ACCORDO DI CONTITOLARITÀ AI SENSI DELL’ART. 26 DEL REGOLAMENTO (UE) 2016/679 TRA

ACCORDO DI CONTITOLARITÀ AI SENSI DELL’ART. 26 DEL REGOLAMENTO (UE) 2016/679 TRA

Volkswagen Financial Services S.p.A. con sede in Milano. Via Privata Grosio n. 10/4 Pec: xxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxx.xx

E

Volkswagen Leasing GmbH con sede in Xxxxxx, Xxx Xxxxxxx Xxxxxx x. 00/0 Pec: xxxxxxxxxxxxxxxxx@xxxxxxxxx.xxxxxxx.xx

E

Volkswagen Bank GmbH con sede italiana in Xxxxxx, Xxx Xxxxxxx Xxxxxx x. 00/0 Pec: xxxxxxxxxxxxxx@xxxxxxxxx.xxxxxxx.xx

(le Società sono denominate singolarmente “Parte” e congiuntamente “Parti” o “Contitolari”).

Premesso che:

• i termini e le espressioni utilizzate nel presente Accordo di Contitolarità (nel seguito “Accordo”) hanno il significato ad essi attribuito dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (nel seguito “Regolamento”);

• le Parti effettuano in regime di contitolarità attività di trattamento dei dati personali svolte per il perseguimento delle seguenti finalità, a loro comuni:

o attività di marketing verso la propria clientela, finalizzate alla promozione e vendita di prodotti e servizi offerti da ciascuna di esse e/o da soggetti terzi, con i quali le stesse intrattengono rapporti giuridici;

o attività di profilazione della propria clientela, mediante l’analisi e la valutazione delle sue preferenze e comportamenti di acquisto sui prodotti e servizi offerti, finalizzata all’invio di offerte commerciali in linea alle sue esigenze;

o attività di comunicazione dei dati personali della propria clientela a società terze, con le quali le stesse intrattengono rapporti giuridici, per l’effettuazione di attività di marketing finalizzate alla promozione ed alla vendita di loro prodotti e servizi;

• le Parti dichiarano, in merito alle attività trattamento dei dati personali effettuate per il perseguimento delle finalità sopra esposte, di condividere mezzi, strutture e risorse, ed in particolare:

o le banche dati dei propri clienti;

o le finalità di trattamento dei dati personali sopra descritte, ciascuna con le proprie specificità legate alle attività concretamente svolte;

o i mezzi e le modalità del trattamento dei dati personali;

o il contenuto e le modalità di somministrazione delle informative privacy ai sensi degli articoli 13 e 14 del Regolamento;

o la procedura di raccolta e gestione dei consensi privacy;

o le procedure e le garanzie da adottare in caso di trasferimento dei dati personali oggetto di trattamento al di fuori dello Spazio Economico Europeo (SEE);

o gli strumenti ed i mezzi utilizzati per l’attuazione delle decisioni da compiersi in merito alle attività di trattamento e, soprattutto, in relazione all’implementazione delle misure di sicurezza tecniche, fisiche ed organizzative, poste a presidio delle attività trattamento;

o l’approccio basato sulla valutazione del rischio;

o i profili e la politica di sicurezza dei dati personali, nonchè la politica di Data Breach;

o la gestione della procedura di esercizio dei diritti degli interessati e le modalità di riscontro alle richieste da essi avanzate.

• in coerenza con i propri valori, le Parti si impegnano reciprocamente a proteggere i dati personali di ogni persona fisica che si trovasse ad entrare in contatto con le stesse e a trattarli nel rispetto del Regolamento e delle disposizioni in materia di protezione dei dati personali applicabili, secondo le modalità previste nel presente Accordo.

Con il presente Accordo le Parti intendono quindi determinare in modo trasparente i rispettivi compiti e responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento nell’esecuzione delle attività di trattamento svolte in regime di contitolarità.

