Accordo contitolarità Assodata ISDIFOG

Accordo di contitolarità sottoscritto dai contitolari del trattamento

Tra

ASSODATA con sede legale in Lucca (LU), via M. Civitali 509, c.f. 92066640464, mail: info@assodata.it in persona del suo Presidente Pro tempore

IS.DI.FO.G. SRLS (di seguito ISDIFOG) Sede Via M. Civitali 509 55100, c.f. 02485330464 Email: info@istitutodiformazionegiuridica.it, in persona del suo Legale rappresentante pro tempore

(di seguito, congiuntamente, i “Contitolari”)

Premesso che:

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, applicabile definitivamente a tutti gli stati membri dal 25 maggio 2018, ha introdotto varie novità tra le quali assume particolare rilievo l’approccio basato sul principio di accountability inteso come elemento di responsabilizzazione dei soggetti coinvolti nel trattamento dei dati;

Il Titolare del trattamento dei dati personali, in continuità con il D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, rappresenta, nell’ambito del quadro normativo in materia di protezione dei dati, il soggetto a cui competono le decisioni relative alle finalità e ai mezzi del trattamento (art. 4 GDPR);

Il Regolamento UE non esclude la possibilità che in talune circostanze uno o più soggetti possano determinare congiuntamente le finalità e i mezzi del trattamento dei dati. In tal senso si esprime l’art. 26 del Regolamento UE che configura tali soggetti quali “contitolari” del trattamento con rispettive responsabilità da ripartire e definire in modo trasparente in un accordo interno;

Il D.Lgs. 18 maggio 2018, n. 51, attuativo della Direttiva UE 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, all’art. 17 disciplina l’ipotesi della contitolarità analogamente a quanto previsto dal Regolamento UE 2016/679;

In termini pratici come evidenziato anche dal parere n. 1/2010 del WP29 sussiste la contitolarità “quando varie parti determinano, per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti che caratterizzano il titolare del trattamento” tenendo conto che “la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”;

In relazione a quanto delineato dal parere n. 1/2010 WP29 e all’interpretazione letterale dell’art. 17 del D.Lgs. 51/2018, attuativo della Direttiva UE 2016/680, e dell’art. 26 del Regolamento UE 2016/679, i rapporti tra contitolari possono quindi articolarsi in modo asimmetrico, nel senso che in alcune situazioni i soggetti coinvolti possono determinare in misura diversa le finalità e/o i mezzi e conseguentemente ciascuno di essi risponde solo per una parte del trattamento;

In tale scenario si inserisce il presente accordo che regola l’attività di organizzazione di eventi formativi da parte dei Titolari indicati in epigrafe, in particolare il Corso Responsabile della Protezione dati mod webinar che si terrà a partire dall’8 maggio 2020

SI CONCORDA QUANTO SEGUE

Premesse

Le premesse costituiscono parte integrante del presente Accordo.

Oggetto dell’accordo

Il presente accordo di contitolarità mira quindi a regolamentare l’ambito di azione e le responsabilità dei contitolari del trattamento in merito all’osservanza degli obblighi derivanti dal Regolamento UE e la normativa . In particolare, l’accordo ha lo scopo di definire i compiti dei contitolari relativamente alle attività riconducibili a ciascuno di essi e nell’ambito dell’attività di organizzazione e realizzazione degli eventi.

3. Tipologie dei dati e ambito di trattamento

3.1 Tipologie dei dati trattati

Nel rispetto del principio di finalità e di proporzionalità, per la realizzazione del progetto vengono raccolti e registrati solo i dati personali c.d. comuni dei soggetti che partecipano agli eventi, anche in qualità di relatori. Saranno raccolti i dati personali di soggetti interessati all’iscrizione, iscritti, relatori e di eventuali ospiti. Nel rispetto dei principi di pertinenza e limitazione del trattamento di cui al GDPR i contitolari ognuno per il proprio ambito potrà raccogliere il nome e cognome, codice fiscale, indirizzi email e di residenza, nonché relativi a qualifiche professionali e/ relativi alla posizione fiscale se pertinenti alle finalità determinate dal Titolare e meglio descritte al paragrafo che segue.

