DIRETTIVA SULLA PROTEZIONE DATI UE
DIRETTIVA SULLA PROTEZIONE DATI UE
Indice
1 Finalità della direttiva 04
2 Ambito di applicabilità 04
3 Carattere giuridico vincolante all'interno del Gruppo Daimler 05
4 Rapporto con gli obblighi di legge 05
5 Principi generali del trattamento di dati personali 05
5.1 Liceità 05
5.2 Fondamento giuridico per dati di clienti e partner commerciali 06
5.2.1 Trattamento dati ai fini di un rapporto contrattuale 06
5.2.2 Trattamento di dati a fini pubblicitari 06
5.2.3 Consenso al trattamento di dati 06
5.2.4 Trattamento di dati sulla base di autorizzazioni od obblighi giuridici 06
5.2.5 Trattamento di dati sulla base del legittimo interesse 06
5.3 Base giuridica per i dati dei dipendenti 07
5.3.1 Trattamento di dati finalizzato al rapporto lavorativo 07
5.3.2 Trattamento di dati sulla base di autorizzazioni od obblighi giuridici 07
5.3.3 Clausole dei contratti collettivi sul trattamento dei dati 07
5.3.4 Consenso al trattamento di dati 07
5.3.5 Trattamento di dati sulla base del legittimo interesse 07
5.4 Trattamento di dati particolarmente sensibili 08
5.5 Decisioni automatizzate (possibilmente inclusa la profilazione) 08
5.6 Dovere di informazione / trasparenza 08
5.7 Limitazione della finalità 08
5.8 Minimizzazione dei dati 08
5.9 Esattezza dei dati 08
5.10 Riservatezza fin dalla progettazione 09
5.11 Cancellazione e trasformazione in forma anonima 09
5.12 Sicurezza del trattamento 09
5.13 Inoltro all'esterno del Gruppo Daimler 10
6 Valutazione dell'impatto sulla protezione dei dati 10
7 Documentazione delle procedure di trattamento dei dati 10
8 Trattamento per conto del titolare del trattamento 11
8.1 Aspetti generali 11
8.2 Direttive per titolari del trattamento 11
8.3 Direttive per responsabili del trattamento interni 11
9 Joint Controllership 12
10 Diritti applicabili per gli interessati 12
10.1 Diritti dell'interessato 13
10.2 Procedura di reclamo 13
11 Responsabilità e foro competente 14
11.1 Disposizioni sulla responsabilità 14
11.2 Foro competente 14
12 Notifica di incidenti che riguardano la protezione dati 14
13 Organizzazione per la protezione dei dati e sanzioni 15
13.1 Responsibilità 15
13.2 Sensibilizzazione e formazione 15
13.3 Organizzazione 15
13.4 Sanzioni 16
13.5 Audit e controlli 16
14 Modifiche alla presente direttiva e collaborazione con
le autorità pubbliche 16
14.1 Responsabilità in caso di modifiche 16
14.2 Cooperazione con le autorità 17
14.3 Monitoraggio e segnalazioni relative a regolamenti di Paesi terzi 17
1 Finalità della direttiva
Il Gruppo Daimler tutela i diritti di protezione dei dati personali nell'ambito della sua responsa- bilità sociale.
In alcuni Paesi e regioni, come l'Unione Europea, il legislatore ha definito standard per la protezione dei dati delle persone fisiche («dati personali»), compresa la condizione che tali dati possono essere trasmessi ad altri Paesi solo se la legge applicabile nel luogo di destinazione garantisce un livello adeguato di protezione dei dati.
La presente Direttiva sulla protezione dati UE definisce standard uniformi e adeguati per la protezione dei dati all'interno del Gruppo relativamente:
» (a) al trattamento di dati personali in regioni come l'UE / lo Spazio economico europeo (SEE) (di seguito definiti collettivamente «UE») e
» (b) alla trasmissione transfrontaliera di dati personali a società del Gruppo esterne all'UE (compreso il trattamento successivo in tali Paesi).
A tal fine, la presente direttiva stabilisce regole vincolanti per il trattamento di dati personali provenienti dall'UE all'interno del Gruppo Daimler. Dette regole forniscono garanzie adeguate per la protezione dei dati personali all'esterno dell'UE e rappresentano norme vincolanti d'im- presa (cosiddette «BCR - Binding Corporate Rules») per il Gruppo Daimler.
2 Ambito di applicabilità
La presente Direttiva sulla protezione dati UE è valida per Daimler AG, per le società control- late del Gruppo (di seguito «società del Gruppo») nonché per i rispettivi dipendenti e membri degli organi amministrativi. «Controllato» in questo caso significa che Daimler AG può imporre l'adozione della presente direttiva direttamente o indirettamente, sulla base del suo voto di maggioranza, di una quota maggioritaria nella direzione aziendale o di un accordo.
La direttiva si applica ai processi di trattamento dei dati personali completamente o parzial- mente automatizzati, nonché al trattamento manuale in sistemi di archiviazione, fatto salvo un ambito di applicabilità più ampio se previsto dalla legislazione nazionale. In Germania la direttiva si applica anche a tutti i dati dei dipendenti¹ in formato cartaceo.
La direttiva si applica al trattamento di dati personali provenienti da
» società con sede in UE
» società di Paesi terzi con offerte per l'UE
La direttiva si applica al trattamento di dati personali:
» (a) provenienti da società del Gruppo e dalle relative controllate aventi sede nell'UE o in un altro Paese al quale può essere estesa la presente direttiva («società con sede nell'UE»),
» società di Paesi terzi che ricevono dati dall'UE
» (b) provenienti da società del Gruppo aventi sede al di fuori dell'UE, se offrono beni o servizi a persone fisiche all'interno dell'UE e/o monitorano il comportamento di persone fisiche all'interno dell'UE («società di Paesi terzi con offerte per l'UE») o
» (c) provenienti da società del Gruppo aventi sede al di fuori dell'UE, se hanno ricevuto dati personali direttamente o indirettamente da società soggette alla direttiva conformemente al punto a) o b), o se detti dati sono stati ad esse divulgati («società di Paesi terzi che ricevono dati dall'UE»).
Nel proseguo della presente direttiva il trattamento al di fuori dell'UE è definito «trattamento in un Paese terzo».
¹ Per agevolare la lettura della presente direttiva, il testo impiega solo la forma maschile dei pronomi riferiti a persone fisiche. Tutte le declinazioni maschili includono sempre tutti gli individui, indipendentemente dall'identità di genere.
Le società del Gruppo che partecipano al trattamento da parte di società di Paesi terzi o che ne sono soggette sono elencate nell'altra norma applicabile «Elenco delle società del Gruppo vincolate dalla Direttiva sulla protezione dati UE».
