Accordo contitolarità OAM

ACCORDO DI CONTITOLARITÀ

tra

FONDAZIONE ENASARCO E O.A.M.

(Allegato al Protocollo d’intesa per la regolamentazione delle forme di collaborazione e di scambio di informazioni ai sensi dell’art. 12, comma 2-bis, D.lgs. 13 agosto 2010 n. 141)

La Fondazione ENASARCO ENTE NAZIONALE ASSISTENZA AGENTI E RAPPRESENTANTI DI COMMERCIO, in persona del Presidente e legale rappresentante pro tempore
e
l’ OAM   –   ORGANISMO      PER   LA   GESTIONE   DEGLI   ELENCHI DEGLI   AGENTI IN ATTIVITÀ FINANZIARIA E DEI MEDIATORI – rappresentato dal Presidente pro tempore e dal Direttore Generale pro tempore
nella loro qualità di titolari del trattamento dei dati con riferimento alle reciproche attività istituzionali (nel seguito anche “le Parti”).

PREMESSO CHE

  • L’art. 12, comma 2-bis, D.Lgs. 13 agosto 2010, n. 141, prevede la possibilità per l’OAM di individuare forme di collaborazione e di scambio di informazioni con gli enti di previdenza;
  • In ossequio alla suddetta disposizione, le Parti, in data 1° giugno 2022, hanno sottoscritto un protocollo di intesa finalizzato a disciplinare la loro cooperazione, in particolare con riferimento a: (i) gli accertamenti ispettivi condotti da Enasarco per conto dell’OAM e il relativo scambio di documenti e informazioni; (ii) la trasmissione periodica dei flussi informativi e documentali tra le Parti; (iii) l’attività di formazione;
  • Nell’ambito del suddetto protocollo, le Parti hanno definito congiuntamente le finalità e i mezzi del trattamento dei dati personali nell’ambito delle attività nello stesso disciplinate, pertanto sono da ritenersi Contitolari del trattamento ai sensi dell’art 26 del Regolamento UE 2016/679;
  • Le Parti, quindi, con il presente accordo intendono definire i diritti e gli obblighi di ciascun contitolare in relazione al trattamento dei dati personali;
  • Il presente accordo dovrà essere rispettato da tutti i soggetti coinvolti nel trattamento dei dati relativi alle attività oggetto del protocollo d’intesa, siano essi soggetti autorizzati (o designati) al trattamento (artt. 29 Reg. UE 2016/679 e 2-quaterdecies D.Lgs. n. 196/03), o responsabili del trattamento designati (art. 28, Reg. UE 2016/679).

Tanto premesso, le Parti convengono e stipulano quanto segue:

1. Basi giuridiche e categorie di dati trattati

I trattamenti dei dati concernenti gli iscritti OAM ed Enasarco sono effettuati per le finalità previste nel Protocollo cui il presente Accordo di contitolarità costituisce allegato, ovvero stabilire forme di collaborazione e scambio di dati, per un migliore svolgimento delle rispettive attività istituzionali.

 I trattamenti hanno carattere di liceità ai sensi dell’art. 6, comma 1, lett. e), Reg. UE 2016/679 (“il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”) e trovano il loro fondamento nell’art. 12, comma 2-bis, D.lgs. 13 agosto 2010 n. 141.

Per il perseguimento delle attività indicate, saranno trattati i seguenti dati:

  • con riferimento agli accertamenti ispettivi:

– dati anagrafici, di contatto, contabili, contributivi, dati di documenti di riconoscimento, sottoscrizione autografa, dati relativi ai mandati, dati concernenti l’attività professionale e la sussistenza dei requisiti di iscrizione, numero di matricola/posizione Enasarco (ove ne sussistano specifici motivi), dei soggetti che esercitano l’attività di intermediazione del credito o di loro collaboratori (per i quali ricorre l’obbligo di iscrizione o comunicazione all’OAM). I dati sono presenti nelle banche dati delle Parti o acquisiti durante l’attività ispettiva;

– dati anagrafici, sottoscrizione autografa, dati di contatto, indicazione dell’Ufficio di appartenenza e dati relativi all’attività ispettiva dell’ispettore Enasarco intervenuto in fase di accertamento;

–   nominativo e dati di contatto dei lavoratori di entrambe le Parti intervenuti nell’attività di scambio informazioni;

  • con riferimento alla trasmissione periodica di flussi informativi e documentali tra le Parti:

–  dati anagrafici, di contatto, contabili, contributivi, dati relativi ai mandati, dati concernenti la sussistenza dei requisiti di iscrizione, numero di matricola/posizione Enasarco (ove ne sussistano specifici motivi), dei soggetti che esercitano l’attività di intermediazione del credito o di loro collaboratori (per i quali ricorre l’obbligo di iscrizione o comunicazione all’OAM o l’obbligo di iscrizione o comunicazione a Enasarco). I dati sono presenti nelle banche dati delle Parti;

– nominativo e dati di contatto dei lavoratori di entrambe le Parti intervenuti nell’attività di scambio informazioni;

  • con riferimento all’attività di formazione:

– dati anagrafici e dati di contatto dei lavoratori delle Parti coinvolte nell’attività formativa;

– dati anagrafici e di contatto degli agenti coinvolti nell’attività formativa;

– dati concernenti l’attività formativa.

