Applicativo “Trasporti Eccezionali – TE” - Accordo di contitolarità nel trattamento dei dati personali dell’Anagrafica ai sensi dell’art.26 del Regolamento EU 2016/679
Data di pubblicazione:23 Dicembre, 2022
Con Determina 1547 del 21.12.2022 è stato approvato lo schema di accordo da sottoscrivere con la Città Metropolitana di Venezia per poter utilizzare, “in riuso”, l’applicativo “Trasporti Eccezionali – TE” che prevede la pubblicazione su questo sito ufficiale dell’accordo di contitolarità nel trattamento dei dati personali dell’Anagrafica ai sensi dell’art. 26 del Regolamento EU 2016/679 ...
La Provincia di Pistoia con sede a Pistoia in Piazza San Leone, 1, utilizzatore dell’applicativo “Trasporti Eccezionali - TE”, nella persona del proprio legale rappresentante, Titolare del Trattamento dei dati personali, ovvero Segretario Generale Dott.ssa Norida di Maio, in qualità di Contitolare del trattamento dei dati personali contenuti nell’Anagrafica dell’applicativo;
Premesso che:
- L’art. 10 del D.lgs. 285/1992 “Nuovo codice della strada” disciplina il transito di veicoli eccezionali e trasporti in condizioni di eccezionalità, e le autorizzazioni alla circolazione;
- Il D.P.R. 235/2004, il D.P.R. 31/2013 di modifica al D.P.R. 495/1992 prevedono la possibilità di mettere in atto procedure telematiche di semplificazione, di concludere accordi e convenzioni per l’accettazione, la gestione delle domande e il rilascio unificato delle autorizzazioni;
- gli artt. 1, 2, 14 del Decreto Legislativo 7 marzo 2005, n. 82 “Codice dell’Amministrazione Digitale” individuano i principi fondamentali per favorire l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’azione amministrativa;
considerato che:
- l’utilizzo della soluzione Trasporti Eccezionali prevede che il trasportatore richieda la registrazione - ad un archivio informatico comune di gestione dei rapporti con gli utenti, c.d. “Anagrafica condivisa” - dei propri dati (personali e non) presso il primo ente a cui il trasportatore formuli istanza di accreditamento (di seguito la “Anagrafica”). L’accesso all’Anagrafica è condiviso con tutti gli enti che hanno adottato
l’applicativo Trasporti Eccezionali, i quali possono consultarla e/o modificarla;
- per la gestione amministrativa, alimentazione e condivisione della Anagrafica, gli enti utilizzatori, autonomamente o congiuntamente, pongono in essere operazioni di trattamento dei dati personali, di cui alla definizione del Regolamento UE 2016/679 (di seguito “Reg. UE 2016/679” o “GDPR”), del D.Lgs. 196/2003 ss.mm.ii. (di seguito la “Normativa applicabile”) propri di persone fisiche, sia appartenenti
alle aziende trasportatrici che intendono accreditarsi (es. legale rappresentante o suo delegato), sia estranee ad esse (di seguito “Interessati”), facendo confluire questi ultimi all’interno dell’Anagrafica;
- si configura, in tal modo, una correlazione di trattamento dei dati personali degli Interessati ed una conseguente contitolarità nei trattamenti che gli enti utilizzatori intendono normare quale Contitolarità;
Tutto ciò premesso e considerato il Contitolare conviene e stipula quanto segue:
1. I Contitolari raccolgono i dati personali (come definiti in base al GDPR). In particolare, possono essere raccolte le seguenti categorie di dati personali comuni (anagrafici e di contatto) quali, ad esempio indicativo e non esaustivo nome, cognome, indirizzo, numero di telefono, fax, indirizzo email, PEC, codice fiscale.
