Accordo di Contitolarità nel trattamento dei dati personali ai sensi dell’art. 26 del Regolamento EU 2016/679
Accordo di Contitolarità nel trattamento dei dati personali
ai sensi dell’art. 26 del Regolamento EU 2016/679
Tra
Unoenergy S.p.A., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede in Milano, alla Xxx Xxxxxxx 00, codice fiscale e partita iva 013668720080, R.E.A. 1902560, avente capitale sociale di Euro 50.000.000,00 i.v., in persona del legale rappresentante e amministratore delegato dott. Xxxxx xx Xxxxxxx, nato a Sanremo il giorno 2 marzo 1964, domiciliato per la carica presso la sede sociale,
(di seguito “Titolare 1”, “Unoenergy”, la “Capogruppo” o anche il “Contitolare del trattamento”)
e
Unoenergy Saving Solutions S.p.A., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede legale in Xxxxxx, Xxx Xxxxxxx 00, codice fiscale e partita iva 01683590994, R.E.A. 1910655, avente capitale sociale pari a Euro 5.000.000,00 i.v., in persona del legale rappresentante e amministratore delegato xxxx. Xxxxx Xxxxxxxx
(di seguito “Titolare 2”, “Saving” o il “Contitolare del trattamento”)
e
Unoenergy Green Solutions S.p.A., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede legale in Xxxxxx, Xxx Xxxxxxx 00, codice fiscale e partita iva 02102820509, R.E.A. 2570928, avente capitale sociale pari a Euro 650.000,00 i.v., in persona del legale rappresentante e amministratore delegato xxxx. Xxxxx Xxxxxxxx
(di seguito “Titolare 3”, “Green” o il “Contitolare del trattamento”)
e
Unoenergy Sharing Solutions S.r.l., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede legale in Xxxxxx, Xxx Xxxxxxx 00, codice fiscale e partita iva 10825640963, R.E.A. 2570928, avente capitale sociale pari a Euro 250.000,00 i.v., in persona dell’Amministratore Unico Xxxxx Xx Xxxxxxx
(di seguito “Titolare 4”, “Sharing” o il “Contitolare del trattamento”)
e
Unoenergy Innovative Solutions S.r.l., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede legale in Xxxxxx, Xxx Xxxxxxx 00, codice fiscale e partita iva 01479090290, R.E.A. 2126865, avente capitale sociale pari a Euro 100.000,00 i.v., in persona del legale rappresentante e Presidente del Consiglio di Amministrazione dott. Xxxxx Xx Xxxxxxx
(di seguito “Titolare 5”, “Innovative” o il “Contitolare del trattamento”)
e
Unoinsurance Service S.r.l., (soggetta alla attività di direzione e coordinamento della società "Uno Holding S.r.l.") con sede legale in Xxxxxx, Xxx Xxxxxxx 00, codice fiscale e partita iva 09787340968,
R.E.A. 2113515, avente capitale sociale pari a Euro 24.000,00 i.v., in persona dell’Amministratore unico dott. Xxxxx Xx Xxxxxxx
(di seguito “Titolare 6”, “Unoin” o il “Contitolare del trattamento”)
Le società sono indicate congiuntamente come le Parti, le Società del Gruppo o i Contitolari del Trattamento e, separatamente, come la Parte.
Premesso che
− Il Titolare 1 è una società che svolge, inter alia, attività di fornitura di energia elettrica e gas naturale a clienti finali;
− Il Titolare 2 è una società che offre, inter alia, soluzioni di efficientamento energetico a clienti finali;
− Il titolare 3 è una società che svolge, inter alia, attività di installazione di prodotti per l’efficienza energetica delle abitazioni;
− Il Titolare 4 è una società che svolge, inter alia, attività di progettazione e riqualificazione degli impianti energetici;
− Il Titolare 5 è una società attiva nella promozione di soluzioni innovative per l’efficientamento energetico;
− Il Titolare 6 è una società che si occupa, inter alia, di servizi assicurativi.
