Il presente Documento costituisce la Policy adottata in materia di Privacy secondo le norme del:   Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati); Decreto Legislativo 30.06.2003, n. 196Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (così come modificato dalDecreto Legislativo 10.08.2018, n. 101 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679).  

Titolare del trattamento:

Fondo Pensione per la Previdenza complementare

Dirigenti – Sigma Tau (Epids)

Sede Legale: Roma (RM), Via Antonio Bertoloni n. 49, cap 00197

Data ultima revisione Documento

14.02.2019

INDICE DEL DOCUMENTO

Glossario

1. PREMESSA: il Fondo

1.1. Scopo del presente documento e ambito di applicazione

SEZIONE PRIMA: MODELLO ORGANIZZATIVO PRIVACY

2. INDIVIDUAZIONE DEI SOGGETTI PREPOSTI AL TRATTAMENTO DEI DATI PERSONALI

SEZIONE SECONDA: MODELLO DI GESTIONE PRIVACY

3. POLITICA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

3.1. Tipologie di dati personali trattati dal Fondo

3.2. Modalità di acquisizione di dati personali

4. DESCRIZIONE DEI TRATTAMENTI DEI DATI

4.2. Tipologie di trattamenti di dati personali effettuati dal Fondo

4.3. Finalità e basi giuridiche del trattamento

4.4. Trattamenti di dati personali affidati in outsourcing

4.5. Trasferimento di Dati Personali in Paesi extra-UE

5. INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI

6. DATA PROTECTION BY DESIGN E BY DEFAULT

7. IDENTIFICAZIONE DELLE RISORSE DA PROTEGGERE

8. IL REGISTRO DEI TRATTAMENTI

9. SICUREZZA DEL TRATTAMENTO

10. DIRITTI DEL SOGGETTO INTERESSATO

11. GESTIONE DELLA DATA RETENTION

12. GESTIONE DATA BREACH

13. GESTIONE DEI RAPPORTI CON IL GARANTE

14. SANZIONI

– Allegati:

1. Nomina a Responsabile del trattamento;

2. Informativa relativa al trattamento dei dati personali (soggetti aderenti);

3. Registro dei trattamenti;

4. Modulo di esercizio dei diritti dell’Interessato;

5. Tabella Data retention;

6. a) Procedura Data breach;

    b) Modulo di notifica Data breach.  

Glossario

Amministratore di SistemaLa figura professionale/ruolo cui è demandata la gestione e/o la manutenzione di un sistema informatico e di elaborazione dati o di sue componenti sia hardware che software, come definiti dal Provvedimento Generale del Garante del 27 Novembre 2008 e s.m.i.
Autorità di controllo (o Autorità)L’Autorità di cui all’articolo 51 del Regolamento Europeo in materia di Protezione dei Dati personali ovvero una o più Autorità pubbliche indipendenti incaricate da uno Stato Membro di sorvegliare l’applicazione del Regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.
Base GiuridicaI dati vanno trattati in virtù di una base giuridica (art. 6, Reg. UE 2016/679) affinché il trattamento possa considerarsi lecito. Tipologie di Basi giuridiche del trattamento: a) consenso del soggetto Interessato; b) esecuzione di un contratto di cui l’Interessato è parte; c) adempimento di un obbligo legale; d) salvaguardia di interessi vitali dell’Interessato; e) esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; f) perseguimento del legittimo interesse del Titolare del trattamento.
Categorie particolari di datiI dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i Dati personali idonei a rivelare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
ComunicazioneIl dare conoscenza dei dati personali a uno o più soggetti diversi dall’Interessato, dal rappresentante del Titolare nel territorio dello Stato, dal Responsabile e dagli Incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
ConsensoQualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutti i requisiti indicati nel Reg. UE 2016/679. In caso contrario il Titolare dovrà informare gli Interessati dei nuovi diritti previsti dal Reg. UE 2017/679.
Dato giudiziarioQualsiasi dato personale idoneo a rivelare qualsivoglia provvedimento di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Dato personaleQualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»), anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati relativi alla saluteI Dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Dipendente e CollaboratoreColui che, in forza di contratto, risulta subordinato alle direttive imprenditoriali o professionali del datore di lavoro, prestando così il proprio lavoro intellettuale o manuale in cambio di una retribuzione (stipendio o salario).
General Data Protection Regulation (o “GDPR”)Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, esecutivo a partire dal 24 maggio 2016 e applicabile dal 25 maggio 2018, che stabilisce la disciplina europea di regolamentazione in materia di protezione dei dati personali.
InteressatoLa persona fisica identificata o identificabile, direttamente o indirettamente, da un dato personale o comunque il soggetto al quale il dato trattato si riferisce.
TrattamentoQualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Violazione dei dati personali (Data breach)La violazione di dati personali che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. In tal caso è necessaria la comunicazione all’Autorità di controllo delle violazioni dei dati affinché possano essere adottate le misure opportune; in casi gravi le violazioni devono essere comunicate anche all’Interessato.

