• Digicom B810 Group
Header-Hp

ACCORDO INTERNO DI CO-TITOLARITA’ DEL TRATTAMENTO AI SENSI DELL’ART. 26 PARAGRAFI 1) E 2) DEL REGOLAMENTO UE N. 2016/679

                                                                                                                                  Tra
B810 S.r.l., (C. f. e P. IVA: 03378920361) (infra “B810”), in persona del suo legale rappresentante pro tempore, con sede legale in Reggio Emilia, via E. Lazzaretti, 2/1; DIGICOM S.r.l., (C. f. e P. IVA: 03488160122) (infra “DIGICOM”), in persona del suo legale rappresentante pro tempore, con sede legale in Legnano (MI), viale Cadorna, 95; e MC REGEM S.r.l., (C. f. e P. IVA: 02891380350) (infra “MC REGEM”), in persona del suo legale rappresentante pro tempore, con sede legale in Reggio Emilia, via G. Gutenberg, 3.

B810, DIGICOM e MC REGEM possono essere denominate, in via congiunta tra loro, anche solo come “co-Titolari del trattamento” e/o “Parti”, ed esse fanno parte del medesimo gruppo imprenditoriale ex art. 4 n. 19) del GDPR, ove B810 riveste la qualifica di impresa controllante ex Considerando n. 37) del GDPR.

 

  1. Premesse.

1.1. Le Parti hanno concordemente convenuto, ai sensi dell’art. 26 paragrafi 1) e 2) del GDPR, le seguenti clausole contrattuali (infra “Clausole”) volte a disciplinare, in modo formale e trasparente, le rispettive responsabilità in merito all’osservanza degli obblighi, in qualità di co-Titolari del trattamento, derivanti dalla normativa comunitaria e nazionale sulla protezione dei dati personali – con particolare (ma non esclusivo) riguardo all’esercizio dei diritti del soggetto interessato ex art. 4 n. 1) del GDPR e all’onere di comunicazione dell’atto di informazione ex art. 13 del GDPR – in relazione alle operazioni di trattamento meglio descritte nell’allegato 1), documento che costituisce parte integrante e sostanziale del presente accordo.

1.2. Le Parti concordano che le Clausole (e le eventuali modifiche successive alle stesse) sono conoscibili, da parte del soggetto interessato, soltanto nel loro contenuto essenziale, grazie all’utilizzo di strumenti efficaci, consistenti, ad esempio, nell’inserimento di tale contenuto all’interno dell’informativa ex art. 13 del GDPR ovvero mediante la richiesta, da parte del soggetto interessato, di tale contenuto attraverso i dati di contatto indicati nell’art. 7 della relativa informativa ex art. 13 del GDPR. 

  1. Obblighi.

2.1. Fatti salvi gli altri obblighi previsti dalle disposizioni di legge applicabili, ivi inclusi gli atti di cd. soft law ovvero i Provvedimenti ad opera delle competenti Autorità di controllo ovvero di natura giurisdizionale, si procede ad illustrare, qui di seguito, i principali obblighi da eseguirsi ad opera dei co-Titolari del trattamento in via congiunta tra di loro ovvero, nei casi specificatamente indicati, ad opera dello specifico co-Titolare del trattamento individuato, in ragione di un apposito (ed esplicito) accordo di riparto convenuto tra le Parti:

  1. I co-Titolari del trattamento si impegnano a collaborare, in modo reciproco e proattivo, al fine di definire il contenuto di ciascun atto di informazione ex art. 13 del GDPR relativo alle operazione di trattamento di cui allegato 1).
  2. Le Parti concordano, in modo espresso, di fornire congiuntamente, in qualità di co-Titolari del trattamento, al soggetto interessato l’apposita e specifica informativa ex art. 13 del GDPR, mediante l’utilizzo delle modalità espressamente concordate tra le Parti.
  3. I co-Titolari del trattamento si impegnano ad assistersi reciprocamente, con misure tecniche ed organizzative adeguate in ottemperanza a quanto previsto dall’articolo 32 del GDPR, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti del soggetto interessato di cui al capo III) del GDPR: a tal fine, i co-Titolari del trattamento concordano, in modo espresso, di attribuire unicamente ed esclusivamente a B810, in qualità di reference point, il compito di inviare, in nome e per conto dei co-Titolari del trattamento, il formale riscontro al soggetto interessato, nel rispetto del termine previsto dall’art. 12 paragrafi 3) (o 4), laddove ricorrano le circostanze ivi indicate del GDPR. A tal riguardo, i co-Titolari del trattamento precisano che, nonostante quanto poc’anzi concordemente pattuito, il soggetto interessato ha la facoltà di esercitare i propri diritti di cui al capo III) del GDPR nei confronti di (e contro) ciascun co-Titolare del trattamento, così come sancito dall’art. 26 paragrafo 3) del GDPR.
  4. I co-Titolari del trattamento garantiscono rispettivamente che le proprie persone autorizzate al trattamento ex artt. 4 n. 10), 29 e 32 n. 4) del GDPR – previamente designate per iscritto, ed adeguatamente istruite circa l’ambito dell’attività di trattamento autorizzato – si siano impegnate alla riservatezza ovvero abbiano un adeguato obbligo legale di riservatezza.
  5. I co-Titolari del trattamento garantiscono rispettivamente di impegnarsi ad adottare le misure di sicurezza tecniche ed organizzative richieste dall’art. 32 del GDPR, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, così come anche il rischio di (varia) probabilità e gravità per i diritti e le libertà delle persone fisiche, onde così assicurare un livello di sicurezza adeguato al rischio associato alle operazioni di trattamento meglio descritte all’interno dell’allegato 1).
  6. I co-Titolari del trattamento garantiscono rispettivamente di rispettare le condizioni di cui all’art. 28 del GDPR, laddove sussista la necessità di provvedere alla nomina di un (sub) Responsabile del trattamento, informando tempestivamente l’altra Parte (o le residuali Parti).
  7. I co-Titolari del trattamento garantiscono rispettivamente di rispettare, inter alia, i principi ex art. 5 del GDPR, le condizioni di liceità del trattamento ex artt. 6, 9 e 10 del GDPR, le condizioni del consenso (ove opportuno, anche dei soggetti minorenni) ex artt. 7 e 8 del GDPR, e, infine, le prescrizioni informative ex artt. 12, 13 (e 14) del GDPR.
  8. I co-Titolari del trattamento si impegnano ad assistersi reciprocamente nell’adempiere all’onere di notifica e/o di comunicazione ex artt. 33 e 34 del GDPR di una violazione di dati personali (data breach) ex art. 4 n. 12) del GDPR riguardante, anche in via indiretta, le operazioni di trattamento meglio descritte all’interno dell’allegato 1): a tal fine, i co-Titolari del trattamento si impegnano ad informarsi, in modo reciproco, di tale evento immediatamente o, comunque, entro il termine (inderogabile) di n. 24 (ventiquattro) ore dal momento in cui ciascun co-Titolare del trattamento ne è venuto a conoscenza, inviando, a tal fine, una comunicazione a uno dei seguenti ed alternativi indirizzi di posta elettronica (privacydpo810@baldiandpartners.it;privacydpodigicom@baldiandpartners.it; dpomcregem@baldiandpartners.it), e cooperando, in modo reciproco, al fine di adottare immediatamente o, comunque, senza alcun indebito (ed ingiustificato) ritardo tutte le misure necessarie al fine di minimizzare i rischi derivanti dalla violazione per i soggetti interessati, porre rimedio al data breach e mitigarne qualsiasi ulteriore effetto negativo. A tal riguardo, i co-Titolari del trattamento si impegnano, fermo restando l’obbligo reciproco di informazione e cooperazione, altresì, ad adempiere, in modo separato, all’onere di notifica e/o di comunicazione ex artt. 33 e 34 del GDPR, nel rispetto dei termini ivi previsti.
  9. I co-Titolari del trattamento si impegnano ad assistersi reciprocamente nell’esecuzione, ove necessario, della valutazione d’impatto sulla protezione dei dati (DPIA) ex art. 35 del GDPR e, in via eventuale, si impegnano a cooperare reciprocamente nell’ambito dell’esecuzione degli oneri previsti dall’art. 36 del GDPR: a tal proposito, i co-Titolari del trattamento si impegnano, poi, ad adempiere, in modo separato, ai poc’anzi descritti adempimenti, ove necessario.
  10. I co-Titolari del trattamento si impegnano, ciascuno per sé, a redigere e tenere aggiornato, in modo costante, il registro delle attività del trattamento ex art. 30 del GDPR avente ad oggetto le operazioni di trattamento meglio descritte all’allegato 1).
  11. I co-Titolari del trattamento si impegnano, ove richiesto, ad assistersi reciprocamente nel curare l’eventuale rapporto con la competente Autorità di Controllo ovvero organo giurisdizionale, anche in caso di eventuali procedimenti amministrativi, civili e/o penali.
  12. I co-Titolari del trattamento si impegnano a rispettare i termini di conservazione (data retention) descritti nella specifica informativa ex art. 13 del GDPR relativa alle operazioni di trattamento di cui all’allegato 1).
  13. I co-Titolari del trattamento si impegnano, ciascuno per sé, a rispettare le disposizioni di cui al capo V) del GDPR (e connesse pronunce giurisprudenziali, dottrina ed atti di soft law), in caso di trasferimento di dati personali al di fuori del Spazio Economico Europeo (SEE) o verso organizzazioni internazionali.
  14. I co-Titolari del trattamento si impegnano, ciascuno per sé, a rispettare, ove necessario, le condizioni prescritte dall’art. 27 del GDPR, fatte salve le eccezioni ivi indicate.
  15. I co-Titolari del trattamento si impegnano, ciascuno per sé, a designare, ove necessario, un Responsabile della protezione dei dati personali ex art. 37 del GDPR.
  1. Responsabilità.