− È in essere tra le Parti un progetto comune, consistente nella gestione del Sito internet del Gruppo Unoenergy e, di conseguenza, nel trattare uniformemente i dati personali raccolti dalle Società (di seguito “Gestione sito”);
− per l’esecuzione di tali attività, le Parti pongono in essere operazioni di trattamento congiunte dei dati personali degli Utenti del sito e ciò comporta la necessità di determinare congiuntamente le finalità e le modalità del trattamento dei dati personali coinvolti nell’esecuzione delle attività suindicate;
− in data 25 maggio 2018 è divenuto operativo il Regolamento Europeo 679/2016 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento” o “GDPR”);
− l’articolo 4, paragrafo 1, n. 7 del GDPR definisce quale Titolare del Trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
− ai sensi dell’art. 26 del Regolamento, qualora due o più titolari del trattamento determinino congiuntamente le finalità e i mezzi del trattamento, essi sono Contitolari del trattamento;
− il menzionato articolo stabilisce che i Contitolari debbano determinare in modo trasparente, mediante un accordo interno le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con particolare riferimento all'esercizio dei diritti dell'Interessato e ai rispettivi ruoli nella comunicazione delle Informative (rif. art. 13 e 14 del Regolamento);
− il suddetto accordo deve, pertanto, disciplinare gli obblighi delle Parti con particolare riguardo all’esercizio dei diritti dell’interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati;
− con il presente atto (di seguito l’“Accordo”), le Parti intendono instaurare un rapporto di Contitolarità;
− nell’ambito delle rispettive responsabilità, come disciplinate dal presente Accordo, le Parti dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili di volta in volta approvati dal Garante per la Protezione dei Dati Personali (di seguito “Garante”) o dall’European Data Protection Board (di seguito “EDPB”).
Tutto ciò premesso, che forma parte integrante e sostanziale del presente Accordo, si conviene e si stipula quanto segue.
1. OGGETTO
1. Con il presente Accordo, i Contitolari determinano le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. Con il presente Accordo le Parti stabiliscono, altresì, i rispettivi obblighi in merito all’esercizio dei diritti degli interessati e i rispettivi ruoli in merito alla comunicazione dell’informativa.
2. La contitolarità è riferita al trattamento congiunto dei dati personali e ha ad oggetto il trattamento di tutti i dati presenti negli archivi sia cartacei, sia informatizzati, e di tutti quelli che si acquisiranno in futuro, come definito dall’articolo 4 punto 2) del GDPR. Per i fini del presente Accordo, le Parti convengono che:
2.1 il trattamento dei dati personali è attuato per la seguente finalità:
- gestione del sito internet;
- selezione del personale per l'instaurazione di un rapporto di lavoro;
- assistenza ai clienti finali.
2.2 Il trattamento ha ad oggetto le seguenti categorie di dati personali:
- dati anagrafici, ivi inclusa la cittadinanza e dati potenzialmente idonei a rilevare l'origine razziale o etnica;
- dati di contatto;
- dati relativi alla formazione e alle precedenti esperienze lavorative.
2.3 Il trattamento coinvolge le seguenti categorie di interessati:
- i navigatori del Sito;
- i candidati a una posizione lavorativa;
- i clienti.
3. Resta inteso che, ai sensi dell’articolo 26 paragrafo 3 del GDPR, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del Trattamento.
4. Resta altresì inteso che per tutti i trattamenti che non rientrano nel presente Accordo, le Parti saranno autonomi Titolari, con gli obblighi che discendono ai sensi del GDPR tra i quali a titolo esemplificativo rendere le informative sul trattamento dei dati e raccogliere eventualmente i consensi presso i soggetti interessati.
