INFORMATIVA IN MATERIA DI RACCOLTA DEI DATI PERSONALI AI SENSI DELL ART. 13 GDPR REGOLAMENTO (UE) 2016/679 IN CONTINUITÀ CON QUANTO PRESCRITTO DAL D.LGS. N. 196 DEL 2003 COSÌ COME INTEGRATO E MODIFICATO DAL D.LGS. N. 101 DEL 2018 * * * D.lgs. 10 agosto 2018, n. 101 ad integrazione del D.lgs. 30 giugno 2003, n. 196, in materia di protezione dei dati personali Regolamento Generale sulla Protezione dei Dati 2016/679 Adempimenti normativi Indicazioni operative Fondo Nazionale per il sostegno dell occupazione nel settore del credito (F.O.C.), Sezione speciale di ENBICREDITO La materia della tutela di dati personali è regolata, com è noto dal Regolamento Generale sulla Protezione dei Dati 2016/679, in continuità con quanto prescritto dal d.lgs. n. 196 del 2003 così come integrato e modificato dal d.lgs. n. 101 del 2018. In base alla citata normativa, è necessario definire il ruolo di ENBICREDITO e di altre società, che possono operare su incarico dell Ente per lo svolgimento dell attività che riguarda la piattaforma informatica del Fondo Nazionale per il Sostegno dell Occupazione (F.O.C.), ovvero del ricorso ad un altro/i responsabile/i da parte del responsabile nominato dal titolare, al fine di svolgere specifiche attività di trattamento (l art. 28 del GDPR ai commi 2 e 4 espressamente prevede oggi la figura del subresponsabile, ovvero del ricorso ad un altro/i responsabile/i da parte del responsabile nominato dal titolare, al fine di svolgere specifiche attività di trattamento), nonché i conseguenti adempimenti cui sono tenute le Aziende conferenti mandato di rappresentanza sindacale ad ABI e, in quanto tali, rientranti nell ambito di applicazione del Fondo per l Occupazione (art. 4, commi 1 e 2 del Regolamento del F.O.C.) Per inquadrare correttamente la questione, occorre ricordare che, ai fini dell esercizio dell attività del F.O.C., ENBICREDITO, nonché altro/i responsabile/i trattano dati personali, comuni e sensibili. Considerata l attività istituzionale di ENBICREDITO, nonché di altro/i responsabile/i coinvolta nel flusso operativo necessario per la gestione del F.O.C., si ritiene di individuare la loro qualifica, in linea con quanto prescritto dal Regolamento (UE) 2016/679, in continuità con quanto prescritto dal d.lgs. n. 196 del 2003 così come integrato e modificato dal d.lgs. n. 101 del 2018. In considerazione di ciò, si segnala che ENBICREDITO e altro/i responsabile/i rivestiranno, a tutti gli effetti, la qualifica di Responsabili del trattamento (art. 28 Regolamento (UE) 2016/679). Ne consegue che le Aziende, in qualità di Titolari del trattamento, dovranno designare ENBICREDITO quale Responsabile ed ENBICREDITO provvederà a designare gli altri responsabili. Le Aziende potranno effettuare la designazione utilizzando la bozza di ADDENDUM al Contratto allegata. Sede Legale: Piazza del Gesù, 49 00186 Roma Tel. +39 06 67679147 06 6767616 Fax +39 06 67678014 www.enbicredito.org C.F. 97167090584
Per quanto riguarda gli effetti di tale designazione sulle Aziende, va precisato che, rispetto ai Modelli di informativa, l unico adempimento necessario, cui le Aziende devono provvedere, riguarda l elenco delle Categorie di soggetti ai quali i dati possono essere comunicati, mentre non è necessario apportare alcuna modifica ai modelli di informativa e consenso già distribuiti e sottoscritti dal proprio personale dipendente. Ne risulta che, rispetto al caso in esame, le Aziende dovranno limitarsi ad indicare nel predetto elenco ENBICREDITO, quale Responsabile del trattamento a cui i dati personali sono trasmessi. Per quanto attiene al Consenso, in ipotesi di domanda di prestazione al F.O.C. presentata prima dell assunzione, sarà opportuno che l Azienda faccia sottoscrivere all interessato il modulo per la prestazione del consenso al trattamento dei dati personali. Nel caso in cui la presentazione della domanda di prestazione al F.O.C. avvenga in un momento successivo all assunzione/stabilizzazione del lavoratore, nessun adempimento aggiuntivo è dovuto in ordine alla prestazione del consenso, essendo lo stesso già stato prestato all atto dell istaurazione del rapporto di lavoro. ALLEGATO: - ADDENDUM al Contratto Sede Legale: Piazza del Gesù, 49 00186 Roma Tel. +39 06 67679147 06 6767616 Fax +39 06 67678014 www.enbicredito.org C.F. 97167090584
