ACCORDO DI CONTITOLARITÀ ai sensi dell'art. 26 del Regolamento Europeo 679/2016 - GDPR
allegato F
ai sensi dell'art. 26 del Regolamento Europeo 679/2016 - GDPR
____________________________ (C.F.: ___________________ - P. IVA: ________________) con sede in
_________________________________, PEC: ____________________________, all’uopo rappresentato
da ______________________
E
____________________________ (C.F.: ___________________ - P. IVA: ________________) con sede in
_________________________________, PEC: ____________________________, all’uopo rappresentato
da ______________________ (d’ora innanzi, entrambe le parti saranno identificate, congiuntamente, quali “Contitolari” o “Parti”)
PREMESSO CHE
1) è in essere tra le Parti un progetto comune consistente in _________________, il quale comporta la necessità di determinare congiuntamente le finalità e le modalità del trattamento dei dati personali coinvolti nella realizzazione del medesimo progetto comune;
2) che in data 25 maggio 2018 è divenuto pienamente operativo il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (d’ora innanzi, più semplicemente, “GDPR”);
3) l’articolo 4, paragrafo 1, n. 7) del GDPR definisce quale titolare del trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
4) a norma dell’articolo 26, paragrafo 1 del GDPR “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”;
5) a norma dell’articolo 26, paragrafo 2 del GDPR “L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato”;
6) è intenzione delle Parti contraenti regolamentare in modo trasparente i diritti e gli obblighi reciproci quali conseguono alla puntuale osservanza delle norme e dei principi contenuti nel GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati, addivenendo alla sottoscrizione della presente accordo;
SI CONVIENE E SI STIPULA QUANTO SEGUE
Articolo 1 – Pattuizioni preliminari
1. Nell’ambito delle rispettive responsabilità come determinate dal presente Accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili, di volta in volta approvati dall’Autorità di controllo.
2. Resta inteso tra le Parti che, ai sensi dell’art. 26, comma 3, del Regolamento (EU) 2016/679, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del trattamento.
3. In coerenza con la propria missione e i propri valori, i Contitolari si impegnano reciprocamente a proteggere i dati personali di ogni persona fisica che si trovasse ad avere contatto o ad operare con i medesimi (“Interessato”), nel rispetto dell’identità, della dignità di ogni essere umano e delle libertà fondamentali costituzionalmente garantite nel rispetto del GDPR relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi.
4. Il presente accordo non determina l’insorgere di alcun diritto alla revisione di prezzi od altre forme di impegno, anche economico, già definiti tra le Parti, trattandosi di obblighi ed adempimenti derivanti da norme di legge già conosciute.
5. Il presente accordo annulla e/o sostituisce qualsivoglia regolazione pattizia esistente tra le Parti in relazione al medesimo oggetto, di talché, a far data dalla sua stipulazione, i loro rapporti saranno regolati esclusivamente dal presente accordo.
6. Qualsiasi modifica od integrazione del presente accordo potrà farsi soltanto per iscritto a pena di nullità.
7. Il contenuto essenziale di questo accordo di Contitolarità è messo a disposizione dell’Interessato nella sezione Trasparenza del Portale di ciascuno dei Contitolari.
Articolo 2 - Oggetto del trattamento
1. I Contitolari dichiarano, in merito al trattamento dei Dati Personali, di condividere le decisioni relative alle finalità e modalità del trattamento di dati e, in particolare:
- le seguenti banche dati; dipendenti e collaboratori, _______;
- le finalità del trattamento di dati personali, ciascuna con le proprie specificità legate alle attività concretamente svolte;
- i mezzi del trattamento e le modalità del trattamento di dati personali;
- la politica di conservazione dei dati;
- lo stile e le modalità di comunicazione delle informative artt. 13 e 14 del GDPR;
- la procedura di gestione dei consensi (ove necessari);
- la designazione e la formazione dei soggetti autorizzati;
- istruzioni sull’uso degli strumenti informatici per il personale;
- la gestione delle comunicazioni e nomine dei responsabili ai sensi dell’art. 28 del GDPR;
- la tenuta dei registri del trattamento ai sensi dell’art. 30 del GDPR;
- le procedure nel caso di trasferimento dei dati fuori UE;
- gli strumenti ed i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei Contitolari soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;
- l’approccio basato sul rischio;
- i profili e la politica di sicurezza dei dati personali, la procedura del Data Breach e la procedura di valutazione di impatto sulla protezione dei dati personali (DPIA);
- la gestione della procedura di esercizio dei diritti dell’Interessato;
- una raccolta congiunta delle procedure sulla protezione dei dati personali attraverso la tenuta comune e gestione di un modello organizzativo.