1. Premessa: il Fondo

Il Fondo Pensione per la Previdenza complementare Dirigenti – Sigma Tau (Epids), C.F. – P. IVA 03516521006 (di seguito il “Fondo”), quale associazione riconosciuta (ai sensi degli articoli 12 e seguenti del Codice Civile) e iscritta (in data 02.02.2000) con il numero 1166 all’Albo tenuto dalla Commissione di vigilanza sui fondi pensione (COVIP), svolge, ai sensi del D. Lgs. 05.12.2005, n. 252, attività di erogazione di trattamenti pensionistici complementari del sistema previdenziale obbligatorio.

Il Fondo ha come scopo quello di consentire ai soggetti aderenti di poter percepire una pensione complementare (“rendita”) che si aggiunge alle prestazioni del sistema pensionistico obbligatorio. A tal fine, il Fondo raccoglie le somme versate (contributi), investendole in un comparto assicurativo con garanzia di restituzione del capitale versato. Per il caso di decesso dell’aderente dopo il pensionamento, il Fondo offre la possibilità di assicurare l’erogazione di una pensione ai suoi familiari, sottoscrivendo una rendita “reversibile”.

Il Fondo mette a disposizione degli aderenti lo Statuto, il bilancio, il documento sulle anticipazioni e tutte le altre informazioni utili all’aderente secondo quanto previsto dalle disposizioni COVIP in materia.

Le attività inerenti la gestione amministrativa – contabile nonché la gestione delle risorse sono state interamente affidate, mediante apposite convenzioni, a soggetti terzi scelti dal Consiglio di Amministrazione sulla base di criteri di affidabilità, esperienza e professionalità. Nell’ambito delle convenzioni stipulate, il Fondo ha adottato misure finalizzate a tutelare la riservatezza dei dati personali nel rispetto della normativa vigente.

Il Fondo ha sede legale in Roma (RM), Via Antonio Bertoloni n. 49 (cap 00197), presso la sede della società Ellegi Consulenza S.p.A. (C.F. P.IVA 09297481005), società quest’ultima incaricata di svolgere servizi direzionali e attività di segreteria amministrativa del Fondo (gestione amministrativa e contabile). Pertanto, i dati di contatto (indicati nella documentazione rilasciata dal Fondo) coincidono con quelli della medesima società outsourcer. Nello specifico:

– indirizzo e-mail: segreteria.fondoepids@ellegiconsulenza.com;

– Telefono: 06.95585074;

– Fax: 06/99366469.

Presso la sede del Fondo sono disponibili lo Statuto e la Nota informativa, documenti questi ultimi che contengono informazioni di maggiore dettaglio sulle caratteristiche del Fondo; sono inoltre disponibili il Documento sul regime fiscale, il Regolamento sulle anticipazioni e ogni altro documento e/o informazione di carattere generale utile all’iscritto.

1.1. Scopo del presente documento e ambito di applicazione

Il Documento ha l’obbiettivo di evidenziare la policy in materia di privacy posta in essere dal Fondo rispetto a quanto disposto dal Regolamento (UE) 2016/679 (di seguito “Regolamento”), approvato in data 14 aprile 2016 dal Parlamento Europeo ed in vigore dal 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea.

Pertanto, in relazione alle novità introdotte dal Regolamento, il Fondo ha provveduto ad uniformarsi nei termini previsti. Il presente Documento sarà peraltro oggetto di periodica review in relazione a modifiche interne del soggetto Titolare del trattamento ovvero a modifiche provenienti dall’esterno (quali normative, regolamenti, provvedimenti di Authority).

Vale, ai sensi dell’adeguamento presente, l’ultima versione aggiornata della presente Master Policy.

Al fine di garantire una gestione della protezione dei dati personali conforme alle normative vigenti, il Fondo ha sviluppato il presente documento, che si compone di:

  • Sezione Prima:Modello Organizzativo Privacy”, che descrive chiaramente i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati personali nella propria titolarità;
  • Sezione Seconda:Modello di Gestione Privacy”, che descrive i requisiti di conformità normativa, delinea i processi di gestione ed individua le misure organizzative e tecniche necessarie per un corretto governo dei trattamenti dei dati personali all’interno del Fondo, in linea con gli adempimenti richiesti dalla normativa vigente.

Il presente Documento trova applicazione nei confronti del Titolare e delle Terze Parti che, nell’ambito delle proprie mansioni ovvero delle attività professionali svolte per conto del Fondo, compiano operazioni di Trattamento su dati personali. 

