Verbale di Accordo
Roma, 28 maggio 2021
tra TIM S.p.A. e
le Organizzazioni Sindacali SLC-CGIL, FISTel-CISL, UILCom-UIL, UGL Telecomunicazioni, unitamente al Coordinamento Nazionali delle RSU
Premesso che
A. con il presente accordo le Parti intendono disciplinare le attività di verifica eseguite dalle funzioni (SAG) e Fraud Management, in ambito Security, sulle attività svolte dal personale appartenente alle medesime funzioni (cd. controlli di primo livello), per il tramite degli strumenti adottati a tal fine;
B. il presente accordo osserva le disposizioni del Regolamento UE 2016/679 che, tra art. 24 sancisce il principio di accountability e di responsabilizzazione per
di sicurezza da implementare, anche a garanzia degli strumenti elettronici;
C.
sistemi IT dedicati (di seguito Sistemi Autorità Giudiziaria) a cui ha accesso il
vigenti e dalle policy aziendali;
D. la vigente normativa per la Protezione dei Dati Personali richiede, ai fornitori di servizi di comunicazione elettronica che svolgono le attività su richiesta
di strumenti informatici idonei ad assicurare nel pieno rispetto delle leggi in materia, la verifica delle attività svolte da ciascuna persona autorizzata al trattamento dei dati personali;
E. per garantire il principio della Segregation of Duties, sancito nel Provvedimento del Garante Privacy del 17/01/2008 nonché indicato nelle policy aziendali, ovvero, creare una netta separazione dei ruoli che eviti conflitti di interessi ed eventuali frodi, impedendo che la stessa persona svolga più parti dello stesso processo, per
1
cui il personale delegato alle verifiche è distinto rispetto al personale operativo che esegue i trattamenti durante la lavorazione delle prestazioni;
F. è in fase di adozione una piattaforma di Fraud Management System di contrasto e di intelligence sui comportamenti fraudolenti della clientela retail sui servizi fissi e
frodi;
G. è necessario prevedere una verifica delle attività di contrasto e prevenzione frodi di evitare trattamenti illeciti dei dati della clientela da parte del
personale;
ssono
H.
Legge n. 300/1970, previo accordo sindacale.
Tutto ciò premesso si conviene quanto segue:
1.
Il presente accordo ha ad oggetto la regolamentazione (ex art. 4 co. 1 Statuto dei Lavoratori) delle piattaforme informatiche utilizzate:
soggetti autorizzati - es. richieste di Studi Legali effettuate per finalità difensive degli assistiti
- ed espletate dal personale che utilizza la piattaforma Sistemi Autorità Giudiziaria, SAG);
per le attività di contrasto e prevenzione frodi nei confronti del personale che utilizza la piattaforma di Fraud Management System.
1.1 Sistemi Autorità Giudiziaria
1.1.1 lle verifiche è quello di assicurare la legittimità delle attività svolte rispetto alle richieste pervenute, in conformità con la normativa vigente.
1.1.2 Le verifiche sono effettuate sulle attività di gestione delle prestazioni svolte dal
à secondo i criteri di legittimità di seguito riportati:
verifiche ex-post e non in tempo reale (rilevazione delle informazioni su attività non modificabili, non effettuate in real time o near real time);
2
visualizzazione del dato identificativo del personale che ha gestito la singola prestazione (nominativo o «matricola») solo laddove necessario (come specificato al punto 1.1.4);
del Regolamento UE 2016/679: liceità, correttezza, trasparenza, limitazioni delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
1.1.3 Le verifiche sono effettuate dal delegato della funzione (la cui nomina è comunicata al Responsabile della funzione) sulla base della reportistica estratta automaticamente, periodicamente dai Sistemi Autorità Giudiziaria, oppure, sulla base dei report richiesti alle funzioni tecniche competenti per verifiche a campione o al 100%.
1.1.4 Il delegato della funzione analizza la reportistica di cui al punto 1.1.3 e, laddove rilevi non conformità con la normativa vigente nonché con le procedure aziendali, gestisce le azioni correttive. In particolare:
coinvolge il Responsabile o coordinatore di riferimento comunicando le non conformità riscontrate, in modo da indirizzare le azioni correttive al proprio interno;
provvede alla correzione della non conformità utilizzando le funzionalità disponibili sui Sistemi Autorità Giudiziaria.
lle verifiche periodicamente in forma anonima.
