©
Premessa e quadro normativo.
Con il presente documento - di seguito Policy - si intende dichiarare e formalizzare una serie di principi, regole e criteri guida, più in dettaglio trattati nel “Regolamento Operativo” - di seguito Regolamento – funzionali al rispetto, da parte degli amministratori, dei consorziati, dei dirigenti e degli eventuali collaboratori esterni, anche occasionali, del Consorzio Shuttle - di seguito Consorzio – della disciplina di principio e di dettaglio in tema di tutela della privacy, così come in proseguo individuata e definita.
In sintesi, tutti gli esponenti, rappresentanti, membri del Consorzio e coloro che ne agiscono in nome e per conto nel loro operato si conformeranno ai dettami del seguente quadro normativo:
1.Regolamento europeo n. 2016/679 - di seguito GDPR – e successive modifiche ed integrazioni
2.Decreto legislativo n. 101/2018 - di seguito d. lgs. 101 - e successive modifiche ed integrazioni
3.Decreto legislativo n. 196/2003 come integrato e modificato dal d. lgs. 101,
nonché, considerato che i membri del Consorzio sono agenti del Credito Emiliano spa - di seguito CREDEM - ed in tale veste agiscono nei confronti della clientela,
4.Il codice Etico e di condotta di CREDEM,
5.Ogni altra normativa interna di CREDEM applicabile nello specifico
adottati o che saranno di tempo in tempo adottati da CREDEM, salvo il cambio di controllo della società mandante.
Il mancato rispetto di una disposizione del quadro normativo costituisce illecito disciplinare sanzionabile secondo le norme specificamente previste ai sensi dello statuto del consorzio.
Il Consorzio ritiene altresì di valutare attentamente e di attenersi ai Provvedimenti, alle Delibere ed alle FAQ del Garante in tema di protezione dei dati personali.
Infine, il Consorzio ritiene di conformarsi alla Guida del GDPR, pubblicata il 28.4.2017 sul sito internet del Garante della privacy con particolare riferimento all’attuazione del principio “privacy by design” , del principio “privacy by default” e del principio dell’”accountability” .
Definizioni.
I termini e le locuzioni adottate nella policy vanno intesi nel senso delle normative indicate ai punti 1, 2 e 3 del precedente paragrafo salvo che non ne venga data una specifica e differente definizione in un documento ufficiale del Consorzio o di CREDEM attinente al caso di specie. In tal modo, l’interpretazione e l’applicazione della policy e del regolamento operativo avranno una unica possibile lettura dei termini utilizzati.
Diritto di accesso e informazioni.
A specifica richiesta, CREDEM, tramite le sue funzioni interne di controllo, in considerazione del mandato agenziale citato in essere con i consulenti finanziari - di seguito CF - ex promotori finanziari, ha titolo di accedere in ogni tempo ai dati, alle notizie, ai documenti ed ai trattamenti degli stessi in utilizzo presso il Consorzio al fine di poter liberamente verificare, anche in autonomia, la conformità dell’intero assetto normativo ed organizzativo del Consorzio in tema di privacy.
Nella medesima prospettiva, il Consorzio, a specifica richiesta, metterà a disposizione del CREDEM - nelle persone e nelle funzioni che verranno dal medesimo individuate e comunicate al Presidente del Consorzio – le modifiche operative, regolamentari ed organizzative di volta in volta adottate, soprattutto in presenza di un mutamento del quadro normativo.
Autonomia del Consorzio.
Il Consorzio è autonomo rispetto a CREDEM e risponde, in persona dei propri esponenti, degli atti ad esso ascrivibili così come previsto dalla normativa civilistica in materia. Nondimeno, volendo il Consorzio conformarsi in toto alle prassi adottate dal CREDEM in materia di privacy, i diritti di accesso e di informazione di cui al paragrafo che precede non pregiudicano l’autonomia operativa del Consorzio essendo finalizzati non ad un controllo ma ad una semplice conoscenza tempestiva delle sue scelte operative ed organizzative. Conseguentemente, le funzioni di controllo di CREDEM, nell’utilizzo del diritto di accesso alle informazioni in possesso del Consorzio non avranno poteri interdittivi o limitativi dell’attività del Consorzio medesimo il quale opererà, quindi, secondo quanto previsto dal suo statuto vigente che si dà per interamente richiamato.
Nomina di responsabili ed incaricati.
