Accordo di contitolarità del trattamento dati

Allegato 1 alle Condizioni Generali di Contratto Protocollo n. 2020/002

ACCORDO DI CONTITOLARITÀ DEL TRATTAMENTO DATI PERSONALI PER L’EROGAZIONE DI PRESTAZIONI COME REGOLATE DAL CONTRATTO

(art. 26 del Regolamento UE 2016/679)

PREMESSO CHE: - l’art. 26, punto 1, del Regolamento UE 2016/679 (di seguito “Regolamento”) prevede che “allorché due o più titolari del trattamento stabiliscono congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14”; - l’art. 26, punto 2, del Regolamento prevede che, “L’accordo di contitolarità riflette adeguatamente i ruoli e i rapporti dei contitolari con gli interessati.

Il contenuto essenziale dell’accordo è messo a disposizione degli interessati”; - le parti determinano congiuntamente le finalità ed i mezzi del trattamento dei dati personali che consistono nell’erogazione di prestazioni commerciali e di marketing, secondo quanto previsto dagli accordi negoziali (di seguito “Convenzione“);

- le Parti si impegnano sin d’ora a trattare i dati secondo i principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione, integrità, riservatezza ed esclusivamente per le finalità esplicitate nel presente accordo, ai sensi dell’art. 5, punto 1 del Regolamento, del D. Lgs. 196/2003 e successive modifiche (d.lgs. 101/18) (“Codice in materia di protezione dei dati personali”) e di ogni altra norma cogente (ad es. leggi, decreti legislativi, regolamenti ecc.), ivi inclusi i provvedimenti del WP29, del Comitato europeo per la protezione dei dati e del Garante per la protezione dei dati personali (di seguito “Garante”) di volta in volta applicabili (di seguito “Normativa Applicabile”);

 

SI CONVIENE QUANTO SEGUE:

Art. 1 - Oggetto

  1. Con il presente accordo (di seguito “Accordo”) le Parti determinano congiuntamente le finalità e mezzi del trattamento, nonché le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal vigente assetto normativo con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14.
  2. La Contitolarità di cui al presente Accordo è riferita al trattamento dei dati personali svolto nell’ambito dell’esecuzione del Contratto di esso costituisce l’Allegato n.1, sia con modalità analogiche che con strumenti informatizzati, in base al consenso rilasciato dall’interessato e di ciò che è gestito per finalità amministrative in adempimento degli obblighi istituzionali, in conformità alle disposizioni di legge e regolamento, in particolare ai sensi dell’art. 2 sexies del D.lgs. 196/2003.
  3. Con il presente Accordo sono inoltre stabiliti gli obblighi delle Parti in merito all’esercizio dei diritti degli interessati.

 

Art. 2 – Dati trattati, finalità e base giuridica del trattamento

  • Per l’erogazione delle prestazioni oggetto del Contratto, verranno raccolti e trattati dati personali degli utenti, inclusi quelli rientranti nelle categorie particolari di dati, laddove necessari ed indispensabili rispetto al perseguimento delle obbligazioni derivanti dall’attività negoziata.
  • Le Parti determinano congiuntamente che la finalità del trattamento è l’erogazione di prestazioni, secondo quanto previsto dal  Contratto.
  • La base giuridica del trattamento dei dati personali è rappresentata dall’adempimento contrattuale.
  • Il rapporto di contitolarità avrà ad oggetto i dati personali raccolti tra gli utenti del Sito Internet delle seguenti tipologie:
    i) dati anagrafici identificativi
    ii) dati di contatto.

