Gazzetta n. 55 del 6 marzo 2024 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 11 gennaio 2024 Approvazione del codice di condotta per il settore delle Agenzie per il lavoro e accreditamento dell'organismo di monitoraggio. (Provvedimento n. 12). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, «Regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196 (codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»; Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attivita' e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorita' di controllo competente; Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le liberta' degli interessati; Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) n. 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; Considerato in particolare che l'adesione ad un codice di condotta puo' essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformita' dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32, par. 3 del regolamento); Rilevato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano; Considerato che l'art. 41, par. 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorita' di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, e' effettuata da un organismo di monitoraggio (di seguito, «Odm») in possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e del necessario accreditamento rilasciato a tal fine dalla medesima autorita', con la sola eccezione del trattamento effettuato da autorita' pubbliche e da organismi pubblici per il quale non e' necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento); Rilevato, in questo contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilita' ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm piu' adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle linee guida e dai pertinenti pareri del Comitato; Considerato che il regolamento e le linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento; Rilevato altresi' che il Garante nella procedura di accreditamento, volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificita' dei trattamenti di dati personali afferenti al settore a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarita' e la complessita' delle operazioni di trattamento oggetto del codice, nonche' i rischi per gli interessati; Considerato che l'art. 41, par. 3, del regolamento prevede che la predetta autorita' di controllo presenta al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento; Visto il provvedimento del 10 giugno 2020, n. 98 - pubblicato in Gazzetta Ufficiale n. 173 dell'11 luglio 2020 - (di seguito, «Provvedimento») con il quale il Garante, ai sensi dell'art. 57, par.1, lettera p), del regolamento, ha approvato i requisiti per l'accreditamento dell'Odm, tenendo conto delle osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020; Considerato che l'art. 57, par. 1, lettera q) del regolamento prevede, in particolare, che ciascuna autorita' di controllo, sul proprio territorio, effettua l'accreditamento dell'Odm, ai sensi dell'art. 41; Rilevato che, ai sensi del combinato disposto di cui agli art. 55 del regolamento e art. 2-bis del Codice, il Garante e' l'autorita' di controllo competente a definire e pubblicare i requisiti per l'accreditamento dell'Odm, nonche' ad accreditare lo stesso Odm nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lettere p) e q), del regolamento; Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante e' l'autorita' di controllo competente ad approvare i codici di condotta aventi validita' nazionale nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera m) del regolamento; Considerato che l'associazione proponente, rappresentando adeguatamente tutte le categorie di titolari e responsabili del trattamento che operano nel settore delle agenzie per il lavoro in Italia, e' legittimata, ai sensi dell'art. 40, paragrafo 2 del regolamento, a promuovere l'adozione di un codice di condotta nel settore di riferimento; Visto che in data 11 e 13 dicembre 2023, all'esito di una complessa interlocuzione con gli uffici, l'associazione proponente ha presentato la richiesta formale di accreditamento dell'Odm allegando la documentazione utile idonea a comprovare il possesso dei requisiti richiesti e ha contestualmente sottoposto all'approvazione del Garante il codice di condotta; Rilevato che dall'esame della richiesta di accreditamento e della documentazione ad essa allegata, emerge che l'istituendo Odm rispetta i requisiti previsti dall'art. 41, par. 2 del regolamento e dal provvedimento, essendo stato comprovato, in particolare: un adeguato livello di competenza per lo svolgimento dei compiti di verifica sul rispetto del codice di condotta; di poter assolvere alle proprie funzioni con indipendenza e imparzialita'; di aver definito misure idonee a individuare e mitigare il rischio di eventuali conflitti di interesse; Rilevato, altresi', all'esito dell'esame di questa autorita', che il codice di condotta presentato dall'associazione proponente offre, in misura sufficiente, garanzie adeguate a tutela degli interessati nel settore di riferimento, come previsto dall'art. 40, paragrafo 5, del regolamento; Ritenuto, pertanto, ai sensi dell'art. 57, par. 1, lettera q), del regolamento, di accreditare l'Odm individuato dal proponente alla verifica del rispetto del codice di condotta, per la durata di cinque anni non rinnovabili; Ritenuto, pertanto, di approvare il codice di condotta che acquista la piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sara' inserito nei registri di cui all'art. 40, paragrafi 6 e 11 del regolamento; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore l'avv. Guido Scorza; Tutto cio' premesso il Garante: a) ai sensi dell'art. 57, par. 1, lettera q), del regolamento accredita l'Odm proposto dal proponente alla verifica del rispetto del codice di condotta per la durata di cinque anni non rinnovabili; b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento approva il codice di condotta riportato in allegato al presente provvedimento del quale forma parte integrante; c) invia copia della presente deliberazione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Il presidente Stanzione Il relatore Scorza Il segretario generale Mattei   Allegato Assolavoro Codice di condotta per il settore delle APL Ai sensi dell'art. 40 del regolamento UE n. 2016-679 Indice Premesse A. Assolavoro B. Le agenzie per il lavoro C. Finalita' del codice di condotta D. Consultazione E. Entrata in vigore del codice di condotta e modifiche *** Art. 1 Definizioni Art. 2 Ambito di applicazione, condizioni e modalita' di adesione al codice di condotta Art. 3 Modello di registro dei trattamenti tipici delle agenzie per il lavoro Art. 4 Ruolo privacy delle agenzie per il lavoro Art. 5 Categorie di dati trattati Art. 6 Basi giuridiche del trattamento dei dati da parte delle APL Art. 7 Indicazioni in ordine all'informativa da fornire ai candidati Art. 8 Comunicazione dati personali Art. 9 Termini di conservazione Art. 10 Esercizio dei diritti e garanzie per gli interessati nei trattamenti di dati con processi automatizzati Art. 11 Attribuzione di funzioni e compiti per il trattamento di dati personali Art. 12 Misure di sicurezza Art. 13 Conservazione della documentazione Art. 14 Organismo di monitoraggio Art. 15 Compiti e poteri dell'organismo di monitoraggio Art. 16 Procedura di riesame del codice di condotta Art. 17 Entrata in vigore del codice di condotta e modifiche Art. 18 Allegati Premesse A. Assolavoro Assolavoro e' l'Associazione nazionale di categoria delle agenzie per il lavoro, costituita il 18 ottobre 2006 dalla fusione delle tre rappresentanze preesistenti. Assolavoro e' il soggetto promotore del presente codice di condotta finalizzato a stabilire un insieme di regole per la corretta applicazione del regolamento (UE) n. 2016/679 in modo pratico, trasparente ed efficace, in base alle sfumature del particolare settore rappresentato e delle correlate attivita' di trattamento tipiche. Assolavoro: aderisce in qualita' di socio aggregato a Confindustria; rappresenta l'espressione italiana della World Employment Confederation (WEC), la Confederazione mondiale delle agenzie per il lavoro; fa parte dell'ASvis, l'Alleanza italiana per lo sviluppo sostenibile; e' socio fondatore e parte datoriale di Forma.Temp (Fondo per la formazione e il sostegno al reddito dei lavoratori in somministrazione) ed E.Bi.Temp (Ente bilaterale per il lavoro temporaneo, che eroga prestazioni e servizi a favore dei lavoratori tramite agenzia); e' socio fondatore degli «Stati generali del lavoro», la rete degli operatori privati per il lavoro e la formazione. e' riconosciuta quale Parte sociale e interviene stabilmente alle audizioni convocate dal Governo, dagli organismi