ALLEANZA CARIPLO- TELETHON
ALLEANZA CARIPLO- TELETHON
Accordo di contitolarità
dei dati personali trattati nell’ambito della gestione del Bando congiunto Cariplo Telethon Alliance
In ottemperanza all’art. 26 del Regolamento UE 2016/679 (“GDPR”), Fondazione Telethon e Fondazione Cariplo (congiuntamente “Parti”) hanno raggiunto un accordo con cui hanno definito le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR di cui, di seguito, si riportano i contenuti essenziali:
a) l’informativa di cui all’articolo 13 del GDPR, sarà fornita dalle Parti ai soggetti interessati al primo contatto utile. Pertanto, ai ricercatori e agli Applicant, l’informativa verrà fornita unitamente al Bando e nei casi in cui vi siano trattamenti per i quali è richiesto il consenso come base giuridica del trattamento, le Parti si adopereranno per prevederne l’acquisizione formale da parte del soggetto interessato;
b) con riferimento ai membri della Commissione Medico Scientifica (“CMS”), l’informativa sarà resa dalla Fondazione Cariplo contestualmente al conferimento dell’incarico con la chiara distinzione delle finalità per le quali sussiste la autonoma titolarità di Fondazione Cariplo, ovvero la finalità di gestione del contratto, e quelle per le quali vige la contitolarità con Fondazione Telethon ovvero quelle relative alla registrazione funzionale all’accesso alla piattaforma informatica su cui viene gestito il processo di valutazione (“TETRA”) e quelle relative alla gestione del processo di valutazione;
c) Fondazione Cariplo, in occasione della firma dell’incarico da parte dei membri della CMS, provvederà a far sottoscrivere l’atto di nomina a Responsabile del trattamento da parte di ciascun membro della CMS. Detta nomina sarà disposta anche in nome e conto della Fondazione Telethon posto che i dati personali che i membri della CMS tratteranno nell’ambito del processo di valutazione dei progetti rientrano nella contitolarità di Fondazione Telethon e Fondazione Cariplo;
d) con riferimento ai Revisori Esterni, verrà loro consentito l’accesso alla Piattaforma e quindi ai dati personali relativi al Bando, solo dopo che, per tramite della Piattaforma, sia loro fornita l’informativa oltre che l’atto di nomina a Responsabili del trattamento. La nomina sarà conferita da Fondazione Telethon e Fondazione Cariplo unitamente in quanto contitolari del trattamento;
e) l’interessato potrà esercitare i propri diritti nei confronti di Fondazione Telethon e Fondazione Cariplo rivolgendosi alternativamente al DPO di Fondazione Telethon avv. Xxxxxxx Xxxxx: xxxxxxx.xxxxx@xxxxxx.xxxxxxxxxxx.xx e email xxxxxx@xxxxxxxxxx.xx. o, per Fondazione Cariplo, scrivendo al seguente indirizzo: xxxxxxx@xxxxxxxxxxxxxxxxx.xx
f) la procedura di notifica dell’eventuale data breach verrà gestita come indicato nell’allegato A al presente documento;
g) Fondazione Telethon e Fondazione Cariplo garantiscono reciprocamente di aver messo in atto le idonee misure tecniche e organizzative e gli adempimenti al fine di garantire un livello di sicurezza adeguato ai rischi di cui al GDPR e dalla Normativa privacy. Fondazione Telethon e Fondazione Cariplo si impegnano a verificare regolarmente il rispetto di tali misure ed a fornire sufficiente documentazione all’altra Parte nonché ad eseguire un monitoraggio periodico sul livello di sicurezza raggiunto al fine di renderlo sempre adeguato a rischio;
h) Fondazione Telethon e Fondazione Cariplo, in quanto contitolari del trattamento, saranno responsabili in solido per l’intero ammontare del danno al fine di garantire il risarcimento effettivo dell’interessato. Laddove una Parte venisse chiamata a risarcire integralmente il danno subito da un soggetto, la Parte che ha provveduto al risarcimento avrà facoltà di rivalersi sull’altra Parte, esercitando l’azione di regresso.
