Skip to main content
Cerca nel sito Italiano

Skip to content

Principi di Attuazione Europei

Le Norme Vincolanti d’Impresa – BCRs di American Express costituiscono lo strumento per il trasferimento internazionale dei dati personali all’interno del Gruppo American Express nel rispetto della normativa applicabile in tema di protezione dati nello Spazio Economico Europeo (SEE). Le nostre Norme Vincolanti d’Impresa – BCRs sono costitute dai Principi sulla Protezione Dati e la Privacy di American Express e dai complementari Principi di Attuazione Europei. Esse sono state approvate dal Garante per la protezione dei dati personali, la locale autorità che si occupa della Protezione Dati in Italia e sono entrate in vigore il 20 Giugno 2013.


I suddetti Principi di Attuazione Europei forniscono informazioni sulle modalità attraverso le quali American Express da’ attuazione ai nostri Principi sulla Protezione Dati e la Privacy all’interno del SEE, e sulle modalità per presentare un reclamo in materia di Protezione Dati personali all’interno del SEE.

PRINCIPI PER L’ATTUAZIONE DELLE REGOLE
SULLA PROTEZIONE DATI E LA PRIVACY
DI
AMERICAN EXPRESS NELLO SPAZIO ECONOMICO EUROPEO
(I “PRINCIPI DI ATTUAZIONE EUROPEI”)

Ambito

I PrincipiPrincipi per l’attuazione delle regole sulla Protezione Dati e la Privacy di American Express nello Spazio Economico Europeo (i “Principi di Attuazione Europei”) si applicano esclusivamente ai soggetti domiciliati nel SEE, i cui dati personali sono trattati dal Gruppo American Express nel SEE e potrebbero essere trattati dal Gruppo American Express altrove (gli “Interessati”).

I Principi di Attuazione Europei, in particolare, stabiliscono (i) la modalità con cui i Principi sulla Protezione Dati e la Privacy del Gruppo American Express (i “Principi”) debbano essere attuati da American Express Company, con sede legale in World Financial Center, 200 Vesey St. New York (“American Express” o la “Società”) e da ogni società facente capo al Gruppo American Express (congiuntamente il “Gruppo American Express”) e (ii) determinati requisiti specificati dalla normativa europea in materia di protezione dei dati per i soggetti domiciliati nello Spazio Economico Europeo (“SEE”), in possesso di dati personali trattati dal Gruppo American Express nel SEE e che il Gruppo American Express potrà altresì trattare altrove (gli “Interessati”).

American Express Services Europe Limited (“AESEL”) è la società europea del Gruppo American Express che ha assunto la responsabilità di assicurare che i dati personali degli Interessati siano conservati o trattati in osservanza dei Principi.

Ogni Interessato a cui ci si rivolga direttamente in quanto destinatario di un vantaggio a questo conferito in virtù dei Principi o dei presenti Principi di Attuazione Europei potrà applicare tali disposizioni nei confronti di AESEL, in qualità di terzo soggetto beneficiario, come di seguito specificato.La Descrizione del Trattamento dei Dati Personali di American Express e l’Attuazione di Politiche e Decisionisono altresì vincolanti per il Gruppo American Express, ma non direttamente applicabili dagli Interessati o da qualsivoglia soggetto terzo.

Disponibilità

I Principi e i Principi di Attuazione Europei saranno messi a disposizione sui siti web di American Express in ogni Paese UE. Qualora non abbia accesso a Internet, l’utente potrà richiedere copia degli stessi al Data Protection Officer di AESEL, all’indirizzo di seguito indicato o alla filiale di zona di American Express nel proprio Paese.

I Principi e i Principi di Attuazione Europei dovranno essere letti unitamente agli avvisi e alle condizioni applicabili al prodotto o servizio che l’utente ha ottenuto o intende ottenere da qualsiasi società facente capo al Gruppo American Express. Tali avvisi e condizioni potranno contenere ulteriori disposizioni, pertinenti al trattamento dei dati personali, in base alle leggi e ai regolamenti nazionali applicabili.

Descrizione del Trattamento dei Dati Personali

American Express è una società che opera su scala globale nel settore dei servizi di pagamento e dei viaggi. È possibile trovare, di volta in volta, la descrizione dei tipi di dati personali trattati e della modalità di trattamento dei presenti Principi di Attuazione Europei nella Descrizione del Trattamento dei Dati Personali di American Express.

