Sommario
Sommario
1 Scopo 2
2 Definizioni 2
3 Lingua 2
4 Formalizzazione del Contratto 2
5 Gerarchia documenti contrattuali 2
6 Comunicazioni 2
7 Condizioni Economiche 3
8 Tributi. 4
9 Legislazione “Antimafia” 4
10 Trattamento dati personali 4
11 Assicurazioni 7
12 Proprietà industriale ed intellettuale 7
13 Condizioni di consegna 7
14 Obblighi del Fornitore 7
15 Penali 8
16 Sospensione, recesso e risoluzione del contratto. 8
17 Garanzia. 10
18 Formazione 10
19 Cedibilità dei crediti 10
20 Cessione del contratto 10
21 Clausole etiche. 10
22 Global compact. 12
23 Riservatezza. 12
24 Obblighi del Fornitore in materia di salute, sicurezza e ambiente 14
25 Legge applicabile. 14
26 Foro competente 14
Allegato Fatturazione 17
Allegati GDPR (da Allegato da 1 ad allegato 8) 23
1 Scopo
1.1 Le presenti Condizioni di Contratto per forniture a scopo rivendita - Italia si applicano ai contratti regolati dalla legge Italiana e conclusi tra società del Gruppo ENEL (di seguito anche "ENEL") e i rispettivi Fornitori (di seguito collettivamente definiti le "Parti") con riferimento all'acquisto di materiali\ apparecchi\ attrezzature con consegna a carico del fornitore.
2 Definizioni
Al presente documento si applicano le definizioni seguenti:
▪ Fornitore: indica una persona fisica o giuridica (o un gruppo di esse) che sottoscrive un contratto relativo a opere, servizi e/o forniture.
▪ Portale Globale degli Acquisti (PortalOne): portale ENEL a cui gli Appaltatori possono accedere per operare online con ENEL.
▪ Contratto: indica la serie di documenti contrattuali specificati in seguito che disciplinano, per iscritto, gli obblighi delle Parti e l'acquisto di materiali o attrezzature.
1. “Lettera d’Ordine”: è il documento che contiene il nome e i dati identificativi delle Parti, specifica l'ambito di applicazione e la durata del Contratto, espone le condizioni economiche, amministrative e normative, elenca e rimanda a tutti i documenti contrattuali che formano il Contratto.
2. Documenti tecnico-economici:
• Specifica Tecnica: documento che illustra i requisiti tecnici di cui al Contratto.
• Corrispettivo o Listino Prezzi: documento che indica il corrispettivo economico da versare per i servizi resi del Fornitore, che possono essere raggruppati per categoria.
• Eventuali documenti aggiuntivi: altri documenti relativi a uno specifico Contratto (per es. descrizione delle opere e degli interventi, grafici e stampe di progetto descrittive, tempi e scadenze ecc.).
▪ Periodo di Garanzia: periodo di tempo durante il quale il Fornitore è tenuto a garantire il corretto funzionamento dei prodotti/delle opere, o durante il quale i prodotti/le opere devono essere privi di difetti e idonei all'uso preposto.
3 Lingua
3.1 La versione originale del presente Documento è in lingua Italiana. La versione originale dei restanti documenti contrattuali è indicata nella Lettera d’Ordine o in ciascuno dei documenti contrattuali.
4 Formalizzazione del Contratto
4.1 Con la sottoscrizione del Contratto, il Fornitore dichiara la propria accettazione integrale e incondizionata dello stesso.
4.2 Non sono previsti il rinnovo automatico né la tacita proroga del Contratto. Eventuali aggiunte e/o condizioni contrattuali successive, cancellazioni o clausole contrattuali contenute in uno specifico Contratto non modificano in alcun modo le Condizioni di Contratto Per Fornitura a Scopo Rivendita e sono limitate al Contratto a cui si riferiscono.
4.3 Nel caso in cui una società del Gruppo ENEL sottoscriva accordi con il Fornitore a beneficio di altra/e società del Gruppo ENEL, il Contratto avrà efficacia anche nei confronti delle società del Gruppo ENEL che di fatto beneficeranno dei servizi, delle opere e delle forniture. Il Fornitore altresì garantisce l’adempimento da parte delle sue imprese controllate o collegate o stabili organizzazioni di tutte le obbligazioni assunte con il Contratto.
5 Gerarchia documenti contrattuali
5.1 In caso di conflitto o incompatibilità tra i diversi documenti contrattuali, la priorità sarà assegnata in base all'ordine seguente:
1. Lettera d’Ordine;
2. Documenti tecnico-economici (Specifica Tecnica, Elenco Corrispettivi o Listino Prezzi, eventuali documenti aggiuntivi);
3. Condizioni di Contratto per forniture a scopo rivendita.
5.2 L'eventuale rinuncia a un diritto, un potere o una richiesta di cui al Contratto ad opera di una delle Parti è ritenuta valida solo se tale rinuncia è stata esplicitamente presentata per iscritto alla Controparte. La rinuncia a un diritto, un potere o una richiesta non implica la contestuale rinuncia a diritti, poteri o richieste futuri, anche ove fossero della stessa natura dei precedenti.
5.3 Qualora una disposizione del Contratto dovesse essere considerata nulla, ciò non inficerà le restanti disposizioni contrattuali, che resteranno valide sebbene tale disposizione non abbia più effetto. Tenendo conto dell'ambito di applicazione del Contratto e tramite reciproco accordo, le Parti si adopereranno per sostituire la disposizione nulla con un'altra che si avvicini il più possibile all'intento originario.
6 Comunicazioni
6.1 Le comunicazioni tra le Parti dovranno avvenire per iscritto ed essere indirizzate alla sede o agli indirizzi e secondo le modalità specificate nel Contratto. Ciascuna Parte si impegna a comunicare tempestivamente alla Controparte eventuali variazioni di sede e indirizzo. In caso contrario, le comunicazioni saranno considerate efficaci se inviate secondo le modalità concordate agli indirizzi specificati nel Contratto.
6.2 ENEL si riserva il diritto di utilizzare procedure elettroniche per lo scambio di documenti attinenti al Contratto. Salvo quanto diversamente specificato nel Contratto è ammesso l'uso di mezzi di comunicazione elettronici, purché consentano di tenere traccia dello scambio di corrispondenza.
6.3 Il Fornitore si atterrà a e darà tempestivamente efficacia a tutte le comunicazioni ricevute da ENEL, senza ulteriori formalità.
7 Condizioni Economiche
7.1 Generalità
7.1.1 La trasmissione delle fatture potrà avvenire attraverso i sistemi elettronici di ENEL (Portale degli Acquisti attraverso il quale Enel svolge l’attività di intermediario verso il Sistema di Interscambio per la Fatturazione Elettronica). L’utilizzo del Portale Enel per l’invio delle fatture rende digitale il processo di gestione dei documenti da parte delle strutture amministrative di Enel con certezza dei termini di pagamento.
7.1.2 Si precisa che in base alle specifiche tecniche di cui all’Allegato A del Direttore delle Entrate del 30 aprile 2018 ed eventuali successive modifiche ed integrazioni si intende come intermediario qualsiasi soggetto terzo, incaricato dal cedente/prestatore a trasmettere per proprio conto le fatture elettroniche verso il Sistema di Interscambio (SDI).
7.1.3 Enel quindi svolge a titolo gratuito il ruolo di intermediario verso lo SDI esclusivamente e limitatamente a tutte le fatture ricevute dai propri fornitori (quindi documenti e informazioni che è già è titolato a riceverle in qualità di committente) e non quelle emesse dai fornitori a soggetti diversi da Enel.
7.1.4 Enel si impegna ad inoltrare tutte le fatture ricevute allo SDI in virtù del ruolo di intermediazione assegnato dal Fornitore, distinguendo tale attività dal ruolo di verifica delle prestazioni o forniture ricevute tipico del committente/cessionario. Resta inteso quindi che l’impegno di inoltrare le fatture allo SDI non comporta l’automatico riconoscimento del credito che è soggetto alle verifiche da parte di Enel quale committente.
7.1.5 Enel non esegue attività diverse da quelle di intermediario verso lo SDI (ad esempio soggetto emittente in nome e per conto del fornitore di fattura ai sensi dell’art. 21 del DPR IVA, oppure l’intermediario individuato dall’articolo 3, comma 3, del decreto del Presidente della Repubblica 22 luglio 1998, n. 322 – quali consulenti del lavoro, commercialisti, CAF, ragionieri – che rappresenta l’unico che può essere delegato alla consultazione e l’acquisizione delle fatture elettroniche o dei loro duplicati informatici messi a disposizione nell’area riservata del sito web dell’Agenzia delle entrate).
7.1.6 Anche se nel Contratto sia stabilito che il pagamento possa essere effettuato con diverse divise, la singola fattura potrà essere emessa in unica moneta.
7.1.7 La fattura sarà valida ed ENEL potrà accettarla solo se conterrà tutti i dati previsti dal Contratto di Fornitura e dalla normativa applicabile e se l’attività oggetto del Contratto sia stata eseguita correttamente. Le fatture devono riportare tutte le informazioni previste dalla normativa fiscale in vigore. In particolare la Legge di Bilancio per il 2018 (L. 27 dicembre 2017, n. 205) ha previsto l'obbligo dell'emissione della fattura elettronica fra privati dal 1° gennaio 2019. Le fatture dovranno essere emesse secondo le specifiche tecniche approvate con il provvedimento del direttore delle Entrate del 30 aprile 2018 ed andranno trasmesse tramite il SdI (Sistema di Interscambio) ad eccezione dei contribuenti minimi/forfetari/agricoli esonerati e delle operazioni con soggetti non stabiliti nel territorio dello Stato. Nell’allegato 9 sono riportati i dettagli tecnici necessari per la corretta gestione della fatturazione elettronica per Enel. Nel caso di emissione con modalità diverse da quelle previste (ad es. modalità cartacea), la fattura
– per espressa previsione normativa – si considererà non emessa
7.1.8 I fornitori non residenti, potranno inviare le fatture solo in formato TIFF/PDF utilizzando l’apposito canale attivo nel Portale WEB EDI.
7.1.9 Salvo il caso in cui il Raggruppamento Temporaneo di Imprese o il Consorzio ordinario sia dotato di autonoma Partita I.V.A., ciascuna impresa del Raggruppamento o del Consorzio è tenuta a fatturare i corrispettivi della propria prestazione. Le fatture emesse dalle singole imprese mandanti devono pervenire ad ENEL opportunamente corredate del benestare dell’impresa mandataria.
7.1.10 In caso di subfornitura o cottimo, laddove ENEL non abbia dichiarato che provvederà a corrispondere direttamente al subfornitore o al cottimista l’importo dovuto per le prestazioni dagli stessi eseguite, ENEL sospenderà il pagamento in favore del Fornitore, qualora il Fornitore stesso non abbia trasmesso, nei termini di legge, copia delle fatture quietanzate relative ai pagamenti corrisposti dal Fornitore al subfornitore o al cottimista con l’indicazione delle ritenute di garanzia effettuate.
7.1.11 ENEL si riserva comunque la facoltà di non dare corso ai pagamenti ove il Fornitore non dimostri l’esatto adempimento delle obbligazioni oggetto del Contratto e/o di essere in regola con gli adempimenti di legge.
7.1.12 È esclusa la possibilità per il Fornitore di conferire a terzi mandati all’incasso o di ricorrere a qualsivoglia forma di delegazione di pagamento.
7.2 Pagamento
7.2.1 Il pagamento delle fatture, a mezzo bonifico bancario, sarà effettuato, con valuta fissa per il beneficiario, al terzultimo giorno lavorativo del mese in cui cade il termine di 60 giorni fine mese dalla data dell’accettazione o delle verifiche, da parte di ENEL (data benestare), eventualmente previste dalla legge o dal Contratto ai fini dell’accertamento della conformità della merce alle previsioni contrattuali le fatture devono riportare sempre il numero d’ordine di acquisto;
7.2.2 Nel caso in cui gli estremi identificativi del numero ordine di acquisto non vengano inseriti nelle fatture, le stesse non verranno accettate né se ne terrà conto ai fini del computo della data di ricezione (per le fatture elettroniche non inviate tramite il Portale Enel, vedere i dettagli del Allegato Fatturazione per l’identificazione dei del campo da utilizzare per l’inserimento dell’ordine di acquisto o Codice unità Enel).
7.2.3 Qualora il giorno di pagamento, come sopra definito, coincida con un lunedì o un martedì, il pagamento sarà posticipato al mercoledì, se lavorativo; in caso contrario, il giorno di pagamento resta invariato.
7.2.4 In caso di ritardo nei pagamenti oltre il termine contrattuale, ove tale ritardo sia imputabile ad ENEL, sono dovuti al Fornitore interessi di mora, nella misura degli interessi legali determinati come nel seguito indicato:
1. Per il primo semestre dell’anno a cui si riferisce il ritardo, si applicano gli interessi legali di mora in vigore al 1° gennaio di quell’anno;
2. Per il secondo semestre dell’anno a cui si riferisce il ritardo, si applicano gli interessi legali di mora in vigore al 1° luglio di quell’anno.
7.2.5 Per l’applicazione dei tassi di cui ai precedenti punti 1. e 2. si farà riferimento a quello pubblicato nella Gazzetta Ufficiale della Repubblica Italiana, dal Ministero dell’Economia e delle Finanze, nel quinto giorno lavorativo di ciascun semestre solare. Gli interessi moratori decorrono, senza che sia necessaria la costituzione in mora, dal giorno successivo al termine di pagamento stabilito dal Contratto
7.2.6 Qualora il creditore dimostri di aver sostenuto costi per il recupero del credito, allo stesso spetta, senza che sia necessaria la costituzione in mora, un importo forfettario di Euro 40 (quaranta/00 euro) a titolo di risarcimento del danno. È fatta salva la prova del maggior danno, che può comprendere i costi sopportati per il recupero del credito.
7.3 “SPLIT PAYMENT”.
7.3.1 L’attuale formulazione dell’art.17-ter del DPR n. 633/1972 come modificato dal D.L. n. 50/2017, dispone l’applicazione dello split payment – per il periodo 1.7.2017 – 30.06.2020, fatte salve future proroghe - anche alle cessioni di beni e prestazioni di servizi effettuate nei confronti delle società controllate, di diritto o di fatto, direttamente dalla Presidenza del Consiglio dei Ministri o dei Ministeri, nonché alle società da queste controllate di diritto, direttamente o indirettamente. Per l’identificazione dei predetti soggetti occorre far rifermento alle liste periodicamente elaborate dal Dipartimento delle finanze del Ministero dell’Economia e delle Finanze, pubblicate sul relativo sito istituzionale. Ove la società ENEL committente, al momento dell’emissione delle fatture per cessioni/prestazioni dalla stessa ricevute, rientri nelle predette liste in corso di validità (ai sensi dell’art. 5-ter del Decreto del Ministero dell’economia e delle Finanze del 23 gennaio 2015 come modificato dal Decreto del Ministero dell’economia e delle Finanze del 27 giugno 2017), le fatture emesse dovranno essere assoggettate al regime della scissione dei pagamenti, salvo che le stesse - per espressa previsione normativa o di prassi - non siano escluse da predetto regime (es. operazioni in reverse charge).
8 Tributi.
8.1 Contestualmente al pagamento di merci/opere/servizi ricevuti, ENEL applicherà una ritenuta d'imposta in conformità alle leggi sull'imposizione e sui contributi di previdenza sociale (con effetto fiscale) applicabile nel Paese di residenza del Fornitore e/o in ottemperanza a ogni altra legge applicabile al Contratto.
8.2 Le Parti si impegnano reciprocamente ad adempiere a tutti gli obblighi, a gestire tutte le formalità amministrative e a consegnare tutti i documenti necessari al regolare pagamento delle imposte, incluse le ritenute e altri obblighi di legge applicabili al Fornitore, in conformità alle procedure previste dalle leggi applicabili. Analogamente, le Parti si impegnano a collaborare al fine di ottenere esenzioni o altri benefici fiscali applicabili al Contratto. Se, per mancata diligenza o per qualsiasi altra causa imputabile al Fornitore, ENEL perde il diritto a un beneficio fiscale, può detrarre l'importo equivalente al beneficio fiscale di cui non ha potuto usufruire dalla somma dovuta al Fornitore.
8.3 Nel caso in cui tra il Paese di residenza del Fornitore e il Paese di residenza della relativa società del Gruppo ENEL sia stata stipulata una convenzione per evitare la doppia imposizione, e qualora il Fornitore richieda l'applicazione delle disposizioni di tale convenzione, quest'ultimo dovrà presentare a ENEL il proprio certificato di residenza fiscale (o qualunque altro certificato/dichiarazione necessari ai fini dell'applicazione della disposizione contro la doppia imposizione). Per consentire la classificazione del tipo di reddito soggetto alla convenzione contro la doppia imposizione, il Fornitore dovrà tenere conto dell'interpretazione operata nel Paese in cui ha sede la società del Gruppo ENEL. In genere questo certificato ha validità per un anno, salvo il caso in cui la legislazione del Paese in cui ha sede la società del Gruppo ENEL preveda un periodo più breve. In ogni caso, alla scadenza di ciascun certificato il dovrà presentarne uno valido.
8.4 Se ENEL deve operare trattenute sui pagamenti dovuti al Fornitore, su richiesta di quest'ultimo ENEL rilascerà un certificato attestante le trattenute operate e, più in particolare, gli importi versati e quelli trattenuti.
8.5. Se i materiali o le attrezzature provengono dall'estero, le imposte saranno versate come segue:
a) Il Fornitore pagherà tutte le imposte e gli oneri applicabili nei paesi da cui provengono le merci e quelle applicabili nei paesi attraverso i quali tali merci hanno transitato fino alla consegna finale, più tutte le imposte dovute nel Paese di destinazione in ragione dei benefici economici ottenuti dalla loro vendita.
b) Il Fornitore pagherà inoltre tutte le spese e le imposte sulle importazioni o equivalenti nel Paese di destinazione, oltre ad altre tasse doganali ufficiali sui materiali e/o le attrezzature importati, salvo diversamente concordato con ENEL.
8.5 Le imposte su materiali o attrezzature nazionali saranno pagate da ENEL o dal Fornitore, a seconda delle disposizioni di legge applicabili
9 Legislazione “Antimafia”
9.1 Il Contratto deve essere eseguito nel rispetto di tutti gli obblighi previsti dalle leggi in materia di prevenzione della delinquenza di tipo mafioso, nonché di tutti gli eventuali vigenti protocolli di legalità stipulati da ENEL.
9.2 Il Fornitore dichiara di aver preso visione e di accettare quanto riportato nei suddetti protocolli e si impegna all’osservanza e all’attuazione degli stessi.
9.3 Fatto salvo quanto sopra, qualora a seguito delle verifiche effettuate dalle Prefetture competenti emergano in merito alle imprese appaltatrici, elementi relativi a tentativi di infiltrazione mafiosa, ENEL, potrà procedere alla risoluzione o recesso del contratto ed alla revoca dei provvedimenti adottati da Enel senza che Il Fornitore possa richiedere alcun risarcimento dei danni nei confronti di ENEL.
10 Trattamento dati personali
10.1 Informativa relativa al trattamento dei dati personali forniti ai fini del contratto
10.1.1 Ai fini del Contratto per le definizioni inerenti i dati personali si deve fare espresso riferimento al Regolamento Ue 2016/679 (di seguito GDPR), ad ogni altra normativa vigente in materia, nonché di attuazione del Regolamento stesso.
10.1.2 Fermo restando quanto sopra, Enel rende noto che i dati personali vengono acquisiti reciprocamente nell’ambito della procedura di affidamento del Contratto e sono trattati per finalità strettamente connesse alla gestione ed esecuzione del Contratto, ovvero per dare esecuzione agli obblighi previsti dalla legge. I dati personali, inoltre, sono raccolti e trattati in modo automatizzato ed in forma cartacea e saranno conservati per tutta la durata del Contratto e successivamente alla sua cessazione, per un tempo non superiore ai termini previsti dalle vigenti disposizioni di legge.
