Accordo di contitolarità nel trattamento dei dati personali ai sensi dell’art. 26 del Regolamento EU 2016/679

Accordo di contitolarità nel trattamento dei dati personali ai sensi dell’art. 26 del Regolamento EU 2016/679

Tra

la Città metropolitana di Venezia, con sede in Venezia, Xxx Xxxxx 0000, nella persona del suo legale rappresentante pro tempore in qualità di 'Titolare del Trattamento' dei dati personali, ovvero della sottoscritta dott.ssa Xxxxxx Xxxxxxxxx, dirigente del Servizio Informatica, nominata dal predetto Titolare in qualità di responsabile interno al trattamento come da nomina di cui al prot. n. 32035 del 22/06/2021

e

il Comune di …………… con sede in via/piazza …………. n. , nella persona del suo legale

rappresentante pro tempore in qualità di 'Titolare del Trattamento' dei dati personali

…………………………….;

in qualità di soggetti partner per la realizzazione del progetto SITM (congiuntamente indicate “le parti”)

Premesso che:

- la Città metropolitana di Venezia, a partire dal 2016 (deliberazione del Consiglio metropolitano n. 25 del 28/9/2016), ha sviluppato strumenti, tecnologie e processi organizzativi finalizzati alla realizzazione del Sistema Informativo Territoriale Metropolitano (SITM) in convenzione con i Comuni del territorio;

- SITM è un ambiente software multipiattaforma che raccoglie dati territoriali di varia natura che, aggiornati costantemente dai soggetti responsabili, forniscono informazioni utili ai rispettivi uffici tecnici, alle imprese ed ai cittadini, sui servizi presenti sul territorio. A partire dal SITM sono stati attivati strumenti di consultazione via Web basati su piattaforme WebGIS opensource e un’applicazione per i dispositivi mobili denominata WebMapp Venezia;

- in quanto servizio pubblico, SITM garantisce maggior tutela ai privati cittadini, rispetto ai più diffusi portali e piattaforme di natura privatistica, perché la disponibilità dei propri database è estranea alle logiche di mercato connesse allo sfruttamento economico dei dati personali, disciplinato dal Regolamento UE 2016/679 (di seguito "Reg. UE 2016/679" o “GDPR”);

- la cooperazione sinergica di tutti gli enti coinvolti risulta necessaria allo sviluppo del SITM, visto che parte dei dati raccolti può contribuire ad alimentare il Repertorio Nazionale Dati Territoriali (RNDT), il portale di Open Data, il geoportale nazionale e il portale istituzionale della Città metropolitana di Venezia;

considerato che:

- per la gestione amministrativa, alimentazione e condivisione dei dati raccolti nel SITM, le parti, autonomamente o congiuntamente, pongono in essere operazioni di trattamento dei dati personali, di cui alla definizione del GDPR, del D.lgs. 196/2003 ss.mm.ii. (di seguito la “Normativa applicabile”) di persone fisiche (di seguito “Interessati”).

- si configura, in tal modo, una correlazione di trattamento dei dati personali degli interessati ed una conseguente contitolarità nei trattamenti che le Parti intendono normare con la Contitolarità.

Tutto ciò premesso e considerato le parti convengono e stipulano quanto segue:

1. I Contitolari raccolgono i dati personali (come definiti in base al GDPR). In particolare, possono essere raccolte le seguenti categorie di dati personali comuni (anagrafici e di contatto) quali, ad esempio indicativo e non esaustivo nome, cognome, indirizzo, numero di telefono, fax, indirizzo email, PEC, codice fiscale.

2. Con la Contitolarità, le parti intendono definire, ai sensi dell’art 26 del GDPR, che le stesse avendo congiuntamente definito le finalità e mezzi del trattamento dei dati personali nell’ambito del SITM, trattano gli stessi in regime di contitolarità per le finalità connesse alla gestione amministrativa, alimentazione e condivisione

del database del SITM. In particolare:

(i) ciascuna parte raccoglierà autonomamente i dati personali di propria competenza, i quali saranno inseriti nel database del SITM consentendo pertanto lo svolgimento delle operazioni di trattamento necessarie e conseguenti dalla Convenzione per l’avvio del SIT metropolitano e dal presente accordo;

(ii) ciascuna parte pubblicherà sul proprio sito web l’informativa contitolari ex artt. 13 e 14 del GDPR, previamente concordata e qui allegata (v. All. Informativa Contitolari), nella quale si darà atto del regime di contitolarità esistente tra le parti nell’ambito dei soli trattamenti congiunti di cui al progetto SITM

(iii) le parti gestiranno in proprio i dati personali degli Interessati ai sensi degli artt. 15 e ss. del GDPR, fermo restando il diritto degli Interessati di far valere i propri diritti nei confronti di ciascuna parte. Resta inteso che ciascuna delle parti provvederà a dare riscontro alle richieste relative a trattamenti per cui è autonoma titolare ai sensi del GDPR;

(iv) ciascuna parte provvederà, inter alia, a

(1) nominare ai sensi degli artt. 29 del GDPR e 2 quaterdecies del D.lgs. 196/2003 ss.mm.ii. i soggetti che agiscono sotto l’autorità di ciascun contitolare;

(2) contrattualizzare e definire i rapporti con i propri fornitori, ove applicabile, con apposita nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

3. Le parti dichiarano di aver implementato quali autonomi titolari del trattamento tutti gli adempimenti imposti dalla Normativa applicabile e si impegnano altresì a porre in essere, ciascuna nel proprio ambito di competenza, tutti gli obblighi in tema di accountability prescritti dalla Normativa applicabile quali a titolo esemplificativo e non esaustivo: registro delle attività di trattamento (ex art. 30 del GDPR), applicazione dei principi di privacy by design e by default (ex art. 25 del GDPR).