Il Titolare del trattamento , il Responsabile del trattamento, il Responsabile per la protezione dei dati, i Soggetti autorizzati al trattamento , gli eventuali responsabili esterni e gli amministratori di sistema saranno individuati precedentemente o contemporaneamente all’entrata in vigore della policy. I processi di designazione e di revoca dei soggetti sopra citati saranno disciplinati nel Regolamento, impregiudicati i vincoli di legge.
Il Consorzio si farà carico di mettere a disposizione del Data Protector Officer - di seguito DPO - i mezzi anche economici per dare attuazione all’obbligo di formazione del personale
Approvazione e modifica della policy.
La policy è approvata dal Consiglio direttivo del Consorzio a maggioranza assoluta dei componenti e con analoga modalità potrà essere successivamente modificata su proposta di almeno due componenti il Consiglio Direttivo.
Spetta, comunque, al Consiglio Direttivo di provvedere periodicamente – almeno con cadenza annuale – alla revisione della policy onde verificarne la attualità di tempo in tempo.
Whistleblowing.
Il Consorzio, a seguito della introduzione della legge 30.11.2017 n. 179, si dota di un processo di segnalazione interna delle violazioni così come disciplinato in apposito documento approvato dal Consiglio Direttivo.
Entrata in vigore.
La policy e il Regolamento entrano in vigore il 20/01/2019 con contestuale abrogazione di ogni altra precedente disciplina che si ponesse in loro contrasto.
REGOLAMENTO OPERATIVO del CONSORZIO TRIVENETO SHUTTLE.
Premessa
La tutela della privacy va considerata come attività pericolosa ai sensi dell’art. 2050 cc. Il rischio privacy riguarda tutte le imprese, i professionisti, la pubblica amministrazione per cui può definirsi una materia trasversale ed immanente all’intera società.
In ambito bancario/finanziario, stante la delicatezza specifica della materia (avendo ad oggetto dati da ritenere sensibili o semi sensibili in via presuntiva), occorre prestare la massima attenzione, in ottica sanzionatoria, a tre principali fattispecie:
a.comunicazioni a terzi di dati della clientela in assenza di consenso
b.omessa o inidonea informativa agli interessati
c.mancata adozione delle misure minime di sicurezza.
A ciò si aggiunga il fatto che un trattamento illecito di dati può comportare responsabilità di tipo penale , amministrativo e civile; quest’ultima determina anche un obbligo di risarcimento ai sensi dell’art. 2050 cc. A queste fattispecie, si aggiunge, inoltre, una responsabilità di tipo disciplinare.
Scopo del presente Regolamento è evitare di incorrere in una o più delle citate forme di responsabilità, sia per le persone fisiche, sia per il Consorzio. Più in particolare, le strutture del Consorzio ed i suoi esponenti sono tenuti ad impostare ed attuare un processo che consenta di vigilare sull’operato degli addetti in relazione agli obblighi imposti in tema di privacy ed alle misure minime di sicurezza adottate nell’ottica dell’idoneità delle stesse a ridurre al minimo i rischi connessi al trattamento dei dati personali.
PARTE PRIMA.
Ambito di applicazione soggettivo.
Ferme le definizioni di legge, le “figure” della privacy sono:
•L’Interessato. Si tratta di qualunque persona fisica cui si riferiscono i dati personali acquisiti da parte del Consorzio.
•Il Titolare del trattamento. E’ il centro di imputazione giuridica del trattamento dei dati personali. In sostanza è colui che ha il potere decisionale in ordine al trattamento e ne determina le modalità. Titolare del trattamento è il Consorzio in persona del suo Presidente e in caso di sua assenza o impedimento, il Consigliere anziano.
•Il Responsabile del trattamento. Sono tutti coloro che vengono preposti dal Titolare, al trattamento dei dati personali con apposita lettera d’incarico. Ai fini del presente Regolamento, il Responsabile della protezione dei dati è il Presidente del Consorzio unitamente ad ogni altro soggetto specificatamente incaricato.
•L’ Incaricato del trattamento dei dati. Si tratta di persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Come figura sparisce con il GDPR (sostituito terminologicamente dai “soggetti autorizzati al trattamento”)
•L’Amministratore di sistema. Ancorché non menzionato nel codice della privacy e nel GDPR, si tratta del soggetto professionalmente competenti deputati alla gestione e manutenzione di un impianto di elaborazione dati o di sue componenti. Si tratta di quella figura professionale che ha mansioni di gestione di un servizio elaborazione dati. La designazione deve essere individuale (Provvedimento del Garante emesso il 27.11.2008 “misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”) ed occorre procedere all’eventuale notifica al garante del trattamento dei dati sensibili. Va effettuata una attività di formazione specifica sul ruolo dell’amministratore di sistema. Il titolare del trattamento o i responsabili devono verificare con cadenza annuale l’operato dell’amministratore di sistema.