1. Principi generali sul trattamento dei dati personali

1.1. Le Parti individuano le più opportune modalità e precauzioni affinché le attività di trattamento dei dati personali avvengano nel rispetto dei principi generali previsti dall’articolo 5 del Regolamento, con particolare riferimento ai principi di liceità, correttezza e trasparenza nei confronti degli interessati, nonchè di limitazione delle finalità, minimizzazione ed esattezza dei dati personali oggetto di trattamento. Nel dettaglio, nell’ambito delle attività di trattamento svolte in regime di contitolarità, i Contitolari si impegnano a:

− tenere in debito conto le istanze in materia di trattamento di dati personali dei soggetti interessati, fornendo loro riscontro nel rispetto delle tempistiche normativamente previste;

− trattare i dati personali in modo lecito, corretto e trasparente, in conformità con i principi costituzionali e con la normativa vigente (liceità, correttezza e trasparenza) e solo per il tempo strettamente necessario al perseguimento delle finalità previste, incluso quello utile ad ottemperare agli obblighi di legge (limitazione della conservazione);

− raccogliere i dati personali strettamente indispensabili per l’esecuzione delle attività di trattamento previste (minimizzazione dei dati) e trattando gli stessi solamente per il perseguimento di finalità determinate, esplicite e legittime (limitazione della finalità);

− adottare processi di aggiornamento e di rettifica dei dati personali trattati per assicurare che gli stessi siano, per quanto possibile, corretti ed aggiornati (esattezza dei dati);

− garantire il continuo aggiornamento delle misure di protezione dei dati personali. Tale impegno sarà costantemente perseguito, nell’ambito del principio di responsabilizzazione, mettendo in atto, misure tecniche ed organizzative adeguate e politiche aziendali idonee per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente alle disposizioni del Regolamento, tenuto conto dello stato dell’arte, della natura dei dati personali custoditi e dei rischi ai quali essi sono esposti;

− erogare costantemente attività di formazione e fornire informazioni al proprio personale ed ai propri collaboratori, sulla base della mansione espletata, relativamente ai principi in materia di protezione dei dati personali cui essi devono conformarsi nell’ambito delle attività di trattamento dei dati personali loro delegate;

− prevenire e minimizzare, compatibilmente con le risorse aziendali disponibili, l’impatto di potenziali violazioni dei dati personali o trattamenti illeciti e/o dannosi per i diritti e le libertà degli interessati.

2. Adempimenti informativi verso gli interessati

2.1. Ciascuna Parte che raccolga i dati personali direttamente presso l’interessato al quale i dati si riferiscono, si assicura:

− di fornire gratuitamente all’interessato un’informativa sul trattamento dei dati personali conforme ai requisiti di cui all’articolo 13 del Regolamento, avendo cura di specificare le attività di trattamento per le quali sussiste la contitolarità, unitamente alle attività di trattamento che competono autonomamente a ciascuna Parte;

− di acquisire, laddove richiesto dalla normativa applicabile, il consenso dell’interessato in conformità ai requisiti previsti dal Regolamento ed a rendere la documentazione comprovante l’informativa rilasciata e l’eventuale consenso raccolto disponibile anche alle altre Parti.

2.2. Ciascuna Parte che raccolga i dati personali da soggetti diversi dall’interessato al quale i dati si riferiscono, si assicura:

− di fornire gratuitamente all’interessato un’informativa conforme ai requisiti di cui all’articolo 14 del Regolamento, avendo cura di specificare le attività di trattamento per le quali sussiste la contitolarità, unitamente alle attività di trattamento che competono autonomamente a ciascuna Parte;

− di acquisire, laddove richiesto dalla normativa applicabile, il consenso dell’interessato in conformità ai requisiti del Regolamento ed a rendere la documentazione comprovante l’informativa rilasciata e l’eventuale consenso raccolto disponibile anche alle altre Parti.