Programma di Compliance

Al fine di garantire la conformità ai Principi, è stato definito un programma di compliance che prevede regolari verifiche sulla conformità delle operazioni del Gruppo American Express, i cui risultati verranno comunicati all’Ufficio Privacy di American Express, alle Autorità di Protezione Dati competenti (se da queste richiesti) e, laddove opportuno, al Collegio Sindacale del Consiglio di Amministrazione di American Express Company. Laddove venga rilevata una mancanza di conformità, la competente società del Gruppo American Express all’interno del SEE dovrà adempiere alle richieste specifiche del Data Protection Officer di AESEL. Il Gruppo American Express collaborerà altresì alle eventuali verifiche di compliance condotte da qualsivoglia Autorità di Protezione Dati competente, sia nel caso tali verifiche vengano avviate in risposta ad un reclamo da parte di un interessato che su iniziativa della medesima Autorità di Protezione Dati.

Gestione dei reclami

Per gestire i reclami (come di seguito definiti), le società del Gruppo American Express seguiranno e osserveranno la Procedura di Gestione dei Reclami in materia di Protezione dei Dati e Privacy .

  • Con il termine “Reclami” si indica ogni espressione di insoddisfazione, sia scritta che orale, effettuata a mezzo telefono, posta elettronica, posta tradizionale o di persona, proveniente da o per conto di un cliente o un dipendente o di qualsiasi altro Interessato e riguardante la fornitura, o mancata fornitura, da parte del Gruppo American Express, di sufficiente tutela dei dati personali raccolti, elaborati e/o trasferiti.
  • La responsabilità nella gestione dei reclami ricevuti da AESEL resta in capo al Data Protection Officer di AESEL.
  • I reclami saranno gestiti in modo accurato, coerente e tempestivo.
  • Laddove sia stata stabilita l’opportunità di un risarcimento, AESEL fornirà al soggetto che ha presentato reclamo un risarcimento equo, come di seguito definito, e soddisferà ogni offerta di risarcimento che il soggetto che ha presentato reclamo dovesse accettare. Il risarcimento dovrà essere accordato dal Data Protection Officer di AESEL prima che venga presentata un’offerta in tal senso o effettuato un pagamento.
  • Gli Interessati potranno presentare i rispettivi reclami all’Autorità di Protezione Dati o al tribunale europeo competente, laddove non siano soddisfatti del riscontro del Gruppo American Express. È possibile trovare un elenco di contatti delle Autorità di Protezione Dati al seguente indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL corrisponderà con ogni Autorità di Protezione Dati avente giurisdizione competente e riconoscerà la stessa. Qualora un Interessato presenti un reclamo all’Autorità locale di Protezione Dati e quest’ultima rilevi che una società del Gruppo American Express abbia violato qualunque diritto di cui ai presenti Principi di Attuazione Europei, la società del Gruppo American Express in questione rispetterà i risultati emersi dal lavoro dell’Autorità di Protezione Dati, fermo restando il diritto di contestare o presentare ricorso contro tali risultati.

Compliance e applicazione

Tutte le società del Gruppo American Express dovranno osservare le disposizioni dei Principi di Attuazione Europei ed il Codice di Condotta di American Express.Le società del Gruppo American Express assicureranno la conformità con le leggi nazionali sulla protezione e la privacy dei dati in vigore in Europa e ogni applicazione sarà conforme a tali leggi nazionali europee.

Ogni Interessato, come sopra definito, potrà applicare i Principi e i Principi di Attuazione Europei, in qualità di terzo soggetto beneficiario e avrà diritto a richiedere il risarcimento fino ad un importo pari ai danni effettivi sofferti dal soggetto che ha presentato reclamo, in conseguenza della violazione dei Principi e/o dei presenti Principi di Attuazione Europei, ivi incluso, a mero titolo esemplificativo e non esaustivo, il lodo arbitrale per il risarcimento di danni effettivi sofferti dall’Interessato per tale violazione.

Gli Interessati, i cui dati siano trasferiti al di fuori del SEE potranno presentare un reclamo non solo nel Paese SEE in cui ha avuto origine il trasferimento, ma anche nel Paese in cui si trova la sede di AESEL, il Regno Unito. L’onere della prova che il trattamento dei Dati Personali non sia tutelata dai Principi rimarrà in capo ad AESEL.

Attività di Formazione

American Express fornirà materiali e corsi di formazione adeguati ai dipendenti American Express che raccolgono, utilizzano o hanno accesso ai dati personali o che sviluppano sistemi di elaborazione di dati personali, al fine di garantire la loro conoscenza degli obblighi contemplati dai Principi e dai presenti Principi di Attuazione Europei.