•I responsabili esterni. Sono coloro che trattano i dati per conto del titolare; sono soggetti eventuali nel senso che la loro presenza non è obbligatoria.
•Il Data Protector Officer (DPO). E’ il responsabile della protezione dei dati personali; si tratta di un organo indipendente di sorveglianza circa l’effettività del sistema realizzato per essere conformi al GDPR e in tale veste coopera con l’Autorità ed il suo nominativo va comunicato al Garante. Su questo soggetto si incentra il sistema di gestione del rischio privacy in ottica di conformità alla nuova disciplina a seguito di una attività di “privacy impact assessment”. Il DPO ha anche funzione di controllo sul trattamento dei dati oltre che di consulente del titolare del trattamento (che lo ha nominato) ma non è il responsabile esterno il quale è il solo che tratta dati per conto del titolare. Il Garante ha pubblicato nel maggio 2018 il facsimile per la comunicazione dei dati di contatto ai sensi dell’art. 37 del regolamento GPDR. Il DPO è obbligatorio per gli enti pubblici, per coloro che trattano dati su larga scala o svolgono trattamenti che richiedono un monitoraggio continuo ed un’attenzione particolare. Il Consorzio ha ritenuto di dotarsi di questa figura stante la sua prossimità all’attività bancaria e finanziaria. Il DPO assume anche il ruolo di responsabile dei sistemi interni di segnalazione.
Ambito di applicazione oggettivo
Ferme ed impregiudicate le definizioni di legge, gli elementi oggettivi maggiormente significativi sono i seguenti:
•Trattamento di dato personale; si intende qualsiasi operazione riguardante i dati personali. Il dato equivale ad informazione. A ciascuna finalità corrisponde un trattamento (sanitario, giornalistico, assicurativo, bancario, scolastico ecc.).
•Dato personale; qualunque informazione relativa a persona fisica, identificata o identificabile mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
•Dato identificativo; quello che consente la identificazione di una persona attraverso codici, password, PIN ecc.
•Dato sensibile; quello che riguarda informazioni concernenti gli aspetti più intimi della vita di un individuo. Sono indicati tassativamente.
•Dato giudiziario; il dato personale idoneo a connettere ad un soggetto provvedimenti di natura penale.
•Diritto dell’interessato e diritti di accesso. Sono i diritti riconosciuti posti a protezione dei valori fondamentali. Possono anche essere visti come strumenti di tutela a carattere generale. Va indirizzato al titolare o al responsabile, anche tramite un incaricato, senza formalità ed a cui va dato riscontro senza ritardo. E’ previsto il diritto di opposizione dell’interessato (si pensi all’invio di materiale pubblicitario, o ricerche di mercato, o vendita diretta). E’ altresì consentito all’interessato decidere se e quali dati relativi alla propria salute debbano o meno essere inseriti nel dossier (fascicolo) sanitario elettronico (FSE); è il c.d. diritto di oscuramento (Provvedimento del Garante del 4.6.2015).
•Principio di liceità e correttezza nel trattamento dei dati personali cui fa da corollario il principio di pertinenza (e non eccedenza) dei dati rispetto al trattamento.
•Informativa. L’informativa è direttamente collegata alla tutela della riservatezza. L’informativa deve quindi contenere una serie di elementi ritenuti indispensabili affinché l’interessato possa esercitare i propri diritti. Occorre siano chiarite la finalità e le modalità del trattamento, la natura obbligatoria o facoltativa dello stesso e le conseguenze dell’eventuale rifiuto.
•Cessazione del trattamento. La conservazione dei dati deve rispondere ad effettive esigenze di natura contrattuale o legale.
•Consenso. Non è definito dal codice della privacy ma soccorre il Garante che lo ha definito quale “manifestazione del diritto all’autodeterminazione informativa”. Il consenso deve essere formalizzato, informato, libero, espresso e specifico (e va fornito tramite appositi questionari). Deve, inoltre, essere fornito per iscritto in caso di dati sensibili.
•Trattamento senza consenso. L’art. 24 prevede i casi in cui è possibile trattare dati personali in assenza di consenso (la Pubblica amministrazione è esentata), oppure quando il trattamento è necessario per adempiere ad un obbligo di legge o da un regolamento o da una normativa comunitaria (esempio: disciplina antiriciclaggio, comunicazioni di dati alla centrale dei rischi ecc.).
