Consorzio del Ticino corrente in Corso di Porta Nuova, 18, 20121 Milano Consorzio dell’Oglio corrente in Via Solferino, 20, 25121 Brescia Consorzio dell’Adda corrente in Corso Garibaldi, 70, 20121 Milano
Accordo di contitolarità in merito al trattamento
dei dati personali
Tra
Consorzio del Ticino corrente in Xxxxx xx Xxxxx Xxxxx, 00, 00000 Xxxxxx
e
Consorzio dell’Oglio corrente in Xxx Xxxxxxxxx, 00, 00000 Xxxxxxx
e
Consorzio dell’Adda corrente in Xxxxx Xxxxxxxxx, 00, 00000 Xxxxxx
e
Agenzia Interregionale per il Fiume Po corrente in Xxxxxx Xxxxxxxx Xxxxxxxxx, 00, 00000 Xxxxx
(xx seguito, congiuntamente, i “Contitolari”)
Indice
Sommario
1. Introduzione e definizioni 3
3. Contitolarità del trattamento 4
4. Dati trattati, finalità e modalità del trattamento 4
6.2) Esercizio dei diritti dell’interessato 6
6.3) Sicurezza del trattamento 6
Introduzione.
Il presente accordo di contitolarità è volto a regolamentare le rispettive responsabilità tra due o più titolari del trattamento in merito all’osservanza degli obblighi derivanti dal Regolamento Privacy UE 2016/679 – GDPR (di seguito il “GDPR”).
Saranno specificati soprattutto i ruoli e i rapporti dei Contitolari con le categorie di soggetti i cui dati saranno oggetto del trattamento.
Definizioni.
Articolo 26, paragrafo 1 GDPR - Contitolari del trattamento: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”.
Articolo 4 GDPR – Definizioni: “Ai fini del presente regolamento s’intende per: 1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Articolo 9, paragrafo 1 GDPR – Trattamento di categorie particolari di dati personali: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.
2. Premesse
Premesso che:
a) Gli Enti regolatori dei grandi laghi, Consorzio del Ticino, Consorzio dell’Oglio, Consorzio dell’Adda, Agenzia Interregionale per il Fiume Po, hanno ideato ed istituito il sito xxx.xxxxx.xxx per rendere visibile a tutti, specialmente ai soggetti operanti nella protezione civile, la situazione idrometeorologica rilevata dalle stazioni di misura di proprietà o in gestione degli enti di regolazione dei grandi laghi alpini, operanti sul territorio indicato nella cartografia della Homepage.
b) Il sito xxx.xxxxx.xxx non ha la funzione di una banca dati: per questo motivo i dati disponibili hanno una visibilità limitata nel tempo. I dati originali e/o validati ed elaborati sono disponibili presso gli enti proprietari. Il sito è dedicato ad operatori del settore protezione civile e gestione acque.
c) Di norma vengono autorizzati solo utenti appartenenti ad Enti Istituzionali con compiti di Protezione Civile.
d) Gli utenti interessati non rientranti nella suddetta categoria possono chiedere l’attivazione di credenziali d’accesso al fine di visionare i valori idrometeorologici dei rispettivi laghi, l’attivazione avviene a discrezione degli Enti che decidono quali dati idrologici siano visibili per il proprio bacino di competenza.
e) Il servizio può essere offerto congiuntamente dagli Enti regolatori di cui in premessa
Tutto quanto sopra premesso, i contitolari, pur essendo enti giuridici autonomi, non possono che essere considerati ed esaminati congiuntamente per quanto riguarda il ruolo assunto nel trattamento e nella gestione di dati personali degli utenti/visitatori del sito.
Ai fini della validità del presente Accordo di contitolarità si precisa che le premesse, così descritte, ne costituiscono parte integrante.
