TRA
ACCORDO DI CONTITOLARITA’ NEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 26 DEL REGOLAMENTO (EU) 2016/679
TRA
• Legambiente Nazionale APS, Xxx Xxxxxxx x.000- 00000 Xxxx (XXXX)- P.IVA 02143941009 (nel seguito “Legambiente“),
• Nome
Scuola
e
_ ,
Indirizzo __ CAP _
Città _ _ Codice Fiscale _ (nel seguito denominata anche “Istituto scolastico”),
(di seguito denominati singolarmente “Parte”, congiuntamente “Contitolari” o “Parti”)
Premesso che
• Legambiente e l’Istituto scolastico cooperano nell’organizzare la “Festa dell’Albero”, giornata volta a sensibilizzare alle tematiche riguardanti la salvaguardia del territorio e la difesa del patrimonio forestale; tale iniziativa comporta la necessità di determinare congiuntamente le finalità e i mezzi del trattamento dei dati personali coinvolti nella realizzazione della stessa;
• ai sensi dell’art.26, paragrafo 1, del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (nel seguito “GDPR”), riportante: “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”;
• a norma dell’articolo 26, paragrafo 2 del GDPR, “l'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato”;
• è intenzione delle Parti contraenti regolamentare in modo trasparente i diritti e gli obblighi reciproci quali conseguono alla puntuale osservanza delle norme e dei principi contenuti nel GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati, sottoscrivendo il presente accordo.
Si conviene e stipula quanto segue
1. Pattuizioni preliminari
1. Nell’ambito delle rispettive responsabilità come determinate dal presente accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee guida e dei codici di condotta applicabili, di volta in volta approvati dall’Autorità di controllo.
2. Resta inteso tra le Parti che, ai sensi dell’art. 26, comma 3, del GDPR indipendentemente dalle disposizioni del presente accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del trattamento.
3. I Contitolari si impegnano reciprocamente a proteggere i dati personali di ogni persona fisica che si trovasse ad avere contatto o ad operare con i medesimi (“Interessato”), nel rispetto dell’identità, della dignità di ogni essere umano e delle libertà fondamentali costituzionalmente garantite, nel rispetto del GDPR relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione degli stessi.
6. Qualsiasi modifica od integrazione del presente accordo potrà farsi soltanto con la sottoscrizione da entrambe le parti a pena di nullità.
7. Il contenuto essenziale di questo accordo di Contitolarità è messo a disposizione dell’Interessato da parte di ciascuno dei Contitolari.
2. Oggetto del trattamento
• L’oggetto del presente accordo è l’instaurazione di un rapporto di contitolarità tra le Parti per il trattamento dei dati personali effettuato in relazione alla gestione della campagna “Festa dell’Albero” che avrà luogo presso l’Istituto scolastico, intendendo i termini “trattamento” e “dati personali” come definiti nell’art.4 del GDPR.
• Le Parti hanno stabilito congiuntamente i mezzi e le finalità delle attività di trattamento di seguito descritte:
Contitolari | TRATTAMENTO | TIPOLOGIA DI DATI PERSONALI | CATEGORIA DI INTERESSATI |
Istituto scolastico | • raccolta dei dati personali e iscrizione all’iniziativa | - nome, cognome, codice fiscale | Partecipanti all’iniziativa |
Legambiente | • conservazione e gestione dei dati personali a fini assicurativi |
• I Contitolari dichiarano, in merito al trattamento dei Dati Personali, di condividere le decisioni relative alle finalità e modalità del trattamento di dati e, in particolare:
i dati personali degli interessati quali partecipanti all’iniziativa;
le finalità del trattamento di dati personali, ciascuna con le proprie specificità legate alle attività concretamente svolte;
- i mezzi del trattamento e le modalità del trattamento di dati personali;
- la politica di conservazione dei dati;
- lo stile e le modalità di comunicazione delle informative artt. 13 e 14 del GDPR;
- la designazione e la formazione dei soggetti autorizzati;
- la tenuta dei registri del trattamento ai sensi dell’art. 30 del GDPR;
- le garanzie nel caso di trasferimento dei dati all’esterno della UE;
- gli strumenti ed i mezzi utilizzati per l’attuazione delle decisioni e in parte anche per l’operatività dei Contitolari soprattutto in relazione alle misure di sicurezza fisiche, organizzative e tecniche;
- i profili e la politica di sicurezza dei dati personali, la procedura del “Data Breach”;
- la gestione della procedura di esercizio dei diritti dell’Interessato.
3. Obblighi e Responsabilità
• I Contitolari sono tenuti a rispettare i principi applicabili al trattamento dei dati personali ai sensi dell’art.5 del GDPR. In particolare si impegnano affinché la politica della protezione dei dati personali, e quanto ne consegue, sia compresa, attuata e sostenuta da tutti i soggetti, interni ed esterni, coinvolti nelle attività sopradescritte.
• I Contitolari si impegnano a mantenere e garantire la riservatezza e la protezione dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità.
• I Contitolari si impegnano con particolare riguardo all’esercizio dei diritti dell’Interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, ad uniformare le modalità, lo stile, i modelli e soprattutto le procedure per la protezione dei dati personali a favore dell’Interessato.