parlamentari e dalle regioni, per contribuire alla fase di elaborazione sia di nuove normative, sia di indagini conoscitive sul mercato del lavoro. L'Associazione nasce per garantire alle ApL standard piu' elevati di tutela e rappresentanza, nonche' un'offerta integrata di assistenza e informazione. Alla data di adozione del presente codice di condotta, Assolavoro riunisce le agenzie per il lavoro che producono circa l'85% del fatturato complessivo legato alla somministrazione di lavoro e contano in tutta Italia oltre 2.500 filiali ed e' pertanto in grado di comprendere le esigenze dei propri associati e di definire chiaramente l'attivita' di settore e gli ambiti di trattamento cui il codice e' destinato ad applicarsi. B. Le agenzie per il lavoro Le agenzie per il lavoro sono operatori autorizzati dall'ANPAL (Agenzia nazionale delle politiche attive del lavoro sotto la vigilanza del Ministero del lavoro) a seguito di una articolata procedura disciplinata dal capo I del decreto legislativo n. 276/2003 «Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla legge 14 febbraio 2003, n. 30». Le ApL sono iscritte in un apposito albo suddiviso in cinque sezioni: 1) agenzie di somministrazione di tipo generalista: svolgono attivita' di somministrazione di manodopera. L'autorizzazione alla somministrazione di tipo generalista autorizza automaticamente anche allo svolgimento delle attivita' di intermediazione, ricerca e selezione del personale e supporto alla ricollocazione professionale. Le agenzie di somministrazione generalista possono somministrare lavoratori sia a tempo determinato sia a tempo indeterminato; 2) agenzie di somministrazione di tipo specialista: possono somministrare lavoratori solo a tempo indeterminato; 3) agenzie di intermediazione: svolgono attivita' di mediazione tra domanda e offerta di lavoro. Tali agenzie sono automaticamente iscritte anche alla quarta e alla quinta sezione; 4) agenzie di ricerca e selezione del personale: svolgono attivita' di consulenza per l'individuazione delle candidature idonee a ricoprire posizioni lavorative su incarico del committente; 5) agenzie di supporto alla ricollocazione professionale: svolgono l'attivita', finalizzata alla ricollocazione nel mercato del lavoro di prestatori di lavoro, considerati singolarmente o collettivamente, su incarico dell'organizzazione committente. L'autorizzazione e' inizialmente di natura provvisoria. Trascorsi due anni dal rilascio dell'autorizzazione provvisoria, l'ApL potra' richiedere l'autorizzazione definitiva che verra' rilasciata una volta verificati il possesso dei requisiti giuridici e finanziari nonche' il corretto andamento dell'attivita'. Le agenzie per il lavoro possono essere radiate dall'albo qualora non svolgano correttamente l'attivita' o non adempiano regolarmente i loro obblighi nei confronti dei lavoratori. Nello specifico, il lavoro in somministrazione e' una tipologia contrattuale introdotta in Italia nel 2003 e sostituisce il lavoro interinale entrato nell'ordinamento italiano nel 1997. La disciplina di settore e' volta a garantire trasparenza ed efficienza del mercato del lavoro e a migliorare le capacita' di inserimento professionale dei disoccupati e di quanti sono in cerca di una occupazione, con particolare attenzione alle fasce deboli del mercato del lavoro. Tuttavia, le ApL non si occupano esclusivamente di somministrazione di lavoro, ma offrono ai lavoratori una serie di servizi volti alla formazione professionale e alla ricollocazione nel mercato del lavoro. Tutti i servizi ai candidati e lavoratori di cui all'autorizzazione prevista per legge sono gratuiti. C. Finalita' del codice di condotta Il considerando n. 98 del regolamento (UE) n. 2016/679 prevede che le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiate a elaborare codici di condotta che possano calibrare gli obblighi degli stessi tenuto conto del potenziale rischio del trattamento per i diritti e le liberta' delle persone fisiche. L'elaborazione del presente codice di condotta viene effettuata su iniziativa di Assolavoro ai sensi dell'art. 40.2 del regolamento (UE) n. 2016/679 con l'obiettivo di contribuire alla corretta applicazione del medesimo in funzione delle specificita' del settore delle APL ed e' redatto sulla base di quanto previsto dagli articoli 40 e 41 del regolamento. D. Consultazione Ai fini dell'approvazione del progetto di codice, Assolavoro ha svolto diversi incontri con i propri associati nel corso dei quali sono state analizzate le criticita' applicative della normativa in materia di protezione dei dati personali con riferimento al settore delle APL e sono state condivise le competenze ed esperienze maturate nella prassi dai diversi attori coinvolti. Il progetto di codice di condotta e' stato oggetto di diverse condivisioni e modifiche dal momento di inizio dei lavori. Il progetto di codice e' stato sottoposto a pubblica consultazione per un periodo pari a trenta giorni mediante pubblicazione sul sito istituzionale di Assolavoro. L'avviso di pubblica consultazione e' stato divulgato con nota prot. n. 162.2020 di Assolavoro del 20 novembre 2020 pubblicata in data 23 novembre 2020 sul sito web di Assolavoro. All'esito della pubblica consultazione, Assolavoro ha analizzato e tenuto in considerazione le osservazioni pervenute dai diversi soggetti interessati, anche nell'ambito degli incontri con i portatori d'interesse coinvolti nella consultazione, come descritto nella relazione conclusiva trasmessa al Garante. Art. 1. Definizioni Ferme le definizioni contenute nell'art. 4 del regolamento UE n. 679/2016 che si riportano o cui si rinvia espressamente, ai fini del presente CDC valgono le definizioni di seguito indicate. La forma singolare include il plurale e viceversa. 1. «Agenzia per il lavoro» o «APL»: soggetto privato autorizzato dall'ANPAL a offrire i servizi relativi all'incontro tra domanda e offerta di lavoro e iscritto nell'Albo delle agenzie per il lavoro. 2. «Attivita' delle APL» o «Attivita'»: s'intendono le attivita' autorizzate dalla legge di intermediazione, ricerca e selezione del personale, ricollocazione professionale, somministrazione di lavoro, nonche' tutte le attivita' connesse, quali a titolo esemplificativo, gestione di politiche attive del lavoro, formazione. Attivita' delle APL autorizzate ex lege 3. «Intermediazione»: consiste nell'attivita' di mediazione tra domanda e offerta di lavoro, anche in relazione all'inserimento lavorativo dei disabili e dei gruppi di lavoratori svantaggiati, comprensiva tra l'altro: della raccolta dei curricula dei potenziali lavoratori; della preselezione e costituzione di relativa banca dati; della promozione e gestione dell'incontro tra domanda e offerta di lavoro; della effettuazione, su richiesta del committente, di tutte le comunicazioni conseguenti alle assunzioni avvenute a seguito della attivita' di intermediazione; dell'orientamento professionale; della progettazione ed erogazione di attivita' formative finalizzate all'inserimento lavorativo. 4. «Ricerca e selezione del personale»: l'attivita' di consulenza di direzione finalizzata alla risoluzione di una specifica esigenza dell'organizzazione committente, attraverso l'individuazione di candidature idonee a ricoprire una o piu' posizioni lavorative in seno all'organizzazione medesima, su specifico incarico della stessa, e comprensiva di: analisi del contesto organizzativo dell'organizzazione committente; individuazione e definizione delle esigenze della stessa; definizione del profilo di competenze e di capacita' della candidatura ideale; pianificazione e realizzazione del programma di ricerca delle candidature attraverso una pluralita' di canali di reclutamento; valutazione delle candidature individuate attraverso appropriati strumenti selettivi; formazione della rosa di candidature maggiormente idonee; progettazione ed erogazione di attivita' formative finalizzate all'inserimento lavorativo; assistenza nella fase di inserimento dei candidati; verifica e valutazione dell'inserimento e del potenziale dei candidati. 5. «Somministrazione di lavoro»: si articola in un rapporto trilaterale nel quale i soggetti coinvolti sono l'agenzia per il lavoro (che assume il lavoratore alle proprie dipendenze), l'utilizzatore (l'impresa, presso cui il lavoratore presta la sua attivita') ed il lavoratore. L'istituto della somministrazione consente alle aziende di beneficiare di prestazioni lavorative senza che cio' comporti l'assunzione di oneri tipici derivanti dall'instaurazione di un rapporto di lavoro. Il lavoratore viene inserito nell'organizzazione dell'impresa utilizzatrice e lavora sotto la direzione ed il controllo di quest'ultima a condizioni di base economiche e normative complessivamente non inferiori a quelle dei dipendenti di pari livello dell'utilizzatore. I lavoratori somministrati hanno altresi' diritto a fruire dei servizi sociali e assistenziali di cui godono i dipendenti dell'utilizzatore addetti alla stessa unita' produttiva, esclusi quelli il cui godimento sia condizionato alla iscrizione ad associazioni o societa' cooperative o al conseguimento di una determinata anzianita' di servizio. La forza lavoro viene acquisita dall'azienda attraverso un contratto di natura commerciale con l'APL. Successivamente l'APL invia in «missione», a tempo determinato o a tempo indeterminato, presso l'azienda i lavoratori assunti alle proprie dipendenze. 