3. Esercizio dei diritti da parte degli interessati

3.1. Ciascuna delle Parti è obbligata a garantire e rendere effettivo l’esercizio da parte degli interessati dei diritti loro riconosciuti dagli articoli 15-21 del Regolamento.

3.2. Le Parti concordano in buona fede la designazione di un unico referente comune quale punto di contatto per gli interessati, individuato nella figura del Data Protection Officer (DPO) della Società Volkswagen Financial Services S.p.A., il quale potrà essere contattato al seguente indirizzo di posta elettronica: xxx.xxxx.xxx@xxxx.xxx. Resta in ogni caso inteso che l’interessato potrà esercitare i propri diritti indistintamente nei confronti di ciascuna delle Parti.

3.3. Ciascuna Parte - anche se non sollecitata direttamente a riscontrare le istanze per l’esercizio dei diritti degli interessati - presta la più ampia cooperazione alla Parte destinataria delle predette istanze, al fine di assicurare il pieno soddisfacimento delle richieste degli interessati, qualora le stesse siano conformi alla disciplina in materia di protezione dei dati personali applicabile. In caso contrario, la Parte che ha determinato, con la propria condotta negligente o comunque colposa, l’inadempimento nei confronti degli interessati, è esposta all’azione di rivalsa delle altre Parti in conseguenza dei pregiudizi economici da queste subiti (incluse spese legali), in conseguenza dell’azione risarcitoria eventualmente intentata dagli interessati nei loro confronti.

4. Valutazione dei rischi associati al trattamento

4.1. Le Parti cooperano in buona fede per l’effettuazione delle valutazioni di adeguatezza delle attività di trattamento per le quali sussiste la contitolarità, mediante una preventiva analisi dei rischi. Qualora, a seguito di tali valutazioni di adeguatezza, dovesse emergere la presenza di un rischio elevato per i diritti e libertà degli interessati nell’ambito del trattamento, le Parti coopereranno in buona fede per l’effettuazione della valutazione di impatto (DPIA) ai sensi dall’articolo 35 del Regolamento. Resta inteso che sarà compito della Società Volkswagen Financial Services S.p.A. procedere alla comunicazione preventiva al Garante, coordinandosi con le altre Parti qualora necessario, nel caso in cui la valutazione d’impatto dovesse ritenere permanenti rischi elevati per i diritti e le libertà degli interessati, nonostante le misure di mitigazione del rischio individuate.

5. Sicurezza del trattamento

5.1. Le Parti individuano, di comune accordo, le misure tecniche ed organizzative adeguate, ai sensi dell’articolo 32 del Regolamento, al fine di garantire la minimizzazione dei rischi riguardo le attività di trattamento di dati personali per le quali sussiste la contitolarità.

5.2. Le Parti vigilano reciprocamente, anche tramite le rispettive organizzazioni interne preposte, sull’effettiva e continua implementazione di tali misure al fine di garantire la protezione e la sicurezza dei dati personali trattati ed il tempestivo recupero della disponibilità dei dati personali in caso di incidente di sicurezza fisico o tecnico. Tali misure devono inoltre essere inoltre periodicamente riviste ed aggiornate, qualora necessario, così come stabilito dall’articolo 24 del Regolamento.

6. Svolgimento delle attività di trattamento in regime di contitolarità

6.1. Le Parti stabiliscono, di comune accordo, che le attività di trattamento disciplinate dal presente Accordo saranno svolte operativamente dalla Società Volkswagen Financial Services S.p.A.

