ACCORDO DI CONTITOLARITÀ – EX ART.26 REGOLAMENTO EUROPEO 2016/679

Tra

Dataone S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via dell’Industria, snc – 64025 – Pineto (TE), P. Iva 01442470678,

e

Zenko S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via dell’Industria, snc – 64025 – Pineto (TE), P. Iva 02086410673,

e

Codevo S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via dell’industria, snc – 64025 – Pineto (TE), P.Iva 02090730678,

(di seguito, congiuntamente, i “Contitolari”).

Premesso che:

  • Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, applicabile definitivamente a tutti gli stati membri dal 25 maggio 2018, ha introdotto varie novità tra le quali assume particolare rilievo l’approccio basato sul principio di accountability inteso come elemento di responsabilizzazione dei soggetti coinvolti nel trattamento dei dati;

  • Il Titolare del trattamento dei dati personali, in continuità con il D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, rappresenta, nell’ambito del quadro normativo in materia di protezione dei dati, il soggetto a cui competono le decisioni relative alle finalità e ai mezzi del trattamento;

  • Il Regolamento UE non esclude la possibilità che in talune circostanze uno o più soggetti possano determinare congiuntamente le finalità e i mezzi del trattamento dei dati. In tal senso si esprime l’art. 26 del Regolamento UE che configura tali soggetti quali “contitolari” del trattamento con rispettive responsabilità da ripartire e definire in modo trasparente in un accordo interno;

  • In termini pratici come evidenziato anche dal parere n. 1/2010 del WP29 sussiste la contitolarità “quando varie parti determinano, per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti che caratterizzano il titolare del trattamento” tenendo conto che “la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”;

  • In relazione a quanto delineato dal parere n. 1/2010 WP29 e all’interpretazione letterale dell’art. 26 del Regolamento UE 2016/679, i rapporti tra contitolari possono quindi articolarsi in modo asimmetrico, nel senso che in alcune situazioni i soggetti coinvolti possono determinare in misura diversa le finalità e/o i mezzi e conseguentemente ciascuno di essi risponde solo per una parte del trattamento;

  • Dataone S.r.l., Zenko S.r.l. e Codevo S.r.l. costituiscono, di fatto, un Gruppo aziendale nel quale Dataone S.r.l. ricopre il ruolo di Capogruppo in quanto ha il controllo di Zenko S.r.l. e di Codevo S.r.l., possedendo la maggioranza delle quote in entrambe le Società e che tutte le citate Società condividono la sede legale ed operativa in Pineto (TE), alla Via dell’Industria snc, all’interno dei locali di proprietà di Dataone S.r.l.;

  • Il servizio di reception viene espletato da addetti qualificati di Dataone S.r.l., che provvedono all’accoglienza e alla gestione degli utenti che accedono ai locali aziendali nell’interesse di tutte le Società. Pertanto, nell’ipotesi in cui gli utenti accedano come ospiti di Zenko S.r.l. e Codevo S.r.l., gli addetti al servizio di reception acquisiscono i dati personali dei visitatori attraverso la compilazione della “scheda visitatore” per finalità di sicurezza, al fine di consentire a tutte le Società di individuare le persone presenti nei propri locali in caso di incidenti e per la verifica delle persone che sono state presenti in azienda qualora si renda necessario, per le summenzionate ragioni di sicurezza e tutela dei reciproci patrimoni aziendali, conoscere l’identità delle persone presenti nei locali in determinati giorni;

  • Di conseguenza, il trattamento dei dati personali dei visitatori che accedono come ospiti di Zenko S.r.l. e Codevo S.r.l. è condiviso tra le tre Società, le quali condividono anche l’archivio cartaceo ubicato all’interno dell’area reception all’ingresso dei locali ove Dataone S.r.l., Zenko S.r.l. e Codevo S.r.l. operano, a cui hanno accesso solo i dipendenti autorizzati dalle rispettive le Aziende;

  • In tale scenario, i dati personali degli utenti ospiti di Zenko S.r.l. e Codevo S.r.l., raccolti attraverso la citata “scheda visitatore”, potrebbero essere trattati congiuntamente dalle Società firmatarie del presente accordo. Le medesime parti intendono dunque instaurare tra loro un rapporto di contitolarità nel trattamento e disciplinare, di conseguenza, i rispettivi ruoli e responsabilità nei confronti degli interessati;

  • Inoltre, al fine di aumentare il livello di sicurezza dei sistemi di accesso ai locali ove sono ubicate le Società in questione hanno deciso di proteggere alcuni punti strategici di accesso con porte apribili mediante immissione di un codice di sicurezza personale fornito da Dataone S.r.l. o da Zenko S.r.l. o da Codevo S.r.l. ai rispettivi dipendenti, o tramite la possibilità per i dipendenti stessi di accedere ai detti locali aziendali attraverso l’uso della propria impronta digitale; le Società del Gruppo, dunque, offriranno la possibilità ai propri dipendenti di accedere ai detti locali aziendali anche attraverso l’uso dell’impronta digitale, quale eventuale alternativa o affiancamento all’utilizzo del codice di accesso; il ricorso all’utilizzo del dato biometrico è lasciato alla libera volontà del dipendente;