SEZIONE PRIMA: MODELLO ORGANIZZATIVO PRIVACY

2. INDIVIDUAZIONE DEI SOGGETTI PREPOSTI AL TRATTAMENTO DEI DATI PERSONALI   

Identificazione del ruolo e ResponsabilitàDefinizione del ruolo e ResponsabilitàSoggetto preposto al trattamentoAllegato
  Titolare del trattamentoLa persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente ovvero insieme ad altri, determina le finalità e i mezzi del trattamento di dati personaliFondo Pensione per la Previdenza complementare Dirigenti – Sigma Tau (Epids) in persona del Presidente pro tempore   
            Responsabile del trattamento          La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta i dati personali per conto del Titolare del trattamento    Previnet S.p.A.Nomina a Responsabile del trattamento (All. 1)  
  Ellegi Consulenza S.p.A.  Nomina a Responsabile del trattamento (All. 1)  
    Allianz S.p.A., UNIPOL SPA    Nomina a Responsabile del trattamento (All. 1)  
    Persona autorizzata al trattamento  La persona fisica autorizzata a compiere operazioni di trattamento su dati personali per conto del Titolare e/o del Responsabile  Il Fondo non ha stipulato alcun contratto con dipendenti e collaboratori interni   
              Amministratore di sistema                    La figura professionale/ruolo cui è demandata la gestione e/o la manutenzione di un sistema informatico e di elaborazione dati o di sue componenti sia hardware che software, come definiti dal Provvedimento Generale del Garante del 27 Novembre 2008 e s.m.i.  Non è previsto un Amministratore di sistema interno al Fondo, il quale ha pertanto esternalizzato tale servizio, affidandolo ad un outsourcer che opera nella sua qualità di Responsabile Esterno del Trattamento.   
            Responsabile della protezione dei dati personali            Il soggetto incaricato di determinati compiti (artt. 37 e ss. del Regolamento)  ASSENTE   Il Fondo è composto da un numero limitato di aderenti (inferiore a cento), non trattando quindi dati appartenenti a categorie particolari (ex sensibili) né dati giudiziari su larga scala.   

SEZIONE SECONDA: MODELLO DI GESTIONE PRIVACY

3. POLITICA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Il presente Documento trae la propria origine dalle norme contenute nel Regolamento e dalle successive modifiche ed integrazioni. Al fine di recepire completamente lo spirito con cui è stato varato tale Regolamento, il Fondo ha elaborato il seguente Documento come policy in materia di privacy al fine di testimoniare lo sforzo realizzato dal medesimo ente per garantire la protezione, l’integrità, la conservazione di ogni singolo dato personale trattato. Il Fondo, infatti, tratta dati personali nel rispetto della normativa vigente, provvedendo a conservarli nella massima sicurezza.

Per la redazione del presente Documento volto a testimoniare la conformità del Fondo al Regolamento, è stata analizzata ed eventualmente integrata / aggiornata / modificata, copia della seguente documentazione:

  • Statuto del Fondo;
  • Nota informativa per i potenziali aderenti (depositata presso la COVIP in data 24/05/2018); 
  • Regolamento sulle anticipazioni (modificato dal Consiglio di Amministrazione del Fondo nella seduta del 26 maggio 2017);
  • Informativa (cartacea) sul trattamento dei dati personali;
  • Modulo di adesione iscritti espliciti al Fondo;
  • Convenzioni tra il Fondo e soggetti terzi;
  • Atti di nomina a Responsabili del trattamento (rilasciati dal Fondo).

3.1. Tipologie di dati personali trattati dal Fondo

Categoria di InteressatoTipologia di dati trattati
  Soggetti Aderenti al Fondo (compresi il coniuge nonché i figli del soggetto aderente)Dati identificativi e fiscali Dati di contatto Dati appartenenti a categorie particolari (ex sensibili)  
  Membri degli Organi del FondoDati identificativi Dati di contatto Dati giudiziari  

Come sopra riportato, il Fondo, durante lo svolgimento delle sue attività, tratta i seguenti dati:

1. Dati afferenti lo svolgimento dell’attività istituzionale del Fondo (dati anagrafici dei soggetti aderenti, dati afferenti i livelli di contribuzione e dati inerenti l’esercizio di diritti e prestazioni);  

2.Dati (incluse le categorie particolari di dati personali – ex dati sensibili Codice privacy) indispensabili al Fondo per svolgere l’attività istituzionale nonché per assolvere ad obblighi normativi e contrattuali (anticipazioni sulle posizioni individuali*);

3. Dati giudiziari dei membri di alcuni organi del Fondo (Presidente, Consiglio di Amministrazione e Collegio dei Sindaci), i quali devono possedere i requisiti di onorabilità e professionalità.

