Gentilissimo/a
Inventa CPM s.r.l. (di seguito, per brevità, la “Società”), con sede legale in Milano, Corso Vercelli 40, in qualità di titolare del trattamento, desidera informarLa, ai sensi degli artt.13-14 del Regolamento Europeo 679/2016 relativo alla protezione dei dati personali ("Regolamento"), e della normativa nazionale, compresi i singoli provvedimenti dell'Autorità di controllo (Garante per la protezione dei dati personali), ove applicabile, che i dati personali da Lei prestati in sede di instaurazione del rapporto di lavoro e in costanza di esso saranno trattati nel rispetto delle disposizioni legislative e contrattuali vigenti per le finalità e con le modalità di seguito indicate.
In alcune circostanze, alcuni dati potrebbero essere raccolti anche presso terzi (es. società di selezione del personale).
1. Definizioni
Per dato personale si intende qualunque informazione relativa ad una persona fisica identificata o identificabile (nel caso di specie, il lavoratore o, ove applicabile, il familiare) anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, un identificativo online, etc.;
Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiuto con o senza l'ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali come: la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, l'interconnessione, la limitazione, la cancellazione o la distruzione;
Per dati relativi alla salute si intendono i dati personali attinenti alla salute fisica o mentale di una persona, che rivelano informazioni relative allo stato di salute;
Per categorie particolari di dati personali si intendono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare la vita sessuale;
Per interessato si intende la persona fisica cui appartengono i dati personali (nel contesto della presente informativa, il dipendente o il collaboratore).
2. Tipologia di dati personali e Finalità del trattamento
2.1. Dati personali comuni
La Società tratta principalmente le seguenti categorie di dati personali:
· dati identificativi e di contatto (quali, a titolo di esempio, nome, cognome, data di nascita, codice fiscale, indirizzo, contatti telefonici, residenza, stato civile, stato di famiglia);
· dati relativi all'attività lavorativa nell'ambito dell'organizzazione aziendale (quali, a titolo di esempio, incarichi ricoperti, data di assunzione, presenze, numero di matricola, ruolo aziendale, orari e presenze di lavoro, dati relativi alle trasferte, pianificazione attività, altri dati relativi all’attività lavorativa, dati necessari alla partecipazione ad eventi formativi, curriculum lavorativo, dati relativi all’anzianità di servizio, retribuzione ed eventuali benefit, permessi, assenze, dati contenuti nelle cartelle di lavoro, valutazioni periodiche);
· dati relativi alla costituzione e gestione del rapporto di lavoro (quali, a titolo di esempio, retribuzione, premi, TFR, contributi sociali e assicurativi, estremi del conto corrente bancario, permessi e ferie fruiti e residui, trasferte e trasferimenti ad altre sedi);
· dati relativi alla cessazione del rapporto di lavoro (quali, a titolo di esempio, gestione preavviso, mobilità, incentivo all’esodo);
· dati fiscali e reddituali (quali, a titolo di esempio, codice fiscale, retribuzione, cessione del quinto, fondo pensione);
· dati previdenziali;
· dati relativi ad informative precontrattuali (curriculum vitae, ecc.) ed altri dati raccolti nella attività di selezione e valutazione del personale;
· immagini fotografiche (quali, a titolo di esempio, foto di gruppo, fototessere per badge, immagini presenti su CV);
· dati relativi ad eventuali procedimenti di carattere disciplinare ed eventuali procedimenti contenziosi;
· dati relativi all’utilizzo delle risorse informatiche aziendali, che saranno trattati nel rispetto delle prescrizioni normative e dello Statuto dei Lavoratori, nonché delle linee guida eventualmente emanate dalle Autorità di controllo in relazione all’utilizzo della posta elettronica e di Internet ove applicabile, secondo le modalità e nei limiti di quanto previsto dalle procedure aziendali dedicate;
· dati acquisiti in relazione all’utilizzo di beni aziendali dati in uso esclusivo al dipendente, quali, ad esempio, dati relativi all’utilizzo delle carte di credito aziendali, dati relativi ad utenze telefoniche aziendali;
· dati relativi alle spese eventualmente sostenute per lo svolgimento delle mansioni, ove applicabile;
· altri dati eventuali forniti dal dipendente stesso.
