Applicativo “Trasporti Eccezionali – TE”.

Applicativo “Trasporti Eccezionali – TE”.

Accordo di contitolarità nel trattamento dei dati personali dell’Anagrafica ai sensi dell’art.

26 del Regolamento UE 2016/679

La Provincia di Padova con sede in Xxxxxx Xxxxxxxx, 0 – 00000 Xxxxxx, utilizzatore dell’applicativo “Trasporti Eccezionali - TE”, rappresentato nel presente atto, in forza della delega contenuta nel Decreto del Presidente

n. di reg 127 del 27.10.2022, dal Dirigente dell’Area Tecnica xxx. Xxxxx Xxxxxxx, in qualità di Contitolare del trattamento dei dati personali contenuti nell’Anagrafica dell’applicativo;

Premesso che:

- Gli articoli 68, 69 e 70 del D.lgs. 7 marzo 2005, n. 82, recante “Codice dell’Amministrazione Digitale” e successive integrazioni;

- l’articolo 10 del codice stradale D.lgs. n. 285/1992, che disciplina il transito di “veicoli eccezionali e trasporti in condizioni di eccezionalità” ed in particolare prevede che ”i trasporti ed i veicoli eccezionali sono soggetti a specifica autorizzazione alla circolazione, rilasciata dall’ente proprietario o concessionario per le autostrade, strade statali e militari e dalle regioni per la rimanente rete viaria (…)”;

- il Regolamento del codice della strada approvato con Decreto del Presidente della Repubblica n. 495 del

16 dicembre 1992 che disciplina anche le modalità di rilascio da parte dell’ente proprietario o concessionario per le autostrade, strade statali e militari e alle regioni per la rimanente rete viaria delle autorizzazioni per il transito dei veicoli eccezionali e veicoli adibiti a trasporti eccezionali;

- il Decreto del Presidente della Repubblica 12 febbraio 2013, n. 31, regolamento recante modifiche al decreto del Presidente della Repubblica 16 dicembre 1992, n. 495, in materia di veicoli eccezionali e trasporti in condizioni di eccezionalità, di segnaletica verticale, di sagoma, masse limiti e attrezzature delle macchine agricole e dettagliatamente all’art. 6 che prevede “… Ai fini della massima semplificazione e della gestione in tempo reale delle domande, gli enti proprietari di strade o i loro concessionari adottano apposite procedure telematiche, con imposta di bollo corrisposta in modo virtuale; gli stessi possono costituire consorzi o stipulare convenzioni tra loro al fine di istituire sportelli unici per l'accettazione, la gestione delle domande ed il rilascio delle relative autorizzazioni; a fini di coordinamento e di scambio di informazioni, possono, inoltre, richiedere l’interconnessione con i rispettivi sistemi informativi e con quelli della Direzione generale per la motorizzazione”;

- la Legge Regionale Veneto 30 settembre 1994, n. 60 di delega alle province delle funzioni amministrative in materia di rilascio delle autorizzazioni alla circolazione sul territorio regionale per trasporti e veicoli eccezionali;

considerato che:

- l’utilizzo della soluzione Trasporti Eccezionali prevede che il trasportatore richieda la registrazione - ad un archivio informatico comune di gestione dei rapporti con gli utenti, c.d. “Anagrafica condivisa” - dei propri dati (personali e non) presso il primo ente a cui il trasportatore formuli istanza di accreditamento (di seguito la “Anagrafica”). L’accesso all’Anagrafica è condiviso con tutti gli enti che hanno adottato l’applicativo Trasporti Eccezionali, i quali possono consultarla e/o modificarla;

- per la gestione amministrativa, alimentazione e condivisione della Anagrafica, gli enti utilizzatori, autonomamente o congiuntamente, pongono in essere operazioni di trattamento dei dati personali, di cui alla definizione del Regolamento UE 2016/679 (di seguito “Reg. UE 2016/679” o “GDPR”), del D.lgs. 196/2003 ss.mm.ii. (di seguito la “Normativa applicabile”) propri di persone fisiche, sia appartenenti alle aziende trasportatrici che intendono accreditarsi (es. legale rappresentante o suo delegato), sia estranee ad esse (di seguito “Interessati”), facendo confluire questi ultimi all’interno dell’Anagrafica;

- si configura, in tal modo, una correlazione di trattamento dei dati personali degli Interessati ed una conseguente contitolarità nei trattamenti che gli Enti utilizzatori intendono normare quale Contitolarità;

Tutto ciò premesso e considerato il Contitolare conviene e stipula quanto segue:

1. I Contitolari raccolgono i dati personali (come definiti in base al GDPR). In particolare, possono essere raccolte le seguenti categorie di dati personali comuni (anagrafici e di contatto) quali, ad esempio: nome, cognome, indirizzo, numero di telefono, fax, indirizzo email, PEC.

