La tutela, il corretto trattamento e l’adeguata riservatezza dei dati personali costituiscono per il Gruppo Novartis un fatto di fondamentale importanza. Viene, dunque, comunicata la presente informativa (in seguito, “Informativa Privacy” o, più semplicemente, “Informativa”), dal momento che Novartis Farma S.p.A. (la “Società”) effettuerà il trattamento di dati personali (i “Dati Personali”) relativi a soggetti che rientrano in una o più tra le seguenti categorie di interessati (“Interessati”):

  • le persone fisiche che cedono beni e/o prestano servizi alla Società;
  • i legali rappresentanti, i procuratori e le persone di riferimento degli enti, anche privi di personalità giuridica, che cedono beni e/o prestano servizi alla Società; e
  • gli ospiti e i visitatori presso la sede legale, le sedi amministrative, gli stabilimenti e gli uffici della Società.

Ai vari soggetti che cedono beni e/o prestano servizi alla Società si farà in prosieguo riferimento, per semplicità, utilizzando l’espressione “Fornitori”.

La Società avrà la responsabilità giuridica per il trattamento dei Dati Personali e, in particolare, stabilirà le finalità e i mezzi del trattamento stesso, venendo quindi a rivestire la qualità di titolare del trattamento (“Titolare”), ai sensi della vigente normativa sulla protezione dei dati personali (la “Normativa Privacy”).

Ai fini della presente Informativa, la Normativa Privacy è costituita dalle seguenti fonti: il Regolamento (UE) n. 679/2016, Regolamento generale sulla protezione dei dati personali (“GDPR”) e il D.lgs. n. 196/2003, Codice in materia di protezione dei dati personali (“Codice Privacy”) e successive modifiche e integrazioni.

Si invita, pertanto, a leggere attentamente la presente Informativa Privacy, che stabilisce su quali basi giuridiche, per quali finalità e con quali mezzi sono trattati i Dati Personali e illustra quali sono i diritti dell’Interessato, nonché i doveri e gli obblighi del Titolare del trattamento.

Per qualsiasi ulteriore informazione o chiarimento relativo al trattamento dei Dati Personali, si invita a contattare il Titolare all’email [email protected].

1. Quali Dati Personali saranno trattati?

La Società tratterà i Dati Personali comunicati in prima persona dall’Interessato oppure da un proprio Fornitore (ad esempio, la società per la quale l’Interessato presta la propria attività lavorativa).

Tra i Dati Personali oggetto di trattamento, a seconda dei casi, rientrano:

  1. le informazioni personali dell’Interessato, di carattere generale: nome, cognome, data e luogo di nascita, nazionalità, estremi della carta di identità e/o del passaporto, codice fiscale, eventualmente il genere, indirizzi postali e/o email, numero di telefono fisso o mobile;
  2. l’attuale posizione lavorativa dell’Interessato: titolo di studio e posizione nell’organizzazione del Fornitore, più, eventualmente, la ragione sociale del Fonitore, qualora essa includa Dati Personali dell’Interessato;
  3. solo per le persone fisiche: le informazioni bancarie e finanziarie dell’Interessato, ossia i dettagli del conto corrente e del numero di IBAN;
  4. i dati identificativi elettronici dell’Interessato, se necessari per prestazione dei servizi concordati contrattualmente, quali: diritti di accesso, chiave di login, password, numero di badge, indirizzo IP, cookies (tecnici e di performance – esclusi, in ogni caso, i cookiesdi profilazione), tempi di accesso e di connessione ai sistemi informatici o alle reti informatiche della Società; e
  5. immagini o suoni registrati da telecamere di sorveglianza o registratori esclusivamente per consentire o agevolare la tutela della sicurezza interna alla Società e per proteggere il relativo patrimonio aziendale.

Qualora il Fornitore intenda mettere a disposizione della Società i Dati Personali di ulteriori Interessati (ad esempio, le informazioni relative ad altri suoi dipendenti), sarà obbligato a consegnare anche a questi ultimi una copia della presente Informativa.

2. Per quali finalità sono trattati i Dati Personali?

2.1 Base giuridica del trattamento

I Dati Personali non formeranno oggetto di trattamento da parte della Società se non in quanto e nella misura in cui la Normativa Privacy lo consenta e, comunque, in relazione a specifiche finalità espressamente stabilite dal Titolare – successivamente elencate.