10.1.3 Al riguardo si precisa che:
• Il Titolare del trattamento dei dati in questione è la Società del Gruppo Enel Committente [1] in persona del legale
rappresentante pro tempore (di seguito ENEL);
• L’interessato è la persona fisica i cui dati personali sono trattati ai fini della stipula, gestione ed esecuzione del Contratto (di seguito Interessato);
• I dati personali trattati potranno essere trasmessi a terzi, ovvero sia alle società soggette a direzione e coordinamento di ENEL S.p.A. o a quest’ultima collegate, sia ad altri soggetti. I suddetti terzi destinatari potranno essere nominati Responsabili del trattamento;
• L’Interessato ha facoltà di esercitare i diritti previsti dagli articoli 15-21 del GDPR (diritto di accedere ai propri dati, richiedere la rettifica, la portabilità o la cancellazione degli stessi, richiedere la limitazione del trattamento dei dati che lo riguardano oppure può opporsi al loro trattamento), ove applicabili, contattando il Titolare del trattamento;
• L’Interessato ha il diritto di proporre un reclamo al Garante per la Protezione dei Dati Personali, con sede in Roma, in Xxxxxx Xxxxxxx x. 00 - 00000 Xxxx ; Tel. (x00) 00.000000, email: xxxxxxx@xxxx.xx;
• Il Titolare del trattamento ha nominato il Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del GDPR, i cui dati di contatto sono reperibili sul sito web del Titolare stesso.
10.2 Nomina del Fornitore a Responsabile del trattamento dei dati personali
10.2.1 Nei casi in cui il Fornitore debba trattare dati personali per conto di Enel, con la sottoscrizione del Contratto e per tutta la sua durata, la Società del Gruppo ENEL Committente, in qualità di Titolare del trattamento dei dati, nomina il Fornitore, che accetta, Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’articolo 28 del GDPR. Nel caso in cui il Fornitore sia un Raggruppamento Temporaneo di Imprese (RTI)/Consorzio ordinario o un Consorzio stabile, le imprese componenti il Raggruppamento/Consorzio ordinario o il Consorzio stabile e le imprese esecutrici sono nominati responsabili del trattamento.
10.2.2 Il Fornitore si impegna ad effettuare i trattamenti dei dati personali nel rispetto degli obblighi imposti dal GDPR e delle istruzioni impartite di seguito da ENEL che vigilerà sulla puntuale osservanza delle suddette istruzioni. Resta espressamente inteso che, qualora il Fornitore risulti inadempiente rispetto agli obblighi di cui al presente, ENEL avrà diritto di risolvere unilateralmente il Contratto ex art. 1456 c.c.
10.3 Obblighi e istruzioni
10.3.1 Premesso che il Fornitore, in relazione all’esperienza, capacità ed affidabilità dichiarate, ha fornito idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dati e di essersi adeguato al GDPR, i suoi compiti e responsabilità sono definiti come segue:
a) dovrà trattare i dati personali soltanto su istruzione documentata di ENEL dove si specificheranno il tipo di dati trattati e le categorie di interessati (Allegato GDPR 1);
b) dovrà nominare le Persone Autorizzate al trattamento dei dati personali (“Persone Autorizzate”) per il compimento di qualsiasi operazione, anche di mera consultazione, relativa al trattamento dei dati personali inseriti in archivi informatici o cartacei detenuti dal ENEL, utilizzando l’apposito modello fornito da ENEL (Allegato GDPR 2). Prima dell’inizio delle attività oggetto del Contratto o comunque entro la data che sarà oggetto di specifica comunicazione da parte di ENEL, il Fornitore provvederà inoltre ad inviare ad ENEL una propria dichiarazione avente ad oggetto la nomina e l’elenco nominativo dei propri dipendenti/collaboratori quali “Persone Autorizzate” al trattamento secondo il modello fornito da ENEL (Allegato GDPR 3);
c) Dovrà garantire che le Persone Autorizzate al trattamento dei dati personali si siano impegnate a osservare le prescrizioni di legge, nonché ogni indicazione di Enel e a mantenere riservate informazioni e dati personali appresi in conseguenza, o anche solo in occasione dell’esecuzione del Contratto, salvo espressa autorizzazione di ENEL e fatta eccezione per i casi espressamente previsti dalla legge. ENEL si riserva la facoltà di richiedere al Fornitore l’elenco delle Persone Autorizzate al trattamento al fine di ottemperare agli obblighi previsti dal GDPR o da altre prescrizioni di legge o per motivi di sicurezza nazionale o interesse pubblico;
d) Dovrà adottare tutte le misure di sicurezza di cui all’art. 32 del GDPR, nonché ogni altra misura preventiva dettata dall'esperienza idonee ad evitare trattamenti dei dati non consentiti o non conformi alle finalità per le quali i dati sono trattati; dovrà inoltre fornire idonea collaborazione nella attuazione di dette misure, nella notifica e comunicazione dell’eventuale violazione dei dati personali e nella valutazione di impatto sulla protezione dei dati, al fine di assicurare la riservatezza e la sicurezza dei dati e ridurre al minimo i rischi di distruzione o perdita accidentale dei dati stessi;
e) Dietro espressa richiesta di ENEL dovrà fornire l’elenco dei paesi e dei data center nei quali sono trattati i dati personali per conto di ENEL;
f) Potrà trasferire i dati verso un paese terzo o un’organizzazione internazionale al di fuori dell’Unione Europea solo nei casi previsti e alle condizioni stabilite dal GDPR, salvo che lo richieda il diritto dell'Unione Europea o la legge nazionale cui il Fornitore è soggetto. In tal caso, il Fornitore si impegna ad informare prontamente ENEL circa tale obbligo giuridico, salvo il divieto di divulgazione di tale informazione per rilevanti motivi di sicurezza nazionale o interesse pubblico;
g) Tenuto conto della natura del trattamento, si obbliga ad assistere ENEL con proprie misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo di ENEL di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;
h) Xxxxx assistere ENEL nel garantire il rispetto degli obblighi di cui agli articoli dal 32 al 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
i) Dovrà, su richiesta di ENEL, cancellare e/o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati, dandone prova ad ENEL;
j) Xxx nominato un Responsabile della protezione dei dati ai sensi dell’art. 37 del GDPR dovrà essere comunicato a ENEL;
k) Dovrà mettere a disposizione di ENEL tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del GDPR contribuendo alle attività di revisione, comprese le ispezioni, realizzate da ENEL o da un altro soggetto da questi incaricato;
l) In caso di violazione di dati personali o presunta tale dovrà comunicarlo tempestivamente a ENEL, entro 24 ore dall’avvenuta conoscenza dell’evento e senza ingiustificato ritardo;
m) Xxxxx cooperare con ENEL mettendo a disposizione gratuitamente tutte le informazioni necessarie al fine di assolvere agli obblighi di cui agli artt. 33 e 34 del GDPR, ivi incluse le proprie certificazioni vigenti;
n) Fatto salvo quanto previsto dall’art.30, comma 5 GDPR, dovrà tenere un Registro delle attività di trattamento svolte per conto di Enel ai sensi dell’art. 30 del GDPR, che sia esibito a richiesta eventuale da parte di Enel in caso di eventi oggetto di disciplina agli artt. 33 e 34 del GDPR.
10.3.2 È fatto divieto al Fornitore trattare dati personali per finalità ulteriori rispetto all’esecuzione del Contratto. In particolare, laddove non sia necessario ai fini dell’esecuzione del Contratto, è fatto divieto al Fornitore di effettuare, a titolo esemplificativo ma non esaustivo, estrazioni massive di dati personali, anche mediante l’eventuale utilizzo di “RPA – Robotic Process Automation” (o “automi”), a meno che non siano preventivamente autorizzati dal Committente.
10.4 Risarcimento e Responsabilità
10.4.1 Ai sensi dell’art. 82 del GDPR il Fornitore risponde per il danno causato dal trattamento se non ha adempiuto agli obblighi del Contratto o ha agito in modo difforme o contrario rispetto alle istruzioni di ENEL. Il Fornitore risponderà altresì in prima persona, nei confronti di ENEL e degli interessati, nel caso in cui un Sub-Responsabile da lui incaricato ometta di adempiere ai propri obblighi in materia di protezione dei dati personali.
10.4.2 In caso di danni ulteriori subiti da ENEL in conseguenza del comportamento del Fornitore o di uno dei suoi Sub-Responsabili, ENEL si riserva il diritto di chiedere un ulteriore risarcimento pari sarà proporzionato al danno subito. ENEL o il Fonitore sono esonerati dalla responsabilità, se dimostrano che l’evento dannoso non è in alcun modo loro imputabile.
10.5 Durata
10.6 La predetta nomina a Responsabile del trattamento, sarà revocata automaticamente al Fornitore alla scadenza del rapporto contrattuale o al momento della risoluzione per qualsiasi causa dello stesso, fermo restando il rispetto di tutte le prescrizioni di cui al precedente art.2.1 riguardo ai trattamenti ancora in corso anche per l’adempimento di prescrizioni contrattuali.
10.7 Sub-responsabile
10.7.1 Qualora, per specifiche attività di trattamento, il Fornitore intenda avvalersi per l’esecuzione del Contratto di soggetti esterni alla sua organizzazione, questi dovranno essere nominati sub-responsabili ai sensi dell’articolo 28 comma 4 del GDPR (di seguito Sub-responsabili o Sub-responsabile). I Sub-responsabili dovranno attenersi agli stessi obblighi che il Contratto impone al Responsabile (Allegato GDPR 4). In particolare, nel rispetto di quanto previsto alle lettere b) e c) del paragrafo 10.3.1 “Obblighi e istruzioni”, ciascun Sub-responsabile provvederà a nominare, a sua volta, le eventuali risorse impiegate nei trattamenti quali “Persone Autorizzate” al trattamento dei dati personali, utilizzando l’apposito modello predisposto comprensivo delle relative istruzioni (Allegato GDPR 7).
10.7.2 Prima dell’inizio delle attività oggetto del Contratto e comunque entro la data che sarà oggetto di specifica comunicazione da parte di ENEL, il Sub-Responsabile provvederà inoltre ad inviare ad ENEL una propria dichiarazione avente ad oggetto la nomina e l’elenco nominativo dei propri dipendenti/collaboratori quali “Persone Autorizzate” al trattamento secondo il modello fornito da ENEL (Allegato GDPR 8). All’atto della sottoscrizione del Contratto s’intendono autorizzati i Sub-responsabili (Allegato GDPR 5).
10.7.3 Nel caso in cui il Fornitore, per comprovati e ragionevoli motivi, intenda sub affidare prestazioni ad altri Sub-responsabili, diversi da quelli di cui all’elenco nominativo di cui all’ Allegato GDPR 5, dovrà chiedere prima dell’affidamento del predetto incarico un’autorizzazione ad ENEL come da standard allegato (Allegato GDPR 6). Quest’ultima si riserva di dare un’autorizzazione generale valida per tutta la vigenza del Contratto oppure specifica in funzione della natura del servizio e degli obblighi di cui all’art. 28 del GDPR.
10.7.4 Il fornitore dichiara che i Sub-responsabili tratteranno i dati personali in Paesi facenti parte dell’Unione Europea o in Paesi che garantiscano un’adeguata tutela dei dati personali ai sensi del GDPR. Il Fornitore si obbliga a fornire le coordinate dei propri Data Center nei quali saranno trattati i dati personali da parte dei Sub-responsabili.
10.7.5 In caso di Sub-responsabili che trattino dati negli Stati Uniti, qualora soggetti alla normativa statunitense, il Fornitore ha l’obbligo di garantire la vigenza delle certificazioni Privacy Shield o di altra certificazione richiesta dalle Decisioni di Adeguatezza della normativa USA da parte della Commissione Europea.
10.7.6 Nel caso in cui un Sub-responsabile faccia parte del gruppo multinazionale Del Fornitore, e questo abbia adottato le norme vincolanti di impresa ai sensi dell’art. 47 del GDPR, queste costituiscono garanzia adeguate nei confronti esclusivamente di tale Sub- responsabile.
10.7.7 Qualora i Sub-responsabili intendano trattare i dati personali in Paesi considerati non adeguati ai sensi del GDPR, il Fornitore si impegna a far sottoscrivere al Sub-responsabile le clausole contrattuali standard definite dalla decisione della Commissione Europea in vigore al momento della sottoscrizione del Contratto. A tal fine ENEL conferisce al Fornitore, quale Responsabile stabilito nell’Unione Europea, apposito mandato con rappresentanza affinché provveda alla sottoscrizione delle suddette clausole contrattuali standard.
10.8 Amministratori di sistema
10.8.1 Poiché il personale del Fornitore e/o dei suoi Sub-responsabili, qualora autorizzati potrebbero svolgere funzioni riconducibili alla qualifica di “amministratori di sistema” secondo la normativa vigente, il Fornitore si obbliga a mettere a disposizione, su richiesta di ENEL, l’elenco dei propri collaboratori e/o dei collaboratori dei Sub-responsabili, autorizzati e nominati “amministratori di sistema”, nonché di tutti coloro che possano potenzialmente intervenire sui dati personali di titolarità di ENEL.
10.8.2 Il Fornitore si impegna inoltre a mantenere un registro dei log di accesso, disconnessione e tentativi di accesso dei propri collaboratori e/o dei collaboratori dei Sub-responsabili, qualora autorizzati, che siano stati nominati “amministratori di sistema” e che in tale loro qualità abbiano la potenziale possibilità di intervenire sui dati personali la cui titolarità è di ENEL per un tempo di sei mesi, con impegno di consegnarli a ENEL su semplice richiesta scritta di quest’ultima ed entro 3 giorni di calendario nel format che sarà indicato da ENEL.
11 Assicurazioni
11.1 Il Fornitore si impegna a sottoscrivere o a produrre evidenza di un'assicurazione di responsabilità civile e ambientale con massimali adeguati al rischio, per la copertura di richieste di risarcimento a cose e a persone e/o per danni finanziari subiti da ENEL o da terze parti a causa di difetti o malfunzionamenti delle forniture oggetto del contratto. L’assicurazione per la responsabilità ambientale dovrà coprire i danni ambientali o l'imminente possibilità che questi si verifichino e i relativi costi di prevenzione, riduzione e riparazione, in conformità alle disposizioni della legislazione vigente.
11.2 Le suddette polizze devono contenere una disposizione che obblighi l'impresa di assicurazioni a eseguire i pagamenti direttamente a ENEL.
11.3 Resta inteso che l'esistenza, la validità e l'efficacia delle polizze di assicurazione a cui si fa riferimento in questo contratto rappresentano una condizione essenziale per ENEL e pertanto, qualora il Fornitore non fosse in grado di dimostrare in qualunque momento di disporre di una copertura assicurativa, ENEL avrà facoltà di risolvere il Contratto senza che questo pregiudichi l'obbligo al pagamento del risarcimento dei danni subiti da ENEL.
11.4 Se ENEL ritiene che la copertura assicurativa del Fornitore non sia sufficiente a coprire il rischio, il Fornitore accetta di esaminare e modificare tale copertura in conformità ai requisiti del Contratto.
12 Proprietà industriale ed intellettuale
12.1 Il Fornitore garantisce a ENEL e, su richiesta, s'impegna a dimostrare con opportuna documentazione, l'uso legittimo di marchi commerciali, brevetti, modelli di utilità, know-how o delle necessarie licenze su tali diritti e che tali marchi commerciali e licenze non violano i diritti di terze parti.
12.2 Le licenze devono essere registrate presso gli uffici delle autorità competenti, e ENEL si riserva il diritto di richiedere al Fornitore di produrre la relativa documentazione e/o i certificati.
12.3 Il Fornitore è tenuto a ottenere le concessioni, i permessi e le autorizzazioni necessari dai titolari di brevetti, modelli e relativi marchi commerciali, nonché i diritti di proprietà intellettuale. Il Fornitore è responsabile per il pagamento di diritti d'autore o oneri dovuti su tali basi.
12.4 Qualora in seguito a una controversia proposta dai proprietari o i concessionari dei diritti a cui si fa riferimento in questo articolo, ENEL fosse obbligata a modificare, del tutto o in parte, i materiali che costituiscono l'oggetto della fornitura contrattuale, ciò dovrà avvenire il prima possibile a spese del Fornitore, senza che questo comporti un peggioramento della qualità della fornitura, delle caratteristiche operative o delle garanzie.
12.5 Qualora una terza parte intraprenda un'azione legale nei confronti di ENEL a causa della violazione degli obblighi di cui al presente articolo da parte del Fornitore, il Fornitore si obbliga a tenere ENEL indenne da ogni eventuale responsabilità per violazione di diritti di proprietà intellettuale e a manlevare ENEL da richieste di risarcimento o azioni legali nei suoi confronti, nonché a risarcire ENEL per tutte le perdite e i danni, diretti o indiretti, derivanti da richieste di risarcimento o richieste di danni.
12.6 Eventuali richieste, giudiziali o stragiudiziali, avanzate nei confronti del Fornitore da terze parti in merito a diritti di proprietà intellettuale dovranno essere immediatamente comunicate a ENEL.
12.7 ENEL resta proprietaria di tutti i documenti, disegni, progetti, programmi informatici, e delle relative copie, che abbia eventualmente fornito al Fornitore per consentire l'esecuzione dei servizi contrattuali, nonché di invenzioni, brevetti, modelli di utilità e ogni altro diritto di proprietà intellettuale che è o sarà necessario per l'esecuzione dei servizi contrattuali sulla base della documentazione che ENEL ha messo a disposizione al Fornitore. Il Fornitore ne farà uso esclusivamente per poter procedere all'esecuzione del Contratto e dovrà restituirli a ENEL, in ogni caso adottando opportune precauzioni con riferimento al trattamento, all'uso e al trasferimento di dati volte a garantirne la sicurezza e la non divulgazione, in conformità all'articolo 23 "RISERVATEZZA".
12.8 I Diritti di proprietà intellettuale preesistenti alla stipulazione del Contratto restano esclusivamente di proprietà della Parte proprietaria di detti diritti alla data di perfezionamento del Contratto. L’altra Parte non potrà rivendicare in alcun modo tali diritti. I diritti di proprietà intellettuale preesistenti comprendono tutti i diritti di proprietà industriale e intellettuale inclusi, a titolo non esaustivo, domande di brevetto, brevetti in fase di approvazione, copyright, marchi commerciali, segreti commerciali e industriali e qualunque domanda presentata a tale riguardo in tutto il mondo, progetti e modelli di software e know-how, appartenenti a ciascuna Parte prima della sottoscrizione del Contratto o successivamente acquisiti nell'ambito di progetti paralleli che esulano dall'ambito di applicazione del Contratto.
12.9 In caso di violazione degli obblighi riguardanti la proprietà industriale e intellettuale a cui si fa riferimento nel presente articolo, ciascuna Parte avrà il diritto di risolvere il Contratto senza che questo pregiudichi il suo diritto di intentare azioni legali e richiedere il risarcimento dei danni eventualmente subiti.
13 Condizioni di consegna
Il luogo di consegna delle forniture verrà stabilito nel contratto.
Enel, al momento della consegna dei Prodotti, effettuerà un controllo visivo sugli imballaggi e comunicherà al fornitore l’identificativo dei Prodotti non vendibili al cliente a causa dei danni causati dal trasporto. Nell’ordine immediatamente successivo a quello della suddetta comunicazione Enel chiederà al fornitore l’emissione di una nota di credito di valore corrispondente alla merce danneggiata. Il ritiro dal proprio magazzino dei Prodotti con l’imballaggio danneggiato avverrà di norma a valle delle operazioni di controllo sopra descritte.