* Anticipazioni sulle posizioni individuali

In base alla normativa vigente nonché allo statuto del Fondo, il soggetto aderente può richiedere un’anticipazione della posizione individuale maturata nei seguenti casi e misure:

a) in qualsiasi momento, per un importo non superiore al 75 per cento, per spese sanitarie conseguenti a situazioni gravissime attinenti a sé, al coniuge o ai figli, per terapie e interventi straordinari riconosciuti dalle competenti strutture pubbliche;

b) decorsi 8 anni di iscrizione, per un importo non superiore al 75 per cento, per l’acquisto della prima casa di abitazione per sé o per i figli o per la realizzazione, sulla prima casa di abitazione, degli interventi di manutenzione ordinaria, straordinaria, di restauro e di risanamento conservativo, di ristrutturazione edilizia, di cui alle lettere a), b), c) e d) del comma 1 dell’art. 3 del D.P.R. 6 giugno 2001, n. 380, e successive modificazioni e integrazioni;

c) decorsi 8 anni di iscrizione, per un importo non superiore al 30 per cento, per la soddisfazione di ulteriori esigenze.

L’Anticipazione deve essere richiesta in forma scritta dall’aderente, compilando un apposito Modulo. Tale richiesta deve essere indirizzata al Fondo e trasmessa unitamente alla documentazione prevista (da produrre in copia, fatta salva la facoltà del Fondo di chiedere l’esibizione della documentazione originale). Una volta ricevuta tale documentazione il Fondo provvede, dopo attenta verifica della regolarità e della completezza della documentazione ed entro 90 giorni dalla ricezione della stessa, all’erogazione dell’Anticipazione, la quale aviene tramite bonifico bancario accreditato sulla base delle coordinate bancarie indicate nel Modulo compilato dall’aderente.

In particolare, come già sopra anticipato, il soggetto aderente al Fondo può richiedere un’anticipazione, fino al 75% di quanto maturato, per far fronte a spese sanitarie di particolare gravità (spese per terapie ed interventi straordinari riconosciuti dalle autorità pubbliche ASL compreso il medico di base ai sensi della normativa vigente), che possono riguardare anche il coniuge ed i figli.

Ai fini della liquidazione delle somme a titolo di Anticipazione, deve essere prodotta, in copia, la documentazione come di seguito elencata:

a) certificazione a cura della struttura pubblica competente (ASL) della natura di straordinarietà degli interventi cui si riferisce nella richiesta;

b) fatture o ricevute fiscali in originale attestanti gli oneri effettivamente sostenuti e rispondenti ai requisiti richiesti dalla normativa fiscale;

c) copia di un valido documento d’identità.

3.2. Modalità di acquisizione di dati personali

Categoria di Interessato  Modalità di acquisizione dei dati
    Soggetti Aderenti al Fondo *  Sottoscrizione del Modulo di adesione ovvero del Modulo relativo alla richiesta di anticipazione (con documentazione allegata). I Moduli vengono spediti presso la sede legale del Fondo ovvero inviati alla mail del Fondo  
  Membri degli Organi del Fondo **  Acquisizione/Raccolta direttamente presso l’Interessato   

* I destinatari del Fondo sono i lavoratori dipendenti con qualifica di dirigente ai quali si applica il CCNL per i dirigenti di Imprese industriali stipulato fra Confindustria e Federmanager, che instaurano un rapporto di lavoro con una delle Imprese dell’ex-Gruppo SIGMA TAU.

L’adesione al Fondo può avvenire a partire dalla data di instaurazione del rapporto di lavoro. Sono associati al Fondo:

a) i lavoratori dipendenti sopra indicati i quali abbiano manifestato in forma esplicita la volontà di adesione al Fondo con le modalità stabilite dallo Statuto nonché i destinatari che abbiano aderito per effetto di conferimento tacito del trattamento di fine rapporto di cui all’art. 2120 c.c.;

b)le Imprese del Gruppo che abbiano alle loro dipendenze i lavoratori associati al Fondo;

c) i soggetti che percepiscono a carico del Fondo la pensione complementare, esclusi i percettori di pensione di reversibilità.

L’associazione al Fondo avviene mediante presentazione di apposito “Modulo di adesione”, sottoscritto e compilato in ogni sua parte; all’atto dell’adesione il Fondo verifica la sussistenza dei requisiti di partecipazione. La domanda di adesione è presentata dal lavoratore per il tramite del proprio datore di lavoro che la sottoscrive e, secondo le norme dello Statuto del Fondo e della fonte istitutiva, impegna entrambi nei confronti del Fondo; la stessa contiene la delega al datore di lavoro per la trattenuta della contribuzione a carico del lavoratore. In caso di adesione mediante conferimento tacito del trattamento di fine rapporto, il Fondo, sulla base dei dati forniti dal datore di lavoro, comunica all’aderente l’avvenuta adesione e le informazioni necessarie al fine di consentire a quest’ultimo l’esercizio delle scelte di sua competenza.

La sottoscrizione del “Modulo di adesione” non è richiesta ai lavoratori che conferiscono tacitamente il loro trattamento di fine rapporto: in tal caso il Fondo procede automaticamente all’iscrizione sulla base delle indicazioni ricevute dal datore di lavoro (in questo caso viene trasmessa all’iscritto una lettera di conferma dell’avvenuta iscrizione che riporta la decorrenza del rapporto associativo e le informazioni necessarie per consentire all’iscritto l’esercizio delle scelte di sua competenza).