Conflitto di Leggi

Laddove una società del Gruppo American Express abbia ragione di ritenere che la legislazione nazionale europea applicabile impedisca a tale società di adempiere ai propri obblighi contemplati dai Principi o dai Principi di Attuazione Europei, tale società informerà tempestivamente AESEL, salvo ciò sia proibito ai sensi di legge. AESEL valuterà quindi la modalità con cui procedere e, in caso di seri dubbi, consulterà le Autorità di Protezione Dati competenti.

Domande sul presente Regolamento

Le domande sui Principi o sui presenti Principi di Attuazione Europei potranno essere indirizzate al Data Protection Officer di AESEL, alla sede di AESEL, presso American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, Londra, SW1W 9TX.

Agosto 2012

Descrizione del Trattamento dei Dati Personali di American Express

Descrizione di tipologie di Dati Personali

American Express è una società che opera su scala globale nel settore dei servizi di pagamento e dei viaggi, principalmente in due segmenti: i) servizi di emissione di carte e rete di esercizi commerciali, e (ii) servizi relativi ai viaggi. La natura dei dati personali che le società del Gruppo American Express trattano di routine comprende i dati personali relativi a clienti, fornitori e partner del Gruppo American Express, ivi inclusi clienti corporate, clienti individuali, fornitori e partner attuali, passati e potenziali (congiuntamente i “Dati sui Clienti”). In ottemperanza alla Direttiva Europea 2007/64/CE (la “Direttiva sui Servizi di Pagamento”), il Gruppo ha costituito American Express Payment Services Limited (“AEPSL”) quale entità legale per la propria attività di convenzionamento di esercenti in Europa (n° riferimento: 484347). Come tali, oltre alle solide pratiche commerciali del Gruppo in ambito di gestione e di governance, i servizi di pagamento offerti da AEPSL saranno soggetti al controllo della Financial Services Authority. Le società del Gruppo American Express trattano altresì categorie di dati personali comuni e sensibili riguardanti dipendenti e fornitori del Gruppo American Express, ivi inclusi i dipendenti e fornitori attuali, passati e potenziali, siano essi a tempo pieno, parziale, indeterminato o determinato (congiuntamente i “Dati sui Dipendenti”). Le categorie di dati sensibili, così come applicabili ai Dati sui Dipendenti, comprendono informazioni sulla salute dei lavoratori, piani di salute occupazionali, monitoraggio delle pari opportunità, informazioni su sindacati e comitati aziendali, informazioni su esami e test medici e informazioni sui test anti-droga e anti-alcol nei Paesi dove ciò sia permesso. American Express non richiede alcun Dato sensibile sui Clienti, in quanto non previsto da alcuna richiesta da parte di clienti né da alcun altro servizio American Express. Nella misura in cui tali dati personali sensibili siano raccolti, questi saranno esclusivamente elaborati con ulteriori tutele e adeguate misure sulla sicurezza dei dati, come previsto dalla legge, ivi inclusa la Direttiva UE 95/46/CE.

Descrizione delle tipologie di trattamento e flussi di dati

I dati personali vengono trasferiti all’interno del Gruppo American Express, un gruppo che opera su scala mondiale, oltre che ai fornitori e clienti autorizzati. Tale flusso di dati è legittimato attraverso una combinazione di Norme Vincolanti d’Impresa – BCRs approvate a livello di UE (ferma restando l’approvazione in ciascun Stato Membro) e di accordi sul trasferimento dei dati, ivi inclusi gli accordi standard UE. Non verranno compiute valutazioni o decisioni sugli interessati al trattamento dei dati mediante mezzi automatici, salvo nella misura prevista dalla legge applicabile.

I flussi di dati personali riguardanti i Dati sui Clienti e i Dipendenti potranno generalmente essere descritti come segue:

Dati sui Clienti relativi ai servizi di carte, di emissione e rete di esercizi commerciali
Per emettere una carta ad un titolare, l’ente emittente locale all’interno del Gruppo American Express provvederà a raccogliere i dati personali del titolare della carta ai fini di conformità operativa e regolatoria. L’ente emittente locale è talvolta, ma non in tutti i casi, situato nello stesso Paese di quello di residenza del titolare della carta. A seguito dell’emissione della carta, e al fine di permettere il funzionamento della stessa su scala globale, tutti i dati dei clienti verranno conservati a livello centrale nei numerosi server principali del Gruppo American Express, tutti situati presso i centri dati di sicurezza del Gruppo American Express, negli Stati Uniti (Phoenix, Arizona, Salt Lake City, Utah). Al fine di descrivere l’intera procedura delle operazioni globali della carta, va osservato altresì che i Dati sui Clienti e i Dati sui Dipendenti potranno essere trasferiti in altri Paesi al di fuori dell’Unione Europea (ad es. India, Malesia).
Quando viene utilizzata una carta presso un esercizio commerciale convenzionato in qualsiasi luogo del mondo, vi sono numerosi flussi di dati:

  • I dati di base sulle operazioni vengono inviati elettronicamente dal terminal del punto vendita al centro autorizzazioni del Gruppo American Express nel Paese o nella regione interessati.
  • I dati completi sull’operazione vengono poi raccolti dall’ente locale di convenzionamento degli esercenti del Gruppo American Express che conclude l’operazione mediante il pagamento all’esercizio commerciale e invia i dettagli dell’operazione negli USA per il suo addebito da parte dell’emittente della carta al titolare della stessa.