2. OBBLIGHI E RESPONSABILITA’ DEI CONTITOLARI - REFERENTI
1. I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal GDPR e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.
2. I Contitolari si impegnano a diffondere, rispettare e far rispettare ai propri amministratori, ai propri dipendenti, collaboratori e ai soggetti terzi con cui collaborano i principi a tutela dei dati personali. In particolare, si impegnano affinché la politica della protezione dati personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i soggetti, interni ed esterni, coinvolti nelle attività dei Contitolari.
3. le Parti si obbligano a trattare congiuntamente i dati personali oggetto dell’Accordo solo ed esclusivamente per le finalità dichiarate al precedente articolo al punto 3.1.
4. L’informativa di cui agli articoli 13 e 14 del GDPR sarà redatta e fornita dal Titolare 1 attraverso l’apposita pagina informativa realizzata e pubblicata sul sito web nella quale viene specificato chiaramente il rapporto di contitolarità intercorrente tra le Parti.
5. Resta inteso che le informative inerenti alle altre eventuali finalità perseguite dalle Parti dovranno essere pubblicate sulle pagine privacy specifiche dei singoli Titolari.
6. Le eventuali richieste di consenso verranno appositamente acquisite e memorizzate nel database.
7. Offrendo il Titolare 1 anche servizi di assistenza informatica, avrà accesso ai dati a scopo di manutenzione tecnica.
8. Le Parti convengono inoltre che i reclami e le richieste di esercizio dei diritti presentati dagli interessati, ai sensi degli articoli da 15 a 22 del GDPR, potranno essere inviati dagli interessati, contattando: Unoenergy S.p.A. nella persona del Data Protection Officer, Xxxx. Xxxxxxxxxx Xxxxxxxxx (Xxxxx X.x.x.), o Unoenergy Saving Solutions S.p.A. e Unoenergy Green Solutions S.p.A., nella persona del Data Protection Officer, Dott. Xxxxxxx Xxxxxxxxx (Deloitte Risk advisory S.r.l.).
9. Resta comunque inteso che gli interessati potranno esercitare i propri diritti nei confronti dei Contitolari ai sensi dell’articolo 26 paragrafo 3 del GDPR, evocando ciascun Titolare, indipendentemente dagli altri, dinnanzi all’Autorità di Controllo e/o l’autorità giudiziaria. In relazione ai diritti dell’interessato, i Titolari adotteranno le misure tecnico organizzative adeguate a dare seguito alle richieste di esercizio dei diritti avanzate da parte dell’interessato, nonché alle richieste delle Autorità competenti, fornendo adeguato riscontro in forma concisa, trasparente, intelligibile, facilmente accessibile e con un linguaggio semplice e chiaro. A tal riguardo ciascuna delle Parti collaborerà con l’altra nelle attività di tempestiva comunicazione delle istanze dell’interessato, nella raccolta delle informazioni necessarie per fornire una risposta tempestiva ed efficace ai Clienti ai sensi di quanto previsto dal GDPR agli articoli da 15 a 22 e delle richieste formulate dalle Autorità competenti.
10. Resta inteso tra le Parti che qualora una di queste rilevasse una violazione di dati personali inerenti ai dati oggetto del presente Accordo, la parte che ha subito l’incidente dovrà darne conoscenza all’altra, senza indebito ritardo, e comunque non oltre 24 ore da quando ne sia
venuta a conoscenza. La notifica della violazione all’autorità di controllo e agli interessati, a norma degli articoli 33 e 34 del GDPR, viene effettuata dal Titolare che ha subito la violazione dei dati personali. Tuttavia, l’altra Parte rimane obbligata a prestare massima collaborazione. I Contitolari saranno responsabili in solido per l’intero ammontare del conseguente danno, al fine di garantire il risarcimento effettivo dell’interessato.
11. Pertanto, ogni Contitolare può essere chiamato risarcire integralmente l’interessato che dovesse dimostrare di essere stato danneggiato dal trattamento. Successivamente, il Contitolare potrà rivalersi sull’altro Contitolare responsabile effettivo del danno attraverso un’azione di regresso.
