ACCORDO DI CONTITOLARITA’ DI TRATTAMENTO AI SENSI DELL’ART. 26 GDPR
ACCORDO DI CONTITOLARITA’ DI TRATTAMENTO AI SENSI DELL’ART. 26 GDPR
Conferenza Episcopale Italiana (d’ora in poi C.E.I.) con sede legale in Xxxx Xxxxxxxxxxxxxxxx Xxxxxxx 00 e ………………… con sede in ………………….. manterranno riservate le informazione in merito alle attività ed alle informazioni a cui avranno accesso in relazione al rapporto instaurato.
In conformità a quanto previsto dal Regolamento Europeo in materia di protezione dei dati personali 679/16 (di seguito GDPR) e modificazioni successive, le informazioni che verranno comunicate durante lo svolgimento del rapporto saranno utilizzate esclusivamente per conseguire gli obiettivi indicati e saranno trattate nel rispetto delle misure di sicurezza previste dalla citata normativa.
L'accettazione della presente proposta comporta il consenso al trattamento dei dati personali ed alla comunicazione degli stessi ai rispettivi consulenti, nonché l'eventuale autorizzazione all'accesso ai locali (o anche agli strumenti) presso i quali vengono svolti trattamenti di dati.
C.E.I. e …… in qualità di contitolari del trattamento, sono tenute tenuta ai sensi del Regolamento Europeo in materia di protezione dei dati personali 679/16 (di seguito, per brevità, il “Regolamento”) a fornire alcune informazioni in merito al trattamento dei dati personali delle persone fisiche (di seguito: i “Dati”) effettuato in connessione con l’esecuzione dell’incarico ricevuto o del rapporto instaurato. In particolare C.E.I. e ……. rivestono reciprocamente la qualità di potenziale fornitore terzo di Dati degli “interessati”, cioè di persone alle quali si riferiscono i Dati oggetto del presente accordo da proteggersi ai sensi del Regolamento.
1. Fonte di acquisizione dei Dati
a) I dati personali trattati sono di regola relativi a dipendenti e genitori e alunni di scuole paritarie (al fine ad esempio dell’elargizione di borse di studio).
b) Nei casi in cui, per lo svolgimento dei rispettivi incarichi, sia necessario trattare informazioni e dati personali C.E.I. e garantiscono reciprocamente che la comunicazione
di tali informazioni o dati personali avviene nel pieno e totale rispetto di quanto previsto dal Regolamento ovvero della diversa legge eventualmente applicabile in materia di protezione dei dati personali. In particolare sarà cura di C.E.I. e …………. fornire idonea informativa agli “interessati” coinvolti e – qualora la comunicazione ad esse di informazioni e dati personali di terzi richieda il consenso degli interessati – sarà cura dei contitolari ottenere validamente tale consenso anche a beneficio reciproco.
2. Finalità del trattamento dei Dati
I Dati sono trattati da C.E.I. e ….. nell’ambito della normale attività svolta dalle stesse o altro incarico affidato con le seguenti finalità:
servizi a favore delle scuole paritarie di ogni ordine e grado. In particolare i dati verranno trattati (esemplificamente ma non esaurientemente) per la gestione della elargizione di borse di studio, gestione erogazioni liberali, supporto informatico, statistica e reportistica.
Si ricorda che ai sensi dell’art. 14 del Regolamento il Titolare qualora i dati personali non siano ottenuti presso l’interessato fornisce allo stesso le seguenti informazioni:
o l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
o i dati di contatto del responsabile della protezione dei dati, ove applicabile;
o le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
o le categorie di dati personali in questione;
o gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
o ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Oltre alle informazioni di cui sopra il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:
o il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
o qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
o l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
o qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
o il diritto di proporre reclamo a un’autorità di controllo;
o la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
o l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica
utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Il titolare del trattamento fornisce le informazioni:
o entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
o nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato;
o oppure nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente.
Per quanto concerne le precedenti comunicazioni non si applicano se e nella misura in cui:
o l’interessato dispone già delle informazioni;
o comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
o l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato;
o oppure qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
3. Luogo di trattamento dei Dati
I Dati verranno trattati presso gli uffici delle contitolari e verranno conservati presso gli stessi o in luoghi controllati dalle stesse per il tempo prescritto dalle norme civilistiche e fiscali, con la diligenza necessaria ad assicurare la protezione e la riservatezza dei Dati. I dati personali sono ubicati e conservati presso i server dei contitolari, che si trovano fisicamente all’interno dell’Unione Europea. Resta in ogni caso inteso che il contitolari, ove si rendesse necessario, avranno facoltà di spostare i server anche nei territori fuori all’Unione Europea. In tal caso, i contitolari assicurano sin d’ora che il trasferimento dei dati nei territori extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che
garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.
5. Durata del trattamento dei dati
I Dati saranno trattati dai contitolari per tutta la durata dei rapporti contrattuali instaurati ed anche successivamente alla loro eventuale risoluzione per l’espletamento di tutti gli adempimenti professionali e di legge. I contitolari tratteranno i dati personali per il tempo necessario ad adempiere alle finalità di cui sopra e comunque non oltre 10 anni dalla cessazione del rapporto per le finalità del servizio o del rapporto stesso e non oltre 2 anni dalla raccolta dei dati per le eventuali finalità di marketing.
6. Comunicazione dei Dati
I contitolari, nell’ambito della normale attività comunicano i Dati alle seguenti categorie di soggetti:
a) enti esterni, anche privati, che svolgono attività di vigilanza sulla loro attività e/o della società di revisione quali Banca d’Italia, IVASS, ecc., ed organi di controllo gestionale e contabile esistenti presso gli stessi secondo il modello societario prescelto,
b) altre società e studi professionali, anche ubicate all’estero, con i quali venga intrattenuto un rapporto contrattuale di collaborazione o di corrispondenza, anche per effetto dell’esistenza di collegamenti con gli stessi con mezzi telematici, informatici e di corrispondenza per lo svolgimento degli incarichi professionali,
c) società ed enti esterni e professionisti di fiducia delle contitolari che svolgono attività funzionali all’esecuzione dell’oggetto sociale.
I Dati non saranno diffusi.
7. Diritti dell’interessato
L’interessato gode i diritti di cui all’art. 15 del Regolamento e precisamente il diritto di: ottenere la conferma dell'esistenza o meno di dati personali che Lo riguardano, anche se non
ancora registrati, e la loro comunicazione in forma intelligibile;
ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 3, comma 1 del Regolamento; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza
in qualità di rappresentante designato nel territorio dello Stato Italiano, di responsabili o incaricati;
ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; d) opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante e-mail e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione.
Ove applicabili, ha altresì i diritti di cui agli artt. 16-21 del Regolamento (diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante.
Ai sensi dell’art. 26 del GDPR il contenuto essenziale del presente accordo è messo a disposizione degli interessati.
Gli interessati possono esercitare i propri diritti ai sensi del Regolamento nei confronti e contro ciascun titolare del trattamento.
Roma, lì