6. «Supporto alla ricollocazione professionale»: l'attivita' effettuata su specifico ed esclusivo incarico dell'organizzazione committente, anche in base ad accordi sindacali, finalizzata alla ricollocazione nel mercato del lavoro di prestatori di lavoro, singolarmente o collettivamente considerati, attraverso la preparazione, la formazione finalizzata all'inserimento lavorativo, l'accompagnamento della persona e l'affiancamento della stessa nell'inserimento nella nuova attivita'. Altre definizioni 7. «Candidato»: persona fisica che presenti la propria candidatura e/o venga individuato per ricoprire una o piu' posizioni lavorative ovvero per fruire dei servizi delle APL. 8. «Cliente»: il soggetto/organizzazione committente che si rivolge alle APL per i servizi diversi dalla somministrazione di lavoro. 9. «Codice di condotta» o «CDC»: s'intende il presente documento approvato dal Garante per la protezione dei dati personali ai sensi degli articoli 40 e 41 del RGPD avente ad oggetto la disciplina relativa ai trattamenti tipici del settore delle APL, volto a facilitare il corretto adempimento degli obblighi previsti dal RGPD. 10. «Codice privacy»: e' il decreto legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali», cosi' come modificato dal decreto legislativo n.101/2018 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE». 11. «Comitato europeo per la protezione dei dati personali»: s'intende l'organismo dell'Unione istituito dal regolamento, dotato di personalita' e rappresentato dal suo presidente che garantisce l'applicazione coerente del regolamento. E' composto dalla figura di vertice di un'autorita' di controllo per ciascuno Stato membro e dal Garante europeo della protezione dei dati o dai rispettivi rappresentanti. 12. «Comunicazione di dati»: ai sensi dell'art. 2-ter del codice privacy, il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'art. 2-quaterdecies del codice privacy, al trattamento dei dati personali sotto l'autorita' diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione. 13. «Dati comuni»: si intende qualunque informazione relativa ad una persona fisica identificata o identificabile anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, un identificativo on-line, etc. 14. «Dati giudiziari»: si intendono i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza il cui trattamento, secondo il disposto dell'art. 2-octies del codice privacy e' consentito, ai sensi dell'art. 10 del regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le liberta' degli interessati. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti nonche' le garanzie sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante. 15. «Diffusione»: ai sensi dell'art. 2-ter del codice privacy, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. 16. «Garante per la protezione dei dati personali» o «Garante»: e' in Italia l'autorita' di controllo indipendente di cui all'art. 52 del regolamento incaricata di sorvegliare l'applicazione del regolamento al fine di tutelare i diritti e le liberta' fondamentali delle persone fisiche. 17. «Gruppo di lavoro articolo 29 per la protezione dei dati» o «WP29»: era l'organo consultivo indipendente dell'UE per la protezione dei dati personali e della vita privata istituito in virtu' dell'art. 29 della direttiva 95/46/CE, oggi sostituito dal Comitato europeo per la protezione dei dati. 18. «Lavoratore somministrato»: e' un dipendente della APL che svolge la propria attivita' presso l'utilizzatore e sotto la direzione e controllo di quest'ultimo (c.d. missione). 19. «Modello»: il modello generale di controllo sul codice di condotta, contenente altresi' i requisiti minimi di funzionamento dell'OdM, di cui all'allegato 3 al CDC. 20. «Organismo di monitoraggio» o «OdM»: e' l'organismo di monitoraggio accreditato dal Garante ai sensi e per gli effetti dell'art. 41 RGPD e preposto al controllo sull'applicazione ed il rispetto del presente codice di condotta. 21. «Outsourcing»: l'affidamento/esternalizzazione parziale o totale da parte di un cliente ad una APL dell'incarico di svolgimento dei servizi connessi, a titolo esemplificativo, alla selezione, gestione, amministrazione delle risorse umane (es. acquisti). 22. «Particolari categorie di dati»: ai sensi dell'art. 9 RGPD, si intendono i dati relativi alla salute nonche' i dati che rivelino l'orientamento sessuale della persona, i dati genetici, i dati biometrici, i dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale. 23. «Regolamento» o «RGPD»: regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. 24. «Responsabile del trattamento» o «Responsabile»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. 25. «Social network di natura professionale»: social network attraverso il quale gli utenti condividono e scambiano informazioni relative alle attitudini professionali, ai percorsi di studio e di formazione, all'attivita' lavorativa svolta, alle esperienze professionali e alla carriera. 26. «Soggetto promotore»: Assolavoro, soggetto dotato di rappresentativita' del settore delle APL come descritto nelle premesse del presente CDC. 27. «Titolare del trattamento» o «Titolare»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento di dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri. 28. «Trattamenti tipici»: s'intendono i trattamenti principali effettuati dall'APL in qualita' di titolari ed elencati a titolo esemplificativo nell'allegato 1 «Modello di registro dei trattamenti» del presente codice di condotta. 29. «Utilizzatore»: il soggetto che usufruisce della forza lavoro messa a disposizione dalla APL in forza di un contratto commerciale di somministrazione di lavoro, a tempo determinato o indeterminato, esercitando sul lavoratore somministrato inviato in missione il potere di direzione e controllo.   Art. 2. Ambito di applicazione, condizioni e modalita' di adesione al codice di condotta 2.1 Fermo quanto previsto dall'art. 3 del regolamento in materia di ambito di applicazione territoriale, il codice di condotta si applica a tutte le APL associate al soggetto promotore che vi aderiscono nel rispetto della procedura di seguito specificata. 2.2 Possono aderire al CDC anche le APL non associate al soggetto promotore Assolavoro purche' abbiano sede legale in Italia e siano iscritte all'Albo informatico nazionale delle agenzie per il lavoro a seguito del rilascio dell'autorizzazione da parte di ANPAL o altra autorita' successivamente prevista, ai sensi della normativa vigente. L'adesione al CDC e' libera e facoltativa e non solleva l'aderente dall'adempimento degli obblighi previsti dal regolamento, dal codice privacy, dai provvedimenti applicabili emessi dal Garante e dall'osservanza delle linee guida o di indirizzo emessi dal Comitato europeo per la protezione dei dati personali. 2.3 Ciascuna APL aderente ha facolta' di comunicare all'organismo di monitoraggio il nominativo delle societa' appartenenti al proprio gruppo societario nell'ambito del territorio nazionale che aderiscono al presente CDC. 2.4 L'adesione al CDC discende da una volonta' esplicita dell'APL che, riconoscendosi nei valori espressi nel CDC, si impegna a rispettare quanto in esso disciplinato. 2.5 L'adesione al codice di condotta determina, per i soggetti aderenti, l'impegno e il vincolo di: rispettare i principi e applicare le indicazioni contenuti nello stesso; accettare e collaborare alle attivita' di sorveglianza e controllo in esso previste; concorrere all'attuazione del CDC. 2.6 Il meccanismo di adesione e le relative istruzioni sono messe a disposizione dal soggetto promotore tramite il sito internet www.assolavoro.eu e il sito internet dell'OdM. L'adesione avviene tramite la compilazione e la trasmissione all'OdM della relativa «richiesta di adesione», scaricabile direttamente dal sito internet, la quale dovra' essere sottoscritta dal legale rappresentante del soggetto che intende aderire. L'OdM verifica l'assenza di circostanze ostative all'adesione del soggetto richiedente. 