2. La contitolarità è riferita al trattamento dei dati personali ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro. Il flusso dei dati personali sarà così strutturato: _____________.
3. Con il presente accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le seguenti finalità: _________________.
4. Le attività alla base del presente accordo comportano il trattamento delle seguenti categorie di dati personali: _____________.
5. Le categorie di Interessati sono: _______________
Articolo 3 – Xxxxxx ed effetti conseguenti allo scioglimento del Contratto
1. Il presente accordo diviene efficace tra le parti immediatamente all’atto della sua sottoscrizione e sarà valido ed efficace sino alla scadenza, originale o prorogata del rapporto convenzionale che lega i Contitolari, ovvero alla sua cessazione di validità ed efficacia a qualsiasi causa dovuta.
2. Il Trattamento dei dati personali in regime di contitolarità, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati dei Contitolari in una forma che consenta l'identificazione degli Interessati per un periodo di tempo non superiore a quello in precedenza indicato, fatto salvo che il trattamento e la conservazione dei dati medesimi ad opera di ciascuno dei Contitolari sia imposta dalla normativa vigente.
3. A seguito della cessazione del trattamento, nonché a seguito della cessazione del rapporto convenzionale sottostante, qualunque ne sia la causa, i Contitolari saranno tenuti a provvedere alla integrale distruzione dei dati personali trattati, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità od il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte dei singoli Contitolari, con modalità limitate e per il periodo di tempo a ciò strettamente necessario.
4. Ciascun Contitolare può dietro richiesta rilasciare apposita dichiarazione scritta contenente l’attestazione che, presso di sè, non esiste alcuna copia dei dati personali e delle informazioni trattate nell’ambito del progetto comune. Sul contenuto di tale dichiarazione l’altro Contitolare si riserva il diritto di effettuare controlli e verifiche volte ad accertarne la veridicità.
Articolo 4 – Obblighi tra le parti
1. La tutela dei dati personali è fondata sull’osservanza dei principi illustrati nel presente documento che i Contitolari si impegnano a diffondere, rispettare e far rispettare ai propri amministratori, ai propri dipendenti e collaboratori ed ai soggetti terzi con cui collaborano nello svolgimento della propria attività. In particolare i Contitolari sono impegnati affinché la politica della protezione dati personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i soggetti, interni ed esterni, coinvolti nelle attività dei Contitolari, tenuto conto della loro realtà concreta, delle loro possibilità anche economiche e dei loro valori.
2. I Contitolari si impegnano a mantenere e garantire la riservatezza e la protezione dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità. In particolare essi, anche disgiuntamente tra loro, si impegnano a:
a) comunicare e diffondere la propria politica in merito alla protezione dei dati personali;
b) prestare ascolto e attenzione a tutte le parti interessate proprie – a mero titolo esemplificativo,
amministratori, personale dipendente e collaboratore, cittadini, utenti e beneficiari di prestazioni anche di natura assistenziale, fornitori, consulenti – e tenendo in debito conto le loro istanze in materia di trattamento di dati personali e dando pronto riscontro;
c) trattare i dati personali in modo lecito, corretto e trasparente in linea con i principi costituzionali e con la normativa vigente in materia, in particolare il GDPR, e solo per il tempo strettamente necessario alle finalità previste, comprese quelle per ottemperare agli obblighi di legge;
d) raccogliere i dati personali limitandosi a quelli indispensabili per effettuare le attività costituenti il progetto comune (dati personali pertinenti e limitati);
e) trattare i dati personali secondo i principi di trasparenza per le sole finalità specifiche ed espresse nelle proprie informative;
f) adottare processi di aggiornamento e di rettifica dei dati personali trattati per assicurarsi che i dati personali siano, per quanto possibile, corretti e aggiornati;
g) conservare e tutelare i dati personali di cui è in possesso con le migliori tecniche di preservazione disponibili;
h) garantire il continuo aggiornamento delle misure di protezione dei dati personali. Tale impegno sarà costantemente seguito nell’ambito del principio di responsabilizzazione mettendo in atto, con costanza, misure tecniche e organizzative adeguate e politiche idonee, per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR tenuto conto dello stato dell’arte, della natura dei dati personali custoditi e dei rischi ai quali sono esposti. Ciascun Contitolare eseguirà un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio;
i) garantire il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico
l) rendere chiare, trasparenti e pertinenti le modalità di trattamento dei dati personali e la loro conservazione in maniera da garantirne un’adeguata sicurezza;
m) favorire lo sviluppo del senso di responsabilizzazione e la consapevolezza dell’intera organizzazione verso i dati personali, visti come dati di proprietà dei singoli interessati;
n) assicurare il rispetto delle disposizioni legislative e regolamentari applicabili alla tutela dei dati personali aggiornando eventualmente la gestione della protezione dei dati personali;
o) prevenire e minimizzare, compatibilmente con le risorse disponibili, l’impatto di potenziali violazioni o trattamenti illeciti e/o dannosi dei dati personali;
p) promuovere l’inserimento della protezione dati personali nel piano di miglioramento continuo che il Contitolare persegue con i propri sistemi di gestione.
