ACCORDO DI CONTITOLARITÀ

ACCORDO DI CONTITOLARITÀ

ai sensi dell'art. 26 del Regolamento Europeo 679/2016 - GDPR

Tra

e

e

e

ENERGENT SPA (P. IVA: 05889601000)

SKIENDA SRL (P. IVA: 14965641005)

ENWAY SRL (P. IVA: 11836061009)

I&M CONSULTING SRL (P. IVA: 02009651007)

PREMESSO CHE

o a norma dell’articolo 26, paragrafo 1 del GDPR “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti.

o a norma dell’articolo 26, paragrafo 2 del GDPR “L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato”;

o è intenzione delle Parti contraenti regolamentare in modo trasparente i diritti e gli obblighi reciproci quali conseguono alla puntuale osservanza delle norme e dei principi contenuti nel GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati;

o Nell’ambito delle rispettive responsabilità come determinate dal presente Accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili, di volta in volta approvati dall’Autorità di controllo. Inoltre, in coerenza con la propria missione i Contitolari si impegnano reciprocamente a proteggere i

dati personali di ogni persona fisica che si trovasse ad avere contatto o ad operare con i medesimi (“Interessato”), così come stabilito dal GDPR;

o Resta inteso tra le Parti che, ai sensi dell’art. 26, comma 3, del Regolamento (EU) 2016/679, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del trattamento.

SI CONVIENE QUANTO SEGUE

Articolo 1 - Oggetto del trattamento dati

I Contitolari dichiarano, in merito al trattamento dei dati, di condividere le decisioni relative alle finalità e modalità del trattamento di dati inerenti al processo di:

o Recruiting;

dichiarano, inoltre di condividere, le seguenti attività e/o oggetti attinenti ai processi di cui sopra:

- le banche dati dei canditati per il servizio recruiting

- le finalità del trattamento di dati personali. In questa visione le società compartecipano al trattamento con lo scopo di trovare candidati idonei sulla base di decisioni convergenti, ovvero utilizzare comuni mezzi per il trattamento (piattaforma web, segnalazione da parte del personale interno) ed aggiudicarsi risorse idonee alle esigenze lavorative. De facto un candidato che si propone per una posizione aperta da una società, potrebbe essere contattato invece da un’altra delle società poiché ritenuto idoneo in base al proprio profilo.

- i mezzi del trattamento e le modalità del trattamento di dati personali. Le società condividono de facto le risorse HR, nonché una piattaforma web based strumentale al processo di recruiting;

- la politica di conservazione dei dati;

- lo stile e le modalità di comunicazione delle informative artt. 13 e 14 del GDPR;

- la procedura di gestione dei consensi (ove necessari);

- gli strumenti ed i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei processi soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;

- l’approccio basato sul rischio;

- la politica di sicurezza dei dati personali, in particolare la procedura del Data Breach e la procedura di valutazione di impatto sulla protezione dei dati personali (DPIA);

- la gestione della procedura di esercizio dei diritti dell’Interessato;

2. La contitolarità è riferita al trattamento dei dati personali ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.

3. Con il presente accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le seguenti finalità:

o servizio ed assistenza per selezione di candidati;

4. Le attività alla base del presente accordo comportano il trattamento delle seguenti categorie di dati personali: dati di contatto ed anagrafici, dati inerenti all’origine razziale e/o dati relativi alla salute, ed immagini.

5. Le categorie di Interessati sono i canditati.

Articolo 2 – Obblighi tra le parti

La tutela dei dati personali è fondata sull’osservanza dei principi illustrati nel presente accordo che i Contitolari si impegnano a diffondere, rispettare e far rispettare ai propri dipendenti e collaboratori ed ai soggetti terzi con cui collaborano nello svolgimento della propria attività. In particolare i Contitolari sono impegnati altresì affinché la politica della protezione dati personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i gli attori coinvolti.