2. Con la Contitolarità si intende definire, ai sensi dell’art 26 del GDPR, che i Contitolari avendo congiuntamente definito le finalità e mezzi del trattamento dei dati personali nell’ambito dell’Anagrafica di TE Online, trattano gli stessi in regime di contitolarità per le finalità connesse alla gestione amministrativa,
alimentazione e condivisione dell’Anagrafica. In particolare:
(i) ciascun Contitolare raccoglierà autonomamente i dati personali di propria competenza, i quali saranno inseriti nell’Anagrafica, consentendo pertanto lo svolgimento delle operazioni di trattamento necessarie e conseguenti all’originario accordo di utilizzo di TE Online e/o dal presente accordo;
(ii) ciascun Contitolare rilascerà:
- in qualità di titolare del trattamento ed in fase di instaurazione del rapporto con l’Interessato, una propria informativa ex art 13 del GDPR relativa ai trattamenti prodromici, connessi e conseguenti al rispettivo ed autonomo procedimento di rilascio delle autorizzazioni ai trasporti eccezionali sulla rete stradale di competenza regionale e provinciale;
- l’informativa contitolari ex art. 13 del GDPR, previamente concordata e qui allegata (Informativa Contitolari), nella quale si darà atto del regime di contitolarità esistente tra le parti nell’ambito dei soli trattamenti congiunti di cui all’Anagrafica. Tale informativa verrà anche pubblicata sul sito web dell’Ente;
(iii) i Contitolari gestiranno congiuntamente le richieste degli Interessati ai sensi degli artt. 15 e ss. del GDPR, fermo restando il diritto degli Interessati di far valere i propri diritti nei confronti di ciascun Contitolare. Le richieste andranno evase nel termine di giorni 30 dalla data di ricevimento. A tal fine, il Contitolare che ha ricevuto la domanda ex artt. 15 e ss. del GDPR è tenuto a condividere la richiesta con
gli altri Contitolare entro 5 giorni dal ricevimento della stessa. Se la domanda dell’Interessato presentasse un carattere di urgenza, il Contitolare che ha ricevuto la richiesta ex artt. 15 e ss. del GDPR è tenuto a condividere, entro cinque giorni lavorativi, la stessa con gli altri Contitolari. Resta inteso che ciascun Contitolare provvederà invece a dare riscontro alle richieste relative a trattamenti per cui è autonoma titolare ai sensi del GDPR;
(iv) ciascun Contitolare provvederà, inter alia, a o nominare ai sensi degli artt. 29 del GDPR e 2 quaterdecies del D.lgs. 196/2003 ss.mm.ii. i soggetti che agiscono sotto l’autorità di ciascun contitolare;
- contrattualizzare e definire i rapporti con i propri fornitori, ove applicabile, con apposita nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR.
3. I Contitolari dichiarano di aver implementato quali autonomi titolari del trattamento tutti gli adempimenti imposti dalla Normativa applicabile e si impegnano altresì a porre in essere, ciascuno nel proprio ambito di competenza, tutti gli obblighi in tema di accountability prescritti dalla Normativa applicabile quali a titolo esemplificativo e non esaustivo:
- registro delle attività di trattamento (ex art. 30 del GDPR);
- valutazione di impatto privacy (ex art. 35 del GDPR);
- applicazione dei principi di privacy by design e by default (ex art. 25 del GDPR).
4. I Contitolari, secondo i rispettivi ambiti di competenza, si impegnano altresì a trattare i dati personali, nel rispetto dei seguenti principi:
(i) limitazione delle finalità: i dati devono essere elaborati e utilizzati ovvero comunicati esclusivamente ai fini specificati nella Contitolarità;
(ii) limitazione della conservazione: i dati devono essere conservati per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono stati raccolti e successivamente trattati;
(iii) qualità e proporzionalità dei dati: i dati devono essere corretti, ove necessario aggiornati. I dati devono essere adeguati, pertinenti e non eccedenti in relazione ai fini perseguiti;
(iv) trasparenza: gli Interessati devono essere informati sui fini del trattamento, sul periodo di conservazione dei dati e sul soggetto presso il quale esercitare il diritto di accesso ai propri dati, nonché gli altri diritti previsti dalla Normativa applicativa (rettifica, blocco, cancellazione, limitazione, portabilità ove applicabile);
(v) liceità: devono essere poste in essere procedure tali da consentire all’Interessato di poter verificare le proprie scelte e di poterle modificare nei casi ove ciò sia possibile;
(vi) sicurezza e riservatezza: devono essere attuate le Misure tecniche e organizzative di sicurezza appropriate ai rischi presentati dal trattamento;
(vii) nel caso di trattamento di eventuali categorie particolari di dati (origine razziale, etnica, provvedimenti di sicurezza, stato di salute, ecc.) devono essere previste idonee e ulteriori salvaguardie.
5. I Contitolari si impegnano a gestire congiuntamente le violazioni dei dati personali (di seguito “Data Breach”) che dovessero verificarsi nel corso dell’esecuzione dell’Accordo, e di adempiere congiuntamente agli eventuali obblighi di notifica al Garante e, laddove necessario, anche di comunicazione agli Interessati. I Contitolari definiscono con apposita procedura interna i ruoli e tempi per la gestione dei Data Breach.
