento dei dati personali ricevuti dall'Unione Europea e dal Regno Unito in virtù del DPF UE-USA e dell'Estensione del Regno Unito al DPF UE-USA. CGI ha certificato al Dipartimento del Commercio degli Stati Uniti di aderire ai Principi del Quadro Svizzera-USA per la protezione dei dati (Principi DPF Svizzera-USA) per quanto riguarda il trattamento dei dati personali ricevuti dalla Svizzera in virtù del DPF Svizzera-USA. In caso di conflitto tra i termini della presente policy sulla privacy e i Principi DPF UE-USA e/o i Principi DPF Svizzera-USA, prevarranno i Principi.

Per saperne di più sul programma Data Privacy Framework (DPF) e per visualizzare la nostra certificazione, si prega di visitare il sito www.dataprivacyframework.gov/.

La Federal Trade Commission ha giurisdizione sulla conformità di CGI al Quadro UE-USA per la protezione dei dati (EU-U.S. DPF), all'Estensione del Regno Unito al DPF UE-USA e al Quadro Svizzera-USA per la protezione dei dati (Swiss-U.S. DPF).

Nel contesto di un trasferimento successivo (onward transfer), CGI è responsabile del trattamento dei Dati Personali ricevuti ai sensi dei Principi DPF e successivamente trasferiti a un Fornitore Terzo che agisce in qualità di agente per suo conto. CGI rimane responsabile ai sensi dei Principi DPF se un Fornitore Terzo incaricato da CGI tratta tali Dati Personali in modo incoerente con i Principi DPF, a meno che CGI non dimostri di non essere responsabile dell'evento che ha dato origine al danno.

Gli individui possono, a determinate condizioni, invocare l'arbitrato vincolante per reclami riguardanti la conformità al DPF non risolti da nessuno degli altri meccanismi DPF, come descritto dettagliatamente nell' ALLEGATO I del DPF..

2) TRASFERIMENTO A TERZE PARTI

CGI conduce regolarmente attività di due diligence e valutazioni dei rischi di sicurezza e privacy sulle terze parti con i Fornitori Terzi da essa incaricati, al fine di stabilire le loro capacità aziendali e il loro grado di maturità in materia di sicurezza e protezione dei dati.

Ogni volta che CGI si affida a Fornitori Terzi per il trattamento di Dati Personali, CGI garantisce che tali Fornitori Terzi forniscano un livello di protezione adeguato ai Dati Personali trattati, come previsto dalla Legislazione applicabile sulla protezione dei dati.