• La comunicazione dei dati personali avverrà curandone l’esattezza, la veridicità, l’aggiornamento, la pertinenza e la non eccedenza rispetto alle finalità per le quali sono stati raccolti e saranno successivamente trattati.
• I Contitolari si obbligano, in solido tra loro, a predisporre, attuare e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei dati personali.
• I Contitolari si impegnano a non divulgare in alcun modo e a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità e si obbligano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente accordo.
• I Contitolari sono responsabili in solido nei confronti degli interessati per i danni causati da un trattamento non conforme al Regolamento.
4. Persone autorizzate al trattamento
• Ciascuno dei Contitolari dovrà identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati trattati nel perseguimento dell’iniziativa comune, identificando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR (ed ai sensi dell’art. 2-quaterdecies del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e ss.mm.ii.), provvedendo alla relativa formazione, anche in merito ai principi di liceità e correttezza a cui deve conformarsi la presente politica per la protezione ed il trattamento dei dati personali, nonché al rispetto delle misure di salvaguardia adottate.
• Ciascuno dei Contitolari identifica un referente interno alla propria struttura, con il compito di relazionarsi con analogo soggetto designato dall’altra parte, a presidio del corretto adempimento di quanto previsto dal presente accordo. Il nominativo ed i dati di contatto del referente interno sono tempestivamente comunicati all’altra parte, anche in caso di variazione.
5. Sicurezza del trattamento (ex art.32 GDPR)
• Ciascuno dei Contitolari è tenuto a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate al fine di proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità, “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
• I Contitolari si impegnano ad adottare misure di sicurezza tecniche e organizzative adeguate per garantire il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico o tecnico.
6. Data breach (ex art. 33 e 34 GDPR)
• Ciascun Contitolare per i trattamenti di propria competenza nel momento in cui venisse a conoscenza di un’avvenuta violazione dei dati personali trattati, dovrà notificare la violazione all’Autorità di Controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dall’avvenuta conoscenza, dandone previa informazione all’altro contitolare. Inoltre, qualora la violazione presenti un rischio elevato per i diritti e le libertà degli interessati ciascun Contitolare dovrà darne comunicazione, senza ingiustificato ritardo, agli interessati stessi, dandone previa comunicazione all’altro Contitolare.
• Ciascun Contitolare si impegna a predisporre e tenere aggiornato un registro interno delle violazioni di dati personali nonché a raccogliere e conservare tutti i documenti relativi ad ogni violazione, compresi quelli inerenti alle circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
7. Garanzie in merito ai trasferimenti internazionali di dati personali
• Il presente accordo prevede che i dati personali saranno trattati all’interno del territorio dell’Unione Europea.
• Nell’ipotesi in cui per questioni di natura tecnica e/o operativa si rendesse necessario avvalersi di soggetti ubicati al di fuori dell’Unione Europea, il trasferimento dei dati personali, limitatamente allo svolgimento di specifiche attività di trattamento, sarà regolato in conformità a quanto previsto dal capo V del GDPR. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati personali basando tale trasferimento:
(i) su decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea;
(ii) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’articolo 46 del GDPR;
(iii) sull’adozione di norme vincolanti d’impresa.
8. Esercizio dei diritti da parte dell’Interessato
• I Contitolari provvederanno a garantire, ciascuno per quanto di rispettiva competenza, all’interessato l’esercizio dei diritti di cui al presente articolo. A tal fine verranno condivise procedure per la concreta attuazione dei presenti diritti dell’interessato, anche ai fini del rispetto dei termini previsti dalla normativa.
• Resta fermo quanto previsto dal GDPR in merito al fatto che, indipendentemente dalle disposizioni del presente Accordo, l’interessato può esercitare i propri diritti nei confronti di confronti di ciascun Contitolare.
9. Responsabile della Protezione dei dati personali
• Ciascuno dei Contitolari rende noto di aver provveduto alla nomina del Responsabile della Protezione dei Dati personali (RPD o DPO) in conformità alla previsione contenuta nell’art. 37, par. 1, lett a) del GDPR. Detto nominativo è stato altresì comunicato all’Autorità Garante per la Protezione dei dati personali con procedura telematica.
10.Trattamento dati al termine del contratto di contitolarità
• Alla cessazione del presente accordo, indipendentemente dalla causa, ciascuna Parte rimarrà Titolare autonomo del trattamento dei dati personali. Le Parti concorderanno le modalità tecniche, organizzative e procedurali necessarie per la consegna e dismissione dei dati personali oggetto di trattamento.
• Le Parti provvederanno, al termine delle operazioni di trattamento, alla integrale cancellazione o all’inintelligibilità dei dati personali, salvo i casi in cui la conservazione degli stessi sia richiesta da norme di legge o altri motivati fini.
11.Comunicazioni
Eventuali modifiche al presente accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.
12.Disposizioni finali
Per quanto non espressamente indicato nel presente accordo, le Parti rinviano al GDPR, alle disposizioni di legge vigenti nonché ai provvedimenti dell’Autorità di controllo.
Roma, lì 21 ottobre 2022 (Legambiente Nazionale APS)
Firma del responsabile legale _
/ / _(Nome Scuola _ )
___ _, lì
Firma del responsabile legale _