ACCORDO Dl CONTITOLARITA' NEL TRATTAMENTO DEI DATI PERSONALI
Al SENSI DELL'ART. 26 DEL REGOLAMENTO (EU) 2016/679
TRA
ANFFAS Onlus Brescia con sede in Via Michelangelo 405 - Brescia, codice fiscale
98101530172, partita Iva 02391340987, in persona del legale rappresentante (di seguito il "Titolare del trattamento")
E
FO.B.A.P. Onlus, Via Michelangelo, 405, 25124 - Brescia (BS), codice fiscale e partita Iva 03475770172, in persona del legale rappresentante (di seguito "Contitolare del trattamento");
Di seguito il Titolare del trattamento e il Contitolare del trattamento saranno indicati congiuntamente come le Parti o i Contitolari e ciascuna separatamente come la Parte.
PREMESSO CHE:
A. Fra titolare e contitolare è stato costituito un servizio comune di raccolta fondi che comprende sia la gestione della raccolta di fondi e donazioni che il trattamento dei contatti di potenziali donatori, incluse le attività promozionali effettuate tramite canali email, sms o similari.
B. L'articolo 13 del citato Regolamento recita: Per l'ipotesi in cui l'esecuzione del presente Regolamento comportasse una contitolarità del trattamento di dati personali o per l'ipotesi in cui una delle Parti dovesse operare come responsabile del trattamento per conto e nell'interesse dell'altra Parte, le Parti si impegnano a sottoscrivere prima che il relativo trattamento abbia inizio un separato accordo - in conformità a quanto prescritto dal Regolamento UE n. 679/2016 - al fine di regolare il trattamento dei dati personali in questione.
C. I rispettivi ruoli e compiti sono definiti nel suddetto Regolamento agli articoli 2 e 4.
D. Ai sensi del citato articolo 13 è necessario definire i ruoli e i compiti anche relativamente ai trattamenti di dati personali ed alle misure di sicurezza da adottare e, più in generale, all'ambito di competenza del regolamento UE 679/2016, d'ora in poi anche GDPR.
E. Ogni Titolare determina le finalità e le modalità di parte dei propri trattamenti e assolve autonomamente ad alcuni dei compiti fra quelli previsti dal GDPR, come verrà specificato nei punti seguenti.
F. Il Titolare e il Contitolare del Trattamento determinano congiuntamente alcune finalità e modalità dei Trattamenti, come specificato nei punti seguenti.
G. Ai sensi dell'art. 26 del GDPR, allorché due o più titolari del trattamento determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento.
H. I contitolari del trattamento devono, pertanto, determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità ln merito all'osservanza degli obblighi derivanti dalla normativa vigente;
I. Il presente accordo deve, pertanto, disciplinare gli obblighi dei contitolari con particolare riguardo all’esercizio dei diritti dell'interessato, all'adozione delle misure di sicurezza, alla nomina degli incaricati e dei responsabili, anche esterni, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati ai sensi degli articoli 13 e 14 del GDPR.
J. Con il presente accordo (di seguito l'”Accordo") le Parti intendono instaurare un rapporto di contitolarità e disciplinare i rispettivi ruoli e responsabilità nei confronti degli obblighi derivanti da disposizioni di legge vigenti, dalle linee guida e dai codici di condotta applicabili, e nei confronti degli interessati;
K. Nell'ambito delle rispettive responsabilità come determinate dal presente Accordo, tanto il Titolare quanto il Contitolare dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili di volta in volta approvati dal Garante per la protezione dei dati personali.
L. Tutto ciò Premesso e formante parte integrante e sostanziale del presente atto, tra le Parti, come sopra rappresentante, si conviene e si stipula quanto segue.
1 Con il presente Accordo le Parti determinano le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. Con il presente Accordo le Parti stabiliscono, altresì, i rispettivi obblighi in merito all'adozione delle misure di sicurezza, all'esercizio dei diritti degli interessati e i rispettivi ruoli in merito alla comunicazione dell'informativa.
1.2. La contitolarità è riferita
1.2.1. al trattamento dei dati personali, come definito all'art. 4.2) del GDPR ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.