La presente direttiva può essere estesa a Paesi non facenti parte dell'UE. Nei Paesi in cui la tutela dei dati delle persone giuridiche è equiparata a quella dei dati personali, la presente direttiva è valida in egual misura per i dati di persone giuridiche.
3 Carattere giuridico vincolante all'interno del Gruppo Daimler
Le disposizioni della presente direttiva sono vincolanti per tutte le società del Gruppo che opera- no nel suo ambito di applicabilità. Pertanto, oltre alla legislazione UE applicabile e alla normativa nazionale in tema di protezione dei dati, le società del Gruppo nonché i loro dirigenti e dipendenti sono responsabili del rispetto della presente direttiva.
Se non diversamente stabilito da prescrizioni legali, le società del Gruppo non sono legittimate ad adottare regolamenti che deroghino dalla presente direttiva.
4 Rapporto con gli obblighi di legge
La presente direttiva non sostituisce la legislazione UE né la normativa nazionale. Essa integra le leggi nazionali vigenti in materia di protezione dati. Dette leggi devono prevalere laddove il rispetto della presente direttiva comporti una violazione del diritto nazionale. In assenza di una legislazione nazionale corrispondente, il contenuto della presente direttiva deve essere rispettato.
Qualora il rispetto della presente direttiva comporti una violazione della normativa nazionale, o qualora la normativa nazionale imponga disposizioni che si discostano dalla presente diret- tiva, occorre informare il Responsabile per la protezione dati del Gruppo e l'organizzazione centrale per la compliance ai fini del monitoraggio del diritto per la protezione dati. In caso di contrasto tra la normativa nazionale e la presente direttiva, il Responsabile per la protezione dati del Gruppo e l'organizzazione centrale per la compliance dovranno collaborare con la società del Gruppo interessata per trovare una soluzione fattibile che soddisfi le finalità della presente direttiva.
5 Principi generali del trattamento di dati personali
5.1 Liceità
I dati personali devono essere trattati in modo legittimo e corretto. Il loro trattamento può avere luogo solo e nella misura in cui sussista un fondamento giuridico sufficiente per tale operazione. Questo obbligo vale anche per il trattamento dei dati tra le società del Gruppo. Il semplice fatto che entrambe le parti, ossia la società del Gruppo che trasmette i dati e quella che li riceve, facciano parte del Gruppo Daimler non costituisce tale fondamento giuridico.
Il trattamento di dati personali è legittimo se sussiste una delle seguenti circostanze di autoriz- zazione di cui al paragrafo 5.2 o 5.3. Tali circostanze di autorizzazione sono necessarie anche qualora la finalità del trattamento dei dati personali debba essere modificata rispetto a quella originale.
5.2 Fondamento giuridico per dati di clienti e partner commerciali
5.2.1 Trattamento dati ai fini di un rapporto contrattuale
I dati personali di potenziali clienti, clienti esistenti o partner commerciali possono essere trattati ai fini della costituzione, esecuzione e conclusione di un contratto. Quanto sopra com- prende anche l'assistenza fornita al cliente o al partner commerciale nell'ambito del contratto, qualora essa sia in relazione ai fini del contratto.
Nella fase preliminare del contratto è ammesso il trattamento di dati personali per la formula- zione di offerte, la preparazione di ordini di acquisto o la soddisfazione di altre richieste del po- tenziale cliente in riferimento alla stipulazione del contratto. Durante l'avviamento del rapporto contrattuale i potenziali clienti possono essere contattati tramite i dati che hanno comunicato. In tal caso bisogna tenere conto di eventuali limitazioni espresse dal potenziale cliente.
5.2.2 Trattamento di dati a fini pubblicitari
Qualora l'interessato si rivolga a una società del Gruppo con una richiesta di informazioni (ad es. per l'invio di materiale informativo su un prodotto), il trattamento di dati finalizzato a soddisfare tale richiesta è ammesso. Le iniziative pubblicitarie o di fidelizzazione del cliente sono soggette a ulteriori requisiti giuridici. Il trattamento di dati personali a fini pubblicitari o
di ricerche di mercato o di opinione è ammesso, a condizione che sia compatibile con lo scopo per il quale i dati sono stati originariamente raccolti. L'interessato deve essere preventivamente informato dell'utilizzo dei suoi dati personali a fini pubblicitari. Laddove i dati personali vengano raccolti esclusivamente per scopi pubblicitari, la loro comunicazione da parte dell'interessato
è facoltativa. L'interessato deve essere informato sul carattere facoltativo della comunicazione dei dati ai suddetti fini. Nell'ambito della comunicazione con il soggetto interessato si deve ot- tenere il consenso al trattamento dei suoi dati. Nel rilasciare il proprio consenso, l'interessato deve poter scegliere fra diversi canali di contatto disponibili, come ad esempio e-mail e telefo- no (consenso, vedi par. 5.2.3). Nel caso in cui il soggetto interessato si opponga all'utilizzo dei suoi dati a fini pubblicitari, il trattamento di queste informazioni a tale scopo non è ammesso e i dati devono essere bloccati. Inoltre bisogna attenersi ad eventuali ulteriori limitazioni prescritte in alcuni Paesi in merito al trattamento di dati a fini pubblicitari.
5.2.3 Consenso al trattamento di dati
Il trattamento di dati personali può avere luogo sulla base del consenso dell'interessato. Prima di rilasciare il consenso, l'interessato deve essere informato in conformità alla presente Diret- tiva sulla protezione dati UE. Per motivi di documentazione, la dichiarazione di consenso deve essere fornita per iscritto o elettronicamente. In alcuni casi, ad esempio in caso di consulenza telefonica, il consenso può essere fornito anche verbalmente. Il suo rilascio deve comunque essere documentato.
5.2.4 Trattamento di dati sulla base di autorizzazioni od obblighi giuridici
Il trattamento di dati personali è consentito anche quando le norme di legge del rispettivo Stato lo richiedono, presuppongono o ammettono. Il tipo e la portata del trattamento dei dati devono essere necessari all'attività di trattamento dati legalmente autorizzata ed essere corrispondenti ai requisiti prescritti dalla legge.
5.2.5 Trattamento di dati sulla base del legittimo interesse
I dati personali possono essere trattati anche qualora ciò sia necessario al perseguimento di un legittimo interesse. Con legittimi interessi si intendono di norma interessi di carattere legale (ad es. riscossione di crediti esigibili) o commerciale (ad es. prevenzione di violazioni contrat- tuali). Il trattamento sulla base di un legittimo interesse non può avvenire se nel caso specifico gli interessi meritevoli di tutela dell'interessato prevalgono sul legittimo interesse al tratta- mento dei dati. Prima del trattamento dei dati è necessario stabilire se sussistono interessi meritevoli di tutela.