Nel caso in cui ENEL non dovesse procedere al controllo visivo del materiale consegnato, accetterà la merce “con riserva”.
14 Obblighi del Fornitore
14.1 Il Fornitore si obbliga per l’intero periodo di durata del Contratto, ad eseguire la prestazione oggetto del Contratto stesso secondo le condizioni, le modalità, i termini e le prescrizioni contenute nei documenti facenti parte del Contratto e si impegna, inoltre, a garantire a ENEL che tutte le attività saranno svolte secondo la migliore diligenza professionale, le migliori tecniche disponibili, a regola d’arte e avvalendosi di personale qualificato e idoneo all’espletamento delle attività.
14.2 Il fornitore si obbliga inoltre a:
• eseguire le prestazioni oggetto del Contratto, senza interferire o recare intralci o interruzioni allo svolgimento dell’attività lavorativa di ENEL e/o di terzi;
• dare immediata comunicazione ad ENEL di ogni circostanza che in qualunque modo interferisca o possa interferire sull’esecuzione delle prestazioni oggetto del Contratto;
• adottare, nell’esecuzione delle prestazioni oggetto del Contratto, ogni precauzione ed ogni iniziativa necessaria per evitare danni alle persone ed alle cose, restando a suo carico ogni attività necessaria a riparare i danni arrecati ad ENEL e/o a terzi, ivi compresi quelli cagionati dal personale proprio o dai lavoratori a vario titolo impegnati nell’esecuzione del Contratto;
• curare direttamente l’ottenimento di tutti i permessi e le autorizzazioni necessari per l’espletamento delle attività oggetto del Contratto, ad eccezione di quelli che la legge pone espressamente ad esclusivo carico di ENEL, per i quali, comunque, il Fornitore deve fornire, se richiesta, la necessaria assistenza e/o documentazione;
• comunicare immediatamente ad ENEL ogni variazione intervenuta rispetto a quanto riportato nelle dichiarazioni rese ad ENEL ai fini dell’affidamento del Contratto. Inoltre, il Fornitore accetta che ENEL potrà verificare in qualsiasi momento la veridicità e la attualità delle dichiarazioni fornite, e si impegna a produrre su richiesta di ENEL, sin dalla stipula del contratto, eventuale idonea ulteriore documentazione. Qualora dovesse emergere il mancato aggiornamento delle informazioni e/o la loro non veridicità ENEL, potrà, fatto salvo il diritto al risarcimento del danno, adottare - a suo insindacabile giudizio - provvedimenti di diniego/sospensione/esclusione dal sistema di qualificazione di ENEL, nonché di risoluzione immediata e di diritto ai sensi dell’art. 1456 c.c., del Contratto/i Contratti assegnati sulla base delle dichiarazioni infedeli.
14.3 Resta fermo, pertanto, che il Fornitore assume su di sé tutti gli ulteriori obblighi ed oneri anche se non espressamente indicati nel Contratto ma necessari ai fini dell’esecuzione delle prestazioni o, comunque, opportuni per un corretto e completo adempimento delle obbligazioni assunte.
14.4 Il Fornitore, durante l’esecuzione del contratto, è tenuto a comunicare preventivamente ad ENEL eventuali modifiche di uno o più prodotti presenti nel catalogo ed oggetto del contratto, evidenziando tutte le novità introdotte rispetto alla fornitura originaria oggetto del contratto. Il fornitore garantisce in ogni caso, che le novità introdotte non pregiudicheranno in alcun modo l’installazione del prodotto rispetto alla versione precedente e non creeranno pregiudizio alla sicurezza e all’ambiente. ENEL si riserva di valutare le modifiche proposte prima dell’accettazione. In ogni caso il fornitore si impegna a mantenere invariati i prezzi originariamente riportati nel contratto.
15 Penali
15.1 Il Fornitore si impegna a eseguire la Fornitura con la diligenza e la cura volute dall’art. 1176 del codice civile e sarà, quindi, responsabile di qualsiasi conseguenza dannosa che abbia a verificarsi nel corso dello stesso. Nel caso in cui si verifichino inadempienze contrattuali, Enel applicherà al Fornitore le penali nei casi e secondo gli importi e le modalità indicate nel Contratto
15.2 Enel, a seguito dell’effettuazione di controlli, potrà applicare al Fornitore le penali relative alla valutazione del livello prestazionale di ciascuna Fornitura, secondo gli importi e le modalità indicate nel Contratto
15.3 Nelle ipotesi in cui gli inadempimenti fossero constatati mediante analisi dei dati Enel dovrà far pervenire al Fornitore per iscritto le osservazioni e le contestazioni rilevate. Il Fornitore in relazione alle contestazioni mosse, è tenuto a fornire giustificazioni scritte, entro 8 (otto) giorni dalla data della comunicazione. Trascorso il termine assegnato o, comunque, qualora le contro deduzioni non saranno ritenute valide, Enel sarà libera di applicare la penale.
15.4 La contestazione del disservizio sarà sempre fatta per iscritto da Enel, che riservandosi tutte le verifiche del caso, anche in contraddittorio con il Fornitore se necessario, applicherà la penale nel caso ne sussistano gli estremi. Enel si riserva comunque la possibilità di intervenire in danno per garantire, in mancanza del Fornitore, l’esecuzione dei servizi.
15.5 L’applicazione delle penali potrà avvenire trattenendo l’importo delle medesime dalle somme comunque e a qualsiasi titolo dovute da Enel e/o escutendo parzialmente o integralmente la cauzione eventualmente prestata a titolo di garanzia dal Fornitore.
16 Sospensione, recesso e risoluzione del contratto.
16.1 Sospensione.
16.1.1 Se, per qualunque ragione, ENEL ritiene necessario o è obbligata a sospendere provvisoriamente l'intera o parte dell'esecuzione del Contratto, è tenuta a inviare una comunicazione scritta al Fornitore specificandone la causa e fornendo una stima della durata di tale sospensione. La sospensione diverrà effettiva dalla data indicata nella notifica. A partire da tale data il Fornitore dovrà cessare le attività, stoccare e conservare i materiali, fermi restando tutti gli obblighi che derivano dalla legislazione vigente e/o previsti dal Contratto.
16.1.2 La ripresa della Fornitura dovrà essere preventivamente comunicata da ENEL tramite una notifica scritta al Fornitore, e non dovrà essere posteriore alla data in essa indicata. Il periodo restante per il completamento della parte sospesa dell'esecuzione del Contratto inizierà a decorrere da tale data. Il Fornitore avrà il diritto di ricevere il pagamento, come stabilito da Contratto, per le attività/i progetti già eseguiti. Il pagamento delle attività/dei progetti che, risultano essere in fase di progressione avanzata e non sono previsti da Contratto, sarà , previa notifica, negoziato tra le Parti.
16.2 Recesso
16.2.1 ENEL può recedere dal Contratto in qualunque momento, a prescindere dallo stato di avanzamento delle forniture. Il recesso deve essere comunicato per iscritto con avviso di ricezione e ha efficacia a partire dalla data in cui ENEL comunica quali Forniture debbano essere completate e quali debbano essere interrotte immediatamente. Le forniture regolarmente consegnate dal Fornitore prima della data di annullamento saranno pagate da ENEL in base ai prezzi contrattuali. ENEL rimborserà al Fornitore per tali attività, previo esame di opportune evidenze fornite dal Fornitore di quali sono state interrotte e quali non sono state svolte. A tale scopo ENEL rimborserà l'importo minore tra (i) l'importo corrispondente alle spese sostenute dal Fornitore in relazione a tali attività, per ordini divenuti irrevocabili, e (ii)l'importo corrispondente all'effettivo danno economico subito dal Fornitore.
stesso.
16.2.2 Il Fornitore ha facoltà di recedere dall'esecuzione del Contratto in conformità alle disposizioni di legge applicabili al Contratto
16.3 Risoluzione.
16.3.1 ENEL ha facoltà di risolvere il Contratto secondo le disposizioni di legge e/o in tutti i casi previsti dal Contratto e/o nei casi
seguenti, in presenza di una causa che impedisca o influisca in modo rilevante sulla corretta esecuzione del Contratto:
a) lo scioglimento, la trasformazione, la riduzione di capitale o modifiche rilevanti degli organi di governo societario di una delle Parti, nel caso in cui tali modifiche abbiano un impatto negativo sull'esecuzione del Contratto, o qualora tali modifiche da parte del Fornitore contravvengano alle "NORME DI COMPORTAMENTO ETICO" di ENEL;
b) la riduzione della solvibilità economica/finanziaria o qualunque altro tipo di difficoltà legale o di qualsiasi altra natura che influisca sul regolare adempimento degli obblighi di una delle Parti;
c) l'interruzione o la sospensione ingiustificata da parte del Fornitore dell'esecuzione del Contratto;
d) il fatto che l'importo totale delle penali applicate per ritardi nell'esecuzione delle attività abbia raggiunto la soglia massima specificata nel Contratto o qualora il ritardo da parte del Fornitore sia tale da non soddisfare pienamente l'intento contrattuale stabilito da ENEL;
e) l'impossibilità del Fornitore di ottenere per tempo i certificati e le autorizzazioni necessari alla corretta esecuzione del Contratto, con riferimento ai propri prodotti e attività, o la loro eventuale perdita durante il periodo di validità del Contratto;
f) l'incapacità del Fornitore di porre rimedio a eventuali violazioni della specifica tecnica corrispondente e/o la ripetizione di errori o difetti in violazione delle istruzioni impartite da ENEL;
g) l'incapacità di eseguire o la violazione da parte del Fornitore e/o dei suoi Subfornitori e/o di una terza parte nominata dal Fornitore delle attività contrattuali o di obblighi previsti dalla legislazione vigente;
h) la mancata ottemperanza a obblighi riguardanti la proprietà intellettuale, la riservatezza e il trattamento dei dati personali, in conformità alle leggi applicabili al Contratto;
i) l'accertamento, in qualunque momento successivo alla sottoscrizione del Contratto, di omissioni o imprecisioni nella fornitura di informazioni o dichiarazioni da parte del Fornitore in riferimento alla conformità a condizioni legali, economiche, finanziarie, tecniche o contrattuali;
j) negligenza nell'esecuzione del Contratto per ragioni attribuibili al Subfornitore o a persone nominate del Fornitore e/o il mancato pagamento del risarcimento di danni causati a qualunque soggetto;
k) qualunque altra violazione da parte del Fornitore che potrebbe impedire o avere un effetto negativo rilevante sulla corretta esecuzione del Contratto, o qualunque altra ragione specificata nel Contratto tra le possibili cause di risoluzione;
l) il rifiuto del Fornitore di svolgere attività previste dal Contratto;
m) il rifiuto del Fornitore di riprendere le attività contrattuali di cui ENEL (per qualsiasi ragione) aveva ordinato la sospensione, dopo che ENEL ne ha ordinato la ripresa;
n) l'esecuzione da parte del Fornitore di atti che potrebbero nuocere all'immagine di ENEL;
o) azioni, omissioni, comportamenti o situazioni riconducibili al Fornitore che potrebbero rappresentare un rischio per la reputazione di ENEL e che compromettano la fiducia che ENEL ripone nell'onestà e nell'integrità del Fornitore, nonché l'affidabilità di quest'ultimo rispetto alla sua capacità di svolgere le attività in conformità alle disposizioni del Contratto;
16.3.2 Nel caso in cui il Fornitore ometta di informare ENEL in merito alle situazioni sopra descritte, e fermo restando il diritto di quest'ultimo di risolvere il Contratto, ENEL potrà sospendere i pagamenti nei confronti del Fornitore per adempiere agli obblighi contrattuali verso terze parti derivanti dalla corretta e completa esecuzione del Contratto da parte del Fornitore.
16.3.3 Nei casi sopra descritti ENEL può risolvere il Contratto a decorrere dalla data in cui invia una comunicazione scritta - anche in formato elettronico se consentito dal Contratto – al Fornitore, o può comunque richiedere la regolare esecuzione senza che questo pregiudichi il suo diritto di richiedere il risarcimento dei danni per perdite o danni eventualmente subiti.
16.3.4 Qualora il Contratto venga risolto per ragioni attribuibili al Fornitore, ENEL ha il diritto di acquisire i materiali che il medesimo abbia già prodotto, del tutto o in parte, o consegnato, pagando il prezzo corrispondente, ove ciò sia previsto dal Contratto.
16.3.5 In caso di in adempimento da parte del Fornitore, fermo restando il diritto di Enel di applicare penali o adire le vie legali per chiedere il risarcimento dei danni, ENEL potrà adottare le misure seguenti:
a) sospendere i pagamenti ancora dovuti al Fornitore;
b) escutere la garanzia economica prestata dal Fornitore.
16.4 RISOLUZIONE ED ESECUZIONE IN DANNO
16.4.1 Il Contratto si intende risolto di diritto ai sensi e per gli effetti dell'art. 1456 del Codice Civile, lasciando impregiudicata ogni azione per il risarcimento dei danni, al verificarsi di una delle seguenti circostanze:
a) applicazioni di penali nei limiti previsti nel Contratto;
b) violazione da parte del Fornitore e/o dei suoi dipendenti degli obblighi di riservatezza di cui all’ art.23;
c) qualora fosse riscontrato che il Fornitore utilizzi personale non dipendente in violazione delle disposizioni vigenti;
d) mancata copertura assicurativa dei rischi, durante la vigenza del Contratto e durante il periodo di efficacia delle garanzie
e) cessione a terzi del Contratto o dei crediti nascenti dal Contratto in violazione dell’art. 19 e art 20;
f) nel caso di non veridicità delle dichiarazioni rese in merito al rispetto degli obblighi derivanti dalla legge n° 68/99 (Norme per il diritto al lavoro dei disabili art. 17) e/o in merito ai reati contro la personalità individuale e/o in merito ai reati di corruzione);
16.4.2 Inoltre, in merito alla risoluzione, gli altri inadempimenti diversi da quelli sopra indicati verranno comunque constatati facendo pervenire al Fornitore per iscritto le osservazioni e le contestazioni rilevate. Il Fornitore in relazione alle contestazioni mosse, è tenuto a fornire
giustificazioni scritte, entro 15 (quindici) giorni dalla data della comunicazione. In entrambi i casi, trascorso il termine assegnato o, comunque, qualora le controdeduzioni non saranno ritenute valide, Enel potrà risolvere il Contratto ai sensi del presente articolo.
16.4.3 In tutti i casi di risoluzione del Contratto. Enel avrà diritto di trattenere definitivamente le somme oggetto della garanzia escussa, fermo restando il diritto di richiedere il risarcimento ’integrale del danno in caso di insufficienza delle somme escusse. Gli effetti della risoluzione non si estenderanno alle prestazioni già eseguite ai sensi dell’art. 1458 c.c.
16.4.4 Il Contratto potrà essere risolto di diritto da Enel esplicitamente anche per i seguenti motivi:
• nel caso in cui taluno dei componenti l’organo di amministrazione o l’Amministratore Delegato o il Direttore Generale o il Responsabile Tecnico del Fornitore siano condannati, con sentenza passata in giudicato, per delitti contro la Pubblica Amministrazione, l’ordine pubblico, la fede pubblica o il patrimonio, ovvero siano assoggettati alle misure previste dalla normativa antimafia;
• nel caso in cui il Fornitore non risulti avere, ovvero perda i requisiti minimi e le Licenze/Autorizzazioni di legge necessarie per l’espletamento della Fornitura, richiesti per l’erogazione del Fornitura ovvero per la partecipazione alla Gara/procedura di affidamento attraverso la quale il medesimo Fornitore si è aggiudicato il Contratto, nonché quelli richiesti per la stipula del Contratto medesimo.
17 Garanzia.
I prodotti acquistati sono idonei allo scopo cui sono destinati e sono pertanto soggetti alla garanzia legale di conformità prevista e disciplinata agli articoli 128 e seguenti del Decreto Legislativo n. 206/2005 (Codice del Consumo).
Fermo quanto precede, per i prodotti acquistati, Enel si impegna a riconoscere al consumatore eventuali benefici derivanti dalla garanzia convenzionale del Produttore se di maggior favore rispetto alla garanzia legale. Tutte le condizioni, l’oggetto e la durata della garanzia convenzionale sono disciplinate nella lettera d'ordine alla clausola "Garanzia Convenzionale”. Il cliente potrà altresì consultare in qualsiasi momento, le suddette condizioni sul sito web di Enel (xxxxx://xxx.xxxxxxxxxx.xxx/xx/xx), sul sito web del singolo Produttore, o su richiesta, ottenerne una copia recandosi presso un punto vendita fisico di prodotti e servizi di Enel .
18 Formazione
18.1 Allo scopo di formare adeguatamente i soggetti operanti per conto di Enel, il Fornitore si impegna a mettere a disposizione della rete di installazione e manutenzione di Enel le proprie aule di formazione o aule in sedi esterne ed il personale esperto di prodotto: tali corsi saranno erogati a titolo gratuito
18.2 Le sessioni saranno focalizzate sulle peculiarità dei Prodotti e della loro installazione, nonché sulle principali cause di guasto e loro metodi di diagnostica e risoluzione.
18.3 Il Fornitore è autorizzato a testare le conoscenze e le capacità acquisite dai tecnici installatori e manutentori anche attraverso quiz, domande e prove pratiche. Nel caso in cui il Fornitore ritenga che un particolare installatore/manutentore non abbia tutti i requisiti necessari per effettuare le operazioni di manutenzione straordinaria, ha la facoltà di segnalare ad Enel lo specifico soggetto
18.4 Le sessioni di formazione, numero dei partecipanti e luogo di svolgimento degli incontri saranno preventivamente concordati per iscritto con Enel.
19 Cedibilità dei crediti
19.1 La cessione dei crediti derivanti dal Contratto è ammessa esclusivamente nei confronti delle Banche e degli Intermediari Finanziari iscritti negli appositi albi di cui al D.Lgs 1 settembre 1993, n. 385.
19.2 La notifica ad ENEL dell’avvenuta cessione del credito derivante dal Contratto deve essere sottoscritta esclusivamente tramite un certificato di firma digitale ed inviata a mezzo PEC all’indirizzo della società ENEL interessata, indicato nel Contratto, non oltre 30 giorni prima del termine per il pagamento della fattura relativa al credito ceduto.
19.3 Ai sensi del Contratto, per cessione di crediti si intende la cessione di tutti i crediti derivanti dal Contratto stesso a favore di un unico cessionario in possesso dei requisiti di cui al punto 19.1. Qualora il Fornitore intenda cedere i singoli crediti, derivanti dal Contratto, a più cessionari dovrà comunicarlo preventivamente, a mezzo PEC, ad ENEL, fatti salvi gli obblighi di cui al punto 19.2.
19.4 Le coordinate bancarie (sulle quali verranno effettuati i pagamenti) dovranno essere sempre quelle del cessionario. La cessione verrà notificata dal cedente o dal cessionario (con le modalità previste nel punto 19.2); nel caso sia effettuata dal cessionario la notifica dovrà contenere in allegato l’atto di cessione riportante l’accettazione del cedente sottoscritta esclusivamente tramite un certi ficato di firma digitale.
19.5 Resta inteso che ENEL si riserva di non procedere al pagamento della fattura ceduta nel caso in cui il cessionario non risulti in possesso dei requisiti di cui al punto 19.1. del presente articolo e nel caso in cui non abbia formalizzato la comunicazione secondo le modalità previste nei punti 19.2, 19.3 e 19.4. Resta salva la facoltà per ENEL, in qualità di debitore ceduto, di opporre al cessionario tutte le eccezioni che sarebbero state opponibili al cedente.