ALLEGATO ADDENDUM al Contratto Il presente Accordo sul Trattamento dei Dati Personali ("DPA") costituisce parte integrante e sostanziale del Contratto di Servizi (come di seguito definito) stipulato tra le parti In ottemperanza a quanto specificato nel Regolamento UE 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, con il presente Contratto vengono stabiliti i compiti e le responsabilità del Responsabile del Trattamento dei dati personali ai sensi dell art. 28 del Regolamento, in continuità con quanto prescritto dal d.lgs. n. 196 del 2003 così come integrato e modificato dal d.lgs. n. 101 del 2018. Premesso che - in virtù del contratto di servizi in essere tra le parti il Responsabile si assume l'obbligo di fornire al Titolare i servizi previsti dal Contratto Collettivo Nazionale di Settore; - per lo svolgimento dei servizi oggetto del contratto siglato tra le parti ENBICREDITO può venire a conoscenza e dover trattare alcuni dati personali ai sensi del Regolamento (UE) 2016/679 del Consiglio e del Parlamento Europeo del 27 aprile 2016 sulla protezione e la libertà di circolazione dei dati personali delle persone fisiche ("GDPR") e da ulteriori disposizioni e leggi applicabili in materia di protezione dei dati; - le Parti convengono che i trasferimenti dei dati disciplinati dal DPA rientrano nell'ambito di applicazione dell'articolo 28 del GDPR e che il Responsabile si qualifica quale responsabile del trattamento ai sensi del GDPR, nonché è intenzione delle Parti di utilizzare il DPA quale accordo contrattuale per disciplinare il trattamento dei dati. Tutto quanto premesso Art. 1. Trattamento dei dati personali In qualità di Responsabile del trattamento, ENBICREDITO si obbliga a trattare i dati personali di cui dovesse venire a conoscenza in esecuzione del Contratto base nel rispetto della normativa vigente in materia di protezione dei dati personali. Art. 2. Obblighi generali delle Parti Le Parti sono tenute ad osservare le previsioni normative del GDPR e di qualsiasi altra legge applicabile in materia di protezione dei dati che trovano applicazione nei confronti del Titolare nella sua qualità di titolare del trattamento e al Responsabile nella sua qualità di responsabile del trattamento. Ai fini del trattamento dei dati personali oggetto del presente, da eseguirsi in conformità a quanto precede, il Responsabile si impegna ad informare per iscritto al Titolare, dell'accesso di terzi ai dati personali trattati nell'ambito del DPA. In aggiunta a quanto precede, nell ipotesi in cui il Responsabile si avvalga di ulteriori Responsabili del trattamento, il Responsabile designato dal Titolare si obbliga ad informare per iscritto quest ultimo di
qualsivoglia modifica comportante l aggiunta ovvero la sostituzione degli ulteriori Responsabili del trattamento, con preavviso tale da consentire al Titolare medesimo di opporsi alle predette modifiche. Il Responsabile anche ai sensi e per gli effetti di cui all art. 1381 c.c. dichiara e garantisce che, nel caso in cui si avvalga di uno o più Responsabili del trattamento, questi ultimi adotteranno livelli di protezione pari o superiori a quelli previsti dal presente in capo al Responsabile. Di seguito si elencano gli attuali ulteriori responsabili del trattamento dati: - Aubay Italia spa, con sede in Milano (MI), Largo La Foppa, 2, partita IVA e C.F. 12339020153 - ABIServizi, con sede in Roma (RM), Piazza del Gesù, 49, partita IVA 00988761003 E C.F. 01360260580 2.1 Obblighi del Titolare Il Titolare è tenuto a confermare che le attività di trattamento dei dati personali, come descritte nel Contratto di Servizi e nel DPA siano lecite, eque e trasparenti in relazione ai soggetti interessati. 2.2 Obblighi del Responsabile - Il Responsabile si impegna a trattare i dati personali esclusivamente per conto e secondo le istruzioni del Titolare, si impegna ad informare senza indebito ritardo il Titolare qualora non sia in grado per qualunque ragione di ottemperare a tali disposizioni, nel qual caso il Titolare potrà sospendere e/o interrompere il trasferimento dei dati e/o risolvere il Contratto di Servizi. - Il Responsabile si impegna a tenere costantemente aggiornate le misure tecniche ed organizzative di sicurezza previste dalla normativa primaria e secondaria in materia di protezione dei dati personali, mantenere la più assoluta riservatezza su tutti i dati personali forniti, a qualunque