2.7 L'OdM, accertato il possesso da parte del richiedente dei necessari requisiti, anche in riferimento agli obblighi di contribuzione di cui al successivo art. 14.5, approva la nuova adesione e provvede a darne notizia al consiglio direttivo di Assolavoro, dandone informazione al Garante. 2.8 L'eventuale mancata accettazione della domanda di adesione al codice di condotta regolarmente presentata da parte di una APL dovra' essere brevemente motivata da parte dell'OdM, fermo restando che tale diniego non preclude il successivo rinnovo della domanda di adesione. In quest'ultimo caso, tuttavia, l'APL richiedente dovra' allegare alla nuova istanza una breve nota che illustri le misure adottate per superare le ragioni che avevano condotto al precedente diniego. 2.9 L'adesione al codice di condotta comporta l'iscrizione al registro delle APL aderenti che e' tenuto dall'OdM e pubblicato sul proprio sito internet. 2.10 Il soggetto che aderisce al CDC e' l'unico responsabile della corretta applicazione ed attuazione degli obblighi previsti dal codice di condotta.   Art. 3. Modello di registro delle agenzie per il lavoro 3.1 Le APL, a seguito dell'entrata in vigore del RGPD hanno quindi adottato un registro dei trattamenti ai sensi dell'art. 30 del regolamento. Il modello di registro dei trattamenti di cui all'allegato 1 ha natura meramente esemplificativa, non vincolante, dei trattamenti tipici nell'ambito delle APL. Il modello e' fornito per consentire alle APL aderenti la compilazione/verifica della completezza del proprio registro da declinare nel rispetto dei trattamenti effettivamente effettuati dalle stesse. Ciascuna APL potra' sviluppare la propria attivita' e i propri servizi senza alcuna limitazione derivante dall'eventuale incompletezza dell'elenco dei trattamenti tipici di cui all'allegato 1 al presente CDC, fatta salva la necessita' di definire, per ciascun trattamento ulteriore, gli elementi richiesti dal regolamento per la corretta tenuta del registro dei trattamenti ai sensi dell'art. 30 RGPD. 3.2 Le APL svolgono anche trattamenti non specifici del proprio settore, pertanto non ricompresi nell'allegato 1, che sono funzionali alla corretta gestione dell'organizzazione aziendale. Per la corretta applicazione del regolamento a tali trattamenti ogni APL dovra' procedere autonomamente, in base alle proprie caratteristiche aziendali.   Art. 4. Ruolo privacy delle agenzie per il lavoro 4.1 Nei rapporti con i clienti e gli utilizzatori per l'effettuazione delle attivita' delle APL, eccetto quelle di esecuzione di servizi in outsourcing, l'APL riveste normalmente il ruolo di titolare. In particolare, nell'ambito delle attivita' di: somministrazione di lavoro, i dati del lavoratore somministrato vengono, da un lato, trattati dall'APL quale datore di lavoro e, dall'altro, dall'utilizzatore presso il quale il lavoratore somministrato svolge la missione utilizzando strumenti, sistemi e applicativi dell'utilizzatore medesimo. ricerca e selezione del personale, la APL procede alla ricerca e alla selezione delle persone in cerca di lavoro e fornisce ai clienti i dati di candidati preselezionati o selezionati ad hoc per particolari posizioni; al contempo, i dati del candidato trasmessi al cliente per un posto vacante di norma sono trattati autonomamente da quest'ultimo nell'ambito della propria fase di selezione. intermediazione, i dati relativi ai potenziali lavoratori vengono trattati dall'APL che effettua la raccolta dei cv e li inoltra al cliente per eventuale inserimento diretto. supporto alla ricollocazione professionale, le APL supportano i clienti nella organizzazione della forza lavoro, fornendo al contempo strumenti utili per il lavoratore quali, formazione, pianificazione finanziaria, assistenza previdenziale, consulenza professionale, valutazioni e altre forme di supporto, per effettuare con successo una transizione sul mercato del lavoro e trovare una nuova occupazione, avviare un'impresa, ecc. A titolo esemplificativo, taluni servizi spesso continuano anche dopo la cessazione del contratto di lavoro tra il cliente e il lavoratore interessato (es. transizione di carriera) determinando l'instaurazione di un rapporto diretto tra APL e lavoratore. 4.2 In tutti i casi di cui al precedente 4.1, tra APL e utilizzatore/cliente si crea una relazione titolare-titolare in quanto entrambi i soggetti determinano autonomamente le finalita' e le modalita' dei trattamenti. Tale relazione si atteggia diversamente nell'ambito di un incarico in outsourcing in considerazione del trattamento di dati personali che la APL effettua per conto del titolare cliente. In tali casi di norma l'APL dovra' essere designata da quest'ultimo quale responsabile del trattamento ai sensi dell'art. 28 RGPD.   Art. 5. Categorie di dati trattati Trattamenti effettuati nella fase di ricerca e selezione del personale 5.1. Nello svolgimento delle proprie attivita', con esclusione della somministrazione, le APL trattano le seguenti tipologie di dati: a. Dati comuni i. dati identificativi e di contatto (quali, a titolo esemplificativo, nome, cognome, data di nascita, codice fiscale, indirizzo, contatti telefonici e e-mail, residenza, stato civile, immagine fotografica); ii. dati contenuti nel CV quali esperienze formative e professionali pregresse, titoli di studio etc.; iii. dati forniti dai candidati in relazione alla posizione lavorativa (es. disponibilita' immediata; disponibilita' solo per lavoro part-time); iv. dati finalizzati alla verifica del possesso di attestazioni, certificazioni, patenti, abilitazioni etc.; v. dati relativi all'idoneita' e attitudine a svolgere determinate mansioni. b. Particolari categorie di dati ex art. 9 RGPD i. dati idonei a rivelare lo stato di salute quali l'appartenenza a categorie protette o limitazioni allo svolgimento di determinate mansioni per disabilita'; ii. dati idonei a rivelare l'origine razziale ed etnica. 5.2 Le APL possono trattare particolari categorie di dati solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare il rapporto di lavoro o di collaborazione con il cliente. Il trattamento effettuato ai fini dell'instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l'invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall'art. 113 del codice privacy, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalita', anche tenuto conto delle particolari mansioni e/o delle specificita' dei profili professionali richiesti. Qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalita' perseguita, le APL che effettuano la selezione devono astenersi dall'utilizzare tali informazioni. Trattamenti effettuati per l'instaurazione e gestione del rapporto di somministrazione di lavoro 5.3 Le APL nell'ambito dei trattamenti tipici per l'instaurazione e gestione del rapporto di somministrazione di lavoro trattano, in qualita' di datori di lavoro, dati comuni e categorie particolari di dati, quali a titolo esemplificativo: per i dati comuni, i dati identificativi e di contatto (quali, a titolo esemplificativo, nome, cognome, data di nascita, codice fiscale, indirizzo, contatti telefonici e e-mail, residenza, stato civile, stato di famiglia, immagine fotografica); i dati contenuti nel CV quali esperienze formative e professionali pregresse, titoli di studio etc.; i dati finalizzati alla verifica del possesso di attestazioni, certificazioni, patenti, abilitazioni etc.; i dati forniti dai candidati in fase di colloquio; per le categorie particolari, i dati che rivelino o siano idonei a rivelare lo stato di salute di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi, limitazioni nell'idoneita' a svolgere talune mansioni, anticipazione del TFR per motivi di salute, esposizioni a fattori di rischio; 5.4 Le APL, in presenza dei presupposti di cui all'art. 2-octies del codice privacy possono trattare dati giudiziari, come per esempio nel caso di adempimento dell'obbligo di cui all'art. 2 del decreto legislativo 4 marzo 2014, n. 39 di raccolta del certificato penale del casellario giudiziale nel caso di assunzione di lavoratori per lo svolgimento di attivita' professionali o attivita' volontarie organizzate che comportino contatti diretti e regolari con minori.   Art. 6. Basi giuridiche del trattamento dei dati da parte delle APL 6.1 La principale base giuridica del trattamento da parte delle APL dei dati comuni dei candidati e', ai sensi dell'art. 6, paragrafo 1, lettera b) del regolamento, la necessita' di dare esecuzione ad un contratto di cui l'interessato e' parte o a misure precontrattuali adottate su richiesta dello stesso. 