** Organi del Fondo (eletti direttamente dagli associati e dai loro rappresentanti):

– Assemblea dei delegati (composta da 16 membri);

– Consiglio di amministrazione (composto da 4 membri);

– Collegio dei sindaci.

L’attuale consiglio (in carica per il triennio 2017-2019) è così composto:   Fausto De Sanctis (Presidente)        Eletto dalle aziende
Simona Palone (Vice Presidente)Eletta dai lavoratori  
Marco IorioEletto dai lavoratori  
Sara FabrizioEletta dalle aziende

Il Presidente, il Vice Presidente, il Responsabile del Fondo, i membri del Consiglio di amministrazione nonché i componenti del Collegio dei sindaci devono possedere i requisiti di onorabilità e professionalità e trovarsi in assenza di cause di ineleggibilità e incompatibilità come definiti dalla normativa vigente.

4. DESCRIZIONE DEI TRATTAMENTI DEI DATI

4.1. Tipologie di Trattamenti di dati personali effettuati dal Fondo

Categoria di dati trattati  Tipologia di trattamento
              Dati dei Soggetti Aderenti al Fondo (compresi il coniuge nonché i figli del soggetto aderente)– Raccolta: i dati identificativi e fiscali (comprensivi delle coordinate bancarie), nonché  i dati appartenenti a categorie particolari (ex dati sensibili) vengono trasmessi (per posta o via mail) dall’aderente al momento della sottoscrizione del Modulo di adesione ovvero successivamente con la sottoscrizione del Modulo relativo alla richiesta di anticipazione (con documentazione allegata); – Conservazione: i dati vengono conservati per tutta la durata dell’adesione al Fondo. In caso di cessazione del rapporto i dati vengono distrutti ovvero resi anonimi, fatti salvi gli eventuali termini di conservazione previsti dalla legge e dalle necessità correlate al funzionamento istituzionale e organizzativo del Fondo; – i dati vengono anche Organizzati, Strutturati, Registrati e Conservati su supporti informatici presso la sede del Fondo.  
        Membri degli Organi del Fondo (compresi il coniuge nonché i figli del soggetto aderente)Raccolta: i dati identificativi, di contatto e giudiziari vengono acquisiti direttamente presso l’Interessato; – Conservazione: i dati vengono conservati per tutta la durata della carica. In caso di cessazione i dati vengono distrutti ovvero resi anonimi, fatti salvi gli eventuali termini di conservazione previsti dalla legge e dalle necessità correlate al funzionamento del Fondo; – i dati vengono anche Organizzati, Strutturati, Registrati e Conservati su supporti informatici presso la sede del Fondo.  

4.2. Finalità e basi giuridiche del trattamento

Ambito del trattamentoFinalità del trattamentoBase giuridica del trattamento
                  Dati dei Soggetti Aderenti al Fondo (compresi il coniuge nonché i figli del soggetto aderente)                      Adesione al Fondo effettuata dall’iscritto in ogni forma giuridica su base volontaria, contrattuale ovvero mediante adesione tacita nonché effettuazione delle ordinarie attività correlate all’adesione al Fondo, volte a fornire agli Iscritti prestazioni integrative. In tal caso, il Fondo può trattare anche dati rientranti nelle “categorie particolari” di cui all’art. 9 del GDPR, con particolare riferimento a dati idonei a rivelare lo stato di salute.  Compilazione del “Modulo di Adesione” ovvero esecuzione del contratto di cui l’interessato è parte (art. 6, par. 1, lett. b), Reg. UE 2016/679): per i Dati personali identificativi   Consenso espresso dell’Interessato (art. 6, par. 1, lett. a), Reg. UE 2016/679): per le categorie particolari di dati (ad es. quelli idonei a rivelare lo stato di salute).
Adempimento di attività amministrative, contabili, fiscali, statistico-attuariali, patrimoniali, relative al funzionamento istituzionale del Fondo e al rinnovo degli Organi collegialiAdempimento di un obbligo legale (art. 6, par. 1, lett. c), Reg. UE 2016/679); ovvero Esecuzione di un contratto (art. 6, par. 1, lett. b), Reg. UE 2016/679).  
Attività di formazione e promozione delle prestazioni del Fondo (cd. marketing diretto)Consenso espresso dell’Interessato (art. 6, par. 1, lett. a), Reg. UE 2016/679).  
    Membri degli Organi del FondoAdempimento di attività amministrative, contabili, fiscali, relative al funzionamento istituzionale del Fondo e al rinnovo degli Organi collegiali    Esecuzione di un contratto (art. 6, par. 1, lett. b), Reg. UE 2016/679).

Il Fondo tratta i dati personali dei propri aderenti e dei soggetti membri dei propri organi nel rispetto della normativa vigente, provvedendo a conservarli nella massima sicurezza.

