1) El 25 de mayo de 2018 entró en vigor el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, por abreviatura, Reglamento o «RGPD»);

2) El artículo 4, apartado 1, n.º 7, del RGPD define como responsable del tratamiento «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales».

3) De conformidad con el artículo 26, apartado 1, del RGPD, «cuando dos o más responsables determinen conjuntamente los fines y medios del tratamiento, serán corresponsables del tratamiento. Determinarán de forma transparente, mediante un acuerdo interno, sus respectivas responsabilidades en lo que respecta al cumplimiento de las obligaciones derivadas del presente Reglamento, en particular en lo que se refiere al ejercicio de los derechos del interesado, y sus respectivas funciones de comunicación de la información a que se refieren los artículos 13 y 14, salvo en la medida en que sus respectivas responsabilidades estén determinadas por el Derecho de la Unión o del Estado miembro al que estén sujetos los responsables del tratamiento. Dicho acuerdo podrá designar un punto de contacto para los interesados»;

4) de conformidad con el artículo 13, apartado 5, del DECRETO LEGISLATIVO n.º 24, de 10 de marzo de 2023, las entidades del sector privado que compartan recursos para la recepción y gestión de las notificaciones, de conformidad con el artículo 4, apartado 4, determinarán de forma transparente, mediante un acuerdo interno, sus respectivas responsabilidades en materia de cumplimiento de las obligaciones relativas a la protección de datos personales, de conformidad con el artículo 26 del Reglamento (UE) 2016/679 o el artículo 23 del Decreto Legislativo n.º 51 de 2018.

5) Las Partes Contratantes tienen la intención de regular de manera transparente los derechos y obligaciones recíprocos que se derivan del cumplimiento puntual de las normas y principios contenidos en el RGPD, con especial atención al ejercicio de los derechos del interesado, así como sus respectivas funciones en la comunicación de la información a los interesados, mediante la firma del presente acuerdo.

6) Las partes tienen la intención de utilizar una plataforma informativa sobre la protección de las personas que denuncian infracciones del Derecho de la Unión y que contiene disposiciones relativas a la protección de las personas que denuncian infracciones de las disposiciones normativas nacionales (normativa sobre denuncia de irregularidades).

7) con la firma del presente acuerdo, las Partes pretenden regular la relación de corresponsabilidad en el tratamiento de datos personales, que se describe con más detalle a continuación, y, en particular, sus respectivas funciones y responsabilidades frente a los interesados;

Artículo 1 – Acuerdos preliminares

1. En el ámbito de sus respectivas responsabilidades, tal y como se determinan en el presente Acuerdo, los Corresponsables deberán cumplir en todo momento con sus obligaciones de conformidad con el mismo y de tal manera que los datos se traten sin infringir las disposiciones legales vigentes y respetando plenamente las directrices y los códigos de conducta aplicables, aprobados en cada caso por la Autoridad de control.

2. Queda entendido entre las Partes, de conformidad con lo establecido en el artículo 26, apartado 3, del Reglamento e independientemente de las disposiciones del presente Acuerdo, que el interesado podrá ejercer sus derechos frente a cada uno de los Corresponsables del tratamiento.

3. En consonancia con su misión y sus valores, los Corresponsables se comprometen mutuamente a proteger los datos personales de toda persona física que entre en contacto o trabaje con ellos, respetando la identidad y la dignidad de todo ser humano y las libertades fundamentales garantizadas constitucionalmente, de conformidad con las disposiciones del RGPD y las disposiciones del Decreto Legislativo n.º 24, de 10 de marzo de 2023, en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, y de conformidad con cualquier otra normativa nacional o europea aplicable.

4. Omissis.

5. Omissis.

6. Omissis.

7. Se pone a disposición de los interesados un extracto del presente acuerdo en el sitio web de cada uno de los corresponsables del tratamiento, en la sección dedicada a la denuncia de irregularidades.

Artículo 2 - Objeto del acuerdo.

1) El presente documento establece las responsabilidades respectivas de las Partes en lo que respecta al cumplimiento de las obligaciones derivadas del Reglamento, así como de las disposiciones legales vigentes en cada momento en materia de tratamiento de datos personales. El presente documento establece, asimismo, las obligaciones respectivas en lo que respecta al ejercicio de los derechos de los interesados y las funciones respectivas para cada obligación normativa vigente.