4. Le parti in Contitolarità, secondo i rispettivi ambiti di competenza, si impegnano altresì a trattare i dati personali, nel rispetto dei seguenti principi:

(i) limitazione delle finalità: i dati devono essere elaborati e utilizzati ovvero comunicati esclusivamente ai fini specificati nella Contitolarità;

(ii) limitazione della conservazione: i dati devono essere conservati per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono stati raccolti e successivamente trattati;

(iii) qualità e proporzionalità dei dati: i dati devono essere corretti, ove necessario aggiornati. I dati devono essere adeguati, pertinenti e non eccedenti in relazione ai fini perseguiti;

(iv) trasparenza: gli interessati devono essere informati sui fini del trattamento, sul periodo di conservazione dei dati e sul soggetto presso il quale esercitare il diritto di accesso ai propri dati, nonché gli altri diritti previsti dalla Normativa applicativa (rettifica, blocco, cancellazione, limitazione, portabilità ove applicabile);

(v) liceità: devono essere poste in essere procedure tali da consentire all’interessato di poter verificare le proprie scelte e di poterle modificare nei casi ove ciò sia possibile;

(vi) sicurezza e riservatezza: devono essere attuate le Misure tecniche e organizzative di sicurezza appropriate ai rischi presentati dal trattamento;

(vii) nel caso di trattamento di eventuali categorie particolari di dati (origine razziale, etnica, provvedimenti di sicurezza, stato di salute, ecc.) devono essere previste idonee e ulteriori salvaguardie.

5. Le parti in Contitolarità si impegnano a gestire congiuntamente le violazioni dei dati personali (di seguito “Data Breach”) che dovessero verificarsi nel corso dell’esecuzione dell’Accordo, e di adempiere congiuntamente agli eventuali obblighi di notifica al Garante e, laddove necessario, anche di comunicazione agli interessati. Le parti definiranno con apposita procedura interna, dopo la sottoscrizione dell’Accordo, i ruoli e tempi per la gestione dei Data Breach.

6. Le parti si obbligano inoltre a:

a. organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento dell’Accordo;

b. non diffondere o comunicare a terzi i dati personali degli Interessati, se non nei casi di legge o necessari all’esecuzione dell’Accordo;

c. garantire l’affidabilità di qualsiasi dipendente e/o collaboratore che accede ai dati personali e che gli stessi abbiano ricevuto adeguate istruzioni e formazione con riferimento alla protezione e gestione dei dati personali, e che siano vincolati al rispetto di obblighi di riservatezza;

d. adottare le misure tecniche ed organizzative di sicurezza per la protezione dei dati previste dall’art. 32 del GDPR;

e. mantenere un costante aggiornamento sulla Normativa applicabile, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili;

f. mettere a disposizione degli Interessati il contenuto essenziale della Contitolarità in ottemperanza di quanto previsto dall’art. 26, comma 2, del GDPR anche mediante pubblicazione di un estratto sul proprio sito internet;

g. i dati personali devono essere trattati ed utilizzati esclusivamente nel territorio di uno Stato Membro dell’Unione Europea (EU) o di altro firmatario dell’Accordo nell’Area Economica Europea (AEE), Qualsiasi trasferimento dei dati personali verso un paese esterno allo Spazio Economico Europeo (di seguito “Paese Terzo”) avverrà nel rispetto dei diritti e delle garanzie previste dalla normativa vigente. Ove i dati personali vengano trasferiti verso un Paese Terzo, non sulla base di una decisione di adeguatezza della Commissione europea, saranno adottate adeguate garanzie, come le cd. clausole contrattuali standard oltre ad eventuali misure supplementari (contrattuali e tecnico-organizzative);

h. la Contitolarità nonché l’assunzione degli obblighi ivi previsti non comporta il diritto ad alcuna remunerazione né ad alcun rimborso spese o altro emolumento variamente definito;

i. la Contitolarità rimarrà in vigore sino allo stato di contitolarità tra le Parti. La Città metropolitana di Venezia (e i successivi Enti aderenti alla Contitolarità) mantiene la titolarità del trattamento relativo alla gestione del database del SITM ai sensi del Reg. UE/2016/679

***

Il presente Accordo viene stipulato in forma elettronica, mediante sottoscrizione con firma digitale dalle parti, nel rispetto dei termini e degli adempimenti previsti dall’articolo 15, comma 2 bis, della legge 7 agosto 1990, n. 241.

Allegati:

• All. Informativa Contitolari.

Per la Città metropolitana di Venezia Il Comune di ……………………………

(Dott.ssa Xxxxxx Xxxxxxxxx) ( )