Accordo interno tra Contitolari

ACCORDO INTERNO TRA CONTITOLARI
PER IL TRATTAMENTO DEI DATI PERSONALI
ai sensi dell’art. 26 del regolamento (UE) 2016/679

Tra
Confartigianato Imprese Associazione Provinciale Bologna Metropolitana
, con sede in Bologna (BO) alla Via Lame 102, 40022,
titolare
e
Assimprese Soc. Coop arl, con sede in Imola, alla via Amendola 56, 40026 (BO)
titolare

Premesse

– Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito solo GDPR) prevede, all’art. 26, che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

– L’accordo interno può designare un punto di contatto per gli interessati, fermo restando che l’interessato può esercitare i propri diritti ai sensi del GDPR nei confronti di e contro ciascun titolare del trattamento.

Tipologie dei dati trattati

Nel rispetto del principio di finalità e di proporzionalità, per la realizzazione della gestione dei dati sopra elencati vengono trattati solo i dati personali necessari alla gestione ordinaria del rapporto associativo:

  • trattamenti di informazioni aziendali e di dati personali finalizzati all’erogazione di tutti i servizi, inclusi nella quota associativa, con particolare riferimento ai servizi di consulenza ed assistenza (telefoniche, via mail o appositi incontri con Confartigianato Imprese Associazione Provinciale Bologna Metropolitana.);
  • all’organizzazione di assemblee; riunioni; eventi seminari o convegni, alle produzioni di seminari o convegni, alla produzione di notiziari tecnici e di newsletter, attività di rappresentanza, nei rapporti con le pubbliche amministrazioni, le Autorità locali, gli enti economici e le associazioni sindacali, nonché al funzionamento e alle attività degli organi e gruppi;
  • tutti i trattamenti correlati alla prestazione di questi servizi, inclusi nella quota associativa, nell’ottica di garantire la gestione del rapporto associativo, nonché al fine di adempiere agli obblighi legali contrattuali e legali;
  • servizi su richiesta: il trattamento di dati degli associati nell’ambito dei servizi erogati, attengono alla sfera di competenza della scrivente società ed ai servizi di patronato;
  • suoi dati verranno trattati per le finalità previste dalla vigente normativa in materia di antiriciclaggio. I dati trattati sono aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità strettamente connesse all’incarico ricevuto.
  • attività di promozione della visibilità delle aziende associate: pubblicazione di informazioni aziendali e di dati personali sul sito web di Confartigianato Imprese Associazione Provinciale Bologna Metropolitana., e su ogni altro mezzo di informazione, in forma cartacea, informatica e/o telematica, con l’attività di promozione delle aziende associate e dei servizi svolti da Confartigianato Imprese Associazione Provinciale Bologna Metropolitana.
  • trattamenti di dati personali per la partecipazione agli eventi quali invio delle comunicazioni relative agli eventi; pubblicazione di informazioni o foto panoramiche su siti. Le riprese audio, video e fotografiche effettuate in occasione dello svolgimento degli eventi e convegni, possono essere pubblicate, contemporaneamente e/o successivamente agli eventi e convegni stessi, sul web, sui social network, su quotidiani o periodici di informazione, su brochure e supporti audio/video unicamente per finalità informative e promozionali delle attività.

 

Contitolarità del trattamento

Il Regolamento UE 2016/679 e il D.Lgs. 101/2018 insistono sulla necessità di delineare con chiarezza i ruoli, i compiti e le responsabilità per garantire principalmente i diritti delle persone interessate (soggetti a cui si riferiscono i dati personali).
Come descritto in premessa, quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento essi sono contitolari e in quanto tali sono tenuti, ciascuno per la propria parte, ad adottare le relative misure, tecniche e organizzative, per garantire la protezione dei dati personali.
La realizzazione del progetto e la gestione delle attività connesse e strumentali prevedono la partecipazione attiva e la condivisione delle finalità e dei mezzi da parte di Confartigianato Bologna Metropolitana e Assimprese Soc coop arl finalizzata alla gestione dei dati degli associati e richiedenti servizi di Assimprese soc coop arl.
Tali soggetti per le ragioni ampiamente espresse rivestono la qualità di contitolari in relazione ai rispettivi ambiti di trattamento.

