Accordi di contitolarità

Di seguito si riportano gli estratti degli Accordi di contitolarità sottoscritti dall'Ateneo.

ACCORDO DI CONTITOLARITÀ

TRA

Biblioteca Nazionale Marciana con sede in San Marco 7 – 30124 Venezia, in persona del Dott. Stefano Campagnolo Dirigente, legale rappresentante, in qualità di coordinatore operativo del Polo bibliotecario VEA del Servizio Bibliotecario Nazionale

E

Accademia di Belle Arti - Membro del Polo SBN VEA
Archivio di Stato di Venezia - Membro del Polo SBN VEA
Fondazione Archivio Luigi Nono onlus - Membro del Polo SBN VEA
Archivio Storico del Patriarcato di Venezia - Membro del Polo SBN VEA
Ateneo Veneto onlus - Membro del Polo SBN VEA
Autorità di sistema portuale del Mare Adriatico settentrionale. Biblioteca del Porto di Venezia -
Membro del Polo SBN VEA
Biblioteca della Biennale di Venezia – Asac - Membro del Polo SBN VEA
Conservatorio di Musica Benedetto Marcello - Membro del Polo SBN VEA
Global Campus of Human Rights - Membro del Polo SBN VEA
Fondazione Giorgio Cini - Membro del Polo SBN VEA
Fondazione Musei Civici di Venezia - Membro del Polo SBN VEA
Fondazione Scientifica Querini Stampalia onlus - Membro del Polo SBN VEA
Fondazione Ugo e Olga Levi onlus - Membro del Polo SBN VEA
Istituto Veneto di Scienze, Lettere ed Arti - Membro del Polo SBN VEA
Istituto Veneto per i beni culturali IVBC - Membro del Polo SBN VEA
Istituto Veneto per i beni culturali IVBC - Membro del Polo SBN VEA
Istituto Veneziano per la Storia della Resistenza - Membro del Polo SBN VEA
Liceo Ginnasio Marco Foscarini - Membro del Polo SBN VEA
The Solomon R. Guggenheim Foundation - Membro del Polo SBN VEA
Direzione Regionale Musei Veneto - Membro del Polo SBN VEA
Seminario Patriarcale di Venezia - Membro del Polo SBN VEA
Università Ca’ Foscari Venezia - Membro del Polo SBN VEA
Università Iuav di Venezia - Membro del Polo SBN VEA
ciascuna aderente al Polo bibliotecario VEA del Servizio Bibliotecario Nazionale.
Di seguito indicate congiuntamente come le “Parti” o “Contitolari del trattamento” e separatamente
come la “Parte” o il “Contitolare del trattamento” unitamente al nome dell'Ente.

PREMESSO CHE

  • Le parti sottoscrivono ogni anno una Convenzione (“Convenzione”) per la gestione del Polo bibliotecario VEA (“Polo”) del Servizio bibliotecario nazionale; scopo del Polo è lo sviluppo e la gestione di un sistema informativo bibliografico e documentale territoriale nonché la definizione di un servizio bibliotecario regionale quale strumento di cooperazione interbibliotecaria, diffusione di servizi anche digitali ai lettori nonché la partecipazione ad eventuali iniziative europee, quale articolazione del Servizio Bibliotecario Nazionale (“Attività”).
  • Per l'esecuzione delle Attività le Parti pongono in essere congiuntamente operazioni di trattamento di dati personali (così come definiti dall’art. 4, 1 del Regolamento UE 2016/679 – “Regolamento”) per finalità legate alla gestione del Polo - bibliotecaria, amministrativa, organizzativa, contabile, di didattica, di ricerca, di analisi, di indagine a fini statistici - configurando, in tal modo, una correlazione di trattamento dei dati personali degli interessati ed una contitolarità nei trattamenti derivanti dalle attività istituzionali delle Parti.
  • Ai sensi dell’art. 26 paragrafo 1 del Regolamento "Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono Contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14".