5.3 Base giuridica per i dati dei dipendenti
5.3.1 Trattamento di dati finalizzato al rapporto lavorativo
Ai fini del rapporto lavorativo è consentito il trattamento dei dati personali per la stipula, l'esecuzione e la conclusione del contratto di lavoro. Per decidere se instaurare un rapporto di lavoro è consentito trattare i dati personali dei candidati. Se il candidato è respinto, i suoi dati devono essere cancellati rispettando i termini di conservazione previsti, salvo il caso in cui il candidato abbia acconsentito al loro mantenimento per un processo di selezione futuro. Il con- senso è necessario anche per l'utilizzo dei dati ai fini di ulteriori processi di selezione o prima della loro trasmissione ad altre società del Gruppo. Nel rapporto di lavoro esistente il tratta- mento dei dati deve essere sempre riferito alle finalità del contratto di lavoro, se non sussiste uno dei seguenti motivi di autorizzazione al trattamento dei dati personali.
Qualora nella fase di candidatura sia necessario raccogliere informazioni su un candidato pres- so terzi, bisogna attenersi ai rispettivi requisiti di legge nazionali. In caso di dubbio va richiesto il consenso dell'interessato, laddove permesso.
Per il trattamento di dati personali che rientrano nel contesto del rapporto di lavoro, ma che ori- ginariamente non attenevano all'instaurazione, all'esecuzione o alla conclusione del rapporto di lavoro deve sussistere una base giuridica secondo quanto elencato sotto (dati dei dipendenti).
5.3.2 Trattamento di dati sulla base di autorizzazioni od obblighi giuridici
Il trattamento dei dati personali dei dipendenti è consentito anche quando le norme di legge nazionali lo richiedono, presuppongono o ammettono. Il tipo e la portata del trattamento dei dati devono essere necessari all'attività di trattamento dati legalmente autorizzata ed essere
corrispondenti ai requisiti prescritti dalla legge. Qualora sussista un margine di manovra giuridico, bisogna tutelare gli interessi sensibili del dipendente.
5.3.3 Clausole dei contratti collettivi sul trattamento dei dati
Se un trattamento dati esula dalle finalità contrattuali, esso può comunque essere legittimo se ammesso da un contratto collettivo. Le clausole devono riguardare lo scopo specifico del trat- tamento dati richiesto e devono essere redatte entro i parametri del diritto nazionale e dell'UE.
5.3.4 Consenso al trattamento di dati
I dati dei dipendenti possono essere trattati sulla base del consenso dell'interessato. Le dichia- razioni di consenso devono essere rilasciate spontaneamente. Il rifiuto al consenso non deve comportare sanzioni. Il consenso non rilasciato spontaneamente non è valido. Per motivi di do- cumentazione, la dichiarazione di consenso deve essere fornita per iscritto o elettronicamente. Qualora in via eccezionale le circostanze non lo consentano, il consenso può essere rilasciato verbalmente. In ogni caso il rilascio del consenso deve essere regolarmente documentato.
Prima di rilasciare il consenso, l'interessato deve essere informato in conformità alla presente Direttiva sulla protezione dati UE.
5.3.5 Trattamento di dati sulla base del legittimo interesse
I dati dei dipendenti possono essere trattati anche qualora ciò sia necessario al perseguimento di un legittimo interesse di una società del Gruppo. Con legittimi interessi si intendono di nor- ma interessi di carattere legale (ad es. per accertare, esercitare o difendere un diritto) o com- merciale (ad es. accelerazione di processi aziendali, valutazione di società). Prima del tratta- mento dei dati è necessario stabilire se sussistono interessi meritevoli di tutela. Il trattamento dei dati personali è ammesso per il perseguimento del legittimo interesse, purché gli interessi meritevoli di tutela del dipendente non prevalgano sull'interesse nel trattamento.
I provvedimenti di controllo che richiedono il trattamento dei dati del dipendente al di là dell'e- secuzione del rapporto di lavoro (ad es. controlli delle prestazioni) non possono essere adottati, salvo il caso in cui sussista un obbligo di legge o un motivo giustificato. Anche in presenza di
un motivo legittimo deve comunque essere verificata la proporzionalità del provvedimento di controllo. Gli interessi legittimi della società del Gruppo allo svolgimento del provvedimento di controllo (ad es. il rispetto delle norme di legge e di regole interne aziendali) devono essere
valutati a fronte di un possibile interesse di tutela che il dipendente oggetto del provvedimento potrebbe avere nell'esclusione di tale provvedimento. I provvedimenti possono essere adottati solo se appropriati per il caso specifico. Il legittimo interesse della società del Gruppo e i pos-
sibili interessi del dipendente meritevoli di tutela devono essere stabiliti e documentati prima dell'adozione di qualsiasi provvedimento. Inoltre bisogna tenere conto di ulteriori requisiti pre- scritti dal diritto applicabile (ad es. diritti di codeterminazione della rappresentanza sindacale e diritti all'informazione degli interessati).
5.4 Trattamento di dati particolarmente sensibili
Il trattamento dei dati personali particolarmente sensibili deve essere espressamente consen- tito o prescritto dalla legislazione nazionale. Il trattamento di tali dati da parte della società del Gruppo può essere consentito, in particolare, se l'interessato ha fornito il suo consenso
esplicito, se il trattamento è necessario per far valere, esercitare o difendere un diritto nei con- fronti dell'interessato o se è necessario per permettere al titolare del trattamento di adempiere i propri diritti e doveri nel campo del diritto del lavoro. Laddove si preveda il trattamento di
dati personali particolarmente sensibili, il Responsabile per la protezione dati del Gruppo deve essere informato anticipatamente.
5.5 Decisioni automatizzate (possibilmente inclusa la profilazione)
L'interessato può essere soggetto a una decisione completamente automatizzata che potreb- be avere un impatto giuridico o analogamente negativo su di lui soltanto se è necessario alla stipulazione o all'esecuzione di un contratto, oppure se l'interessato ha fornito il suo consenso. Questa decisione automatizzata può includere in alcuni casi la profilazione, ossia il trattamento di dati personali con il quale si valutano le caratteristiche della personalità specifica (ad es. l'affidabilità creditizia). In questo caso è necessario comunicare all'interessato la circostanza
e l'esito della decisione individuale automatizzata e fornirgli l'opportunità di far eseguire una verifica individuale da un titolare del trattamento.