 

Finalità del trattamento

Le società Contitolari dichiarano, in merito al trattamento dei Dati Personali, di condividere mezzi e finalità, strutture e risorse ed in particolare:

  • le banche dati dei clienti e dei fornitori;
  • la banca dati dei lavoratori;
  • le finalità del trattamento di dati personali ciascuna con le proprie specificità legate alle attività concretamente svolte;
  • i mezzi del trattamento e le modalità del trattamento di dati personali;
  • la politica di conservazione dei dati;
  • lo stile e le modalità di comunicazione delle informative art. 13 del GDPR;
  • la procedura di gestione dei consensi;
  • la formazione dei soggetti autorizzati;
  • un regolamento sull’uso degli strumenti informatici per il personale;
  • la gestione delle comunicazioni e nomine dei responsabili art. 28 GDPR;
  • la tenuta dei registri del trattamento art. 30 del GDPR;
  • le procedure nel caso di trasferimento dei dati fuori UE;
  • gli strumenti e i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei Contitolari soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;
  • l’approccio basato sul rischio;
  • i profili e la politica di sicurezza dei dati personali e la procedura del Data Breach;
  • la gestione della procedura di esercizio dei diritti dell’Interessato;

La Contitolarità è riferita al Trattamento dei Dati Personali, come sopra definiti del Regolamento ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.

I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal Regolamento (EU) 2016/679 e dalle disposizioni di legge vigenti in materia di tutela dei dati personali. In particolare, con il presente accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti e per l’adempimento di obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo.

I Contitolari si obbligano in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei Dati Personali.

Sicurezza delle informazioni

Il Contitolare del Trattamento è tenuto a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità, conformemente al piano della sicurezza stabilito. Il Contitolare del Trattamento deve verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione al Titolare.

Il Contitolare del Trattamento adotterà tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico.
Il Contitolare eseguirà un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
Decisioni in merito ai trasferimenti internazionali di dati personali
La presente politica dei Contitolari prevede che i Dati Personali saranno trattati all’interno del territorio dell’Unione Europea.

Nell’ipotesi in cui per questioni di natura tecnica e/o operativa si renderà necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, il trasferimento dei Dati Personali, limitatamente allo svolgimento di specifiche attività di Trattamento, sarà regolato in conformità a quanto previsto dal capo V del Regolamento.
Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei Dati Personali basando tale trasferimento: (i) su decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea; (ii) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’articolo 46 del Regolamento; (iii) sull’adozione di norme vincolanti d’impresa.

Periodo di conservazione dei dati

Uno dei principi applicabili al Trattamento dei Suoi Dati Personali riguarda la limitazione del periodo di conservazione, disciplinata all’articolo 5, comma 1, punto e) del Regolamento che recita “i Dati Personali sono conservati in una forma che consenta l’identificazione degli Interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i Dati Personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, comma 1, del Regolamento UE,  fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’Interessato”. Alla luce di tale principio, i Dati Personali saranno trattati dal Titolare del Trattamento limitatamente a quanto necessario per il perseguimento della finalità descritte nelle Informative dei Contitolari.

In particolare, i Dati Personali saranno trattati per un periodo non eccedente alla finalità perseguita, ossia fino alla cessazione degli eventuali rapporti precontrattuali e contrattuali in essere con i Contitolari, tenuto conto dei termini di prescrizione legale e degli obblighi di conservazione di natura fiscale o di altra natura previsti da norme di legge o di regolamento per cui si applicherà il principio di non eccedenza (art.6 lettera f) in tale caso i dati saranno conservati per non più di 10 anni che coincidono con i termini civilistici. Da ultimo i dati forniti potranno essere trattati per la tutela di interessi legittimi dei Contitolari tra cui la difesa in giudizio. Anche in questo caso si applicherà il principio di non eccedenza (art.6 lettera f) in tale caso i dati saranno conservati per 10 anni che coincidono con i termini civilistici.

Diritti

In particolare, i diritti che potrà esercitare, in qualsiasi momento, nei confronti del Titolare del Trattamento sono i seguenti.

Diritto di accesso: il diritto, a norma dell’articolo 15, comma 1 del Regolamento UE, di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un Trattamento dei Dati Personali e in tal caso, di ottenere l’accesso a tali Dati Personali ed alle seguenti informazioni: a) le finalità del Trattamento; b) le categorie di Dati Personali in questione; c) i Destinatari o le categorie di Destinatari a cui i Dati Personali sono stati o saranno comunicati, in particolare se Destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei Dati Personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’Interessato di chiedere al Titolare del Trattamento la rettifica o la cancellazione dei Dati Personali o la limitazione del Trattamento dei Dati Personali che lo riguardano o di opporsi al loro Trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i Dati Personali non siano raccolti presso l’Interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, commi 1 e 4, del Regolamento e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale Trattamento per l’Interessato.

Diritto di rettifica: a norma dell’articolo 16 del Regolamento, la rettifica dei Suoi Dati Personali che risultino inesatti. Tenuto conto delle finalità del Trattamento, inoltre, potrà ottenere l’integrazione dei Suoi Dati Personali che risultino incompleti, anche fornendo una dichiarazione integrativa.