20 Cessione del contratto
20.1 È vietata, da parte del Fornitore, la cessione anche parziale del Contratto
21 Clausole etiche.
21.1 Generalità.
21.1.1 Il Gruppo ENEL nella conduzione degli affari e nella gestione dei rapporti si riferisce ai principi contenuti nel proprio Codice Etico, nel Piano Tolleranza Zero contro la corruzione, nel Modello Organizzativo ai sensi del D.Lgs 231/2001 e nella Policy sui Diritti Umani consultabili presso l’indirizzo:
xxxx://xxxxxxxxxxxxxxxxx.XXXX.xxx/xx-XX/xxxxxxxxx/xxxxxxxxxxxxx/.
21.1.2 Il Fornitore nella conduzione dei propri affari e nella gestione dei rapporti con xxxxx si riferisce a principi equivalenti
21.1.3 Il Fornitore dichiara di prendere atto degli impegni assunti da ENEL nel Codice Etico e dichiara di impegnarsi al rispetto degli obblighi di legge in tema di tutela del lavoro minorile e delle donne; di parità di trattamento, di divieto di discriminazione, abusi e molestie; di libertà sindacale, associazione e rappresentanza, lavoro forzato, sicurezza e tutela ambientale e condizioni igienico sanitarie, nonché al rispetto delle vigenti condizioni normative, retributive, contributive, assicurative, fiscali e ciò con riferimento a tutti i lavoratori impiegati a qualsiasi titolo nell’esecuzione del Contratto. Resta inteso che trovano applicazione le convenzioni ILO o la normativa vigente nel Paese in cui le attività devono eseguirsi se più restrittive.
21.1.4 In tale ambito, ENEL si riserva la facoltà di effettuare qualsiasi attività di controllo e monitoraggio volta a verificare il rispetto delle obbligazioni di cui sopra sia da parte del Fornitore sia dei suoi eventuali subappaltatori o soggetti dallo stesso incaricati dell'esecuzione del Contratto, e di risolvere immediatamente il Contratto in caso di accertate violazioni delle suddette obbligazioni.
21.1.5 ENEL aderisce al Global Compact e, in conformità al Principio numero dieci, è impegnata a contrastare qualunque forma di corruzione. Pertanto, ENEL proibisce il ricorso a qualsiasi promessa, offerta o richiesta di pagamento illecito, in denaro o altre utilità, allo scopo di trarre un vantaggio nelle relazioni con i propri stakeholder e tale divieto è esteso a tutti i suoi dipendenti. Il Fornitore dichiara di aver preso atto degli impegni assunti da ENEL e si impegna a sua volta a non fare promesse, offerte o richieste di pagamento illecito nel corso dell'esecuzione del Contratto nell'interesse di ENEL e/o a vantaggio dei suoi dipendenti.
21.2 Dichiarazione Conflitto d’interessi.
21.2.1 Durante l'esecuzione del Contratto, il Fornitore si impegna ad agire nell'esclusivo interesse di ENEL, evitando situazioni che potrebbero causare un conflitto di interessi in relazione alle attività da eseguire.
21.2.2 Per tutta la durata del Contratto, il Fornitore si impegna ad adottare una condotta idonea ad evitare l’insorgere di conflitti di interesse. Qualora si determinasse una qualunque situazione idonea a generare un qualunque conflitto di interessi - ferma restando la facoltà di ENEL di risolvere il Contratto- il Fornitore si impegna a darne prontamente comunicazione scritta ad ENEL e ad attenersi alle ragionevoli istruzioni di quest’ultima, che saranno dettate previa consultazione e valutazione delle esigenze motivatamente rappresentate dal Fornitore.
21.2.3 Il Fornitore, con riferimento ai due punti precedenti, si obbliga a mantenere aggiornata la relativa dichiarazione rilasciata ad ENEL.
21.3 Dichiarazione ex parte speciale “D reati contro la personalità individuale” 1.
21.3.1 Il Fornitore, con riferimento agli obblighi previsti nelle generalità in tema di tutela dei diritti della personalità individuale, si impegna a sottoscrivere la relativa dichiarazione di cui all’Allegato 6 o 7 del presente documento.
21.4 Clausola risolutiva espressa per reati ex Dlgs 231/01
21.4.1 Con riferimento alle “GENERALITÀ” e ai principi ivi espressi e ai relativi obblighi assunti dal Fornitore contro la corruzione, qualora fosse accertato, con sentenza passata in giudicato, che il Fornitore 2 abbia commesso illeciti amministrativi e/o uno o più reati previsti dal Dlgs n. 231/2001, ENEL sarà legittimata a risolvere il Contratto con effetto immediato, ai sensi e per gli effetti di cui all’art 1456 cod.civ., fermo restando il risarcimento dei danni eventualmente causati a qualunque Società del Gruppo quali, ad esempio, quelli derivanti dall’applicazione di sanzioni, previsti dal citato Decreto
21.5 Dichiarazione di riservatezza e Norme per l’utilizzo dei sistemi informatici di ENEL3.
21.5.1 Il Fornitore si impegna al rispetto degli obblighi previsti nell’Allegato 8 Italia al presente documento. Si obbliga, altresì, a consegnare ad ENEL le dichiarazioni di cui al medesimo Allegato, debitamente sottoscritte.
21.6 Clausola di Onorabilità
a) Con la presentazione dell'offerta e/o la sottoscrizione del Contratto, l'Offerente/Fornitore4 dichiara:
1. di prendere atto degli impegni assunti da ENEL S.p.A. e dalle Società da essa controllate direttamente o indirettamente (di seguito “ENEL”), nel Codice Etico, nel Piano Tolleranza Zero contro la corruzione (Piano TZC), nella Policy sui Diritti Umani, e di attenersi a principi equivalenti nella conduzione degli affari e nella gestione dei rapporti con i terzi;
2. 5 di non essere a conoscenza di essere sottoposto a procedimenti penali per reati fiscali, reati contro la pubblica amministrazione, reati contro la proprietà, reati contro la libertà personale, l'ordine pubblico, reati ambientali;
1 La dichiarazione è richiesta nei casi di :
(1) conclusione di contratti con il fornitore che utilizzano personale proveniente da Paesi extracomunitari;
(2) conclusione di contratti con Internet Provider riguardanti la fornitura di contenuti digitali.
2 La Persona Giuridica.
3 La clausola si applica ai contratti che prevedano l’accesso ai locali ENEL e/o di accedere e trattare dati e informazioni del Gruppo ENEL nonché l’utilizzo, da parte del Fornitore, dei sistemi informatici di ENEL.
4 Il Legale rappresentante della Società per se stesso e per (a) il titolare e il direttore tecnico, se si tratta di impresa individuale; (b) i soci e il direttore tecnico se si tratta di società in nome collettivo; (c) i soci accomandatari e il direttore tecnico se si tratta di società in accomandita semplice; (d) gli amministratori muniti di potere di rappresentanza e il direttore tecnico e il socio unico (persona fisica), ovvero il socio di maggioranza in caso di società con meno di quattro soci, se si tratta di altro tipo di società o consorzio, per la Società ove domicilia la carica e, ove esistente, per le Società controllante e (e) il titolare e il direttore tecnico, se si tratta di impresa individuale; (f) i soci e il direttore tecnico se si tratta di società in nome collettivo; (g) i soci accomandatari e il direttore tecnico se si tratta di società in accomandita semplice; (h) gli amministratori muniti di potere di rappresentanza e il direttore tecnico e il socio unico (persona fisica), ovvero il socio di maggioranza in caso di società con meno di quattro soci, se si tratta di altro tipo di società o consorzio, della società Controllante.
5 Per sé stesso e per tutte le persone indicate nella nota 1.
3. 2 di non essere soggetto ad indagini penali in relazione a qualsiasi fatto, materia, condotta penale illecita per reati fiscali, reati contro la pubblica amministrazione, reati contro la proprietà, reati contro la libertà personale, l'ordine pubblico, reati ambientali;
4. di prendere atto e autorizzare che - ai fini della valutazione della condotta professionale del dichiarante e della Società interessata, ai sensi del secondo e terzo punto della presente lettera a) - ENEL potrà anche acquisire autonomamente ulteriori informazioni, in considerazione della necessaria sussistenza del vincolo fiduciario con la società interessata.
b) L'Offerente/Fornitore si impegna ad informare prontamente ENEL ed a fornire qualsiasi documentazione pertinente:
1) nel caso venisse a conoscenza di essere sottoposto a procedimenti penali di cui al secondo punto della precedente lettera a);
2) nel caso fosse oggetto di indagini penali di cui al terzo punto della precedente lettera a).
ENEL si riserva il diritto di analizzare a suo insindacabile giudizio, le informazioni di cui sopra, al fine della valutazione della condotta professionale dell'Offerente/Fornitore stesso e della Società interessata
22 Global compact.
22.1 Il Fornitore s'impegna ad aderire e ad agire in piena conformità ai principi del Global Compact, garantendo che tutte le attività svolte dal suo personale, o da quello dei suoi Subappaltatori, siano in linea con quanto sopra specificato. I principi del Global Compact sono i seguenti:
a) DIRITTI UMANI.
Uno: Alle imprese è richiesto di promuovere e rispettare i diritti umani universalmente riconosciuti nell'ambito delle rispettive sfere di influenza.
Due: Alle imprese è richiesto di assicurarsi di non essere, seppure indirettamente, complici in abusi dei diritti umani.
b) WORK.
Tre: Alle imprese è richiesto di sostenere la libertà di associazione dei lavoratori e riconoscere il diritto alla contrattazione collettiva.
Quattro: Alle imprese è richiesto di eliminare tutte le forme di lavoro forzato e obbligatorio. Cinque: Alle imprese è richiesta l'effettiva eliminazione del lavoro minorile.
Sei: Alle imprese è richiesta l'eliminazione di ogni forma di discriminazione in materia di impiego e professione.
c) AMBIENTE.
Sette: Alle imprese è richiesto di sostenere un approccio preventivo nei confronti delle sfide ambientali.
Xxxx: Alle imprese è richiesto di intraprendere iniziative che promuovano una maggiore responsabilità ambientale. Nove: Alle imprese è richiesto di incoraggiare lo sviluppo e la diffusione di tecnologie che rispettino l'ambiente.
d) CORRUZIONE.
Dieci: Le imprese si impegnano a contrastare la corruzione in ogni sua forma, incluse l'estorsione e le tangenti.
22.2 Il Fornitore s'impegna a rispettare la legislazione vigente che disciplina i summenzionati principi e a informare ENEL in merito a situazioni che potrebbero causare l'impossibilità di adempiere a tali principi, nonché ai piani attuati per porvi rimedio.
22.3 Per la durata del Contratto, il fornitore accetta di consentire a ENEL di verificare il grado di conformità ai requisiti di cui al presente articolo. ENEL avrà facoltà di risolvere il Contratto, per ragioni attribuibili al Fornitore, nei casi in cui è giustificatamente e sufficientemente certa che il Fornitore o i suoi Subfornitori abbiano violato i suddetti principi.
23 Riservatezza.
23.1 Tutte le informazioni che ciascuna Parte mette a disposizione (verbalmente, per iscritto, in formato elettronico o in qualunque altro modo) per gli scopi e/o durante l'esecuzione del Contratto, al pari di ogni altra informazione di cui ciascuna Parte potrebbe venire a conoscenza in ragione di altri contratti sottoscritti tra le Parti e/o nell'ambito di trattative precontrattuali, e tutti i documenti, le informazioni e le conoscenze specifiche (indipendentemente dal modo in cui sono state rispettivamente redatti, ottenute o sviluppate) potranno essere usati al solo scopo di eseguire il Contratto e hanno carattere di riservatezza.
23.2 A titolo di esempio, il termine "riservato" si riferisce, a titolo non esaustivo, a tutte le informazioni riguardanti strategie commerciali, informazioni su prodotti e/o processi di produzione (progetto, studio e sviluppo), mezzi di produzione, informazioni di vendita, strategie di sviluppo e gestione della clientela ecc. sono ritenuti riservati anche i documenti economici, finanziari e tecnici e i processi, i brevetti, le licenze e ogni altra informazione che le Parti abbiano fornito alla Controparte nell'ambito dell'esecuzione del Contratto.
23.3 Le informazioni riservate non possono essere rivelate senza il previo consenso scritto e l'autorizzazione esplicita della Parte che le possiede, a esclusione dei casi in cui la Parte destinataria sia tenuta a trasmetterle per un obbligo di legge o per ordine di un'autorità di competenza, o quando un rifiuto in tal senso costituirebbe un illecito. In assenza del consenso scritto e dell'autorizzazione esplicita della Parte che possiede le informazioni riservate, la Controparte non può copiare, riprodurre, tradurre, modificare, adattare, sviluppare, scomporre, separare, eseguire operazioni di reverse engineering o qualunque operazione volta a estrarre il codice sorgente - del tutto o in parte - delle informazioni
riservate fornite.
23.4 Sono informazioni riservate tutte le informazioni che riguardano una Parte messe a disposizione della Controparte prima o durante l'esecuzione del Contratto dagli amministratori, dai dirigenti o dai dipendenti della Parte che le possiede, dai suoi Subfornitori o dalle sue controllate e rispettivi amministratori, dirigenti o dipendenti o Subfornitori (di seguito i "Rappresentanti della Parte che possiede le informazioni"). Le informazioni riservate includono anche tutte le informazioni che riguardano i Rappresentanti della Parte che possiede le informazioni, che tale Parte o i suoi Rappresentanti abbiano messo a disposizione della Controparte prima o durante l'esecuzione del Contratto. A tal fine:
• il termine "controllata" si riferisce a un'impresa controllata da una delle Parti, o da una delle Parti insieme ad altre parti terze, per tutta la durata di tale controllo e per il periodo in cui tali informazioni vengono distribuite;
• con il termine "controllo" si intende la capacità di controllare direttamente o indirettamente la gestione e la strategia della società, e sono inclusi tutti i casi in cui una società del gruppo di società di ciascuna Parte possiede oltre il cinquanta percento (50%) del capitale sociale o delle azioni con diritto di voto, direttamente o indirettamente.
23.5 Non saranno considerate riservate:
• informazioni di cui la Parte destinataria è in grado di dimostrare fosse già legittimamente al corrente prima dell'inizio dell'esecuzione del Contratto;
• informazioni che la Parte destinataria è in grado di dimostrare di aver ricevuto da terze parti non soggette ad accordo di riservatezza.
23.6 Ciascuna delle Parti:
• dovrà limitare la divulgazione di informazioni riservate esclusivamente a rappresentanti che abbiano l'effettiva necessità di conoscerle in ragione del loro coinvolgimento nell'esecuzione del Contratto;
• è tenuta a vincolare i propri rappresentanti e a garantire che essi agiscano nel pieno rispetto degli obblighi di cui al presente articolo;
• sarà ritenuta responsabile per atti o omissioni dei suoi rappresentanti che comportino una violazione dell'obbligo di riservatezza.
23.7 La Parte destinataria delle informazioni riservate ha l'obbligo di creare e gestire dati fisici e logici usando le migliori tecniche e pratiche disponibili a livello internazionale, al fine di garantire la protezione di tali dati da distruzione, manipolazione, accesso o riproduzione non autorizzati e, dopo la scadenza del Contratto, di restituire tutti i dati, i documenti e le informazioni fornite dalla Controparte o di cui dispone per poter svolgere le attività contrattuali, nonché di distruggere tutte le copie e i file in suo possesso, salvo il caso in cui abbia ricevuto disposizioni scritte contrarie dalla Parte che ha fornito le informazioni riservate.
23.8 Entrambe le Parti garantiscono che le informazioni riservate non saranno rivelate durante l'esecuzione del Contratto e per un periodo di cinque (5) anni dalla scadenza, salvo qualora sia stato concordato un termine diverso nel Contratto o nei casi in cui ciò sia disposto dalle leggi vigenti o da un'autorità competente. Se necessario, la Parte a cui viene chiesto di rivelare le informazioni riservate informerà immediatamente la Controparte in merito a tale richiesta (ove ciò sia consentito dalla legge), in modo che essa possa adottare le misure necessarie a tutelare i propri diritti. Le Parti riveleranno solo le informazioni richieste ai sensi di legge e dovranno farsi rilasciare dal destinatario delle informazioni una dichiarazione con cui quest'ultimo si impegni a trattarle con riservatezza.
23.9 Se le informazioni sono state contrassegnate da ENEL come "altamente riservate", trova applicazione quanto segue:
- la password di accesso ai sistemi informatici dovrà essere personale e individuale, tenuta segreta e modificata ogni sessanta
(60) giorni:
- l'accesso ai sistemi informatici dovrà essere limitato a software/tool forniti appositamente per l'esecuzione delle necessarie attività; è vietato l'uso di servizi o connessioni di rete per scopi non associati alle attività da svolgere;
- nessuna delle transazioni operate attraverso i sistemi informatici di ENEL dovrà avvenire in violazione delle leggi locali applicabili;
- la stazione di lavoro utilizzata (permanente o provvisoria) non dovrà connettersi a servizi internet diversi da quelli forniti o autorizzati da ENEL e deve essere provvista dei necessari sistemi antivirus. Dovranno essere adottate tutte le misure necessarie per prevenire la diffusione di virus, malware o software illeciti che potrebbero causare l'interruzione del servizio o la perdita di dati;
- tutti gli account di posta elettronica e le piattaforme di archiviazione e comunicazione (inclusi i social network) dovranno essere espressamente forniti o autorizzati da ENEL;
- i dati sensibili dovranno essere archiviati, trasmessi o cancellati usando appositi software di codifica;
- è vietato modificare la configurazione del sistema per aggirare i controlli di sicurezza.
23.10 È fatto divieto al Fornitore divulgare con qualsiasi mezzo (inclusi, a titolo non esaustivo, articoli stampa o comunicati stampa e interviste) informazioni ritenute confidenziali ai sensi del presente articolo. Entrambe le Parti si accorderanno per iscritto in merito al contenuto, al mezzo di comunicazione e alla data di pubblicazione di articoli stampa, notizie e comunicazioni di qualunque tipo riguardanti il Contratto o qualsiasi questione o informazione attinente.
23.11 Se ENEL autorizza per iscritto la subfornitura o la cessione del Contratto, il Fornitore deve ottenere dal Subfornitore o cessionario un accordo di riservatezza che contenga le stesse condizioni esposte nel presente articolo.
23.12 Entrambe le Parti riconoscono e accettano che il risarcimento dei danni potrebbe non costituire un rimedio sufficiente alla violazione della riservatezza, e che la Parte lesa avrà il diritto di richiedere altri rimedi o evitare possibili violazioni e i relativi danni in conformità alla legislazione
vigente. In caso di violazione degli obblighi di riservatezza, ciascuna Parte avrà facoltà di risolvere il Contratto.
23.13 Il rimedio sopra descritto non sarà l'unico possibile, ma andrà ad aggiungersi a ogni altro diritto o rimedio disponibile ai sensi delle leggi applicabili. In caso di violazione degli obblighi di riservatezza di cui al presente articolo, e senza che questo pregiudichi in alcun modo quanto precede, ENEL avrà facoltà di risolvere il Contratto e di intentare qualunque azione volta a ottenere il risarcimento dei danni.
23.14 ENEL si riserva il diritto di condurre controlli periodici, con particolare attenzione alle misure di sicurezza applicate in presenza di informazioni che ENEL ha individuato e classificato come riservate.
23.15 In qualunque momento, qualora la Parte che fornisce le informazioni riservate lo richieda, la Controparte dovrà restituire o distruggere o richiedere che i suoi rappresentanti restituiscano o distruggano tutte le copie di informazioni scritte riservate in suo possesso o in possesso dei suoi rappresentanti. Inoltre, la Parte destinataria delle informazioni farà tutto ciò che è in suo potere o richiederà che i rappresentanti facciano tutto quanto è possibile per restituire o distruggere i dati archiviati in formato elettronico e confermerà l'avvenuta distruzione di tali dati alla Parte che ha fornito le informazioni riservate entro quindici (15) giorni dalla richiesta.
