Privacy – Accordo di contitolarità
Accordo di contitolarità in merito al trattamento dei dati personali
Tra
FONDAZIONE LA TRIENNALE DI MILANO, con sede legale in Viale Emilio Alemagna 6, 20121, Milano (MI) in persona del legale rappresentante pro tempore Stefano Boeri
e
TRIENNALE DI MILANO SERVIZI S.R.L. A SOCIO UNICO, con sede legale in Viale Emilio Alemagna 6, 20121, Milano (MI) in persona del legale rappresentante pro tempore Erica Corti
e
FONDAZIONE CRT / TEATRO DELL’ARTE, con sede legale in Viale Emilio Alemagna 6, 20121, Milano (MI) in persona del legale rappresentante pro tempore Paola Dubini
(di seguito, congiuntamente, i “Contitolari”)
1. Introduzione e definizioni
Introduzione
Il presente accordo di contitolarità è volto a regolamentare le rispettive responsabilità tra due o più titolari del trattamento in merito all’osservanza degli obblighi derivanti dal Regolamento Privacy UE 2016/679 – GDPR (di seguito il “GDPR”).
Saranno specificati soprattutto i ruoli e i rapporti dei Contitolari con le categorie di soggetti i cui dati saranno oggetto del trattamento.
Definizioni.
Articolo 26, paragrafo 1 GDPR - Contitolari del trattamento: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”.
Articolo 4 GDPR – Definizioni: “Ai fini del presente regolamento s’intende per: 1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Articolo 9, paragrafo 1 GDPR – Trattamento di categorie particolari di dati personali: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.
2. Premesse
Premesso che:
a) la FONDAZIONE LA TRIENNALE DI MILANO è una fondazione i cui soci partecipanti sono il Ministero dei Beni e delle Attività Culturali e del Turismo, la Regione Lombardia, il Comune di Milano, la Camera di Commercio di Milano e la Camera di Commercio di Monza Brianza, avente ad oggetto lo svolgimento e la promozione di attività di ricerca, di documentazione e di esposizione settoriale ed interdisciplinare, di rilievo nazionale ed internazionale, con particolare riguardo ai settori dell'architettura, dell'urbanistica, delle arti decorative e visive, del design, dell'artigianato, della produzione industriale, della moda, della produzione audiovisiva e di quelle espressioni artistiche e creative che a diverso titolo ad essi si riferiscono (di seguito la “Fondazione”);
b) la TRIENNALE DI MILANO SERVIZI S.R.L. A SOCIO UNICO è una società costituita nel 2003 dalla Fondazione (che ne è l’unico socio) avente ad oggetto l’attività di promozione e di realizzazione di attività commerciali, strumentali, accessorie e connesse agli scopi istituzionali della Fondazione (di seguito la “Triennale Servizi”);
c) la FONDAZIONE CRT / TEATRO DELL’ARTE è una fondazione costituita nel 2013 per promuovere l’ideazione, la progettazione, la produzione e la diffusione di forme drammaturgiche innovative e in generale la diffusione dell’arte e della pratica teatrale, musicale e di altre arti visive ed espressive (di seguito il “CRT”);
d) la Fondazione, la Triennale Servizi, e il CRT sono soggetti ad un’unica posizione di vertice, hanno attività e funzioni profondamente interconnesse e trasversali e redigono, oltre a singoli bilanci annuali, anche un bilancio consolidato;
e) la normativa applicabile in materia di protezione dei dati personali impone una serie di obblighi e vincoli al trattamento dei dati personali, che influenzano il Trattamento in questione;
f) ai sensi dell’Art. 26 del Regolamento UE 2016/679, allorché due o più titolari del trattamento determinino congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento;
g) i contitolari del trattamento devono pertanto determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa vigente;
h) l’accordo suddetto deve disciplinare gli obblighi dei contitolari del trattamento con particolare riguardo all’esercizio dei diritti dell’interessato, alle rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 del Reg. Ue 2016/679 ex art. 26 del medesimo Regolamento;
i) nell’ambito delle rispettive responsabilità, come determinate dal presente Accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigente e nel pieno rispetto delle linee guida e dei codici di condotta applicabili di volta in volta e approvati dal Garante per la protezione dei dati personali, nonché nel rispetto delle istruzioni condivise tra i Contitolari.
Tutto quanto sopra premesso, la Fondazione, la Triennale Servizi e il CRT, pur essendo enti giuridici autonomi, costituiscono un unico gruppo o sistema (il “Gruppo Triennale”), per cui tali enti non possono che essere considerati ed esaminati congiuntamente per quanto riguarda il ruolo assunto nel trattamento e nella gestione di dati personali indicati nel presente accordo.
Ai fini della validità del presente Accordo di contitolarità si precisa che le premesse, così descritte, ne costituiscono parte integrante.