1.2.2. all'utilizzo delle strutture operative nelle quali si effettuano i trattamenti e delle attrezzature informatiche, nonché della adozione di regole per il loro utilizzo e la formazione degli addetti che ne dovranno disporre, attuali e future.
1 .3. Resta inteso tra le Parti che, ai sensi dell'art. 26, comma 3 del GDPR, indipendentemente dalle disposizioni del presente Accordo, l'interessato potrà esercitare i propri diritti nei confronti di e contro ciascun contitolare del trattamento.
2.1. I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal GDPR e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.
2.2. ln particolare, con il presente Accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati, per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti e gestione dei rapporti con i contraenti e con gli utenti; per l'adempimento di obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo. E’ inoltre incluso il trattamento, previo consenso dell’interessato, delle attività di raccolta e conservazione di dati personali, oltre ai trattamenti necessari ai fini di promuovere le attività del Titolare e del Contitolare. Ogni trattamento per ulteriori finalità non incluse nelle fattispecie elencate nell'articolo 6 comma 1 lettere da b) a f) e articolo 9 comma 2 lettere da b) a j) dovrà essere valutato da ogni Titolare e regolarizzato mediante acquisizione del consenso ai sensi dell'articolo 6 comma 1 lettera a) e articolo 9 comma 2 lettera a).
2.3. L'informativa di cui agli artt. 13 e 14 del Regolamento suddetto sarà redatta e fornita dal Titolare, il quale dovrà precisare nell'informativa medesima, in modo chiaro e comprensibile per l'interessato, la contitolarità del Trattamento con il Contitolare
2.4. Le Parti convengono inoltre che i reclami e le richieste di esercizio dei diritti presentati dai contraenti o utenti saranno gestiti prevalentemente dal Contitolare restando in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di entrambi i Contitolari ai sensi dell'art. 26, comma 3 del GDPR, evocando ciascun Titolare, indipendentemente dall'altro, dinanzi all'Autorità di Controllo e/o la giustizia nazionale.
2.5. I Contitolari del Trattamento saranno responsabili in solido per l'intero ammontare del danno al fine di garantire il risarcimento effettivo dell'interessato.
2.6. Pertanto, ogni Contitolare può dover risarcire in toto l'interessato che dimostra di essere stato danneggiato dal Trattamento. Soltanto in un momento successivo, il Contitolare che ha risarcito in toto l'interessato può rivalersi sull'altro Contitolare responsabile effettivo del danno, esercitando l'azione di regresso.
2.7. Anche i danni provocati all'interessato in casi di forza maggiore, saranno a carico di entrambi i Contitolari in solido che dovranno fronteggiare il rischio della forza maggiore; il Contitolare che ha pagato avrà azione di regresso nei confronti dell'altro.
2.8. Le Parti si impegnano altresì, ai sensi dell'art. 26, comma 2, del GDPR, a mettere a disposizione dell'interessato il contenuto essenziale del presente Accordo.
2.9. Con il presente Accordo, i Contitolari del Trattamento si impegnano, infine, a designare un referente quale punto di contatto per gli interessati.
3.1. Ciascun Titolare del Trattamento si impegna a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità instaurato con l'altro Titolare.
3.2. ln ogni caso, le Parti si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico e si impegnano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente Accordo.
4.1 Il Titolare del Trattamento è tenuto a mettere in atto tutte le misure di sicurezza tecniche e organizzative, incluse nomine di responsabili esterni e amministratori di sistema, sia interni che esterni adeguate a proteggere i dati personali raccolti, trattati o utilizzati nell'ambito del rapporto di contitolarità conformemente ai documenti di valutazione dei rischi.
4.2 Il Titolare del Trattamento adotterà tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico.
5.1 Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.
5.2 L'invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
5.3 Con il presente Accordo le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente, relativo al trattamento dei dati personali per il contesto indicato al punto A.
5.4 Le Parti hanno letto e compreso il contenuto del presente Accordo e sottoscrivendolo esprimono pienamente il loro consenso.