I Contitolari si impegnano a mantenere e garantire la riservatezza e la protezione dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità. In particolare essi, anche disgiuntamente tra loro, si impegnano a:

o prestare ascolto e attenzione a tutti gli attori coinvolti – a titolo esemplificativo, personale dipendente e collaboratore, consulenti esterni che erogano servizi necessari e/o di supporto al processo;

o raccogliere i dati personali limitandosi a quelli indispensabili per effettuare le attività costituenti il progetto comune (dati personali pertinenti e limitati), trattare i dati personali secondo i principi di trasparenza per le sole finalità specifiche ed espresse nelle proprie informative nonché adottare processi di aggiornamento e di rettifica dei dati personali trattati per assicurarsi che i dati personali siano, per quanto possibile, corretti e aggiornati;

o conservare e tutelare i dati personali di cui è in possesso con tecniche di preservazione adeguate;

o garantire il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico;

o rendere chiare e pertinenti le modalità di trattamento dei dati personali e la loro conservazione in maniera da garantirne un’adeguata sicurezza;

o assicurare il rispetto delle disposizioni legislative e regolamentari applicabili alla tutela dei dati personali aggiornando eventualmente la gestione della protezione dei dati personali;

o prevenire e minimizzare, compatibilmente con le risorse disponibili, l’impatto di potenziali violazioni o trattamenti illeciti e/o dannosi dei dati personali.

I Contitolari si impegnano con particolare riguardo all’esercizio dei diritti dell’Interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, ad uniformare le modalità, lo stile i modelli e soprattutto le procedure per la protezione dei dati personali a favore dell’Interessato.

Articolo 3 – Xxxxxx ed effetti conseguenti allo scioglimento del Contratto

Il presente accordo/contratto diviene efficace tra le parti immediatamente all’atto della sua sottoscrizione e sarà valido ed efficace sino alla scadenza, originale o prorogata del rapporto convenzionale che lega i Contitolari, ovvero alla sua cessazione di validità ed efficacia a qualsiasi causa dovuta. Il Trattamento dei dati personali in regime di contitolarità, pertanto, ha durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti.

Articolo 4 – Valutazione d’impatto (DPIA) e Violazioni di dati personali

Nei casi previsti dall’art. 35 del GDPR, la valutazione d’impatto sulla protezione dei dati personali ed il suo eventuale riesame, così come una possibile consultazione preventiva di cui all’art. 36 del GDPR, sono a carico di ENEGENT SPA, la quale informa tempestivamente gli altri Contitolari della relativa attività compiuta. In eventuali casi di violazione della sicurezza dei dati personali che comporti, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati nel contesto dei processi comune, l’attività di coordinamento ai fini dell’adempimento degli obblighi di cui agli articoli 33 e 34 del GDPR è affidata ad ENERGNET SPA.

Articolo 5 - Decisioni in merito ai trasferimenti internazionali di dati personali

Il presente accordo prevede che i dati personali siano trattati all’interno del territorio dell’Unione Europea.

Articolo 6 - Condivisione della procedura per l’esercizio dei diritti dell’Interessato

I punti di contatto, per gli interessati, sono individuati nei punti di contatto di ciascun titolare. Le richieste di esercizio dei diritti e gli eventuali reclami presentati dagli interessati saranno gestiti dai punti di contatto di ogni titolare ai recapiti che saranno resi noti negli articoli successivi, restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di ciascun Contitolare.

Articolo 7 - Responsabilità per violazione delle disposizioni

I Contitolari si obbligano, in solido tra loro, a predisporre, attuare e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei dati personali.

Articolo 8 - Responsabile della Protezione dei dati personali e relativi contatti (DPO)

Ciascuno dei Contitolari rende noto di aver provveduto alla nomina del Responsabile della Protezione dei Dati personali (RPD o DPO) in conformità alla previsione contenuta nell’art. 37 del GDPR. A seguire i contatti per informazioni e richieste: xxxxxxxx@xxx.xxxxxxxx.xx - xxxxxxx@xxxxxxxxx.xx, xxxxxxxxxxxxxxx@xxx.xxxxxxxxxxxxxxx.xx - xxxxx@xxx.xxxxx.xx.

Articolo 9 – Disposizioni finali

Per quanto non espressamente indicato nel presente accordo, si rinvia al GDPR, alle disposizioni di legge vigenti, nonché ai provvedimenti dell’Autorità di controllo.

Aggiornato ad ottobre 2022