1) Le 25 mai 2018, le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après dénommé, par souci de concision, le « Règlement » ou « RGPD ») est devenu pleinement opérationnel ;

2) l'article 4, paragraphe 1, point 7, du RGPD définit le responsable du traitement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel » ;

3) conformément à l'article 26, paragraphe 1, du RGPD, « lorsque deux ou plusieurs responsables du traitement déterminent conjointement les finalités et les moyens du traitement, ils sont conjointement responsables du traitement. Ils déterminent de manière transparente, par voie d'accord interne, leurs responsabilités respectives en ce qui concerne le respect des obligations découlant du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs fonctions respectives en matière de communication des informations visées aux articles 13 et 14, à moins que et dans la mesure où leurs responsabilités respectives soient déterminées par le droit de l'Union ou de l'État membre auquel les responsables du traitement sont soumis. Cet accord peut désigner un point de contact pour les personnes concernées » ;

4) conformément à l'article 13, paragraphe 5, du DÉCRET LÉGISLATIF n° 24 du 10 mars 2023, les entités du secteur privé qui partagent des ressources pour la réception et le traitement des signalements, au sens de l'article 4, paragraphe 4, déterminent de manière transparente, par le biais d'un accord interne, leurs responsabilités respectives en matière de respect des obligations relatives à la protection des données à caractère personnel, conformément à l'article 26 du règlement (UE) 2016/679 ou à l'article 23 du décret législatif n° 51 de 2018.

5) Les parties contractantes ont l'intention de réglementer de manière transparente les droits et obligations réciproques qui découlent du respect scrupuleux des règles et principes contenus dans le RGPD, en particulier en ce qui concerne l'exercice des droits de la personne concernée, ainsi que leurs rôles respectifs dans la communication d'informations aux personnes concernées, en signant le présent accord ;

6) les parties ont l'intention d'utiliser une plateforme d'information concernant la protection des personnes qui signalent des violations du droit de l'Union et contenant des dispositions relatives à la protection des personnes qui signalent des violations des dispositions réglementaires nationales (réglementation en matière de dénonciation)

7) en signant le présent accord, les parties entendent réglementer la relation de coresponsabilité dans le traitement des données à caractère personnel, mieux décrite ci-après, et notamment leurs rôles et responsabilités respectifs à l'égard des personnes concernées ;

Article 1 – Dispositions préliminaires

1. Dans le cadre de leurs responsabilités respectives telles que définies dans le présent accord, les co-responsables du traitement doivent à tout moment remplir leurs obligations conformément à celui-ci et de manière à traiter les données sans enfreindre les dispositions légales en vigueur et dans le plein respect des lignes directrices et des codes de conduite applicables, approuvés à chaque fois par l'autorité de contrôle.

2. Il est entendu entre les parties, conformément aux dispositions de l'article 26, paragraphe 3, du règlement et indépendamment des dispositions du présent accord, que la personne concernée peut exercer ses droits à l'égard et contre chaque co-responsable du traitement.

3. Conformément à leur mission et à leurs valeurs, les co-responsables du traitement s'engagent mutuellement à protéger les données à caractère personnel de toute personne physique qui serait en contact ou travaillerait avec eux, dans le respect de l'identité, de la dignité de chaque être humain et des libertés fondamentales garanties par la Constitution, conformément aux dispositions du RGPD et aux dispositions du décret législatif n° 24 du 10 mars 2023 concernant le traitement des données à caractère personnel et leur libre circulation, et dans le respect de toute autre réglementation nationale ou européenne applicable.

4. Omissis.

5. Omissis.

6. Omissis.

7. Un extrait du présent accord est mis à la disposition des personnes concernées sur le site web de chaque cotitulaire dans la section dédiée au whistleblowing.

Article 2 - Objet de l'accord.

1) Le présent acte détermine les responsabilités respectives des parties en matière de respect des obligations découlant du règlement, ainsi que des dispositions légales en vigueur à tout moment en matière de traitement des données à caractère personnel. Le présent acte établit également les obligations respectives en matière d'exercice des droits des personnes concernées et les rôles respectifs pour chaque obligation réglementaire en vigueur.

2) Par le présent accord, les co-responsables conviennent que le traitement des données à caractère personnel, tel que défini à l'article 4.2 du Règlement, s'effectue par l'utilisation partagée de l'application, comme prévu par le décret législatif 24/23, dit décret Whistleblowing,

3) Les activités à la base du présent accord impliquent le traitement des catégories de données à caractère personnel suivantes : Données à caractère personnel de nature commune (par exemple, nom, prénom, type de relation avec la société, cadre, fonction, qualification, numéro de téléphone, adresse électronique, etc.), de nature particulière (anciennement « données sensibles » art. 9 du RGPD) et judiciaires (telles que les condamnations pénales et les infractions art. 10 du RGPD), éventuellement contenues dans le signalement et dans les actes et documents qui y sont joints, relatives à toutes les personnes physiques - identifiées ou identifiables - impliquées à divers titres dans les faits signalés (signalant, signalé, facilitateur, éventuels autres tiers), dites « personnes concernées ».

Article 3 – Durée et effets consécutifs à la résiliation du contrat

1. Le présent accord, adopté par décision des conseils d'administration respectifs ...omissis... sera valable pour une durée indéterminée, les parties ayant la faculté de le résilier moyennant un préavis de 6 (six) mois à envoyer par lettre recommandée avec accusé de réception ou par courrier électronique certifié aux autres co-titulaires.

