ACCORDO INTERNO DI CONTITOLARITÁ
ACCORDO INTERNO DI CONTITOLARITÁ
(art. 26 Regolamento (Ue) 2016/679)
Tra le sottoscritte parti
• Banca del Mezzogiorno - Mediocredito Centrale S.p.A. (di seguito MCC o mandataria), con sede in Xxxxx Xxxxxxx 000 Xxxx, codice fiscale e numero di iscrizione al Registro delle Imprese di Roma 00594040586, in persona del xxxx. Xxxxxxxx Xxxxxxxxxx, in qualità di Amministratore Delegato, ai sensi della delibera del Consiglio di Amministrazione del 25 settembre 2017, domiciliato per la carica presso la sede della Società stessa
• ARTIGIANCASSA S.p.A. (di seguito Artigiancassa o mandante), con sede in Xxx Xxxxxxxxxx Xxxxxxx 000/X Xxxx, codice fiscale e numero di iscrizione al Registro delle Imprese di Roma 10251421003, in persona del xxxx. Xxxxxx Xxxxxxxxx, in qualità di Direttore Generale e Legale Rappresentante, ai sensi dell’art. 17 del vigente statuto e della delibera del CDA del 09/12/2015, domiciliato per la carica presso la sede della Società stessa
di seguito anche congiuntamente “Contitolari”
PREMESSO CHE:
• MCC e Artigiancassa S.p.A , partecipando ad una gara indetta dalla Regione Autonoma Friuli Venezia Giulia (“La Regione”) per l’ affidamento del contratto di servizi per la gestione sul territorio regionale delle agevolazioni a favore delle PMI su operazioni ai sensi della legge 1329/65 (legge Xxxxxxxx ) ("il Servizio”) e presentando offerta congiunta, hanno ottenuto l’aggiudicazione definitiva del Servizio in forma di Raggruppamento Temporaneo di Imprese (“RTI”) costituito ai sensi dell’art.48 del D.Lgs 50/2016, con mandato di rappresentanza conferito a MCC ;
• ai sensi dell’art. 26, paragrafo 1, del Regolamento (Ue) 2016/679 - GDPR sulla protezione dei dati in
seguito GDPR), “Quando due o più titolari del trattamento stabiliscono congiuntamente le finalità e i mezzi del trattamento, devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa in vigore in materia di trattamento dei dati personali, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle schede informative”;
• le decisioni operative, le finalità e i mezzi riguardanti il trattamento dei dati personali effettuati in relazione allo svolgimento del Servizio di cui sopra, sono adottate congiuntamente da MCC e Artigiancassa S.p.A e rispetto a tali dati si configura, una cosiddetta contitolarità del trattamento ai sensi dell’art. 26 del Regolamento EU 2016/679;
• Come previsto dal citato articolo del Regolamento, MCC e Artigiancassa S.p.A concludono un accordo
per regolare i rispettivi ruoli e responsabilità nonché i rapporti dei Contitolari con gli interessati, ai quali il contenuto essenziale dell’accordo stesso deve essere messo a disposizione. Per "interessato" - al singolare - e "interessati" - al plurale - si intende qualsiasi persona fisica cui si riferiscono i dati personali oggetto di trattamento (a titolo esemplificativo: clienti o utenti o potenziali clienti o utenti, rappresentanti legali delle imprese richiedenti e/o personale di queste ultime; professionisti, fornitori persone fisiche, terzi in genere purché persone fisiche)
SI CONVIENE E STIPULA QUANTO SEGUE
1.Premesse
Le premesse sono parte integrante e sostanziale del presente accordo.
2.Oggetto
L’oggetto del presente accordo è l’instaurazione di un rapporto di contitolarità tra le Parti per il trattamento dei dati personali effettuato in relazione alla Gestione di Strumenti Finanziari e interventi finanziati con fondi regionali” (Servizio) di cui sopra, intendendo i termini di “trattamento” e “dati personali” come definiti dal GDPR.
3. Cause della contitolarità
Le società svolgono, in virtù della Convenzione con l’Ente committente, le seguenti attività come da tabella sottostante:
Società | Attività |
Banca del Mezzogiorno- MedioCredito Centrale S.p.A. (mandataria) | • rapporti con l'amministrazione committente; • ricezione domande e istruttoria tecnico economica; • erogazione dei contributi; |
Artigiancassa S.p.A. (mandante) | • gestione delle attività degli sportelli siti nella Regione Friuli Venezia Giulia; • verifiche in loco presso i beneficiari; |
A tal fine con la costituzione di un RTI le società collaborano tra loro, scambiandosi reciproche informazioni (e, quindi, dati) per la realizzazione dello specifico Servizio.