•Misure minime di sicurezza . Attengono in buona parte al c.d. cyber risk cioè rischio informatico (da proteggere, comunque, tramite idonee polizze assicurative) e sicurezza e privacy sono un binomio inscindibile ed ogni trattamento informatico contiene un rischio informatico, non ultimo il fenomeno dell’hackeraggio (cioè la pirateria informatica) . I dati personali vanno: a. custoditi, b. controllati, c. protetti con idonee misure di sicurezza tenuto conto del progresso tecnico. La mancata adozione di misure minime di sicurezza fa scattare la responsabilità penale). Le misure idonee, invece, non sono definibili in via preventiva dovendo essere valutate alla luce del progresso tecnologico.
•Notificazione del trattamento. E’ la comunicazione una tantum che il titolare del trattamento effettua al Garante prima di iniziare uno dei trattamenti. Le notifiche vanno annotate nel Registro dei trattamenti . Con l’entrata in vigore del Regolamento europeo il Registro resta obbligatorio solo per i soggetti che abbiano almeno 250 dipendenti, ancorché sia “consigliato” per tutti.
La valutazione di impatto.
La Data protection impact assessment (valutazione di impatto), ai sensi dell’art. 35 comma 4 del GDPR, va effettuata ogni volta che il trattamento presenti rischi potenzialmente rilevanti per gli interessati. E’, quindi, un processo continuo che consiste nella valutazione dei rischi derivanti dal trattamento di dati personali nell’ottica della salvaguardia dei diritti e delle libertà degli interessati oltre alle misure idonee a mitigarli. Il processo diventa automaticamente obbligatorio quando si presume un rischio elevato.
Con provvedimento del garante dell’11.10.2018 è stato fornito l’elenco delle tipologie di trattamenti soggetti al requisito di valutazione di impatto sulla protezione dei dati. Si tratta di 12 tipologie tra cui assumono particolare rilevanza i trattamenti valutativi o di scoring su larga scala, i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, i trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, anziani, disabili, richiedenti asilo), trattamenti effettuati attraverso l’uso di tecnologie innovative (es. tracciamenti di prossimità).
Gli obblighi di chi tratta i dati.
L’informazione agli interessati, il consenso, le condizioni per il consenso, la notifica dei trattamenti, l’adozione di misure di sicurezza costituiscono i principali obblighi ricadenti in capo a chi effettua un trattamento di dati personali. Il Consorzio, nel recepire le disposizioni in materia dettate dal CREDEM per i dipendenti, agenti e collaboratori, si adopera affinché le norme specifiche siano adeguatamente rispettate in ogni fase da parte dei suoi esponenti anche qualora questi ne venissero in contatto a titolo casuale.
I principi legali e regolamentari in tema di riservatezza dei dati vanno in ogni caso coordinati, oltre che con quelli che attengono all’interesse pubblico e al diritto della collettività all’informazione, con le esigenze di salvaguardia di interessi, pubblici e privati, all’onorabilità delle proprie frequentazioni nonché alla correttezza ed al rigore dei propri comportamenti .
Il consenso è definito come qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita ( scritta o su supporto durevole ) con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Può prescindersi dal consenso della parte interessata per il trattamento dei dati personali quando quest’ultimo sia necessario per far valere o difendere un diritto in sede giudiziaria a condizione che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario al loro perseguimento.
Il riscontro alla richiesta di accesso ai dati personali dell’interessato deve essere fornito con la massima tempestività; si ritiene, in linea con la prevalente giurisprudenza, che costituisca un congruo “spatium deliberandi” il termine di 15 gg. di cui all’art. 146 del codice della privacy (Cass. 2.8.2013 n. 18555).
Marketing diretto e telemarketing.
Il Garante ha emanato norme relative al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati (web marketing) di contatto (provvedimenti del 15.5.2013 e 26.7.2013). Il principio generale è che il soggetto destinatario del messaggio promozionale (cliente o non cliente) deve essere adeguatamente informato su come saranno trattati i suoi dati (per scopi commerciali); in via preliminare, dovrà avere prestato il proprio consenso in modo documentabile. E’ sufficiente un unico consenso. L’interessato può sempre opporsi all’ulteriore utilizzo dei dati per i quali avesse prestato il consenso.