Per questo motivo, il trattamento avverrà solo in presenza di una o più tra le seguenti condizioni (c.d. basi giuridiche del trattamento):

  • Il trattamento è necessario al fine di concludere il contratto e quindi su base giuridica precontrattuale;
  • il trattamento è necessario affinché la Società adempia le proprie obbligazioni contrattuali nei confronti del Fornitore oppure affinché la Società possa dar corso ad attività pre-contrattuali su richiesta del Fornitore stesso;
  • il trattamento è necessario per l’adempimento degli obblighi derivanti alla Società dalla legge o da fonti regolamentari nazionali, del diritto dell’Unione europea o del diritto internazionale;
  • il trattamento è necessario per proteggere interessi o diritti fondamentali dell’Interessato. Laddove i Dati Personali formino oggetto di trattamento in base al presente criterio, il Titolare opererà e manterrà un bilanciamento fra il proprio legittimo interesse e le esigenze di riservatezza dell’Interessato stesso. Di seguito, alcuni esempi di “legittimo interesse” della Società:
  • prevenire, nei casi consentiti dall’ordinamento giuridico, sia frodi o altri reati, sia usi non consentiti o non appropriati di prodotti o di servizi in qualsiasi modo riconducibili alla Società, sia utilizzi non consentiti o non appropriati di strumenti informatici messi a disposizione dell’Interessato, anche a titolo di comodato, dalla Società stessa;
  • cedere a soggetti terzi, in tutto o in parte, beni aziendali (assets) oppure aziende o rami d’azienda della Società ovvero consentire, vicecersa, alla Società di acquisire da soggetti terzi assets o complessi aziendali;
  • poter usufruire di taluni servizi forniti da soggetti terzi: ad esempio, utilizzare piattaforme informatiche, di titolarità di società estranee al Gruppo Novartis, per rendere più efficiente il trattamento dei Dati Personali;
  • formulare offerte e/o cedere ai propri clienti i prodotti commercializzati dalla Società; e
  • perseguire e conseguire gli obiettivi, di responsabilità sociale d’impresa, con eventuale reportistica negli appositi documenti informativi previsti dall’ordinamento giuridico.

2.2 Finalità del trattamento

Formeranno oggetto di trattamento solo i Dati Personali dell’Interessato necessari per raggiungere le finalità specifiche di seguito riportate:

  • Conclusione del contratto con il Fornitore;
  • compiere atti di amministrazione interna, relativi ai Fornitori, a partire dalla registrazione nei sistemi aziendali di gestione delle anagrafiche fino all’esecuzione dei pagamenti dovuti;
  • gestire procedimenti – anche competitivi – di selezione del futuro Fornitore, incluse le relative fasi preparatorie, trattare le proposte di offerta da quest’ultimo indirizzate alla Società e, una volta stipulato il contratto, svolgere ogni altra attività legata all’esecuzione delle prestazioni ivi previste;
  • eseguire il controllo e il monitoraggio delle attività svolte all’interno dei siti aziendali della Società, anche per verificare l’effettiva osservanza, da parte del Fornitore, delle norme giuridiche e delle policies in materia di salute e sicurezza sui luoghi di lavoro;
  • consentire, nei casi previsti, la presenza del Fornitore a sessioni di formazione organizzate dalla Società presso le proprie sedi (per esempio, in materia di farmacovigilanza), affinché il Fornitore possa eseguire in maniera appropriata le prestazioni previste dallo specifico contratto stipulato con la Società stessa;
  • utilizzare le risorse tecniche digitali e di information technology della Società, ivi comprese le infrastrutture informatiche e le strutture di business continuity;
  • assicurare la conformità dell’attività d’impresa della Società con le norme derivanti dalla legge o da fonti regolamentari nazionali, del diritto dell’Unione europea o del diritto internazionale e, a tal proposito, eseguire gli adempimenti richiesti, quali, ad esempio: compilazione dei documenti relativi alle imposte sui redditi e alle detrazioni fiscali; gestione di inadempimenti, di casi di condotta illegittima o di frode e conduzione delle correlate attività di verifica; preparazione della difesa legale, in caso di contenzioso;
  • eseguire tutte le attività necessarie in occasione di c.d. operazioni straordinarie che coinvolgano la società, quali fusioni o acquisizioni;
  • provvedere alla gestione e all’archiviazione delle informazioni richieste dall’ordinamento giuridico;
  • provvedere agli adempimenti correlati all’attività di corretta tenuta dei documenti e dei libri contabili e all’attività di fatturazione; e
  • qualsiasi altra finalità richiesta dalla legislazione vigente.