3. I Contitolari si impegnano con particolare riguardo all’esercizio dei diritti dell’Interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, ad uniformare le modalità, lo stile i modelli e soprattutto le procedure per la protezione dei dati personali a favore dell’Interessato.
4. La comunicazione dei dati personali necessari a garantire il perseguimento del progetto comune avverrà curandone l’esattezza, la veridicità, l’aggiornamento, la pertinenza e la non eccedenza rispetto alle finalità per le quali sono stati raccolti e saranno successivamente trattati.
Articolo 5 - Persone autorizzate al trattamento (e Designati)
1. Ciascuno dei Contitolari dovrà identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati trattati nel perseguimento del progetto comune, identificando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR (ed ai sensi dell’art. 2-quaterdecies del D.Lgs. 196/2003 e ss.mm.ii.) e provvedendo alla relativa formazione, anche in merito ai principi di liceità e correttezza a cui deve conformarsi la presente politica per la protezione dei dati personali e il trattamento dei dati personali nonché al rispetto delle misure di salvaguardia adottate.
2. Ciascuno dei Contitolari garantisce che i propri dipendenti e collaboratori sono affidabili ed hanno piena conoscenza della normativa primaria e secondaria in materia di protezione dei dati personali.
3. Ciascuno dei Contitolari identifica un referente interno alla propria struttura, con il compito di relazionarsi con analogo soggetto designato dall’altra parte, a presidio del corretto adempimento di quanto previsto dal presente accordo. Il nominativo ed i dati di contatto del referente interno sono tempestivamente comunicati all’altra parte.
Articolo 6 - Responsabili del trattamento
1. Ciascuno dei Contitolari il quale ravvisasse la necessità di avvalersi di un responsabile del trattamento per l'esecuzione di specifiche attività richieste nell’ambito del progetto comune, è tenuto a comunicarlo all’altra parte con congruo preavviso.
2. Su tale responsabile del trattamento sono imposti, mediante un contratto od un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, specifici obblighi in materia di protezione dei dati, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della legge vigente.
3. I rapporti tra i Contitolari e gli eventuali responsabili del trattamento restano disciplinati dall’articolo 28 del GDPR.
Articolo 7 – Valutazione d’impatto e Violazioni di dati personali
1. Nei casi previsti dall’art. 35 del GDPR, la valutazione d’impatto sulla protezione dei dati personali ed il suo eventuale riesame, così come la consultazione preventiva di cui all’art. 36 del GDPR, sono a carico di _______, il quale informa tempestivamente l’altro Contitolare della relativa necessità e dell’attività compiuta.
2. In eventuali casi di violazione della sicurezza dei dati personali che comporti, accidentalmente od in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati nel contesto del progetto comune, l’attività di coordinamento ai fini dell’adempimento degli obblighi di cui agli articoli 33 e 34 del GDPR è affidata a _______ il quale curerà la predisposizione di un apposito documento (Data Breach Policy), ove non già esistente ed adottato.
3. Al verificarsi di una violazione di dati personali, il Contitolare non assegnatario dell’attività di coordinamento provvederà:
a) ad informare l’altro Contitolare tempestivamente ed in ogni caso entro e non oltre 24 ore dalla scoperta dell’evento, tramite PEC, di essere venuto a conoscenza di una violazione fornendogli tutti i dettagli della violazione subita, in particolare una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sugli Interessati coinvolti e le misure adottate per mitigare i rischi;
b) fornire assistenza per far fronte alla violazione ed alle sue conseguenze soprattutto in capo agli Interessati coinvolti. Esso si inoltre attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive ed attuando tutte le azioni correttive approvate e/o richieste dal Contitolare assegnatario dell’attività di coordinamento. Tali misure sono richieste al fine di garantire un livello di sicurezza adeguato al rischio correlato al Trattamento eseguito.
