VERBALE DI INTEGRAZIONE
VERBALE DI INTEGRAZIONE
Verbale di integrazione al Verbale di Accordo di Gruppo del 29 settembre 2014 relativo alla definizione dei principi e delle linee guida valevoli per tutte le società del Gruppo rientranti nell’ambito di applicazione del Provvedimento del Garante per la protezione dei dati personali del 12 maggio 2011, n. 192
Il giorno 27 novembre 2019, in Modena,
tra
l’Azienda BPER Banca Spa in veste di azienda Capogruppo (di seguito, per brevità, “BPER”) e in nome e per conto delle aziende coinvolte, nelle persone dei Sigg. Xxxxxxxx Xxxxx, Xxxxxxx Xxxxx, Xxxxxx Xxxxxxxxxxx, Xxxxxxx Xxxxxx, Xxxxxxx Xxxxxx,Xxxx Xxxx Xxxxxxx, Xxxxx Xxxxx e Xxxxxxxx Xxxxxx
e le Delegazioni di Gruppo delle Organizzazioni Sindacali:
FABI FIRST/CISL FISAC/CGIL UILCA
UNITA’ SINDACALE FALCRI-SILCEA SINFUB
premesso che
1) in data 15 aprile 2014 è stato sottoscritto tra ABI e le XX.XX. l’Accordo Quadro nazionale sull’applicazione del Provvedimento del Garante per la protezione dei dati personali del 12 maggio 2011, n.192, che qui si dà per integralmente trascritto e che ha definito lo schema generale di accordo da utilizzare per la sottoscrizione di intese ex art. 4, comma 2, L. n. 300/1970 in specifica attuazione del Provvedimento in oggetto;
2) in data 7 agosto 2014 l’Azienda e le XX.XX. di Gruppo hanno sottoscritto un’intesa volta a disciplinare l’effettuazione di una fase sperimentale finalizzata alla sottoscrizione dell’intesa ex art. 4, comma 2, L. n. 300/1970 in specifica attuazione del Provvedimento in oggetto;
3) in data 29 settembre 2014 le Parti hanno sottoscritto il Verbale di Accordo di Gruppo - che qui si richiama integralmente - relativo alla definizione dei principi e delle linee guida valevoli per tutte le società del Gruppo rientranti nell’ambito di applicazione del Provvedimento del Garante per la protezione dei dati personali del 12 maggio 2011, n. 192;
4) in data 22 ottobre 2015 le Parti hanno concordato di inserire Cassa di Risparmio di Bra nell’elenco di Banche e Società di cui all’All.1, con relativa modifica e sostituzione del citato allegato con il documento All.1 al Verbale sottoscritto il 22 ottobre 2015. Nel medesimo Verbale si prevedeva l’integrazione dell’All.2 e la derubricazione dell’All.3 del Verbale 29 settembre 2014;
5) in data 23 marzo 2016 le Parti hanno concordato di inserire Bper Credit Management nell’elenco di Banche e Società di cui all’All.1, con relativa modifica e sostituzione del citato allegato con il documento All.1 al Verbale sottoscritto il 23 marzo 2016. Nel medesimo verbale si prevedeva l’integrazione dell’All.2 a seguito della modifica della denominazione della struttura di riferimento;
6) in data 26 Novembre 2016 Banca Popolare dell’Xxxxxx Xxxxxxx ha assunto la denominazione di BPER Banca
7) nell’ottobre 2016 è stato derubricato l’Ufficio Processi Normative Trasversali e le attività del Presidio Privacy sono state trasferite presso l’Ufficio Processi Rischi e Controlli all’interno del Servizio Processi e Gestione Progetti (ex Servizio Process e Demand Management);
8) con decorrenza 1 febbraio 2018, come previsto dal Regolamento UE 2016/679 – GDPR, il quale prevede l’Istituzione del Responsabile Protezione dei Dati (DPO), è stato costituito l’Ufficio Privacy e Data Protection; l’Ufficio ha acquisito le attività legate all’ambito privacy dall’Ufficio Processi Rischi e Controlli;