5.6 Dovere di informazione / trasparenza
Il reparto responsabile deve fornire all'interessato informazioni sulle finalità e sulle circostanze del trattamento dei suoi dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Occorre rispettare i requisiti posti dal Respon- sabile per la protezione dati del Gruppo e per la compliance dati. Queste informazioni devono es- sere fornite nel momento in cui i dati personali vengono raccolti per la prima volta. Se la società del Gruppo riceve i dati personali da terzi, deve informarne l'interessato entro un lasso di tempo ragionevole dopo la ricezione dei dati, salvo il caso in cui
» l'interessato disponga già di tali informazioni o
» sia impossibile o
» estremamente difficile fornire tali informazioni.
5.7 Limitazione della finalità
I dati personali possono essere trattati solo per la finalità legittima definita prima della raccolta dei dati stessi. Modifiche a posteriori della finalità del trattamento sono consentite solo nella misura in cui il trattamento sia compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti.
5.8 Minimizzazione dei dati
Il trattamento dei dati personali deve essere limitato, sia quantitativamente sia qualitativa- mente, a quanto necessario alle finalità per le quali i dati sono legittimamente trattati. Questo requisito deve essere tenuto in considerazione durante la fase iniziale di raccolta dei dati. Se la finalità lo permette e l'onere è proporzionato alla finalità perseguita, si devono utilizzare dati anonimi o statistici.
5.9 Esattezza dei dati
I dati personali archiviati devono essere oggettivamente esatti e, se necessario, aggiornati. Devono essere adottate misure ragionevoli per cancellare, rettificare, integrare o aggiornare i dati inesatti o incompleti.
5.10 Riservatezza fin dalla progettazione
Il principio della «riservatezza fin dalla progettazione» mira a garantire che i reparti definiscano strategie interne allo stato dell'arte e adottino provvedimenti per integrare i principi di protezione dei dati nelle specifiche e nell'architettura di modelli / processi aziendali e sistemi IT per il trat- tamento dati fin dal principio, ossia nella fase di ideazione e progettazione tecnica. In conformità al principio della «riservatezza fin dalla progettazione», le procedure e i sistemi per il trattamento dei dati personali devono essere configurati in modo tale che le loro impostazioni predefinite siano limitate al trattamento dati necessario alla specifica finalità. Tale obbligo vale per la portata del trattamento, il periodo di conservazione e l'accessibilità. Ulteriori provvedimenti potrebbero includere:
» la pseudonimizzazione dei dati personali quanto prima possibile
» la trasparenza sulle funzioni e sul trattamento dei dati personali
» la possibilità per gli interessati di decidere sul trattamento dei loro dati personali
» la possibilità di creare e migliorare le funzioni di sicurezza da parte dei gestori di procedure o sistemi.
Ogni società del Gruppo adotta e mantiene provvedimenti tecnici e organizzativi appropriati per l'intera durata delle attività di trattamento dati, al fine di garantire che i suddetti principi siano sempre rispettati.
5.11 Cancellazione e trasformazione in forma anonima
I dati personali possono essere archiviati solo per il tempo necessario alla finalità per la quale sono stati trattati. Questo implica che i dati personali devono essere cancellati o trasformati in forma anonima non appena la finalità del loro trattamento è stata raggiunta oppure viene meno, salvo il caso in cui permangano obblighi di documentazione o mantenimento. I respon- sabili delle singole procedure devono garantire l'attuazione delle operazioni di cancellazione e trasformazione in forma anonima per le loro procedure. Ogni sistema deve disporre di una
funzione di cancellazione manuale o automatizzata. Le richieste di cancellazione da parte degli interessati mediante cancellazione o rimozione degli identificatori personali devono essere tecnicamente attuabili nei sistemi. I requisiti imposti da Daimler AG per l'esecuzione delle operazioni di cancellazione (come strumenti soDware, documenti per l'implementazione delle operazioni di cancellazione, requisiti di documentazione) devono essere rispettati.
5.12 Sécurité du traitement
I dati personali vanno protetti dall'accesso non autorizzato e dal trattamento o trasferimento illeciti, nonché dalla perdita, dall'alterazione o dalla distruzione accidentali. Prima di introdurre nuovi metodi di trattamento dei dati, in particolare nuovi sistemi IT, è necessario definire e attuare misure tecniche e organizzative finalizzate alla protezione dei dati personali. Queste misure devono tenere conto dello stato dell'arte, dei rischi del trattamento e della necessità di proteggere i dati.
Le misure tecniche e organizzative attinenti alla protezione dei dati devono essere documen- tate dal titolare del trattamento nell'ambito della Valutazione dell'impatto sulla protezione dei dati e del Registro delle attività di trattamento.
In particolare, il reparto responsabile deve consultarsi con il suo Business Information Security Officer (BISO), il suo Information Security Officer (ISO) e la sua Rete per la protezione dati. I requisiti delle misure tecniche e organizzative per la protezione dei dati personali fanno parte della Gestione della sicurezza delle informazioni aziendali e vanno costantemente aggiornati sulla base degli sviluppi tecnici e dei cambiamenti organizzativi.
5.13 Inoltro all'esterno del Gruppo Daimler
La trasmissione dei dati personali a destinatari interni o esterni alle società del Gruppo è soggetta ai requisiti di autorizzazione per il trattamento dei dati personali di cui al paragrafo
5. Il destinatario dei dati deve essere vincolato all'utilizzo dei medesimi esclusivamente per le finalità definite.
In caso di trasmissione transfrontaliera, il destinatario deve dimostrare di disporre di un livello di protezione dati conforme alla presente direttiva.
In caso di trasmissione transfrontaliera dei dati personali (incluso l'accesso consentito da un altro Paese) occorre soddisfare i requisiti nazionali attinenti al trasferimento di dati personali all'estero. In particolare, i dati personali provenienti dall'UE possono essere trattati all'esterno delle società del Gruppo in un Paese terzo solo se il destinatario è in grado di dimostrare di disporre di un livello di protezione dati conforme alla presente direttiva. Strumenti idonei a tale scopo possono essere:
» accordo su clausole contrattuali standard dell'UE,
» partecipazione del destinatario a un sistema di certificazione accreditato dall'UE, atto a garantire un livello adeguato di protezione dei dati, o
» riconoscimento di regole aziendali vincolanti del destinatario al fine di garantire un livello adeguato di protezione dei dati da parte delle autorità di controllo responsabili.