3. Chi accederà ai Dati Personali e a chi saranno trasferiti?

Nel comunicare la presente Informativa, la Società dichiara e garantisce che non farà in alcun modo un uso strumentale, né commeciale dei Dati Personali.

I Dati Personali, inoltre, non formeranno oggetto di trasferimento o di condivisione con terze parti, se non con le categorie di soggetti di seguito elencate – e, comunque, sempre e solo per perseguire le finalità sopra indicate (le “Terze Parti”):

  • il personale dipendente della Società, le cui mansioni prevedono lo svolgimento delle succitate attività di trattamento. Per completezza d’informazione, l’espressione “personale dipendente della Società” ricomprende anche i dipendenti di altre società del gruppo di cui la Società fa parte;
  • gli agenti e/o gli intermediari della Società, solo se e in quanto il contratto che li vincola a quest’ultima preveda apposite disposizioni in materia di trattamento e di protezione dei dati personali;
  • persone fisiche ed enti, anche privi di personalità giuridica, che cedono beni e/o prestano servizi alla Società;
  • in particolare, i Fornitori di soluzioni di information tecnology e di servizi di cloud storage and repository, i costitutori dei database messi a disposizione della Società a titolo di licenza;
  • ogni altra terza parte legittimamente cessionaria, in tutto o in parte, di diritti e/o di obbligazioni della Società; e
  • i consulenti e i professionisti, esterni alla Società, nonché le associazioni professionali e le società tra professionisti dei cui servizi la Società si avvale, anche per le c.d. operazioni societarie straordinarie.

Le Terze Parti sopra richiamate sono comunque obbligate, in virtù di specifico contratto, a garantire un livello di protezione e di confidenzialità dei Dati Personali tale da rispettare ogni obbligo normativo in materia di trattamento e di sicurezza delle informazioni, inclusi gli obblighi e i doveri derivanti dalla Normativa Privacy.

I Dati Personali potranno essere, altresì, trasferiti o messi a disposizione delle competenti autorità amministrative e di organi giursdizionali, nazionali e/o sovranazionali, laddove ciò sia imposto dall’ordinamento giuridico o in virtù di apposito provvedimento amministrativo o giurisdizionale.

I Dati Personali potrebbero, inoltre, essere trattati, resi accessibili o archiviati in un Paese diverso da quello in cui la Società ha la propria sede legale e le proprie sedi amministrative e che potrebbe non offrire lo stesso livello di protezione dei Dati Personali.

Qualora i Dati Personali fossero trasferiti a società terze con sede in Paesi stranieri, la Società si accerterà che essi siano tutelati (i) applicando il livello di protezione richiesto dalla Normativa Privacy italiana, (ii) assicurando che il trattamento sia conforme alle policies e agli standard vigenti all’interno del Gruppo Novartis e (iii) trasferendo i suoi dati personali solo sulla base di clausole contrattuali standard approvate dalla Commissione europea.

Informazioni aggiuntive in merito ai trasferimenti internazionali di dati personali potranno essere richieste esercitando i diritti indicati nella seguente Sezione 6, con la possibilità di ottenere una copia delle idonee misure di tutela effettivamente adottate.

Per il trasferimento transfrontaliero di Dati Personali all’interno di società appartenenti al Gruppo Novartis, si informa che quest’ultimo ha adottato le Binding Corporate Rules, vale a dire un sistema di principi, norme e strumenti, fondato sul diritto dell’Unione europea e teso a assicurare un effettivo livello di protezione dei dati personali nelle ipotesi di un loro trasferimento al di fuori dello Spazio economico europeo (SEE) e dalla Svizzera.

4. Come vengono protetti i Dati Personali?

Sono state predisposte adeguate misure tecniche e organizzative per assicurare un livello adeguato di protezione e di riservatezza dei Dati Personali.

Tali misure sono state adottate per tutelare i Dati Personali contro distruzione, alterazioni, perdite accidentali, accessi non autorizzati o, comunque, contro ogni altra forma illegittima di trattamento degli stessi.

