1) in data 25 maggio 2018 è divenuto pienamente operativo il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d’ora innanzi, per brevità, Regolamento o “GDPR”);

2) l’articolo 4, paragrafo 1, n. 7 del GDPR definisce quale titolare del trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;

3) a norma dell’articolo 26, paragrafo 1 del GDPR “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”;

4) a norma dell’art. 13 5’ comma del DECRETO LEGISLATIVO 10 marzo 2023 , n. 24 i soggetti del settore privato che condividono risorse per il ricevimento e la gestione delle segnalazioni, ai sensi dell’articolo 4, comma 4, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali, ai sensi dell’articolo 26 del regolamento (UE) 2016/679 o dell’articolo 23 del decreto legislativo n. 51 del 2018.

5) è intenzione delle Parti contraenti regolamentare in modo trasparente i diritti e gli obblighi reciproci quali conseguono alla puntuale osservanza delle norme e dei principi contenuti nel GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati, addivenendo alla sottoscrizione della presente accordo;

6) è in intenzione delle parti l’utilizzo di una piattaforma informativa riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (disciplina whistleblowing)

7) con la sottoscrizione del presente accordo le Parti intendono disciplinare, il rapporto di contitolarità nel trattamento dei dati personali, meglio descritti in seguito e segnatamente, i rispettivi ruoli e responsabilità nei confronti degli interessati;

Articolo 1 – Pattuizioni preliminari

1. Nell’ambito delle rispettive responsabilità come determinate dal presente Accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili, di volta in volta approvati dall’Autorità di controllo.

2. Resta inteso tra le Parti, conformemente a quanto stabilito dell’art. 26, comma 3 del Regolamento ed indipendentemente dalle disposizioni del presente Accordo, che l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del trattamento.

3. In coerenza con la propria missione e i propri valori i Contitolari si impegnano reciprocamente a proteggere i dati personali di ogni persona fisica che si trovasse ad avere contatto o ad operare con i medesimi nel rispetto dell’identità, della dignità di ogni essere umano e delle libertà fondamentali costituzionalmente garantite, nel rispetto delle disposizioni del GDPR e delle disposizione del Decreto Legislativo 10 marzo 2023 n. 24 con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi e nel rispetto di qualsivoglia ulteriore normativa nazionale od europea applicabile.

4. Omissis.

5. Omissis.

6. Omissis.

7. Un estratto del presente accordo è messo a disposizione degli interessati sul sito web di ogni singolo Contitolare nell’apposita sezione dedicata al whistleblowing.

Articolo 2 - Oggetto dell’accordo.

1) Con il presente atto sono determinate le rispettive responsabilità delle Parti in merito all’osservanza degli obblighi derivanti dal Regolamento, nonché dalle disposizioni di legge vigenti tempo per tempo con riguardo al trattamento dei dati personali. Con il presente atto sono stabiliti, altresì, i rispettivi obblighi in merito all’esercizio dei diritti degli interessati e i rispettivi ruoli per ogni obbligo normativo vigente.

2) Con il presente accordo i Contitolari convengono che il trattamento dei dati personali, come definito all’art. 4.2 del Regolamento, avvenga mediante l’utilizzo condiviso dell’applicativo così come previsto dal decreto legislativo 24/23 c.d. decreto Whistleblowing,

3) Le attività alla base del presente accordo comportano il trattamento delle seguenti categorie di dati personali: Dati personali di natura comune (e.g. nome, cognome, tipo di rapporto intercorrente con la Società, inquadramento, ruolo, qualifica, contatto telefonico, indirizzo mail ecc), di natura particolare (ex “dati sensibili” Art. 9 del GDPR) e giudiziari (quali condanne penali e reati Art. 10 GDPR), eventualmente contenuti nella segnalazione e negli atti e nei documenti a essa allegati, relativi a tutte le persone fisiche - identificate o identificabili - a vario titolo coinvolte nelle vicende segnalate (segnalante, segnalato, facilitatore, eventuali altri terzi), c.d. interessati.

Articolo 3 – Durata ed effetti conseguenti allo scioglimento del Contratto

1. Il presente accordo, adottato con delibera dei rispettivi Consigli di Amministrazione ..omissis.. sarà valido a tempo indeterminato con facoltà delle parti di recedere con un preavviso di 6 (sei) mesi da inviare con raccomandata a/r o PEC agli altri Contitolari.

2. Omissis.

3. Omissis.

Articolo 4 – Obblighi tra le parti

1. La tutela dei dati personali è fondata sull’osservanza dei principi illustrati nel presente documento che i Contitolari si impegnano a diffondere, rispettare e far rispettare ai propri amministratori, ai propri dipendenti e collaboratori ed ai soggetti terzi con cui collaborano nello svolgimento della propria attività. In particolare i Contitolari sono impegnati affinché la normativa sulla protezione dati personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i soggetti, interni ed esterni, coinvolti nelle attività dei Contitolari, tenuto conto della loro realtà concreta, delle loro possibilità anche economiche e dei loro valori.