  • Il descritto sistema hardware e software di accesso alle aree strategiche aziendali è di proprietà di Dataone S.r.l. e viene condiviso dalla stessa Capogruppo con Zenko S.r.l. e Codevo S.r.l.; Dataone S.r.l. assicura che il sistema di lettura dell’impronta digitale è conforme alla vigente normativa privacy e in particolare al Regolamento Europeo 679/2016, atteso che, tra l’altro, tutte le informazioni biometriche dei dipendenti sono codificate e crittografate dall’algoritmo Bionano di Anviz e memorizzate in un database interno e non esposto sulla rete internet; i predetti dati biometrici non possono essere utilizzati o ripristinati da alcun individuo o organizzazione e non saranno archiviati in alcuna piattaforma cloud;

  • I dati trattati mediante i dispositivi di accesso sopra descritti sono il codice di sblocco personale assegnato a ciascuno dipendente autorizzato, il dato biometrico relativo all’impronta digitale dello stesso dipendente (solo nel caso in cui il dipendente faccia richiesta di essere abilitato ad accedere mediante impronta digitale) e la registrazione degli accessi al fine di aumentare il livello di sicurezza;

  • I dati personali relativi agli accessi eseguiti dai dipendenti del Gruppo aziendale nelle aree sensibili saranno visionati solo in caso di necessità per finalità di sicurezza in relazione ai possibili accessi alle aree sensibili aziendali da parte di terzi estranei o personale non autorizzato, oltre che per tutela del patrimonio aziendale e saranno visionabili dal personale qualificato ed autorizzato della Società Capogruppo e, solo se essenziale, anche dalle controllate.

Considerato che:

  • il nuovo quadro normativo ed in particolare il Regolamento UE 2016/679 concede ai Titolari del trattamento maggiore autonomia, ma allo stesso tempo maggiori responsabilità in applicazione del principio di accountability che richiede di comprovare, anche tramite evidenze, le valutazioni, le scelte e le misure adottate a garanzia della protezione dei dati personali;

  • Il Regolamento UE 2016/679 presuppone quindi la definizione di un modello “organizzativo” con ruoli, compiti e responsabilità dei vari attori coinvolti nelle attività, nonché del perimetro di azione di ciascun soggetto per quanto riguarda il trattamento e la gestione di dati personali.

Tutto ciò premesso e formante parte integrante e sostanziale del presente atto, tra le parti, come sopra rappresentate, si conviene e si stipula quanto segue.

1. OGGETTO

1.1 Con il presente accordo le Parti determinano le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento EU 2016/679, nonché dalle disposizioni di legge vigenti con riguardo al trattamento di dati personali. Con il presente accordo le predette Parti stabiliscono, altresì, i rispettivi obblighi in merito all’esercizio dei diritti degli interessati e i rispettivi ruoli in merito alla comunicazione dell’informativa.

1.2. La contitolarità è riferita al trattamento dei dati personali, come definito all’art. 4 punto 2) del Regolamento, ed ha ad oggetto:

– il trattamento dei dati personali dei visitatori che accedono come ospiti di Zenko S.r.l. e Codevo S.r.l., che vengono acquisiti attraverso la compilazione della “scheda visitatore” per finalità di sicurezza, al fine di consentire a tutte le società del Gruppo di individuare le persone presenti nei propri locali in caso di incidenti e per la verifica delle persone che sono state presenti in azienda qualora si renda necessario, per le summenzionate ragioni di sicurezza e tutela dei reciproci patrimoni aziendali, conoscere l’identità delle persone presenti nei locali in determinati giorni;

– il trattamento dei dati personali dei dipendenti eseguito mediante i dispositivi di accesso sopra descritti, ossia il codice di sblocco personale assegnato a ciascuno dipendente autorizzato, il dato biometrico relativo all’impronta digitale dello stesso dipendente (solo nel caso in cui il dipendente faccia richiesta di essere abilitato ad accedere mediante impronta digitale) e la registrazione degli accessi al fine di aumentare il livello di sicurezza aziendale;

1.3. Resta inteso tra le parti che, ai sensi dellart.26, comma 3, del Regolamento EU 2016/679, indipendentemente dalle disposizioni del presente accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro ciascun contitolare del trattamento.

2. OBBLIGHI E RESPONSABILITÀ DEI CONTITOLARI

2.1. I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal Regolamento EU 2016/679 e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.

2.2. In particolare, con il presente accordo, i Contitolari convengono che i dati personali in questione verranno trattati esclusivamente per le finalità indicate nei punti che precedono, ognuno indipendentemente e per proprio conto, salvo la necessità o l’opportunità di doverli trattarli congiuntamente in relazione a particolari situazioni di sicurezza e di emergenza comune alle Società del Gruppo e salvo, in ogni caso, i trattamenti necessari per l’adempimento di obblighi di legge o per disposizioni impartite da Autorità a ciò legittimate dalla legge.

