Accordo di contitolarità
ESTRATTO DI ACCORDO DI CONTITOLARITÀ
ai sensi dell’art. 26, par. 2 del Regolamento (UE) 2016/679 (di seguito, “Regolamento”)
tra
Italiana Petroli S.p.A. (di seguito denominata anche “IP”) con sede legale a Roma (RM), via Salaria, n. 1322, CAP 00138
e
ESE S.r.l. (di seguito denominata anche “ESE”), con sede legale a Roma (RM) via Salaria, n. 1322, CAP 00138
(di seguito collettivamente indicati come le “Parti” o “Contitolari”).
Premesse
A) Descrizione dell’attività svolta:
IP ed ESE, convengono di promuovere, organizzare e gestire congiuntamente uno più concorsi a premi nell’ambito del programma loyalty IPiù, commercializzato come “DRIV&”, disciplinati da appositi regolamenti adottati ai sensi del D.P.R. 26 ottobre 2001, n. 430.
Ciascun concorso a premi è rivolto ai clienti maggiorenni, residenti o domiciliati nel territorio italiano, regolarmente registrati all’App DRIV&, che, nel periodo di validità di volta in volta previsto nel relativo regolamento, effettuino le attività richieste per la partecipazione, quali, a titolo esemplificativo e non esaustivo, operazioni di acquisto, rifornimento o altre interazioni presso i punti vendita IP ed ESE aderenti all’iniziativa, nonché presso eventuali partner commerciali appartenenti alle reti distributive riconducibili a IP, ESE, società del Gruppo API o società partecipate.
I premi messi in palio nell’ambito dei singoli concorsi sono individuati nei rispettivi regolamenti e possono consistere, a titolo esemplificativo, in beni, servizi, voucher digitali, esperienze o altre utilità, fruibili secondo le modalità e le condizioni ivi stabilite.
B) Descrizione del trattamento oggetto del rapporto di contitolarità:
Con riferimento al trattamento dei dati personali connesso alle attività congiunte di promozione, realizzazione e gestione dei concorsi a premi nell’ambito del programma loyalty IPiù, commercializzato come “DRIV&”, come descritto alla lettera A), le Parti agiscono in qualità di contitolari del trattamento ai sensi dell’art. 26 del Regolamento per il perseguimento delle seguenti finalità:
- a) consentire ai clienti la partecipazione ai concorsi a premi secondo quanto stabilito nei rispettivi regolamenti, nonché gestire tutte le attività ad essi correlate, incluse quelle di natura amministrativo-contabile e quelle finalizzate, in caso di vincita, all’assegnazione e consegna dei premi previsti;
- b) adempimento di ogni eventuale obbligo normativo incombente sulle Parti, ivi inclusi gli ordini emanati dalle autorità giudiziarie e di polizia;
- c) accertamento, esercizio e/o difesa di un diritto in sede giudiziaria, in ambito stragiudiziale nonché nelle fasi che precedono il contenzioso;
– L’attività descritta alla lettera a) comporta il trattamento dei dati personali relativi ai clienti aderenti al programma loyalty IPiù, commercializzato come DRIV&, e iscritti all’omonima app che, nel periodo di validità dei singoli concorsi a premi e secondo quanto previsto dai rispettivi regolamenti, effettuano le attività richieste per la partecipazione, quali, a titolo esemplificativo, operazioni di acquisto, rifornimento o altre interazioni presso i punti vendita aderenti all’iniziativa e/o presso eventuali partner commerciali.
Le categorie e i tipi di dati personali oggetto di trattamento in relazione alla predetta attività sono i seguenti:
- i. dati identificativi (nome, cognome, data di nascita, indirizzo di residenza, genere, nazionalità, codice fiscale);
- ii. dati di contatto (indirizzo e-mail, numero di telefono);
- iii. dati relativi alle transazioni, alle operazioni e/ alle interazioni effettuate presso i punti vendita aderenti e/o presso i partner commerciali, rilevanti ai fini della partecipazione ai concorsi a premi.
C) Ai sensi dell’art. 26, primo paragrafo, del Regolamento, allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento;
D) Secondo quanto condiviso dal Comitato europeo per la protezione dei dati (European Data Protection Board, meglio noto come “EDPB”) all’interno delle sue Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR (Versione 2.0), adottate il 7 luglio 2021, si è in presenza di una situazione di contitolarità allorquando “più soggetti esercitino un’influenza determinante sull’effettuazione del trattamento e sulle relative modalità”; ancora, “la partecipazione congiunta può assumere diverse forme, come, ad esempio, quella di una decisione comune presa da due o più soggetti, oppure derivare da decisioni convergenti di due o più soggetti per quanto concerne le finalità e i mezzi essenziali”; “[l]a partecipazione congiunta mediante una decisione comune implica l’assunzione di una decisione e un’intenzione condivisa di adottare tale decisione”; viceversa, “[…] le decisioni possono essere considerate convergenti sulle finalità e sui mezzi se si integrano a vicenda e se sono necessarie affinché il trattamento abbia luogo, in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. […] In tal senso, un criterio importante per individuare decisioni convergenti in questo ambito consiste nel verificare se il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti alle finalità e ai mezzi, nel senso che i trattamenti di ciascuna parte sono tra loro indissociabili, ovverosia indissolubilmente legati”.