Omissis

Art. 1 - Oggetto
Le Parti si impegnano nello svolgimento delle Attività al rispetto delle prescrizioni del Regolamento nonché delle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. Le Parti si impegnano altresì ad assumere gli obblighi e le responsabilità come meglio di seguito definiti.
Omissis

Art. 2 - Ambito di contitolarità

Le prestazioni che vengono espletate dalle Parti nell'ambito della contitolarità di cui al presente accordo, sono: la partecipazione ad un Polo bibliotecario SBN (VEA) con erogazione di servizi bibliotecari all'utenza (omissis) ed in particolare: erogazione di tessera; prenotazione e accesso alle sale di studio; consultazione in sede; prestito diretto; prestito interbibliotecario; document delivery; riproduzione di documenti; analisi e indagini a fini statistici.
Omissis

Art. 3 – Dati oggetto del rapporto di contitolarità e durata del rapporto di contitolarità
Per lo svolgimento delle Attività i seguenti tipi di dati personali relativi agli utenti del Polo possono essere condivisi tra le Parti: nome cognome; data di nascita; estremi del documento di identità; codice fiscale; residenza; domicilio; telefono; indirizzo e-mail; sesso; interessi scientifici; posizione lavorativa; codice studente (se studente delle Università Ca' Foscari o Università Iuav di Venezia). Le Parti si impegnano a conservare i dati personali per il solo tempo necessario allo svolgimento delle Attività.

Art. 4 – Obblighi e responsabilità dei Contitolari del trattamento
I Contitolari determinano congiuntamente le finalità e le modalità del trattamento.
4.1 Ogni Parte si impegna:
a - ad informare adeguatamente i propri utenti ai sensi dell’art. 13 del Regolamento, anche in relazione alla contitolarità del trattamento dei dati che rientrano nell'ambito di operatività del presente accordo, integrando la propria documentazione con il testo di cui all’Allegato 1;
b - Omissis
c - a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal Regolamento e dalle disposizioni di legge in materia di tutela dei dati personali;
d - dato che le richieste di esercizio dei diritti presentate dagli interessati potranno essere esercitate nei confronti di ogni Contitolare del trattamento, ogni Parte si impegna a dare tempestivo riscontro alle stesse, dandone immediata comunicazione alle altre Parti scrivendo agli indirizzi indicati nell’art. 8 e scrivendo a  b-marc.catalogazione@beniculturali.it; il Contitolare destinatario dell’istanza dovrà proporre, entro 7 giorni dalla ricezione, agli altri Contitolari un’ipotesi di riscontro alla stessa a mezzo d’invio di comunicazione di posta elettronica agli indirizzi indicati nell’art. 8 e all’indirizzo  b-marc.catalogazione@beniculturali.it; decorsi 10 giorni senza aver ricevuto proposte di rettifica, il riscontro viene trasmesso all’interessato nei termini proposti che si assumono condivisi da tutti i Contitolari; nell’ipotesi di contestazioni si applicherà la procedura prevista dall’art. 7 del presente accordo; le Parti possono addebitare all’interessato un contributo spese ragionevole basato sui costi amministrativi solo nel caso in cui siano richieste più copie di dati in formato cartaceo; di dati personali effettuati nell’esecuzione delle Attività, nel proprio registro dei trattamenti, tutte le informazioni richieste dalla norma; nel registro dei trattamenti deve specificatamente essere indicato che tali trattamenti di dati personali sono effettuati in regime di contitolarità; in virtù del rapporto di contitolarità; le Parti si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico e si impegnano ad utilizzare i dati personali solamente per le finalità previste dal presente accordo, salvo non siano stati raccolti per altre finalità nel rispetto della normativa in materia di protezione dei dati personali;
e - a riportare, secondo quanto disposto dall’art. 30 del Regolamento, con riferimento ai trattamenti;
f - a mantenere la riservatezza, integrità e disponibilità dei dati personali raccolti, trattati e utilizzati;
g - a designare chiunque agisca nell’ambito della propria autorità e abbia accesso a dati personali oggetto di contitolarità Autorizzato del trattamento ai sensi dell’art. 29 del Regolamento, fornendo adeguate istruzioni;
h - a verificare regolarmente – e, comunque con periodicità almeno annuale – l’adeguatezza delle misure adottate.
4.2 Ogni Parte sarà responsabile del mancato rispetto degli obblighi di cui al punto 4.1 che precede.

Art. 5 - Obblighi e responsabilità congiunte dei Contitolari del trattamento
I Contitolari in modo congiunto si impegnano a:
a - conservare i dati personali degli interessati, conformemente ai principi di cui all’art. 5 del Regolamento, per un periodo non superiore a quello necessario per il perseguimento delle finalità del Polo, secondo quanto concordato nel Comitato, e con specifico riguardo al principio di limitazione della conservazione di cui all’art. 5, paragrafo 1, lett. e) del Regolamento; nei casi in cui l’utente richieda la cancellazione dei propri dati personali le Parti, dopo aver adempiuto a quanto disposto in art. 4.1.d, richiedono alla Biblioteca Marciana di provvedere all’eliminazione di ogni dato personale in proprio possesso ad esso riferito, anche in concerto con le università, dandone comunicazione agli altri Contitolari;
b - i Contitolari possono nominare Responsabili del trattamento ai sensi e per gli effetti dell’art. 28 del Regolamento, utilizzando le specifiche di cui all’Allegato 3;
c -  a verificare regolarmente – e comunque con periodicità almeno annuale – l’adeguatezza delle misure adottate.