La trasmissione di dati personali alle autorità non deve essere effettuata in modo massiccio, sproporzionato e indiscriminato, e non deve superare il limite di ciò che è necessario in una società democratica. In caso di conflitto tra questi requisiti e quelli posti dalle autorità pub- bliche, Xxxxxxx AG collaborerà con la società del Gruppo responsabile per individuare una soluzione pratica che soddisfi la finalità della presente direttiva.
Tutti gli obblighi elencati al paragrafo 5 sono diritti del terzo beneficiario per l'interessato.
6 Valutazione dell'impatto sulla prote- zione dei dati
In fase di introduzione di nuovi processi di trattamento, o in caso di modifica significativa a un processo esistente, in particolare attraverso l'uso di nuove tecnologie, le società del Gruppo devono valutare se tale trattamento comporta un rischio elevato per la sfera privata dell'inte- ressato. Occorre prendere in considerazione la natura, la portata, il contesto e la finalità del trattamento dei dati. Nell'ambito dell'analisi dei rischi, il reparto responsabile effettua una valu- tazione dell'impatto del trattamento pianificato sulla protezione dei dati personali (Valutazione dell'impatto sulla protezione dei dati). Occorre rispettare le direttive definite da Daimler AG per l'esecuzione di tale valutazione (ad esempio strumenti soDware, istruzioni sull'effettuazione di una valutazione).
7 Documentazione delle procedure di trattamento dei dati
Ogni società del Gruppo deve documentare in un Registro delle attività di trattamento le proce- dure nelle quali vengono trattati i dati personali. Occorre rispettare le direttive definite da Daim- ler AG per la documentazione (ad esempio strumenti soDware e istruzioni sulla documentazione).
8 Trattamento per conto del titolare del trattamento
8.1 Aspetti generali
Il trattamento per conto del titolare del trattamento ha luogo quando un responsabile tratta i dati personali in qualità di fornitore di un servizio (responsabile del trattamento) per conto e secon- do le istruzioni del titolare del trattamento. In questi casi è necessario stipulare un accordo sul trattamento per conto del titolare del trattamento sia con responsabili esterni, sia tra società all'interno del Gruppo Daimler. Il titolare del trattamento si assume la piena responsabilità della correttezza del processo di trattamento dati.
Le disposizioni del paragrafo 8.3 si applicano anche a titolari del trattamento esterni che non siano società del Gruppo.
L'applicazione di queste direttive deve essere garantita da responsabili del trattamento interni al Gruppo mediante l'inserimento della seguente regola nell'accordo per il trattamento per conto del titolare del trattamento: il trattamento dati è soggetto alle norme vincolanti d'impresa del responsabile del trattamento, che l'autorità di controllo competente ritiene sufficienti per creare un livello adeguato di protezione dei dati ai sensi della legislazione UE. In questo senso, le norme vincolanti d'impresa del responsabile del trattamento sono vincolanti nei confronti del titolare del trattamento.
8.2 Direttive per titolari del trattamento
All'emissione di un ordine si devono osservare le seguenti direttive, la cui attuazione deve essere assicurata dal reparto competente.
» Il responsabile del trattamento deve essere selezionato in base alla sua idoneità a garantire le necessarie misure di sicurezza tecniche e organizzative.
» Si devono rispettare gli standard contrattuali per la protezione dei dati stabiliti dal Responsabile per la protezione dati del Gruppo.
» L'ordine deve essere conferito per iscritto o in forma elettronica. Sia le istruzioni per il trat- tamento dei dati sia le responsabilità del titolare e del responsabile del trattamento devono essere documentate.
Prima di iniziare il trattamento dei dati, il titolare del trattamento deve accertarsi mediante adeguata valutazione che il responsabile del trattamento rispetterà gli obblighi suddetti. Oc- corre rispettare le direttive definite da Daimler AG in materia (ad esempio strumenti soDware, istruzioni sull'effettuazione della valutazione, contratti modello). In particolare, il rispetto dei requisiti di sicurezza dei dati può essere dimostrato dal responsabile del trattamento presen- tando un'idonea certificazione. A seconda del livello di rischio del processo di trattamento dei dati, le verifiche devono essere ripetute a intervalli regolari durante il periodo contrattuale.
8.3 Direttive per responsabili del trattamento interni
Il responsabile del trattamento può trattare i dati personali solo nel rispetto delle istruzioni del titolare del trattamento.
I responsabili del trattamento possono conferire ad altre società del Gruppo o a terzi («subin- caricati») il compito di trattare i dati personali nel loro (sub)incarico solo previo consenso del titolare del trattamento. Tale consenso viene concesso solo se il responsabile del trattamento vincola il subincaricato – mediante contratto o altri strumenti giuridici vincolanti analoghi – ai medesimi obblighi di protezione dei dati ai quali è soggetto il responsabile del trattamento
nei confronti della società del Gruppo e degli interessati in conformità alla presente direttiva. Il subincaricato è tenuto anche ad attuare adeguate misure di protezione di tipo tecnico e organizzativo. La forma del consenso e gli obblighi di informazione in caso di modifiche nel
conferimento dell'incarico al subincaricato vanno regolati nel contratto di prestazione di servizi.
I responsabili del trattamento sono obbligati a garantire al titolare del trattamento un supporto adeguato nel rispettare le direttive di protezione dati applicabili a quest'ultimo, soprattutto fornendo tutte le informazioni necessarie. Quanto suddetto riguarda, in particolare, il rispetto
» dei principi generali per il trattamento, in conformità al paragrafo 5
» dei diritti degli interessati, in conformità al paragrafo 10
» dell'obbligo di notificare gli incidenti che riguardano la protezione dati, in conformità al paragrafo 12
» delle direttive per il titolare del trattamento e i responsabili del trattamento, in conformità al paragrafo 8
» e della gestione di richieste e indagini condotte dalle autorità di controllo.
Se norme applicabili o disposizioni legali impongono al responsabile del trattamento di effet- tuare il trattamento in modo contrario alle istruzioni del titolare del trattamento, oppure se tali disposizioni impediscono al responsabile del trattamento di adempiere i suoi obblighi previsti dalla presente direttiva o dall'accordo sul trattamento per conto del titolare del trattamento, il responsabile del trattamento deve informare immediatamente il suo titolare del trattamento, salvo il caso in cui la disposizione di legge in questione vieti tale notifica. Quanto suddetto si applica analogamente qualora il responsabile del trattamento non sia in grado di rispettare le istruzioni del titolare del trattamento per altre ragioni. In tal caso il titolare del trattamento ha il diritto di sospendere la trasmissione dei dati e/o di porre fine all'accordo sul trattamento per suo conto.