E) Ai sensi dell’art. 26, primo e secondo paragrafo del Regolamento, i contitolari determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento, a meno che, e nella misura in cui, le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti; tale accordo può designare uno dei titolari come principale punto di contatto per gli interessati; l’accordo interno riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati e il contenuto essenziale dell’accordo è messo a disposizione dell’interessato; ai sensi dell’art. 26, terzo paragrafo del Regolamento, indipendentemente dalle disposizioni del presente accordo, l’interessato può esercitare i propri diritti ai sensi del Regolamento nei confronti di e contro ciascun titolare del trattamento;
F) Le presenti premesse (di seguito, “Premesse”), unitamente agli allegati, costituiscono parte integrante e sostanziale del presente Accordo di contitolarità.
Tutto ciò premesso,
le Parti convengono e stipulano quanto segue
Articolo 1 – Accordo di contitolarità e riparto dei ruoli delle Parti
1. Con il presente Accordo di contitolarità, le Parti determinano e disciplinano in modo trasparente i rispettivi ruoli e responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa in materia di protezione dei dati personali, con particolare riguardo all’esercizio dei diritti da parte degli interessati, e le funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 del Regolamento.
Articolo 2 – Trattamento dei dati degli interessati (Contitolarità)
1. Le Parti riconoscono che, nello svolgimento delle attività di cui alle lettere A) e B) delle Premesse del presente Accordo di contitolarità, le stesse determinano congiuntamente le finalità e i mezzi del trattamento e agiscono in qualità di contitolari del trattamento ai sensi dell’art. 26 del Regolamento.
2. Fatto salvo quanto previsto dall’art. 1, comma 1 del presente Accordo di contitolarità, per le restanti ed eventuali attività di singola competenza di ciascun Contitolare, le Parti agiscono quali autonomi titolari del trattamento.
Articolo 3- Conservazione dei dati personali
1. Le Parti concordano che la conservazione e l’archiviazione dei dati trattati in ragione del perseguimento delle finalità di cui alle lettere A) e B) delle Premesse del presente Accordo di contitolarità spetterà a tutte le Parti.
Articolo 4 – Misure di sicurezza tecniche e organizzative
1. Le Parti concordano che le stesse determinano e garantiscono le misure tecniche e organizzative relative alla sicurezza ex artt. 25-32 del Regolamento del trattamento dei dati in oggetto.
Articolo 5 – Rilascio dell’informativa
1. Le Parti concordano che, nei casi di contitolarità, l’informativa ai sensi degli artt. 13 e 14 del Regolamento venga rilasciata congiuntamente o disgiuntamente da IP o da ESE, mentre nei casi di titolarità autonoma ciascun titolare fornirà la propria informativa ex artt. 13 e 14 del Regolamento.
2. La dichiarazione del rapporto di contitolarità e le informazioni essenziali dovranno essere messe a disposizione dell’interessato, salvo, poi, dover essere ulteriormente rese in occasione del riscontro alle richieste di esercizio dei diritti degli interessati di cui agli artt. 15-22 del Regolamento, come in seguito specificato.
Articolo 6 – Riscontro delle richieste di esercizio dei diritti
1. Avendo IP le risorse e la struttura adeguate a gestire i riscontri agli interessati, le Parti concordano che, in caso di richieste di esercizio dei diritti ai sensi degli artt. 15-22 del Regolamento o di revoca del consenso ai sensi dell’art. 7 del medesimo Regolamento, spetterà a IP gestire e riscontrare le suddette richieste.
2. Nel caso in cui ESE riceva direttamente le richieste di cui al precedente comma da parte di un interessato i cui dati personali siano oggetto di trattamento ad opera delle Parti in qualità di Contitolari, ESE si impegna a inoltrarle tempestivamente a IP, che provvederà a gestirle e riscontrarle nei tempi e con le modalità previste dal Regolamento.