6.2 Per il trattamento delle particolari categorie di dati in fase di selezione dei candidati, in aggiunta alla base giuridica ex art. 6 RGPD di cui al precedente 6.1, ferma l'applicazione delle misure ex art. 2-septies del codice privacy, le APL possono fare affidamento sulle seguenti condizioni di liceita': ai sensi dell'art. 9, paragrafo 2, lettera b) del regolamento, la necessita' di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato. ai sensi dell'art. 9, paragrafo 4 e dell'art. 88 del regolamento, l'adempimento di specifici obblighi o l'esecuzione di specifici compiti previsti dalla normativa dell'Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, tra cui fornire specifici servizi o azioni mirate per assistere le categorie di lavoratori svantaggiati nella ricerca di una occupazione (cfr. art. 10, decreto legislativo 10 settembre 2003, n. 276; legge n. 68/1999). ai sensi dell'art. 9, paragrafo 4, del regolamento, l'osservanza delle «Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro» previste dal provvedimento n. 146 del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101 (allegato n. 1, par. 1)» ovvero delle regole di deontologia ai sensi dell'art. 2-quater del codice privacy.   Art. 7. Indicazioni in ordine all'informativa da fornire ai candidati 7.1 Il presente CDC, al fine di adeguarsi alle previsioni del regolamento in materia di informativa agli interessati, definisce: le informazioni da fornire all'interessato che, ai sensi del regolamento, variano in relazione alle modalita' di raccolta dei dati personali: raccolta direttamente presso l'interessato ex art. 13 RGPD o presso terzi (come terzi titolari e fonti pubblicamente accessibili) ex art. 14 RGPD; un modello di informativa candidati di cui all'allegato 2 che rispetta i requisiti del regolamento e deriva dal censimento dei trattamenti effettuato nel registro di cui all'allegato 1 e costituisce un modello di base non vincolante. 7.2 Nell'ambito dell'iscrizione sul portale web di una APL, in occasione della raccolta dei dati, viene fornito all'interessato un link alla informativa sul trattamento dei dati personali. Il link all'informativa viene portato all'attenzione dell'interessato nel momento della raccolta dei dati personali, quindi, e' visualizzabile in modo evidente quando l'interessato compila il modulo on-line. Le informazioni in materia di trattamento dati personali saranno differenziate nettamente da altre, quali clausole contrattuali o condizioni generali d'uso. 7.3 Tutte le informazioni rivolte agli interessati verranno comunque rese disponibili in un unico luogo o in un documento completo (in formato digitale o cartaceo), al quale gli interessati possano accedere facilmente qualora intendano consultare nella loro interezza le informazioni di cui sono destinatari (es. sezione dedicata del sito internet). In tale sezione dedicata, le APL provvedono a fornire eventuali informazioni integrative rispetto al contenuto obbligatorio dell'informativa ai sensi degli articoli 13 e 14 (ove applicabile) del RGPD (a titolo esemplificativo, FAQ, approfondimenti). 7.4 L'informativa conterra' informazioni chiare circa le finalita' di utilizzo del dato raccolto, che includono l'offerta e l'eventuale erogazione del complesso dei servizi delle APL. Con l'iscrizione al portale di una APL, il candidato puo' usufruire del complesso dei servizi offerti dalla medesima APL e funzionali al collocamento nell'ambito del mercato del lavoro, quali a titolo esemplificativo, formazione, partecipazione a politiche attive, gestione carriere e transizioni. Ciascuna APL ha facolta' di offrire la possibilita' all'interessato di candidarsi per tutte le posizioni aperte. Resta inteso che i medesimi principi valgono per il rilascio dell'informativa al di fuori del contesto on-line. 7.5 Di regola le informazioni utili per la selezione vengono raccolte presso l'interessato, tuttavia le APL possono avvalersi di informazioni pubbliche inerenti il profilo professionale disponibili su social network di natura professionale nei termini sotto indicati. Qualora l'interessato venga contattato direttamente dall'APL nello svolgimento di attivita' di ricerca e selezione del personale mediante un social network di natura professionale, le APL forniscono una informativa anche ai sensi dell'art. 14 RGPD. 7.6 Il fatto che il profilo social di un candidato sia disponibile al pubblico non puo' essere considerato di regola quale presupposto di liceita' del trattamento dei dati personali contenuti nello stesso. Prima di esaminare il profilo sul social network di un potenziale candidato, le APL verificano che il social network abbia natura professionale al fine di verificare l'ammissibilita' dell'analisi dello stesso. 7.7 Qualora il trattamento riguardi dati personali relativi a profili on-line dei candidati, le APL adotteranno misure preventive, quali procedure interne di controllo sulla corretta acquisizione dei dati delle candidature mediante i suddetti social. Tale trattamento: 1. dovra' essere portato all'attenzione del candidato - prima dell'avvio della fase di selezione - mediante l'informativa sul trattamento dei dati personali; 2. e' limitato alle sole informazioni connesse all'attitudine professionale al lavoro, necessarie al solo fine di valutare gli specifici rischi legati al tipo di attivita' che dovra' essere svolta dai candidati, effettuato nella misura meno intrusiva possibile, adottando ogni necessaria misura per garantire un corretto bilanciamento tra il legittimo interesse dell'APL a verificare quanto sopra e i diritti e le liberta' fondamentali degli interessati. 7.8 Le APL possono raccogliere e trattare i dati personali inerenti il profilo presenti sui social di natura professionale relativi ai candidati nel rispetto del principio di minimizzazione e solo nella misura in cui la raccolta di tali dati sia necessaria e pertinente allo svolgimento del lavoro per il quale si effettua la ricerca. 7.9 In linea di principio, i dati raccolti durante il processo di selezione dovrebbero essere cancellati non appena sia evidente che non verra' fatta alcuna offerta di impiego o nel caso in cui l'offerta non venga accettata dal candidato. Resta salva la possibilita' per l'APL di conservare tali dati in previsione di ulteriori opportunita' lavorative, laddove abbia gia' provveduto ad informare opportunamente l'interessato e lo stesso non si sia opposto. 7.10 Come previsto dall'art. 111-bis del codice privacy, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati, le informazioni di cui all'art. 13 del regolamento, vengono fornite al momento del primo contatto utile, successivo all'invio del curriculum medesimo. Nei limiti delle finalita' di cui all'art. 6, paragrafo 1, lettera b), del regolamento, il consenso al trattamento dei dati personali presenti nei curricula non e' dovuto. Il primo contatto utile avviene di norma con l'inoltro del messaggio di posta elettronica di risposta da parte della APL e/o al momento del contatto telefonico durante il quale l'interessato dovra' essere informato oralmente circa gli elementi essenziali del trattamento (dati di contatto e identita' del titolare, finalita', diritti esercitabili) e delle modalita' previste per la consultazione dell'informativa completa (es. pubblicazione in sezione dedicata del sito). Non costituisce trasmissione spontanea della candidatura, l'invio del CV mediante la sezione dedicata del sito web di una APL. La raccolta dei CV tramite tale sezione dovra' essere in ogni caso preceduta dalla messa a disposizione dell'informativa ai candidati come indicato al precedente 7.2. 7.11 Nelle offerte al pubblico aventi ad oggetto annunci di selezione, le APL dovranno sempre identificarsi e fornire agli interessati/utenti le informazioni ai sensi dell'art. 9 del decreto legislativo n. 276 del 2003.   Art. 8. Comunicazione dati personali Comunicazione dei dati contenuti nei CV tra APL e clienti 8.1 La comunicazione dei dati dei candidati tra APL e clienti e' ammessa per finalita' strettamente connesse alla selezione/instaurazione dell'eventuale contratto di lavoro individuale e/o in esecuzione di obblighi di legge, di regolamento, di contratti collettivi, senza necessita' di consenso da parte dell'interessato. A titolo esemplificativo, le APL comunicano ai clienti per le finalita' di cui al presente paragrafo i dati contenuti nel CV dei candidati nei limiti strettamente indispensabili alla valutazione circa la corrispondenza del profilo con la posizione ricercata. 