1. Le Parti dichiarano di essere informate che le disposizioni di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione dei dati, di seguito denominato GDPR 2016/679, riguardano il trattamento dei soli dati relativi a persone fisiche. In relazione alle operazioni di trattamento di dati personali delle persone fisiche che richiedono o ottengono i mutui, le Parti si impegnano a conformarsi pienamente alle disposizioni del GDPR 2016/679 e a trattare i dati unicamente per le finalità connesse all’esecuzione della Convenzione. Le parti si impegnano inoltre a curare, ciascuna nella sfera di rispettiva competenza o anche in collaborazione fra loro, tutti gli adempimenti previsti dal menzionato GDPR 2016/679, al fine di garantire la legittimità dei trattamenti di dati personali effettuati per lo svolgimento delle attività di cui alla Convenzione, anche per quanto concerne lo scambio di dati con i fondi pensione e di assicurare la riservatezza e la sicurezza dei dati stessi, in ogni fase e per qualsiasi tipo di operazioni di trattamento, adottando inoltre idonee misure di sicurezza tecniche e organizzative, come stabilito dal GDPR 2016/679.
2. La presente clausola disciplina il ruolo ricoperto dalla Banca nell’ambito del trattamento dati, eseguito per conto dell’Ente. In virtù di tale attività la Banca assume il ruolo di “responsabile del trattamento” come previsto dall’articolo 28 del GDPR 2016/679. In qualità di responsabile del trattamento, la Banca dovrà gestire le operazioni di trattamento secondo le istruzioni impartite dall’Ente – titolare del trattamento ai sensi del menzionato GDPR 2016/679 – nella Convenzione.
3. I trattamenti per i quali viene ricoperto il ruolo di Responsabile sono individuati dalla Convenzione e ne rappresentano l’oggetto. I dati trattati e le relative tipologie sono esclusivamente quelli necessari per dare esecuzione alla Convenzione. Nel caso in cui la Banca contravvenga a tali prescrizioni, risponderà direttamente di ogni attività eseguita in caso di danno nei confronti dell’interessato. Con la sottoscrizione della Convenzione la Banca, nella persona del legale rappresentante, si impegna a rispettare le regole di seguito riportate riferite al trattamento, nello specifico:
a) i dati personali dei richiedenti o dei mutuatari potranno essere oggetto di trattamento unicamente per le finalità connesse all’esecuzione della Convenzione;
b) i dati conferiti non potranno essere trasferiti a terzi, salvo consenso scritto dell’Ente. Qualora la Banca si avvalga, per l’esecuzione della prestazione, della collaborazione di una struttura terza (individuabile come sub-responsabile), dovrà darne pronta comunicazione scritta all’Ente che, se del caso, autorizzerà la gestione e il trattamento dei dati da parte del sub-responsabile. Spetterà alla Banca procedere alla stipula di idoneo contratto con tale struttura terza, in modo da vincolare la suddetta struttura alle medesime regole previste nella presente clausola;
c) la Banca detiene un elenco aggiornato delle strutture terze della cui collaborazione si avvale per l’esecuzione della prestazione oggetto della presente clausola, con il relativo ambito di trattamento di dati personali;
d) la Banca risponderà direttamente per i danni causati all’Ente, nonché per i danni causati dal sub-responsabile, in ragione del mancato rispetto delle regole contenute nella presente clausola;
e) spetterà alla Banca individuare nella propria organizzazione i soggetti incaricati del trattamento dei dati, tramite apposito documento di autorizzazione al trattamento dei dati;
f) la Banca terrà un registro di tutte le attività relative al trattamento svolte per conto dell’Ente, riportante tutti gli elementi previsti dall’articolo 30 del GDPR 2016/679;
g) tutti i dati comunicati e trattati dovranno essere gestiti nel rispetto del dovere di segretezza e riservatezza e non potranno essere diffusi;
h) la Banca si impegna ad adottare tutte le misure di sicurezza idonee a garantire la protezione dei dati, così da evitarne la perdita, la distruzione, l’illecita copia o la consultazione vietata da parte di soggetti non autorizzati;
i) la Banca dovrà collaborare attivamente con l’Ente nel caso in cui pervengano richieste dell’interessato nell’esercizio dei propri diritti, oppure richieste o attività ispettive da parte dell’autorità competente.
4. Il trattamento avrà durata pari alla durata della Convenzione fra le parti. Una volta esaurito il rapporto di collaborazione, la Banca non sarà più autorizzata ad eseguire alcuna operazione di trattamento sui dati. Terminato il rapporto in essere tra le parti, la Banca dovrà procedere alla cancellazione di tutti i dati dai propri sistemi, salvo necessità di conservazione previste dalla vigente normativa.
5. L’Ente potrà eseguire attività di verifica e controllo nei confronti della Banca al fine di verificare il corretto trattamento dei dati nonché il rispetto delle regole e istruzioni contenute nella presente clausola. Se tali attività di verifica dovessero far emergere anomalie o operazioni di trattamento non consentite, la Banca dovrà sanare gli aspetti rilevati, dandone comunicazione all’Ente che, in caso di grave inadempimento degli obblighi elencati nella presente clausola, potrà procedere alla risoluzione della Convenzione prima della scadenza. Nel caso in cui vi siano variazioni nel trattamento, spetterà all’Ente darne tempestiva comunicazione alla Banca, che dovrà recepire le nuove istruzioni. Nel caso in cui la Banca ravvisi elementi che potrebbero comportare un pericolo nel trattamento, dovrà darne pronto riscontro all’Ente.
6. La Banca, nella persona del legale rappresentante, con la sottoscrizione della Convenzione si impegna a rispettare tutto quanto previsto dalla presente clausola. Per quanto non espressamente previsto, si rimanda integralmente alla vigente normativa di riferimento.