2) Mediante el presente acuerdo, los corresponsables acuerdan que el tratamiento de los datos personales, tal y como se define en el artículo 4.2 del Reglamento, se llevará a cabo mediante el uso compartido de la aplicación, tal y como se establece en el decreto legislativo 24/23, denominado decreto Whistleblowing.

3) Las actividades en las que se basa el presente acuerdo implican el tratamiento de las siguientes categorías de datos personales: Datos personales de carácter común (por ejemplo, nombre, apellidos, tipo de relación con la empresa, categoría, función, cargo, contacto telefónico, dirección de correo electrónico, etc.), de carácter especial (antes «datos sensibles» art. 9 del RGPD) y judiciales (como condenas penales y delitos, art. 10 del RGPD), que puedan estar contenidos en la denuncia y en los actos y documentos adjuntos a la misma, relativos a todas las personas físicas —identificadas o identificables— que, por diversos motivos, estén involucradas en los hechos denunciados (denunciante, denunciado, facilitador, otros terceros), denominadas «interesadas».

Artículo 3 – Duración y efectos derivados de la rescisión del contrato

1. El presente acuerdo, adoptado por resolución de los respectivos consejos de administración ... omisiones ... tendrá una vigencia indefinida, con la facultad de las partes de rescindirlo con un preaviso de 6 (seis) meses, que deberá enviarse por correo certificado con acuse de recibo o correo electrónico certificado a los demás cotitulares.

2. Omissis.

3. Omissis.

Artículo 4 – Obligaciones entre las partes

1. La protección de los datos personales se basa en el cumplimiento de los principios expuestos en el presente documento, que los Corresponsables se comprometen a difundir, respetar y hacer respetar por sus administradores, empleados y colaboradores, así como por los terceros con los que colaboran en el desarrollo de su actividad. En particular, los corresponsables se comprometen a garantizar que la normativa sobre protección de datos personales, y todo lo que de ella se deriva, sea comprendida, aplicada y respaldada por todas las personas, internas y externas, que participan en las actividades de los corresponsables, teniendo en cuenta su realidad concreta, sus posibilidades, también económicas, y sus valores.

2. Los corresponsables se comprometen a mantener y garantizar la confidencialidad y la protección de los datos personales recopilados, tratados y utilizados en virtud de la relación de corresponsabilidad. En particular, se comprometen, incluso de forma independiente entre sí, a: a) tratar los datos personales de forma lícita, leal y transparente, de conformidad con los principios constitucionales y la normativa vigente en la materia, en particular el RGPD, y solo durante el tiempo estrictamente necesario para los fines previstos, incluidos los de cumplimiento de las obligaciones legales; b) recopilar los datos personales limitándose a los indispensables para llevar a cabo las actividades que constituyen el proyecto común (datos personales pertinentes y limitados); c) tratar los datos personales únicamente para los fines específicos y expresados en sus informativas; d) adoptar procesos de actualización y rectificación de los datos personales tratados para garantizar que los datos personales sean, en la medida de lo posible, correctos y actualizados; e) conservar y proteger los datos personales que obran en su poder con las mejores técnicas de conservación disponibles; f) garantizar la actualización continua de las medidas de protección de los datos personales. Este compromiso se supervisará constantemente en el marco del principio de responsabilidad, aplicando de forma constante las medidas técnicas y organizativas adecuadas y las políticas idóneas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el RGPD, teniendo en cuenta el estado actual de la técnica, la naturaleza de los datos personales conservados y los riesgos a los que están expuestos. Cada corresponsable llevará a cabo un seguimiento periódico del nivel de seguridad alcanzado, con el fin de que sea siempre adecuado al riesgo; g) garantizar la recuperación rápida de la disponibilidad de los datos personales en caso de incidente físico o técnico h) hacer que las modalidades de tratamiento de los datos personales y su conservación sean claras, transparentes y pertinentes, de manera que se garantice una seguridad adecuada; i) fomentar el desarrollo del sentido de la responsabilidad y la concienciación de toda la organización con respecto a los datos personales; l) prevenir y minimizar, en la medida de lo posible con los recursos disponibles, el impacto de posibles violaciones o tratamientos ilícitos y/o perjudiciales de los datos personales; m) garantizar a sus empleados una formación adecuada sobre la normativa de denuncia de irregularidades y el concepto de «denuncia», el uso correcto del canal y las sanciones en caso de infracción; n) promover la inclusión de la protección de datos personales en el plan de mejora continua que el corresponsable persigue con sus sistemas de gestión.

