ACCORDO DI CONTITOLARITÀ ART. 26 REGOLAMENTO UE N. 679/16

Tra

Le società del gruppo “Opyn”

Business Innovation Lab S.p.A. Holding, con sede legale in Milano, viale Xxxxx Xxxxxxxxx 163

Xx.Xxx S.p.A., con sede legale in Xxxxxx, xxxxx Xxxxx Xxxxxxxxx 000

ART SGR S.p.A., con sede legale in Milano, viale Xxxxx Xxxxxxxxx 163

In coerenza con la propria missione e i propri valori le predette società si impegnano reciprocamente a proteggere i dati personali di ogni persona fisica che si trovasse ad avere contatto o ad operare con le predette società (“l’Interessato”), nel rispetto dell’identità, della dignità di ogni essere umano e delle libertà fondamentali costituzionalmente garantite nel rispetto del Regolamento Europeo 2016/679 (“ Regolamento UE ”) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi (“ Dati Personali”).

Chi siamo

La politica sulla protezione dei dati personali è condivisa in rapporto di contitolarità, ai sensi dell’art. 26 del GDPR, nel gruppo in cui Holding è la Business Innovation Lab Spa, che controlla al 100% Xx.Xxx S.p.a. con socio unico, quest’ultima è una società iscritta all’albo degli istituti di pagamento ex art. 114 septies del T.U.B con il codice 36058.6 che è la società del gruppo autorizzata a svolgere i servizi del cosiddetto «peer to peer lending», attraverso cui gli utenti (prestatori e richiedenti) possono prestarsi il denaro e restituirlo a rate e la società ART SGR S.p.a. con socio unico, iscritta all'Albo delle SGR di cui all'art. 35 comma 1, sezione FIA del TUF con codice iscrizione albo x.000.XXX SGR è autorizzata a gestire fondi alternativi di investimento riservati ad investitori professionali. Tali fondi prestano denaro tramite la piattaforma Opyn (“il Portale”).

La contitolarità

L’art. 26 prevede che allorché due o più Titolari del Trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento (“Contitolari”). Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’Interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

L’accordo riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’Interessato. Indipendentemente dalle disposizioni

dell’accordo l’Interessato può esercitare i propri diritti ai sensi del Regolamento UE nei confronti di e contro ciascun titolare del trattamento.

Le società svolgono essenzialmente per conto della propria clientela attività di:

- servizi di finanziamento;

- servizi di pagamento;

- servizi di investimento.

Le società Contitolari dichiarano, in merito al trattamento dei Dati Personali, di condividere mezzi e finalità, strutture e risorse ed in particolare:

- le banche dati dei clienti e dei fornitori;

- la banca dati dei lavoratori;

- le finalità del trattamento di dati personali ciascuna con le proprie specificità legate alle attività concretamente svolte;

- i mezzi del trattamento e le modalità del trattamento di dati personali;

- la politica di conservazione dei dati;

- lo stile e le modalità di comunicazione delle informative art. 13 del GDPR;

- la procedura di gestione dei consensi;

- la formazione dei soggetti autorizzati;

- un regolamento sull’uso degli strumenti informatici per il personale;

- la gestione delle comunicazioni e nomine dei responsabili art. 28 GDPR;

- la tenuta dei registri del trattamento art. 30 del GDPR;

- le procedure nel caso di trasferimento dei dati fuori UE;

- gli strumenti e i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei Contitolari soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;

- l’approccio basato sul rischio;

- i profili e la politica di sicurezza dei dati personali e la procedura del Data Breach;

- la gestione della procedura di esercizio dei diritti dell’Interessato;

- una raccolta congiunta delle procedure sulla protezione dei dati personali attraverso la tenuta comune e gestione di un” Manuale sul trattamento dei dati”.

La Contitolarità è riferita al Trattamento dei Dati Personali, come sopra definiti del Regolamento ed ha ad oggetto il trattamento di tutti i dati già̀ presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.