4. DATI
Le Parti intendono trattare i dati acquisiti e gestiti, in regime di contitolarità stabilendo congiuntamente i mezzi del trattamento e le finalità del trattamento.
La contitolarità ha per oggetto il trattamento di tutti i dati acquisiti e che si acquisiranno in futuro in relazione allo svolgimento del Servizio.
Trattamento | Tipologie di Dati |
rapporti con l'amministrazione committente | - Codice fiscale ed altri numeri di identificazione personale; - Nominativo, indirizzo o altri elementi di identificazione personale; - Dati relativi all’attività lavorativa; - Dati relativi ad Attività economiche; - Dati Bancari (IBAN); - Dati relativi a condanne penali o reati (certificati antimafia); |
ricezione domande e istruttoria tecnico economica | - Codice fiscale ed altri numeri di identificazione personale; - Nominativo, indirizzo o altri elementi di identificazione personale; |
erogazione dei contributi; | - Codice fiscale ed altri numeri di identificazione personale; - Nominativo, indirizzo o altri elementi di identificazione personale; - Dati relativi all’attività lavorativa; - Dati relativi ad Attività economiche; - Dati Bancari (IBAN); - Dati relativi a condanne penali o reati (certificati antimafia); |
gestione delle attività degli sportelli siti nella Regione Friuli Venezia Giulia | - Codice fiscale ed altri numeri di identificazione personale; - Nominativo, indirizzo o altri elementi di identificazione personale; |
verifiche in loco presso i beneficiari | - Codice fiscale ed altri numeri di identificazione personale; - Nominativo, indirizzo o altri elementi di identificazione personale; - Dati relativi all’attività lavorativa; - Dati relativi ad Attività economiche; - Dati Bancari (IBAN); - Dati relativi a condanne penali o reati (certificati antimafia); |
5. Attività svolte dai contitolari
1. Le società Contitolari dichiarano, in merito al trattamento dei Dati Personali di cui al precedente articolo 4 , di condividere mezzi e finalità ed in particolare:
- le banche dati degli interessati;
- le finalità del trattamento di dati personali ciascuna con le proprie specificità legate alle attività concretamente svolte;
- i mezzi del trattamento e le modalità del trattamento di dati personali;
- la politica di conservazione dei dati;
- lo stile e le modalità di comunicazione delle informative art. 13 del GDPR;
- l’eventuale procedura di gestione dei consensi;
- la tenuta dei registri del trattamento art. 30 del GDPR;
- gli strumenti e i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei Contitolari soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;
- i profili e la politica di sicurezza dei dati personali e la procedura del Data Breach;
- la gestione della procedura di esercizio dei diritti dell’Interessato;
2. I Contitolari sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti in materia di Protezione dei Dati Personali.
3. MCC si assume l’onere, tramite la piattaforma informatica dedicata alla gestione della misura, di distribuire ai soggetti con cui il RTI entra in relazione l’informativa privacy nel testo condiviso.
4. MCC ed Artigiancassa ognuno per le proprie competenze, previo condivisione, sono i destinatari delle richieste relative all’esercizio da parte degli interessati dei diritti previsti in loro favore dalle norme vigenti in materia di trattamento dei dati, come indicati nelle informative sottoscritte dagli stessi.
6. Responsabilità derivante dalla contitolarità del trattamento
Tenuto conto dei rispettivi ruoli e rapporti con gli interessati, le responsabilità dei Contitolari in epigrafe indicati, in merito all'osservanza degli obblighi derivanti dal GDPR, sono definite come di seguito:
- entrambi i soggetti gestori, Mediocredito Centrale S.p.A e Artigiancassa S.p.A sono direttamente responsabili della rispondenza del trattamento di competenza di ciascuno alle finalità determinate e della conformità dei mezzi del trattamento al GDPR per quanto concerne i trattamenti di cui alle attività indicate al precedente punto 3 dell’Accordo;
Nei confronti degli interessati, i Contitolari rispondono in solido per i danni derivanti dal trattamento, fermo restando, nei rapporti interni, la responsabilità di ciascun titolare per le attività allo stesso direttamente imputabili in base al presente accordo.