3. Contitolarità del trattamento
I contitolari hanno deciso di optare per una gestione centralizzata e, come consentito anche dall’art. 26 del GDPR, condivisa e paritaria nella determinazione delle finalità e di mezzi relativi al trattamento di dati personali nell’ambito del sito xxxxx.xxx
Nell’attuazione delle predette attività, gli Enti possono trattare i seguenti dati personali:
- Dati anagrafici;
- Dati di contatto;
- Dati identificativi
- Dati di navigazione.
Nell’attuazione delle predette attività, gli Enti possono trattare dati personali relativi ai seguenti interessati:
- Persone fisiche appartenenti ad Enti Istituzionali con compiti di Protezione Civile
- Persone fisiche che facciano richiesta di registrazione
- Visitatori del sito
Sussiste dunque una contitolarità tra Consorzio del Ticino, Consorzio dell’Oglio, Consorzio dell’Adda, Agenzia Interregionale per il Fiume Po in quanto determinato congiuntamente le finalità e i mezzi dei trattamenti di cui al Contratto di Rete in commento, così come espressamente statuito all’art. 9 del Contratto di Rete stesso.
4. Dati trattati, finalità e modalità del trattamento
Contitolarità del trattamento | Categoria di interessati | Tipologia dei Dati | Finalità del trattamento | Modalità del trattamento |
Consorzio del Ticino, Consorzio dell’Oglio, Consorzio dell’Adda, Agenzia Interregionale | Persone fisiche appartenenti ad Enti Istituzionali con compiti di Protezione Civile | Dati anagrafici; Dati di contatto; Dati identificativi; Dati di navigazione. | Navigazione sul sito xxxxx.xxx Registrazione all’area riservata per la consultazione dei valori idrologici. | Trattamento dati in modalità informatizzata. |
per il Fiume Po | Persone fisiche che facciano richiesta di registrazione Visitatori del sito |
5. Ambito di comunicazione
I Contitolari si impegnano a comunicare i dati di natura personale a destinatari che li tratteranno in qualità di responsabili e/o in qualità di persone fisiche che agiscono sotto l’autorità del Titolare e del Responsabile e/o in qualità di autonomi Titolari. Precisamente, i dati di natura personale potranno essere comunicati a destinatari appartenenti alle seguenti categorie:
- soggetti che forniscono servizi per la gestione del sistema informativo e delle reti di telecomunicazioni (ivi compresa la posta elettronica);
- studi o società nell'ambito di rapporti di assistenza e consulenza;
- autorità competenti per adempimenti di obblighi di leggi e/o di disposizioni di organi pubblici, su richiesta. I dati personali non saranno trasferiti fuori dall’Unione Europea.
6. Ruoli e responsabilità
Le singole parti si impegnano a fornire, in sede di raccolta del dato, le informazioni di cui all’art. 13 del Regolamento UE 2016/679. Nello specifico l’informativa privacy pubblicata sul sito xxxxx.xxx dovrà comprendere i seguenti elementi:
“a) l'identità e i dati di contatto del titolare del trattamento e, eventualmente, del suo eventuale rappresentante;
b) dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni”.
I Contitolari si impegnano a fornire all’interessato, pubblicandola nella sezione privacy del sito, informativa ai sensi dell’art. 13 Regolamento UE 2016/679 relativa al trattamento dei dati personali per le finalità sopra descritte.
6.2) Esercizio dei diritti dell’interessato
Tutte le richieste di esercizio dei diritti di cui agli artt. 15-22 del Regolamento UE 2016/679 saranno gestite, dai Contitolari come segue:
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio del Ticino, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxxx@xxxxxxxxxxxxxxx.xx, con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail xxx.xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio dell’Oglio, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxx@xxxxxxxxxxxxxx.xx, con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail xxx.xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio dell’Adda, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxx@xxxxxxxxxxxxx.xx , con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail xxxxxxx.xxxxxxxxxxxxxxxxxxxxx@xxx.xx) nei limiti e alle condizioni stabilite nella nomina di
quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza dell’ Agenzia Interregionale del Fiume Po, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxx@xxxx.xxxxxxxxx.xx con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail XXXxxxxxxx@xxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
6.3) Sicurezza del trattamento
Nel rispetto dei principi di cui all’art. 32 del Regolamento UE 2016/679 il titolare del trattamento, tenendo conto tra gli altri aspetti anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento).