Dati sui Clienti relativi ai servizi di viaggio

I dati personali vengono forniti dai singoli viaggiatori e, in caso di viaggi aziendali, dai loro datori di lavoro, dal luogo in cui questi si trovano, in qualunque parte del mondo, al rispettivo fornitore locale di servizi di viaggio American Express. Tali dati, comprendenti un profilo ricavato dai dati raccolti con il consenso del viaggiatore, vengono poi trasmessi alla banca dati centrale di uno dei sistemi di distribuzione globali (global distribution system - GDS) (quali Galileo, Amadeus e Sabre) di cui il Gruppo American Express si avvale in quel Paese, in modo che quando il Gruppo American Express effettua una prenotazione attraverso il GDS di zona, le informazioni sul passeggero memorizzate nel GDS consentiranno la creazione di una prenotazione personalizzata e un resoconto storico delle operazioni riguardanti il passeggero (passenger name record - PNR). Le informazioni di base contenute nel PNR verranno estratte dal Gruppo American Express per addebitare il prezzo della prenotazione al cliente.

Dati sui Dipendenti

I dati sui Dipendenti sono memorizzati sia a livello centrale che periferico, su server mainframe, mid range e locali, all’interno del Gruppo American Express. La maggior parte dei server mainframe è situata negli Stati Uniti e nel Regno Unito ed è accessibile dagli uffici del Gruppo American Express, situati in tutto il mondo, da parte di personale munito di adeguati diritti per accedere ai Dati sui Dipendenti. I server mid range e locali di replica (utilizzati esclusivamente per i messaggi di posta elettronica e/o a scopo di deposito) che conservano i dati sono dislocati in varie zone geografiche sulla base delle necessità commerciali.

I Dati Personali vengono trasferiti per gli scopi che seguono:

  • Amministrazione del personale (ad es. nomine e rimozioni, pagamenti, questioni disciplinari, pensionamento, gestione del lavoro o altre problematiche riguardanti il personale del Gruppo);
  • Prevenzione dei reati e azioni legali nei confronti dei trasgressori (ad es. prevenzione e individuazione dei reati; arresto dei trasgressori e azioni legali nei loro confronti);
  • Licenza e registrazione (ad es. amministrazione delle licenze o mantenimento di registri ufficiali);
  • Gestione delle informazioni sui dipendenti;
  • Amministrazione delle informazioni e delle banche dati (ad es. manutenzione delle informazioni o banche dati in quanto strumento di riferimento o risorsa generale, ivi inclusi cataloghi, elenchi, guide e banche dati bibliografiche);
  • Calcolo e riscossione delle imposte e altre entrate (ad es. calcolo e riscossione di imposte, dazi, tasse e altre entrate);
  • Contabilità e revisione contabile (ad es. fornitura di servizi di contabilità e servizi correlati, nonché di revisione contabile, laddove ciò sia necessario).

Trattamento post-trasferimento: i Dati Personali trasferiti verranno trattati per l’amministrazione delle funzioni di Risorse Umane e il mantenimento della forza lavoro del Gruppo e potranno essere ulteriormente trattati da fornitori terzi di servizi di elaborazione paghe, assicurazioni sanitarie e di altro tipo e altre forme di assistenza per i dipendenti.


Attuazione di Politiche e Decisioni

Le decisioni dei seguenti gruppi interni e le seguenti politiche sono vincolanti per il Gruppo American Express e verranno dalla stessa utilizzate a livello globale, per attuare i Principi:

1. American Express Services Europe Limited – Procedura di Gestione dei Reclami sulla Protezione Dati e la Privacy

2. Codice di Condotta

3. Politica dell’Ufficio Privacy di American Express.

  • American Express si occupa generalmente delle problematiche inerenti la privacy attraverso il proprio Ufficio Privacy, un’unità indipendente con responsabilità specifiche per sistemi, processi e procedure che regolano la raccolta, l’utilizzo e la condivisione di dati personali sui clienti, i potenziali clienti e i dipendenti. L’Ufficio Privacy è altresì sede del Privacy Board, che si riunisce regolarmente per esaminare le questioni relative alla privacy, trovare soluzioni e definire politiche e linee guida;
  • In base alla Procedura di Esame delle Politiche sulla Privacy, l’Ufficio Privacy provvederà a condurre un esame di tutte le Politiche sulla Privacy ogni ventiquattro mesi, o come previsto da tale politica. Ogni modifica necessaria in conseguenza, per esempio, di sviluppi nelle leggi e i regolamenti applicabili dovrà essere oggetto di esame da parte del Chief Privacy Officer o dell’Ufficio del General Counsel (come applicabile).
4. American Express Company – Politica Generale di Gestione.
  • La presente politica si applica a tutte le politiche generali di gestione e finanziarie da attuare in seno ad American Express, ivi incluse le nuove politiche e gli esami alle politiche esistenti.
  • Tutti i settori all’interno di American Express rientrano nell’ambito di questa politica.
  • La Politica Generale di Gestione nello specifico:
    • prevede la risoluzione di tutte le problematiche generali di gestione e finanziarie attraverso il Global Policies and Procedures Group;
    • promuove attivamente l’attuazione delle politiche aziendali a livello globale, sostituendo le politiche regionali pratiche non in linea;
    • stabilisce l’autorità della politica aziendale globale sui documenti di politica regionali;
    • stabilisce i contenuti minimi dei documenti sulle politiche; e
    • fissa i tempi per determinate fasi di avvio, preparazione e attuazione delle politiche.

5. Accordo per la Fornitura di Servizi.
  • Gli standard per i contratti di fornitura del Gruppo American Express prevedono che tutti i venditori e i terzi responsabili del trattamento dei dati rispettino i rigidi Requisiti di Contratto per la Protezione delle Informazioni (Information Protection Contract Requirements) del Gruppo American Express, al fine di salvaguardare la sicurezza di tutti i dati personali in possesso del Gruppo American Express ed elaborati da fornitori di servizi.
  • Gli Information Protection Contract Requirements sono integrati in tutti i contratti con terzi dove sia prevista l’elaborazione di dati personali.
  • La selezione di elaboratori di dati e venditori terzi si basa, in parte, sulla loro performance a fronte di modelli di valutazione dei rischi e sull’esame delle rispettive pratiche e rischi di sicurezza dei dati.
  • Gli elaboratori terzi di dati e i venditori saranno soggetti ad adeguate disposizioni contrattuali che comprendono misure di sicurezza organizzative e tecniche necessarie per tutelare i dati del Gruppo American Express. La politica prevede come minimo quanto segue:
    • la firma, da parte di consulenti, fornitori e venditori, di accordi di riservatezza e/o non divulgazione, come parte delle rispettive condizioni iniziali di assunzione/fornitura e quando vengano modificate le condizioni.
    • una clausola penale, contenuta in alcuni contratti, per l’utilizzo di informazioni sui clienti, o parzialmente proibite, con modalità diverse da quelle documentate nel contratto.
    • la parità o superiorità delle politiche e degli standard di sicurezza seguiti dal venditore alle politiche e standard di sicurezza del Gruppo American Express e il soddisfacimento, da parte delle pratiche e degli standard di sicurezza seguiti dai venditori, dei requisiti sulla protezione dei dati, così come di volta in volta aggiornati.

6. Politica sui Servizi di Terzi
  • La Politica sui Servizi di Terzi di American Express prevede l’osservanza, da parte di soggetti terzi, delle Politiche e degli Standard del Gruppo American Express quando tali soggetti vengano assunti da una società parte del Gruppo American Express, nonché il loro riconoscimento della rispettiva responsabilità attraverso dichiarazioni formali scritte, ivi incluso tutto il personale coinvolto nella selezione e supervisione di fornitori terzi del Gruppo American Express, delle rispettive affiliate, controllate, personale, consulenti terzi, fornitori, venditori e ogni soggetto singolo o ente a cui venga consentito l’accesso esterno alle risorse di informazioni del Gruppo American Express.