Art. 3 – Ripartizione dei ruoli e dei compiti

  1. Ogni Contitolare si assume, per la parte di propria competenza, l’onere di trattare i dati personali secondo le norme vigenti, le modalità di conservazione e le disposizioni inerenti agli incidenti di sicurezza informatica e attraverso l’utilizzo di strumenti informatici conformi ai requisiti tecnico-organizzativi vigenti, nonché tramite proprio personale, debitamente informato e istruito ex art. 32 del Regolamento, condividendo percorsi formativi comuni o estendendo linee guida, disciplinari interni e policy di condotta.
  2. Rispetto ai dati trattati nell’ambito del Contratto, ciascun Contitolare nomina un Preposto, anche tenuto conto dei contenuti del primo comma art. 2-quaterdecies del Codice, al trattamento dei dati personali, individua il personale Autorizzato/Addetto al trattamento dei dati personali, nonché gli eventuali amministratori di sistema, impartendo le necessarie istruzioni per un corretto adempimento delle disposizioni alla luce della normativa applicabile.
  3. Ogni Contitolare informa e forma il proprio personale interessato sulle modalità organizzative, sulle procedure operative, sulla gestione della documentazione cartacea, sull’utilizzo degli strumenti informatici e sulle funzionalità dei sistemi informativi.
  4. I Contitolari si impegnano inoltre a:
    a) adottare un’informativa da rendere disponibile agli interessati ai sensi degli artt. 13 e 14 del Regolamento;
    b) mettere a disposizione degli interessati il contenuto del presente Accordo, ai sensi dell’art. 26, par. 2 del Regolamento, attraverso richiesta da inviare a una delle parti ai contatti previsti al successivo art. 7;
    c) censire, ognuna nel proprio registro dei trattamenti, se previsto, i trattamenti di dati personali per cui sono Contitolari in virtù del presente Accordo ai sensi dell’art. 30 del Regolamento;
    d) effettuare – laddove necessario – una valutazione d’impatto sulla protezione dei dati (DPIA), relativamente al trattamento oggetto del presente accordo, ai sensi degli articoli 35 e 36 del Regolamento. L’eventuale consultazione preventiva dell'autorità di controllo e la trasmissione dei dati necessari alla medesima sarà effettuata previo accordo tra le parti.
    e) informare senza ritardo l’altra parte, anche attraverso i rispettivi Responsabili della Protezione dei Dati personali (di seguito “RPD”), di eventuali comunicazioni, ispezioni e/o contestazioni del Garante con riferimento ai trattamenti oggetto del Contratto, nonché in caso di reclamo o esercizio del diritto dei diritti ex artt. 15 e segg. GDPR;
    f) condividere vicendevolmente e senza indugio, anche per il tramite dei rispettivi RPD, ogni violazione ai dati trattati nell’ambito dell’Accordo, inclusi gli eventuali incidenti di sicurezza rilevati, concordando nel più breve tempo possibile, e comunque entro i termini e modi previsti dalla normativa, i contenuti dell’eventuale notifica al Garante e agli interessati ai sensi degli artt. 33 e 34 del Regolamento; la comunicazione all'interessato in caso di una violazione dei dati personali sarà effettuata dalla parte che avrà materialmente subito il data breach.
  5. Il trattamento dei dati personali oggetto del presente accordo avviene in particolare tramite il sistema informativo di posta elettronica; le Parti sono congiuntamente autorizzate a compiere le attività di seguito indicate:

    Operazione Descrizione attività Raccolta acquisizione del dato Consultazione lettura dei dati personali Elaborazione modifica sostanziale il dato Cancellazione (logica) eliminazione dei dati tramite utilizzo di strumenti informatici Comunicazione a terzi legittimati (artt. 15 e 92 GDPR)
  1. I Contitolari non possono utilizzare i dati trattati nell’ambito del presente Accordo per scopi di carattere commerciale e comunque per finalità non legate al trattamento in questione solo se di legge.

 