7. Violazione di dati personali (c.d. Data Breach)

7.1. Ciascuna Parte, senza ingiustificato ritardo e comunque entro e non oltre le 48 ore dall’avvenuta conoscenza, comunica alle altre Parti ogni eventuale violazione dei dati personali relativamente alle attività di trattamento per le quali sussiste la contitolarità. Le Parti si danno reciprocamente atto che coopereranno in buona fede al fine di:

− porre rimedio in modo adeguato alle conseguenze derivanti dalla violazione, limitandone al minimo gli effetti negativi per i diritti e le libertà degli interessati;

− adottare tutte le misure tecniche ed organizzative necessarie ad evitare il ripetersi di tali avvenimenti pregiudizievoli;

− effettuare senza ingiustificato ritardo, e comunque entro e non oltre le 72 ore dal momento in cui ne sono venute a conoscenza, la notifica alla competente Autorità di controllo dell’avvenuta violazione, unitamente alle informazioni tassativamente previste dall’articolo 33 del Regolamento ed in particolare:

o la descrizione della natura della violazione comprese, ove possibile, le categorie ed il numero approssimativo degli interessati coinvolti, nonché le categorie ed il numero approssimativo dei dati personali oggetto della violazione;

o il nome ed i dati di contatto del Responsabile della Protezione dei Dati (DPO) o di altro punto di contatto presso cui ottenere maggiori informazioni;

o la descrizione delle probabili conseguenze della violazione dei dati personali;

o la descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi;

− fare in modo che le informazioni di cui sopra possano essere fornite in fasi successive senza ulteriore ingiustificato ritardo, qualora non sia possibile fornirle contestualmente;

− valutare se la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati, ed in caso affermativo, procedere alla comunicazione della violazione ai soggetti interessati, senza ingiustificato ritardo;

− documentare la violazione dei dati personali, le circostanze ad essa relative, le sue conseguenze ed i provvedimenti adottati per porvi rimedio.

8. Trasferimento dei dati personali

8.1. Nell’ipotesi in cui, per motivi di natura tecnica e/o operativa, le attività di trattamento per le quali sussiste la contitolarità comportino un flusso transfrontaliero di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE), le Parti coinvolte si faranno carico di verificare la sussistenza dei requisiti di legittimità del trasferimento, secondo quanto previsto dalle disposizioni del Capo V del Regolamento.

9. Ricorso a terze parti

9.1. Le Parti hanno la facoltà di avvalersi del supporto di terze parti in relazione alle attività di trattamento dei dati personali effettuate in regime di contitolarità. In caso di ricorso a terze parti esterne alle Società, le quali agiscono in qualità di Responsabili del trattamento, ciascuna Parte è responsabile del rispetto dei requisiti imposti dall'articolo 28 del Regolamento, tra cui:

− utilizzare solo Responsabili del trattamento che forniscano sufficienti garanzie in merito all’attuazione di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti e delle libertà dell'interessato;

− garantire che sia stato stipulato un valido accordo per il trattamento dei dati personali effettuato dai Responsabili del trattamento;

− vincolare il Responsabile del trattamento ad imporre per iscritto ai propri Sub- Responsabili, attraverso specifici accordi, i medesimi obblighi in materia di protezione dei dati personali cui lo stesso è soggetto.

10. Registro delle attività di trattamento

10.1. Ciascuna Parte è responsabile della tenuta del proprio Registro delle attività di trattamento, nelle forme e secondo le modalità indicate dall’articolo 30 del Regolamento. Il Registro aggiornato dovrà essere esibito su richiesta dell’Autorità di controllo ad opera della Parte che ne cura la gestione.

11. Durata dell’Accordo

11.1. Il presente Accordo è valido a far data dall’avvenuta stipula tra le Parti. Tale Accordo rimarrà in vigore per tutta la durata delle attività di trattamento dei dati personali svolte in regime di contitolarità, o fino a quando l'Accordo sarà sostituito da un nuovo accordo o una delle Parti deciderà di recedere dallo stesso.

Milano, lì 10/05/2022

Volkswagen Financial Services S.p.A.

Xxxxx Xxxxxxxxx Xxxxxxx Xxxxxx

Volkswagen Leasing GmbH

Xxxxx Xxxxxxxxx Xxxxxxx Xxxxxx