Nel valutare l’adeguato livello di sicurezza il titolare deve tenere conto dei rischi di:
- Perdita;
- Distruzione;
- Modifica;
- Divulgazione non autorizzata;
- Accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.
I Contitolari si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, sia con riferimento a strumenti, archivi e supporti cartacei, sia con riferimento a strumenti e mezzi digitali e informatici utilizzati.
I Contitolari si impegnano inoltre a garantire che anche gli eventuali fornitori saranno soggetti ai medesimi obblighi in merito alla protezione dei dati personali e delle informazioni.
Una violazione di dati personali (Data Breach) è ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal titolare del trattamento.
Ai sensi e per gli effetti dell’art. 33 Regolamento UE 2016/679, il titolare del trattamento, in caso di violazione di dati personali, notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore è corredata da motivi di ritardo.
Ai sensi e per gli effetti dell’art. 34 Regolamento UE 2016/679, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo qualora la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.
* * *
I Contitolari hanno definito la gestione di eventuali Data Breach propri secondo una procedura interna.
Con la stipulazione del presente accordo, i Contitolari pattuiscono che la gestione di eventuali data breach e delle relative comunicazioni di cui agli artt. 33 e 34 GDPR inerenti il sito xxxxx.xxx sarà gestita dal Consorzio del Ticino, che potrà richiedere in ogni momento il supporto degli altri contitolari per gestire gli eventuali data breach. Ogni Contitolare informerà quindi tempestivamente gli altri Enti parti dell’accordo di eventuali violazione dei dati personali. In particolare andrà anche informato il Referente Geom. Xxxxx Xxxxx del consorzio del Ticino all’indirizzo email xxxxxxxxxx@xxxxxxxxxxxxxxx.xx
Qualora un presunto data breach sia stato causato, scoperto o segnalato da personale / collaboratori / fornitori riconducibili a uno dei contitolari, lo stessa metterà immediatamente a disposizione del Consorzio del Ticino il proprio personale per garantire una tempestiva e adeguata gestione dell’evento segnalato.
Per la gestione degli eventuali data breach, il Consorzio del Ticino si atterrà alla procedura per la gestione delle violazioni dei dati predisposta dallo stesso.
7. Conclusioni
Qualsiasi modifica al presente documento sarà possibile solo con il consenso di tutti i Contitolari.
Ai sensi dell’articolo 26 comma 2. del Regolamento UE 2016/679, il contenuto essenziale del presente
accordo sarà messo a disposizione degli interessati:
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio del Ticino, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxxx@xxxxxxxxxxxxxxx.xx, con la supervisione del Responsabile della Protezione dei Dati (DPO)(contattabile all’indirizzo mail xxx.xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio dell’Oglio, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxx@xxxxxxxxxxxxxx.xx, con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail xxx.xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza del Consorzio dell’Adda, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxx@xxxxxxxxxxxxx.xx , con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail xxxxxxx.xxxxxxxxxxxxxxxxxxxxx@xxx.xx) nei limiti e alle condizioni stabilite nella nomina di
quest’ultimo;
- Per gli utenti afferenti l’area territoriale di competenza dell’ Agenzia Interregionale del Fiume Po, dall’ Ente medesimo attraverso l’indirizzo e-mail xxxxxxxxxx@xxxx.xxxxxxxxx.xx, con la supervisione del Responsabile della Protezione dei Dati (DPO) (contattabile all’indirizzo mail XXXxxxxxxx@xxxxxxxxx.xx) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo;
L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle
novità legislative.
Data di aggiornamento: 30/07/2020 Per integrale conferma ed accettazione
Consorzio del Ticino
Consorzio dell’Oglio
Consorzio dell’Adda _
Agenzia Interregionale per il Fiume Po