I dati personali comuni sono trattati per le seguenti finalità e sulla base dei seguenti presupposti giuridici:
a) adempimento degli obblighi connessi alla gestione del rapporto di lavoro previsti dalle leggi, dai regolamenti e dalla normativa comunitaria, dalle disposizioni impartite da autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo, in particolare previsti dalla normativa in materia di previdenza ed assistenza anche integrativa, in materia di igiene e sicurezza del lavoro o della popolazione, in materia fiscale, di tutela della salute, dell’ordine e della sicurezza pubblica, degli obblighi previsti dal CCNL e dagli accordi collettivi applicabili (inclusi ad esempio collocamento obbligatorio) nonché dal contratto individuale di lavoro. Per tali finalità non occorre il consenso, poiché il trattamento è necessario, rispettivamente, per eseguire gli obblighi derivanti dal contratto di lavoro e per adempiere agli obblighi previsti dalla legge;
b) adempimento degli obblighi connessi al trattamento giuridico ed economico del personale, tenuta della contabilità e corresponsione di stipendi, assegni, altri emolumenti o benefici accessori se applicabili, adempimenti connessi al versamento di eventuali quote sindacali o all’esercizio di diritti sindacali, nonché per tutti gli atti per i quali ci conferisce apposito mandato e per altre finalità strettamente connesse o strumentali alla gestione del rapporto di lavoro con la Società. Per tali finalità non occorre il consenso poiché il trattamento è necessario, rispettivamente, per eseguire gli obblighi derivanti dal rapporto contrattuale o dar seguito a specifiche richieste dell'interessato;
c) adempimento degli obblighi derivanti dalla partecipazione della Società al gruppo, ivi incluse le attività di gestione amministrativo-finanziaria di gruppo, tra cui ad esempio controlli interni (sicurezza, integrità patrimoniali), gestione e coordinamento di gruppo. Per tali finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dall'art 6.1, lett. f) del Regolamento;
d) programmazione delle attività, ivi inclusa la gestione efficiente delle risorse. Per tale finalità non occorre il consenso poiché il trattamento rientra nella gestione del rapporto di lavoro;
e) qualificazione e riqualificazione professionale dei dipendenti. Vale l'esonero dal consenso di cui al precedente punto;
f) formazione e valutazione del personale, per cui vale l'ipotesi di esonero dal consenso di cui al punto d);
g) gestione del contenzioso e tutela dei diritti della Società, ivi inclusa la gestione ed implementazione di sistemi di governance e di gestione delle responsabilità aziendali (quali, a titolo di esempio, modelli organizzativi ai fini di cui al D. Lgs. 231/2001). Per tali finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dall'art. 6.1, lett. f) del Regolamento;
h) gestione delle risorse informatiche e attrezzature aziendali della Società, assegnate o meno in uso esclusivo al dipendente (quali, a titolo di esempio, archiviazione di dati, creazione di profili informatici come login, e-mail, verifiche dei log, ecc.). Per tale trattamento si richiama espressamente la " Policy e Regolamento per l’utilizzo dei sistemi informatici " di Inventa CPM s.r.l.. Per tali finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dalla normativa vigente, quale la tutela dei diritti e il legittimo interesse ex art 6.1, lett. f) del Regolamento;
i) gestione e manutenzione della sicurezza del patrimonio e anche al fine di prevenire possibili pregiudizi per la Società derivanti da accessi abusivi o trattamenti illeciti di dati, commissione di reati, ecc., ivi incluse verifiche, ispezioni e audit interni. Per tali finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dall'art 6.1, lett. f) del Regolamento, quale la tutela dei diritti e il legittimo interesse;
j) valutazione dell’opportunità di procedere ad eventuali modifiche giuridiche o strutturali della Società, fusioni, scissioni ed altre operazioni straordinarie che possano coinvolgere la Società nel suo complesso o anche soltanto in una sua parte. Per tali finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dall'art. 6.1, lett. f) del Regolamento;
k) ove occorre, gestione delle relazioni industriali e dei rapporti con le associazioni di categoria, per cui è richiesto il consenso dell'interessato;
l) possibilità di fruire delle assicurazioni integrative o di altre convenzioni stipulate (quali a titolo di esempio, fondi pensione), o da stipulare, da parte della Società in favore dei propri dipendenti. Per tali finalità è richiesto il consenso.