8.2 Le APL possono raccogliere informazioni (es. referenze professionali) presso precedenti datori di lavoro del candidato e comunicarle ai clienti con modalita' riservate, solo previa autorizzazione esplicita del candidato. Le APL non potranno richiedere e/o trattare informazioni inerenti ai precedenti illeciti disciplinari o procedimenti giudiziari che abbiano coinvolto il candidato, ferme le ipotesi in cui cio' sia necessario in base ad una disposizione di legge. Comunicazione di dati tra APL e utilizzatori nell'ambito del rapporto di somministrazione di lavoro 8.3 La comunicazione dei dati dei lavoratori somministrati tra APL e utilizzatori non dovrebbe essere ammessa se non per finalita' strettamente connesse alla instaurazione, esecuzione, estinzione dell'eventuale contratto di lavoro individuale e/o in esecuzione di obblighi di legge o, nei casi previsti dalla legge, di regolamento o previsti dai contratti collettivi. A titolo esemplificativo le APL potrebbero comunicare agli utilizzatori per le finalita' di cui al presente paragrafo nome, cognome, CF, qualifica, livello di inquadramento, dati di contatto. 8.4 Nel rispetto del principio di minimizzazione, nei flussi di comunicazione di cui al presente paragrafo, le APL provvedono, laddove possibile, a titolo esemplificativo ad oscurare i dati. 8.5 E' sempre vietata la diffusione dei dati (eccetto quelli strettamente indispensabili per l'esecuzione della prestazione lavorativa quali a titolo esemplificativo, l'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti), se non sulla base del consenso esplicito dell'interessato da manifestarsi con autorizzazione ad hoc e previa informativa completa circa le finalita', l'ambito di divulgazione e i mezzi utilizzati (es. pubblicazione del profilo professionale su internet, pubblicazione dell'immagine mediante qualsiasi mezzo).   Art. 9. Termini di conservazione 9.1 In ossequio al principio di limitazione della conservazione di cui all'art. 5.1 lettera e) RGPD, le APL individuano i termini di conservazione dei dati sulla base delle proprie esigenze organizzative nonche' di previsioni normative applicabili ai trattamenti indicati. 9.2 Con riferimento ai dati relativi ai candidati trattati nell'ambito delle attivita' delle APL, con esclusione della somministrazione di lavoro, le APL conservano i dati per un periodo di massimo quarantotto mesi dall'ultima attivita' svolta per finalita' connesse o strumentali allo svolgimento dell'attivita' di ricerca e selezione dei candidati nonche' per usufruire dei servizi gratuiti offerti dalle APL (in linea con il modello di informativa di cui all'allegato 2, art. 18 del presente CDC), fatta salva la possibilita' dell'interessato di poter chiedere in ogni momento la cancellazione. 9.3 A garanzia del corretto trattamento dei dati riferiti ai candidati, le APL adottano procedure per l'aggiornamento periodico del database alla scadenza del termine di conservazione previsto. Dalla data dell'aggiornamento cominceranno a decorrere nuovamente i termini di conservazione. Tali procedure potranno consistere, a titolo esemplificativo, nell'inoltro di e-mail ai candidati contenenti il link all'informativa e chiare informazioni circa la possibilita' di esercitare il diritto alla cancellazione dalla banca dati, fatti salvi gli ulteriori diritti degli interessati riconosciuti dalla legge. 9.4 Con riferimento ai dati trattati nell'ambito dei rapporti di somministrazione di lavoro, le APL conservano i dati per un periodo di undici anni dalla cessazione del rapporto di lavoro. Tale termine e' stato definito tenendo conto del termine di prescrizione ordinario previsto dalle disposizioni di legge (a titolo esemplificativo art. 2946 del codice civile) con l'aggiunta di un anno, termine tecnico necessario affinche' la cancellazione venga completata. 9.5. I tempi di conservazione dei dati potrebbero essere diversi in relazione a specifici obblighi normativi o a particolari esigenze organizzative che dovranno essere adeguatamente comprovate dalle APL aderenti.   Art. 10. Esercizio dei diritti e garanzie per gli interessati nei trattamenti di dati con processi automatizzati 10.1 Ai sensi dell'art. 22, par. 2, lettere a) e c) RGPD, le APL possono effettuare trattamenti totalmente automatizzati nella misura in cui cio' sia necessario per lo svolgimento delle proprie attivita' ovvero previo consenso dell'interessato e previa effettuazione di una valutazione di impatto (c.d. DPIA) ai sensi dell'art. 35 del RGPD. 10.2 Affinche' la decisione automatizzata ricada nel campo di applicazione dell'art. 22 RGPD, la stessa deve essere basata unicamente su un trattamento automatizzato e produrre effetti sulla sfera giuridica dell'interessato o comunque incidere significativamente sulla sua persona. Rientrano in tale ambito le decisioni finali di un processo che siano prese in maniera completamente automatizzata (ovvero senza l'intervento umano) mediante l'utilizzo di algoritmi (tipicamente fattori di calcolo matematici e processi statistici) applicati ad un insieme di dati personali di partenza effettivamente riconducibili all'interessato. 10.3 Per i trattamenti totalmente automatizzati di cui al presente paragrafo le APL attuano misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione, in conformita' all'art. 22, par. 3, RGPD. Inoltre, nelle medesime ipotesi, le APL forniscono agli interessati a garanzia del principio di trasparenza di cui al regolamento: informazioni chiare circa i meccanismi posti alla base dell'automatizzazione; informazioni circa le valutazioni periodiche che vengono poste in essere per verificare l'affidabilita' dello strumento automatizzato impiegato anche in relazione alla correttezza ed accuratezza dei risultati dei sistemi algoritmici nonche' per verificare che il rischio di errori sia minimizzato. Le verifiche saranno volte, altresi', a verificare la conformita' alle disposizioni in materia di divieto di discriminazione; indicazioni sulle forme di accesso ai dati. 10.4 Le APL adottano misure organizzative e tecniche idonee a garantire un riscontro telematico, tempestivo e completo, alle richieste di esercizio dei diritti avanzate dagli interessati ai sensi degli articoli 15, 16, 17, 18, 19 e 21 del RGPD, in linea con una procedura interna per la gestione dei diritti degli interessati. Inoltre, in conformita' a quanto previsto dall'art. 20 del RGPD, l'esercizio del diritto alla portabilita' dei dati e' limitato alle sole ipotesi nelle quali tali dati siano trattati con mezzi automatizzati, sulla base del consenso o per dare esecuzione a un contratto ai sensi di quanto previsto rispettivamente all'art. 6, paragrafo 1, lettera a) e lettera b) del RGPD. Nel caso di trattamento automatizzato, il titolare del trattamento attua misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione ai sensi dell'art. 22, par. 3 del RGPD. 10.5 Tramite specifica richiesta avanzata mediante invio di e-mail all'indirizzo riportato sull'informativa ovvero mediante specifica sezione a cio' dedicata del sito internet, gli interessati possono esercitare il diritto di ottenere conferma che sia o meno in corso un trattamento di dati che li riguardano e, in caso di riscontro positivo, ottenere l'accesso ai propri dati personali, rivolgendosi direttamente al titolare del trattamento di tali dati, presso cui possono essere esercitati gli ulteriori diritti, a condizione che non siano applicabili limitazioni ai sensi degli articoli 2-undecies del codice. Le tempistiche di evasione delle richieste di esercizio dei diritti, comprensive dell'iniziale gestione delle stesse attraverso il sito e del successivo concreto riscontro, sono quelle stabilite dall'art. 12 del RGPD. 10.6 Nella presentazione della richiesta di esercizio dei propri diritti (diritto di accesso; rettifica; cancellazione; integrazione; limitazione; portabilita'; revoca del consenso, ove previsto; non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona; reclamo al Garante) l'interessato fornisce idonei elementi al fine di permettere la verifica della propria identita'. Esclusivamente nei casi in cui vi siano dei dubbi circa l'identita' dell'interessato, le APL, in linea con la propria procedura interna per la gestione dei diritti degli interessati e comunque entro i termini previsti dall'art. 12, par. 3 e 4, RGPD, potranno chiedere una copia del documento di identita'. Nel caso in cui l'interessato eserciti il diritto di opposizione, ai sensi dell'art. 21, paragrafo 1, del RGPD, le APL si astengono dal trattare ulteriormente i dati personali salvo che dimostrino l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle liberta' dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. 10.7 Le APL possono limitare l'esercizio dei diritti, ai sensi dell'art. 2-undecies del codice privacy, dando conto del pregiudizio effettivo e concreto che, nel caso specifico, puo' derivare allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria. 10.8 L'esercizio dei diritti e l'adempimento degli obblighi di cui agli articoli da 12 a 22 del RGPD possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalita' della limitazione, nella misura e per il tempo in cui cio' costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato.   