3. Omissis.

Artículo 5 – Periodo de conservación de los datos

Las denuncias internas y la documentación correspondiente se conservan durante el tiempo necesario para tramitar la denuncia con el fin de perseguir los objetivos para los que se han recopilado, de conformidad con lo previsto en las obligaciones legales o, en cualquier caso, para permitir a la Empresa proteger sus derechos e intereses o los de terceros (por ejemplo, defensa en juicio). Los datos se eliminan de la plataforma transcurridos 5 años desde el cierre de la notificación. Los datos personales que manifiestamente no son útiles para el tratamiento de una notificación específica no se recogen o, si se recogen accidentalmente, se eliminan inmediatamente. No obstante, en caso de que el Responsable decida iniciar un procedimiento disciplinario o promover un procedimiento judicial o administrativo, o un procedimiento de arbitraje o conciliación, los datos personales de los interesados se conservarán durante un tiempo igual a la duración del procedimiento o al plazo de prescripción de los derechos para cuya determinación, ejercicio o defensa sea necesario el tratamiento, incluso si es superior a los períodos de conservación indicados anteriormente.

Artículo 6 - Personas autorizadas para el tratamiento (y designadas)

1. A la sociedad matriz, Gruppo Concorde S.p.A., se le ha encomendado la tarea de gestionar las notificaciones relativas a los demás corresponsables del tratamiento. Dichas sociedades han nombrado a la sociedad matriz como responsable del tratamiento, de conformidad con el artículo 28 del RGPD. la sociedad matriz ha designado como autorizados para el tratamiento a los miembros del Comité de Denuncia de Irregularidades, compuesto por el responsable de Recursos Humanos, el responsable de Sistemas de Información y el responsable financiero del Grupo Concorde, y también se ha designado al consejero delegado de la sociedad matriz como gestor de las denuncias de los miembros del Comité de Denuncia de Irregularidades, debidamente autorizados para desempeñar dicha función y específicamente formados para ello.

2. Omissis.

3. Omissis.

Artículo 7 - Responsables del tratamiento - Omissis

Artículo 8 - Evaluación del impacto y violaciones de datos personales

1. En los casos previstos en el artículo 35 del RGPD, la evaluación del impacto sobre la protección de datos personales y su posible revisión, así como la consulta previa a que se refiere el artículo 36 del RGPD, correrán a cargo de la empresa matriz, que informará a los demás corresponsables, mediante la firma del presente acuerdo, de que ha realizado dicha evaluación, la cual ha puesto de manifiesto un riesgo residual «bajo».

2. Omissis.

3. Omissis.

4. Omissis.

Artículo 9 - Decisiones relativas a las transferencias internacionales de datos personales

1. El presente acuerdo establece que los datos personales serán tratados dentro del territorio de la Unión Europea.

2. Omissis.

Artículo 10 - Procedimiento para el ejercicio de los derechos del interesado Las solicitudes de ejercicio de los derechos y las posibles reclamaciones presentadas por los interesados serán gestionadas por la Sociedad Matriz, quedando entendido en todo caso que los interesados podrán ejercer sus derechos frente a cada uno de los Corresponsables.

Artículo 11 - Verificaciones sobre el cumplimiento de las normas de protección de datos personales - Omissis

Artículo 12 - Responsabilidad por incumplimiento de las disposiciones - Omissis

Artículo 13 - Cláusulas nulas o ineficaces - Omissis

Artículo 14 - Comunicaciones - Omissis

Artículo 15 - Disposiciones finales Para todo lo no indicado expresamente en el presente acuerdo, se remite al RGPD, a las disposiciones legales vigentes y a las medidas de la Autoridad de control.

Fiorano Modenese (MO), a 23/12/2025