Trattamento dei Dati Personali
Ai sensi dell’articolo 26 del Regolamento Europeo n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (in breve “GDPR”), PwC ha concluso un accordo di contitolarità con Servizi Aziendali PricewaterhouseCoopers Srl (di seguito “SAPwC”), con sede in Milano, Piazza Tre Torri, n. 2, società che fornisce servizi amministrativi, contabili ed organizzativi a tutte le entità giuridiche italiane del Network PwC di cui PwC e SAPwC (“Contitolari”) fanno parte. Il contenuto essenziale di tale accordo è a disposizione presso le sedi dei Contitolari.
Ne consegue che tutti i dati personali forniti dalla Società a PwC saranno automaticamente in contitolarità di SAPwC. Tenuto conto di quanto poc’anzi indicato, i Contitolari forniscono alla Società la presente informativa, ai sensi degli articoli 13 e 14 del GDPR (in breve, “Informativa”) riguardanti il trattamento dei dati personali acquisiti ai fini dell’esecuzione dei Servizi.
Per lo svolgimento dell’incarico professionale conferito dalla Società (di seguito, oltre a “Servizi”, anche “Incarico di Revisione” o “Incarico”) nella generalità dei casi PwC non necessita di trattare dati personali ai sensi del GDPR, se non quelli dei legali rappresentanti e delle persone di contatto della Società.
In conformità al principio di minimizzazione previsto dall’articolo 5, comma 1, lettera (c), GDPR, la Società si impegna, pertanto, ad astenersi dall’invio a PwC di dati personali di qualsiasi tipo, salvo che gli stessi non siano strettamente necessari per lo svolgimento dell’Incarico. In quest’ultimo caso i dati personali dovranno essere trasmessi ai Contitolari in forma anonima ovvero tramite l’uso di pseudonimi, come espressamente previsto dal GDPR.
Qualora, ai fini dell’esecuzione dell’Incarico, si rendesse indispensabile trattare dati personali ulteriori rispetto a quelli dei legali rappresentanti e/o delle persone di contatto della Società e gli stessi non potessero essere acquisiti in forma anonima o pseudonimizzata, PwC valuterà con la Società le modalità più opportune di trattamento. In linea di massima, i dati in questione potrebbero riguardare: dipendenti, clienti, fornitori persone fisiche, controparti in procedimenti giudiziali, membri degli organi di amministrazione o controllo, ecc. (i) della Società (o delle società del gruppo di appartenenza), oppure (ii) di imprese terze ove l’Incarico comprenda lo svolgimento di analisi di dati di tali soggetti.
Ai sensi del GDPR, tali soggetti rivestono la qualifica di “Interessato”, cioè di persona alla quale si riferiscono i dati stessi oggetto del trattamento (di seguito “Interessato”).
Ove del caso i dati saranno raccolti dai Contitolari presso la Società a mezzo di persone autorizzate al trattamento. L’applicazione delle procedure di revisione o di altri incarichi potrebbe comportare la raccolta dei dati anche presso terzi, generalmente in rapporto d’affari con la Società, quali: clienti, fornitori, creditori, debitori, banche ed istituzioni finanziarie, consulenti, fiduciari, depositari di valori ecc., nonché altre società del gruppo di appartenenza della Società oppure altri revisori. L’acquisizione dei dati potrebbe avvenire anche presso banche dati private e/o pubblici registri.
In ogni caso, la Società dichiara e garantisce di trattare legittimamente ed in conformità al GDPR tutti dati personali che dovesse comunicare a PwC nel corso dello svolgimento dei Servizi ed, in particolare, dichiara sin d’ora di aver fornito agli Interessati adeguata informativa nella quale viene espressamente menzionata la possibilità di fornire i dati personali a società terze incaricate dell’esecuzione di servizi professionali e di avere ottenuto i consensi eventualmente necessari. L’Informativa è consultabile sul sito web https://www.pwc.com/it/informative-privacy.
PRICEWATERHOUSECOOPERS S.p.A.
Piazza Tre Torri, n. 2 - 20145 Milano
C.F. e P.IVA: 12979880155
Tel. (02) 77851
SERVIZI AZIENDALI PRICEWATERHOUSECOOPERS
S.r.l.