1.1.5
TIM preposta alle verifiche, segnalerà al Responsabile o coordinatore le informazioni rese
intellegibili concernenti la non conformità, ivi compresa la matricola o il nominativo cui
e del lavoratore ed adottare le opportune iniziative di coinvolgimento delle funzioni competenti.
1.2 Fraud Management System
1.2.1 Le verifiche saranno effettuate sugli accessi e sulle attività del personale della funzione Fraud Management eseguiti tramite la piattaforma secondo i criteri di legittimità di seguito riportati:
verifiche ex-post e non in tempo reale (rilevazione delle informazioni su attività non modificabili, non effettuate in real time o near real time);
visualizzazione del dato nominativo o «matricola» solo nel caso in cui si rilevino attività non correlate ad esigenze di lavoro (come specificato al punto 1.2.4);
5 del Regolamento UE 2016/679: liceità, correttezza, trasparenza, limitazioni delle
3
finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
atica. Tale verifica
ai dati contenuti nella piattaforma e nella riconciliazione dei dati estratti attraverso
una pratica presente nei sistemi.
Gli Amministratori di Sistema sono appositamente designati ai sensi del Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008 in materia di
1.2.3 In una seconda fase, solo per i casi non riconciliati automaticamente nella fase precedente, saranno effettuati, in modalità manuale, da parte dei Responsabili della funzione che gestiscono le attività di contrasto e prevenzione frodi e loro Delegati, individuati tra coloro i quali non svolgono le funzioni oggetto di verifica (SOD), ulteriori
di accessi e attività non autorizzati). Si opera in questa fase con dati non identificabili
i verifiche massive e indiscriminate su dati in chiaro.
e prevenzione frodi chiederà agli Amministratori di Sistema di rendere intellegibili le informazioni concernenti la non conformità, ivi compresa la matricola o il nominativo cui
utela aziendale e del lavoratore ed adottare le opportune iniziative di coinvolgimento delle funzioni competenti.
2. Categorie dei dati trattati e finalità
2.1
dei Lavoratori.
2.2 I dati trattati sono le attività e gli accessi effettuati sui Sistemi Autorità Giudiziaria
richiesta.
2.3 I dati relativi al tracciamento delle attività e degli accessi rispettivamente sui Sistemi Autorità Giudiziaria e Fraud Management System possono essere utilizzati, oltre che dalle funzioni tecniche in ambito Security, da quelle preposte alle attività di verifica di audit e di compliance per lo svolgimento delle competenti attività, in coerenza con le policy aziendali.
2.4 I dati individuali non potranno essere utilizzati per verificare il corretto adempimento della prestazione lavorativa e pertanto non potranno essere diffusi, né utilizzati in altri
4
ambiti aziendali, né trattati ai fini disciplinari, salvo il caso in cui emergessero evidenze di comportamenti illeciti.
3. Conservazione
3.1 I dati (Log) relativi agli accessi e alle attività, saranno conservati per 12 mesi dalla loro generazione, unitamente alle evidenze delle verifiche (Report).
3.2
comportamento illecito personali sono conservati in u
lle verifiche confermi
i dati potranno essere conservati per un tempo maggiore di 12 mesi, e comunque congruo, solo espletamento della gestione della segnalazione e fino alla definizione di eventuali procedimenti giudiziari, qualora sopraggiunti nel predetto periodo di conservazione (12 mesi).
4. Informativa
In coerenza con la normativa vigente, sarà data ai lavoratori adeguata informazione delle
Legge n.300/1970) e di effettuazione delle verifiche, e del rispetto dei principi stabiliti dal Regolamento UE 2016/679 (General Data Protection Regulation) in materia di protezione dei dati personali.
5. Verifiche
5.1 Le Parti si danno atto che si incontreranno, a richiesta di una delle Parti e comunque
el processo.
5.2 Le Parti concordano che le modifiche ai Sistemi Autorità Giudiziaria e Fraud
di
informativa e verifica tra le Parti firmatarie del presente accordo.