3.2 Ambiti di trattamento

Le parti hanno stabilito che il trattamento per la realizzazione dell’evento formativo oggetto del contratto fra di loro intercorso di articolerà nelle seguenti fasi: (i) progettazione e definizione dei contenuti; (ii) promozione, marketing e commercializzazione; (iii) organizzazione, logistica e segreteria organizzativa; (iv) costi per la realizzazione del Corso di formazione, corrispettivi, modalità, termini di pagamento e gestione dei costi.

I contitolari hanno stabilito modalità, tempi, modi e durata dell’attività necessaria alla realizzazione dell’evento e suddiviso in esso anche le attività di trattamento dati, punti 5, 6, 7 e 8 del contratto. La suddivisione delle attività di trattamento di dati personali fra contitolari è meglio descritta al successivo paragrafo 4 di questo accordo.

4. Contitolarità del trattamento

Il Regolamento UE 2016/679 e la normativa in materia di privacy italiana insistono sulla necessità di delineare con chiarezza i ruoli, i compiti e le responsabilità per garantire principalmente i diritti delle persone interessate (soggetti a cui si riferiscono i dati personali). Come descritto in premessa, quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento essi sono contitolari e in quanto tali sono tenuti, ciascuno per la propria parte, ad adottare le relative misure, tecniche e organizzative, per garantire la protezione dei dati personali. La realizzazione del progetto e la gestione delle attività connesse e strumentali prevedono la partecipazione attiva e la condivisione delle finalità e dei mezzi. I Contitolari trattano i dati degli interessati (persone fisiche) congiuntamente come di seguito descritto per una migliore gestione delle attività finalizzate alla realizzazione del progetto.

CONTITOLARI

FUNZIONI E ATTIVITA’

Assodata

attività di progettazione e definizione dei contenuti dell’evento; lettere di incarico relatori, attività di assistenza partecipanti o interessati a partecipare; attività di coordinamento e tutoraggio; attività di raccolta iscrizioni.

Attività in condivisione: lettere di incarico ai relatori, attività di promozione e marketing dell’evento (trattamento dati destinatari della comunicazione e di coloro che richiedano maggiori informazioni)

Isdifog srls Unipersonale

Attività di fatturazione ai partecipanti, attività di segreteria amministrativa, attività di pagamento fornitori.

5. Ambito di comunicazione

I contitolari si impegnano ad autorizzare le persone fisiche facenti parte della propria organizzazione a trattare i dati personali e a nominare, laddove sussistono i presupposti, come responsabili del trattamento i soggetti esterni che potrebbero eventualmente intervenire nelle operazioni di trattamento per conto dei contitolari stessi. Precisamente, i dati di natura personale potranno essere comunicati a destinatari appartenenti alle seguenti categorie:

soggetti che forniscono servizi per la gestione del sistema informatico e delle reti di telecomunicazioni (ivi compresa la posta elettronica);
soggetti che forniranno servizi necessari alla realizzazione delle finalità concordate;
incaricati del trattamento ai sensi dell’art 2 quaterdecies Codice Privacy.
autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di Autorità pubbliche, su richiesta;

In caso di trasferimento dei dati all’esterno dell’Unione Europea, i dati dovranno essere trattati nei limiti e alle condizioni del Regolamento UE 2016/679 previa comunicazione fra le parti.

7. Ulteriori compiti

7.1 Informativa Privacy

I contitolari hanno provveduto a redigere un contenuto minimo e condiviso per l’ informativa privacy che ognuno di essi è tenuto a rendere agli interessati del trattamento

7.2 Esercizio dei diritti dell’interessato

Tutte le richieste di esercizio dei diritti di cui agli artt. 15-22 del Regolamento UE 2016/679 saranno gestite, per conto e nell’interesse dei Contitolari info@assodata.it Tel.0583.1553020

7.3 Sicurezza del trattamento

Nel rispetto dei principi di cui all’art. 32 del Regolamento UE 2016/679 i contitolari nei limiti delle funzioni esercitate e delle rispettive prerogative, tenendo conto anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento).

Nel valutare l’adeguato livello di sicurezza i singoli contitolari concordano che devono tenere conto dei rischi di:

Perdita;
Distruzione;
Modifica;
Divulgazione non autorizzata;
Accesso accidentale o illecito a dati personali trasmessi, conservati o comunque trattati.

I Contitolari, in quanto parti dell’Accordo si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, sia con riferimento a strumenti, archivi e supporti cartacei, sia con riferimento a strumenti e mezzi digitali e informatici utilizzati.