I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal Regolamento (EU) 2016/679 e dalle disposizioni di legge vigenti in materia di tutela dei dati personali. In particolare, con il presente accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti e per l’adempimento di obblighi previsti da leggi, da regolamenti e dalla normativa

comunitaria, nonché da disposizioni impartite da Autorità̀ a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo.

I Contitolari si obbligano in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei Dati Personali.

Il contenuto essenziale di questo accordo di Contitolarità è messo a disposizione dell’Interessato nella sezione Trasparenza del Portale.

La nostra politica

La tutela dei Dati Personali è fondata sull’osservanza dei principi illustrati in questo documento che tutte le società come sopra descritte si impegnano a diffondere, rispettare e far rispettare ai propri soci ed ai propri dipendenti e collaboratori e ai destinatari o i terzi con cui collabora nell’ambito della propria attività e missione.

In particolare i Contitolari sono impegnati affinché la Politica della Protezione Dati Personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i soggetti, interni ed esterni, coinvolti nelle attività delle società tenuto conto della loro realtà concreta, delle loro possibilità anche economiche e dei loro valori.

In particolare i Contitolari si impegnano a:

⮚ comunicare e diffondere la propria politica in merito alla protezione dei dati personali;

⮚ prestare ascolto e attenzione a tutte le parti interessate proprie – soci, dipendenti, collaboratori, investitori, promotori, beneficiari, clienti, fornitori, consulenti – e tenendo in debito conto le loro istanze in materia di trattamento di dati personali e dando pronto riscontro;

⮚ trattare i dati personali in modo lecito, corretto e trasparente in linea con i principi costituzionali e con la normativa vigente in materia, in particolare del nuovo Regolamento UE e solo per il tempo strettamente necessario alle finalità previste, comprese quelle per ottemperare agli obblighi di legge;

⮚ raccogliere i dati personali limitandosi a quelli indispensabili per effettuare le attività (dati personali pertinenti e limitati);

⮚ trattare i dati personali secondo i principi di trasparenza per le sole finalità specifiche ed espresse nelle proprie informative;

⮚ adottare processi di aggiornamento e di rettifica dei dati personali trattati per assicurarsi che i dati personali siano, per quanto possibile, corretti e aggiornati;

⮚ conservare e tutelare i dati personali di cui è in possesso con le migliori tecniche di preservazione disponibili, anche utilizzando contratti di servizio con fornitori che presentino garanzie sufficienti sulla sicurezza dei trattamenti e garantiscano la tutela dei diritti dell'Interessato;

⮚ garantire il continuo aggiornamento delle misure di protezione dei dati personali. Tale impegno sarà costantemente seguito nell’ambito del principio di responsabilizzazione mettendo in atto, con costanza, misure tecniche e organizzative adeguate e politiche aziendali idonee, per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento UE tenuto conto dello stato dell’arte, della natura dei dati personali custoditi e dei rischi ai quali sono esposti;

⮚ rendere chiare, trasparenti e pertinenti le modalità di trattamento dei Dati Personali e la loro conservazione in maniera da garantirne un’adeguata sicurezza;

⮚ erogare formazione e fornire informazioni ai propri soci e al proprio personale e ai propri collaboratori, sulla base della mansione espletata, in merito ai principi di liceità e correttezza a cui deve conformarsi la presente Politica per la Protezione Dati Personali e il trattamento dei dati personali nonché al rispetto delle misure di salvaguardia adottate;

⮚ favorire lo sviluppo del senso di responsabilizzazione e la consapevolezza dell’intera organizzazione verso i dati personali, visti come dati di proprietà dei singoli interessati;

⮚ assicurare il rispetto delle disposizioni legislative e regolamentari applicabili alla tutela dei dati personali aggiornando eventualmente la gestione della protezione dei dati personali;

⮚ prevenire e minimizzare, compatibilmente con le risorse aziendali disponibili, l’impatto di potenziali violazioni o trattamenti illeciti e/o dannosi dei dati personali;

⮚ promuovere l’inserimento della protezione dati personali nel piano di miglioramento continuo che l’organizzazione persegue con i propri sistemi di gestione.