5
per TIM S.p.A.
per SLC-CGIL per FISTel-CISL
per UILCOM-UIL per UGL Telecomunicazioni
per Coordinamento RSU
Accordo 28 maggio 2021
SEGRETERIE NAZIONALI | FAVOREVOLE | CONTRARIO |
SLC-CGIL | X | |
FISTel-CISL | X | |
UILCom-UIL | X | |
UGL Telecomunicazioni | X |
6
Estrazione 28 Maggio 2021 ore 16.40
Ora di inizio | Ora di completamento | Nome | s | tata data lettura a conclusione della fase di negoziazione tra Nazionale delle RSU durante relati... |
5/28/21 16:09:42 | 5/28/21 16:09:45 | Xxxxxxxx Xx Xxxxxxx | NO | |
5/28/21 16:10:06 | 5/28/21 16:10:11 | Xxxxx Xxxxx | SI | |
5/28/21 16:10:02 | 5/28/21 16:10:17 | Xxxxxxxxx Xxxxxxx | NO | |
5/28/21 16:10:06 | 5/28/21 16:10:24 | Xxxxx Xxxxxxxxxx | NO | |
5/28/21 16:09:55 | 5/28/21 16:10:25 | Xxxxxxx Xxxxxx | SI | |
5/28/21 16:10:01 | 5/28/21 16:10:29 | Xxxxxx Xxxxxx | SI | |
5/28/21 16:10:19 | 5/28/21 16:10:31 | Xxxxxxxx Xxxxxxx | XX | |
5/28/21 16:10:17 | 5/28/21 16:10:31 | Xxxxx Xxxxxx | NO | |
5/28/21 16:10:27 | 5/28/21 16:10:37 | Xxxxxx Xxxxxxxx | NO | |
5/28/21 16:10:07 | 5/28/21 16:10:48 | Xxxxxxx Xxxxxxxx | SI | |
5/28/21 16:10:21 | 5/28/21 16:10:52 | Xxxxxxxx Xxxxxxx | SI | |
5/28/21 16:10:17 | 5/28/21 16:11:12 | Xxxxxxxx Xxx | XX | |
5/28/21 16:11:01 | 5/28/21 16:11:17 | Xxxxx Xxxxxxxx | NO | |
5/28/21 16:11:29 | 5/28/21 16:11:38 | Xxxxxx Xxxxxxx | SI | |
5/28/21 16:11:36 | 5/28/21 16:11:40 | Xxxxxxxx Xxxxxx | SI | |
5/28/21 16:11:46 | 5/28/21 16:12:01 | Xxxxxx Xxxxxx | NO | |
5/28/21 16:11:28 | 5/28/21 16:12:02 | Xxxxxxxxx Xxxxxxx Xxxxxxxxxxx | SI | |
5/28/21 16:10:00 | 5/28/21 16:12:08 | Santo Sciuto | SI | |
5/28/21 16:11:06 | 5/28/21 16:12:08 | Xxxxxxx Xxxxx | SI | |
5/28/21 16:11:58 | 5/28/21 16:12:21 | Xxxxxx Xx Xxxxxxxx | XX | |
5/28/21 16:12:15 | 5/28/21 16:12:23 | Xxxxxxx Xxxxxxxx | SI | |
5/28/21 16:10:50 | 5/28/21 16:12:30 | Xxxxxx Xxxxx | SI | |
5/28/21 16:12:25 | 5/28/21 16:12:30 | Xxxx Xxxxxxxxxxx | SI | |
5/28/21 16:12:10 | 5/28/21 16:12:40 | Xxxxxxxx Xxxxxxxx | XX | |
5/28/21 16:12:34 | 5/28/21 16:12:52 | Xxxxxxxxx Xxxxxxx | XX | |
5/28/21 16:12:56 | 5/28/21 16:13:16 | Xxxxxxxxx Xxxxx' | NO | |
5/28/21 16:10:07 | 5/28/21 16:13:20 | Xxxxxxx Xxxxxxx | SI | |
5/28/21 16:13:20 | 5/28/21 16:13:26 | Xxxxx Xxxxx | SI | |
5/28/21 16:13:22 | 5/28/21 16:13:32 | Xxxxxx Xxxxx Xxxxx | SI | |
5/28/21 16:13:27 | 5/28/21 16:13:38 | Xxxxxxx Xxxxxxxx Xxxxxxx | SI | |
5/28/21 16:13:30 | 5/28/21 16:13:43 | Xxxxxxxx Xxxxxxx | SI | |
5/28/21 16:13:57 | 5/28/21 16:14:28 | Xxxxxxx Xxxxxxx | SI | |
5/28/21 16:14:29 | 5/28/21 16:14:38 | Xxxxxx Xxxxxx | SI | |
5/28/21 16:14:30 | 5/28/21 16:14:39 | Xxxxxxx Xxxxxx | SI | |
5/28/21 16:14:36 | 5/28/21 16:14:40 | Xxxxx Xxxxx Xxxxxxx | SI | |
5/28/21 16:13:43 | 5/28/21 16:14:57 | Xxxxx Xxxxxxxx | XX |
7