Per il caso del telemarketing è stato istituito il registro delle opposizioni (RPO esteso anche alla telefonia mobile) a tali forme; l’iscrizione comporta la revoca automatica di tutti i consensi precedentemente espressi. Il mancato rispetto è sanzionato ex art. 162 comma 2 quater. Con la legge n. 5/2018 diventano definitive le novità riguardanti il registro delle opposizioni e l’istituzione dei prefissi nazionali per le chiamate a scopo statistico, promozionale e di ricerche di mercato. Il telemarketing “selvaggio” è stato recentissimamente censurato dalla Corte di Cassazione. Il Consorzio intende rispettare e far rispettare, in questa materia, l’orientamento della citata giurisprudenza attenendosi ai criteri generali di correttezza buona fede e bilanciamento degli interessi.
Notifica al Garante.
E’ diventato obbligatorio notificare, entro 72 ore dalla avvenuta conoscenza, sia al Garante della Privacy che ai titolari dei dati eventualmente violati qualora si verifichino casi di fuga di dati o violazioni del sistema di sicurezza (c.d. cyber crime o hackeraggio o anche data breach ), oppure perdita dei dati. Questa disposizione costituisce una assoluta novità introdotta dal GDPR. Il Consorzio adotta adeguati sistemi di protezione dei dati ed ogni esponente dello stesso si impegna ad informare immediatamente il DPO di fatti che possano far scattare l’obbligo di notifica, notifiche cui provvede personalmente il DPO.
L’attività di call center.
L’attività di call center è disciplinata dalla legge 7.8.2012 n. 134 e, in data 28.2.2017 il Garante ha pubblicato una nota informativa sulle nuove disposizioni normative inserite nella legge di bilancio 2016 (legge 11.12.2016 n. 232) che allargano il novero dei soggetti destinatari, le informazioni che gli stessi sono tenuti a fornire (in primo luogo l’obbligo di comunicazione della localizzazione del call center) e gli adempimenti che devono porre in essere. Questa attività, vista come strumento utile allo scopo primario del Consorzio, sarà svolta nel rispetto delle norme sopra citate e, in particolar modo, nel rispetto del provvedimento del Garante n. 139 dell’8.3.2018 che ha censurato un applicativo con cui la società datrice di lavoro era in grado di risalire in ogni momento all’operatore abbinando i dati raccolti nel corso delle telefonate.
Le FAQ per il DPO dei privati.
Il Consorzio ritiene di conformarsi anche alle FAQ di tempo in tempo diramate dall’autorità.
La versione più recente è stata resa nota il 24.3.2018 e riguarda 8 quesiti su cui l’Authority ha espresso il proprio punto di vista. Il tema primo è verificare se ai soggetti privati si applichi o meno l’obbligatorietà della nomina del DPO , creando – così – una chiara differenza con quello che avviene nei confronti degli enti pubblici ove l’obbligatorietà è la regola assoluta. Per le società, le banche, le assicurazioni, le finanziarie, società di revisione, società di recupero crediti , i sindacati, i CAF, le fondazioni, i partiti politici scatta l’obbligo ancorché il Garante ritenga opportuna la nuova figura anche quando non sia obbligatoria anche alla luce della accountability (sufficiente responsabilizzazione del titolare rispetto al trattamento che compie, modulando le tutele da adottare) che permea il regolamento, analogamente alla tenuta del Registro dei trattamenti di cui all’art. 30 del regolamento. Inoltre, se il DPO è scelto all’esterno dell’azienda, può essere investito del ruolo anche una persona giuridica. In ogni caso, il DPO può ricoprire anche altri incarichi purché non in conflitto di interessi (vale a dire senza potere decisionale significativo).
I diritti degli interessati.
Sono diritti dei soggetti Interessati:
a.l’Informazione preventiva (art. 13 GDPR); avviene tramite apposito modulo standardizzato (vedi allegati) in cui si dà notizia del titolare del trattamento, del responsabile della protezione dei dati, delle finalità del trattamento, delle modalità di trattamento e di comunicazione dei dati, del periodo di conservazione dei dati, dei diritti dell’interessato e della possibilità di proporre un reclamo.
b.il Diritto di accesso ai dati (art. 15 GDPR); ogni soggetto ha diritto di sapere se i propri dati personali siano o meno oggetto di un trattamento e, in caso affermativo, di averne una copia oltre ad avere notizia dell’origine dei dati, le finalità del trattamento, il periodo di conservazione.
c.il Diritto di opposizione al trattamento dei dati (art. 21 GDPR); ogni interessato può proporre opposizione al trattamento dei dati ove si trovi in particolari situazioni (per esempio. se i dati sono utilizzati per finalità di marketing diretto)
d.il Diritto di rettifica (art. 16 GDPR); ogni interessato ha diritto di chiedere ed ottenere la rettifica dei dati non corretti o la cancellazione dei dati o la limitazione del loro trattamento.
e. il Diritto di cancellazione (art. 17 GDPR). ogni interessato ha diritto di chiedere ed ottenere la cancellazione dei dati o la limitazione del loro trattamento secondo i principi di legge e di Regolamento GDPR.