2.3. Le informative privacy relative ai trattamenti in questione, di cui agli artt. 13 e 14 del Regolamento suddetto, verranno predisposte da Zenko S.r.l. (la quale dovrà precisare nell’informativa medesima, in modo chiaro e comprensibile per l’interessato, la contitolarità del trattamento con Dataone S.r.l e Codevo S.r.l.) e fornite dalle Società del Gruppo agli interessati.

2.4. Le parti convengono, inoltre, che i reclami e le richieste di esercizio dei diritti presentati dagli utenti, quali interessati, saranno gestiti in via esclusiva da Zenko S.r.l. per conto di tutte le parti, in quanto Responsabile della Protezione dei Dati delle Società del Gruppo. Pertanto, nell’informativa verranno specificati i contatti di Zenko S.r.l. a cui rivolgersi per le predette finalità, ossia sede legale, indirizzo e-mail e telefono. Resta in ogni caso inteso che gli interessati potranno esercitare i propri diritti nei confronti di tutti i Contitolari, ai sensi dell’art.26, comma 3, del Regolamento sopra citato, evocando ciascun Titolare, indipendentemente dall’altro, dinanzi al Garante e/o alla Giustizia nazionale.

2.5. I Contitolari del trattamento saranno responsabili in solido per l’intero ammontare dell’eventuale danno cagionato a un interessato al fine di garantire il risarcimento effettivo dell’interessato. Pertanto, ogni Contitolare può dover risarcire in toto l’interessato che dimostra di essere stato danneggiato dal trattamento. Soltanto in un momento successivo, il Contitolare che ha risarcito in toto l’interessato può rivalersi sull’altro Contitolare responsabile effettivo del danno, esercitando l’azione di regresso.

2.6. I Contitolari si impegnano ad autorizzare le persone fisiche facenti parte della propria organizzazione a trattare i dati personali e a nominare, laddove sussistono i presupposti, come responsabili del trattamento i soggetti esterni che potrebbero eventualmente intervenire nelle operazioni di trattamento per conto dei Contitolari stessi. I dati raccolti tramite il dispositivo di scansione dell’impronta digitale del dipendente non sono oggetto di comunicazione a terzi. Il codice di sblocco personale assegnato a ciascuno dipendente autorizzato e la registrazione degli accessi potranno essere comunicati o messi a disposizione ai consulenti legali delle Società facenti parte del Gruppo ovvero alle Autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di Autorità pubbliche, soprattutto nel caso in cui si ravvisassero casi penalmente perseguibili. In caso di trasferimento dei dati all’esterno dell’Unione Europea, i dati dovranno essere trattati nei limiti e alle condizioni del Regolamento UE 2016/679.

2.7. Nel rispetto dei principi di cui all’art. 32 del Regolamento UE 2016/679 i contitolari nei limiti delle funzioni esercitate e delle rispettive prerogative, tenendo conto anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento). Nel valutare l’adeguato livello di sicurezza i singoli contitolari devono tenere conto dei rischi di:

– Perdita;

– Distruzione;

– Modifica;

– Divulgazione non autorizzata;

– Accesso accidentale o illecito a dati personali trasmessi, conservati o comunque trattati.

I Contitolari, in quanto parti dell’Accordo si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, sia con riferimento a strumenti, archivi e supporti cartacei, sia con riferimento a strumenti e mezzi digitali e informatici utilizzati.

2.8. I Contitolari del trattamento convengono che incaricata per la gestione di eventuali data breach è Zenko S.r.l., la quale si atterrà alla disciplina per la gestione delle violazioni dei dati. Ciascun Contitolare dovrà pertanto comunicare tempestivamente alla predetta Zenko gli eventuali casi di data breach per la valutazione congiunta del fenomeno e per le eventuali comunicazioni al Garante e agli interessati.

2.9. Per ogni nuova iniziativa che comporti l’utilizzo di nuove tecnologie per il trattamento dei dati, o in caso di modifiche di strumenti del trattamento già adottati (art. 35 s.s. Regolamento UE 2016/679), i Contitolari si impegnano a collaborare per la valutazione dei rischi connessi e delle misure tecniche ed organizzative da adottare a tutela dei dati personali.

2.10. Ai sensi dell’articolo 26, comma 2, del Regolamento UE 2016/679, il contenuto essenziale del presente accordo sarà riportato in calce all’informativa privacy ovvero reso disponibile su un link indicato nella stessa informativa.

3. SEGRETEZZA E CONFIDENZIALITÀ

3.1. Le parti si impegnano a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità instaurando.

3.2. In ogni caso, le parti si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico, ed in particolare i rispettivi segreti, e si impegnano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente accordo.

4. DISPOSIZIONI CONCLUSIVE

4.1. L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.

4.2. Eventuali modifiche al presente accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le parti.

4.3. L’invalidità, anche parziale, di una o più clausole del presente accordo non pregiudica la validità delle restanti clausole.

4.4. Le parti hanno letto e compreso il contenuto del presente accordo e sottoscrivendolo esprimono pienamente il loro consenso.