• Home
  • Contenuti essenziali dell’Accordo di Contitolarità disponibile degli interessati ai sensi dell’art. 26.2 del GDPR

Contenuti essenziali dell’Accordo di Contitolarità disponibile degli interessati ai sensi dell’art. 26.2 del GDPR

Qual è il motivo della responsabilità congiunta?

Confartigianato Imprese Vicenza, Federazione Artigiani Imprenditori Vicentini (“FAIV”), SPAVI SRL, CAAF CONFARTIGIANATO VICENZA SRL e CESAR SRL, tutte con sede in Via E. Fermi n. 134 – 36100 Vicenza (di seguito i “Contitolari” o le “Parti”), informano gli Interessati che, nello svolgimento delle rispettive attività, operano dei trattamenti di dati personali determinandone congiuntamente le finalità e le modalità.

Le Parti hanno stabilito di comune accordo l’ordine di trattamento di tali dati nelle singole fasi del processo e risultano pertanto contitolari per la protezione dei dati personali degli interessati nell’ambito delle fasi del processo descritte di seguito.

Per quali fasi del processo esiste una “responsabilità comune” (Contitolarità)?

Viene fornita una breve e facilmente comprensibile descrizione del contenuto delle fasi del processo. 

Le operazioni di trattamento (ove per esse si intendono, per esempio, la registrazione, modifica, cancellazione, estrazione ecc.) svolte dai Contitolari riguardano i dati contenuti nel database CRM Generale di proprietà di Confartigianato Imprese Vicenza, gestito tramite software di cui è titolare del diritto d’autore Spavi. Tale database è accessibile, secondo logiche predefinite da Confartigianato, anche dalle altre Parti, le quali provvedono ad alimentare lo stesso con informazioni ivi registrate. 

Di seguito vengono descritte le finalità perseguite mediante tale strumento (secondo l’ordine indicato nell’Informativa resa disponibile agli Interessati), in relazione alle quali le Parti assumono la veste di Contitolari:

  • a) gestione delle anagrafiche/agende e profilazione base: le Parti a tal fine convengono che assumono la veste di Contitolari del trattamento in relazione alle operazioni – reciprocamente coordinate – di raccolta, registrazione, comunicazione e accesso al CRM Generale, modifica, estrazione, consultazione, raffronto, messa a disposizione degli altri Partecipanti, distruzione, cancellazione.
  • b) gestione coordinata delle azioni di recupero crediti: le Parti a tal fine convengono che assumono la veste di Contitolari in relazione ad ogni trattamento, in relazione alle operazioni – reciprocamente coordinate – di raccolta, registrazione, comunicazione e accesso al CRM Generale insoluti, modifica, estrazione, consultazione, raffronto, messa a disposizione degli altri Partecipanti, distruzione, cancellazione dei dati.
  • c) marketing diretto dei servizi di ciascuna Parte, sia servizi propri che cross-selling dei servizi di qualsiasi soggetto suddetto diverso dalla Parte promotrice: in relazione a tale trattamento i Partecipanti assumono la veste di Contitolari nei limiti delle Linee Guida CONFARTIGIANATO che regolano il coordinamento delle rispettive decisioni e responsabilità circa le finalità e modalità del trattamento. 
  • d) pianificazione, esecuzione e monitoraggio di campagne di marketing diretto concernenti i propri rispettivi servizi e per finalità di cross-selling di servizi delle altre Parti: le Parti assumono per tale trattamento la veste di Contitolari nei limiti delle presenti linee guida di CONFARTIGIANATO che regolano i il coordinamento delle decisioni e responsabilità circa le modalità del trattamento di marketing (es. scelta di canali promozionali, utilizzo di basi giuridiche obbligatorie quali l’eventualmente necessario specifico previo consenso degli interessati) 

Come vengono trattati i dati personali nei sistemi?

I Contitolari del Trattamento:

  • mettono in atto tutte le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità dai rischi di relativa perdita, distruzione, alterazione, accesso non autorizzato e trattamento non conforme alla normativa in tema di protezione dei dati personali; le misure vengono descritte dai Contitolari mediante strumenti condivisi;
    Le suddette misure tengono conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
  • devono verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione al Titolare;
  • eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di mantenerlo sempre adeguato al rischio.

Cosa hanno concordato le parti?

Nell’ambito dei trattamenti operati in contitolarità, i Contitolari hanno concordato come adempiere congiuntamente o individualmente agli obblighi previsti dal GDPR.

Ciò riguarda in particolare le modalità di reciproco coordinamento delle logiche di trattamento elettronico dei dati personali degli interessati (in particolare tramite l’infrastruttura tecnologica erogata ai Contitolari da parte di SPAVI e/o da terzi fornitori selezionati da SPAV, l’esercizio dei diritti degli interessati e l’adempimento degli obblighi di informazione di cui agli artt. 13 e 14 del GDPR, nonché l’adempimento degli obblighi legali di tutela degli interessati (inclusa comunicazione e notifica ove dovuta per legge) nel caso di violazione di dati personali degli interessati. 

Per la descrizione delle rispettive responsabilità si fa rinvio alla versione completa dell’accordo di contitolarità che può essere richiesta dagli interessati ai Contitolari utilizzando gli strumenti di contatto indicati nell’informativa privacy a disposizione degli interessati. 

Cosa significa questo per gli interessati?

Ciascuna Parte mette gratuitamente a disposizione degli interessati le informazioni richieste ai sensi degli Artt. 13 e 14 del GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio chiaro e semplice, tramite un’Informativa comune ai diversi Contitolari. A tal fine, ciascuna Parte fornisce all’altra tutte le informazioni necessarie provenienti dalla propria organizzazione.

Ciascuna Parte informa immediatamente l’altra circa le posizioni giuridiche assunte dagli interessati. Le Parti si forniscono reciprocamente tutte le informazioni necessarie per rispondere alle richieste di accesso e in generale alle richieste di esercizio dei diritti provenienti dalle diverse categorie di interessati.

Infine, i diritti in materia di protezione dei dati personali possono essere fatti valere nei confronti di ciascuna Parte, presso i rispettivi punti di contatto indicati nell’Informativa privacy resa disponibile dalle Parti, specificando un punto di contatto presso cui l’interessato chiedere di ricever una risposta. In linea di principio, gli interessati ricevono l’informazione dalla Parte con cui fanno valere i loro diritti.