Piazza Tre Torri, n. 2 - 20145 Milano
C.F. e P.IVA: 12449670152
Tel. (02) 77851
Ufficio del Responsabile della Protezione dei Dati/Data Protection Officer (“DPO”)
Piazza Tre Torri, n. 2 - 20145 Milano
Indirizzo PEC: dpo-assurance@pec-pwc.it
Tel. (02) 7785670 Fax. (02) 7785671
I dati personali sono trattati per le seguenti finalità:
(i) adempiere gli obblighi precontrattuali e contrattuali riguardanti l’Incarico di revisione come disciplinato dal Diritto dell’Unione Europea e dalla normativa nazionale, nonché dai Principi di revisione applicabili;
(ii) adempiere gli obblighi previsti da leggi e regolamenti nazionali e comunitari (es. normativa antiriciclaggio e antiterrorismo) o, per quanto applicabili, da normative vigenti presso paesi terzi;
(iii) eseguire un ordine di Autorità giudiziarie, enti o organismi al cui potere di vigilanza sono soggetti i Contitolari;
(iv) eseguire le disposizioni delle procedure del Network PwC riguardanti processi e aspetti organizzativi, gestionali e operativi inerenti il conferimento e l’esecuzione di incarichi (che in taluni casi potrebbe avvenire con il coinvolgimento di altre entità legali italiane ed estere del Network PwC) nonché i rapporti con la clientela (es. verifiche di indipendenza e di potenziali conflitti di interesse, procedure di gestione del rischio e di controllo della qualità);
(v) esercitare i diritti dei Contitolari, in particolare, il diritto di difesa in giudizio.
I trattamenti di dati personali effettuati per le finalità sopra indicate sono necessari per attuare le disposizioni normative vigenti, per poter eseguire l’Incarico di revisione, in applicazione dei relativi obblighi previsti dal diritto nazionale e dell’Unione europea e degli accordi contrattuali nonché, più in generale, per il perseguimento del legittimo interesse, anche di soggetti terzi con cui la Società intrattenga rapporti commerciali, alla regolare esecuzione di tale attività e alla conseguente espressione del giudizio sul bilancio.
Il trattamento non richiede pertanto il consenso degli Interessati.
Un eventuale rifiuto di fornire tali dati e/o l’opposizione al loro trattamento comporterebbe l'impossibilità per PwC di svolgere l’Incarico e per SAPwC di eseguire le attività ancillari di propria competenza come precedentemente descritte.
Inoltre, i dati personali potrebbero essere trattati per perseguire il legittimo interesse dei Contitolari e/o delle altre entità legali (italiane ed estere) aderenti al Network PwC di instaurare e intrattenere proficue e ottimali relazioni professionali con i propri clienti, attuali e potenziali. A tale scopo i dati potranno essere utilizzati per svolgere attività di “customer relationship management”, consistenti principalmente nel tracciare e gestire i rapporti e le interazioni intrattenuti dalle entità giuridiche (italiane ed estere) del Network PwC, tramite i professionisti che ne fanno parte, con le “persone di contatto” di clienti, attuali e potenziali, al fine di comprenderne al meglio le esigenze e aspettative, migliorare i propri servizi, svilupparne di nuovi sulla base delle richieste del mercato, nonché incrementare il proprio business. Per il raggiungimento di questi scopi i dati personali delle “persone di contatto” saranno inseriti in appositi data base in titolarità e/o nella disponibilità dei Contitolari e quindi resi visibili anche alle altre entità giuridiche, italiane ed estere, del Network PwC aventi sede nei Paesi indicati all’indirizzo web: https://www.pwc.com/gx/en/about/office-locations.html.
Qualora dovessero ricorrere specifici obblighi di riservatezza, confidenzialità o segreto professionale, come pure in presenza di particolari ragioni di opportunità, i dati personali saranno resi accessibili, a seconda delle circostanze, unicamente ai professionisti delle entità legali italiane del Network PwC (con esclusione di quelle estere), oppure dei soli Contitolari del trattamento, ovvero soltanto ai membri del team di lavoro assegnato allo svolgimento dell’incarico professionale. In ogni caso, per le finalità di “customer relationship management” poc’anzi indicate, gli Interessati potranno essere contattati, ove necessario, soltanto per il tramite dei professionisti che operano nell’ambito dell’entità legale italiana con cui gli stessi hanno instaurato la relazione principale.