Pertanto, in relazione ai rapporti contrattuali in essere o che si costituiranno con il Fondo, i dati in suo possesso ovvero che verranno ad esso comunicati sono e saranno utilizzati per le seguenti finalità:

  • finalità connesse (compresa quella liquidativa) all’erogazione di trattamenti pensionistici complementari del sistema previdenziale obbligatorio (ai sensi del D. Lgs. 05.12.2005, n. 252) a cui il Fondo è autorizzato ai sensi delle vigenti disposizioni di legge;
  • finalità amministrative e contabili;
  • finalità finanziarie;
  • gestire attività riconducibili alla gestione dei rapporti facenti capo agli esponenti aziendali del Fondo;
  • adempiere agli obblighi previsti da leggi, regolamenti o dalla normativa comunitaria, nonché da disposizioni impartite da pubbliche autorità a ciò legittimate;
  • finalità di informazione e promozione delle prestazioni erogate dal Fondo (cd. marketing diretto).

Per esclusive ragioni funzionali e gestionali, i suddetti dati potrebbero essere comunicati dal Fondo a:

  • professionisti e consulenti;
  • istituti bancari e assicurativi incaricati dell’attività di erogazione delle prestazioni;
  • aziende di assistenza tecnica;
  • soggetti esterni che svolgono specifici incarichi per conto del Fondo;
  • società di servizi amministrativi, contabili ed informatici;
  • enti pubblici e privati nei casi previsti dalla legge.

4.3. Trattamenti di dati personali del Fondo affidati in Outsourcing

OutsourcerTrattamento e finalitàNatura dei dati trattati
    Previnet S.p.A.Fornitura di servizi amministrativi e tecnologici (in particolare l’attività di supporto per le segnalazioni statistiche COVIP)  Dati identificativi Dati di contatto    
              Ellegi Consulenza S.p.A.    – Gestionedelle funzioni direzionali ed amministrative: tenuta delle posizioni individuali degli aderenti, tenuta del libro degli associati e dei libri contabili, predisposizione dei conteggi finalizzati alla liquidazione delle prestazioni, attuazione delle misure di trasparenza e di assistenza nei confronti degli aderenti, predisposizione degli atti e definizione delle misure volte a favorire il rispetto delle norme in materia di privacy;   – Amministratore di sistema.  Dati identificativi e fiscali Dati di contatto Dati appartenenti a categorie particolari (ex sensibili) Dati giudiziari  
Allianz S.p.A., UNIPOL SPA  Per l’erogazione delle prestazioni in forma di renditaDati identificativi e fiscali

4.4. Trasferimento di dati personali in Paesi extra-UE

I Dati sono conservati su server ubicati presso la sede legale del Fondo, nonché presso la sede di società service all’interno dell’Unione Europea. In ogni caso il Fondo, ove si rendesse necessario, ha facoltà di spostare i server anche in Paesi extra-UE. Il trasferimento di dati personali all’estero (da intendersi come ogni ipotesi in cui i dati personali siano accessibili in uno Stato estero, anche tramite il semplice accesso da remoto) avviene pertanto solo al fine di perseguire le finalità comunicate all’Interessato e in conformità alle specifiche disposizioni riguardanti il trasferimento di dati personali all’estero previste dalla normativa vigente.

Ai sensi del Regolamento che disciplina la materia al Capo V (artt. 44-50), il trasferimento dei dati personali dell’Interessato in Paesi diversi da quello di raccolta avviene nelle seguenti ipotesi:

  • Trasferimento per cui l’Interessato ha manifestato il proprio consenso espresso;
  • Trasferimento verso Paesi che garantiscano un adeguato livello di protezione dei dati personali, come ad esempio un trasferimento all’interno dei Paesi facenti parte dell’Unione Europea o trasferimenti verso Paesi che garantiscano un adeguato livello di tutela dei dati personali;
  • Trasferimento in base a decisioni di adeguatezza della Commissione europea;
  • Trasferimento tra società facenti parte dello stesso gruppo d’impresa in presenza di accordi di Binding Corporate Rules (BCR), laddove applicabili;
  • Trasferimento verso Terze Parti tramite un contratto che includa le clausole contrattuali standard di protezione dei dati personali definite dalle normative applicabili.

5. INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI

AmbitoTitoloAllegato
Fondo Pensione per la Previdenza complementare Dirigenti – Sigma Tau (Epids)Informativa relativa al trattamento dei dati personali dei soggetti Aderenti (compresi il coniuge nonché i figli del soggetto aderente)  All. 2

6. DATA PROTECTION BY DESIGN E BY DEFAULT

Con il fine ultimo di implementare soluzioni di progettazione dei sistemi informativi in grado di proteggere i dati personali durante tutte le fasi del “ciclo di vita”, il soggetto outsourcer (Ellegi Consulenza S.p.A.) incaricato dal Fondo mette in atto misure tecniche e organizzative, quali la cifratura, volte ad attuare in modo efficace i principi di protezione dei dati nonché ad integrare le necessarie garanzie al fine di dare attuazione al concetto di “responsabilizzazione” (accountability) che il Regolamento ha posto come paradigma e come principale prescrizione alla quale il Titolare del trattamento deve dare concreta attuazione.