2. Omissis.

3. Omissis.

Article 4 – Obligations between the parties

1. The protection of personal data is based on compliance with the principles set out in this document, which the Joint Controllers undertake to disseminate, respect and enforce among their directors, employees and collaborators and third parties with whom they collaborate in the performance of their activities. In particular, the Joint Controllers are committed to ensuring that the legislation on personal data protection, and all that it entails, is understood, implemented and supported by all internal and external parties involved in the activities of the Joint Controllers, taking into account their specific circumstances, their capabilities, including economic capabilities, and their values.

2. The Joint Controllers undertake to maintain and guarantee the confidentiality and protection of personal data collected, processed and used by virtue of the joint controllership. In particular, they undertake, even separately from each other, to: a) process personal data in a lawful, fair and transparent manner in line with constitutional principles and current legislation, in particular the GDPR, and only for the time strictly necessary for the purposes envisaged, including those for complying with legal obligations; b) collect personal data limited to that which is essential for carrying out the activities constituting the joint project (relevant and limited personal data); c) process personal data only for the specific purposes expressed in their privacy policies; d) adopt processes for updating and rectifying the personal data processed to ensure that personal data is, as far as possible, accurate and up to date; e) store and protect the personal data in their possession using the best preservation techniques available; f) ensure the continuous updating of personal data protection measures. This commitment will be constantly monitored in accordance with the principle of accountability by consistently implementing appropriate technical and organisational measures and suitable policies to ensure and be able to demonstrate that the processing is carried out in accordance with the GDPR, taking into account the state of the art, the nature of the personal data stored and the risks to which they are exposed. Each Joint Controller shall periodically monitor the level of security achieved in order to ensure that it is always adequate for the risk; g) ensure the timely recovery of personal data availability in the event of a physical or technical incident h) make the methods of processing personal data and their storage clear, transparent and relevant in order to ensure adequate security; i) promote the development of a sense of responsibility and awareness of the entire organisation towards personal data; l) prevent and minimise, compatibly with the available resources, the impact of potential violations or unlawful and/or harmful processing of personal data; m) ensure that its employees receive adequate training on whistleblowing regulations and the concept of “reporting”, on the correct use of the channel and on penalties in the event of a breach; n) promote the inclusion of personal data protection in the continuous improvement plan that the Joint Controller pursues with its management systems.

3. Omissis.

Article 5 – Période de conservation des données

Les signalements internes et la documentation correspondante sont conservés pendant le temps nécessaire au traitement du signalement aux fins pour lesquelles ils ont été collectés, conformément aux obligations légales ou, en tout état de cause, pour permettre à la Société de protéger ses droits et intérêts ou ceux de tiers (par exemple, défense en justice). Les données sont supprimées de la plateforme 5 ans après la clôture du signalement. Les données à caractère personnel qui ne sont manifestement pas utiles au traitement d'un signalement spécifique ne sont pas collectées ou, si elles sont collectées accidentellement, elles sont immédiatement supprimées. Il reste entendu que, si le Responsable du traitement décide d'engager une procédure disciplinaire ou d'intenter une action en justice ou administrative, ou encore une procédure d'arbitrage ou de conciliation, les données personnelles des personnes concernées seront conservées pendant une durée égale à la durée de la procédure ou au délai de prescription des droits pour lesquels le traitement est nécessaire à la vérification, à l'exercice ou à la défense, même si cette durée est supérieure aux périodes de conservation indiquées ci-dessus.

Article 6 - Personnes autorisées au traitement (et personnes désignées)

1. La société mère, Gruppo Concorde S.p.A., a été chargée de gérer les signalements concernant les autres co-responsables du traitement. Ces sociétés ont désigné la société mère comme responsable du traitement au sens de l'article 28 du RGPD. la société mère a désigné comme personnes autorisées au traitement les membres du comité de dénonciation, composé du responsable des ressources humaines, du responsable des systèmes d'information et du responsable financier du groupe Concorde. Le directeur général de la société mère a également été désigné comme gestionnaire des signalements par les membres du comité de dénonciation, spécialement autorisés à exercer cette fonction et spécifiquement formés à cet effet.

2. Omissis.

3. Omissis.

Article 7 - Responsables du traitement - Omissis

Article 8 - Évaluation d'impact et violations des données à caractère personnel

1. Dans les cas prévus par l'article 35 du RGPD, l'évaluation de l'impact sur la protection des données à caractère personnel et son éventuel réexamen, ainsi que la consultation préalable visée à l'article 36 du RGPD, sont à la charge de la société mère qui informe les autres responsables conjoints, par la signature du présent accord, qu'elle a procédé à cette évaluation qui a mis en évidence un risque résiduel « faible ».

2. Omissis.

3. Omissis.

4. Omissis.

Article 9 - Décisions relatives aux transferts internationaux de données à caractère personnel

1. Le présent accord prévoit que les données à caractère personnel seront traitées sur le territoire de l'Union européenne.

2. Omissis.

Article 10 - Procédure d'exercice des droits de la personne concernée Les demandes d'exercice des droits et les éventuelles réclamations présentées par les personnes concernées seront traitées par la société mère, étant entendu que les personnes concernées pourront exercer leurs droits à l'égard de chaque cotitulaire.

Article 11 - Vérifications du respect des règles de protection des données à caractère personnel - Omissis

Article 12 - Responsabilité en cas de violation des dispositions - Omissis

Article 13 - Clauses nulles ou inefficaces - Omissis

Article 14 - Communications - Omissis

Article 15 - Dispositions finales Pour tout ce qui n'est pas expressément indiqué dans le présent accord, il convient de se référer au RGPD, aux dispositions légales en vigueur, ainsi qu'aux mesures prises par l'autorité de contrôle.

Fiorano Modenese (MO), le 23/12/2025