2. Con la Contitolarità si intende definire, ai sensi dell’art 26 del GDPR, che i Contitolari avendo congiuntamente definito le finalità e i mezzi del trattamento dei dati personali nell’ambito dell’Anagrafica di TE Online, trattano gli stessi in regime di contitolarità per le finalità connesse alla gestione amministrativa, alimentazione e condivisione dell’Anagrafica. In particolare:

(i) ciascun Contitolare raccoglierà autonomamente i dati personali conferiti dagli interessati, i quali saranno inseriti nell’Anagrafica, consentendo pertanto lo svolgimento delle operazioni di trattamento necessarie e conseguenti all’originario accordo di utilizzo di TE Online;

(ii) ciascun Contitolare rilascerà:

o in qualità di titolare del trattamento ed in fase di instaurazione del rapporto con l’Interessato, una propria informativa ex art. 13 del GDPR relativa ai trattamenti prodromici, connessi e conseguenti al

rispettivo ed autonomo procedimento di rilascio delle autorizzazioni ai trasporti eccezionali sulla rete stradale di competenza regionale e provinciale;

o l’informativa contitolari ex art. 13 del GDPR, previamente concordata e qui allegata (Informativa Contitolari), nella quale si darà atto del regime di contitolarità esistente tra le parti nell’ambito dei soli trattamenti congiunti di cui all’Anagrafica. Tale informativa verrà anche pubblicata sul sito web dell’Ente;

(iii) i Contitolari gestiranno congiuntamente le richieste degli Interessati ai sensi degli artt. 15 e ss. del GDPR, fermo restando il diritto degli Interessati di far valere i propri diritti nei confronti di ciascun Contitolare. Le richieste andranno evase nel termine di giorni 30 dalla data di ricevimento. A tal fine, il Contitolare che ha ricevuto la domanda ex artt. 15 e ss. del GDPR è tenuto a condividere la richiesta con gli altri Contitolari entro 5 giorni dal ricevimento della stessa. Se la domanda dell’Interessato presentasse un carattere di urgenza, il Contitolare che ha ricevuto la richiesta ex artt. 15 e ss. del GDPR è tenuto a condividere, entro cinque giorni lavorativi, la stessa con gli altri Contitolari. Resta inteso che ciascun Contitolare provvederà invece a dare riscontro alle richieste relative a trattamenti per cui è autonoma titolare ai sensi del GDPR;

(iv) ciascun Contitolare provvederà, inter alia, a

o nominare ai sensi degli artt. 29 del GDPR e 2 quaterdecies del D.lgs. 196/2003 ss.mm.ii. i soggetti che agiscono sotto l’autorità di ciascun contitolare;

o contrattualizzare e definire i rapporti con i propri fornitori, ove applicabile, con apposita nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

3. I Contitolari dichiarano di aver implementato quali autonomi titolari del trattamento tutti gli adempimenti imposti dalla Normativa applicabile e si impegnano altresì a porre in essere, ciascuno nel proprio ambito di competenza, tutti gli obblighi in tema di accountability prescritti dalla Normativa applicabile quali a titolo esemplificativo e non esaustivo:

o registro delle attività di trattamento (ex art. 30 del GDPR);

o valutazione di impatto privacy (ex art. 35 del GDPR);

o applicazione dei principi di privacy by design e by default (ex art. 25 del GDPR).