2.2. Dati relativi la salute e categorie particolari di dati personali
Il trattamento della suddetta categoria di dati avrà per oggetto i dati strettamente pertinenti agli obblighi, compiti o finalità connesse alla gestione del rapporto di lavoro e che non possano essere adempiuti o realizzati mediante il trattamento di dati anonimi o di dati personali di natura diversa, i quali possono comprendere i seguenti dati:
(a) dati idonei a rivelare lo stato di salute (documentazione relativa ad una situazione di invalidità ai fini di un avviamento obbligatorio; certificati di malattia, maternità, infortunio, anche a fini di documentazione delle assenze dal lavoro; referti medici in caso di malattia ai fini del pagamento della relativa indennità; anticipazione del TFR per motivi di salute; dati relativi all'inidoneità al lavoro per l'assegnazione a specifiche mansioni; dati concernenti l'inabilità al lavoro ai fini della fruizione dell'assegno per il nucleo familiare; dati per la trasmissione alle compagnie di assicurazione della documentazione medica necessaria per la fruizione dell’assistenza assicurativa della Società in caso di rivalsa);
(b) dati idonei a rivelare l'adesione ad un sindacato (assunzione di cariche sindacali al fine di fruire di permessi; oppure per la richiesta di trattenuta sullo stipendio per il pagamento di quote associative).
In particolare, i Suoi dati relativi alla salute e altre categorie saranno trattati esclusivamente per le seguenti finalità:
a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni ovvero dell'erogazione di contributi, dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica. Per tali finalità non occorre il consenso poiché il trattamento è necessario, rispettivamente, per eseguire gli obblighi derivanti dal contratto di lavoro e per adempiere agli obblighi previsti dalla legge;
b) anche fuori dei casi di cui alla lettera (a) che precede, in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori, se applicabile. Per tali finalità non occorre il consenso poiché il trattamento è necessario, rispettivamente, per eseguire gli obblighi derivanti dal contratto di lavoro e per adempiere agli obblighi previsti dalla legge;
c) per la salvaguardia della vita o dell'incolumità fisica del lavoratore o di un terzo. Per tale finalità non occorre il consenso poiché il trattamento può avvalersi di specifica ipotesi di esonero dal consenso prevista dal Regolamento art 6.1, lett. d);
d) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale. Per tale finalità non occorre il consenso poiché il trattamento è necessario per adempiere agli obblighi previsti dalla legge;
e) per garantire le pari opportunità nel lavoro. Per tale finalità non occorre il consenso poiché il trattamento è necessario per adempiere agli obblighi previsti dalla legge.
2.3 Dati personali relativi a condanne penali e reati
Ove strettamente necessario a fini di tutela dei diritti della Società o del perseguimento degli scopi statutari e del modello organizzativo ex D. Lgs. 231/2001 e dell'adempimento di obblighi di legge, la Società potrebbe dover trattare dati di carattere giudiziario (quali, a titolo di esempio, i dati giudiziari raccolti e trattati per la partecipazione ad appalti pubblici o in adempimento della normativa antimafia, limitatamente al personale per cui la raccolta di tali dati sia necessaria in base alle vigenti normative).
Tali dati saranno trattati nel rispetto dei limiti posti dalla normativa vigente.
2.4 Dati personali dei familiari
Con riferimento ai limitati dati personali (quali, ad esempio, le generalità o altri dati relativi a familiari forniti dal dipendente stesso) riferibili ai familiari dell’interessato, essi vengono trattati, quando necessario, per finalità inerenti l’espletamento di obblighi amministrativi, contabili e fiscali relativi alle normali pratiche attinenti al rapporto di lavoro tra l’interessato e la Società. Per tali finalità non occorre il consenso poiché il trattamento è necessario, rispettivamente, per eseguire gli obblighi derivanti dal contratto di lavoro e per adempiere agli obblighi previsti dalla legge.
È compito dell'interessato comunicare i contenuti della presente informativa ai propri familiari.
3. Modalità del trattamento e natura del conferimento
I dati personali saranno trattati dalla Società e dai suoi incaricati con sistemi informatici e manuali secondo i principi di correttezza, lealtà e trasparenza previsti dalla normativa applicabile in materia di protezione dei dati personali e lo Statuto dei Lavoratori e tutelando la riservatezza dell'interessato e i suoi diritti mediante l’adozione di idonee misure tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio (come ad esempio la separazione dei dati personali comuni da quelli relativi alla salute in archivi – o database – separati, la capacità di ripristinare l'accesso ai dati in case di incidente fisico o tecnico, etc.).