Art. 4 – Obblighi relativi alla sicurezza dei dati personali

  1. I Contitolari sono tenuti a mettere in atto tutte le misure di sicurezza tecniche ed organizzative adeguate per proteggere i dati personali trattati nell’ambito della attività di cui al presente Accordo, verificando regolarmente il rispetto di tali misure per il tempestivo recupero della disponibilità dei dati personali trattati in caso di incidente fisico o tecnico ed eseguire un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
  2. Le parti convengono che per il sistema di cui all’art.4.5 verranno operate costante verifiche e aggiornamenti per garantire adeguati standard di sicurezza.
  3. l’individuazione, l’adozione e l’implementazione delle misure di sicurezza sul sistema informativo utilizzato e condiviso nel contesto dell’erogazione dei servizi di cui in premessa compete ad entrambi. Ogni contitolare è inoltre responsabile dell’individuazione dei soggetti da abilitare/disabilitare al sistema e dell’assegnazione del relativo ruolo.
  4. Ogni Contitolare predispone modalità organizzative e procedure operative nel rispetto dei principi applicabili al trattamento dei dati personali, in particolare del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lettera c), del Regolamento e della tutela della riservatezza dei dati personali.
  5. La tipologia del collegamento per la trasmissione dei flussi di dati e le caratteristiche di dettaglio sono individuate dai Contitolari in relazione all’opportunità tecnologica, alle caratteristiche delle prestazioni richieste e all’onerosità della connessione. Le caratteristiche del collegamento potranno cambiare nel tempo in relazione alla disponibilità di particolari tecnologie, all’evoluzione delle stesse, all’adeguatezza dei sistemi di comunicazione rispetto ai flussi di dati. La condivisione di tali modalità avrà luogo attraverso un confronto tra l’amministratore del sistema informativo di cui all’art. 3 e gli amministratori di eventuali altri sistemi informativi interoperanti utilizzati dalla struttura.
  6. In particolare, i Contitolari si impegnano:
    a) a rispettare il principio di necessità riducendo al minimo l’utilizzazione di dati personali e identificativi in modo da escludere il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi o modalità che consentano di identificare l’interessato solo se necessario; rispettare i principi di “privacy by design” e “privacy by default” - evitare di fare copie, estrazioni, duplicazioni, anche parziali per ragioni non  attinenti alle finalità del trattamento di cui in premessa, documentare le predette operazioni di sicurezza e, in caso di richiesta, esibire a ciascun contitolare ogni documento a supporto;
    b) a non comunicare a soggetti non autorizzati né a diffondere dati personali e informazioni di carattere strettamente riservato che riguardano la dotazione tecnologica e/o le modalità organizzative e procedurali di cui venissero a conoscenza nei rapporti con gli altri Contitolari;
    c) ad agevolare verifiche reciproche di adeguatezza delle strumentazioni e delle metodologie di trattamento e trasmissione, solo dei dati previsti riferiti al Contratto. Nello specifico sono garantite ed accettate in modo reciproco azioni di controllo e di audit al fine di verificare il rispetto delle misure di sicurezza minime ed idonee in accordo con quanto stabilito dalla normativa applicabile, nonché il rispetto delle disposizioni contenute nel presente Accordo;
    d) ad informare, formare ed aggiornare costantemente il proprio personale sugli aspetti connessi alla sicurezza del trattamento dei dati.
  7. Ove il trattamento dei dati da parte dei Contitolari avvenga mediante l’interazione tra sistemi informativi si deve garantire l’osservanza delle disposizioni in materia di sicurezza informatica e di protezione dei dati personali. In particolare al fine di garantire un trattamento efficiente, sicuro e affidabile da parte delle Parti è fondamentale che siano rispettate le regole tecniche, organizzative, comportamentali e quelle riguardanti i contenuti informativi contenute nel presente Accordo anche mediante interventi di raccordo che coinvolgano i rispettivi amministratori di sistema, i responsabili del trattamento e gli RPD.

 

Art. 5 – Responsabilità dei Contitolari

  1. Le Parti sono responsabili per il rispetto delle misure di propria pertinenza al fine di garantire il risarcimento effettivo dell’interessato ai sensi di quanto previsto dalla Normativa Applicabile, dagli articoli 26 e 82 del Regolamento, e in particolare secondo quanto previsto dagli articoli 3 e 4 del presente Accordo.
  2. Per quanto riguarda il trattamento dei dati personali previsti nell’Accordo, i Contitolari saranno ritenuti solidalmente responsabili nei confronti degli interessati, i quali potranno agire indistintamente nei confronti di ciascun Contitolare per la tutela dei propri diritti. Ferma restando la responsabilità solidale verso gli interessati, è sin d’ora convenuto che Smilenet S.r.l. avrà azione di regresso nei confronti degli altri Contitolari per le eventuali sanzioni, multe, ammende o danni derivanti dalla violazione o dall’erronea esecuzione del presente Accordo.