9) il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/79 per il Trattamento dei Dati Personali;
10) il Verbale di Accordo di cui al punto 3 si applica a tutte le Banche e Società del Gruppo Bper elencate nell’All 1, così come sostituito con Accordo 23 marzo 2016, nel quale non compare Cassa di Risparmio di Saluzzo;
11) il Verbale di Accordo 29 settembre 2014, all’art. 4, prevede che “eventuali future modifiche, se significative, formeranno oggetto di specifica informativa alla Delegazione Sindacale di Gruppo nel corso di un apposito incontro, nell’ambito del quale le parti valuteranno se modificare o integrare l’accordo stesso; successivamente saranno oggetto di illustrazione in sede aziendale”;
12) è avvenuta la migrazione informatica e la riorganizzazione della Cassa di Risparmio di Saluzzo, come da informativa trasmessa dal Gruppo Bper alle delegazioni sindacali di Gruppo ed alle Segreterie Nazionali delle Organizzazioni Sindacali in data 25 giugno 2018;
13) con la riorganizzazione di cui al punto precedente anche il processo di gestione degli alert è stato adeguato al modello di Capogruppo;
14) con decorrenza 15 Gennaio 2019 il processo di gestione degli alert di Banca di Sassari è stato trasferito dal Banco di Sardegna alla Banca di Sassari stessa;
15) in data 10 giugno 2019 è avvenuta la fusione per incorporazione della società consortile Bper Services in BPER Banca;
16) si rende pertanto necessario integrare il Verbale di Accordo di Gruppo del 29 settembre 2014 – come modificato con Verbale di Accordo 22 ottobre 2015 e successivamente modificato con Verbale del 23 marzo 2016 così come disposto dall’art.4 del medesimo Verbale, prevedendo l’adeguamento del processo di gestione degli alert di Cassa di Risparmio di Saluzzo al modello in uso in Capogruppo dalla data del 29 ottobre 2018;
si è convenuto quanto segue
Art. 1 – Premessa
La premessa costituisce parte integrante e sostanziale del presente accordo.
Art. 2 – Inserimento di Cassa di Risparmio di Saluzzo nell’elenco di Banche e Società di cui all’All. 1 dell’Accordo di Gruppo del 23 marzo 2016 e modifica dello stesso in seguito al cambio di denominazione della Banca Popolare dell’Xxxxxx Xxxxxxx e modifica in seguito alla fusione di Bper Services in BPER Banca
A norma dell’art. 4 del Verbale di Accordo di Gruppo del 29 settembre 2014 le Parti concordano di inserire Cassa di Risparmio di Saluzzo, nell’elenco di Banche e Società di cui all’All. 1, come modificato e sostituito dall’All.1 del Verbale 23 marzo 2016.
A seguito della modifica della denominazione della Banca Popolare dell’Xxxxxx Xxxxxxx in BPER Banca, avvenuta in data 26 novembre 2016, le Parti concordano di aggiornare l’elenco dell’All’1, con la modifica e sostituzione dell’allegato con il documento All. 1 al presente Verbale.
Art. 3 – Modifica allegato 2 verbale 29 settembre 2014 e successive modifiche
A seguito delle modifiche organizzative intervenute nell’ottobre 2016, febbraio 2018, ottobre 2018, gennaio 2019 e giugno 2019 citate ai punti 7, 8, 12, 14 e 15 delle premesse le Parti concordano di
modificare l’allegato 2 del Verbale 29 settembre 2014 e successiva modifica del 23 marzo 2016 – paragrafo “Sistema degli alert”, sostituendo “con “Ufficio Privacy e Data Protection”, che ne ha acquisito le attività dall’UfficioProcessi Rischi e Controlli einserendo le competenze su Cr. Saluzzo e Banca di Sassari come riportato nell’allegato 2..