In conformità all’articolo 4, n. 1, GDPR per "dato personale" (di seguito anche “Dati”) si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, per mezzo di qualsiasi identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, che sia stata acquisita dai Contitolari tramite la Società oppure presso banche dati private e/o pubblici registri.
Ai fini dell’esecuzione dell’Incarico, fermo restando l’obbligo di rispettare il principio della minimizzazione come sopra indicato, tenuto conto delle caratteristiche dell’attività di revisione dei conti, in taluni casi potrebbe rendersi necessario anche il trattamento di particolari categorie di Dati quali, a titolo esemplificativo ma non esaustivo, quelli di cui all’articolo 9, GDPR (ad esempio, Dati idonei a rivelare lo stato di salute), ovvero Dati relativi a condanne penali e reati o connessi a misure di sicurezza, come definiti dall’articolo 10, GDPR.
Nell’ambito dell’esecuzione dell’Incarico di revisione, i Dati potranno essere resi accessibili a:
(i) organi sociali e altri organismi societari esistenti presso la Società, secondo il modello di governance adottato,
(ii) enti esterni (anche privati) italiani o esteri, che svolgono attività di vigilanza sulla Società, sul gruppo di appartenenza della Società e/o sui Contitolari (a titolo esemplificativo, Consob, Banca d’Italia, Ivass), amministrazioni, nonché Autorità giudiziarie nell’ambito di procedimenti civili, penali o amministrativi,
(iii) dipendenti e collaboratori dei Contitolari, nella loro qualità di addetti autorizzati al trattamento dei Dati (o c.d. “Incaricati al trattamento”),
(iv) altre entità giuridiche italiane ed estere del Network PwC, di cui i Contitolari fanno parte, per le finalità previste al precedente punto c), inclusa l’esecuzione delle attività di “customer relationship management” precedentemente indicate tramite inserimento dei dati in appositi data base di proprietà e/o in disponibilità dei Contitolari,
(v) società ed enti esterni e professionisti di fiducia dei Contitolari che svolgono attività funzionali all’esecuzione dell’Incarico di revisione dei conti o altro incarico conferito a PwC,
(vi) altri revisori, nei casi previsti e disciplinati dalla legge e dai Principi di revisione applicabili, nonché su specifica richiesta della Società,
(vii) altri soggetti terzi che svolgono attività in outsourcing per conto dei Contitolari, anche ai fini della conservazione dei dati, nella loro qualità di responsabili del trattamento,
(viii) professionisti incaricati dalla Società ai fini dell’esecuzione di altri incarichi oppure da società terze per l’esecuzione di incarichi in cui la Società abbia interesse (es. incarichi di due diligence in cui sia coinvolta la Società).
L’elenco aggiornato dei responsabili e degli addetti autorizzati al trattamento è custodito presso la sede dei Contitolari.
Poiché i Contitolari operano nell’ambito di una Rete composta da entità giuridiche indipendenti aventi sede in diversi paesi del mondo, i Dati potrebbero essere trasferiti e conservati anche fuori dall'Unione Europea, inclusi i paesi che non garantiscono un livello di protezione adeguato. In ogni caso, tali trasferimenti avverranno sempre e comunque nel rispetto delle condizioni previste dagli articoli 45 e 46, GDPR.
La gestione e la conservazione dei dati personali avvengono in cloud e su server ubicati all'interno ed all'esterno dell'Unione Europea di proprietà e/o nella disponibilità dei Contitolari e/o di società terze incaricate, debitamente nominate quali responsabili del trattamento.
L'eventuale trasferimento all'estero dei dati nei paesi extra-UE avviene in conformità alle disposizioni normative vigenti, nonché nel rispetto delle disposizioni assunte dalla Corte di Giustizia europea e dalle Autorità nazionali ed estere in materia di protezione dei dati personali.
I Dati non saranno soggetti a diffusione al di fuori delle ipotesi previste in relazione alle attività di “customer relationship management” precedentemente descritte.