12. Anche i danni provocati all’interessato in casi di forza maggiore saranno a carico delle Parti in solido, che dovranno fronteggiare il rischio della forza maggiore; il Contitolare che ha sostenuto l’esborso economico avrà la possibilità di agire in regresso sull’altro.
13. Le Parti si impegnano altresì, ai sensi dell’articolo 26 paragrafo 2 del GDPR, a mettere a disposizione dell’interessato il contenuto essenziale del presente Accordo sul Sito, nella pagina relativa alla privacy policy.
14. Le Parti si danno atto che i dati personali trattati per la finalità comune di gestione di cui all’art.
2.1 saranno conservati per il tempo necessario allo svolgimento di dette attività e comunque indicato nell’informativa, nonché per esigenze difensive delle Parti e in ogni caso nel rispetto della normativa applicabile, delle disposizioni civilistiche vigenti e delle disposizioni regolamentari di settore.
15. Ai sensi dell’articolo 33 e 34 del GDPR, in caso di violazione dei dati, i Contitolari si daranno tempestiva comunicazione delle caratteristiche della violazione dei dati personali. Ciascuno valuterà la gravità dell’eventuale violazione e l’opportunità di comunicarla al Garante per la Protezione dei Dati Personali.
3. DURATA ED EFFETTI CONSEGUENTI ALLO SCIOGLIMENTO DEL CONTRATTO
1. Il presente Accordo ha efficacia tra le Parti a decorrere dalla sua sottoscrizione e sarà valido ed efficace per un anno, intendendosi prorogato tacitamente a ogni scadenza.
4. PERSONE AUTORIZZATE AL TRATTAMENTO
1. Ciascuno dei Contitolari identificherà e designerà le persone autorizzate a effettuare operazioni di trattamento sui dati trattati nel perseguimento del progetto comune, identificando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR (ed ai sensi dell’art. 2-quaterdecies del D.Lgs. 196/2003 e ss.mm.ii.) e provvedendo alla relativa formazione, anche in merito ai principi di liceità e correttezza a cui è tenuto a conformarsi e alle misure di salvaguardia adottate. 2. Ciascuno dei Contitolari garantisce che i propri dipendenti e collaboratori sono affidabili e hanno piena conoscenza della normativa primaria e secondaria in materia di protezione dei dati personali.
5. RESPONSABILI DEL TRATTAMENTO
1. Ciascuna Parte la quale ravvisasse la necessità di avvalersi di un responsabile del trattamento per l'esecuzione di specifiche attività richieste nell’ambito del progetto comune, è tenuto a comunicarlo alle altre Parti con congruo preavviso.
2. Il Titolare 1 potrà ricorrere a fornitori/subfornitori esterni (di seguito “Responsabili del Trattamento” o “Responsabili” o “Sub Responsabili”) per la fornitura di qualsiasi servizio relativo alla gestione delle attività di cui al presente Accordo (a titolo esemplificativo e non esaustivo, i consulenti informatici per la realizzazione e la manutenzione del sito o i consulenti privacy per la verifica della sua compliance al GDPR), previa autorizzazione scritta degli altri Titolari. Qualora il Titolare 1 ricorra a Responsabili del Trattamento che effettuino trasferimenti dei dati personali extra-EU, o questi ultimi nominino Sub- responsabili del Trattamento che attuino tali trasferimenti, il Titolare 1 si impegna a darne comunicazione agli altri Titolari e, in ogni caso, a dare prova che siano state adottate le garanzie richieste dal Capo V del GDPR.
3. Su tale responsabile del trattamento sono imposti, mediante un contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, specifici obblighi in materia di protezione dei dati, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della legge vigente.
4. I rapporti tra i Contitolari e gli eventuali responsabili del trattamento restano disciplinati dall’articolo 28 del GDPR.
6. SEGRETEZZA E CONFIDENZIALITÀ
1. Ogni Contitolare si impegna a mantenere la segretezza dei Dati personali trattati e utilizzati in virtù ed esclusivamente per le finalità proprie del progetto comune, nonché del presente rapporto di Contitolarità.