I Contitolari si impegnano con particolare riguardo all’esercizio dei diritti dell’Interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, ad uniformare le modalità, lo stile i modelli e soprattutto le procedure per la protezione dei dati personali all’interno del gruppo a favore dell’Interessato.

Perché questa politica e a chi si rivolge

I Contitolari oltre a condividere mezzi e finalità del trattamento dei Dati Personali intendono trattare i dati acquisiti e gestiti, stante le medesime finalità del trattamento, in regime di contitolarità, e per ragioni di sinergia, di condivisione delle strutture, delle risorse; anche con riferimento a contratti di “rete interaziendali” eventualmente esistenti tra le Parti. La presente Politica della Protezione dei Dati Personali sarà portata a conoscenza di tutta la clientela, gli investitori, i promotori, il personale interno, i soci, i collaboratori, i fornitori anche attraverso specifici incontri di sensibilizzazione.

A tal fine, è opportuno designare un referente quale punto di contatto per gli interessati che nel caso del gruppo “Opyn” è individuato nella società Xx.xxx S.p.A. (“Referente per gli Interessati”).

Le parti convengono quindi che per le richieste di esercizio dei diritti e gli eventuali reclami presentati dai contraenti o utenti saranno gestiti in via esclusiva dal Referente per gli Interessati contattabile all’indirizzo email xxxxxxx@xxxx.xx restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di ciascun Contitolare ai sensi dell’art. 26, comma 3, del Regolamento sopra citato, evocando ciascun Titolare.

Resta inteso tra le parti che, ai sensi dell’art. 26, comma 3, del Regolamento (EU) 2016/679, indipendentemente dalle disposizioni del presente accordo, l’Interessato potrà esercitare i propri diritti nei confronti di e contro ciascun contitolare del trattamento.

Il Contitolare del Trattamento si impegna a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità instaurato con il Titolare.

In ogni caso, le parti si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico, ed in particolare i rispettivi segreti, e si impegnano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente accordo.

Sicurezza delle informazioni

Il Contitolare del Trattamento è tenuto a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità, conformemente al piano della sicurezza stabilito. Il Contitolare del Trattamento deve verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione al Titolare.

Il Contitolare del Trattamento adotterà tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico.

Il Contitolare eseguirà un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.

Decisioni in merito ai trasferimenti internazionali di dati personali

La presente politica dei Contitolari prevede che i Dati Personali saranno trattati all’interno del territorio dell’Unione Europea.

Nell’ipotesi in cui per questioni di natura tecnica e/o operativa si renderà necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, il trasferimento dei Dati Personali, limitatamente allo svolgimento di specifiche attività di Trattamento, sarà regolato in conformità a quanto previsto dal capo V del Regolamento. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei Dati Personali basando tale trasferimento: (i) su decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea; (ii) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’articolo 46 del Regolamento; (iii) sull’adozione di norme vincolanti d’impresa.

Periodo di conservazione dei dati

Uno dei principi applicabili al Trattamento dei Suoi Dati Personali riguarda la limitazione del periodo di conservazione, disciplinata all’articolo 5, comma 1, punto e) del Regolamento che recita “i Dati Personali sono conservati in una forma che consenta l’identificazione degli Interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i Dati Personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, comma 1, del Regolamento UE,

fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’Interessato”. Alla luce di tale principio, i Dati Personali saranno trattati dal Titolare del Trattamento limitatamente a quanto necessario per il perseguimento della finalità descritte nelle Informative dei Contitolari. In particolare, i Dati Personali saranno trattati per un periodo non eccedente alla finalità perseguita, ossia fino alla cessazione degli eventuali rapporti precontrattuali e contrattuali in essere con i Contitolari, tenuto conto dei termini di prescrizione legale e degli obblighi di conservazione di natura fiscale o di altra natura previsti da norme di legge o di regolamento per cui si applicherà il principio di non eccedenza (art.6 lettera f) in tale caso i dati saranno conservati per non più di 10 anni che coincidono con i termini civilistici. Da ultimo i dati forniti potranno essere trattati per la tutela di interessi legittimi dei Contitolari tra cui la difesa in giudizio. Anche in questo caso si applicherà il principio di non eccedenza (art.6 lettera f) in tale caso i dati saranno conservati per 10 anni che coincidono con i termini civilistici.