 

Art. 6 – Responsabile del trattamento dei dati

  1. In relazione ai trattamenti di dati effettuati nell’ambito dell’Accordo, i Contitolari possono nominare uno o più responsabili al trattamento dei dati (ex art. 28 del Regolamento), scelti tra soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi le previsioni di legge e garantisca la tutela dei diritti degli interessati, svolgendo opportune verifiche e indagini.
  2. La nomina del responsabile al trattamento può avvenire con atto giuridico congiunto dei Contitolari oppure con atto giuridico di uno dei Contitolari, che dovrà comunicarne gli estremi agli altri Contitolari per opportuna conoscenza con un preavviso di almeno 7 giorni o, nel caso di rapporto in essere al momento della stipula del presente atto, entro i 7 giorni successivi alla stessa. Nel caso di designazione non congiunta, il contitolare che nomina il Responsabile ha l’onere e la responsabilità di verificare l’adeguatezza delle misure tecniche ed organizzative adottate dal medesimo, assumendosi in via esclusiva eventuali conseguenze pregiudizievoli derivanti dalla condotta del Responsabile stesso.
  3. I Contitolari si impegnano a limitare gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero in assenza di strumenti di tutela previsti dal GDPR (Paese terzo giudicato adeguato dalla Commissione europea, BCR di gruppo, clausole contrattuali modello, etc.). Il contitolare, pertanto, non potrà trasferire o effettuare il trattamento dei dati personali oggetto del presente accordo al di fuori dell’Unione Europea.

 

Art. 7 - Diritti degli interessati

  1. Gli interessati possono richiedere in qualsiasi momento l’accesso ai propri dati personali e ottenere copia degli stessi, la loro rettifica o integrazione qualora li ritengano inesatti o incompleti, nonché la loro cancellazione, ove quest’ultima non contrasti con la normativa vigente sulla conservazione dei dati stessi e con l’eventuale necessità di consentire l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
  2. Gli interessati, come previsto dall’art. 77 del Regolamento, hanno altresì diritto di presentare reclamo all’Autorità nazionale di controllo in caso di illecito trattamento o di ritardo nella risposta del titolare a una richiesta che rientri nei diritti dell’interessato.
  3. Per l’esercizio di tali diritti i punti di contatto sono specificati nel form di sottoscrizione delle condizioni generali di contratto e del presente allegato 1.
  4. I riferimenti dei Responsabili della protezione dei dati (RPD), a cui l’interessato può rivolgersi per le questioni relative al trattamento dei propri dati personali, sono specificati nel form di sottoscrizione delle condizioni generali di contratto e del presente allegato 1.
  5. Resta inteso che, ai sensi dell’art. 26, par. 3, del Regolamento, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di ciascun Contitolare.

 

Art. 8 - Segretezza e confidenzialità

I Contitolari si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico di cui possono venire a conoscenza in ragione del rapporto di contitolarità e si impegnano a comunicare e utilizzare tali informazioni solamente per gli scopi previsti dal presente Accordo.

 

Art. 9 – Foro Competente 1. Per qualsiasi controversia derivante o comunque collegata al presente Accordo sarà competente in via esclusiva il Foro di Reggio Emilia, con esclusione degli eventuali fori facoltativi previsti dalla legge.

 

Art. 10 – Durata

  1. La decorrenza e il termine del presente Accordo sono pari a quelle del Contratto di condizioni generali.

 

Art. 11 - Disposizioni conclusive

  1. Eventuali modifiche al presente Accordo dovranno essere apportate in forma scritta tra le Parti.
  2. Le Parti hanno letto e compreso il contenuto del presente Accordo e con la formale adesione allo stesso esprimono pienamente il loro consenso.

Richiedi informazioni

INFORMATIVA AI SENSI DEL REGOLAMENTO UE N. 2016/679 "GDPR"
I dati personali acquisiti saranno utilizzati esclusivamente per rispondere alla richiesta formulata. Gli Interessati possono esercitare i diritti di cui agli artt. 15 - 23 del GDPR scrivendo all'indirizzo info@smilenet.it. Informativa completa.

Letta e compresa l’Informativa Privacy, acconsento al trattamento dei miei dati personali da parte di Camperistico per finalità di marketing come indicato dall’Informativa Privacy, con modalità elettroniche e/o cartacee, e, in particolare, a mezzo posta ordinaria o email, telefono (es. chiamate automatizzate, SMS, sistemi di messaggistica istantanea), e qualsiasi altro canale informatico (es. siti web, mobile app).