Allo stato attuale e con riferimento alla privacy dei dipendenti, il Codice di Condotta prevede quanto segue:

“La nostra Società deve salvaguardare la privacy, riservatezza e sicurezza dei dati in grado di identificare personalmente i dipendenti. I colleghi, nonché i potenziali e passati dipendenti, ripongono fiducia nella nostra Società per quanto attiene alla corretta gestione e utilizzo delle loro informazioni personali. Per tale ragione, occorre conoscere e osservare i Principi sulla Privacy dei Dati sui Dipendenti di American Express in ogni momento. Tale politica regola la raccolta, l’accesso, l’utilizzo e la divulgazione dei dati in grado di identificare personalmente i dipendenti. Tali dati comprendono informazioni su salari, revisioni della performance, disabilità, congedi, nonché dati maggiormente sensibili, quali codici identificativi rilasciati dalla pubblica amministrazione. La nostra Società potrà utilizzare tali dati esclusivamente per scopi commerciali pertinenti e adeguati e non dovrà condividere tali informazioni con alcun soggetto, sia interno che esterno alla stessa, il quale non abbia una necessità lavorativa di conoscerle. La nostra Società dovrà altresì adottare misure per garantire l’adeguata sicurezza di tali dati in ogni momento. In molti Paesi sono in vigore requisiti di legge che regolano l’utilizzo dei dati sui dipendenti. Si prega di contattare le Risorse Umane in caso di dubbi su tali requisiti.”

Allo stato attuale e con riferimento alla privacy dei clienti, il Codice di Condotta prevede quanto segue:

“La nostra Società è responsabile della tutela della privacy, riservatezza e sicurezza delle informazioni sui clienti alla stessa affidate. A supporto della propria reputazione e per meglio servire gli interessi dei propri clienti, la nostra Società ha assunto il fermo impegno di tutelare con attenzione la privacy delle informazioni riguardanti i propri clienti. Tale iniziativa implica la raccolta, l’utilizzo e la salvaguardia delle informazioni sui clienti, secondo la Dichiarazione di Privacy Online o la Politica sugli Standard Minimi per la Salvaguardia delle Informazioni sui Clienti. La nostra Società non dovrà condividere, in nessuna occasione, le informazioni sui clienti con soggetti terzi o colleghi che non abbiano una necessità lavorativa di conoscerle e dovrà altresì adottare misure per impedire la divulgazione accidentale delle informazioni sui clienti e, nei rari casi di divulgazione, assicurare che vengano seguite procedure aziendali consolidate. In caso di incidente che possa potenzialmente compromettere i dati, si prega di contattare immediatamente l’Ufficio CSI Data Privacy e l’EIRP attraverso il programma Lotus Notes. Si prega di non condividere dettagli sull’incidente con altri soggetti, sia interni che esterni, che non hanno necessità lavorative di conoscere tali dettagli; di consultare la Guida EIRP per maggiori informazioni sull’individuazione e comunicazione di situazioni che compromettano i dati. Qualora un ente della pubblica amministrazione richieda informazioni su uno dei clienti, la nostra Società dovrà contattare il GCO prima di fornire tali informazioni. In molti Paesi sono altresì in vigore requisiti di legge che regolano l’utilizzo delle informazioni sui clienti. In caso di dubbi sui requisiti locali o di domande relative alla privacy, si prega di contattare il proprio responsabile, il Compliance Officer o il GCO.”


AMERICAN EXPRESS SERVICES EUROPE LTD. -

Procedura di Gestione dei Reclami in materia di Protezione dei
Dati e Privacy

Soddisfazione del Cliente

L’obiettivo della nostra Società è quello di offrire ogni volta il miglior servizio possibile all’utente. La nostra Società comprende, tuttavia, che in talune occasioni possano commettersi errori e per migliorare è necessario l’aiuto dell’utente. In caso di imprevisti, la nostra Società ha posto in atto una procedura di gestione dei reclami, semplice da seguire, che garantirà all’utente un riscontro veloce e completo agli eventuali reclami o richieste di chiarimenti.

La Procedura di Reclamo

La presente procedura di gestione dei reclami si applica agli utenti residenti nello Spazio Economico Europeo (“SEE”) i cui dati personali sono trattati da qualsiasi società del Gruppo American Express nel SEE e potranno altresì essere trattati dal Gruppo American Express in altri luoghi al di fuori del SEE.

Qualora l’utente sia dipendente di una società parte del Gruppo American Express e la sua richiesta di chiarimenti o reclamo si riferisca al proprio posto di lavoro, l’utente dovrà in tal caso consultare gli Standard Interni in materia di Reclami sul sito intranet di American Express.

Fase 1
Contattare la nostra Società per Domande Generali riguardanti i Dati


In caso di osservazioni o dubbi generali sulla modalità con cui la nostra Società gestisce i dati personali dell’utente, è possibile parlare con un addetto del team di Assistenza ai Clienti, telefonando a uno dei numeri che seguono:

08456080845 o 0044 1293 820925

In alternativa, è possibile contattare la nostra Società in forma scritta, al seguente indirizzo:
American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street

Brighton BN88 1AH

È possibile altresì contattare la nostra Società attraverso la società American Express locale, ai recapiti dei centri locali di assistenza clienti, indicati nelle informazioni contenute nelle condizioni, comunicazioni sulla privacy e relativi documenti della nostra Società, forniti all’utente a livello nazionale.