2. Tutte le Parti si impegnano reciprocamente a considerare strettamente confidenziale tutto il materiale non già di dominio pubblico, utilizzando i Dati personali (e le informazioni in genere) solamente per gli scopi previsti dall’Accordo.
7. SICUREZZA DELLE INFORMAZIONI
1. I Contitolari sono tenuti a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali trattati nel rapporto di contitolarità, conformemente al piano di sicurezza stabilito e secondo quanto richiesto dagli articoli 5 e 32 del GDPR.
2. I Contitolari, inoltre, manterranno e, in caso di necessità, implementeranno i presidi e i sistemi in grado di garantire la riservatezza, l’integrità e la disponibilità dei Dati.
3. Le Parti eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
4. Il Titolare 1, in seguito ad approfondita analisi, ha appurato che la Piattaforma offre le seguenti misure di sicurezza tecniche e organizzative ai sensi dell’articolo 5 e 32 del GDPR:
i. i Dati Personali registrati sulla piattaforma SaaS (Server as a Service) resteranno di proprietà dei Contitolari;
ii. gli Interessati al trattamento non saranno oggetto di campagne di marketing da parte del Responsabile del Trattamento avente in hosting la Piattaforma;
iii. il Provider sarà nominato Responsabile del Trattamento previsto dall’articolo 28 del GDPR;
iv. in qualità di Responsabile del Trattamento, il Provider non prenderà decisioni inerenti ai dati personali registrati sulla piattaforma, ma si limiterà al loro trattamento e si adeguerà alle istruzioni che riceverà dai Contitolari;
v. il Responsabile del Trattamento avviserà tempestivamente il Titolare 1 in caso si verifichi una violazione dei Dati Personali ai sensi dell’articolo 33 del GDPR.
vi. è stato definito con chiarezza uno SLA (Service Level Agreement) preciso;
vii. la Piattaforma è stata sottoposta a una DPIA;
viii. sono state implementate procedure in compliance con il GDPR;
ix. è stata attuata un’adeguata formazione del personale ai sensi dell’articolo 29 del GDPR;
x. è garantito l’esercizio dei diritti degli Interessati come previsto dagli articoli da 15 a 22 del GDPR;
xi. è stata definita una politica di data retention;
xii. sono stati aggiornati tutti i contratti con le terze parti coinvolte nei trattamenti in ottica GDPR;
xiii. vige l’obbligo di confidenzialità relativamente ai dati trattati per il personale autorizzato;
xiv. la Piattaforma garantisce la piena aderenza al Capo V del GDPR.
8. TRATTAMENTO DATI AL TERMINE DEL PRESENTE ACCORDO
1. Alla cessazione del presente Accordo, terminate le operazioni di trattamento connesse con le finalità di cui al presente Accordo, ciascuna Parte rimarrà Titolare autonomo dei dati personali in relazione alle finalità per cui i dati sono stati raccolti, relative alla gestione del Sito, delle candidature per l’instaurazione di un eventuale rapporto lavorativo e dell’assistenza ai clienti e per tutti gli altri obblighi legislativi per i quali si rende necessario il trattamento dei dati personali e per i quali è autonomo titolare. Le Parti concorderanno le modalità tecniche, organizzative e procedurali necessarie per la dismissione dei Dati Personali oggetto del comune trattamento.
2. Le Parti provvederanno, al termine delle operazioni di trattamento, alla integrale cancellazione o anonimizzazione dei dati, salvo i casi in cui la conservazione sia consentita ai sensi dell’articolo 5 del GDPR o richiesta da norme di legge.
9. DISPOSIZIONI CONCLUSIVE
1. Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.
2. L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle clausole rimanenti.
3. Con il presente Accordo, le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente relativo al trattamento dei dati personali.
4. Le Parti hanno letto e compreso il contenuto del presente Accordo e sottoscrivendolo esprimono pienamente il loro consenso.