6. I Contitolari si obbligano inoltre a:
a. organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento dell’Accordo;
b. non diffondere o comunicare a terzi i dati personali degli Interessati, se non nei casi di legge o necessari all’esecuzione dell’Accordo;
c. garantire l’affidabilità di qualsiasi dipendente e/o collaboratore che accede ai dati personali e che gli stessi abbiano ricevuto adeguate istruzioni e formazione con riferimento alla protezione e gestione dei dati personali, e che siano vincolati al rispetto di obblighi di riservatezza;
d. adottare le misure tecniche ed organizzative di sicurezza per la protezione dei dati previste dall’art. 32 del GDPR;
e. mantenere un costante aggiornamento sulla Normativa applicabile, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili;
f. mettere a disposizione degli Interessati il contenuto essenziale della Contitolarità in ottemperanza di quanto previsto dall’art. 26, comma 2, del GDPR anche mediante pubblicazione di un estratto sul proprio sito Internet;
g. i dati personali devono essere trattati ed utilizzati esclusivamente nel territorio di uno Stato Membro dell’Unione Europea (EU) o di altro firmatario dell’Accordo nell’Area Economica Europea (AEE).
Qualsiasi trasferimento dei dati personali verso un paese esterno allo Spazio Economico Europeo (di seguito “Paese Terzo”) avverrà nel rispetto dei diritti e delle garanzie previste dalla normativa vigente. Ove i dati personali vengano trasferiti verso un Paese Terzo, non sulla base di una decisione di adeguatezza della Commissione europea, saranno adottate adeguate garanzie, come le cd. clausole contrattuali standard oltre ad eventuali misure supplementari (contrattuali e tecnico-organizzative);
h. la Contitolarità nonché l’assunzione degli obblighi ivi previsti non comporta il diritto ad alcuna remunerazione né ad alcun rimborso spese o altro emolumento variamente definito;
i. la Contitolarità rimarrà in vigore sino allo stato di contitolarità tra i sottoscrittori. Ciascun ente
aderente alla Contitolarità mantiene la titolarità del trattamento relativo alla gestione del
procedimento conseguente all’istanza dell’utente ai sensi del Reg. UE/2016/679.
***
Il presente Accordo viene stipulato in forma elettronica, mediante sottoscrizione con firma digitale disgiunta dai Contitolari e pubblicato in apposita sezione “Trasporti Eccezionali” del sito istituzionale di ciascuno.
Provincia di Pistoia
___________________
(firmato digitalmente)
INFORMATIVA CONTITOLARI SUL TRATTAMENTO DEI DATI PERSONALI resa ai sensi dell’art. 13 del REGOLAMENTO UE N. 2016/679 (“GDPR”)
Gli Enti aderenti all’ “Accordo per la costituzione a titolo gratuito del diritto d’uso del programma ‘Trasporti Eccezionali’”, individuabili nella relativa lista aggiornata e resa disponibile su richiesta (di seguito, congiuntamente, i “Contitolari”), hanno sottoscritto ai sensi dell’art. 11 del suddetto documento un accordo di contitolarità - il cui estratto è disponibile sul sito web di ciascun Contitolare - con lo scopo di definire, ai sensi dell’art. 26 del GDPR le modalità del trattamento dei dati personali svolte in regime di contitolarità nell’ambito dell’utilizzo della soluzione Trasporti Eccezionali relativamente alla fase di registrazione anagrafica dei Suoi dati personali raccolti presso l’Ente Aderente a cui Lei richiede l’accreditamento (di seguito la “Anagrafica”).
A tal riguardo i Contitolari vogliono fornirLe alcune informazioni sul trattamento dei Suoi dati personali, come di seguito definiti, tramite l’Anagrafica e che gli stessi potranno trattare in ragione della Sua qualità di trasportatore.
QUALI DATI PERSONALI CHE LA RIGUARDANO POSSONO ESSERE RACCOLTI
Sono raccolte le informazioni riguardanti la Sua persona, idonee e necessarie ad identificarla direttamente e/o indirettamente, come ad esempio i Suoi Dati anagrafici e di contatto: informazioni relative al nome, cognome, indirizzo, numero di telefono, fax, indirizzo email, PEC (di seguito “Dati”).
PER QUALI FINALITÀ POSSONO ESSERE UTILIZZATI I SUOI DATI E SU QUALE PRESUPPOSTO GIURIDICO
I Suoi Dati sono trattati dai Contitolari per le seguenti finalità:
a) Gestione amministrativa, alimentazione e condivisione dell’Anagrafica per svolgimento delle attività connesse all’erogazione dei servizi dei Contitolari I Suoi Dati potranno essere trattati dai Contitolari per la gestione amministrativa, alimentazione e condivisione dell’Anagrafica necessaria all’erogazione dei servizi che gli stessi possono fornirLe nell’ambito della procedura di accreditamento tramite la soluzione Trasporti Eccezionali, nonché per tutte le ulteriori attività strettamente connesse.