Il conferimento e l’aggiornamento di alcuni dei dati personali del lavoratore e dei suoi familiari (ad esempio, i dati identificativi, il codice fiscale, i dati relativi ai familiari, i dati attinenti allo stato di salute, anche in relazione alle assenze dal lavoro) è obbligatoria in base a normative vigenti (in materia fiscale, assistenziale, previdenziale, a tutela della salute dei lavoratori sui luoghi di lavoro o altre). Senza tali dati, non sarà possibile instaurare o - in talune circostanze - proseguire il rapporto di lavoro.
Il conferimento di dati personali diversi da quelli di cui al precedente capoverso (quali, ad esempio, i dati concernenti il conto corrente, le pregresse esperienze lavorative, la reperibilità in caso di assenza, le motivazioni di astensioni giustificate dal lavoro etc., nonché le eventuali riproduzioni visive dell'immagine del lavoratore raccolte a fini diversi da quello della sicurezza aziendale o i dati necessari per la stipulazione di polizze assicurative non obbligatorie o non previste dai vigenti contratti di lavoro) è facoltativa, non essendo imposta da obblighi di legge o di contratto collettivo. L'eventuale rifiuto di fornire questi dati non pregiudica il rapporto lavorativo, ancorché comporti l’impossibilità di dar corso al rapporto per il quale sono richiesti, ovvero l’esecuzione in modo difforme dalle aspettative o esigenze del lavoratore.
4. Conservazione dei dati
Tutti i dati predetti e gli altri costituenti lo stato di servizio saranno conservati nel rispetto degli obblighi civilistici e fiscali (ad esempio obbligo civilistico di conservare le scritture contabili e ulteriore corrispondenza aziendale per 10 anni); i dati potranno pertanto essere conservati anche dopo la cessazione del rapporto di lavoro per l’espletamento di tutti gli adempimenti connessi o derivanti dal rapporto di lavoro.
5. Trattamento correlato all'utilizzo delle risorse informatiche aziendali
Per specifiche esigenze organizzative, produttive e di sicurezza del lavoro, anche relativamente all'esercizio di un diritto in sede giudiziaria, la Società potrà procedere ad effettuare trattamenti dei dati finalizzati alla verifica del corretto utilizzo delle risorse informative e informatiche (incluso l’utilizzo della posta elettronica e l’accesso alla rete Internet) affidati al lavoratore per lo svolgimento delle mansioni lavorative. Ciò avverrà nel pieno rispetto della normativa e dei criteri prescritti dalle eventuali linee guida emanate dalle Autorità di controllo, o di altra autorità competente, a tutela della riservatezza del lavoratore. Ciò avverrà anche in linea con quanto previsto nella "Policy e Regolamento per l’utilizzo dei sistemi informatici" di Inventa CPM s.r.l. si rinvia pertanto a tali policy per le informazioni di dettaglio in merito alle principali caratteristiche dei trattamenti, alle modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e che specificano se, in che misura e con quali modalità vengano effettuati controlli e – infine - in merito ai punti di contatto per esercitare i diritti.
Gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite sono disponibili su richiesta presso la sede della Società.
6. Comunicazione, diffusione e trasferimento dei dati
Ferme restando le comunicazioni eseguite in adempimento di obblighi di legge e contrattuali, tutti i dati raccolti ed elaborati potranno essere comunicati per le finalità sopra specificate alle seguenti categorie di titolari del trattamento: enti pubblici (INPS, INAIL, Direzione provinciale del lavoro, Uffici fiscali), fondi o casse anche private di previdenza complementare (ai fini del versamento dei contributi previdenziali e individuali) e assistenza (per le relative coperture assicurative e il pagamento del premio, studi medici in adempimento degli obblighi in materia di igiene e sicurezza sul lavoro, compagnie assicurative (per la gestione delle coperture assicurative dei singoli dipendenti e del pagamento delle relative polizze), istituti di credito (per l'accreditamento dello stipendio e di eventuali altri pagamenti dovuti), organizzazioni sindacali cui il lavoratore abbia conferito specifico mandato, fondi integrativi, forze di polizia o autorità giudiziaria, soggetti per i quali la comunicazione sia dovuta per legge, terzi coinvolti in operazioni societarie e straordinarie, consulenti e liberi professionisti anche in forma associata (avvocati, commercialisti, consulenti del lavoro), società di consulenza e formazione.