2. I Contitolari si impegnano a mantenere e garantire la riservatezza e la protezione dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità. In particolare essi, anche disgiuntamente tra loro, si impegnano a: a) trattare i dati personali in modo lecito, corretto e trasparente in linea con i principi costituzionali e con la normativa vigente in materia, in particolare il GDPR e solo per il tempo strettamente necessario alle finalità previste, comprese quelle per ottemperare agli obblighi di legge; b) raccogliere i dati personali limitandosi a quelli indispensabili per effettuare le attività costituenti il progetto comune (dati personali pertinenti e limitati); c) trattare i dati personali per le sole finalità specifiche ed espresse nelle proprie informative; d) adottare processi di aggiornamento e di rettifica dei dati personali trattati per assicurarsi che i dati personali siano, per quanto possibile, corretti e aggiornati; e) conservare e tutelare i dati personali di cui è in possesso con le migliori tecniche di preservazione disponibili; f) garantire il continuo aggiornamento delle misure di protezione dei dati personali. Tale impegno sarà costantemente seguito nell’ambito del principio di responsabilizzazione mettendo in atto, con costanza, misure tecniche e organizzative adeguate e politiche idonee, per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR tenuto conto dello stato dell’arte, della natura dei dati personali custoditi e dei rischi ai quali sono esposti. Ciascun Contitolare eseguirà un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio; g) garantire il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico h) rendere chiare, trasparenti e pertinenti le modalità di trattamento dei dati personali e la loro conservazione in maniera da garantirne un’adeguata sicurezza; i) favorire lo sviluppo del senso di responsabilizzazione e la consapevolezza dell’intera organizzazione verso i dati personali; l) prevenire e minimizzare, compatibilmente con le risorse disponibili, l’impatto di potenziali violazioni o trattamenti illeciti e/o dannosi dei dati personali; m) assicurare ai propri dipendenti un’adeguata formazione sulla normativa whistleblowing e sul concetto di “segnalazione”, sul corretto utilizzo del canale e sulle sanzioni in caso di violazione; n) promuovere l’inserimento della protezione dati personali nel piano di miglioramento continuo che il Contitolare persegue con i propri sistemi di gestione.

3. Omissis.

Articolo 5 – Periodo di conservazione dei dati

Le segnalazioni interne e la relativa documentazione sono conservate, per il tempo necessario al trattamento della segnalazione per il perseguimento delle finalità per le quali sono stati raccolti, conformemente a quanto previsto dagli obblighi di legge o comunque per consentire alla Società la tutela dei diritti ed interessi propri o di terzi (es. difesa in giudizio). I dati vengono eliminati dalla piattaforma trascorsi 5 anni dalla chiusura della segnalazione. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti, o, se raccolti accidentalmente, sono cancellati immediatamente. Resta fermo che, nel caso in cui a seguito il Titolare decidesse di avviare un procedimento disciplinare o di promuovere un procedimento in sede giudiziaria o amministrativa ovvero una procedura di arbitrato o di conciliazione, i dati personali degli interessati saranno conservati per un tempo pari alla durata del procedimento ovvero al periodo di prescrizione dei diritti per il cui accertamento, esercizio o difesa il trattamento si rende necessario, anche se superiore ai periodi di conservazione indicati sopra.

Articolo 6 - Persone autorizzate al trattamento (e Designati)

1. Alla Capogruppo, Gruppo Concorde S.p.A. è stato affidato il compito di gestire le segnalazione riguardanti gli altri Contitolari, tali società hanno provveduto a nominare la Capogruppo quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, la Capogruppo ha designato quali autorizzati al trattamento ai componenti del Comitato Whistleblowing, comitato composto dal Responsabile delle Risorse Umane, dal Responsabile Sistemi Informativi e dal Responsabile Finanziario del Gruppo Concorde, è stato inoltre designato il Consigliere Delegato della Capogruppo quale gestore delle segnalazioni in capo ai componenti del Comitato Whistleblowing, appositamente autorizzati a svolgere tale ruolo e specificatamente formati.

2. Omissis.

3. Omissis.

Articolo 7 - Responsabili del trattamento - Omissis

Articolo 8 – Valutazione d’impatto e Violazioni di dati personali

1. Nei casi previsti dall’art. 35 del GDPR, la valutazione d’impatto sulla protezione dei dati personali ed il suo eventuale riesame, così come la consultazione preventiva di cui all’art. 36 del GDPR, sono a carico della Capogruppo la quale informa gli altri Contitolari, con la sottoscrizione del presente accordo, di aver effettuato tale valutazione che ha evidenziato un rischio residuo “basso”.

2. Omissis.

3. Omissis.

4. Omissis.

Articolo 9 - Decisioni in merito ai trasferimenti internazionali di dati personali

1. Il presente accordo prevede che i dati personali saranno trattati all’interno del territorio dell’Unione Europea.

2. Omissis.

Articolo 10 - Procedura per l’esercizio dei diritti dell’Interessato Le richieste di esercizio dei diritti e gli eventuali reclami presentati dagli interessati saranno gestiti dalla Società Capogruppo, restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di ciascun Contitolare.

Articolo 11 - Verifiche circa il rispetto delle regole di protezione dei dati personali - Omissis

Articolo 12 - Responsabilità per violazione delle disposizioni - Omissis

Articolo 13 – Clausole nulle o inefficaci - Omissis

Articolo 14 – Comunicazioni - Omissis

Articolo 15 – Disposizioni finali Per quanto non espressamente indicato nel presente accordo si rinvia al GDPR, alle disposizioni di legge vigenti, nonché ai provvedimenti dell’Autorità di controllo.

Fiorano Modenese (MO) lì 23/12/2025