La protezione dei dati fin dalla progettazione deve:

  • essere integrata all’interno del ciclo di vita dei processi/sistemi/applicativi nei quali vengono trattati dati personali;
  • considerare l’intero “ciclo di vita” dei dati personali dalla raccolta alla cancellazione, tenendo in debita considerazione anche il trasferimento, la conservazione, l’elaborazione, la consultazione e la comunicazione;
  • salvaguardare la confidenzialità, integrità e disponibilità dei dati personali trattati.

La protezione secondo i principi di data protection by design e by default deve:

  • prevedere per impostazione predefinita dei processi/sistemi che vengano trattati solo i dati personali necessari per ogni specifica finalità del trattamento;
  • prevedere, per impostazione predefinita dei processi/sistemi, che i dati personali trattati non siano resi accessibili a un numero indefinito di persone fisiche senza una reale esigenza ed il consenso dell’Interessato (laddove applicabile).

I principi di data protection by design e by default devono essere integrati nell’intera struttura del Fondo e, pertanto, tutti i soggetti coinvolti devono prestare attenzione a che lo sviluppo di nuovi servizi e l’utilizzo di strumenti di supporto venga sottoposta ad una preventiva verifica, al fine di valutare se l’eventuale trattamento dei dati previsto avvenga nel rispetto delle previsioni normative: ciò richiede che vi sia una estrema consapevolezza che ciascun soggetto coinvolto dovrà fornire il proprio contributo alla corretta e tempestiva applicazione dei principi richiamati. L’applicazione di tali principi deve inoltre essere monitorata e supervisionata dal Titolare.

7.IDENTIFICAZIONE DELLE RISORSE DA PROTEGGERE

Le risorse coinvolte nel trattamento dei dati personali sono state divise in alcune categorie di seguito indicate.

Composizione rete locale

Area Server

Firewall

Router

8. IL REGISTRO DEI TRATTAMENTI (All. 3)

Secondo quanto espressamente previsto dal Regolamento, in capo al Fondo non sussisterebbe l’obbligo della tenuta di un registro delle attività di trattamento.

Tuttavia, il Garante per la protezione dei dati personali si è espresso su quanti dovranno adottare il registro del trattamento, raccomandando che: “La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un Titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.”

In considerazione di quanto esposto, il Fondo ha predisposto tale registro in formato elettronico il quale, a seguito di richiesta, è a disposizione dell’Autorità di controllo.

9. SICUREZZA DEL TRATTAMENTO

Nell’ambito delle operazioni di Trattamento svolte, il Fondo (mediante il soggetto oursourcer incaricato come da contratto) ha posto in essere tutte le misure necessarie per tutelare i dati personali, garantendo:

  • la confidenzialità, l’integrità e la disponibilità dei dati personali trattati;
  • il test e la valutazione periodica di efficacia delle procedure e delle misure implementate;
  • l’implementazione di misure di protezione delle reti, dei sistemi e dei software con i quali vengono trattati i dati personali, quali ad esempio: la pseudonimizzazione, l’offuscamento e la cifratura dei dati personali;
  • soluzioni di continuità di servizio in grado di garantire la disponibilità e l’integrità dei dati (backup, Disaster Recovery, ecc.);
  • la definizione di clausole contrattuali finalizzate a vincolare le terze parti al rispetto delle eventuali misure di sicurezza aggiuntive richieste dal Fondo;
  • l’applicazione del principio di Data Protection by design e by default nella progettazione dei sistemi e nel disegno dei processi e delle procedure;
  • l’implementazione di soluzioni in grado di rilevare tentativi non leciti di accesso ai Dati personali in grado di garantire il rispetto delle prescrizioni del GDPR in merito alle violazioni (Data Breach);

10. DIRITTI DEL SOGGETTO INTERESSATO

Come previsto dalla normativa applicabile, gli Interessati hanno la facoltà di esercitare i diritti previsti dall’art. 15 all’art. 22 del Regolamento: accedere ai dati, ottenere la portabilità dei dati, opporsi al trattamento, chiedere la rettifica dei dati, la limitazione del trattamento dei dati e la cancellazione (oblio) dei dati, revocare il consenso prestato, proporre reclamo all’Autorità di controllo (Garante per la protezione dei dati personali), compilando il modulo relativo all’esercizio dei diritti stessi, allegato al presente documento (All. 4).In alternativa, gli Interessati potranno rivolgersi al Titolare del trattamento ai recapiti indicati nell’informativa ad essi rilasciata.

