Joint Data Protection Agreement art. 26 Regolamento (Ue) 2016/679
e
Sub Data Protection Agreement art. 28 Regolamento (Ue) 2016/679

Tra INVISIBLE VSF (INV), società specializzata nello sviluppo di dispositivi e servizi digitali, con sede in Largo Don Giuseppe Morosini 1, 00195 Roma, CF/IVA 12380381009, in persona dell’amministratore delegato Francesco Foti;

e

Coach2market Srl, (C2M), società di consulenza, con sede in via Guido Reni, 56, 00196 Roma, IVA / IVA 10724591002, in persona dell’amministratore delegato Carol Bourg.

Premesso che:

  • C2M e INV in data 01.09.2017 hanno stipulato un accordo di collaborazione che prevede lo sviluppo da parte di INVISIBLE, con la consulenza PCM di C2M, della web app PCMNET, residente/accessibile sul dominio pcmnet.cloud, e la sua successiva messa in commercio come supporto per l’implementazione di programmi di formazione PCM tra gli utenti.
  • Con riferimento all’accordo citato, C2M e INV si qualificano come contitolari per quanto attiene al trattamento dei dati personali effettuato con la app PCMNET, a partire dal primo rilascio. La contitolarità è riferita al trattamento dei dati personali, come definito dall’art. 4 del GDPR ed ha ad oggetto il trattamento di tutti i dati già presenti negli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro
  • a partire dal 25 maggio 2018 è in vigore il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito GDPR);
  • Il GDPR, art. 26 prevede la contitolarità nella protezione dei dati, quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. I contitolari determinano in modo trasparente, mediante un accordo interno, i rispettivi obblighi, responsabilità, ruoli e rapporti con gli interessati con particolare riguardo all'esercizio dei diritti di quest’ultimo, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, eventualmente designando un punto di contatto per gli interessati.

Le parti convengono e stipulano quanto segue

Articolo 1. Oggetto - Con il presente accordo le parti determinano le rispettive responsabilità e obblighi in merito all’osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali, con riferimento alla web app PCMNET, residente/accessibile sul dominio pcmnet.cloud.

Le parti, consapevoli dei rischi specifici esistenti per il trattamento dei dati personali e delle misure di prevenzione e di emergenza da adottare in relazione alle attività, e tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, si obbligano a mettere in atto misure tecniche e organizzative adeguate, volte a:

  • Curare che i dati personali oggetto del trattamento siano trattati in modo lecito e secondo correttezza, e nel pieno rispetto della normativa vigente in materia;
  • ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta
  • attuare in modo efficace i principi di protezione e sicurezza dei dati, quali la minimizzazione, e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.

Articolo 2. Attività e obblighi di INV – INV, in ragione delle proprie specifiche competenze, provvede ed è responsabile anche con riferimento alla protezione dei dati personali, alle seguenti attività:

  • sviluppo e mantenimento della app PCMNET, anche quale “amministratore di sistema” (con le funzioni e gli obblighi individuati dal provvedimento dell’Autorità Garante per la protezione dei dati personali 27.11.08, doc. web 1577499);
  • trattamento dei dati raccolti attraverso la app PCMNET e attraverso il sito https://app.pcmnet.cloud, ivi compresi i dati relativi alla fatturazione nei confronti degli utenti
  • adempimenti organizzativi e tecnici connessi con la sicurezza dei dati trattati con/dalla app PCMNET, rispetto ad accessi e/o utilizzi non autorizzati o per finalità diverse da quelle a cui la app è diretta;
  • assistenza di primo livello agli utenti;
  • mantenimento del registro dei trattamenti in conformità con la normativa vigente;
  • segnalazione di eventuali “data breach”.

Articolo 3. Attività e obblighi di C2M – C2M INV, in ragione delle proprie specifiche competenze, provvede ed è responsabile anche con riferimento alla protezione dei dati personali, alle seguenti attività:

  • fornire consulenza a INV per lo sviluppo dell’app PCMNET;
  • distribuire ai trainer, e tramite loro ai clienti, l’informativa privacy, al fine di acquisire il primo consenso all’attivazione dell’utenza per la app PCMNET;
  • ricevere le richieste relative all’esercizio da parte degli interessati dei diritti previsti in loro favore dalle norme vigenti in materia di trattamento dei dati, come indicati nelle informative sottoscritte dagli stessi;
  • fungere da punto di contatto tra gli interessati e il contitolare INV per il mezzo dei seguenti contatti: - telefono: (+39) ……………………… - e-mail: ……………………………………

Articolo 4. Cessazione del JDPA – Il presente accordo di contitolarità si risolverà in caso di risoluzione dell’accordo di collaborazione citato in premessa.

In caso di cessazione dell’accordo di collaborazione INV dovrà provvedere alla restituzione di tutti i dati personali ad esso riconducibili, relativi a coloro ai quali C2M (direttamente o tramite i trainer) fornisce assistenza e consulenza e alla distruzione di quelli presenti sui propri sistemi e backup.

Roma lì 15.12.2018

INVISIBLE VSFCoach2market srl
Francesco FOTICarol A. Bourg