Dunque, quando trattiamo i Dati Personali, la Società si impegna a:

  • raccogliere e trattare solo i Dati Personali che sono necessari, adeguati, rilevanti e non eccessivi rispetto alle finalità perseguite e da conseguire; e
  • assicurare che i Dati Personali siano sempre aggiornati e accurati.

Per quest’ultimo motivo, potrà accadere che la Società richieda al Fornitore conferma dei Dati Personali oggetto di attuale trattamento. In ogni caso, la Società invita gli Interessati a comunicare ogni aggiornamento dei Dati Personali stessi, in caso di modifiche sopravvenute, in modo da poter assicurare una costante esattezza delle informazioni disponibili e operazioni di trattamento sempre adeguate.

5. Per quanto tempo saranno conservati i Dati Personali?

La Società conserverà i Dati Personali per il tempo strettamente necessario al perseguimento delle finalità per cui essi sono stati sono stati trattati o, comunque, per il periodo di tempo necessario all’adempimento di doveri imposti dalle vigenti norme legislative o regolamentari nazionali o dall’ordinamento giuridico dell’Unione europea o dal diritto internazionale.

Con la sottoscrizione del contratto al quale la presente Informativa è allegata, il periodo di conservazione è costituito dal periodo di vigenza del contratto stesso, oltre al termine di prescrizione per l’eventuale esercizio di azioni in giudizio a tutela dei diritti contrattuali delle Parti. Concluso il periodo di conservazione, i Dati Personali saranno rimossi dai sistemi di conservazione e archiviazione della Società.

I Dati Personali raccolti e trattati nel contesto di una controversia saranno cancellati (i) non appena sarà stato raggiunto un accordo transattivo c.d. “tombale”, in virtù del quale ciascuna delle quali avrà dichiarato di “non aver nulla a pretendere” oppure (ii) alla pubblicazione di un provvedimento giurisdizionale definitivo oppure, (iii) in presenza di un provvedimento giurisdizionale non definitivo, una volta decorsi i termini per esperire i mezzi di impugnazione ordinari.

6. Quali sono i diritti dell’Interessato e come potranno essere esercitati?

L’Interessato potrà esercitare i diritti di seguito riportati, alle condizioni stabilite dalla vigente Normativa Privacy:

  • il diritto di accedere ai propri Dati Personali, oggetto di trattamento da parte della Società (articolo 15 GDPR); qualora l’Interessato ritenga che le informazioni siano errate, obsolete o incomplete, potrà esercitare il diritto di ottenerne la rettifica, l’integrazione e l’aggiornamento senza giustificato ritardo (articolo 16 GDPR);
  • il diritto di richiedere e ottenere la cancellazione dei propri Dati Personali (“diritto all’oblio”) o la limitazione degli stessi a particolari categorie di trattamento (articoli 17 e 18 GDPR);
  • il diritto di revocare il suo consenso in qualsiasi momento, senza che ciò pregiudichi la piena validità giuridica dei trattamenti eseguiti prima della revoca e, comunque, il diritto di opporsi, in tutto o in parte, al trattamento dei Dati Personali (articolo 21 GDPR);
  • il diritto di richiedere la portabilità dei Dati Personali (articolo 20 GDPR), vale a dire il diritto a che i propri Dati Personali comunicati alla Società siano restituiti all’Interessato o trasmessi ad altro soggetto di propria scelta, senza impedimento da parte della Società stessa, in un formato strutturato, di uso comune e leggibile da un pc o da altro dispositivo elettronico; e
  • il diritto di presentare un reclamo formale all’Autorità Garante per la Protezione dei Dati Personali.

In caso di dubbi riguardo ai propri diritti oppure in caso di volontà di esercitarli, l’Interessato potrà inviare prima di tutto un’email a [email protected]. Qualora l’Interessato non fosse comunque soddisfatto del modo in cui la Società tratta i suoi Dati Personali, potrà inviare una richiesta specifica al Responsabile della Protezione dei Dati all’indirizzo email [email protected], che curerà tale richiesta senza indugio.

7. Come l’Interessato sarà informato circa modifiche alla Privacy Policy della Società?

Qualsiasi cambiamento futuro o qualsiasi modifica alle finalità e/o alle modalità, illustrate nella presente Informativa, del trattamento dei Dati Personali dell’Interessato saranno comunicati attraverso i consueti canali di comunicazione aziendale: ad esempio, aggiornando il sito web istituzionale della società oppure via e-mail.