Comunicazioni commerciali e revoca del consenso

I dati forniti con particolare riferimento alla mera finalità promozionale, potranno essere utilizzati dal Contitolari del trattamento per inviare materiale informativo relativo alle attività ed ai servizi forniti dai Contitolari. Dette comunicazioni potranno essere effettuate tramite invio di e-mail, tramite telefono, ovvero tramite invio di materiale pubblicitario presso il Suo domicilio. Per tale finalità potrebbe rendersi necessario lo specifico consenso ai sensi dell’art. 6 lett. a) del Regolamento UE.

Mancato conferimento e consenso per questa finalità ha come unica conseguenza quella di non poter effettuare le attività di comunicazione commerciale.

I dati forniti per le finalità suindicate saranno conservati per un periodo di massimo 10 anni e, comunque, fino a revoca del Suo consenso. Come previsto infatti, dal Regolamento UE, qualora l’Interessato abbia prestato il consenso al Trattamento dei Dati Personali per una o più finalità per le quali è stato richiesto, potrà, in qualsiasi momento, revocarlo totalmente e/o parzialmente senza pregiudicare la liceità del Trattamento basata sul consenso prestato prima della revoca.

Le modalità di revoca del consenso sono molto semplici ed intuitive basterà contattare il Titolare del Trattamento e/o i Contitolari del Trattamento utilizzando i canali di contatto riportarti all’interno della presente Informativa.

In aggiunta a quanto sopra e per semplicità, qualora l’Interessato si trovasse nella condizione di ricevere messaggi di posta elettronica pubblicati da parte del Titolare del Trattamento che non siano più di interesse, sarà sufficiente cliccare sul tasto unsubscribe posto in calce alle stesse per non ricevere più nessuna comunicazione anche attraverso ulteriori canali di contatto per i quali era stato ottenuto il consenso (SMS, MMS, posta cartacea, fax, telefonate).

Condivisione della procedura per l’esercizio dei diritti dell’Interessato

Come previsto dall’articolo 15 del Regolamento, l’Interessato potrà accedere ai Dati Personali, chiederne la rettifica e l'aggiornamento, se incompleti o erronei, chiederne la cancellazione qualora la raccolta sia avvenuta in violazione di una legge o regolamento, nonché opporsi al Trattamento per motivi legittimi e specifici.

In particolare, i diritti che potrà esercitare, in qualsiasi momento, nei confronti del Titolare del Trattamento sono i seguenti.

Diritto di accesso: il diritto, a norma dell’articolo 15, comma 1 del Regolamento UE, di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un Trattamento dei Dati Personali e in tal caso, di ottenere l’accesso a tali Dati Personali ed alle seguenti informazioni: a) le finalità del Trattamento; b) le categorie di Dati Personali in questione; c) i Destinatari o le categorie di Destinatari a cui i Dati Personali sono stati o saranno comunicati, in particolare se Destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei Dati Personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’Interessato di chiedere al Titolare del Trattamento la rettifica o la cancellazione dei Dati Personali o la limitazione del Trattamento dei Dati Personali che lo riguardano o di opporsi al loro Trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i Dati Personali non siano raccolti presso l’Interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, commi 1 e 4, del Regolamento e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale Trattamento per l’Interessato.

Diritto di rettifica: a norma dell’articolo 16 del Regolamento, la rettifica dei Suoi Dati Personali che risultino inesatti. Tenuto conto delle finalità del Trattamento, inoltre, potrà ottenere l’integrazione dei Suoi Dati Personali che risultino incompleti, anche fornendo una dichiarazione integrativa.