3. Contitolarità del trattamento
I servizi erogati da Fondazione, Triennale Servizi e CRT (di seguito congiuntamente il “Gruppo Triennale”) necessitano di un trattamento che permetta una gestione centralizzata delle attività di seguito indicate:
Le attività sono, in particolare, suddivise nelle seguenti funzioni:
- Fundraising, sponsorship e concessioni con la funzione di gestire le sponsorizzazioni;
- Rapporti con scuole, enti, associazioni/fondazioni e società del settore turismo, gestione gruppi, ticketing, attività di customer service con la funzione di gestire i rapporti con il pubblico;
- Marketing (anche diretto) e progetti speciali con la funzione di gestire eventi e progetti;
- Attività e-commerce.
Sussiste un interesse legittimo dei Contitolari appartenenti al Gruppo Triennale a trasmettere dati personali all’interno di tale gruppo anche per fini ulteriori rispetto a quelli meramente amministrativi interni. A tale proposito i dati sopra indicati saranno condivisi tra Fondazione, Triennale Servizi e CRT allo scopo di creare, tramite il CRM, ad oggi basato sulla piattaforma cloud Microsoft Dynamics 365, una banca dati comune per l’intero Gruppo Triennale volta a perseguire le finalità descritte in precedenza, promuovendo le iniziative e le attività del Gruppo Triennale in una logica unitaria di efficienza ed efficacia aziendale.
4. Dati trattati, finalità e modalità del trattamento
Finalità del trattamento: registrazione, strutturazione e conservazione contatti attraverso il CRM e vendita dei prodotti e dei servizi del Gruppo Triennale (a titolo d’esempio: programma Membership e Patron Program).
Tipologia dei dati: dati anagrafici, dati di contatto e identificativi (nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail).
Categoria di interessati: visitatori, sostenitori, sponsor, partecipanti eventi, clienti, fornitori, utenti sito internet, utenti e-commerce.
Modalità del trattamento: trattamento dati in modalità cartacea e informatizzata, in particolare mediante il CRM e le piattaforme a esso connesse.
Contitolarità del trattamento: Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl, Fondazione CRT/Teatro dell'Arte.
Finalità del trattamento: attività di marketing diretto per l'invio di materiale pubblicitario, di comunicazione commerciale e promozionale attraverso iscrizione alla newsletter. Gestione eventuale rapporto contrattuale, erogazione dei servizi richiesti e attività correlate.
Tipologia dei Dati: dati anagrafici e di contatto (nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail).
Categoria di interessati: visitatori, sostenitori, sponsor, partecipanti eventi, clienti, fornitori, utenti sito internet, utenti e-commerce.
Modalità del trattamento: trattamento dati in modalità cartacea e informatizzata, in particolare mediante il CRM e le piattaforme a esso connesse.
Contitolarità del trattamento: Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl, Fondazione CRT/Teatro dell'Arte.
Finalità del trattamento: attività di profilazione per una miglior gestione dei servizi e per l’invio di comunicazioni promozionali maggiormente in linea con le preferenze espresse dall’utente.
Tipologia dei Dati: dati personali, dati di contatto, dati relativi alle proprie preferenze (nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail, genere).
Categoria di interessati: visitatori, sostenitori, sponsor, partecipanti eventi, clienti, fornitori, utenti sito internet, utenti e-commerce.
Modalità del trattamento: trattamento dati in modalità informatizzata.
Contitolarità del trattamento: Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl, Fondazione CRT/Teatro dell'Arte.
Finalità del trattamento: comunicazione dei dati a terze parti per proprie finalità di marketing. Per terze parti si intendono le società partner e sponsor dei contitolari.
Tipologia dei Dati: dati anagrafici e di contatto (nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail).
Categoria di interessati: visitatori, sostenitori, sponsor, partecipanti eventi, clienti, fornitori, utenti sito internet, utenti e-commerce.
Modalità del trattamento: trattamento dati in modalità informatizzata.
Contitolarità del trattamento: Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl, Fondazione CRT/Teatro dell'Arte.
Finalità del trattamento: comunicazione istituzionale, relazione con i media e attività promozionali, pubblicitarie e/o di comunicazione in genere, anche attraverso il sito internet, l’uso di mailing list ed eventuali ulteriori strumenti di comunicazione.
Tipologia dei Dati: dati anagrafici, dati di contatto e identificativi (nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail).
Categoria di interessati: visitatori, sostenitori, sponsor, partecipanti eventi, clienti, fornitori, utenti sito internet, utenti e-commerce.
Modalità del trattamento: trattamento dati in modalità cartacea e informatizzata, in particolare mediante il CRM e le piattaforme a esso connesse.
Contitolarità del trattamento: Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl, Fondazione CRT/Teatro dell'Arte.
5. Ambito di comunicazione
Fondazione La Triennale di Milano, Triennale di Milano Servizi Srl e Fondazione CRT/Teatro dell'Arte si impegnano a comunicare i dati di natura personale forniti a destinatari che li tratteranno in qualità di responsabili e/o in qualità di persone fisiche che agiscono sotto l’autorità dei Contitolari e del Responsabile, al fine di ottemperare ai contratti o finalità connesse. Precisamente, i dati di natura personale potranno essere comunicati a destinatari appartenenti alle seguenti categorie:
- società partner e sponsor dei contitolari (previo consenso);
- provider della piattaforma di CRM;
- provider gestione dei pagamenti;
- soggetti che supportano i contitolari del trattamento per l’effettuazione dell’attività di marketing diretto, ad esempio fornitori della piattaforma di newsletter;
- soggetti che forniscono servizi per la gestione del sito e delle reti di comunicazione, ivi comprese posta elettronica, hosting e gestione sito internet, sistema newsletter, ecc.;
- liberi professionisti, studi o società nell’ambito di rapporti di assistenza e consulenza;
- autorità competenti per adempimenti di obblighi di leggi e/o di disposizioni di organi pubblici, su richiesta.