Tali diritti sono esercitati nelle forme e nei limiti di cui ai documenti allegati.
I diritti riconosciuti dal GDPR vanno esercitati – nei limiti e con le modalità previste dal GDPR stesso – con una semplice richiesta tramite posta elettronica certificata, o lettera raccomandata o altri canali, senza particolari formalità, indirizzata al Titolare del trattamento il quale dovrà date risposta entro un mese dalla ricezione. In caso di mancato riscontro, l’Interessato può rivolgersi all’Autorità Garante della protezione dei dati personali proponendo un Reclamo o, in alternativa, all’Autorità Giudiziaria.
Formazione del personale
La formazione del personale e dei soggetti che in qualche modo operano per conto del Consorzio avviene nei termini sotto indicati sotto la responsabilità del DPO avendo presente che la formazione va intesa come un processo continuo nel tempo con particolare attenzione alle modifiche normative, organizzative ed operative di volta in volta presenti.
In ogni caso, va fornita – su base annua – una formazione di aggiornamento della durata di 2 ore in aggiunta a quella fornita dalla mandante ai propri agenti, con ricorso a docenza qualificata interna o esterna.
PARTE SECONDA
Le principali attività del Consorzio.
Il Consorzio, nel rispetto dei limiti statutari, ha come principale scopo l’attività di supporto prestata - tramite le proprie strutture - al reclutamento di futuri agenti e ai conseguenti rapporti con i clienti potenziali riferiti agli stessi consorziati.
Ogni agente si adopera, pertanto, affinché i dipendenti e consorziati del Consorzio vengano autorizzati al trattamento dei dati di cui viene in possesso in relazione al rapporto di lavoro per quanto concerne i potenziali agenti di volta in volta contattati, a prescindere dalla conclusione del contratto di agenzia. A tal fine - con apposito allegato n…… - verrà acquisita l’autorizzazione al trattamento dei predetti dati e tali dati saranno conservati per un termine massimo di 3 anni salvo ulteriore termine consentito dall’interessato nel caso di mancata formalizzazione del contratto di agenzia, anche tramite adesione a mailing list e/o proposte di natura commerciale.
Analogamente per il cliente potenziale.
Flussi informativi.
Il Consiglio Direttivo, a sensi di statuto, è autorizzato a stabilire e normare flussi informativi da e per gli esponenti, dipendenti, consorziati e soggetti che a vario titolo interagiscano con il Consorzio. Ove tali flussi dovessero modificare, integrare o anche solo specificare disposizioni del presente Regolamento ne sarà espressamente prevista tale facoltà al momento della specifica diramazione.
Il Registro delle attività e dei trattamenti.
L’adozione del Registro è obbligatoria soltanto per soggetti o trattamenti di rilevante importanza (enti con più di 250 dipendenti oppure per chi effettua trattamenti a rischio). Il Consorzio, ha, tuttavia, deliberato in ottica cautelativa di procedere all’istituzione del Registro; in conseguenza, si conforma alle istruzioni sotto riportate sin dall’adozione dello stesso.
Il Garante ha pubblicato nell’ottobre 2018 – sotto forma di FAQ – le istruzioni sul Registro delle attività di trattamento previsto dal GDPR prospettando anche un modello di registro semplificato per le PMI.
In dettaglio, il Registro contiene:
1.il nome del titolare del trattamento, cioè il Presidente del Consorzio
2.il nome dell’amministratore di sistema ovvero il Vice Presidente del Consorzio o altro soggetto all’uopo incaricato
3.la categoria degli interessati, vale a dire i potenziali candidati all’assunzione di un incarico agenziale da parte di CREDEM di volta in volta selezionati sulla base di archivi di pubblico accesso ed inseriti nel data base. Rientrano altresì nella categoria i potenziali clienti che abbiano autorizzato il trattamento dei loro dati personali, nonché ulteriori candidati diversamente individuati
4.la finalità del trattamento, vale a dire l’acquisizione di informazioni, documenti, notizie professionali e morali utili ad approfondire la conoscenza finalizzata ad una possibile conclusione del contratto di agenzia e di eventuali clienti potenziali
5.il tipo di dato, cioè ogni dato personale, sensibile e non atto ad acquisire o integrare le finalità sopra citate
6.l’ambito di circolazione dei dati, per ciò intendendo i soggetti che hanno accesso visivo e conoscitivo ai dati personali con indicazione di chi li può inserire nel data base
7.il tempo di utilizzo, cioè il tempo massimo entro il quale, ove non fosse perfezionato nel frattempo il contratto di agenzia, il dato viene mantenuto nel data base. Analogamente per il cliente potenziale
8.le eventuali misure di sicurezza aggiuntive a quelle prestate dalla società proprietaria del software concesso in licenza d’uso.