7.4 Data Breach

Si intende per Data Breach ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal titolare del trattamento.

Ai sensi e per gli effetti dell’art. 33 Regolamento UE 2016/679, il titolare del trattamento, in caso di violazione di dati personali, notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore è corredata dai motivi di ritardo.

Ai sensi e per gli effetti dell’art. 34 Regolamento UE 2016/679, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo qualora la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.

Le parti concordano e convengono che in caso di violazione di dati personali relativi al trattamento in oggetto – suscettibili di notifica all’autorità competente – coinvolgeranno prima dell’invio della suddetta comunicazione il contitolare affinché possa fornire proprie osservazioni e valutare congiuntamente la necessità e il contenuto delle comunicazioni agli interessati.

7.5 DPIA

Per ogni nuova iniziativa che comporti l’utilizzo di nuove tecnologie per il trattamento dei dati, o in caso di modifiche di strumenti del trattamento già adottati (art. 35 s.s. Regolamento UE 2016/679 – art. 23 e 24 D.Lgs. 51/2018), i Contitolari si impegnano a collaborare per la valutazione dei rischi connessi e delle misure tecniche ed organizzative da adottare a tutela dei dati personali.

8. Varie

8.1 modifiche

Qualsiasi modifica al presente accordo è ammessa solo con il consenso di tutti i Contitolari.

8.2 pubblicità

L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.

8.3 aggiornamenti

Ai sensi dell’articolo 26 comma 2 del Regolamento UE 2016/679, il contenuto essenziale del presente accordo sarà pubblicato sul sito web di ciascuna società in pagina dedicata ( www.assodata.it e www.isdifog.it) e in tal modo messo a disposizione degli interessati.

8.4 durata

Il presente accordo a durata pari al contratto per cui è causa e per quanto qui non disciplinato si rinvia allo stesso e alle norme civilistiche in materia di contratti fra le parti.

8.5 normativa interna

Ognuna delle parti si obbliga a comunicare all’altra le disposizioni normative ad essa applicabili in materia di privacy e rilevanti per quanto oggetto di questo accordo, al fine di evitare violazione della legge interna agli stati membri.

9. informativa alle parti

I sottoscritti dichiarano di aver ricevuto, letto e compreso dalla controparte idonea informativa circa il trattamento dei loro dati personali relativamente a questo accordo e i contratti connessi e collegati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessario".
KHcl0EuY7AKSMgfvHl7J5E7hPtK	20 anni	Questo cookie viene utilizzato per gestire le strutture di acquisto offerte sul nostro sito tramite Paypal.
sc_f	5 anni	Cookie impostato tramite il widget di pagamento che è incorporato nella pagina di checkout tramite un iframe. Paypal utilizza i cookie sul suo sito web per riconoscere i propri clienti e per ridurre il tempo necessario all'utente per accedere al suo account Paypal controllando la sua e-mail sul database Paypal.
ts	3 years	Paypal imposta questo cookie per consentire transazioni sicure tramite Paypal.
ts_c	3 anni	Paypal imposta questo cookie per effettuare pagamenti sicuri tramite Paypal.
tsrce	3 giorni	Paypal imposta questo cookie per abilitare il servizio di pagamento Paypal nel sito web.
viewed_cookie_policy	1 anno	Il cookie è impostato dal plugin GDPR Cookie Consent per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
x-cdn	sessione	Paypal imposta questo cookie per riconoscere i clienti ed elaborare i pagamenti.

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati relativi a visitatori, sessioni e campagne e tiene traccia dell'utilizzo del sito per il report del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat	1 minuto	Questo cookie viene installato da Google Universal Analytics per limitare il tasso di richiesta e quindi limitare la raccolta di dati su siti ad alto traffico.
_gat_gtag_UA_*	1 minute	Impostato da Google per distinguere gli utenti.
_gid	1 giorno	Installato da Google Analytics, _gid cookie memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
_fbp	3 mesi	Questo cookie è impostato da Facebook per visualizzare annunci pubblicitari quando si visita il sito Web su Facebook o su una piattaforma digitale alimentata da pubblicità Facebook.
fr	3 mesi	Facebook imposta questo cookie per mostrare annunci pubblicitari pertinenti agli utenti tracciando il comportamento degli utenti sul Web, su siti che hanno Facebook pixel o Facebook social plugin.