Art. 11. Attribuzione di funzioni e compiti per il trattamento di dati personali 11.1 Le APL definiscono al proprio interno i ruoli organizzativi a cui demandare, tramite designazione, l'attuazione dei compiti necessari per l'applicazione del codice di condotta e, in generale, del regolamento. 11.2 Le persone autorizzate al trattamento dei dati personali, ai sensi dell'art. 2-quaterdecies del codice privacy, sono informate del fatto che i compiti loro assegnati comportano il trattamento di dati personali e sono adeguatamente e regolarmente formate in modo che possano effettuarli in modo consapevole e professionale.   Art. 12. Misure di sicurezza 12.1 Fermo quanto previsto dall'art. 32 del regolamento, le valutazioni di rischio delle APL sono effettuate utilizzando metodologie formalizzate e basate su criteri quanto piu' possibile oggettivi, che tengano conto delle componenti di probabilita' e impatto dei diversi rischi. 12.2 Nell'individuazione di misure di sicurezza adeguate, si tengono in considerazione le buone pratiche e gli standard di settore quali, a titolo esemplificativo: norma internazionale ISO/IEC 27001:2017 requisiti di sistema per la gestione della sicurezza delle informazioni; norma internazionale ISO/IEC 27002:2013 codice di buone pratiche per il sistema di gestione della sicurezza dell'informazione; COBIT «Obiettivi di controllo delle tecnologie dell'informazione e delle comunicazioni» (modello di riferimento per la governance delle tecnologie dell'informazione); guida ISO 73:2009 (gestione del rischio - vocabolario - linee guida per l'uso delle norme); NIST Cybersecurity Framework Version 1.1.   Art. 13. Conservazione della documentazione 13.1 L'APL si impegna a custodire presso la propria sede sociale la documentazione aggiornata relativa alla conformita' al regolamento e al presente codice di condotta. L'aggiornamento della documentazione deve essere oggetto di un processo formale di modifica che garantisca la conservazione delle diverse versioni nel tempo adottate.   Art. 14. Organismo di monitoraggio 14.1 Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del regolamento, il rispetto del presente codice di condotta da parte delle APL e' garantito da apposito organismo di monitoraggio, costituito e accreditato ai sensi dell'art. 41 del regolamento ed operante secondo regole di dettaglio stabilite, in aggiunta a quelle di cui al presente art. 14, in apposito regolamento dell'OdM. L'organismo di monitoraggio verra' designato come indicato all'art. 14.4, previo accreditamento da parte del Garante per la protezione di dati personali ai sensi e per gli effetti dell'art. 41 RGPD e garantira' il rispetto del presente CDM. 14.2 L'OdM operera' nel rispetto della normativa applicabile e dei requisiti minimi di funzionamento dell'OdM di cui al presente CDC nonche' di tutti i requisiti richiesti dall'all. 1 del provvedimento n. 98 del 10 giugno 2020 e anche secondo le diposizioni di dettaglio indicate nel regolamento interno sul funzionamento dell'Odm. 14.3 L'OdM sara' esterno all'organizzazione del soggetto promotore e sara' composto da un numero dispari di componenti, pari a tre, di cui uno designato dal soggetto promotore, uno designato da un soggetto istituzionale o comunque rappresentante, nell'ambito della promozione del diritto al lavoro, degli interessi di candidati a posizioni lavorative o alla ricollocazione e/o alla formazione professionale, uno designato da un organismo paritetico dedicato alla formazione professionale. L'OdM e' formato da membri con riconosciuta esperienza sia giuridica che informatica in materia di protezione dei dati personali, con particolare riguardo al settore delle APL nonche' un'approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo. L'OdM dovra' garantire che la competenza posseduta dai suoi membri sia oggetto di aggiornamento periodico in relazione all'evolversi della disciplina applicabile e della tecnologia utilizzata nel settore di riferimento del codice di condotta. L'OdM sara' presieduto da una persona di riconosciuta esperienza in materia di protezione dei dati personali, con particolare riguardo al settore delle agenzie per il lavoro, che svolgera' funzioni di supervisione e cura del coordinamento e dell'organizzazione delle attivita' dell'OdM. L'OdM puo' avvalersi di personale reclutato da un ente esterno indipendente che fornisce servizi di ricerca, formazione e selezione di risorse umane. Qualora l'OdM si avvalga di collaboratori o fornitori esterni di servizi appositamente delegati per lo svolgimento delle attivita' di controllo, ad eccezione di quelle che comportano l'esercizio di poteri decisionali, che non possono essere delegate ad alcuno, devono essere approntate cautele atte a garantire che tali soggetti siano individuati tra coloro che forniscono sufficienti garanzie di competenza e affidabilita', con particolare riferimento alla materia oggetto del codice di condotta. 14.4 Le attivita' dell'OdM, debitamente rendicontate, saranno finanziate da parte di ciascuna delle APL aderenti al presente codice di condotta, ivi incluse APL non associate al soggetto promotore, secondo quote, stabilite in base alle procedure e al regolamento interno di cui al precedente 14.2. 14.5 Al fine di garantire all'OdM piena autonomia di iniziativa e' previsto che lo stesso: 1) sia dotato di un budget per l'espletamento dei suoi compiti (trasferte, consulenze specialistiche, ecc.) stabilito mediante le regole e/o le modalita' di finanziamento tali da garantire la sostenibilita' e la continuita' delle attivita' di monitoraggio; 2) possa chiedere ai soggetti aderenti al CDC ogni informazione o dato ritenuti necessari per lo svolgimento delle proprie funzioni; 3) determini la sua attivita' e adotti le sue decisioni in piena indipendenza. 14.6 L'incarico all'organismo di monitoraggio ha una durata massima di cinque anni, non rinnovabile. Prima della scadenza del mandato dell'OdM, almeno tre mesi prima, il soggetto promotore provvedera' a richiedere l'accreditamento dell'organismo nella nuova composizione. Salvo quanto stabilito al successivo art. 15, alla scadenza naturale del mandato, l'OdM uscente svolge le proprie funzioni fino alla nomina di un nuovo OdM.   Art. 15. Compiti e poteri dell'organismo di monitoraggio 15.1 Per poter svolgere in modo efficace i propri compiti, l'organismo di monitoraggio e' dotato delle caratteristiche essenziali previste dall'art. 41 del regolamento Ue n. 2016/679 nonche' previste dall'all. 1 del provvedimento n. 98 del 10 giugno 2020, quali: a. onorabilita': Non potranno essere nominati coloro che: si trovino in una delle condizioni di ineleggibilita' o decadenza previste dall'art. 2382 del codice civile; siano stati radiati da albi professionali per motivi disciplinari o per altri motivi; abbiano riportato condanna, anche se con pena condizionalmente sospesa, salvi gli effetti della riabilitazione, per uno dei delitti previsti dal regio decreto 16 marzo 1942, n. 267 (legge fallimentare), o per uno dei delitti previsti dal titolo XI del libro V del codice civile, o per un delitto non colposo, per un tempo non inferiore ad un anno; per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l'economia pubblica; abbiano riportato una condanna, anche non definitiva, per uno dei reati previsti dal decreto legislativo n. 231/2001 e successive modificazioni ed integrazioni; fermo quanto sopra disposto e salvi gli effetti della riabilitazione, siano stati sottoposti a misure di prevenzione disposte dall'autorita' giudiziaria, ovvero siano stati condannati con sentenza irrevocabile per un qualsiasi reato. b. indipendenza ed imparzialita' Al fine di garantire la piena indipendenza e imparzialita' dei componenti dell'OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, e' previsto che, sia l'organismo nel proprio complesso che i singoli componenti dello stesso, non debbano subire alcuna ingerenza nell'esercizio delle proprie attivita' da parte degli aderenti al presente codice di condotta. Nello svolgimento delle proprie funzioni di controllo, inoltre, l'OdM non sara' soggetto, in via diretta o indiretta, ad alcuna forma di controllo, direzione o vigilanza da parte delle APL. L'OdM adottera' le proprie decisioni senza che alcuno degli organi delle APL possa sindacarle. c. conflitto di interessi Ciascun componente dell'organismo deve costantemente garantire la massima imparzialita' ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per se' stesso che in riferimento a propri parenti, affini entro il terzo grado, coniugi o conviventi. A tal fine, ogni componente dovra' inderogabilmente dichiarare senza alcun ingiustificato ritardo, preliminarmente alla formalizzazione della propria nomina ed in qualunque momento nel corso dell'esecuzione dei propri compiti di cui al presente codice di