9.in apposita sezione vengono registrati gli eventuali reclami
Con tale impianto, il Consorzio ritiene che sarà, in tal modo, agevole individuare gli adempimenti da porre in essere: informative, consensi, nomina di responsabili esterni ecc..
Responsabile della cancellazione dei dati dal data base a seguito della apposita richiesta dell’interessato, è la Segretaria del Consorzio
Il Processo.
a.Il data base.
Il Consorzio si avvale di un data base di proprietà della società Base Bear SRL con sede in Roma per l’utilizzo del quale viene redatto un contratto di licenza d’uso. Il data base, di uso esclusivo da parte del Consorzio, è utilizzabile on line ed il Consorzio, tramite i suoi esponenti, ha diritto ad ogni tipo di accesso secondo le modalità e con le garanzie e le responsabilità previste nel citato contratto che si allega sub …. al presente Regolamento facendone parte integrante.
b.L’accesso al data base.
L’accesso al data base è riservato secondo le specificazioni sotto riportate ai soggetti muniti di password secondo differenti livelli di accesso.
Possono accedere, inserire e modificare i dati, salvo diversa deliberazione scritta, i seguenti profili professionali, ognuno per i dati rispettivamente acquisiti e inseriti:
1.Il titolare del trattamento
2.Il Capo Mercato
3.Gli Area Managers
4.I Grow Managers
5.I Consulenti Finanziari Consorziati
6.I dipendenti del Consorzio all’uopo autorizzati. Le denominazioni di cui ai numeri 2-3-4-sono quelle attribuite nei regolamenti del Credem.
Possono inoltre modificare i dati contenuti nel data base, i soggetti di cui al punto 2-3-4 limitatamente ai soggetti da loro coordinati.
Infine, l’amministratore di sistema ha facoltà di accesso illimitato a tutte le funzioni.
La Segretaria Generale del Consorzio, è addetta al trattamento dei dati personali e come tale viene nominata all’atto dell’adozione del presente regolamento ed è autorizzata alla cancellazione dei dati su richiesta degli interessati.
c.La ricerca/selezione di candidati.
La ricerca e la selezione di soggetti al fine del loro inserimento nella struttura operativa costituisce una delle attività principali del Consorzio.
Ulteriore attività è prevista nella ricerca e selezione di clienti potenziali. A tal fine, secondo programmi di volta in volta definiti dal Consiglio Direttivo su proposta del Presidente, verranno effettuate ricerche mirate utilizzando fonti pubbliche di libero accesso. In questa fase, pertanto, non necessitano particolari autorizzazioni o consenso al trattamento dei dati personali e si procede ad una prima alimentazione – ancorché provvisoria – del data base.
Successivamente, esperite eventuali ulteriori ricerche di approfondimento - anche queste svolte sulla base di dati ed informazioni di carattere pubblico – si procede ad un contatto diretto con il potenziale candidato finalizzato ad un incontro/colloquio di prima conoscenza in modo da verificare il reciproco interesse a pervenire ad una possibile formalizzazione di un accordo di collaborazione . Analogamente per i clienti potenziali andrà verificato l’interesse a diventare clienti della Credem. In questa fase, il potenziale candidato/cliente fornirà l’autorizzazione al trattamento dei dati di cui il Consorzio verrà a conoscenza, tramite un modulo standardizzato che si allega……sub…...
Qualora il contatto con il candidato/cliente non desse luogo alla conclusione di un accordo di collaborazione, il Consorzio cancellerà tutti i dati in suo possesso nel termine massimo di 3 mesi dalla richiesta di cancellazione.
Ove si manifestasse la concreta possibilità di pervenire alla formalizzazione dell’incarico di collaborazione o di rapporto con Credem, un soggetto facoltizzato da parte di CREDEM procederà allo sviluppo del contatto sino alla conclusione dell’accordo. Il consenso al trattamento dei dati rilasciato a CREDEM da parte del candidato si estende anche ai dati di cui il Consorzio fosse in possesso, presenti nel data base.
d. Ruolo della Segretaria Generale.