23.16 Ciascuna Parte prende atto e accetta che le informazioni riservate sono e restano esclusivamente di proprietà della Parte che le rivela e dei suoi rappresentanti. Nulla di quanto è disposto nel Contratto sarà interpretato - salvo espressamente specificato per iscritto - come la concessione di una licenza o simili in relazione a brevetti, copyright, invenzioni, scoperte o migliorie realizzati, ideati o acquisiti prima e dopo l'esecuzione del Contratto.
24 Obblighi del Fornitore in materia di salute, sicurezza e ambiente
24.1 Il fornitore è stato preventivamente informato ed è consapevole che, nel perseguimento delle proprie finalità istituzionali ed imprenditoriali e nello svolgimento delle relative attività, Enel ha come priorità ed è da sempre impegnata ad osservare e a far osservare, a tutti i livelli le norme a tutela della salute, della sicurezza, dell'ambiente e dell'integrità fisica e psichica delle persone.
24.2 Sono pertanto vietati qualsiasi attività o comportamento in genere non in linea con il perseguimento di tali finalità e che ne possano compromettere la corretta applicazione.
24.3 Fermo quanto precede, il fornitore, nella esecuzione delle prestazioni oggetto del contratto di fornitura sottoscritto, si obbliga ad osservare scrupolosamente e a far osservare le vigenti norme poste a garanzia della salute e della sicurezza dei lavoratori nonché dell'ambiente ed in particolare le prescrizioni contenute nel la "Dichiarazione di Impegno per la Salute e la Sicurezza", la "Stop Work Policy" e la "Politica Ambientale" disponibili ai seguenti indirizzi: xxxx://xxxxxxxxxxxxxxxxx.xxxx.xxx, nella sezione “Documenti Utili” e xxxxx://xxxxxxxxx.xxxx.xx/xx/xxxxxxx/xxxxxx-xxxxxxxxxxxxx-xxxx
24.4 Il mancato rispetto di tale impegno sarà considerato grave inadempimento delle obbligazioni assunte dal Fornitore con il contratto di fornitura e legittimerà Enel a richiederne la risoluzione.
25 Legge applicabile.
Se non stabilito diversamente nel Contratto, la legislazione applicabile al Contratto è quella italiana.
26 Foro competente.
Salvo che non sia diversamente previsto nel Contratto, il foro competente per qualunque controversia sorga tra le Parti sulla interpretazione o esecuzione del Contratto stesso, è quello di Roma.
ALLEGATO 6
Dichiarazione ex parte speciale “D” “Reati contro la personalità individuale”
DICHIARAZIONE DIRITTI UMANI (Persona Giuridica)
La Società …………… in persona del suo rappresentante legale consapevole che una dichiarazione mendace determina per ENEL il diritto alla
risoluzione del Contratto e la richiesta di risarcimento danni,
dichiara:
di essere stata / non essere stata (barrare la voce che non interessa) indagata negli ultimi 5 anni in procedimenti giudiziari relativi ai seguenti reati contro la personalità individuale: riduzione o mantenimento in schiavitù o in servitù, prostituzione minorile, pornografia minorile, detenzione di materiale pedopornografico, iniziative turistiche volte allo sfruttamento della prostituzione minorile, tratta di persone, acquisto e alienazione di schiavi.
La sottoscritta Società si impegna a comunicare tempestivamente a ENEL ogni variazione rispetto alle informazioni trasmesse con la presente dichiarazione. Inoltre, consapevole che ENEL possa richiedere in qualsiasi momento di comprovare i contenuti della presente dichiarazione, si impegna sin da ora a fornire idonea documentazione.
In fede,
Data, ……………………………
Timbro della società Firma del legale rappresentante
ALLEGATO 7
Dichiarazione ex parte speciale “D” “Reati contro la personalità individuale”
DICHIARAZIONE DIRITTI UMANI (Persona Fisica)
Il sottoscritto… consapevole che una dichiarazione mendace determina per ENEL il diritto alla risoluzione del Contratto e la richiesta di
risarcimento danni,
dichiara:
di essere stato / non essere stato (barrare la voce che non interessa) indagato negli ultimi 5 anni in procedimenti giudiziari relativi ai seguenti reati contro la personalità individuale: riduzione o mantenimento in schiavitù o in servitù, prostituzione minorile, pornografia minorile, detenzione di materiale pedopornografico, iniziative turistiche volte allo sfruttamento della prostituzione minorile, tratta di persone, acquisto e alienazione di schiavi.
Il sottoscritto si impegna a comunicare tempestivamente a ENEL ogni variazione rispetto alle informazioni trasmesse con la presente dichiarazione. Inoltre, consapevole che ENEL possa richiedere in qualsiasi momento di comprovare i contenuti della presente dichiarazione, si impegna sin da ora a fornire idonea documentazione.
In fede,
Data, …..
Timbro Firma
Allegato Fatturazione
ALLEGATO 9 ‐ OBBLIGO FATTURAZIONE ELETTRONICA.
Al fine di evitare l'impossibilità da parte delle Società del Gruppo Enel stabilite in Italia di processare fatture inviate attraverso canali non previsti dalla nuova normativa, tutti i fornitori sono invitati a verificare, prima di emettere la fattura, se rientrano nell’obbligo sopra citato.
Di seguito si evidenziano alcuni campi chiave della compilazione fattura elettronica (tracciato XML) per ridurre al minimo le difficoltà di processamento delle stesse nei sistemi gestionali Enel, in modo da garantire nei termini contrattuali il pagamento.
• Dati di trasmissione
• Notifica di Mancata Consegna
• Ordine d’acquisto
• Bollo
• Esigibilità IVA
• CIG/CUP
• DDT
• Dati di Ricezione
• Allegati
Le indicazioni fornite potranno essere oggetto di integrazione/modifiche a seguito di aggiornamenti da parte dell’Agenzia delle Entrate o per integrare informazioni o dati che si rendano necessari, ad Enel, nel processo di registrazione delle fatture.
Dati di trasmissione
L’invio di fatture o note di variazione alle Società Enel deve avvenire utilizzando il Formato di Trasmissione – riferimento tracciato XML [1.1.3] - previsto per la fatturazione tra privati o B2B (FPR12) che prevede un Codice Destinatario [1.1.4] di 7 caratteri “0000000”
Esempio di compilazione corretta
<FormatoTrasmissione>FPR12</FormatoTrasmissione>
<CodiceDestinatario>0000000</CodiceDestinatario>
Le Società Enel non forniscono PEC e codici destinatari. Le società Enel si sono avvalse del servizio di Preregistrazione attivo sul sito dell’Agenzia delle entrate. Per il recapito delle fatture elettroniche è sufficiente riportare correttamente il Codice Destinatario 0000000 e la Partita IVA della Società Enel committente dell’acquisto.
Il SdI provvederà ad inoltrare il documento all’indirizzo telematico comunicato con il “servizio di registrazione” a discapito dell’indirizzo, se diverso, segnalato o meno nella fattura elettronica.
Pertanto è obbligatorio riportare correttamente il numero della partita Iva e il codice destinatario.
E’ importante indicare correttamente il numero della partita Iva nella corretta posizione del tracciato XML [1.4.1.1] Esempio corretto riferito ad una delle Società del Gruppo Enel (Società Enel Sole S.r.l)
<CessionarioCommittente>
<DatiAnagrafici>
<IdFiscaleIVA>
<IdPaese>IT</IdPaese>
<IdCodice> 05999811002</IdCodice>
</IdFiscaleIVA>
<CodiceFiscale> 02322600541</CodiceFiscale>
<Anagrafica>
<Denominazione>Enel Sole S.r.l</Denominazione>
Esempio di compilazione errata – mancata valorizzazione della partita Iva.
<CessionarioCommittente>
<DatiAnagrafici>
<CodiceFiscale> 02322600541</CodiceFiscale>
<Anagrafica>
<Denominazione>Enel Sole S.r.l</Denominazione>
Esempio di compilazione errata – Inversione del dato. Codice fiscale inserito nella posizione della partita Iva.
<CessionarioCommittente>
<DatiAnagrafici>
<IdFiscaleIVA>
<IdPaese>IT</IdPaese>
<IdCodice> 02322600541</IdCodice>
</IdFiscaleIVA>
<CodiceFiscale>05999811002 </CodiceFiscale>
<Anagrafica>
<Denominazione>Enel Sole S.r.l</Denominazione>
Notifica di mancata consegna
Nel caso in cui, per cause tecniche non imputabili al SdI il recapito non fosse possibile (ad esempio, casella PEC piena o non attiva ovvero canale telematico non attivo), il SdI rende disponibile al cessionario/committente la fattura elettronica nella sua area riservata del sito web dell’Agenzia delle entrate, comunicando tale informazione al soggetto trasmittente. Il cedente/prestatore è tenuto tempestivamente a comunicare alle Società del Gruppo Enel, tramite casella di posta elettronica, che l’originale della fattura elettronica è a sua disposizione nell’area riservata del sito dell’Agenzia delle entrate. Preghiamo i fornitori di agire celermente a produrre la comunicazione riportando copia della notifica della mancata consegna e copia informatica o analogica della fattura elettronica, al fine di consentirci l’elaborazione della fattura nei termini previsti per il pagamento.
Ordine d’acquisto
L’identificativo dell’ordine, se fornito dalle Società Enel, così come contrattualmente previsto, deve essere inserito nella fattura e trova la sua collocazione nei DatiOrdineAcquisto [2.1.2] alla sezione IdDocumento [2.1.2.2]. Qualora fosse immesso in altri campi, ad esempio “DatiContratto o altro campo descrittivo”, l’elemento non verrà riconosciuto dai nostri sistemi.
L’identificativo dell’ordine di acquisto delle Società Enel ha sempre lunghezza pari a 10 caratteri alfanumerici. Si chiede pertanto di porre attenzione alla corretta valorizzazione dell’apposito blocco:
Esempio corretto di valorizzazione: l’ordine è stato inserito nel blocco corretto
<DatiOrdineAcquisto>
<RiferimentoNumeroLinea>1</RiferimentoNumeroLinea>
<IdDocumento>4500001164</IdDocumento>
<NumItem>00010</NumItem>
<DatiOrdineAcquisto>
Esempio errato di valorizzazione: l’ordine di acquisto è stato inserito nel blocco contratto
<DatiContratto>
<RiferimentoNumeroLinea>1</RiferimentoNumeroLinea>
<IdDocumento>4500001164</IdDocumento>
<NumItem>10</NumItem>
</DatiContratto>
Esempio corretto di valorizzazione: l’ordine di acquisto e il contratto sono state inseriti nelle posizioni corrette
<DatiOrdineAcquisto>
<RiferimentoNumeroLinea>1</RiferimentoNumeroLinea>
<IdDocumento>4500001164</IdDocumento>
<NumItem>00010</NumItem>
<DatiOrdineAcquisto>
<DatiContratto>
<IdDocumento>8400126611</IdDocumento>
</DatiContratto>
Bollo
Nei casi in cui sia prevista l’imposta di bollo, vanno valorizzati i dati dell’apposito blocco DatiBollo [2.1.1.6]:
• [2.1.1.6.1] BolloVirtuale SI
• [2.1.1.6.2] ImportoBollo 2.00
Si ricorda che per le fatture di importo inferiore a euro 77,47 la marca da bollo non va applicata.
<DatiBollo>
<BolloVirtuale>SI</BolloVirtuale>
<ImportoBollo>2.00</ImportoBollo>
</DatiBollo>
Se il fornitore valorizza l’apposito campo sopracitato senza, contestualmente, inserire una linea di dettaglio per l’importo del bollo di 2 euro, l’importo del bollo verrà considerato a carico del fornitore. Viceversa, sarà considerato a carico del committente qualora il fornitore inserisca la relativa riga di dettaglio facendo confluire l’imposta nel totale fattura.
Di seguito un esempio corretto nella posizione della riga:
<DettaglioLinee>
<NumeroLinea>2</NumeroLinea>
<Descrizione>Bollo</Descrizione>
<Quantita>1.00</Quantita>
<PrezzoUnitario>2.00</PrezzoUnitario>
<PrezzoTotale>2.00</PrezzoTotale>
<AliquotaIVA>0.00</AliquotaIVA>
<Natura>N1</Natura>
</DettaglioLinee>
Esigibilità IVA
In linea generale, le Società del Gruppo Enel rientrano nel meccanismo della scissione dei pagamenti. Per tale motivo possono essere accettate solo fatture elettroniche emesse in regime di split payment e qualsiasi altro regime di esigibilità IVA non verrà accettato comportando il rifiuto della fattura e il mancato pagamento. Vi invitiamo a consultare gli elenchi validi ai fini dell’applicazione del regime scissione dei pagamenti sul sito MEF – Dipartimento delle Finanze.
Criteri di valorizzazione esigibilità IVA [2.2.2.7]
Indicare la lettera S Scissione dei pagamenti (split payment) art.17-ter del DPR 633/72 Esempio corretto di riepilogo
<DatiRiepilogo>
<AliquotaIVA>22.00</AliquotaIVA>
<ImponibileImporto>241067.66</ImponibileImporto>
<Imposta>53034.89</Imposta>
<EsigibilitaIVA>S</EsigibilitaIVA>
</DatiRiepilogo>
Esempio errato di riepilogo
<DatiRiepilogo>
<AliquotaIVA>22.00</AliquotaIVA>
<ImponibileImporto>241067.66</ImponibileImporto>
<Imposta>53034.89</Imposta>
<EsigibilitaIVA>I</EsigibilitaIVA>
</DatiRiepilogo>
CIG/CUP
I codici CIG/CUP, se presenti contrattualmente devono essere riportati in:
DatiContratto [2.1.3] rispettivamente alla sezione CodiceCUP [2.1.3.6] e/o CodiceCIG [2.1.3.7].
• DDT
Nel caso di forniture di beni certificate mediante documento di trasporto, è necessario indicare in fattura l’estremo del DDT nonché la data del documento di Trasporto. In particolare gli estremi devono essere riportati obbligatoriamente in:
DatiDDT [2.1.8] rispettivamente nella sezione NumeroDDT [2.1.8.1] e DataDDT [2.1.8.2].
L’elemento [2.1.8.3] RiferimentoNumeroLinea deve essere valorizzato solo se la fattura è riferita a più documenti di trasporto da indicarsi nelle rispettive linee di dettaglio a cui il DDT si riferisce.
Esempio di valorizzazione del dato riferito all’intera fattura e quindi a tutte le righe di dettaglio:
<DatiDDT>
<NumeroDDT>999</NumeroDDT>
<DataDDT>2018-11-09</DataDDT>
</DatiDDT>
Si raccomanda di non anteporre altri dati in aggiunta al numero DDT Esempio di valorizzazione errata
<DatiDDT>
<NumeroDDT>documento 999</NumeroDDT>
<DataDDT>2018-11-09</DataDDT>
</DatiDDT>
• Dati di Ricezione
Nel caso di fatture riferite a servizi e/o lavori, deve essere sempre presente l’identificativo del benestare al pagamento comprovante l’autorizzazione ad un determinato SAL o ultimazione servizio. Il codice è numerico ed ha lunghezza 10 caratteri. Il dato trova la sua collocazione all’interno del tracciato XML nel blocco DatiRicezione:
<DatiRicezione> [2.1.5] con dettaglio posizionamento [2.1.5.2]
Esempio di valorizzazione corretta del dato “Datiricezione”
<DatiRicezione>
<IdDocumento>1000002142</IdDocumento>
</DatiRicezione>
• Allegati
Si tratta della possibilità, messa a disposizione nel tracciato (da 2.5.1 a 2.5.5) di allegare dei file in formato PDF o altro formato previsto al documento XML al fine di agevolare la registrazione della fattura. Esempi di allegati pdf possono essere una copia della fattura in formato “analogico”, i documenti di trasporto, ecc.
Attenzione: se l’allegato contiene uno o più dati già presenti nel tracciato XML, i primi non possono essere in alcun modo sostitutivi, qualora diversi, dei secondi che restano quelli ufficialmente validi.
Allegati GDPR (da Allegato da 1 ad allegato 8)
ALLEGATO 1 GDPR
Descrizione del Trattamento dei dati personali
Con riferimento all’art. 18 dell’Annex VII alla Lettera d’Ordine n. ed in particolare alla nomina della
società [•] quale Responsabile del trattamento dei dati, con il presente allegato si intende specificare che il suddetto trattamento dei dati avrà ad oggetto le seguenti tipologie di dati e categorie di interessati.
A. | Categorie di Dati | |
• | Dati identificativi anagrafici6 | □ |
• | Categorie Particolari di dati personali7 | □ |
• | Dati giudiziari | □ |
• | Dati economici e finanziari | □ |
• | Dati relativi a contratti con i clienti (es. POD, PDR) | □ |
• Altri
B. | Categorie di Interessati | |
• | Clienti | □ |
• | Dipendenti | □ |
• | Fornitori | □ |
• | Azionisti | □ |
• | Altro |
6 es. nome e cognome; indirizzo di casa; xxxxxxxxx e-mail, numero della carta d’identità; dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare), indirizzo IP (Internet Protocol)
7 includono i dati sensibili , es. stato di salute, abitudini, attività quotidiane, appartenenza a sindacati partiti politici o opinioni filosofiche e
religiose, vita e orientamento sessuale, origine razziale o etnica, dati finanziari (quali carta di credito o conto corrente), dati biometrici (impronte digitali, lettura della retina), dati genetici
Gent. NOME E COGNOME Persona Autorizzata
Allegato 2 GDPR
RIF. CONTRATTO N.
Oggetto: MODELLO DI NOMINA A PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI (DI SEGUITO “PERSONA AUTORIZZATA”), AI SENSI DELL’ART. 29 DEL REGOLAMENTO UE 2016/679 (DI SEGUITO GDPR”)
La Società xxxxxx, in qualità di Responsabile del trattamento dei dati personali in forza del Contratto di cui sopra
Premesso che
- Lo svolgimento delle attività inerenti la Sua mansione/qualifica contrattuale implica il trattamento di dati personali e richiede, tra l’altro, in relazione al Contratto citato, l’accesso ai sistemi informatici della Società ENEL [•], Titolare del trattamento dei dati personali;
- A tal fine è necessaria la Sua abilitazione ai predetti sistemi.
Il trattamento menzionato e la suddetta abilitazione presuppongono la Sua nomina a “Persona Autorizzata” al trattamento dei dati personali sotto l'autorità diretta del Titolare ai sensi dell’art. 29 del GDPR
TUTTO CIÒ PREMESSO
la scrivente Società
NOMINA
il Sig. xxxx, nato a xxxx il xxxx. C.F. xxxxx, Persona Autorizzata al trattamento dei dati personali, cioè a qualsiasi operazione, anche di mera consultazione, relativa a dati personali inseriti in archivi informatici e/o cartacei detenuti dalla scrivente Società e/o dalla Società [•], Titolare del trattamento, connessa allo svolgimento delle funzioni relative alla Sua mansione/qualifica , presso la sede di .
Vengono di seguito fornite informazioni ed istruzioni minime volte all’assolvimento dei compiti a Lei assegnati in relazione alle operazioni di trattamento di dati personali.