Art. 4 – Comunicazione ai sensi dell’art. 13 Regolamento UE 2016/679
I lavoratori saranno informati in merito al cambio di sistema di tracciamento dei log ai sensi dell'art. 13 Regolamento UE 2016/679, secondo quanto previsto dall’art. 7 del Verbale di Accordo di Gruppo del 29 settembre 2014.
Le Organizzazioni Sindacali BPER Banca SPA
FABI (anche in qualità di Capogruppo in nome e per conto delle Società interessate)
FIRST/CISL FISAC/CGIL UILCA
UNITA’ SINDACALE FALCRI-SILCEA-SINFUB
Allegato 1 – Elenco Banche e Società
• BPER BANCA
• BANCO DI SARDEGNA
• BANCA DI SASSARI
• OPTIMA
• BPER TRUST COMPANY
• NETTUNO GESTIONE CREDITI
• CASSA DI RISPARMIO DI BRA
• BPER CREDIT MANAGEMENT
• CASSA DI RISPARMIO DI SALUZZO
• SARDALEASING (confermato ex xxx.xx 4 accordo 29 settembre 2014)
Scheda esplicativa dati tecnici Allegato n.2 – accordo 29_settembre 2014
Caratteristiche tecniche: Base dati host, collocata in infrastruttura standard. Previsti salvataggi di backup secondo i processi standard.
Ubicazione: server farm BPER Banca.
Termine di conservazione : come previsto dall’articolo 3 del presente accordo.
Modalità di accesso: Con riconoscimento ruoli e profili sistemistici secondo processi standard.
Dettagli tecnici log e flussi:
Caratteristiche tecniche: Flussi di dati dipartimentali e host, spediti e ricevuti mediante processi e strumenti di trasferimento file standard.
Ubicazione: server farm BPER Banca.
Termine di conservazione: come previsto dall’articolo 3 del presente accordo.
Modalità di accesso: con riconoscimento ruoli e profili sistemistici secondo processi standard.
Come richiesto dal provvedimento emesso dal Garante per la protezione dei dati personali, verranno tracciate tutte le operazioni bancarie che trattino dati di clienti soggetti alla normativa privacy vigente (persone fisiche come classificate in anagrafe di gruppo).
Le informazioni da tracciare sono registrate dalle singole procedure informatiche sulla base dati host centralizzata e sono:
a) il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso (matricola di chi ha eseguito l’operazione);
b) la data e l’ora di esecuzione;
c) il terminale della postazione di lavoro utilizzata e l’identificativo ufficio dal quale è avvenuta (filiale/ufficio/sezione);
d) l’identificativo del cliente interessato dall’operazione di accesso ai dati bancari o l’identificativo del rapporto interessato dall’operazione di accesso;
e) la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata.
Gli ulteriori dati memorizzati sulla base dati host centralizzata sono:
f) il codice della banca/società in cui è eseguita l’operazione;
g) ulteriori dati atti ad identificare la tipologia di transazione utilizzata ed il tracciato informatico usato (codice procedura);
h) ulteriori dati descrittivi atti ad identificare l’operazione posta in essere, valorizzati da ciascun servizio alimentante (codice transazione).
Tali informazioni vengono inviate giornalmente tramite un file transfer automatico ad una base dati dipartimentale che raccoglie le informazioni per i tempi di conservazione previsti all’art. 3 del presente accordo. Tutta l’attività di estrazione , invio e ricezione è automatizzata.
Le strutture tecnologiche utilizzate sono standard e di mercato.