ALLEGATO A - PROCEDURA DI NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI
1.1. Fondazione Telethon e Fondazione Cariplo concordano che Xxxxxxxx provvederà, ove ne ricorrano i presupposti e previa condivisione con Fondazione Cariplo, alla notificazione al Garante per la protezione dei dati personali di cui all’art. 33 del GDPR e, ove necessario, agli interessati ai sensi dell’art. 34 del GDPR.
Fondazione Cariplo ha l‘obbligo di comunicare a Telethon tramite PEC all’indirizzo xxxxx.xxxxxxxxxx@xxxxxxxxx.xx qualsiasi violazione dei dati personali (data breach) di propria competenza entro e non oltre 48 ore dal momento in cui ne è venuto a conoscenza. Il punto di contatto della Fondazione Cariplo che dovrà effettuare tale comunicazione è la Dott.ssa Xxxxxx Xxxxx il quale dovrà informare l’Area legale della Fondazione Cariplo alla casella di posta elettronica xxxxxxx@xxxxxxxxxxxxxxxxx.xx
1.2 Per data breach si intende ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Fondazione Cariplo presterà ogni necessaria collaborazione a Fondazione Telethon, in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
1.3 La comunicazione di cui al precedente paragrafo 1.1 conterrà le seguenti informazioni:
a. la natura della violazione dei dati personali
b. la categoria e numero approssimativo degli interessati
c. la categoria e il numero approssimativo delle registrazioni dei dati personali
d. il contatto presso cui ottenere più informazioni
e. la descrizione delle probabili conseguenze della violazione
f. gli interventi attuati o che si prevede di attuare in conseguenza della violazione
g. misure tecniche e organizzative adottate ab origine per la protezione dei dati personali oggetto di violazione
h. misure di sicurezza adottate successivamente alla scoperta della violazione.
1.4 Fondazione Cariplo si impegna a fornire tutte le informazioni utili e pertinenti, adoperandosi con la massima diligenza per assistere Fondazione Telethon nelle operazioni di notifica o di verifica della necessità di effettuare o meno la notifica o altri adempimenti o comunicazioni. Fondazione Telethon si impegna ad informare Fondazione Cariplo di qualunque violazione dei dati personali trattati da Fondazione Telethon medesima nell’ambito del rapporto di contitolarità e delle connesse iniziative assunte o da assumere.
Fondazione Cariplo e Fondazione Telethon concordano che ogni costo o spesa relativi agli adempimenti di cui all’articolo 12 dell’Accordo nella sola parte che riguarda la contitolarità del trattamento, nonché in relazione agli artt.1.1, 1.2, 1.3 del presente allegato saranno a carico di entrambe le parti, salvo che il data breach sia esclusivamente imputabile ad uno dei Contitolari del trattamento, nel qual caso quest’ultimo sarà tenuto a rifondere ogni costo o spesa sopportati.
1.5 In caso di mancato rispetto degli obblighi di cui al presente allegato ovvero nel caso di violazione di obblighi in materia di protezione dei dati personali da parte di Fondazione Cariplo all’interno della propria struttura o nell’ambito del rapporto di contitolarità di cui all’Accordo, che possano cagionare un danno qualsiasi a Fondazione Telethon, Fondazione Cariplo si obbliga a manlevare ed a mantenere completamente indenne Fondazione Telethon.
1.6 In caso di mancato rispetto degli obblighi di cui al presente allegato ovvero nel caso di violazione di obblighi in materia di protezione dei dati personali da parte di Fondazione Telethon all’interno della propria struttura o nell’ambito del rapporto di contitolarità di cui all’Accordo, che possano cagionare un danno qualsiasi a Fondazione Cariplo, Fondazione Telethon si obbliga a manlevare ed a mantenere completamente indenne Fondazione Cariplo.