Banca Monte dei Paschi di Siena S.p.A. (di seguito, per brevità, anche la Banca), Titolare del trattamento, La informa sull’utilizzo dei Suoi dati personali nonché sui diritti a Lei riconosciuti dal GDPR.

  1. Fonte dei dati personali

I dati personali di cui la Banca viene in possesso sono da Lei Forniti mediante la compilazione del format relativo alla sezione “Lavora con Noi” ovvero contenuti nel curriculum vitae inoltrato.

  1. Categorie particolari di dati

Può accadere che nell’ambito della recezione e gestione dei curricula, la Banca possa venire a conoscenza di dati che la Legge definisce come “categorie particolari di dati”, in quanto gli stessi sono idonei a rivelare le convinzioni religiose, l’adesione a partiti politici, l’iscrizione a sindacati, lo stato di salute.

Rispetto a tali dati, la Banca non Le chiede di manifestare il Suo consenso in quanto il trattamento degli stessi è necessario per effettuare l’attività di selezione da parte del Titolare e comunque sono fornite appropriate garanzie per la tutela dei diritti fondamentali e degli interessi del candidato.

  1. Finalità del trattamento dei dati

Tali dati sono trattati, oltre che per finalità di legge, esclusivamente per la valutazione delle attitudini e delle capacità professionali dei candidati, al fine dell’eventuale instaurazione di un rapporto di lavoro subordinato o di tirocini formativi presso la Banca o altre aziende del Gruppo Montepaschi.

Anche per tali finalità, non è previsto il Suo consenso al trattamento dal momento che la base giuridica che ne legittima il trattamento è la necessità per la Banca, di disporre dei dati per la validazione delle candidature, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi del candidato.

  1. Modalità di trattamento dei dati

Il trattamento dei suoi dati personali avviene mediante strumenti cartacei, informatici e telematici e con logiche strettamente correlate alle finalità sopra indicate, in modo da garantirne la sicurezza e la riservatezza e comunque nel rispetto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio.

  1. Categorie di soggetti ai quali i dati possono essere comunicati

Possono venire a conoscenza dei Suoi dati personali i soggetti terzi nominati ai sensi dell’art.28 del GDPR, di cui la Banca si avvale per la selezione di personale ovvero per trattamenti correlati a quelli effettuati dalla Banca stessa, sempre nell’ambito delle attività di selezione del personale. 

Infine, possono venire a conoscenza dei dati in qualità di persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile, le persone fisiche appartenenti alle seguenti categorie che, relativamente allo svolgimento delle mansioni loro assegnate, hanno necessità di accedere e trattare i dati:

  • lavoratori dipendenti della Banca o presso di essa distaccati;
  • stagisti, collaboratori a progetto o in alternanza scuola/lavoro;
  • dipendenti delle società nominate Responsabili. 

Il suddetto elenco è conservato e costantemente aggiornato a cura della Funzione ICT Compliance a cui può rivolgersi ai recapiti di seguito indicati per qualsiasi informazione al riguardo.

  1. Trasferimento dei dati all’estero

Per finalità connesse alle attività di selezione, i Suoi dati personali possono essere trasferiti all’estero, all’interno e/o all’esterno dell’Unione Europea, sempre nel rispetto dei diritti e delle garanzie previsti dalla normativa vigente in materia di protezione dei dati personali (capo V - Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali del GDPR).

Rientra in tali casi l’applicazione di Clausole contrattuali standard definite dalla Commissione Europea per i trasferimenti verso società terze o la verifica della presenza di un giudizio di adeguatezza del sistema di protezione dei dati personali del paese importatore. Al riguardo si precisa che in relazione agli eventuali dati archiviati in stabilimenti o data center di proprietà del fornitore ubicati negli USA e potenzialmente accessibili alle autorità statunitensi - seppur nei limiti del c.d. accordo “Privacy Shield” definito con la UE – la Banca adotta con il fornitore del servizio misure volte a garantire la confidenzialità e sicurezza dei dati stessi.

Inoltre, qualora per questioni di natura tecnica e/o operativa si renda necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, la informiamo sin d’ora che tali soggetti saranno nominati Responsabili del Trattamento ai sensi dell’art. 28 del GDPR.

  1. Tempo di conservazione dei dati

I Suoi dati vengono conservati per il tempo strettamente necessario all’adempimento delle finalità per cui sono stati raccolti, nel rispetto dei termini prescrizionali o dei diversi termini eventualmente stabiliti dalla normativa legale e regolamentare di riferimento o necessari per esigenze di giustizia o di pubblico interesse. In particolare con riferimento alla valutazione delle domande di assunzione ricevute, i dati sono conservati non   oltre il massimo di 36 mesi dalla data dell’ultimo aggiornamento registrato sul curriculum vitae.

  1. Diritti dell’interessato

In relazione ai trattamenti sopra descritti, Le è riconosciuto l’esercizio dei diritti previsti dall’art. 15 e seguenti del GDPR, in particolare il diritto di:

  • accesso, ovvero di ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, di conoscerne l'origine, nonché la logica e le finalità su cui si basa il trattamento, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, la determinazione del periodo di conservazione qualora sia possibile definirlo;
  • rettificare i dati inesatti;
  • cancellazione (c.d. diritto all’oblio), nel caso in cui i dati non siano più necessari rispetto alle finalità della raccolta e successivo trattamento, ovvero nel caso in cui l’interessato abbia revocato il consenso al trattamento (laddove detto consenso sia previsto come facoltativo ovvero non sussista altro fondamento giuridico per il trattamento);                                              
  • limitazione, il diritto di ottenere da parte della Banca la limitazione dell'accesso ai dati personali da parte di tutti i soggetti che hanno un contratto di servizio ovvero un contratto di lavoro con la Banca. In alcuni casi la Banca si riserva di consentire l'accesso ad un ristretto numero di persone allo scopo di garantire comunque la sicurezza, l'integrità e la correttezza dei suddetti dati;
  • portabilità, il diritto di ricevere in un formato strutturato e di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, con possibilità di trasmetterli ad un altro Titolare. Tale diritto non si applica ai trattamenti non automatizzati (ad esempio, archivi o registri cartacei); inoltre, sono oggetto di portabilità solo i dati trattati con il consenso dell’interessato e solo se i dati sono stati forniti dall’interessato medesimo;
  • opposizione, cioè il diritto di opporsi al trattamento per motivi connessi alla Sua situazione particolare;
  • reclamo da inviare al Garante per la Protezione dei dati personali, piazza di Monte Citorio n. 121 – 00186 Roma (garante@gpdp.it; telefono + 39 06 69677.1; fax + 39 06 69677.3785).

Inoltre, ai sensi dell’art.7, co.3 del GDPR l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento; la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

  1. Titolare del trattamento e Responsabile della Protezione dei Dati

Titolare del trattamento è la Banca Monte dei Paschi di Siena S.p.A. con sede a Siena in Piazza Salimbeni n. 3.

Il Responsabile della Protezione dei Dati (o, Data Protection Officer-DPO) è il Responsabile pro tempore della Funzione ICT Compliance, contattabile ai seguenti recapiti di posta certificata responsabileprotezionedeidati@postacert.gruppo.mps.it e di posta ordinaria responsabileprotezionedeidati@mps.it, a cui l’interessato può rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e per l’esercizio dei diritti previsti dal GDPR.