In caso di trasferimento dei dati all’esterno dell’Unione Europea, i dati verranno trattati nei limiti e alle condizioni di cui agli artt. 44 e ss. del Regolamento UE 2016/679.
6. Ruoli e responsabilità
6.1) Informativa Privacy
Le singole parti si impegnano a fornire, in sede di raccolta del dato, le informazioni di cui all’art. 13 del Regolamento UE 2016/679. Nello specifico l’informativa privacy dovrà comprendere i seguenti elementi:
“a) l'identità e i dati di contatto del titolare del trattamento e, eventualmente, del suo eventuale rappresentante;
b) dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni”.
I Contitolari si impegnano a fornire all’interessato, in sede di raccolta del dato, informativa ai sensi dell’art. 13 Regolamento UE 2016/679 (GDPR).
6.2) Esercizio dei diritti dell’interessato
Tutte le richieste di esercizio dei diritti di cui agli artt. 15-22 del Regolamento UE 2016/679 saranno gestite, per conto e nell’interesse di tutti i Contitolari, da FONDAZIONE LA TRIENNALE DI MILANO (Via Emilio Alemagna, 6 – 20121 Milano, privacy@triennale.org, Tel. 02 72434216) con la supervisione del Responsabile della Protezione dei Dati (DPO) di Gruppo Triennale (contattabile all’indirizzo mail dpo.triennale@dpoprofessionalservice.it) nei limiti e alle condizioni stabilite nella nomina di quest’ultimo.
6.3) Sicurezza del trattamento
Nel rispetto dei principi di cui all’art. 32 del Regolamento UE 2016/679 i Contitolari del trattamento, tenendo conto tra gli altri aspetti anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento).
I Contitolari del Trattamento sono tenuti a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate, declinate negli articoli 24 e 32 del Regolamento UE 2016/679 per proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità, conformemente a quanto disciplinato dalle norme di legge e in modalità che non si pongano in contrasto al presente accordo. I Contitolari del Trattamento devono verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione a richiesta dell’interessato e a prova di essersi adeguati a quanto disposto dalla legge in materia di trattamento dei dati-privacy e del rispetto al principio di responsabilizzazione, nonché ad adottare per la raccolta dei dati il metodo ivi descritto.
Nel valutare l’adeguato livello di sicurezza i Contitolari devono tenere conto dei rischi di:
- perdita;
- distruzione;
- modifica;
- divulgazione non autorizzata;
- accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.
I Contitolari, in quanto parte del Gruppo Triennale, hanno definito una linea comune sulle modalità di trattamento dei dati personali e si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, sia con riferimento a strumenti, archivi e supporti cartacei, sia con riferimento a strumenti e mezzi digitali e informatici utilizzati.
I Contitolari si impegnano inoltre a garantire che anche gli eventuali sub-fornitori saranno soggetti ai medesimi obblighi in merito alla protezione dei dati personali e delle informazioni.
6.4) Data Breach
Una violazione di dati personali (Data Breach) è ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal titolare del trattamento.
Ai sensi e per gli effetti dell’art. 33 Regolamento UE 2016/679, il Titolare del trattamento, in caso di violazione di dati personali, notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore è corredata da motivi di ritardo.
Ai sensi e per gli effetti dell’art. 34 Regolamento UE 2016/679, il Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo qualora la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.
* * *
Titolare del trattamento per la gestione di eventuali Data Breach è FONDAZIONE LA TRIENNALE DI MILANO, la quale si atterrà alle procedure per la gestione delle violazioni dei dati predisposte dal Gruppo Triennale.
6.5) DPIA
Per ogni nuova iniziativa che comporti l’utilizzo di nuove tecnologie per il trattamento dei dati, o in caso di modifiche di strumenti del trattamento già adottati (art. 35 s.s. Regolamento UE 2016/679), i Contitolari si impegnano a rispettare il sistema per la valutazione dei rischi connessi e delle misure tecniche ed organizzative da adottare a tutela dei dati personali, adottato e imposto da FONDAZIONE LA TRIENNALE DI MILANO.
7. Conclusioni
Qualsiasi modifica al presente documento sarà possibile solo con il consenso di tutti i Contitolari.
Ai sensi dell’articolo 26 comma 2. del Regolamento UE 2016/679, il contenuto essenziale del presente accordo sarà pubblicato sul sito del Gruppo Triennale (http://www.triennale.org/) e in tal modo messo a disposizione degli interessati.
L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.
Data di aggiornamento: 27 marzo 2023