In particolare, si precisa che:
- Il trattamento dei dati personali deve essere effettuato in modo lecito e corretto;
- I dati personali devono essere raccolti e registrati unicamente per finalità connesse all’attività svolta, esclusivamente negli orari di lavoro e comunque non oltre il tempo necessario;
- Fatto salvo quanto sopra, nell’eccezionale ipotesi di trattamento dei dati personali svolto fuori dall’orario di lavoro, la Persona Autorizzata deve accertarsi di aver chiuso la sessione di lavoro (“log‐off”) in modo che siano richieste le credenziali di accesso al successivo utilizzo;
- È necessaria la verifica costante dei dati ed il loro aggiornamento;
- È necessaria la verifica costante della completezza e pertinenza dei dati trattati;
- La eventuale fase di raccolta del consenso deve essere preceduta da apposita informativa e dal rilascio del consenso degli interessati, che deve essere libero, specifico e in forma scritta o comunque appositamente documentata;
- In caso di interruzione, anche temporanea, del lavoro è necessario assicurarsi che i dati trattati non siano accessibili a terzi non autorizzati, effettuando apposito log‐off;
- Le proprie credenziali di autenticazione dovranno essere riservate e in quanto tali utilizzate unicamente dalla Persona Autorizzata;
- In ogni operazione di trattamento deve essere garantita la massima riservatezza.
In particolare Xxx, in qualità di Persona Autorizzata, è tenuto a:
a) accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati e non oltre il tempo necessario;
b) non lasciare incustoditi o esposti alla visione di soggetti comunque estranei al trattamento i documenti aziendali, con particolare riferimento a quelli contenenti dati sensibili e giudiziari, curare la necessaria riservatezza dei dati in questione, mettendo in atto ‐ anche sulla base delle disposizioni impartite dalla Società‐ le cautele idonee ad evitare che altri, non autorizzati, possano accedere ai suddetti dati;
c) non diffondere, comunicare i dati di cui è venuto in possesso, al di fuori dei casi consentiti dalla legge o previsti dalle norme contrattuali e mantenere il dovuto riserbo in ordine alle informazioni delle quali sia venuto a conoscenza nel corso dell’incarico anche quando sia venuto meno l’incarico stesso;
d) non scaricare massivamente i dati personali se non previa comunicazione e autorizzazione del Titolare o del Responsabile del trattamento;
e) in ogni caso, custodire con cura e diligenza appropriata la documentazione cartacea affidata nello svolgimento dell’attività lavorativa, contenente dati sensibili e quelli relativi ad iscrizioni nel casellario giudiziale, in armadi o cassetti muniti di serratura e osservare la procedura prevista (indicazione nell’apposito registro del proprio nominativo, orario e data di accesso, prelievo/restituzione del documento) per l’accesso agli archivi che conservano i dati sopra menzionati;
f) adottare ed attenersi scrupolosamente alle prescrizioni dettate dal Titolare o dal Responsabile in materia di misure tecniche organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ai sensi dell’art. 32 del GDPR);
g) in particolare, per il trattamento dati da effettuare con strumenti elettronici o comunque automatizzati, attenersi alle eventuali specifiche autorizzazioni/abilitazioni ed alle modalità e strumenti di conservazione forniti dal Titolare o dal Responsabile del trattamento dei dati;
h) informare il Responsabile in caso di incidenti che coinvolgano i dati personali oggetto del trattamento, in particolare se sensibili e/o giudiziari.
In ogni caso sarà Sua cura attenersi scrupolosamente alle prescrizioni dettate in materia di misure adeguate di sicurezza di all’articolo 32 del GDPR, riportate in calce alla presente e costituente parte integrante della stessa, di cui Lei dichiara di avere preso visione, nonché di quelle ulteriori eventualmente dettate dalla scrivente Società e/o dalla Società Titolare, i cui eventuali aggiornamenti Le verranno comunicati.
Si rileva infine quanto segue:
- la presente lettera di nomina cesserà di produrre effetti alla data di cessazione del rapporto di lavoro o dell’incarico con la Scrivente società; successivamente a detta data, pertanto, ogni trattamento dei dati personali, incluso l’accesso ai sistemi informatici della Scrivente Società e/o del Titolare, è vietato e sanzionato secondo le vigenti disposizioni di legge (cfr. a mero titolo esemplificativo l’art. 615‐ter, codice penale su “Accesso abusivo ad un sistema informatico o telematico”);
- copia della presente lettera sarà restituita dalla Persona Autorizzata alla Scrivente Società, sottoscritta per conoscenza ed accettazione, sarà conservata dalla medesima Società e da quest’ultima messa a disposizione della Titolare sua espressa richiesta, entro e non oltre due giorni dalla richiesta stessa;
- per evitare trattamenti dati non autorizzati sarà cura della Scrivente Società informare la Società Titolare della interruzione del rapporto di lavoro o dell’incarico in essere entro e non oltre cinque giorni dall’evento, al fine di consentire alla Società Titolare di disporre la revoca immediata delle abilitazioni informatiche dalla stessa rilasciate.
, XX/XX/XXXX Il Responsabile del Trattamento Dati
Per conoscenza ed accettazione la Persona Autorizzata
Istruzioni per le “Persone autorizzate” al trattamento dei dati personali
Il Regolamento UE 2016/679 in materia di protezione dei dati personali, (di seguito “GDPR”) richiede a tutti coloro che trattano dati personali che tali operazioni avvengano nel rispetto e nella tutela delle persone fisiche alle quali i dati si riferiscono, siano essi dipendenti, fornitori di beni e servizi, clienti, consulenti, etc..
Il GDPR prevede specificamente anche la necessità di fornire adeguate istruzioni a tutti coloro che, in relazione all’espletamento della propria attività, trattano dati personali vale a dire utilizzano o vengono a conoscenza di dati personali come definiti nell’art. 4 n. 1 del GDPR (vedi definizioni riportate in calce).
In ottemperanza alle disposizioni del GDPR, in qualità di “Persona Autorizzata”, Xxx dovrà effettuare i trattamenti di dati personali di Sua competenza attenendosi scrupolosamente alle seguenti istruzioni e ad ogni ulteriore indicazione che Le potrà essere fornita dal Responsabile del trattamento ovvero dal Titolare o da un Suo Delegato.
Le ricordiamo che i dati personali devono essere trattati:
• in osservanza dei criteri di riservatezza;
• in modo lecito e secondo correttezza;
• per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
• nel pieno rispetto delle misure adeguate di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In particolare, per quanto attiene a:
• Accesso a dati personali, banche dati ed applicazioni aziendali: i dati, le banche dati e le applicazioni aziendali cui Lei potrà accedere sono quelle strettamente indispensabili per l’esecuzione della Sua prestazione, in linea con le Sue mansioni e, per quanto attiene alle applicazioni informatiche, secondo il profilo di utenza che Le è stato assegnato.
• Creazione di nuove procedure/applicazioni: senza essere stato preventivamente autorizzato, non dovrà di Sua iniziativa attivare nuove procedure informatiche per la gestione od elaborazione di dati, archivi anche cartacei o files di dati personali. Qualora ciò si rendesse necessario, dovrà darne preventiva comunicazione al Suo responsabile diretto e procedere solo dopo aver ricevuto autorizzazione.
• Comunicazione e diffusione: i dati cui ha accesso nel corso dell’attività lavorativa dovranno essere trattati da Lei personalmente, o da Suoi colleghi, mentre non potranno essere comunicati e/o trasmessi a terzi, esterni.
• Misure di sicurezza: è Sua responsabilità osservare tutte le vigenti misure di protezione e sicurezza atte ad evitare rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito; in particolare, la Sua password non deve essere comunicata a nessuno, il Suo PC non dovrà rimanere collegato ad archivi aziendali ed accessibile in Sua assenza; i dati cartacei dovranno essere riposti in armadi chiusi alla fine della giornata e, comunque, dopo essere stati utilizzati; in ogni caso dovrà garantire la riservatezza dei dati cartacei ogni qualvolta lei si allontani dalla postazione. Ogni episodio che Lei ritenga rilevante in materia di sicurezza dei dati dovrà essere immediatamente comunicato al Responsabile. Particolare attenzione deve essere posta nella gestione di documenti contenente dati di natura giudiziaria e/o sensibile.
• Richieste di accesso/esercizio dei diritti: qualora Xxx ricevesse una richiesta di accesso ex Capo III “Diritti dell’interessato” del GDPR ai propri dati da parte di un soggetto interessato (sia esso un dipendente dell’azienda, un fornitore, un cliente, un consulente, etc.), ne dovrà prendere nota scritta, annotando la data ed il nome del soggetto interessato, dandone poi immediatamente notizia al Responsabile ovvero alla funzione organizzativa competente a fornire il riscontro, che dovrà avvenire nel rispetto dei tempi prescritti.
1. TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
I dati personali archiviati su supporti di tipo magnetico e/o ottico devono essere protetti con le stesse misure di sicurezza previste per i supporti cartacei.
Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti contenenti dati personali devono essere identiche a quelle applicate agli originali.
1.1 Custodia
I documenti contenenti dati personali, devono essere custoditi in modo da non essere accessibili a persone non autorizzate al trattamento (es. armadi o cassetti chiusi, ove disponibile, a chiave).
I documenti contenenti dati personali che vengono prelevati dagli archivi per l’attività quotidiana devono esservi riposti a fine giornata.
I documenti contenenti dati personali non devono rimanere incustoditi su scrivanie o tavoli di lavoro; analoga attenzione deve essere posta nel prelevare i documenti ricevuti via fax; in linea di principio evitare di stampare documenti, se non indispensabile, e comunque prelevarli immediatamente evitando di lasciarli incustoditi presso la stampante.
1.2 Comunicazione
L’utilizzo dei dati personali deve avvenire in base al principio del “need to know” e cioè essi non devono essere condivisi, comunicati o inviati a persone che non ne necessitano per lo svolgimento delle proprie attività lavorative (anche se queste
persone sono a loro volta autorizzate al trattamento). I dati non devono essere comunicati all’esterno della Società e comunque a soggetti terzi se non previa autorizzazione del Titolare ovvero del Responsabile.
1.3 Distruzione
Qualora sia necessario distruggere i documenti contenenti dati personali, questi devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti” o, in assenza, devono essere sminuzzati in modo da non essere più ricomponibili.
I supporti magnetici od ottici contenenti dati personali devono essere cancellati prima di essere riutilizzati. Se ciò non è possibile, essi devono essere distrutti.
1.4 Ulteriori istruzioni in caso di trattamento di dati sensibili e giudiziari
I documenti contenenti dati sensibili e/o giudiziari devono essere controllati e custoditi dalle Persone Autorizzate in modo che non vi accedano persone prive di autorizzazione. Ad esempio, la consultazione di documenti/certificati per l’inserimento in procedure informatiche di gestione/amministrazione del personale, di dati relativi a permessi sindacali, assenze per malattie, ecc., deve avvenire per il tempo strettamente necessario alla digitazione stessa e, subito dopo, i documenti devono essere archiviati in base alle presenti istruzioni. L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari deve essere separata da quella relativa ai dati comuni (può essere utilizzato lo stesso armadio o cassetto ‐eventualmente chiuso a chiave‐ ma contenitori separati).
Per accedere agli archivi contenenti dati sensibili e giudiziari fuori orario di lavoro è necessario farsi identificare e registrare sugli appositi registri.
2. TRATTAMENTI CON STRUMENTI ELETTRONICI
2.1 Gestione delle credenziali di autenticazione
La legge prevede che l’accesso alle procedure informatiche che trattano dati personali sia consentito alle Persone Autorizzate in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di identificazione. Le credenziali di autenticazione consistono in un codice per l’identificazione della Persona Autorizzata al trattamento dei dati (user‐id) associato ad una parola chiave riservata (password), oppure in un dispositivo di autenticazione (es. smart card, token, one‐time‐pw) o in una caratteristica biometrica. Le Persone Autorizzate devono utilizzare e gestire le proprie credenziali di autenticazione attenendosi alle seguenti istruzioni.
Le user‐id individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se autorizzate al trattamento). Nel caso altri utenti debbano poter accedere ai dati è necessario richiedere l’autorizzazione al Responsabile.
Le credenziali di autenticazione (ad esempio le password, oppure i dispositivi di strong authentication come token, smart card, etc.) che consentono l’accesso alle applicazioni devono essere mantenute riservate. Esse non vanno mai condivise con altri utenti (anche se autorizzate al trattamento).
Le password devono essere sostituite, a cura della singola Persona Autorizzata, al primo utilizzo e successivamente nel rispetto delle specifiche procedure aziendali almeno ogni tre mesi in caso di trattamento dei dati sensibili e giudiziari o almeno ogni 6 mesi per i dati personali/comuni.
Le password devono essere composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili alla Persona Autorizzata (es. nomi di familiari) e devono essere scelte nel rispetto della normativa aziendale sulla costruzione ed utilizzo delle password (vedi anche successivo punto 3.) salvo previsioni più restrittive previste dai sistemi aziendali.
2.2 Protezione del PC e dei dati
Tutti i PC devono essere dotati di password rispondenti alle istruzioni di cui al successivo punto 3. Le password devono essere custodite e gestite con diligenza e nel rispetto delle indicazioni fornite dal Titolare o, in sua vece, dal Responsabile.
Per evitare accessi illeciti, deve essere sempre attivato il salvaschermo con password, laddove tale impostazione non fosse automaticamente disponibile.
Sui PC devono essere installati, appena vengono resi disponibili (e comunque almeno annualmente), tutti gli aggiornamenti software necessari a prevenirne vulnerabilità e correggerne i difetti. In caso ciò non avvenga automaticamente, la Persona Autorizzata ne deve dare comunicazione al Responsabile.
Deve essere effettuato, con cadenza almeno settimanale un salvataggio di back‐up nella ipotesi in cui eventuali dati personali di terzi siano presenti unicamente sul PC della Persona Autorizzata (cioè non archiviati sui sistemi informatici aziendali). I supporti di memoria utilizzati per il back‐up devono essere trattati secondo le regole definite al punto “Trattamento senza l’ausilio di strumenti elettronici”.
2.3 Cancellazione dei dati personali
In caso di dismissione di strumenti di lavoro sarà Sua cura procedere alla rimozione dei dati personali in essi contenuti.
2.4 Ulteriori istruzioni in caso di trattamento di dati sensibili e giudiziari
Le password di accesso alle procedure informatiche che trattano dati sensibili e giudiziari devono essere sostituite, da parte della Persona Autorizzata se non è disponibile un sistema automatizzato, almeno ogni tre mesi, salvo modalità e periodi più restrittivi di volta in volta comunicati dal Responsabile o previsti da procedure.
L’installazione degli aggiornamenti software necessari a prevenire vulnerabilità e correggerne i difetti dei programmi per elaboratori deve essere effettuato almeno semestralmente, se non è disponibile un sistema automatizzato.
3. ISTRUZIONI DI CARATTERE GENERALE
Come scegliere e usare la password
- Usare almeno 8 caratteri
- Usare lettere, numeri e almeno un carattere tra . ; $ ! @ ‐ > <
- Non utilizzare date di nascita, nomi o cognomi propri o di parenti
- Non sceglierla uguale alla matricola o alla userid
- Custodirla sempre in un luogo sicuro e non accessibile a terzi
- Non divulgarla a terzi
- Non condividerla con altri utenti
Come comportarsi in presenza di ospiti o di personale di servizio
- Fare attendere gli ospiti in luoghi in cui non siano presenti informazioni riservate o dati personali.
- Se è necessario allontanarsi dalla scrivania in presenza di ospiti, riporre i documenti e attivare il salvaschermo del PC premendo “ctrl‐alt‐del” sulla tastiera e selezionando il pulsante “Lock Computer”.
- Non rivelare o fare digitare le password dal personale di assistenza tecnica.
- Xxx rivelare le password al telefono ‐ nessuno è autorizzato a chiederle.
Come gestire la posta elettronica
- Non aprire messaggi con allegati dei quali non si conosce l’origine, possono contenere virus in grado di cancellare i dati sul PC ovvero di trafugarli.
- Evitare di aprire filmati, presentazioni, immagini e file di qualunque formato provenienti da fonti non note che possono essere pericolosi per i dati contenuti sul vostro PC e, più in generale, per la sicurezza dell’infrastruttura tecnologica aziendale.
- Evitare l’inoltro automatico dalla propria casella aziendale verso caselle personali esterne e viceversa.
Come usare correttamente Internet
- Evitare di scaricare software da Internet (programmi di utilità, di office automation, file multimediali, ecc.) in quanto questo può essere pericoloso per i dati e la rete aziendale, salvo che tali software non siano funzionali alla realizzazione delle attività di sua competenza ed il loro utilizzo sia comunque noto alle competenti funzioni organizzative aziendali.
4. SANZIONI PER INOSSERVANZA DELLE NORME
Le ricordiamo che l’utilizzo per scopi personali o comunque per fini non legittimi dei dati ai quali ha accesso o ha acceduto, anche nel caso in cui non dia origine ad un danno e/o ad una responsabilità in capo a [•] secondo la legge italiana, potrebbe comunque comportare l’applicazione di sanzioni disciplinari, potendosi configurare quali violazioni ai doveri che incombono sul dipendente, così come previsti dal Codice Civile o dal Contratto Collettivo od Individuale applicabile, ed eventualmente anche penali.
Le chiediamo di segnalare tempestivamente eventuali situazioni di rischio per la sicurezza dei dati di cui ha avuto evidenza (es. la violazione della password, il tentativo di accesso non autorizzato ai sistemi) ovvero che riguardino i soggetti esterni autorizzati all’accesso (palesi violazioni delle Procedura aziendali): la Sua collaborazione è importante al fine di colmare eventuali lacune nei sistemi di sicurezza e nelle procedure relative alla tutela dei dati personali trattati.
Le presenti istruzioni costituiscono le linee guida alle quali dovrà informare la Sua attività: pertanto, in caso di dubbio, La invitiamo a contattare il Responsabile.
5. DEFINIZIONI
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Dato personale: qualunque informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione personale, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Categorie particolari di dati: i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (ndr: invalidità, certificato medico, indicazione di malattie/infortuni, portatore di handicap, ecc.).
Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u) del DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (ndr: detenzione o arresti domiciliari, interdizione legale, provvedimenti relativi ad amnistia e indulto, ecc.).
Titolare del trattamento: la persona fisica, la persona giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Responsabile del trattamento: la persona fisica, la persona giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
Persona Autorizzata al trattamento: Persona Autorizzata al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile del trattamento.
Interessato: la persona fisica cui si riferiscono i dati personali (es. dipendenti, clienti, fornitori, visitatori ecc).
Misure di sicurezza: il complesso delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ndr: pseudonimizzazione, cifratura, user id, password, utilizzo di contenitori con chiusure di sicurezza, ecc.).
Allegato 3 GDPR
NOMINA PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 29 DEL REGOLAMENTO UE 2016/679 (GDPR)
AUTOCERTIFICAZIONE
Fac simile DICHIARAZIONE SOSTITUTIVA
(D.P.R. 28 dicembre 2000, n.445)
Spett.le [•]
Il/La sottoscritto/a……………………………………………………………………………………………………………………………………..
(cognome) (nome)…………………………………………………………………………………………………………………………………….
nato/a a ……………………………………………….(……….) il…………………………………………………………………………………….
(luogo)………………………………………………………………(prov.)…………………………………………………………………………….
residente a …………………………. (…….) in via ……………………………… n. …………………………………………………………
(luogo)……………………….. (prov.)……………. (indirizzo)………………………………………………………………………………..
domiciliato/a in ………………………(……) in via ……………………………… n. ………………………………………………………..
(luogo)……………….. (prov.)………………. (indirizzo)……………………………………………………………………………………..