Nel contattare la nostra Società, si prega di indicare:

  • Il proprio nome
  • Il codice cliente
  • Il motivo del reclamo

Fase 2
Contattare la nostra Società per Richieste di Chiarimenti maggiormente Dettagliate


Qualora si intenda ottenereinformazioni dettagliate riguardanti l’utente, che la nostra Società conserva e tratta,o qualora si intenda presentareobiezioni specifiche sulla modalità con cui la nostra Società tratta i dati personali dell’utente, sarà possibile in tal caso presentare una richiesta di chiarimento dettagliata. Attraverso tale richiesta, l’utente avrà diritto a quanto segue:

  • opporsi al trattamento dei propri dati personali;
  • ottenere la cancellazione o distruzione dei propri dati personali;
  • correggere i propri dati personali;
  • bloccare la raccolta dei propri dati personali; e
  • o esercitare i diritti di accesso che vanta in qualità di interessato al trattamento dei dati e in particolare l’utente avrà diritto a:
    • essere informato sul trattamento dei propri dati personali effettuato da American Express;
    • ricevere una descrizione dei dati personali, le motivazioni per cui tali dati vengono trattati ed essere informato dell’eventualità che gli stessi vengano trasmessi ad altre organizzazioni o soggetti;
    • ricevere copia delle informazioni che comprendono i dati personali;
    • ricevere dettagli circa la fonte dei dati personali, laddove possibile; e
    • essere informato delle motivazioni di fondo per ogni decisione automatica basata sui propri dati personali,
nonché a quant’altro possa essere a sua disposizione ai sensi della legge locale applicabile.
La nostra Società gestisce le richieste a livello centrale, pertanto si prega di scrivere al seguente indirizzo:

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Nel contattare la nostra Società, si prega di indicare:
  • Il proprio nome
  • Il codice cliente
  • I propri recapiti
  • Il motivo del reclamo

La nostra Società contatterà l’utente con tempestività per confermarne l’identità e, una volta avvenuta questa operazione, tenterà di risolvere il problema entro cinque 5 (cinque) giorni lavorativi a seguito della conferma. Per alcuni tipi di richieste dettagliate di chiarimenti potrà essere addebitata una tassa amministrativa di importo ridotto e, in tal caso, la nostra Società provvederà a comunicarlo in maggior dettaglio quando contatterà l’utente. In talune circostanze, l’utente potrà aver diritto ad un risarcimento per qualsiasi trattamento non corretto dei propri dati personali da parte di American Express o in base ai Principi sulla Protezione Dati e la Privacy di American Express .

Fase 3
Tempi di Risposta
In talune circostanze, potrebbe non essere possibile per la nostra Società risolvere immediatamente i dubbi dell’utente e potrebbe essere necessario effettuare un’indagine maggiormente dettagliata. In tal caso, la nostra Società scriverà all’utente entro 10 (dieci) giorni lavorativi per informarlo del soggetto che si incaricherà della gestione dei problemi dell’utente e della durata prevista per esaminare la questione in modo completo. L’obiettivo della nostra Società è di fornire all’utente un riscontro completo entro 4 (quattro) settimane. Qualora l’utente non sia soddisfatto di tale riscontro, la nostra Società chiederà all’utente di comunicarlo, in modo da approfondire l’esame del problema.

Fase 4
Eventuale Insoddisfazione dell’Utente
Qualora non ritenga che la nostra Società abbia risolto il reclamo in modo soddisfacente o non abbia ricevuto una risposta definitiva entro 4 settimane, l’utente avrà diritto a presentare il proprio reclamo all’Autorità di Protezione Dati locale al fine di tutelare i propri dati.

L’utente potrà contattare l’Autorità di Protezione Dati appropriata ai seguenti indirizzi:


Paese Contatto
Austria
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN

Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Belgio
Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +32 2 213 8540
Fax +32 2 213 8545
e-mail: commission@privacy.fgov.be
website
Bulgaria
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd
Sofia 1000
Bulgaria


Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
website
Croazia
Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Croatia

Tel. +385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
website
Cipro
Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia
Bulgarien


Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
website
Repubblica Ceca
Mr. Igor Němec
The Office for Personal Data Protection
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prague 7


Tel. +420 234 665 111
Fax +420 234 665 444
e-mail: posta@uoou.cz
website
Danimarca
Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
website
Estonia
Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
40, Th. Dervis Street
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estonia


Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
website
Finlandia
Office of the Data Protection
Ombudsman
P.O. Box 315
FIN-00181 Helsinki


Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail: tietosuoja@om.fi
website
Ex Repubblica
Yugoslava di
Macedonia
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
website
Francia
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02


Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
website
Germania
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn


Tel. +49 (0) 228 997799 0 o +49 (0) 228 81995 0
Fax +49 (0) 228 997799 550 o +49 (0) 228 81995 550
e-mail: poststelle@bfdi.bund.de
website
Grecia
Hellenic Data Protection Authority
Kifisias Av. 1-3, PC 11523
Ampelokipi Athens, Greece


Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail: contact@dpa.gr
Website
Guernsey Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE


Tel. +44 1481 742074
Fax +44 1481 742077
e-mail: dataprotection@gov.gg
website
Ungheria
Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of
Information
Dr. Attila Péterfalvi
Nádor u. 22.
H - 1051 Budapest

Tel. +36 1 475 7186
Fax +36 1 269 3541
e-mail: adatved@obh.hu
website
Island
Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland


Tel. +354 510 9600
Fax +354 510 9606
e-mail: postur@personuvernd.is
website
Irlanda
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Ireland


Lo-Call: 1890 25 22 31
Tel. ++353 57 868 4800
Fax +353 57 868 4757
e-mail: info@dataprotection.ie
website
Isola di Man
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles


Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail: enquiries@odps.gov.im
website
Italia
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma


Tel. +39 06 69677 1
Fax +39 06 69677 785
e-mail: garante@garanteprivacy.it
website
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD


Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-mail: dataproteciton@gov.je, e.martins@gov.je
website
Lettonia
Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax +371 6722 3556
e-mail: info@dvi.gov.lv
website
Liechtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax +423 236 6099
e-mail: info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein: http://www.liechtenstein.li
Lituania
State Data Protection
Inspectorate Director
Mr Algirdas Kunčinas
Žygimantų str. 11-6a


LT - 011042 Vilnius
Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail: ada@ada.lt
website
Lussemburgo
Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg


Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail: info@cnpd.lu
website
Malta
Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta


Tel.+356 2328 7100
Fax+356 2328 7198
e-mail: commissioner.dataprotection@gov.mt
website
Norvegia
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO


Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail: postkasse@datatilsynet.no
Website
Polonia
The Bureau of the Inspector General for the Protection of Personal Data
Mr Michał Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warsaw


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail: sekretariat@giodo.gov.pl
website
Portogallo
Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISBOA


Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail: geral@cnpd.pt
website
Romania
The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCUREŞTI
Cod poştal 024057
Romania


Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail: anspdcp@dataprotection.ro
website
Repubblica Slovacca
Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie č. 3
817 60, Bratislava
Slovak Republic


Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail: statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
website
Slovenia
Information Commissioner
Ms. Natasa Pirc Musar
Vošnjakova 1
ul. Stawki 2
SI - 1000 LJUBLJANA


Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail: gp.ip@ip-rs.si
website
Spagna
Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID


Tel.+34 91399 6200
Fax+34 91455 5699
e-mail: internacional@agpd.es
website
Svezia
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM


Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail: datainspektionen@datainspektionen.se
website
Svizzera
Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern


Tel. +41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail: info@edsb.ch
website
Paesi Bassi
College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag/The Hague
The Netherlands


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
website
Regno Unito
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF


Tel.+44 1 625 54 57 00 (switchboard)
e-mail: utilizzare il modulo online di richiesta di informazioni sul nostro sito Web
website
Il presente elenco è aggiornato esclusivamente al seguente indirizzo:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Fase 5
Avvio di Azioni Legali


Qualora non riesca ad ottenere la risposta che necessita dalla nostra Società o dalla propria Autorità locale di Protezione Dati, l’utente potrà in tal caso avviare un’azione legale di fronte ad un tribunale locale. In tale circostanza, la nostra Società consiglia di contattare prima un consulente legale indipendente e munito delle qualifiche adeguate. American Express accetterà reclami presentati sia nei confronti della filiale locale American Express dell’utente che direttamente nei confronti di AESEL.

I Principi e i Principi di Attuazione Europei sono vincolanti per il Gruppo American Express e conferiscono diritti in capo all’utente, in qualità di terzo beneficiario contrattuale, come definito nella documentazione del programma.

Qualora si abbia necessità di conoscere il nome della filiale American Express locale o si abbiano ulteriori domande riguardanti la presente Fase 5, si prega di contattare la nostra Società, utilizzando le informazioni contenute nel paragrafo Fase 2 “Contattare la nostra Società per Richieste di Chiarimenti maggiormente Dettagliate”. Si ricorda, tuttavia, che in tal caso non sarà necessario pagare alcuna tassa amministrativa.