Presupposto del trattamento: esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui sono investiti i Contitolari. Il conferimento dei Dati è obbligatorio. Il mancato conferimento comporta l’impossibilità dei Contitolari di assolvere ai propri obblighi e consentirle l’erogazione dei servizi che i Contitolari le offrono nelle modalità previste tramite la soluzione Trasporti Eccezionali.
b) Adempimento di obblighi previsti da leggi, regolamenti o dalla normativa comunitaria, da disposizioni/richieste di autorità a ciò legittimate dalla legge e/o da organi di vigilanza e controllo I Suoi Dati potranno essere trattati dai Contitolari per adempiere agli obblighi legali a cui sono tenuti. Presupposto del trattamento: adempimento di un obbligo legale. Il conferimento dei Dati è obbligatorio. Il mancato conferimento comporta l’impossibilità dei Contitolari di adempiere ai propri obblighi di legge.
c) Difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione ai servizi offerti. I Suoi Dati potrebbero essere trattati dai Contitolari per difendere i propri diritti, per agire in giudizio o anche avanzare pretese nei confronti Suoi o di terze parti. Presupposto del trattamento: esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici
poteri di cui sono investiti i Contitolari per la tutela dei propri diritti. Il conferimento dei Dati è obbligatorio. Il mancato conferimento comporta l’impossibilità dei Contitolari di tutelare i propri diritti.
COME TRATTIAMO I SUOI DATI PERSONALI, COME LI MANTENIAMO SICURI E PER QUANTO TEMPO
Il trattamento dei Suoi Dati sarà improntato ai principi di correttezza, liceità e trasparenza e potrà essere effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli. Il trattamento avverrà mediante strumenti idonei a garantire la sicurezza e la riservatezza attraverso l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione.
I Contitolari provvederanno alla cancellazione/anonimizzazione dei Suoi Dati quando il trattamento dei medesimi non sarà più necessario per lo scopo per il quale sono stati raccolti.
Qui di seguito riportiamo i tempi di conservazione in relazione alle differenti finalità sopra elencate:
Gestione amministrativa, alimentazione e condivisione dell’Anagrafica per svolgimento delle attività connesse e conseguenti all’erogazione dei servizi dei Contitolari: i Dati trattati potranno essere conservati per 10 anni dalla cessazione del Suo rapporto con i Contitolari;
Adempimento di obblighi di legge: i Dati sono trattati per il tempo strettamente necessario all’adempimento degli obblighi e comunque nei termini eventualmente stabiliti dalla legge.
Nel caso di controversie: nel caso in cui sia necessario difenderci o agire o anche avanzare pretese nei confronti
Suoi o di terze parti, potremmo conservare i Dati per il tempo in cui tale pretesa possa essere perseguita.
CON CHI POSSIAMO CONDIVIDERE I SUOI DATI PERSONALI
Ai Suoi Dati possono avere accesso i dipendenti dei Contitolari debitamente autorizzati, nonché i fornitori esterni, nominati, se necessario, responsabili del trattamento. La lista dei suddetti soggetti è a disposizione su richiesta.
I Contitolari potranno condividere i Suoi Dati anche con le seguenti categorie di destinatari:
- eventuali terzi fornitori coinvolti nell’erogazione dei servizi dei Contitolari;
- forze di polizia, ed altre amministrazioni pubbliche, in adempimento di obblighi previsti da leggi, da regolamenti o dalla normativa comunitaria;
- Amministrazione finanziaria propria dei Contitolari.
I SUOI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI E IL SUO DIRITTO DI AVANZARE RECLAMI INNANZI ALL’AUTORITÀ DI CONTROLLO
Lei ha diritto di ottenere dai Contitolari, se sussistono le condizioni previste dalla legge (sussistenza del presupposto giuridico):
l’accesso ai Dati che La riguardano, nonché la loro rettifica;
la cancellazione dei Dati;
la limitazione del trattamento;
Diritto di opposizione: Lei ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che la riguardano svolto dai Contitolari per il perseguimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui gli stessi sono investiti.
Nel caso in cui ritenga che il trattamento dei Suoi Dati avvenga in violazione di quanto previsto dal GDPR, Lei ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali, utilizzando i riferimenti disponibili nel sito Internet www.garanteprivacy.it o di adire le opportune sedi giudiziarie.
CONTATTI
Qualora avesse domande in merito al trattamento da parte dei Contitolari dei Suoi Dati o voglia esercitare i diritti sopra citati, potrà contattare il Responsabile della Protezione dei Dati (RPD o DPO - Data Protection Officer) di alcuno dei Contitolari.
I Contitolari hanno nominato ciascuno un proprio responsabile della protezione dei dati personali (RPD), i cui dati di contatto sono disponibili sulla pagina dedicata alla protezione dei dati del relativo sito Internet.