I responsabili del trattamento sono tenuti a notificare ai loro titolari del trattamento eventuali richieste vincolanti di comunicazione di dati personali ricevute da autorità pubbliche, purché tale notifica non sia vietata per altre ragioni.
Al termine della prestazione del servizio, il responsabile del trattamento deve cancellare o restituire – a discrezione del titolare del trattamento – tutti i dati personali forniti dal titolare del trattamento.
I responsabili del trattamento sono tenuti a informare immediatamente il titolare del trattamen- to e, se del caso, il cliente del titolare del trattamento circa rivendicazioni, richieste o reclami presentati dagli interessati.
I titolari del trattamento interni al Gruppo devono vincolare i responsabili del trattamento ester- ni anche al rispetto delle suddette regole.
Gli obblighi specifici del responsabile del trattamento nei confronti del titolare del trattamento sono diritti del terzo beneficiario per l'interessato.
9 Joint Controllership
Nel caso in cui più società del Gruppo definiscano congiuntamente i mezzi e gli scopi del trat- tamento dei dati personali (insieme a una o più parti terze, se presenti) (titolari del trattamento congiunti), le società devono stipulare un accordo che definisca i loro doveri e le loro responsa- bilità nei confronti dell'interessato di cui stanno trattando i dati. Occorre attenersi ai modelli di contratto forniti dal Responsabile per la protezione dati del Gruppo.
10 Diritti applicabili per gli interessatis
Tutti i diritti degli interessati e gli obblighi delle società del Gruppo elencati nel paragrafo 10 sono diritti del terzo beneficiario per l'interessato.
Alle richieste e ai reclami presentati in conformità al paragrafo 10 si deve generalmente fornire una risposta entro un mese; in casi giustificati tale termine può essere esteso fino a un massi- mo di tre mesi dalla ricezione della richiesta o del reclamo.
10.1 Diritti dell'interessato
L'interessato dal trattamento dati nell'UE gode dei diritti di seguito elencati, esposti più detta- gliatamente nella legislazione UE, nei confronti della società del Gruppo responsabile o, se la società del Gruppo corrisponde al responsabile del trattamento, nei confronti del titolare del trattamento.
» Il diritto di essere informato delle circostanze in cui i suoi dati personali sono stati trattati. Occorre rispettare i requisiti posti dal Responsabile per la protezione dati del Gruppo per tali informazioni.
» Il diritto di ottenere informazioni sulle modalità di trattamento dei suoi dati e sui diritti di cui gode in tal senso. Se nel rapporto lavorativo le leggi specifiche sul lavoro prevedono ulteriori diritti di visionare la documentazione del datore di lavoro (ad es. il fascicolo personale), questi restano inalterati. Su richiesta, l'interessato può ricevere una copia dei suoi dati per- sonali (eventualmente dietro compenso adeguato), purché a questo diritto non si oppongano interessi meritevoli di tutela di terzi.
» Il diritto alla rettifica o all'integrazione dei dati personali se sono inesatti o incompleti.
» Il diritto alla cancellazione dei suoi dati personali, qualora revochi il consenso o il fondamento giuridico non sussista più. Lo stesso diritto si applica nel caso in cui la finalità del trattamen- to dati non sussista più o cessi di essere applicabile per altre ragioni. Occorre rispettare il pe- riodo di conservazione e gli interessi meritevoli di tutela che ne proibiscono la cancellazione.
» Il diritto alla limitazione del trattamento dei suoi dati se contesta la loro esattezza o se la so- cietà del Gruppo non ha più bisogno dei dati, mentre all'interessato sono necessari per i suoi diritti in sede giudiziaria. L'interessato può anche richiedere che la società del Gruppo limiti il trattamento dei suoi dati qualora la società debba altrimenti cancellare i dati o qualora stia verificando un'obiezione sollevata dall'interessato.
» Il diritto di ricevere in un formato digitale di uso comune i dati personali che lo riguardano e che ha fornito sulla base del consenso, o nell'ambito di un accordo stipulato con lui. Inoltre ha il diritto di trasmettere tali dati a terzi se il trattamento è stato effettuato con mezzi auto- matizzati e se la trasmissione è tecnicamente fattibile.
» Il diritto di opporsi in qualsiasi momento al trattamento dei dati per finalità di marketing diret- to. Occorre garantire un sistema adeguato di gestione dei consensi e delle opposizioni.
» Il diritto di opporsi al trattamento dei dati personali effettuato sulla base legale di interessi prevalenti di una società del Gruppo o di terzi, per ragioni connesse alla sua particolare situa- zione personale. Tuttavia, questo diritto di opposizione non è valido se la società del Gruppo ha motivi cogenti per procedere al trattamento oppure se i dati sono trattati per l'accerta- mento, l'esercizio o la difesa di un diritto in sede giudiziaria. Se l'opposizione è legittima, i dati devono essere cancellati.
Inoltre, l'interessato è legittimato a far valere i suoi diritti nei confronti della società del Gruppo che importa i dati in un Paese terzo.
10.2 Procedura di reclamo
Gli interessati hanno il diritto di presentare reclamo al Responsabile per la protezione dati del Gruppo se ritengono che la presente direttiva sia stata violata. Reclami di questo tipo possono essere presentati via e-mail.
La società del Gruppo con sede nell'UE che esporta i dati deve assistere l'interessato i cui dati personali sono stati raccolti nell'UE, per accertare i fatti e far valere i suoi diritti conformemen- te alla presente direttiva nei confronti della società del Gruppo che importa i dati.
Qualora l'interessato non concordi con la decisione della società del Gruppo sul rispetto delle disposizioni (o qualora non sia soddisfatto dell'operato della società), ha la facoltà di conte- stare tale decisione od operato esercitando i suoi diritti. A tal fine può rivolgersi all'autorità di controllo competente o promuovere un'azione dinanzi a un tribunale. Ulteriori diritti e respon- sabilità previsti dalla legge restano inalterati.
11 Responsabilité et lieu de juridiction
11.1 Disposizioni sulla responsabilità
La società del Gruppo con sede nell'UE («esportatore dei dati») che ha inizialmente trasmesso i dati personali a una società del Gruppo con sede in un Paese terzo si assume la responsabilità di qualsiasi violazione della presente direttiva da parte di detta società del Paese terzo che riceve i dati dall'UE per il trattamento nel Paese terzo. Questa responsabilità include l'obbligo di porre rimedio a situazioni illecite e risarcire i danni materiali e immateriali causati dalla viola- zione della presente direttiva da parte di società del Gruppo provenienti da Paesi terzi.