E’ compito della Segretaria Generale del Consorzio di alimentare il data base e di archiviare il modulo di consenso. La Segretaria Generale, inoltre, supporta le attività di contatto e di selezione dei potenziali candidati/clienti in ogni fase.
PARTE TERZA
Gli allegati.
I seguenti allegati costituiscono parte integrante del Regolamento e vanno conservati a cura della Segretaria del Consorzio secondo i tempi di legge salvo diverse disposizioni del Consiglio Direttivo.
a)L’informativa sul trattamento dei dati personali. Il modulo è standardizzato.
b)Consenso al trattamento dei dati personali.
c)Designazione di Responsabile al trattamento dei dati.
d)Designazione di Incaricato del trattamento.
e)Consenso al trattamento dei dati personali da parte dei dipendenti del consorzio.
f)Conferimento d’incarico e limiti dello stesso nei confronti del DPO.
g)Il contratto di licenza d’uso del data base.
h)Documento whistleblowing
i)Documento valutazione impatto
APPENDICE.
Si riportano di seguito i contenuti essenziali di tre documenti, di diversa provenienza, che saranno espressamente osservati dal Consorzio e dai suoi esponenti nel trattamento di dati personali, ove ne ricorressero i presupposti.
La delibera Consob n. 199412017.
Questa delibera ha aggiornato il regolamento recante l’individuazione dei dati sensibili e giudiziari e delle operazioni eseguibili ai sensi dell’art. 20 del d. lgs. n. 196/2003, anche con riferimento alla introduzione dell’ACF.
Il codice di deontologia per il corretto uso dei dati sull’affidabilità commerciale di imprenditori e managers.
Con delibera n. 479/2015 è stato adottato – con decorrenza 1.10.2015 – il codice di cui sopra.
In sostanza, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e managers (quindi solo persone fisiche rientranti nel concetto di “interessato” ai sensi dell’art. 4 comma 1 lettera i del d. lgs. 196/2003) potranno raccogliere dati solo da fonti pubbliche o direttamente dall’interessato.
I dati dovranno sempre essere aggiornati e la conservazione ha precisi termini temporali.
Le regole principali vertono su:
a.tipologia di dati che possono essere utilizzati (possono provenire solo dagli interessati o da persone fisiche e giuridiche che abbiano avuto legami economici o giuridici con i medesimi.
b.fonte dei dati che deve essere di provenienza diretta o da fonti pubbliche (senza consenso degli interessati)
c.informativa va resa in forma semplificata o su portale internet
d.tempi di conservazione limitate a sei mesi se la fonte di provenienza è dalla stampa o da altra fonte pubblicamente accessibile.
Il regolamento bankitalia 9.11.2015 recante individuazione dei dati sensibili e giudiziari delle operazioni eseguibili.
Questo regolamento, adottato con delibera n. 520/2015, identifica le tipologie di dati sensibili e giudiziari e le operazioni (giustamente) eseguibili da parte della banca e della UIF per perseguire finalità di rilevante interesse pubblico individuate da espresse disposizioni di legge (si pensi al tema dell’antiriciclaggio, dell’antimafia, dell’evasione fiscale, dei reati fallimentari ecc.).
Questo regolamento ha abroga il precedente – di pari oggetto – del 22.3.2011. Poco dopo, l’Autorità garante della concorrenza e del mercato ha pubblicato la delibera 1.8.2016 n. 26096 cecante il regolamento per il trattamento dei dati sensibili e giudiziari identificandone le tipologie e le operazioni eseguibili nello svolgimento delle funzioni istituzionali dell’Autorità (ad esempio per l’attribuzione del rating di legalità) nel rispetto dei criteri di pertinenza, completezza e indispensabilità.
Eventuali aggiornamenti al presente documento sono reperibili al seguente link
https://bearfseu.s3-eu-west-1.amazonaws.com/Users/383dac9c-67c3-4be8-beca-4ffeaeb31b4e/Apps/52538dd2-d839-48eb-a22f-461308c423ad/Tbls/9b42feca-a243-41d9-a1ec-f7ea0983ae0b/M_2/77c2669c-b4ed-40d7-9f2f-f7dae0f18436/2021.pdf?AWSAccessKeyId=AKIAIXY2ZI5FRPMTG7ZQ&Expires=1642516698&Signature=Kj7ZmnIxR0kyUabWr%2BBS%2BMFXD8I%3D