Diritto alla cancellazione: potrà ottenere, a norma dell’articolo 17, comma 1 del Regolamento, la cancellazione dei Suoi Dati Personali senza ingiustificato ritardo ed il Titolare del Trattamento avrà l’obbligo di cancellare i Suoi Dati Personali, qualora sussista anche solo uno dei seguenti motivi: a) i Dati Personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) ha provveduto a revocare il consenso su cui si basa il Trattamento dei Suoi Dati Personali e non sussiste altro fondamento giuridico per il loro Trattamento; c) si è opposto al Trattamento ai sensi dell’articolo 21, comma 1 o 2 del Regolamento e non sussiste più alcun motivo legittimo prevalente per procedere al Trattamento dei Suoi Dati Personali; d) i Suoi Dati Personali sono stati trattati illecitamente; e) risulta necessario cancellare i Suoi Dati Personali per adempiere ad un obbligo di legge previsto da una norma comunitaria o di diritto interno. In alcuni casi, come previsto dall’articolo 17, comma 3 del Regolamento, il Titolare del Trattamento è legittimato a non provvedere alla cancellazione dei Suoi Dati Personali qualora il loro Trattamento sia necessario, ad esempio, per l’adempimento di un obbligo di legge, per motivi di interesse pubblico, per fini di archiviazione nel pubblico interesse o a fini statistici, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Diritto di limitazione del trattamento: potrà ottenere la limitazione del Trattamento, a norma dell’articolo 18 del Regolamento, nel caso in cui ricorra una delle seguenti ipotesi: a) ha contestato l’esattezza dei Dati Personali (la limitazione si protrarrà per il periodo necessario al Titolare del Trattamento per verificare l’esattezza di tali Dati Personali); b) il Trattamento è illecito ma si è opposto alla cancellazione dei Dati Personali chiedendone, invece, che ne sia limitato l’utilizzo; c) benché il Titolare del Trattamento non ne abbia più bisogno ai fini del Trattamento, i Dati Personali servono per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) si è opposto al Trattamento ai sensi dell’articolo 21, comma 1, del Regolamento ed è in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del Trattamento

rispetto a quelli dell’Interessato. In caso di limitazione del Trattamento, i Dati Personali saranno trattati (e informeremo l’Interessato prima che tale limitazione venga revocata) salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante. Diritto alla portabilità dei dati: l’Interessato potrà, in qualsiasi momento, richiedere e ricevere, a norma dell’articolo 20, comma 1 del Regolamento, che tutti i Dati Personali siano trattati dal Titolare del Trattamento in un formato strutturato, di uso comune e leggibile oppure richiederne la trasmissione ad altro titolare del trattamento senza particolari difficoltà. In questo caso, sarà compito dell’Interessato fornirci tutti gli estremi esatti del nuovo titolare del trattamento a cui intende trasferire i Dati Personali fornendoci autorizzazione scritta.

Diritto di opposizione: a norma dell’articolo 21, comma 2 del Regolamento l’Interessato potrà opporsi in qualsiasi momento, al Trattamento dei Dati Personali qualora questi vengano trattati per finalità di marketing, compresa la profilazione nella misura in cui sia connessa a marketing diretto.

Diritto di proporre un reclamo all’autorità di controllo: fatto salvo il diritto dell’Interessato di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora ritenesse che il Trattamento dei Dati Personali condotto dal Titolare del Trattamento avvenga in violazione del Regolamento e/o della normativa applicabile, potrà proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali competente.

Tali diritti potranno essere esercitati rivolgendosi al ciascun Titolare del Trattamento ovvero ai Contitolari.

I Contitolari del trattamento

Business Innovation Lab S.p.A. Xx.Xxx S.p.A.

Art Sgr S.p.A.

Document Metadata

Table of Contents

ACCORDO DI CONTITOLARITÀ ART. 26 REGOLAMENTO UE N. 679/16

Document Metadata