In qualità di rappresentate legale della Impresa/Società……………………………………………………………………….
con sede legale in ………………………(……) in via ……………………………… n. ……………………………………………………
Codice Fiscale……………………………………..P.IVA……………………………………………………………………………………………
relativamente al Contratto n. ………….
in qualità di Responsabile del trattamento, consapevole delle sanzioni penali richiamate dall’art.76 del d.P.R. 28.12.2000 n.445, in caso di dichiarazioni mendaci e di formazione o uso di atti falsi, sotto la propria responsabilità
DICHIARA
- di avere provveduto a nominare i dipendenti/collaboratori di cui si avvale in relazione alle attività di cui al citato contratto quali “Persone Autorizzate” al trattamento dei dati personali” art. 29 del GDPR utilizzando il modello di lettera di nomina da Voi predisposto comprensivo delle relative Istruzioni
- che copia delle nomine è disponibile presso di sé ed a disposizione di Codesta società
ALLEGA
- alla presente l’elenco dei nominativi dei soggetti a tal fine nominati
SI IMPEGNA
- a fornire a Codesta società copia delle nomine entro la data che sarà oggetto di specifica comunicazione da parte di Codesta Società;
- ad aggiornare la documentazione inviata, prima dell’inizio delle attività nel caso di nuovi dipendenti/collaboratori, entro cinque giorni lavorativi dalla data di cessazione nel caso di dipendenti/collaboratori cessati.
Data ...........................
Firma ...........................
Informativa ai sensi dell art. 13 del GDPR
Si rende noto che i dati personali vengono acquisiti con il presente Allegato e sono trattati per finalità strettamente connesse alla gestione ed esecuzione del Contratto, ovvero per dare esecuzione agli obblighi previsti dalla legge. I dati personali, inoltre, sono raccolti e trattati in modo automatizzato ed in forma cartacea e saranno conservati per tutta la durata del Contratto e successivamente alla sua cessazione, per un tempo non superiore ai termini previsti dalle vigenti disposizioni di legge.
Al riguardo si precisa che:
− Il Titolare del trattamento dei dati in questione è la Società [•] in persona del legale rappresentante pro tempore (di seguito ENEL);
− L’interessato è la persona fisica i cui dati personali sono trattati ai fini della stipula, gestione ed esecuzione del Contratto (di seguito l’Interessato);
− I dati personali trattati potranno essere trasmessi a terzi, ovvero sia alle società soggette a direzione e coordinamento di ENEL S.p.A. o a quest’ultima collegate, sia ad altri soggetti. I suddetti terzi destinatari potranno essere nominati Responsabili del trattamento;
− L’Interessato ha facoltà di esercitare i diritti previsti dagli articoli 15‐21 del GDPR (diritto di accedere ai propri dati, richiedere la rettifica, la portabilità o la cancellazione degli stessi, richiedere la limitazione del trattamento dei dati che lo riguardano oppure può opporsi al loro trattamento), ove applicabili, contattando il Titolare del trattamento;
− L’Interessato ha il diritto di proporre un reclamo al Garante per la Protezione dei Dati Personali, con sede in Xxxx, xxxx xxx xx Xxxxx Xxxxxxx, 000; Tel. (x00) 00.000000, email: xxxxxxx@xxxx.xx;
− Il Titolare del trattamento ha nominato il Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del GDPR, i cui dati di contatto sono reperibili sul sito web dello Titolare stesso.
N.B. La firma del titolare o del legale rappresentante deve essere corredata da copia fotostatica non autenticata di un documento di identità del sottoscrittore (fronte/retro)
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Allegato 4 GDPR
Nomina del Sub-Responsabile al trattamento da parte del Responsabile
RIF. CONTRATTO N.
Ragione sociale del Fornitore
Spett.le
……………………………
Oggetto: NOMINA A SUB-RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI (DI SEGUITO “SUB- RESPNSABILE”), AI SENSI DELL’ART. 28, COMMA 4 DEL REGOLAMENTO UE 2016/679 (DI SEGUITO “GDPR”)
1. In relazione al contratto citato, Società Enel [•], nella sua qualità di Titolare del trattamento dei dati gestiti in forza del medesimo contratto (dio seguito anche “ENEL”), ha nominato, ai sensi e per gli effetti dell’art. 28 Regolamento UE 2016/679 (“GDPR”), la Società con sede in
via trattamento dei dati (di seguito “Responsabile”).
Responsabile al
2. Il Responsabile intende avvalersi per specifiche attività di trattamento, di un soggetto esterno alla sua organizzazione, avendo ottenuto l’autorizzazione di ENEL a procedere in tal senso.
Tutto ciò premesso
il Responsabile in persona del
nella sua qualità di
nomina la Società con sede in
via Sub-Responsabile del trattamento dei dati ai sensi dell’art. 28 comma 4 del GDPR (di seguito “Sub-Responsabile”) limitatamente alle operazioni necessarie per dare attuazione al Contratto di cui all’oggetto al quale si rinvia – come parte integrante della presente lettera - per la delimitazione dell’ambito e dell’efficacia temporale entro cui riferire la responsabilità del trattamento dei dati personali.
Il Sub-Responsabile si impegna ad effettuare dette operazioni nel rispetto degli obblighi imposti al Responsabile dal GDPR e delle istruzioni impartite dal Titolare che, vigilerà sulla puntuale osservanza delle suddette istruzioni.
In particolare, premesso che il Sub-Responsabile, in relazione all’esperienza, capacità ed affidabilità dichiarate, ha fornito idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dati e di essersi adeguato alla nuova normativa europea GDPR, i suoi compiti e responsabilità sono definiti, come segue:
o) Dovrà trattare i dati personali soltanto su istruzione documentata di ENEL dove si specificheranno il tipo di dati trattati e le categorie di interessati;
p) Xxxxx nominare le Persone Autorizzate al trattamento dei dati personali (“Persone Autorizzate”) per il compimento di qualsiasi operazione, anche di mera consultazione, relativa al trattamento dei dati personali inseriti in archivi informatici o cartacei detenuti dal ENEL;
q) Dovrà garantire che le Persone Autorizzate al trattamento dei dati personali si siano impegnate a osservare le prescrizioni di legge, nonché ogni indicazione di Enel e a mantenere riservate informazioni e dati personali appresi in conseguenza, o anche solo in occasione dell’esecuzione del Contratto, salvo espressa autorizzazione di ENEL e
fatta eccezione per i casi espressamente previsti dalla legge. ENEL si riserva la facoltà di richiedere al Fornitore l’elenco delle Persone Autorizzate al trattamento al fine di ottemperare agli obblighi previsti dal GDPR o da altre prescrizioni di legge o per motivi di sicurezza nazionale o interesse pubblico;
r) Dovrà adottare tutte le misure di sicurezza di cui all’art. 32 del GDPR, nonché ogni altra misura preventiva dettata dall'esperienza idonee ad evitare trattamenti dei dati non consentiti o non conformi alle finalità per le quali i dati sono trattati; dovrà inoltre fornire idonea collaborazione nella attuazione di dette misure, nella notifica e comunicazione dell’eventuale violazione dei dati personali e nella valutazione di impatto sulla protezione dei dati, al fine di assicurare la riservatezza e la sicurezza dei dati e ridurre al minimo i rischi di distruzione o perdita accidentale dei dati stessi;
s) Xxxxxx espressa richiesta di ENEL dovrà fornire l’elenco dei paesi e dei data center nei quali sono trattati i dati personali per conto di ENEL;
t) Potrà trasferire i dati verso un paese terzo o un’organizzazione internazionale al di fuori dell’Unione Europea solo nei casi previsti e alle condizioni stabilite dal GDPR, salvo che lo richieda il diritto dell'Unione Europea o la legge nazionale cui il Fornitore è soggetto. In tal caso, il Fornitore si impegna ad informare prontamente ENEL circa tale obbligo giuridico, salvo il divieto di divulgazione di tale informazione per rilevanti motivi di sicurezza nazionale o interesse pubblico;
u) Tenuto conto della natura del trattamento, si obbliga ad assistere ENEL con proprie misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo di ENEL di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;
v) Xxxxx assistere ENEL nel garantire il rispetto degli obblighi di cui agli articoli dal 32 al 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
w) Dovrà, su richiesta di ENEL, cancellare e/o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati, dandone prova ad ENEL;
x) Xxx nominato un Responsabile della protezione dei dati ai sensi dell’art. 37 del GDPR dovrà essere comunicato a ENEL;
y) Dovrà mettere a disposizione di ENEL tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del GDPR contribuendo alle attività di revisione, comprese le ispezioni, realizzate da ENEL o da un altro soggetto da questi incaricato;
z) In caso di violazione di dati personali o presunta tale dovrà comunicarlo tempestivamente a ENEL, entro 24 ore dall’avvenuta conoscenza dell’evento e senza ingiustificato ritardo;
aa) Xxxxx cooperare con ENEL mettendo a disposizione gratuitamente tutte le informazioni necessarie al fine di assolvere agli obblighi di cui agli artt. 33 e 34 del GDPR, ivi incluse le proprie certificazioni vigenti;
bb) Fatto salvo quanto previsto dall’art.30, comma 5 GDPR, dovrà tenere un Registro delle attività di trattamento svolte per conto di Enel ai sensi dell’art. 30 del GDPR, che sia esibito a richiesta eventuale da parte di Enel in caso di eventi oggetto di disciplina agli artt. 33 e 34 del GDPR.
E’ fatto divieto al Sub Responsabile trattare dati personali per finalità ulteriori rispetto all’esecuzione del Contratto.
In particolare, laddove non sia necessario ai fini dell’esecuzione del Contratto, è fatto divieto al Sub Responsabile effettuare, a titolo esemplificativo ma non esaustivo, estrazioni massive di dati personali, anche mediante l’eventuale utilizzo di “RPA – Robotic Process Automation” (o “automi”), a meno che non siano preventivamente autorizzati dal Committente.
I Sub-responsabili dovranno attenersi agli stessi obblighi che il Contratto impone ai Responsabili.
Il Sub-Responsabile provvederà a nominare, a sua volta, le eventuali risorse impiegate nei trattamenti quali Persone Autorizzate al trattamento dei dati personali, utilizzando l’apposito modello predisposto dal Titolare allegato alla presente (Allegato GDPR 7).
Entro la data che sarà oggetto di specifica comunicazione da parte del Titolare, e comunque prima dell’inizio delle attività oggetto del contratto, il Sub-Responsabile provvederà inoltre ad inviare alla stessa una propria dichiarazione secondo il modello da quest’ultima predisposto (Allegato GDPR 8).
L’Allegato GDPR 8, in formato pdf firmato digitalmente, unitamente all’elenco nominativo delle Persone Autorizzate al trattamento da parte del Sub-Responsabile (secondo il template reso disponibile dal Titolare), andrà trasmesso al Responsabile e da questi al Titolare secondo le modalità allo scopo indicate.
Con le medesime modalità sopra indicate il Sub-responsabile si impegna altresì ad aggiornare la predetta documentazione in occasione di eventuali variazioni. In ogni caso l’aggiornamento andrà trasmesso prima dell’inizio delle
attività per i nuovi dipendenti/collaboratori ed entro cinque giorni lavorativi dalla data di cessazione per i dipendenti/collaboratori cessati.
Sia il Responsabile che il Sub-responsabile si obbligano in ogni caso a conservare con diligenza le predette nomine nonché a metterle a disposizione a richiesta del Titolare, entro e non oltre due giorni dalla richiesta stessa.
Il Sub-responsabile tratterà i dati personali in Paesi facenti parte dell’Unione Europea o in Paesi che garantiscano un’adeguata tutela dei dati personali ai sensi delle Decisioni di Adeguatezza della Commissione Europea vigenti.
Qualora il Sub-responsabile intenda trattare i dati personali in Paesi considerati non adeguati da parte della Commissione Europea, il Responsabile si impegna a far sottoscrivere al Sub-responsabile le clausole contrattuali standard definite dalla decisione Commissione Europea in vigore al momento della sottoscrizione del Contratto.
Risarcimento e Responsabilità
Chiunque subisca un danno materiale o immateriale causato da una violazione degli obblighi di cui al GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Fatti salvi gli obblighi di indennizzo in capo al Sub-Responsabile già previsti nel Contratto lo stesso risponde in ogni caso per il danno causato dal trattamento se non ha adempiuto agli obblighi del Contratto o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.
Amministratori di sistema
Poiché il personale del Sub-Responsabile potrebbe svolgere funzioni riconducibili alla qualifica di “amministratori di sistema” secondo la normativa vigente, il Sub-responsabile si obbliga a mettere a disposizione, su richiesta del Responsabile o del Titolare, l’elenco dei propri collaboratori, autorizzati e nominati “amministratori di sistema” nonché di tutti coloro che possano potenzialmente intervenire sui dati personali di titolarità di ENEL.
Il Responsabile e il Sub-responsabile si impegnano inoltre a mantenere un registro dei log di accesso, disconnessione e tentativi di accesso dei propri collaboratori, qualora autorizzati, che siano stati nominati “amministratori di sistema” e che in tale loro qualità abbiano la potenziale possibilità di intervenire sui dati personali la cui titolarità è di ENEL per un tempo di sei mesi, con impegno di consegnarli al Titolare su semplice richiesta scritta di quest’ultimo ed entro 3 giorni di calendario nel format che sarà indicato dal Titolare.
Durata
La predetta nomina a Sub-Responsabile del trattamento, sarà revocata automaticamente alla scadenza del rapporto contrattuale o al momento della risoluzione per qualsiasi causa dello stesso.
Si prega di restituire l’unita copia della presente, sottoscritta per accettazione, e di segnalare fin d’ora ogni fatto e questione di particolare rilievo di cui si dovesse venire a conoscenza nell’applicazione della normativa vigente.
Con i migliori saluti
Il Responsabile
Per accettazione
Il Sub-Responsabile
Elenco nominativo dei Sub‐responsabili
COMPANY | COUNTRY AND ADDRESS | PRODUCT OR SERVICES | TYPE OR CATEGORY OF DATA PROCESSED | PRIVACY SHIELD OR OTHER RELEVANT CERTIFICATIONS |
RIF. CONTRATTO N.
Oggetto:
RICHIESTA AUTORIZZAZIONE NOMINA DEL SUB‐RESPONSABILE AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679 (DI SEGUITO “ GDPR”)
La Società xxxxxx, in qualità di Responsabile del trattamento dei dati personali nominato da [•], Titolare del trattamento
Premesso che
- per l’esecuzione di specifiche attività di trattamento connesse all’esecuzione del Contrato citato è necessario avvalersi di soggetti esterni alla propria organizzazione;
- a tali fini è stata individuata la Società xxx
- ai sensi dell’articolo 28 del GDPR tale società deve essere nominata sub‐responsabile del trattamento
TUTTO CIO’ PREMESSO
La Società xxx chiede a [•], in qualità di Titolare del trattamento, l’autorizzazione a nominare la Società xxx Sub‐responsabile del trattamento utilizzando a tali fini il modello predisposto dalla stessa ed allegato.
, XX/XX/XXXX
Il Responsabile del Trattamento Dati
Per accettazione
Allegato 7 GDPR
Gent. NOME E COGNOME Persona Autorizzata
RIF. CONTRATTO N.
Oggetto:
NOMINA PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI (DI SEGUITO “PERSONA AUTORIZZATA”), AI SENSI DELL’ART. 29 DEL REGOLAMENTO UE 2016/679 (DI SEGUITO “GDPR”)
La Società xxxxxx, in qualità di Sub‐Responsabile del trattamento dei dati personali, autorizzata a tali fini da Società Enel[•], Titolare del trattamento ai sensi dell’art. 28 GDPR
Premesso che
- Lo svolgimento delle attività inerenti la Sua mansione/qualifica contrattuale implica il trattamento di dati personali e richiede, tra l’altro, in relazione al Contratto citato, l’accesso ai sistemi informatici della [•] Titolare del trattamento dei dati personali;
- A tal fine è necessaria la Sua abilitazione ai predetti sistemi.
Il trattamento menzionato e la suddetta abilitazione presuppongono la Sua nomina a “Persona Autorizzata”, al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile o di chiunque agisca sotto la loro autorità ai sensi dell’art. 29 del GDPR;
TUTTO CIÒ PREMESSO
la scrivente Società
NOMINA
il Sig. xxxx, nato a xxxx il xxxx. C.F. xxxxx, “Persona Autorizzata” al trattamento dei dati personali, cioè a qualsiasi operazione, anche di mera consultazione, relativa a dati personali inseriti in archivi informatici e/o cartacei detenuti dalla scrivente Società e/o da [•], Titolare del trattamento, connessa allo svolgimento delle funzioni relative alla Sua mansione/qualifica , presso la sede di .
Vengono di seguito fornite informazioni ed istruzioni minime volte all’assolvimento dei compiti a Lei assegnati in relazione alle operazioni di trattamento di dati personali.
In particolare, si precisa che:
- Il trattamento dei dati personali deve essere effettuato in modo lecito e corretto;
- I dati personali devono essere raccolti e registrati unicamente per finalità connesse all’attività svolta, esclusivamente negli orari di lavoro e comunque non oltre il tempo necessario;
- Fatto salvo quanto sopra, nell’eccezionale ipotesi di trattamento dei dati personali svolto fuori dall’orario di lavoro, la Persona Autorizzata deve accertarsi di aver chiuso la sessione di lavoro (“log‐off”) in modo che siano richieste le credenziali di accesso al successivo utilizzo;
- È necessaria la verifica costante dei dati ed il loro aggiornamento;
- È necessaria la verifica costante della completezza e pertinenza dei dati trattati;
- La eventuale fase di raccolta del consenso deve essere preceduta da apposita informativa e dal rilascio del consenso degli interessati, che deve essere libero, specifico e in forma scritta o comunque appositamente documentata;
- In caso di interruzione, anche temporanea, del lavoro è necessario assicurarsi che i dati trattati non siano accessibili a terzi non autorizzati, effettuando apposito log‐off;
- Le proprie credenziali di autenticazione dovranno essere riservate e in quanto tali utilizzate unicamente dalla Persona Autorizzata;
- In ogni operazione di trattamento deve essere garantita la massima riservatezza.
In particolare Xxx, in qualità di Persona Autorizzata, è tenuto a:
b) accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati e non oltre il tempo necessario;
b) non lasciare incustoditi o esposti alla visione di soggetti comunque estranei al trattamento i documenti aziendali, con particolare riferimento a quelli contenenti dati sensibili e giudiziari, curare la necessaria riservatezza dei dati in questione, mettendo in atto ‐ anche sulla base delle disposizioni impartite dalla Società‐ le cautele idonee ad evitare che altri, non autorizzati, possano accedere ai suddetti dati;
c) non diffondere, comunicare i dati di cui è venuto in possesso, al di fuori dei casi consentiti dalla legge o previsti dalle norme contrattuali e mantenere il dovuto riserbo in ordine alle informazioni delle quali sia venuto a conoscenza nel corso dell’incarico anche quando sia venuto meno l’incarico stesso;
d) non scaricare massivamente i dati personali se non previa comunicazione e autorizzazione del Titolare o del Responsabile del trattamento;
e) in ogni caso, custodire con cura e diligenza appropriata la documentazione cartacea affidata nello svolgimento dell’attività lavorativa, contenente dati sensibili e quelli relativi ad iscrizioni nel casellario giudiziale, in armadi o cassetti muniti di serratura e osservare la procedura prevista (indicazione nell’apposito registro del proprio nominativo, orario e data di accesso, prelievo/restituzione del documento) per l’accesso agli archivi che conservano i dati sopra menzionati;
f) adottare ed attenersi scrupolosamente alle prescrizioni dettate dal Titolare o dal Responsabile in materia di misure tecniche organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ai sensi dell’art. 32 del GDPR);
g) in particolare, per il trattamento dati da effettuare con strumenti elettronici o comunque automatizzati, attenersi alle eventuali specifiche autorizzazioni/abilitazioni ed alle modalità e strumenti di conservazione forniti dal Titolare o dal Responsabile del trattamento dei dati;
h) informare il Responsabile in caso di incidenti che coinvolgano i dati personali oggetto del trattamento, in particolare se sensibili e/o giudiziari.