Durante il passaggio dei dati dall’infrastruttura host all’infrastruttura dipartimentale atta a generare gli alert previsti dal provvedimento i tracciati vengono transcodificati attraverso i seguenti dati :
- nome/cognome e codice fiscale dell’operatore che ha posto in essere l’operazione;
- l’eventuale codice azienda di distacco dell’operatore che ha posto in essere l’operazione;
- il codice filiale/ufficio/sezione di appartenenza del soggetto che ha posto in essere l’operazione;
- l’informazione se la posizione interrogata appartenga o meno ad un dipendente;
- ulteriori informazioni sulla posizione interrogata nei casi in cui siano reperibili dal sistema informativo di gruppo (codice fiscale del soggetto interessato dall’operazione/codice ndg/estremi del rapporto/stato di cointestato o meno);
- ulteriori dati descrittivi atti ad aiutare l’attività di generazione ed analisi degli alert (la descrizione della filiale/ufficio di appartenenza, la descrizione della filiale operante, la descrizione della transazione utilizzata, le mansioni dell’operatore divise tra filiale ed ufficio centrale).
Sulla base dati dipartimentale è prevista la creazione di alert giornalieri atti ad evidenziare le situazioni di attenzione.
Sistema degli alert
Attraverso strumenti di business intelligence all’uopo parametrizzati, come previsto dal provvedimento del Garante, sono impostati alert finalizzati a segnalare eventuali situazioni anomale emerse principalmente a seguito dell’analisi di:
1) fasce orarie di operatività (compresi orari, giorni non lavorativi e/o assenze);
2) accessi su rapporti non radicati o non gestiti presso/dalla struttura di appartenenza del dipendente;
3) ruolo dell’operatore;
L’alert è generato automaticamente quando tali parametri e/o una combinazione di essi superano una soglia prestabilita rispetto frequenze e livelli di riferimento definiti ad una normale operatività. Nel rispetto del principio della segregazione dei compiti previsti dalla normativa, i profili autorizzativi ed i diritti di accesso ai dati bancari sono adeguatamente gestiti e controllati, di conseguenza non possono verificarsi transazioni al di fuori dei ruoli organizzativi autorizzati.
L’accesso alle informazioni obbligatoriamente archiviate ed all’applicativo di generazione degli alert sarà consentito all’’ Ufficio Privacy e Data Protection con competenza su BPER Bancae, con competenza sul Banco di Sardegna all’Ufficio Normativa e Amministrazione costituito presso il Banco di Sardegna e, con competenza su Cassa di Risparmio di Bra, all'Ufficio Organizzazione e Servizi - Cost Management ed ai Referenti Compliance costituiti presso Cassa di Risparmio di Bra e con competenza su Cassa di Risparmio di Saluzzo all’Ufficio Organizzazione ed al Referente Compliance costituito presso Cr. Saluzzo, e con competenza sulla Banca di Sassari all’Ufficio Organizzazione costituito presso Banca di Sassari nonché alle funzioni aziendali di controllo ed ai gestori informatici dell’applicativo competenti secondo ruoli e responsabilità”. Eventuali modifiche nella struttura organizzativa della Capogruppo, anche a seguito del completamento delle programmate fusioni, potranno comportare modifiche alle denominazioni e/o al perimetro delle unità organizzative che accedono alle informazioni in parola: di tali modifiche si darà opportuna informativa.
In caso di generazione automatica di alert, le Strutture aziendali incaricate del presidio continuativo delle informazioni, qualora dovessero rilevare profili anomali, potranno segnalare alle funzioni aziendali di controllo ed alla Direzione Risorse Umane della Capogruppo le situazioni di potenziale violazione della privacy e senza ritardo il dipendente verrà informato, senza che ciò costituisca avvio di procedura disciplinare ai sensi dell’art. 7 Legge 300, in merito alla verifica in corso e potrà essere sentito, anche su sua richiesta, con l’eventuale assistenza di un rappresentante sindacale dell’Organizzazione cui aderisce o conferisce mandato.
Gli accessi eseguiti da tali strutture sono a loro volta tracciati e conservati per i tempi di conservazione previsti all’art. 3 del presente accordo.