condotta, qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, conseguentemente astenendosi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attivita' in seno all'OdM per cui rilevi il conflitto di interessi che lo vede coinvolto. d. competenza Ai fini di un corretto ed efficiente svolgimento dei propri compiti, e' essenziale che ciascun componente dell'OdM garantisca un adeguato livello di competenza, da intendersi come l'insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un efficiente svolgimento delle funzioni assegnate. Per tale ragione, i componenti dovranno avere, sia singolarmente che nel loro insieme come organismo, un'approfondita conoscenza e dimestichezza riguardo al settore delle APL, con particolare riguardo ai profili di protezione dei dati personali. e. autonomia finanziaria Le attivita' dell'OdM, debitamente rendicontate, saranno finanziate secondo le modalita' di cui agli articoli 14.3, 14.4 e 14.5 del presente codice di condotta, descritte nel regolamento interno sul funzionamento dell'OdM. 15.2 L'organismo di monitoraggio fungera' da referente principale per il Garante per la protezione dei dati personali per qualsiasi questione che possa sorgere in relazione all'applicazione del CDC. L'organismo di monitoraggio dovra' mediante idonea procedura informare senza indebito ritardo delle misure adottate e dei motivi della loro adozione nel caso di violazioni che comportino la sospensione o l'esclusione del titolare/responsabile aderente al codice. 15.3 Nello svolgimento dei propri compiti, l'organismo di monitoraggio persegue i seguenti obiettivi: promuovere l'applicazione uniforme del CDC e della normativa in materia di protezione dei dati personali al settore delle APL come previsto nel CDC; sensibilizzare i soggetti aderenti al CDC rispetto alle tematiche di protezione dei dati personali; garantire il controllo effettivo ed imparziale sul rispetto del CDC. 15.4 L'OdM adotta annualmente il piano dei controlli sulla corretta attuazione del CDC da parte dei soggetti aderenti. Il piano dei controlli dovra' garantire il monitoraggio dell'applicazione del CDC in modo trasparente, appropriato, efficace, verificabile e non discriminatorio, assicurando il controllo imparziale su tutti i soggetti aderenti nel periodo di durata. In relazione alla corretta attuazione del CDC, l'OdM svolge attivita' di audit nei confronti del 20% dei soggetti aderenti su base annua. 15.5 L'OdM riceve, gestisce, decide sui reclami aventi ad oggetto l'inadempimento delle disposizioni del codice di condotta ed istituisce e tiene aggiornato idoneo registro di reclami e azioni correttive e/o sanzionatorie. La procedura di gestione dei reclami deve rispettare i requisiti anche procedurali di cui all'all. 1 del provvedimento n. 98 del 10 giugno 2020 e dovra' essere pubblicata dall'OdM entro dieci giorni dalla pubblicazione del CDC ed essere resa disponibile sul sito dell'OdM. Fatto salvo il diritto dell'interessato alla presentazione di un reclamo al Garante e/o all'avvio di procedure giudiziali di tutela dei propri diritti ai sensi degli articoli 77 e 79 del regolamento, ogni soggetto che ritenga che i propri diritti e le proprie liberta' siano stati lesi da uno o piu' trattamenti svolti da parte di un aderente al presente codice di condotta, potra' proporre reclamo all'OdM, inviando apposita istanza scritta che dovra' contenere una breve descrizione dei fatti e del pregiudizio lamentato. La presentazione di un reclamo al Garante preclude l'avvio, o determina l'improcedibilita' qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all'OdM. 15.6 Entro cinque giorni lavorativi dal ricevimento del reclamo da parte dell'interessato, l'OdM dovra' darne notizia al soggetto aderente coinvolto, affinche' quest'ultimo possa, entro i successivi trenta giorni lavorativi, presentare le proprie memorie. Garantendo piena imparzialita' e contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti gia' consentano all'OdM di definire la controversia, quest'ultimo dovra' adottare la propria decisione entro quarantacinque giorni lavorativi dalla data di deposito delle proprie memorie da parte dell'aderente. Diversamente, l'OdM potra' richiedere ad entrambe le parti ulteriori precisazioni, cosi' come l'acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potra' avvenire oltre novanta giorni lavorativi successivi alla data di presentazione dello stesso da parte dell'interessato. 15.7 Ai fini della corretta applicazione del CDC, l'OdM puo' irrogare ai soggetti aderenti misure correttive o interdittive che dovranno essere inserite in un idoneo registro costantemente aggiornato. In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all'esito della procedura di reclamo di cui al precedente comma, l'OdM potra' decidere, fornendo adeguata motivazione, di applicare al soggetto aderente, in dipendenza della gravita' della violazione eventualmente riscontrata, una o piu' delle seguenti misure: a. un invito al soggetto aderente a modificare la condotta, in considerazione di una maggiore aderenza alle previsioni del codice di condotta; b. un richiamo formale indirizzato esclusivamente al soggetto aderente; c. la sospensione temporanea dall'adesione al presente codice di condotta; d. l'esclusione dal presente codice di condotta del soggetto aderente. Previo oscuramento dei dati personali eventualmente presenti, le decisioni adottate dall'OdM all'esito della definizione di procedure di reclamo di cui sopra devono essere pubblicate, anche in forma sintetica, in apposita sezione del sito web dell'organismo, qualora dalle stesse sia derivata la sospensione temporanea o l'esclusione dal codice di condotta. 15.8 L'OdM ha il compito di assolvere agli obblighi di comunicazione e reportistica derivanti dal CDC, in particolare: trasmette al Garante una relazione su base annuale circa l'andamento del CDC, i controlli effettuati, le procedure di reclamo definite e le azioni intraprese in caso di violazione dello stesso da parte di un soggetto aderente; esamina, entro termini ragionevoli, le richieste di adesione al CDC e verifica l'assenza di circostanze ostative all'adesione dell'APL richiedente nonche' la sussistenza dei requisiti di cui all'art. 2.2 del presente CDC. 15.9 L'OdM svolge tutte le verifiche ritenute opportune, ivi incluse le ispezioni, sulla base di una metodologia definita con particolare riferimento, al tipo di verifica da utilizzare (autovalutazione, audit, ispezioni, in loco o in remoto, questionari, relazioni periodiche, ecc.), ai criteri oggetto di verifica e alle modalita' di documentazione e gestione dei relativi risultati. L'OdM potra' avvalersi anche del supporto di terzi soggetti incaricati ad hoc sia in remoto che presso la sede delle APL. I soggetti aderenti saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attivita'. 15.10 Per ogni aspetto riguardante il funzionamento e i compiti dell'organismo che non sia specificamente disciplinato dal presente codice di condotta, si applichera' il regolamento interno dell'OdM.   Art. 16. Procedura di riesame del codice di condotta 16.1 In caso di necessita' di adeguamento a qualsiasi modifica/novita' nell'applicazione e/o nell'interpretazione della legge o in caso di nuovi sviluppi tecnologici che possano avere un impatto sul trattamento dei dati effettuato dai soggetti aderenti o sulle disposizioni del CDC il presente CDC potra' essere oggetto di modifiche su istanza del soggetto promotore, che dovranno essere sottoposte al Garante ai sensi dell'art. 40, par. 5 e ss., del RGPD. 16.2 L'OdM fornisce al soggetto promotore periodicamente informazioni significative sul suo funzionamento specie quelle che evidenziano la necessita' di apportare modifiche o proroghe allo stesso e contribuisce al riesame del funzionamento del codice di condotta.   Art. 17. Entrata in vigore del codice di condotta e modifiche Il presente codice di condotta, inserito nei registri di cui all'art. 40, paragrafi 6 e 11, del regolamento, e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana ed acquista efficacia il giorno successivo a quello della pubblicazione. Il codice di condotta puo' essere soggetto a modifiche in caso di aggiornamenti successivi all'entrata in vigore che dipendano da cambiamenti di natura normativa e/o regolatoria e/o della prassi e degli usi nel settore di riferimento.   Art. 18. Allegati 18.1 Si considerano parte integrante e sostanziale del presente CDC i seguenti allegati: 1. allegato 1: modello di «Registro trattamenti tipici». 2. allegato 2: modello di informativa sul trattamento dei dati personali dei candidati.   Allegato 1 - Registro Trattamenti tipici Parte di provvedimento in formato grafico   Allegato 2 Modello di informativa sul trattamento dei dati personali dei candidati Parte di provvedimento in formato grafico