Gentile Cliente,
in considerazione dell’entrata in vigore del Regolamento UE n. 679 del 2016 (GDPR), con la presente, intendiamo informarla in merito al trattamento dei dati della Sua Azienda e dei Suoi dipendenti da parte di Edenred Italia S.r.l.

Premessa

Edenred Italia S.r.l. tratta i dati personali dei dipendenti dei Clienti con cui ha un contratto in essere nell’ambito della fornitura di servizi in ambito di buoni pasto e employees benefits, welfare aziendale e expense management.

I dati personali di tali dipendenti (più propriamente detti “Beneficiari”), nei loro elementi essenziali di anagrafica (minimizzati a seconda della tipologia di Servizio scelto dai Clienti ai fini di consentire l’erogazione dello stesso), vengono inizialmente trasferiti dai Clienti ad Edenred Italia S.r.l. al fine di individuare quali Beneficiari potranno usufruire dei sopracitati servizi. Questi dati personali sono poi confermati e arricchiti dai Beneficiari nel momento in cui vorranno accedere al portale inerente il servizio erogato, attraverso software sviluppati e messi a disposizione da Edenred Italia S.r.l., al fine di permettere una completa ed efficace esperienza d’uso.

I Beneficiari, previa la lettura dell’informativa presente sul Portale, prestano un esplicito consenso al trattamento dei propri dati personali da parte di Edenred Italia S.r.l. e da questo momento hanno il diretto controllo dei loro dati personali, mantenendolo anche nel caso il rapporto di Clientela cambi (ad esempio in caso di cambio di datore di lavoro) o cessi.

Titolarità del trattamento

Considerando lo scenario descritto in premessa, le linee guida in materia emesse dal WP 29¹, la definizione che il Regolamento 2016/679 stabilisce per un titolare, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, Edenred Italia S.r.l. si configura chiaramente come un autonomo titolare²del trattamento dei dati personali dei propri Clienti e dei Beneficiari, in quanto:

• offre servizi con finalità già specificate su cui i Clienti non hanno margine d’intervento;
• definisce autonomamente quali dati personali sono necessari per raggiungere tali finalità e determina in che modo questi dati vengono elaborati;
• stabilisce autonomamente i periodi di conservazione di tali dati;
• non ha necessità di ricevere alcuna istruzione da parte del Cliente su come effettuare il trattamento di dati personali;
• fornisce servizi costruiti autonomamente, tramite strumenti sviluppati senza l’intervento del  Cliente e non soggetti a significativa personalizzazione;
• utilizza processi definiti autonomamente per la fornitura dei servizi;
• propone e mantiene un insieme di misure di sicurezza delle informazioni consistente che garantiscono la loro riservatezza dei dati forniti;
• si occupa di tutte le attività che riguardano il ciclo di vita del dato dalla sua raccolta alla sua distruzione;
• ne risponde direttamente in caso di trattamento illecito dei dati personali.

Edenred Italia S.r.l. non può peraltro considerarsi un responsabile del trattamento, definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” in quanto:

• non effettua, nell’erogazione dei propri servizi, un’attività che il Cliente potrebbe altrimenti effettuare internamente;
• nell’ambito “privacy” agisce autonomamente ai fini dell’erogazione del proprio servizio;
• non esegue trattamenti su commissione;
• nell’elaborazione e la gestione dei dati forniti dai beneficiari segue un processo autonomo, senza che il cliente abbia dato istruzioni a questo proposito;
• i dati di cui sopra non vengono trattati per conto del cliente ma direttamente e autonomamente;
• ha piena autonomia nella scelta dei sistemi, hardware e software, da utilizzare nella gestione della propria attività e non è sottoposta a un controllo da parte del Cliente.

In considerazione di quanto sopra, Edenred non sarà tenuta a sottoscrivere alcun documento avente a oggetto una nomina a Responsabile Esterno del Trattamento, essendo Edenred Italia S.r.l. già qualificata come Titolare dei Dati.

Le ricordiamo, infine, che sul sito www.edenred.it, nella sezione dedicata alla “Privacy” è resa disponibile l’informativa aggiornata, di cui Le chiediamo di prendere visione e che qualora volesse negare il consenso ai fini di marketing e statistici già dato in sede contrattuale, potrà inviare una richiesta al seguente indirizzo dpo.italia@edenred.com oppure scrivere a Edenred Italia S.r.l., all’attenzione della Direzione Affari Legali, Via G.B. Pirelli n. 18, 20124 Milano.

Dal 25 maggio 2018, inoltre, è disponile un documento relativo alle “Misure di Sicurezza delle Informazioni e la Protezione dei Dati”, pubblicato sul sito www.edenred.it, nella sezione dedicata alla “Privacy”.

Con l’occasione, porgiamo i nostri migliori saluti.

EDENRED ITALIA S.R.L.

¹ WP 169, opinion on the concepts of “controller” and “processor”;

² Nell’ambito di un trattamento che coinvolge due soggetti giuridici, infatti, ci sono ipotesi in cui si può configurare anche una “Titolarità autonoma” nell’ambito di quello stesso trattamento: ciò accade quando più soggetti si trovino coinvolti nel medesimo trattamento, provvedendo ciascuno ad adottare decisioni autonome in merito alle finalità e i mezzi del trattamento. In particolare, si tratta di quei casi in cui viene perseguita una finalità che, essendo sottesa al trattamento principale, può o deve essere considerata “strumentale” e quindi godere di una sorta di autonomia in virtù della quale il soggetto che la realizza viene considerato quale titolare autonomo di un trattamento correlato.