4. Ciascun Contitolare si impegna a predisporre e tenere aggiornato un registro interno delle violazioni di dati personali nonché a raccogliere e conservare tutti i documenti relativi ad ogni violazione, compresi quelli inerenti alle circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Articolo 8 - Decisioni in merito ai trasferimenti internazionali di dati personali
1. Il presente accordo prevede che i dati personali saranno trattati all’interno del territorio dell’Unione Europea.
2. Nell’ipotesi in cui per questioni di natura tecnica e/o operativa si rendesse necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, il trasferimento dei dati personali, limitatamente allo svolgimento di specifiche attività di Trattamento, sarà regolato in conformità a quanto previsto dal capo V del GDPR. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati personali basando tale trasferimento:
(i) su decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea;
(ii) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’articolo 46 del GDPR;
(iii) sull’adozione di norme vincolanti d’impresa.
Articolo 9 - Condivisione della procedura per l’esercizio dei diritti dell’Interessato
1. I Contitolari designano congiuntamente un referente unitario (o più di uno) quale punto di contatto per gli interessati. Le richieste di esercizio dei diritti e gli eventuali reclami presentati dagli interessati saranno gestiti in xxx xxxxxxxxx xxx/x xxxxxxxxx/x, contattabile ai recapiti che saranno resi noti unitamente al suo nominativo, restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di ciascun Contitolare.
2. In particolare, qualora il referente riceva richieste provenienti dall’Interessato, finalizzate all’esercizio dei propri diritti, esso dovrà:
- darne tempestiva comunicazione scritta a ciascun Contitolare via posta elettronica certificata, allegando copia delle richieste ricevute;
- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni interne designate da ciascun Contitolare per gestire le relazioni con l’Interessato;
- verificare la sussistenza dei presupposti e consentirne, differirne o rifiutarne l’esercizio, dandone tempestiva comunicazione scritta a ciascun Contitolare via posta elettronica certificata.
3. Il referente (i referenti) fornisce altresì assistenza a ciascuno dei Contitolari nell’ambito dei procedimenti amministrativi e giudiziari instaurati dall’Interessato o dall’Autorità di controllo in conseguenza dell’attività di cui al presente articolo.
Articolo 10 - Verifiche circa il rispetto delle regole di protezione dei dati personali
1. Ciascuno dei Contitolari riconosce all’altro il diritto di effettuare controlli (audit) relativamente alle operazioni aventi ad oggetto il trattamento dei dati personali nell’ambito del progetto comune. A tal fine, Ciascuno dei Contitolari ha il diritto di disporre – a propria cura e spese – verifiche a campione o specifiche attività di audit o di rendicontazione in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi dell’altro.
2. Ciascuno dei Contitolari rende disponibile tutta la documentazione necessaria per dimostrare la conformità a tutti i suoi obblighi e per consentire la conduzione di audit, comprese le ispezioni, e per contribuire a tali verifiche.
3. Ciascuno dei Contitolari deve informare e coinvolgere tempestivamente l’altra parte in tutte le questioni riguardanti il trattamento dei dati personali ed in particolare nel caso di richieste di informazioni, controlli, ispezioni ed accessi da parte dell’Autorità di controllo;
Articolo 11 - Responsabilità per violazione delle disposizioni
I Contitolari si obbligano, in solido tra loro, a predisporre, attuare e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei dati personali.
Articolo 12 - Responsabile della Protezione dei dati personali
1. Ciascuno dei Contitolari rende noto di aver provveduto alla nomina del Responsabile della Protezione dei Dati personali (RPD o DPO) in conformità alla previsione contenuta nell’art. 37, par. 1, lett a) del GDPR, individuando quale soggetto idoneo:
________________________ e che il medesimo è raggiungibile ai seguenti recapiti:
Telefono: _________________ - E-mail: _____________@_______________ - PEC: ____@_____________
Detto nominativo è stato altresì comunicato all’Autorità Garante per la Protezione dei dati personali con procedura telematica.
Articolo 13 – Clausole nulle o inefficaci
Qualora una o più clausole del presente accordo fossero o divenissero contrarie a norme imperative o di ordine pubblico, esse saranno considerate come non apposte e non incideranno sulla validità dello stesso, fatto salvo il diritto di ciascuna parte di chiedere una modifica dell’accordo ove la pura e semplice eliminazione della clausola nulla menomasse gravemente i suoi diritti.
Articolo 14 – Comunicazioni
Qualsiasi comunicazione relativa al presente accordo dovrà essere data per iscritto ed a mezzo di posta elettronica certificata, con ricevuta di accettazione e conferma di consegna, purché inviati o consegnati all'indirizzo indicato in testa all’accordo. Tale indirizzo potrà essere modificato da ciascuna delle Parti, dandone comunicazione all'altra ai sensi del presente articolo.
Articolo 15 – Disposizioni finali
Per quanto non espressamente indicato nella presente Appendice, i rinviano al GDPR, alle disposizioni di legge vigenti, nonché ai provvedimenti dell’Autorità di controllo.