4.1. Nel caso in cui i co-Titolari del trattamento vengano considerati responsabili di un eventuale danno derivante, anche in via indiretta, dalle operazioni di trattamento meglio descritte all’allegato 1), ciascun co-Titolare del trattamento sarà solidalmente responsabile, ai sensi dell’art. 82 paragrafo 4) del GDPR, per l’intero ammontare del danno, al fine così di garantire un effettivo ristoro in favore del relativo soggetto danneggiato. Tuttavia, nel rispetto dell’art. 82 paragrafo 5) del GDPR qualora uno dei co-Titolari del trattamento abbia pagato, in ragione dell’art. 82 paragrafo 4) del GDPR, l’intero risarcimento del danno, esso ha il diritto di reclamare, nei confronti del residuale co-Titolare del trattamento coinvolto nelle operazioni di trattamento descritte nell’allegato 1), la quota di risarcimento corrispondente alla rispettiva parte di responsabilità.

  1. Disposizioni finali.

5.1. L’eventuale invalidità, inapplicabilità o inefficacia di alcune delle clausole che compongono il presente accordo non determina, di conseguenza, l’invalidità, inapplicabilità o l’inefficacia integrale dell’accordo medesimo.

Reggio Emilia/Legnano, lì 20.10.2021

B810 S.r.l., in qualità di co-Titolare del trattamento

(in persona del suo legale rappresentante pro tempore)

……………………………………………………….……

DIGICOM S.r.l., in qualità di co-Titolare del trattamento

(in persona del suo legale rappresentante pro tempore)

……………………………………………………………..  

MC REGEM S.r.l., in qualità di co-Titolare del trattamento

(in persona del suo legale rappresentante pro tempore)

………………………………………………………………..

Allegato 1) – Informazioni sulle attività di trattamento

1.1. Oggetto dell’attività di trattamento.

Le operazioni di trattamento che i co-Titolari possono porre in essere sulle tipologie di dati personali illustrate al successivo punto 1.4.) possono consistere, in via generale (ma non esaustiva), nelle seguenti attività: raccolta; registrazione; organizzazione; strutturazione; conservazione; adattamento o modifica; estrazione; consultazione; uso; comunicazione mediante trasmissione; limitazione; cancellazione, distruzione o anonimizzazione.

Tali operazioni di trattamento riguardano il sito internet www.shop.tippyonboard.com (infra “Sito”).

1.2. Durata del trattamento.

Il termine di conservazione è stato meglio illustrato nell’art. 3.1. di ambedue le informative ex art. 13 del GDPR presenti e pubblicate, da parte dei co-Titolari del trattamento, all’interno del Sito.