Articolo 7 – Riparto degli obblighi spettanti a ciascun Contitolare
1. Con riferimento al trattamento dei dati di contitolarità derivante dallo svolgimento delle attività descritte nelle lettere A) e B) delle Premesse al presente Accordo di contitolarità, le Parti concordano di attribuire a IP tutti i compiti tipicamente incombenti sui titolari del trattamento in conformità alla normativa in materia di protezione dei dati personali, quali, a titolo esemplificativo e non esaustivo:
- a) la tenuta dei registri dei trattamenti ai sensi dell’art. 30 del Regolamento;
- b) l’effettuazione della valutazione dell’impatto dei trattamenti sulla protezione dei dati personali ai sensi dell’art. 35 del Regolamento, ove necessaria;
- c) l’eventuale consultazione preventiva al Garante per la protezione dei dati personali ai sensi dell’art. 36 del Regolamento;
- d) la conservazione e l’aggiornamento dei registri delle violazioni dei dati personali;
- e) la notifica delle violazioni dei dati personali all’Autorità di controllo competente ai sensi dell’art. 33 del Regolamento;
- f) la comunicazione delle violazioni di dati personali agli interessati ai sensi dell’art. 34 del Regolamento;
- g) l’autorizzazione al trattamento dei dati personali, ai sensi degli artt. 29 e 32, quarto paragrafo del Regolamento e 2-quaterdecies del D.lgs. 196/2003, delle persone fisiche (ivi compresi gli amministratori di sistema) preposte allo svolgimento delle attività di cui alle lettere A) e B) delle premesse al presente Accordo di contitolarità;
- h) la designazione dei fornitori che trattano dati per conto delle Parti a responsabili del trattamento ai sensi dell’art. 28 del Regolamento.
2. Rispetto a quanto sopra specificato, resta ferma la responsabilità anche in capo all’altra Parte, in qualità di Contitolare, la quale si impegna, in ogni caso, a garantire l’adozione delle adeguate misure di sicurezza previste dagli artt. 25 e 32 del Regolamento e il rispetto dei principi generali applicabili al trattamento dei dati personali di cui all’art. 5 del Regolamento.
Articolo 8 – Verifica dell’adeguatezza dei fornitori e autorizzazione alla stipula di contratti per il trattamento dei dati
1. Le Parti concordano di attribuire a IP l’onere, ai sensi dell’art. 28 del Regolamento, di verificare che i fornitori da designare quali responsabili del trattamento presentino garanzie sufficienti in ordine all’adozione di misure tecniche e organizzative adeguate, in modo tale da assicurare che i trattamenti rispettino i requisiti previsti dalla normativa in materia di protezione dei dati personali pro tempore applicabile.
Articolo 9 – Conoscibilità dell’Accordo da parte dell’interessato
1. Il contenuto essenziale del presente Accordo di contitolarità è reso conoscibile agli interessati dietro loro specifica richiesta.
Articolo 10 – Inopponibilità dell’Accordo all’interessato
1. Il presente Accordo di contitolarità è inopponibile all’interessato, il quale, nei casi di contitolarità, può rivolgersi a ciascuno dei Contitolari.
Articolo 11 – Solidarietà passiva e regresso
1. Nei casi di contitolarità previsti dall’art. 2 del presente Accordo di contitolarità, tra i Contitolari vi è solidarietà passiva in caso di risarcimento del danno nei confronti dell’interessato o in caso di sanzioni amministrative pecuniarie.
2. La Parte che ha pagato l’intero ammontare ha diritto di regresso nei confronti dell’altra Parte, conformemente alla parte di responsabilità di ciascuno ai sensi del presente Accordo di contitolarità.
Articolo 12 – Designazione di un punto di contatto
1. Con riferimento alle attività di cui alla lettera A) e B) delle Premesse del presente Accordo di contitolarità, le Parti convengono di designare come comune punto di contatto per gli interessati: Italiana Petroli S.p.A., con sede legale a Roma (RM), via Salaria, n. 1322, CAP 00138.
Articolo 13 – Rappresentanza
1. Le Parti riconoscono che, ai fini del presente Accordo di contitolarità e con riferimento all’adempimento degli obblighi derivanti dalla normativa in materia di protezione dei dati personali di cui all’art. 7, IP agisce anche in nome e per conto di ESE in forza del mandato con rappresentanza ai sensi dell’art. 1704 c.c. di cui all’Allegato I.
ALLEGATI I
Mandato con rappresentanza (art. 1704 c.c.)
Tenuto conto del presente Accordo di contitolarità, ESE S.r.l. (“Mandante”), in qualità di Contitolare, conferisce a Italiana Petroli S.p.A. (“Mandatario”), in qualità di Contitolare, esplicito mandato a porre in essere anche in suo nome e per suo conto tutti gli adempimenti previsti dalla normativa in materia di protezione dei dati personali nonché gi adempimenti tipicamente incombenti sui titolari del trattamento in conformità a quanto previsto dall’art. 7 del presente Accordo di contitolarità.