4. I Contitolari, secondo i rispettivi ambiti di competenza, si impegnano altresì a trattare i dati personali, nel rispetto dei seguenti principi:

(i) limitazione delle finalità: i dati devono essere elaborati e utilizzati ovvero comunicati esclusivamente ai fini specificati nella Contitolarità;

(ii) limitazione della conservazione: i dati devono essere conservati per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono stati raccolti e successivamente trattati;

(iii) qualità e proporzionalità dei dati: i dati devono essere corretti, ove necessario aggiornati. I dati devono essere adeguati, pertinenti e non eccedenti in relazione ai fini perseguiti;

(iv) trasparenza: gli Interessati devono essere informati sui fini del trattamento, sul periodo di conservazione dei dati e sul soggetto presso il quale esercitare il diritto di accesso ai propri dati, nonché gli altri diritti previsti dalla Normativa applicativa (rettifica, blocco, cancellazione, limitazione, portabilità ove applicabile);

(v) liceità: devono essere poste in essere procedure tali da consentire all’Interessato di poter verificare le proprie scelte e di poterle modificare nei casi ove ciò sia possibile;

(vi) sicurezza e riservatezza: devono essere attuate le Misure tecniche e organizzative di sicurezza appropriate ai rischi presentati dal trattamento;

(vii) nel caso di trattamento di eventuali categorie particolari di dati (origine razziale, etnica, provvedimenti di sicurezza, stato di salute, ecc.) devono essere previste idonee e ulteriori salvaguardie.

5. I Contitolari si impegnano a gestire congiuntamente le violazioni dei dati personali (di seguito “Data

Breach”) che dovessero verificarsi nel corso dell’esecuzione dell’Accordo, e di adempiere congiuntamente agli eventuali obblighi di notifica al Garante e, laddove necessario, anche di comunicazione agli Interessati. I Contitolari definiscono con apposita procedura interna i ruoli e i tempi per la gestione dei Data Breach.

6. I Contitolari si obbligano inoltre a:

a. organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento dell’Accordo;

b. non diffondere o comunicare a terzi i dati personali degli Interessati, se non nei casi di legge o necessari all’esecuzione dell’Accordo;

c. garantire l’affidabilità di qualsiasi dipendente e/o collaboratore che accede ai dati personali e che gli stessi abbiano ricevuto adeguate istruzioni e formazione con riferimento alla protezione e gestione dei dati personali, e che siano vincolati al rispetto di obblighi di riservatezza;

d. adottare le misure tecniche ed organizzative di sicurezza per la protezione dei dati previste dall’art. 32 del GDPR;

e. mantenere un costante aggiornamento sulla Normativa applicabile, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili;

f. mettere a disposizione degli Interessati il contenuto essenziale della Contitolarità in ottemperanza di quanto previsto dall’art. 26, comma 2, del GDPR anche mediante pubblicazione di un estratto sul proprio sito Internet;

g. i dati personali devono essere trattati ed utilizzati esclusivamente nel territorio di uno Stato Membro dell’Unione Europea (EU) o di altro firmatario dell’Accordo nell’Area Economica Europea (AEE). Qualsiasi trasferimento dei dati personali verso un paese esterno allo Spazio Economico Europeo (di seguito “Paese Terzo”) avverrà nel rispetto dei diritti e delle garanzie previste dalla normativa vigente. Ove i dati personali vengano trasferiti verso un Paese Terzo, non sulla base di una decisione di adeguatezza della Commissione europea, saranno adottate adeguate garanzie, come le cd. clausole contrattuali standard oltre ad eventuali misure supplementari (contrattuali e tecnico-organizzative);

h. la Contitolarità nonché l’assunzione degli obblighi ivi previsti non comporta il diritto ad alcuna remunerazione né ad alcun rimborso spese o altro emolumento variamente definito;

i. la Contitolarità rimarrà in vigore sino allo stato di contitolarità tra i sottoscrittori. Ciascun ente aderente alla Contitolarità mantiene la titolarità del trattamento relativo alla gestione del procedimento conseguente all’istanza dell’utente ai sensi del Reg. UE/2016/679.

***

Il presente Accordo viene stipulato in forma elettronica, mediante sottoscrizione con firma digitale disgiunta dai Contitolari e pubblicato in apposita sezione “Trasporti Eccezionali” del sito istituzionale di ciascuno.

Data 21.10.2022

Allegati:

• Informativa Contitolari.

Il Dirigente Area Tecnica Xxx. Xxxxx Xxxxxxx

(firmato digitalmente ai sensi del D.Lgs 82/2005 s.m.i.)