titolo, sia in corso del rapporto contrattuale, sia successivamente all eventuale cessazione dello stesso; garantire l adozione di misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio, in ottemperanza all art. 32 del Regolamento; - Il Responsabile ha l'obbligo di garantire che le persone autorizzate al trattamento dei dati personali per conto del Titolare, in particolare i dipendenti del Responsabile ed eventuali Sub-responsabili compresi i loro dipendenti, tratteranno tali dati personali nel rispetto di quanto previsto nel presente DPA e secondo le istruzioni impartite dal Titolare. - Il Responsabili si impegna a designare gli Amministratori di Sistema nel rispetto delle misure e degli accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema; - Il Responsabile di impegna a fornire al Titolare la tempestiva comunicazione di criticità e anomalie rilevate relative alla protezione dei dati personali, comunicando ogni violazione dei dati personali che possa rappresentare un rischio per i diritti e le libertà degli interessati. Si impegna inoltre a informare, senza ingiustificato ritardo, di ogni istruttoria o indagine avviata dall Autorità Garante per la protezione dei dati o dall Autorità Giudiziaria che coinvolga i dati personali e i trattamenti oggetto del presente, nonché sanzioni comminate dalle stesse nei suoi confronti; - Al termine della prestazione dei Servizi, il Responsabile si impegna a restituire al Titolare tutti i dati personali (e qualsiasi copia esistente) trattati dal Responsabile per conto del Titolare e cancellarli irreversibilmente una volta avuta conferma da parte del Titolare dell avvenuta completa ricezione dei suddetti dati personali da parte del Titolare stesso. La cancellazione dei dati personali da parte del Responsabile dovrà essere certificata al Titolare, a meno che la legge Comunitaria o di uno Stato Membro imponga al Responsabile la conservazione dei dati personali. In questo caso, il Responsabile si impegna a garantire la riservatezza dei dati personali trasferiti e di non trattare di propria iniziativa tali dati.
3. Violazione dei dati personali In caso di Violazione dei dati personali (ai sensi del GDPR), il Responsabile deve darne comunicazione immediata al Titolare. Il Responsabile deve altresì raccogliere e fornire al Titolare le seguenti informazioni di dettaglio: a) il tipo di violazione b) la natura, la sensibilità e il volume dei dati personali interessati c) cifratura dei dati violati (indicare se applicata) d) facilità di identificazione della lista delle persone impattate e) la gravità delle conseguenze per gli interessati (es. danni fisici, materiali o immateriali, quali furto o usurpazione di identità, perdite finanziarie, pregiudizio alla reputazione) f) l'elenco delle persone interessate dalla violazione dei dati personali (se disponibili), incluse le informazioni di contatto g) le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di record di dati personali interessati h) probabili conseguenze, per il Titolare, della Violazione dei dati personali subita dal Responsabile e/o dai Sub-responsabili i) misure adottate o da adottare per affrontare la violazione dei dati personali, per attenuare gli effetti e ridurre al minimo i danni derivanti dalla violazione medesima. 4. Efficacia, durata e termine L'efficacia del DPA decorre dalla data di efficacia del Contratto di Servizi e la sua durata è la stessa prevista dal Contratto di Servizi. Fatto salvo quanto stabilito nel DPA, le condizioni e i diritti di recesso sono gli stessi previsti nel Contratto di Servizi. Il recesso, la risoluzione, la scadenza o lo scioglimento per qualsiasi altra causa del Contratto di Servizi, comportano l automatica cessazione dell efficacia del presente DPA. Qualora vi siano contraddizioni o incompatibilità tra le clausole del DPA e il Contratto di Servizi relativamente a gli obblighi delle Parti in materia di protezione dei dati prevarranno le clausole del DPA. 5. Il Data Protection Officer del Responsabile La seguente persona è stata nominata Data Protection Officer del Responsabile: - Ing. Matteo Lombardi, Ellequadro Ingegneria srls, amministrazione@ellequadroingegneria.it. Il Titolare riceverà immediata comunicazione di eventuali cambi di nomina del Data Protection Officer. Luogo e data, Il Titolare del Trattamento Il Responsabile del Trattamento