1.3. Natura del trattamento e finalità del trattamento.

Le finalità di trattamento per le quali sussiste una co-Titolarità del trattamento ex art. 26 del GDPR tra le Parti sono state meglio illustrate all’interno dell’art. 2 di ambedue le informative ex art. 13 del GDPR presenti e pubblicate, da parte dei co-Titolari del trattamento, all’interno del Sito.

Nello specifico, nella prima delle due informative ex art. 13 del GDPR, sussiste una co-Titolarità del trattamento in relazione alle seguenti finalità del trattamento: 2.1. lettera a): “completa ed effettiva esecuzione di una misura precontrattuale e/o di un ordine di acquisto (e conseguente conclusione del relativo contratto di acquisto meglio descritto nelle CGV), ivi inclusa l’esecuzione dei preliminari adempimenti (es. registrazione al sito internet in questione, e conseguente creazione del tuo account personale) e l’esecuzione dei conseguenti adempimenti legali (es. garanzia legale; frode), fiscali, amministrativi, logistici e di customer care (es. gestione reclamo o procedura di reso) connessi al compiuto perfezionamento del relativo contratto di acquisto”; 2.2. lettera b: “invio di comunicazioni commerciali/promozionali/pubblicitarie/di marketing, riguardanti un prodotto o un servizio analogo a quello acquistato dall’utente consumatore per il tramite del sito internet in questione, da eseguirsi via email o via posta cartacea”; 2.3. lettera c): “invio di comunicazioni commerciali/promozionali/pubblicitarie/di marketing (ivi inclusa, la ricerca di mercato), da eseguirsi mediante modalità automatizzate/elettroniche/telematiche (es. email; mobile app; social page; newsletter) ovvero mediante modalità non automatizzate/tradizionali (es. posta cartacea)”.

Viceversa, nella seconda informativa ex art. 13 del GDPR, sussiste una co-Titolarità del trattamento in relazione alla seguente finalità del trattamento: art. 2.1. lettera a): “invio di comunicazioni commerciali/promozionali/pubblicitarie/di marketing (ivi inclusa, la ricerca di mercato), da eseguirsi mediante modalità automatizzate/elettroniche/telematiche (es. email; mobile app; social page; newsletter) ovvero mediante modalità non automatizzate/tradizionali (es. posta cartacea)”.

1.4. Tipologia di dati personali.

Per quanto riguarda le finalità di trattamento della prima delle due informative ex art. 13 del GDPR meglio illustrate al precedente punto 1.3.), i co-Titolari del trattamento raccolgono e trattano le seguenti categorie di informazioni: dati personali ex art. 4 n. 1) del GDPR cd. identificativi (es. nome; cognome; codice fiscale; indirizzo di residenza/domicilio/dimora), cd. finanziari/bancari (es. numero della carta di credito/debito) ove necessario ed opportuno e i dati di navigazione (es. indirizzo IP), nel caso in cui il soggetto interessato riveste la qualifica di “utente consumatore” così come descritto nelle CGV del Sito; invece, nel caso in cui il soggetto fruitore del Sito riveste la qualifica di “utente professionista” così come descritto nelle CGV del Sito, i co-Titolari del trattamento raccolgono e trattano i dati non personali ex art. 3 n. 1) del Regolamento UE n. 1807/2018 (es. denominazione sociale; partita IVA; sede sociale), nonché, ove necessario ed opportuno, i dati personali.

Per quanto, invece, riguarda la finalità di trattamento della seconda informativa ex art. 13 del GDPR meglio illustrata al precedente punto 1.3.), i co-Titolari del trattamento raccolgono e trattano la seguente categoria di informazioni: dati personali ex art. 4 n. 1) del GDPR cd. identificativi (es. indirizzo email) nell’ipotesi di un “utente consumatore” ovvero i dati non personali ex art. 3 n. 1) del Regolamento UE n. 1807/2018 (es. indirizzo email cd. societario) nell’ipotesi di un “utente professionista”.

1.5. Categoria di soggetti interessati.

I soggetti interessati ex art. 4 n. 1) del GDPR sono rappresentati dal visitatore del Sito ovvero dall’”utente consumatore” o dall’”utente professionista” del Sito (definizione meglio descritte all’interno delle relative CGV del Sito).