2. Garanzie per i diritti degli interessati

Ciascuna delle Parti garantisce, nei limiti del trattamento in concreto effettuato, il rispetto delle disposizioni del Reg. UE 2016/679 e delle leggi e norme nazionali di adeguamento e integrazione, nonché delle leggi e norme ulteriori in conformità con il principio di liceità del trattamento. Nei predetti limiti le Parti adottano, inoltre, tutte le misure tecniche e organizzative e le procedure necessarie affinché possa essere garantito l’esercizio dei diritti degli interessati ovvero: il diritto di accesso, di rettifica, alla cancellazione (c.d. oblio), alla limitazione di trattamento, alla portabilità dei dati (ove previsto), di opposizione, diritto alla limitazione del trattamento, diritto a trasportare dati, diritto di non essere oggetto di una decisione individuale automatizzata (compresa la profilazione).

Ciascuna delle Parti, nei limiti del trattamento in concreto effettuato, provvede a fornire agli interessati le informazioni sul trattamento e sulle sue finalità, in base a quanto previsto dall’art. 13 Reg. UE 2016/679, qualora i dati personali siano raccolti presso gli interessati medesimi, e quelle previste dal successivo art. 14 nel caso in cui non siano ottenuti presso gli interessati, salvo che la raccolta di dati avvenga nell’ambito dell’attività ispettiva e l’informativa rischi di pregiudicare i suoi esiti (art. 14, prg. 5, lett. b) Regolamento UE 2016/679).

Ciascuna Parte provvede ad indicare nella propria informativa la possibilità dello scambio di dati tra la Fondazione e l’OAM e la finalità del relativo trattamento.

Ciascuna Parte, nei limiti del trattamento in concreto effettuato dalla stessa, fornisce riscontro alle istanze degli interessati, garantendone il regolare esercizio dei diritti, nei termini stabiliti dalla normativa.

Vengono individuati come punti di contatto per ciascuna Parte:

per OAM: rpd@pec.organismo-am.it

per ENASARCO: dpo@enasarco.it o dpo@pec.enasarco.it

Resta comunque salva la facoltà degli interessati di esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento, ai sensi dell’art. 26, comma 3, Reg. UE 2016/679.

Ciascuna Parte trasmette all’altra senza indugio le richieste di informazioni provenienti dagli interessati che abbiano ad oggetto trattamenti da essa in concreto effettuati.

3. …OMISSIS…

4. …OMISSIS…

5. …OMISSIS…

6. Messa a disposizione del contenuto essenziale del presente Accordo

Le Parti si impegnano a mettere a disposizione degli interessati il contenuto essenziale del presente Accordo di contitolarità, attraverso la pubblicazione sui rispettivi siti istituzionali.

7. …OMISSIS…

8. Termine di conservazione dei dati, trattamento al termine della cooperazione

I dati relativi agli accertamenti ispettivi e alla trasmissione periodica dei flussi informativi e documentali sono conservati per il tempo necessario allo svolgimento delle attività istituzionali delle Parti, in conformità alle rispettive normative di riferimento. Qualsiasi ulteriore dato personale, non direttamente riconducibile a quelli previsti dalla normativa, è cancellato o reso inintelligibile dalle Parti alla cessazione della cooperazione.

I dati relativi all’attività di formazione sono conservati nel limite della prescrizione ordinaria decennale.

9. Riservatezza, misure di sicurezza e privacy by design-by default

Le Parti garantiscono, in relazione ai trattamenti in concreto effettuati, che tutti i soggetti coinvolti nel trattamento dei dati:

  • siano stati informati sull’obbligo di mantenere la riservatezza dei dati ai sensi degli art. 28, comma 3, e artt. 29 e 32, Reg. UE 2016/679, anche successivamente al rapporto di lavoro o di collaborazione;
  • siano stati istruiti sui principali obblighi derivanti dalle disposizioni in materia di protezione dei dati personali (Reg. UE 2016/679, d.lgs. n. 196/2003, d.lgs. n. 101/2018, normativa di settore);

Le Parti garantiscono, in modo indipendente, il rispetto degli obblighi giuridici esistenti in materia di conservazione dei dati e si impegnano a adottare adeguate misure di sicurezza dei dati personali trattati (art. 32 e ss. del Reg. 2016/679), anche in caso di cessazione della cooperazione.

Le Parti garantiscono altresì il rispetto dei principi della protezione dei dati fin dalla progettazione (Privacy by design – art. 25, comma 1, Reg. 2016/679) e dei principi della protezione dei dati per impostazione predefinita (Privacy by default – art. 25, comma 2, Reg. 2016/679), predisponendo ed utilizzando misure tecniche e organizzative adeguate al trattamento.

Le Parti individuano, congiuntamente, le misure tecniche e organizzative da adottare per garantire la sicurezza dei dati nella fase di reciproca comunicazione degli stessi, nell’ambito delle attività di cui al punto 1, lett. a) e b) del presente accordo.

Ciascuna Parte è responsabile delle procedure e dei sistemi informativi e organizzativi internamente utilizzati per il trattamento dei dati appartenenti ai propri iscritti nonché dei dati degli iscritti comunicati dall’altra Parte e conservati nei propri archivi.

10. …OMISSIS…

11. …OMISSIS…

12. Responsabilità delle Parti

Nei confronti degli interessati, le Parti rispondono in solido per i danni derivanti dall’illecito trattamento dei dati oggetto del presente Accordo, ferma restando, nei rapporti interni, la responsabilità di ciascuna Parte per le operazioni alla stessa direttamente imputabili, ai sensi dell’art. 82, paragrafi 4 e 5, Regolamento UE 2016/679.