In ogni caso sarà Sua cura attenersi scrupolosamente alle prescrizioni dettate in materia di misure adeguate di sicurezza di all’articolo 32 del GDPR, riportate in calce alla presente e costituente parte integrante della stessa, di cui Lei dichiara di avere preso visione, nonché di quelle ulteriori eventualmente dettate dalla scrivente Società e/o dalla Società Titolare, i cui eventuali aggiornamenti Le verranno comunicati.
Si rileva infine quanto segue:
- la presente lettera di nomina cesserà di produrre effetti alla data di cessazione del rapporto di lavoro o dell’incarico con la Scrivente società; successivamente a detta data, pertanto, ogni trattamento dei dati personali, incluso l’accesso ai sistemi informatici della Scrivente Società e/o del Titolare, è vietato e sanzionato secondo le vigenti disposizioni di legge (cfr. a mero titolo esemplificativo l’art. 615‐ter, codice penale su “Accesso abusivo ad un sistema informatico o telematico”);
- copia della presente lettera sarà restituita dalla Persona Autorizzata alla Scrivente Società, sottoscritta per conoscenza ed accettazione, sarà conservata dalla medesima Società e da quest’ultima messa a disposizione della Titolare sua espressa richiesta, entro e non oltre due giorni dalla richiesta stessa;
- per evitare trattamenti dati non autorizzati sarà cura della Scrivente Società informare la Società Titolare della interruzione del rapporto di lavoro o dell’incarico in essere entro e non oltre cinque giorni dall’evento, al fine di consentire alla Società Titolare di disporre la revoca immediata delle abilitazioni informatiche dalla stessa rilasciate.
, XX/XX/XXXX
Il Sub‐Responsabile del Trattamento Dati
Per conoscenza ed accettazione la Persona Autorizzata
Istruzioni per le “Persone autorizzate” al trattamento dei dati personali
Il Regolamento UE 2016/679 in materia di protezione dei dati personali, (di seguito “GDPR”) richiede a tutti coloro che trattano dati personali che tali operazioni avvengano nel rispetto e nella tutela delle persone fisiche alle quali i dati si riferiscono, siano essi dipendenti, fornitori di beni e servizi, clienti, consulenti, etc..
Il GDPR prevede specificamente anche la necessità di fornire adeguate istruzioni a tutti coloro che, in relazione all’espletamento della propria attività, trattano dati personali vale a dire utilizzano o vengono a conoscenza di dati personali come definiti nell’art. 4 n. 1 del GDPR (vedi definizioni riportate in calce).
In ottemperanza alle disposizioni del GDPR, in qualità di “Persona Autorizzata”, Xxx dovrà effettuare i trattamenti di dati personali di Sua competenza attenendosi scrupolosamente alle seguenti istruzioni e ad ogni ulteriore indicazione che Le potrà essere fornita dal Responsabile del trattamento ovvero dal Titolare o da un Suo Delegato.
Le ricordiamo che i dati personali devono essere trattati:
• in osservanza dei criteri di riservatezza;
• in modo lecito e secondo correttezza;
• per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
• nel pieno rispetto delle misure adeguate di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In particolare, per quanto attiene a:
• Accesso a dati personali, banche dati ed applicazioni aziendali: i dati, le banche dati e le applicazioni aziendali cui Lei potrà accedere sono quelle strettamente indispensabili per l’esecuzione della Sua prestazione, in linea con le Sue mansioni e, per quanto attiene alle applicazioni informatiche, secondo il profilo di utenza che Le è stato assegnato.
• Creazione di nuove procedure/applicazioni: senza essere stato preventivamente autorizzato, non dovrà di Sua iniziativa attivare nuove procedure informatiche per la gestione od elaborazione di dati, archivi anche cartacei o files di dati personali. Qualora ciò si rendesse necessario, dovrà darne preventiva comunicazione al Suo responsabile diretto e procedere solo dopo aver ricevuto autorizzazione.
• Comunicazione e diffusione: i dati cui ha accesso nel corso dell’attività lavorativa dovranno essere trattati da Lei personalmente, o da Suoi colleghi, mentre non potranno essere comunicati e/o trasmessi a terzi, esterni.
• Misure di sicurezza: è Sua responsabilità osservare tutte le vigenti misure di protezione e sicurezza atte ad evitare rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito; in particolare, la Sua password non deve essere comunicata a nessuno, il Suo PC non dovrà rimanere collegato ad archivi aziendali ed accessibile in Sua assenza; i dati cartacei dovranno essere riposti in armadi chiusi alla fine della giornata e, comunque, dopo essere stati utilizzati; in ogni caso dovrà garantire la riservatezza dei dati cartacei ogni qualvolta lei si allontani dalla postazione. Ogni episodio che
Lei ritenga rilevante in materia di sicurezza dei dati dovrà essere immediatamente comunicato al Responsabile. Particolare attenzione deve essere posta nella gestione di documenti contenente dati di natura giudiziaria e/o sensibile.
• Richieste di accesso/esercizio dei diritti: qualora Xxx ricevesse una richiesta di accesso ex Capo III “Diritti dell’interessato” del GDPR ai propri dati da parte di un soggetto interessato (sia esso un dipendente dell’azienda, un fornitore, un cliente, un consulente, etc.), ne dovrà prendere nota scritta, annotando la data ed il nome del soggetto interessato, dandone poi immediatamente notizia al Responsabile ovvero alla funzione organizzativa competente a fornire il riscontro, che dovrà avvenire nel rispetto dei tempi prescritti.
1. TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
I dati personali archiviati su supporti di tipo magnetico e/o ottico devono essere protetti con le stesse misure di sicurezza previste per i supporti cartacei.
Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti contenenti dati personali devono essere identiche a quelle applicate agli originali.
1.5 Custodia
I documenti contenenti dati personali, devono essere custoditi in modo da non essere accessibili a persone non autorizzate al trattamento (es. armadi o cassetti chiusi, ove disponibile, a chiave).
I documenti contenenti dati personali che vengono prelevati dagli archivi per l’attività quotidiana devono esservi riposti a fine giornata.
I documenti contenenti dati personali non devono rimanere incustoditi su scrivanie o tavoli di lavoro; analoga attenzione deve essere posta nel prelevare i documenti ricevuti via fax; in linea di principio evitare di stampare documenti, se non indispensabile, e comunque prelevarli immediatamente evitando di lasciarli incustoditi presso la stampante.
1.6 Comunicazione
L’utilizzo dei dati personali deve avvenire in base al principio del “need to know” e cioè essi non devono essere condivisi, comunicati o inviati a persone che non ne necessitano per lo svolgimento delle proprie attività lavorative (anche se queste persone sono a loro volta autorizzate al trattamento). I dati non devono essere comunicati all’esterno della Società e comunque a soggetti terzi se non previa autorizzazione del Titolare ovvero del Responsabile.
1.7 Distruzione
Qualora sia necessario distruggere i documenti contenenti dati personali, questi devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti” o, in assenza, devono essere sminuzzati in modo da non essere più ricomponibili.
I supporti magnetici od ottici contenenti dati personali devono essere cancellati prima di essere riutilizzati. Se ciò non è possibile, essi devono essere distrutti.
1.8 Ulteriori istruzioni in caso di trattamento di dati sensibili e giudiziari
I documenti contenenti dati sensibili e/o giudiziari devono essere controllati e custoditi dalle Persone Autorizzate in modo che non vi accedano persone prive di autorizzazione. Ad esempio, la consultazione di documenti/certificati per l’inserimento in procedure informatiche di gestione/amministrazione del personale, di dati relativi a permessi sindacali, assenze per malattie, ecc., deve avvenire per il tempo strettamente necessario alla digitazione stessa e, subito dopo, i documenti devono essere archiviati in base alle presenti istruzioni. L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari deve essere separata da quella relativa ai dati comuni (può essere utilizzato lo stesso armadio o cassetto ‐eventualmente chiuso a chiave‐ ma contenitori separati).
Per accedere agli archivi contenenti dati sensibili e giudiziari fuori orario di lavoro è necessario farsi identificare e registrare sugli appositi registri.
2. TRATTAMENTI CON STRUMENTI ELETTRONICI
2.1 Gestione delle credenziali di autenticazione
La legge prevede che l’accesso alle procedure informatiche che trattano dati personali sia consentito alle Persone Autorizzate in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di identificazione. Le credenziali di autenticazione consistono in un codice per l’identificazione della Persona Autorizzata al trattamento dei dati (user‐id) associato ad una parola chiave riservata (password), oppure in un dispositivo di autenticazione (es. smart card, token, one‐time‐pw) o in una caratteristica biometrica. Le Persone Autorizzate devono utilizzare e gestire le proprie credenziali di autenticazione attenendosi alle seguenti istruzioni.
Le user‐id individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se autorizzate al trattamento). Nel caso altri utenti debbano poter accedere ai dati è necessario richiedere l’autorizzazione al Responsabile.
Le credenziali di autenticazione (ad esempio le password, oppure i dispositivi di strong authentication come token, smart card, etc.) che consentono l’accesso alle applicazioni devono essere mantenute riservate. Esse non vanno mai condivise con altri utenti (anche se autorizzate al trattamento).
Le password devono essere sostituite, a cura della singola Persona Autorizzata, al primo utilizzo e successivamente nel rispetto delle specifiche procedure aziendali almeno ogni tre mesi in caso di trattamento dei dati sensibili e giudiziari o almeno ogni 6 mesi per i dati personali/comuni.
Le password devono essere composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili alla Persona Autorizzata (es. nomi di familiari) e devono essere scelte nel rispetto della normativa aziendale sulla costruzione ed utilizzo delle password (vedi anche successivo punto 3.) salvo previsioni più restrittive previste dai sistemi aziendali.
2.2 Protezione del PC e dei dati
Tutti i PC devono essere dotati di password rispondenti alle istruzioni di cui al successivo punto 3. Le password devono essere custodite e gestite con diligenza e nel rispetto delle indicazioni fornite dal Titolare o, in sua vece, dal Responsabile.
Per evitare accessi illeciti, deve essere sempre attivato il salvaschermo con password, laddove tale impostazione non fosse automaticamente disponibile.
Sui PC devono essere installati, appena vengono resi disponibili (e comunque almeno annualmente), tutti gli aggiornamenti software necessari a prevenirne vulnerabilità e correggerne i difetti. In caso ciò non avvenga automaticamente, la Persona Autorizzata ne deve dare comunicazione al Responsabile.
Deve essere effettuato, con cadenza almeno settimanale un salvataggio di back‐up nella ipotesi in cui eventuali dati personali di terzi siano presenti unicamente sul PC della Persona Autorizzata (cioè non archiviati sui sistemi informatici aziendali). I supporti di memoria utilizzati per il back‐up devono essere trattati secondo le regole definite al punto “Trattamento senza l’ausilio di strumenti elettronici”.
2.3 Cancellazione dei dati personali
In caso di dismissione di strumenti di lavoro sarà Sua cura procedere alla rimozione dei dati personali in essi contenuti.
2.4 Ulteriori istruzioni in caso di trattamento di dati sensibili e giudiziari
Le password di accesso alle procedure informatiche che trattano dati sensibili e giudiziari devono essere sostituite, da parte della Persona Autorizzata se non è disponibile un sistema automatizzato, almeno ogni tre mesi, salvo modalità e periodi più restrittivi di volta in volta comunicati dal Responsabile o previsti da procedure.
L’installazione degli aggiornamenti software necessari a prevenire vulnerabilità e correggerne i difetti dei programmi per elaboratori deve essere effettuato almeno semestralmente, se non è disponibile un sistema automatizzato.
3. ISTRUZIONI DI CARATTERE GENERALE
Come scegliere e usare la password
- Usare almeno 8 caratteri
- Usare lettere, numeri e almeno un carattere tra . ; $ ! @ ‐ > <
- Non utilizzare date di nascita, nomi o cognomi propri o di parenti
- Non sceglierla uguale alla matricola o alla userid
- Custodirla sempre in un luogo sicuro e non accessibile a terzi
- Non divulgarla a terzi
- Non condividerla con altri utenti
Come comportarsi in presenza di ospiti o di personale di servizio
- Fare attendere gli ospiti in luoghi in cui non siano presenti informazioni riservate o dati personali.
- Se è necessario allontanarsi dalla scrivania in presenza di ospiti, riporre i documenti e attivare il salvaschermo del PC premendo “ctrl‐alt‐del” sulla tastiera e selezionando il pulsante “Lock Computer”.
- Non rivelare o fare digitare le password dal personale di assistenza tecnica.
- Xxx rivelare le password al telefono ‐ nessuno è autorizzato a chiederle.
Come gestire la posta elettronica
- Non aprire messaggi con allegati dei quali non si conosce l’origine, possono contenere virus in grado di cancellare i dati sul PC ovvero di trafugarli.
- Evitare di aprire filmati, presentazioni, immagini e file di qualunque formato provenienti da fonti non note che possono essere pericolosi per i dati contenuti sul vostro PC e, più in generale, per la sicurezza dell’infrastruttura tecnologica aziendale.
- Evitare l’inoltro automatico dalla propria casella aziendale verso caselle personali esterne e viceversa.
Come usare correttamente Internet
- Evitare di scaricare software da Internet (programmi di utilità, di office automation, file multimediali, ecc.) in quanto questo può essere pericoloso per i dati e la rete aziendale, salvo che tali software non siano funzionali alla realizzazione delle attività di sua competenza ed il loro utilizzo sia comunque noto alle competenti funzioni organizzative aziendali.
4. SANZIONI PER INOSSERVANZA DELLE NORME
Le ricordiamo che l’utilizzo per scopi personali o comunque per fini non legittimi dei dati ai quali ha accesso o ha acceduto, anche nel caso in cui non dia origine ad un danno e/o ad una responsabilità in capo a [•] secondo la legge italiana, potrebbe comunque comportare l’applicazione di sanzioni disciplinari, potendosi configurare quali violazioni ai doveri che incombono sul dipendente, così come previsti dal Codice Civile o dal Contratto Collettivo od Individuale applicabile, ed eventualmente anche penali.
Le chiediamo di segnalare tempestivamente eventuali situazioni di rischio per la sicurezza dei dati di cui ha avuto evidenza (es. la violazione della password, il tentativo di accesso non autorizzato ai sistemi) ovvero che riguardino i soggetti esterni autorizzati all’accesso (palesi violazioni delle Procedura aziendali): la Sua collaborazione è importante al fine di colmare eventuali lacune nei sistemi di sicurezza e nelle procedure relative alla tutela dei dati personali trattati.
Le presenti istruzioni costituiscono le linee guida alle quali dovrà informare la Sua attività: pertanto, in caso di dubbio, La invitiamo a contattare il Responsabile.
5. DEFINIZIONI
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Dato personale: qualunque informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione personale, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Categorie particolari di dati: i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (ndr: invalidità, certificato medico, indicazione di malattie/infortuni, portatore di handicap, ecc.).
Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u) del DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (ndr: detenzione o arresti domiciliari, interdizione legale, provvedimenti relativi ad amnistia e indulto, ecc.).
Titolare del trattamento: la persona fisica, la persona giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Responsabile del trattamento: la persona fisica, la persona giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
Persona Autorizzata al trattamento: Persona Autorizzata al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile del trattamento.
Interessato: la persona fisica cui si riferiscono i dati personali (es. dipendenti, clienti, fornitori, visitatori ecc).
Misure di sicurezza: il complesso delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ndr: pseudonimizzazione, cifratura, user id, password, utilizzo di contenitori con chiusure di sicurezza, ecc.).
Allegato 8 GDPR
NOMINA PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART 29 DEL REGOLAMENTO UE 2016/679 (GDPR) DA PARTE DEL SUB-RESPONSABILE
AUTOCERTIFICAZIONE
Fac simile DICHIARAZIONE SOSTITUTIVA
(D.P.R. 28 dicembre 2000, n.445)
Spett.le [•]
Il/La sottoscritto/a………………………………………………………………………………………………………………………………………
(cognome) (nome)……………………………………………………………………………………………………………………………………..
nato/a a ……………………………………………….(……….) il……………………………………………………………………………………..
(luogo)………………………………………………………………(prov.)……………………………………………………………………………..
residente a …………………………. (…….) in via ……………………………… n. ………………………………………………………….
(luogo)……………………….. (prov.)……………. (indirizzo)………………………………………………………………………………….
domiciliato/a in ………………………(……) in via ……………………………… n. ………………………………………………………...
(luogo)……………….. (prov.)………………. (indirizzo)……………………………………………………………………………………….
In qualità di rappresentate legale della Impresa/Società………………………………………………………………………….
con sede legale in ………………………(……) in via ……………………………… n. ……………………………………………………..
Codice Fiscale……………………………………..P.IVA……………………………………………………………………………………………..
relativamente al Contratto n. ……
quale Sub‐Responsabile del trattamento, consapevole delle sanzioni penali richiamate dall’art.76 del d.P.R. 28.12.2000 n.445, in caso di dichiarazioni mendaci e di formazione o uso di atti falsi, sotto la propria responsabilità
DICHIARA
‐ di avere provveduto a nominare i dipendenti/collaboratori di cui si avvale in relazione alle attività di cui al citato contratto quali “Persone Autorizzate” al trattamento dei dati personali ai sensi dell’art 29 GDPR, utilizzando il modello di lettera di nomina da Voi predisposto comprensivo delle relative Istruzioni
- che copia delle nomine è disponibile presso di sé ed a disposizione di [•]
ALLEGA
- in calce alla presente l’elenco dei nominativi dei soggetti a tal fine nominati
SI IMPEGNA
- a fornire a Codesta società copia delle nomine entro la data che sarà oggetto di specifica comunicazione da parte di Codesta Società;
- ad aggiornare la documentazione inviata, prima dell’inizio delle attività nel caso di nuovi dipendenti/collaboratori, entro cinque giorni lavorativi dalla data di cessazione nel caso di dipendenti/collaboratori cessati.
Data ...........................
Firma ..........................
Informativa ai sensi dell art. 13 del GDPR
Si rende noto che i dati personali vengono acquisiti con il presente Allegato e sono trattati per finalità strettamente connesse alla gestione ed esecuzione del Contratto, ovvero per dare esecuzione agli obblighi previsti dalla legge. I dati personali, inoltre, sono raccolti e trattati in modo automatizzato ed in forma cartacea e saranno conservati per tutta la durata del Contratto e successivamente alla sua cessazione, per un tempo non superiore ai termini previsti dalle vigenti disposizioni di legge.
Al riguardo si precisa che:
− Il Titolare del trattamento dei dati in questione è la Società [•] in persona del legale rappresentante pro tempore (di seguito ENEL);
− L’interessato è la persona fisica i cui dati personali sono trattati ai fini della stipula, gestione ed esecuzione del Contratto (di seguito l’Interessato);
− I dati personali trattati potranno essere trasmessi a terzi, ovvero sia alle società soggette a direzione e coordinamento di ENEL S.p.A. o a quest’ultima collegate, sia ad altri soggetti. I suddetti terzi destinatari potranno essere nominati Responsabili del trattamento;
− L’Interessato ha facoltà di esercitare i diritti previsti dagli articoli 15‐21 del GDPR (diritto di accedere ai propri dati, richiedere la rettifica, la portabilità o la cancellazione degli stessi, richiedere la limitazione del trattamento dei dati che lo riguardano oppure può opporsi al loro trattamento), ove applicabili, contattando il Titolare del trattamento;
− L’Interessato ha il diritto di proporre un reclamo al Garante per la Protezione dei Dati Personali, con sede in Xxxx, xxxx xxx xx Xxxxx Xxxxxxx, 000; Tel. (x00) 00.000000, email: xxxxxxx@xxxx.xx;
− Il Titolare del trattamento ha nominato il Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del GDPR, i cui dati di contatto sono reperibili sul sito web dello Titolare stesso.
N.B. La firma del titolare o del legale rappresentante deve essere corredata da copia fotostatica non autenticata di un documento di identità del sottoscrittore (fronte/retro)
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