L'esportatore dei dati è esonerato da tale responsabilità in tutto o in parte solo se è in grado di dimostrare che la società del Gruppo del Paese terzo che riceve i dati dall'UE non è respon- sabile dell'evento che ha causato il danno. Se una società del Gruppo tratta i dati personali in qualità di responsabile del trattamento per una società che non fa parte del Gruppo Daimler
e il trattamento include la trasmissione di dati personali a subincaricati al di fuori dell'UE, la società del Gruppo deve rispondere, ai sensi del paragrafo 11, di violazioni della presente Di- rettiva sulla protezione dati UE e dell'accordo da stipulare ai sensi del paragrafo 8.1. La società deve anche rispondere delle suddette violazioni commesse dal suo subincaricato nei confronti della Direttiva sulla protezione dati UE. Inoltre, l'interessato è legittimato a chiedere alla so- cietà del Gruppo esportatrice il risarcimento dell'intero danno causato dalla società del Gruppo stessa e dal subincaricato. Quanto suddetto vale in particolare se le rivendicazioni dell'interes- sato ai sensi del paragrafo 10 nei confronti del titolare del trattamento o del suo successore legale responsabile sono inefficaci perché quest'ultimo non esiste più o è insolvente.
11.2 Foro competente
Qualsiasi consumatore che sia anche interessato dal trattamento dei suoi dati può promuove- re un'azione dinanzi all'organo giurisdizionale che ha competenza nel suo caso. Tutti gli altri soggetti possono promuovere un'azione solo dinanzi all'organo giurisdizionale nella sede del titolare del trattamento.
Qualsiasi consumatore che sia anche interessato dal trattamento dei suoi dati personali e che faccia valere una violazione della presente direttiva nell'ambito di un trattamento in Paesi terzi ha facoltà di intentare un'azione legale nell'UE sia nei confronti della società che importa i dati sia di quella che li esporta. Pertanto, il consumatore può presentare la presunta violazione e intentare la conseguente azione legale dinanzi al foro competente e alle autorità di regolamen- tazione presso la sede del titolare del trattamento o la sua residenza abituale.
Le disposizioni sulla responsabilità e sul foro competente di questo paragrafo sono diritti del terzo beneficiario per l'interessato.
12 Notifica di incidenti che riguardano la protezione dati
In caso di potenziale violazione delle direttive per la sicurezza dei dati («incidente nella prote- zione dei dati»), le società del Gruppo coinvolte hanno l'obbligo di indagare, informarsi e ridurre il danno. Un incidente nella protezione dei dati rappresenta una violazione dei dati personali se sussiste una violazione della sicurezza che causa illecitamente distruzione, alterazione, divul- gazione o utilizzo non autorizzati dei dati personali. Quando la violazione dei dati personali può comportare un rischio per i diritti e le libertà di persone fisiche, l'autorità di controllo responsa- bile deve essere generalmente informata di tale violazione entro 72 ore dal suo primo accer- tamento. Inoltre, gli interessati devono ricevere notifica di qualsiasi violazione dei loro dati personali che possa comportare un rischio elevato per i loro diritti e le loro libertà. I responsa- bili del trattamento ai sensi del paragrafo 8.2 sono obbligati a denunciare immediatamente gli incidenti nella protezione dei dati al titolare del trattamento.
Se si riscontra o si sospetta l'esistenza di un incidente nella protezione dei dati nell'ambito di responsabilità di una società del Gruppo, tutti i dipendenti sono tenuti a segnalarlo immediata- mente in conformità al processo Information Security Incident Management. Occorre rispetta- re le direttive stabilite da Daimler AG al riguardo (ad esempio strumenti soDware, istruzioni per la segnalazione).
13 Organizzazione per la protezione dei dati e sanzioni
13.1 Responsibilità
I membri degli organi amministrativi delle società del Gruppo sono responsabili del trattamento dati nella loro area di competenza. Pertanto, devono assicurare l'osservanza dei requisiti di legge in tema di protezione dati e delle disposizioni contenute nella presente Direttiva sulla protezione dati UE (ad es. obblighi di denuncia alle autorità nazionali). Nell'ambito di responsabilità dei dirigen- ti rientra l'obbligo di garantire che siano poste in essere misure organizzative, personali e tecniche finalizzate a un trattamento dati conforme ai requisiti della protezione dati. Il rispetto di tali diret- tive è responsabilità dei dipendenti competenti. Se le autorità effettuano controlli sulla protezione dati, il Responsabile per la protezione dati del Gruppo deve esserne informato immediatamente.
13.2 Sensibilizzazione e formazione
I dirigenti devono assicurare che i loro dipendenti ricevano e partecipino ai corsi di formazione richiesti in tema di protezione dati, compreso il contenuto e la gestione della presente direttiva, qualora abbiano accesso costante o frequente a dati personali. Occorre rispettare i requisiti posti dal Responsabile per la protezione dati del Gruppo e per la compliance dati.
13.3 Organizzazione
Il Responsabile per la protezione dati del Gruppo è indipendente da istruzioni interne relative all'esecuzione dei suoi incarichi. Deve garantire il rispetto della normativa nazionale e internazio- nale in tema di protezione dati. È responsabile della presente direttiva e ne controlla l'osservanza. Il Responsabile per la protezione dati del Gruppo è nominato dal Consiglio direttivo di Daimler AG. Generalmente, le società del Gruppo con obbligo legale di nomina designano il Responsabile per la protezione dati del Gruppo come responsabile in tale ambito. Eventuali eccezioni devono essere concordate con il Responsabile per la protezione dati del Gruppo.
Qualsiasi interessato può rivolgersi al Responsabile per la protezione dati del Gruppo in qualsiasi momento per esprimere preoccupazioni, porre domande, richiedere informazioni o presentare re- clami relativi a questioni di protezione o sicurezza dei dati. Se richiesto, preoccupazioni e reclami possono essere trattati in modo confidenziale.
Il Responsabile per la protezione dati del Gruppo può essere contattato ai seguenti recapiti: Daimler AG, Responsabile per la protezione dati del Gruppo, HPC E600,
70546 Stoccarda, Germania
Indirizzo e-mail : xxxx.xxxxxxxxxx@xxxxxxx.xxx
Intranet : xxxxx://xxxxxx.xxxxx.xxxxxxxxx.xxx/xxxx/XXX-000000
Il Gruppo Daimler ha anche istituito un'organizzazione per la compliance, descritta più det- tagliatamente in regolamenti interni distinti. L'organizzazione per la compliance supporta e vigila sulle società del Gruppo rispetto alla compliance con la normativa sulla protezione dati. Definisce il contenuto della formazione sulla protezione dati e fissa i criteri per il gruppo di partecipanti.