Difatti, il Fondo garantisce al soggetto interessato l’esercizio dei diritti previsti dal Regolamento assicurando il riscontro alle richieste senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (si ricorda che, così come espressamente previsto all’interno del Regolamento, il termine di un mese può essere prorogato di ulteriori due mesi, se necessario e tenuto conto della complessità e del numero delle richieste). Tale riscontro è gratuito, salvo il caso di richieste manifestamente infondate ovvero eccessive (in particolare per il loro carattere ripetitivo); in quest’ultimo caso il Fondo si riserva il diritto di poter rifiutare (a seguito di motivazione) di riscontrare la richiesta dell’Interessato.

11. GESTIONE DELLA DATA RETENTION (All. 5)

In conformità ai requisiti normativi il Fondo ha definito i termini di conservazione dei dati raccolti sulla base dei seguenti aspetti:

  • principio di accountability, mediante il quale è stata eseguita un’analisi dei requisiti normativi di conservazione di dati;
  • principio di minimizzazione attraverso il quale viene garantito che il trattamento dei dati personali avviene esclusivamente in maniera pertinente rispetto alla finalità definite e per il periodo strettamente necessario all’esecuzione delle attività per le quali i dati sono stati raccolti.

I termini di conservazione dei dati raccolti e i criteri utilizzati per definire tale periodo di conservazione, riportati nel Registro dei trattamenti, sono differenti a seconda dei diversi trattamenti e delle relative finalità.

Quanto detto si applica a tutti i dati personali trattati nell’ambito del Fondo e a tutte le categorie di Interessati.

Il limite di conservazione dei dati è definito dal Titolare del Trattamento per ogni trattamento di dati personali, in relazione alle singole finalità per cui il dato è stato raccolto e trattato. L’elenco dei trattamenti dei dati personali e i relativi tempi di conservazione sono indicati nella Tabella della Data Retention (All. 5).

12. GESTIONE DATA BREACH (All. 6)

Per ottemperare ai requisiti normativi sulla rilevazione e monitoraggio degli incidenti, il Fondo ha definito un proprio modello di gestione volto a garantire la protezione dei dati personali per fronteggiare il verificarsi di eventi di violazione dei dati personali.

La Procedura del Data Breach è indicata nell’All. 6. a).

13. GESTIONE DEI RAPPORTI CON IL GARANTE

Nell’ottica di garantire l’efficacia del modello sviluppato e raggiungere i requisiti di compliance imposti dalla normativa Privacy, è stata adottata una procedura di gestione dei rapporti con il Garante che includa almeno:

  • la consultazione preventiva (ex art. 36 del Regolamento);
  • il riscontro alle richieste del Garante;
  • la notifica in caso di violazione dei Dati personali.

Riscontro alle richieste del Garante

Il Garante può richiedere informazioni relativamente a segnalazioni degli Interessati oppure, nell’ambito di indagini conoscitive, richiedere contributi informativi specifici.

Inoltre il Garante può, anche in occasione delle verifiche ispettive, raccogliere documentazione relativamente alle misure tecniche e organizzative implementate a protezione dei dati personali trattati, documentazione contrattuale, modelli e documenti privacy estendendo l’analisi a qualsiasi altro processo, misura o trattamento effettuato da parte del Titolare. Vi sono dei casi nei quali, viceversa, è il Fondo a voler/dover richiedere al Garante pareri e consultazioni su specifici argomenti.

Ispezioni da parte del Garante

Il Garante e altre autorità di vigilanza competenti possono effettuare ispezioni presso la sede del Fondo per verificare l’effettiva implementazione da parte di quest’ultimo delle tutele previste dalla normativa in vigore. Alla luce della rilevanza posta dal Regolamento al tema della violazione dei dati personali, al fine di garantire il rispetto delle modalità e dei requisiti di notifica previsti dal Regolamento, il Fondo si è dotato di una procedura di pronta risposta alle possibili violazioni dei dati personali, nonché dei processi necessari alla notifica tempestiva all’Autorità Garante (All. 6. b).

14. SANZIONI

La violazione della normativa in materia di protezione dei dati personali può esporre il Titolare, il Responsabile e/o le Persone autorizzate al trattamento a diverse tipologie di responsabilità e conseguenti sanzioni (di carattere amministrativo e/o penale), in base alle norme concretamente violate, ed avere sul Fondo impatti reputazionali negativi.

Fermo quanto sopra, in relazione alla responsabilità delle Persone autorizzate al trattamento, l’inosservanza degli obblighi previsti dal presente documento costituisce comportamento rilevante ai fini disciplinari e può determinare l’applicazione delle sanzioni previste dalla contrattazione collettiva di lavoro applicabile e dalla normativa vigente.

L’accertamento di determinate violazioni può anche comportare l’emissione, da parte delle autorità competenti, di ordini finalizzati alla cancellazione dei dati personali raccolti o all’interruzione di determinate operazioni di Trattamento che si assumono illecite. Inoltre, gli Interessati possono promuovere azioni di risarcimento per i danni subiti a causa dello svolgimento di operazioni di Trattamento, riguardanti i loro dati personali, non conformi alla normativa.