La Società si avvale di soggetti terzi per la prestazione di alcuni servizi che comportano il trattamento dei dati personali, per i servizi di gestione e amministrazione del personale. Tali soggetti agiscono sulla base delle istruzioni della Società, quali responsabili del trattamento sulla base di appositi accordi contrattuali. L'elenco completo dei soggetti terzi è disponibile su richiesta presso la sede della Società.
I dati relativi alla salute e altre categorie di dati personali potranno essere comunicati, solo nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità connesse alla gestione del rapporto di lavoro, a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza e assistenza sanitaria integrativa anche aziendale, studi medici per l'adempimento di obblighi in materia di igiene e sicurezza sul lavoro, organizzazioni sindacali e RSU ai fini del versamento dei contributi previdenziali aziendali e individuali, istituti di patronato e di assistenza sociale e centri di assistenza fiscale.
I dati potranno anche essere comunicati ad altre società del gruppo, ivi inclusa la capogruppo, le consociate e affiliate ove necessario ai fini del coordinamento di gruppo, dello sviluppo organizzativo, economico e professionale o per eventuali distacchi, in Italia e/o all'estero per motivi di lavoro.
Pertanto, per le finalità sopra indicate, potrà venire a conoscenza dei dati principalmente il personale della Società (tra cui le Sue funzioni di riporto e il personale di segreteria alle funzioni manageriali) e il personale della funzione Amministrazione del personale, accedendo ai dati in base a criteri di necessità, il personale del fornitore dei sistemi di gestione delle paghe e contributi, nonché eventuali consulenti e fornitori ai quali i dati possano essere comunicati per le finalità sopra indicate strettamente funzionali alla gestione del rapporto lavorativo, fornitori di servizi di archiviazione, e di servizi informatici, anche all'interno del gruppo in Italia o all'estero. Tali soggetti operano sulla base di specifiche e adeguate istruzioni in termini di modalità di trattamento e misure di sicurezza indicate in apposita documentazione contrattuale. La lista completa e aggiornata dei soggetti che trattano i dati personali in qualità di responsabili del trattamento è disponibile su richiesta presso la sede di Inventa CPM s.r.l..
I Suoi dati personali non saranno oggetto di diffusione, salvo eventuali immagini che potranno essere utilizzate, previo suo consenso, per comunicazione mediante canali digitali o altri media anche a fini di promozione dell'immagine aziendale. I dati non sono generalmente trasferiti fuori dall'Unione Europea; tuttavia, ove per specifiche esigenze connesse alla sede di localizzazione dei servizi resi dai fornitori, o per esigenze di coordinamento delle attività di gruppo fosse necessario trasferire i dati verso paesi situati fuori dallo Spazio Economico Europeo, anche in Paesi che non offrono protezione adeguata, la Società si impegna a garantire livelli di tutela e salvaguardia anche di carattere contrattuale adeguati secondo le norme applicabili, ivi inclusa la stipulazione di clausole contrattuali tipo. L'elenco dei Paesi situati fuori dallo Spazio Economico Europeo dove sono trasferiti i dati è disponibile su richiesta presso la sede di Inventa CPM s.r.l..
7. Diritti dell’interessato
L'interessato potrà esercitare, in relazione al trattamento dei dati ivi descritto, i diritti previsti dal Regolamento (artt.15-21), ivi inclusi:
§ ricevere conferma dell’esistenza dei suoi dati personali e accedere al loro contenuto (diritti di accesso);
§ aggiornare, modificare e/o correggere i suoi dati personali (diritto di rettifica);
§ chiederne la cancellazione o la limitazione del trattamento dei dati trattati in violazione di legge compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o altrimenti trattati (diritto all'oblio e diritto alla limitazione);
§ opporsi al trattamento (diritto di opposizione);
§ revocare il consenso, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca;
§ proporre reclamo all'Autorità di controllo in caso di violazione della disciplina in materia di protezione dei dati personali;
§ ricevere copia dei dati in formato elettronico che lo riguardano resi nel contesto del contratto di lavoro (es. dati relativi agli stipendi, servizi di mobilità interni) e chiedere che tali dati siano trasmessi ad un altro titolare del trattamento (diritto alla portabilità dei dati).
Per esercitare tali diritti può rivolgersi a Inventa CPM s.r.l. inviando una e-mail a: [email protected]