13.4 Sanzioni
Il trattamento illecito di dati personali o altre violazioni della normativa sulla protezione dati possono essere perseguiti anche penalmente in molti Paesi e possono comportare richieste di risarcimento danni. Le violazioni di cui sono responsabili i singoli dipendenti possono comporta- re azioni disciplinari previste dalla normativa del lavoro. Violazioni della presente direttiva sono sanzionate in conformità ai regolamenti interni.
13.5 Audit e controlli
L'osservanza della presente direttiva e della normativa sulla protezione dati applicabile viene verificata a livello di Gruppo mediante regolari processi di auditing e ulteriori controlli. I risultati dei controlli devono essere comunicati al Responsabile per la protezione dati del Gruppo, alla società del Gruppo responsabile e al suo responsabile per la protezione dati, qualora sia stato nominato. Inoltre, i risultati di questi audit devono essere forniti ai titolari del trattamento terzi, in conformità alle disposizioni contrattuali dell'accordo sul trattamento per conto del titolare del trattamento. Inoltre, i titolari del trattamento terzi hanno il diritto di effettuare audit di protezione dati su titolari del trattamento interni, in conformità alle disposizioni contrattuali dell'accordo sul trattamento per conto del titolare. Le società del Gruppo devono effettuare ve- rifiche ed esami propri per accertare il rispetto della presente direttiva, qualora venga richiesto dal Responsabile per la protezione dati del Gruppo.
La commissione di vigilanza di Daimler AG deve essere informata di risultati significativi, nell'ambito degli obblighi di notifica esistenti. Su richiesta, i risultati delle verifiche vengono messi a disposizione dell'autorità di controllo per la protezione dati competente, la quale può eseguire controlli indipendenti per accertare il rispetto delle disposizioni della presente diretti- va, nel rispetto della normativa nazionale.
14 Modifiche alla presente direttiva e col- laborazione con le autorità pubbliche
14.1 Responsabilità in caso di modifiche
La presente direttiva può essere modificata solo mediante una precisa procedura per la modifi- ca di direttive, in collaborazione con il Responsabile per la protezione dati del Gruppo. Le modi- fiche che comportano conseguenze significative sulla direttiva stessa o sul livello di protezione offerto dalla direttiva (ossia modifiche al carattere vincolante) devono essere prontamente comunicate alle autorità di controllo per la protezione dati competenti, le quali emettono un'au- torizzazione della presente direttiva sotto forma di norme vincolanti d'impresa.
Il Responsabile per la protezione dati del Gruppo deve tenere un elenco aggiornato di tutte le società del Gruppo vincolate dalla presente direttiva (altra norma applicabile «Elenco delle società del Gruppo vincolate dalla Direttiva sulla protezione dati UE»). Se società del Gruppo
trattano dati personali per conto di società non facenti parte del Gruppo, le società del Gruppo devono informarle di cambiamenti apportati all'elenco. In caso di modifiche alla direttiva riguardanti le condizioni del trattamento, tali società non facenti parte del Gruppo ne saranno informate per tempo, in modo da avere la possibilità di opporsi alla modifica o di porre fine all'accordo con il responsabile del trattamento interno.
Per gli interessati esterni al Gruppo Daimler la versione più aggiornata della presente direttiva viene pubblicata online all'indirizzo xxxxx://xxx.xxxxxxx.xxx . Questa disposizione è un diritto del terzo beneficiario per l'interessato.
In caso di modifiche alla presente direttiva o all'elenco di società del Gruppo associate, l'auto- xxxx di controllo della sede principale di Daimler AG ne riceve comunicazione una volta all'anno dal Responsabile per la protezione dati del Gruppo.
14.2 Cooperazione con le autorità
Le società del Gruppo che eseguono il trattamento in Paesi terzi o vi partecipano sono obbligate a cooperare con le autorità di controllo responsabili per questioni relative a problemi, indagini o
altre procedure connesse al trattamento di dati personali nel contesto summenzionato. È compre- so l'obbligo di accettare audit legittimi da parte dalle autorità di controllo e di rispettare tutte le istruzioni legittime impartite dalle autorità di controllo responsabili sulla base di procedure di trattamento in Paesi terzi o disposizioni della presente direttiva.
Se le società del Gruppo fanno parte di un sistema di certificazione internazionale per norme vin- colanti d'impresa in tema di protezione dei dati, devono assicurare la cooperazione con le società e le agenzie di audit responsabili. La partecipazione a detti sistemi di certificazione deve essere concordata con il Responsabile per la protezione dati del Gruppo.
Le disposizioni di cui al paragrafo 14.2 sulla cooperazione con le autorità sono diritti del terzo beneficiario per l'interessato.
14.3 Monitoraggio e segnalazioni relative a regolamenti di Paesi terzi
I responsabili in società di Paesi terzi devono comunicare immediatamente al Responsabile per la protezione dati del Gruppo se per la loro società sussiste la legittima aspettativa che le leggi o altri regolamenti approvati da un Paese o da un'istituzione diversa dall'UE e dai suoi stati membri presentino i seguenti rischi:
» le leggi o i regolamenti sono tali da impedire alla società del Paese terzo in questione o a un'altra società del Gruppo di adempiere i suoi obblighi previsti dalla presente direttiva du- rante il trattamento dei dati in Paesi terzi, oppure
» le leggi o i regolamenti possono avere seri effetti negativi sui diritti di cui godono gli interes- sati sulla base della presente direttiva per il trattamento dei dati in Paesi terzi. Questo rischio sussiste soprattutto qualora l'autorità pubblica locale richieda una trasmissione dei dati personali in modo massiccio, sproporzionato e indiscriminato, che superi il limite di ciò che è necessario in una società democratica.
Il Responsabile per la protezione dati del Gruppo deve valutare l'impatto e informare l'autorità per la protezione dei dati competente (qualora presente) se si prevede che la disposizione di legge interferisca in modo significativo con le garanzie offerte dalla presente direttiva. Questa disposizione è un diritto del terzo beneficiario per l'interessato.
Se un'autorità pubblica obbliga una società di un Paese terzo ad astenersi dal notificare all'au- torità di controllo per la protezione dati la divulgazione dei dati personali, detta società deve adottare tutte le misure adeguate a limitare il più possibile questo divieto o ad annullarlo, e a fornire alle autorità di controllo competenti le informazioni generali sulle richieste che ha rice- vuto (ad es. numero di richieste di divulgazione, tipo di dati richiesti, identità del richiedente, se possibile).
Daimler AG Xxxxxxxxxxxxxx 000
00000 Xxxxxxxxx Xxxxxxx xxx.xxxxxxx.xxx