I Dati saranno conservati per tutta la durata del rapporto professionale. A decorrere dalla data di cessazione di tale rapporto per qualsivoglia ragione o causa, i Dati saranno conservati per il tempo previsto dai Principi di revisione applicabili riguardanti la conservazione della documentazione del lavoro di revisione dei conti, nonché per i termini prescrizionali applicabili ex lege, maggiorati di dodici mesi.
In ogni caso, i Dati saranno conservati per il tempo necessario ai fini dell’adempimento di specifici obblighi normativi (es. normativa antiriciclaggio), nonché per l’eventuale necessità di accertamento, esercizio o difesa dei diritti dei Contitolari anche derivanti dalla necessità di comprovare la regolare esecuzione dell’Incarico di Revisione. In relazione alle attività di “customer relationship management” i Dati saranno conservati per un periodo di tre anni.
In conformità a quanto previsto nel Capo III, Sezione I, GDPR, l’Interessato può esercitare i diritti ivi contenuti ed in particolare:
Diritto di accesso - Ottenere conferma che sia o meno in corso un trattamento di Dati riguardanti l’Interessato e, in tal caso, ricevere informazioni relativamente a, tra le altre: finalità del trattamento, categorie di Dati trattati e periodo di conservazione, destinatari cui questi possono essere comunicati (articolo 15, GDPR),
Diritto di rettifica - Ottenere, senza ingiustificato ritardo, la rettifica dei Dati inesatti che riguardano l’Interessato e l’integrazione dei dati personali incompleti (articolo 16, GDPR),
Diritto alla cancellazione - Ottenere, senza ingiustificato ritardo, la cancellazione dei Dati riguardanti l’Interessato, nei casi previsti dal GDPR (articolo 17, GDPR),
Diritto di limitazione - Ottenere dai Contitolari la limitazione del trattamento, nei casi previsti dal GDPR (articolo 18 GDPR),
Diritto alla portabilità - Ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i Dati forniti ai Contitolari, e ottenere che gli stessi siano trasmessi ad altro titolare senza impedimenti, nei casi previsti dal GDPR (articolo 20 GDPR),
Diritto di opposizione - Opporsi al trattamento dei Dati riguardanti l’Interessato, salvo che sussistano motivi legittimi per i Contitolari di continuare il trattamento (articolo 21 GDPR),
Diritto di proporre reclamo all’autorità di controllo - Proporre reclamo all’Autorità Garante per la protezione dei dati personali, (informazioni e dettagli di contatto al sito internet: www.garanteprivacy.it).
L’Interessato può inviare una richiesta di esercizio di tali diritti mediante comunicazione da trasmettere all’ufficio del Responsabile per la Protezione dei Dati tramite l’indirizzo PEC indicato in precedenza.
Il trattamento dei Dati da parte dei Contitolari è realizzato per mezzo delle operazioni indicate all’art. 4, n. 2), GDPR, compiute con o senza l’ausilio di sistemi informatici e precisamente: raccolta, registrazione, organizzazione, strutturazione, aggiornamento, conservazione, adattamento o modifica, estrazione ed analisi, consultazione, uso, comunicazione mediante trasmissione, raffronto, interconnessione, limitazione, cancellazione o distruzione dei Dati.
I Contitolari si obbligano, sin da ora, a mantenere riservati i Dati e le informazioni ricevute ai fini dello svolgimento dei Servizi e ad adottare le misure atte a garantire un’adeguata tutela degli stessi, assicurando la necessaria confidenzialità e riservatezza circa il loro contenuto. Gli obblighi di riservatezza poc’anzi indicati avranno effetto anche oltre la data in cui lo svolgimento dei Servizi sarà ultimato.
In conformità a quanto previsto dall’articolo 32, GDPR, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, i Contitolari e la Società dichiarano reciprocamente di avere messo in atto misure tecniche ed organizzative adeguate, anche con riguardo alle particolari categorie di Dati di cui agli articoli 9 e 10, GDPR, per garantire un livello di sicurezza idoneo al rischio, che comprendono, in via esemplificativa e non esaustiva: (i) la pseudonimizzazione e la cifratura dei Dati personali; (ii) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei Dati in caso di incidente fisico o tecnico; (iv) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. I Contitolari e la Società saranno responsabili della protezione del proprio sistema informatico.