7. Sicurezza del trattamento (ex art. 32 GDPR)
X. Xxxxxxxxx dei dati personali trattati con supporti informatici o telematici
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone MCC e Artigiancassa, ai fini del presente accordo, si impegnano alla verifica e attuazione delle misure di sicurezza del trattamento dei dati personali mettendo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza informatico adeguato al rischio, che comprendono, tra le altre e se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) la predisposizione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
2. Nel valutare l’adeguato livello di sicurezza, si dovrà tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. I Contitolari si impegnano a far si che chiunque agisca sotto la loro autorità e abbia accesso informatico a dati personali, non tratti tali dati se non è istruito in tal senso dal contitolare.
4. Le società si coordineranno al fine di rendere uniforme la sicurezza del trattamento all’interno del RTI.
B. Misure di sicurezza dei dati personali non trattati con supporti informatici o telematici
I singoli Contitolari, ai fini del presente accordo predisporranno ed effettueranno in autonomia le ulteriori misure di sicurezza diverse da quelle succitate per la conservazione ed il trattamento dei dati nel rispetto del GDPR quali, in via esemplificativa e non esaustiva, la tenuta cartacea e non degli archivi.
8. Data breach (ex art. 33 e 34 GDPR)
Ciascun Contitolare per i trattamenti di propria competenza nel momento in cui venisse a conoscenza di un’avvenuta violazione dei dati personali trattati, dovrà notificare la violazione all’Autorità di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dall’avvenuta conoscenza, dandone previa informazione all’altro contitolare. Inoltre, qualora la violazione presenti un rischio elevato per i diritti e le libertà degli interessati ciascun Contitolare dovrà darne comunicazione, senza ingiustificato ritardo, agli interessati stessi, dandone previa comunicazione all’altro Contitolare.
9. Esercizio dei diritti da parte degli interessati
1. MCC e Artigiancassa provvederanno a garantire, ciascuno per quanto di rispettiva competenza, all’interessato l’esercizio dei diritti di cui al presente articolo. A tal fine verranno condivise procedure per la concreta attuazione dei presenti diritti dell’interessato anche ai fini del rispetto dei termini previsti dalla normativa.
2. Resta fermo quanto previsto dal GDPR in merito al fatto che, indipendentemente dalle disposizioni del presente Accordo, l’interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.
10. Trattamento dati al termine del contratto di contitolarità
Alla cessazione del presente accordo, indipendentemente dalla causa, ciascuna parte rimarrà Titolare autonomo del trattamento dei dati personali. Le Parti concorderanno le modalità tecniche, organizzative e procedurali necessarie per la consegna e dismissione dei dati personali oggetto di trattamento.
Le Parti provvederanno, al termine delle operazioni di trattamento, alla integrale cancellazione o all’inintelligibilità dei dati personali, salvo i casi in cui la conservazione degli stessi sia richiesta da norme di legge o altri fini.
11. Contatti
Le parti convengono che i punti di contatto al quale rivolgersi per esercitare i diritti degli interessati o per avere informazioni relative agli stessi e/o alla Informativa, sono:
Per Mediocredito Centrale S.p.A. Indirizzo: Xxxxx Xxxxxxx 000, 00000 Xxxx sito Internet: xxx.xxx.xx;
Responsabile della protezione dei dati (DPO) ai sensi dell’art. 38 GDPR : Xxxxxxx Xxxxxxx, raggiungibile all’indirizzo PEC: xxx-xxx@xxxxxxxxxxxxxxxx.xxx.xx.
Per Artigiancassa
Indirizzo : Xxx Xxxxxxxxxx Xxxxxxx, 000/X, 00000 Xxxx, sito Internet: xxx.xxxxxxxxxxxxx.xx;
indirizzo e-mail/PEC: xxxxxxxxxxxxxx@xxxxxxxxxxxxx.xx; xxxxxxxxxxxxxx@xxxxxxx.xxxxxxxxxxxxx.xx.
Responsabile della protezione dei dati (DPO) ai sensi dell’art. 38 GDPR : Xxxxx Xxxxx, raggiungibile all’indirizzo e-mail xxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxx.xx.
12. Disposizioni finali
Per ogni altro aspetto non trattato esplicitamente nel presente accordo, le parti rinviano espressamente al testo GDPR ed eventuali successive modifiche.
Il contenuto essenziale di questo accordo di Contitolarità è messo a disposizione a richiesta dell’Interessato nonché nella sezione Xxxxxxxx Friuli Venezia Giulia del sito MCC al seguente link: xxxxx://xxx.xxx.xx/XxxxxxxXxxxx/XxxxxXxxxxxxx.xxxx