Diritto alla cancellazione: potrà ottenere, a norma dell’articolo 17, comma 1 del Regolamento, la cancellazione dei Suoi Dati Personali senza ingiustificato ritardo ed il Titolare del Trattamento avrà l’obbligo di cancellare i Suoi Dati Personali, qualora sussista anche solo uno dei seguenti motivi: a) i Dati Personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) ha provveduto a revocare il consenso su cui si basa il Trattamento dei Suoi Dati Personali e non sussiste altro fondamento giuridico per il loro Trattamento; c) si è opposto al Trattamento ai sensi dell’articolo 21, comma 1 o 2 del Regolamento e non sussiste più alcun motivo legittimo prevalente per procedere al Trattamento dei Suoi Dati Personali; d) i Suoi Dati Personali sono stati trattati illecitamente; e) risulta necessario cancellare i Suoi Dati Personali per adempiere ad un obbligo di legge previsto da una norma comunitaria o di diritto interno. In alcuni casi, come previsto dall’articolo 17, comma 3 del Regolamento, il Titolare del Trattamento è legittimato a non provvedere alla cancellazione dei Suoi Dati Personali qualora il loro Trattamento sia necessario, ad esempio, per l’adempimento di un obbligo di legge, per motivi di interesse pubblico, per fini di archiviazione nel pubblico interesse o a fini statistici, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Diritto di limitazione del trattamento: potrà ottenere la limitazione del Trattamento, a norma dell’articolo 18 del Regolamento, nel caso in cui ricorra una delle seguenti ipotesi: a) ha contestato l’esattezza dei Dati Personali (la limitazione si protrarrà per il periodo necessario al Titolare del Trattamento per verificare l’esattezza di tali Dati Personali); b) il Trattamento è illecito ma si è opposto alla cancellazione dei Dati Personali chiedendone, invece, che ne sia limitato l’utilizzo; c) benché il Titolare del Trattamento non ne abbia più bisogno ai fini del Trattamento, i Dati Personali servono per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) si è opposto al Trattamento ai sensi dell’articolo 21, comma 1, del Regolamento ed è in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del Trattamento rispetto a quelli dell’Interessato. In caso di limitazione del Trattamento, i Dati Personali saranno trattati (e informeremo l’Interessato prima che tale limitazione venga revocata) salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante. Diritto alla portabilità dei dati: l’Interessato potrà, in qualsiasi momento, richiedere e ricevere, a norma dell’articolo 20, comma 1 del Regolamento, che tutti i Dati Personali siano trattati dal Titolare del Trattamento in un formato strutturato, di uso comune e leggibile oppure richiederne la trasmissione ad altro titolare del trattamento senza particolari difficoltà. In questo caso, sarà compito dell’Interessato fornirci tutti gli estremi esatti del nuovo titolare del trattamento a cui intende trasferire i Dati Personali fornendoci autorizzazione scritta.

Diritto di opposizione: a norma dell’articolo 21, comma 2 del Regolamento l’Interessato potrà opporsi in qualsiasi momento, al Trattamento dei Dati Personali qualora questi vengano trattati per finalità di marketing, compresa la profilazione nella misura in cui sia connessa a marketing diretto.

Diritto di proporre un reclamo all’autorità di controllo: fatto salvo il diritto dell’Interessato di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora ritenesse che il Trattamento dei Dati Personali condotto dal Titolare del Trattamento avvenga in violazione del Regolamento e/o della normativa applicabile, potrà proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali competente.

Tali diritti potranno essere esercitati rivolgendosi al ciascun Titolare del Trattamento ovvero ai Contitolari.

Si rende noto che i Contitolari hanno ha nominato un Data Protection Officer, al quale è possibile rivolgersi per qualsiasi informazione in materia di protezione dei dati personali al seguente indirizzo: dpo@assimprese.bo.it.

Le parti convengono quindi che per le richieste di esercizio dei diritti e gli eventuali reclami presentati dai contraenti o utenti saranno gestiti in via esclusiva dal Referente per gli Interessati contattabile all’indirizzo email dpo@assimprese.bo.it restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di ciascun Contitolare ai sensi dell’art. 26, comma 3, del Regolamento sopra citato, evocando ciascun Titolare. Resta inteso tra le parti che, ai sensi dell’art. 26, comma 3, del Regolamento (EU) 2016/679, indipendentemente dalle disposizioni del presente accordo, l’Interessato potrà esercitare i propri diritti nei confronti di e contro ciascun contitolare del trattamento.