Art. 6 - Obblighi della Biblioteca Nazionale Marciana
I rapporti con tutti gli interessati i cui dati sono trattati nell’ambito delle Attività del Polo, sono curati dalla Biblioteca nazionale Marciana. I Contitolari del Trattamento, restando fermo quanto previsto al punto 4.1.d), hanno designato quale punto di contatto per l’esercizio dei diritti degli interessati la Biblioteca nazionale Marciana, nella persona del Dott. Stefano Campagnolo, raggiungibile all’indirizzo mail  b-marc.catalogazione@beniculturali.it.
La Biblioteca nazionale Marciana si impegna a rispondere alle richieste degli interessati senza ritardo e al più tardi entro 30 giorni, a mente dell'art. 12, par. 3 del Regolamento.
I Contitolari, secondo gli indirizzi del Comitato di Coordinamento, hanno delegato la Biblioteca nazionale Marciana a nominare la società che fornisce il servizio applicativo in SaaS Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28 del Regolamento, utilizzandole specifiche di cui all’Allegato 3.
La Biblioteca Nazionale Marciana si impegna ad informare nel più breve tempo possibile gli altri Contitolari del trattamento ove ricevesse comunicazione di eventuali violazioni da parte del Responsabile del trattamento.
La Biblioteca Nazionale Marciana si impegna a cancellare i dati personali su specifica richiesta degli interessati, di concerto, ove necessario, con le Università Ca’ Foscari e IUAV.
Omissis

Art. 7 – Notifica di violazione dei dati personali
I Contitolari del trattamento e il Responsabile del trattamento si impegnano a comunicare qualsiasi notizia di distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati e alle informazioni trattate, non appena se ne abbia contezza, e comunque non oltre un giorno lavorativo, all’indirizzo  b-marc.catalogazione@beniculturali.it.Il Responsabile del trattamento, nominato dalla Biblioteca Nazionale Marciana ai sensi dell’art. 6.3,comunica all’indirizzo  b-marc.catalogazione@beniculturali.it eventuali malfunzionamenti e/o interruzioni di servizio (programmate e non). Per malfunzionamento si intende un disservizio che non consenta l’ordinaria fruibilità del software applicativo. Per Interruzione di Servizio si intende la non disponibilità del software applicativo per un tempo superiore a 30 minuti consecutivi o nell’arco di un’ora.
Nel caso di ricezione di informazioni inerenti a una presunta violazione, i Contitolari, in aderenza agli artt. 33 e 34 del Regolamento, valutano congiuntamente la probabilità che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche e la necessità di procedere alla notifica al Garante per la protezione di dati personali ed eventualmente agli interessati. La valutazione congiunta viene effettuata entro 48 ore dalla contezza della sussistenza della violazione di dati personali, convocando una riunione d’urgenza del Comitato; non è richiesto un numero minimo di partecipanti e le decisioni assunte sono prese a maggioranza semplice per conto di tutti i Contitolari. In tale sede è, altresì, individuato il Soggetto delegato alla notifica della violazione al Garante per la protezione dei dati personali ed eventualmente alla comunicazione agli Interessati.

Art. 8 Contatti dei Contitolari
Le comunicazioni previste dal presente accordo dovranno essere effettuate ai seguenti indirizzi:

Art. 9 – Disposizioni conclusive
Omissis

ACCORDO DI CONTITOLARITÀ 
ex art. 26 Reg. UE 2016/679

TRA

UNIVERSITÀ CA’ FOSCARI VENEZIA 

E

GRUPPO PLEIADI SCS

di seguito congiuntamente anche "Contitolari" o "Parti"

Si conviene e si stipula il presente accordo (di seguito anche "Accordo") al fine di ottemperare all’obbligo previsto dall’art. 26 del Regolamento UE n. 679/2016 e regolare le rispettive responsabilità in merito al trattamento dei dati personali degli interessati conseguente al raggiungimento delle finalità condivise nell’ambito dell’iniziativa denominata “Children’s University Venezia” nonché delle edizioni future della medesima iniziativa in qualsivoglia modo denominate. 

PREMESSO 

1. che Pleiadi svolge attività di progettazione ed organizzazione di eventi a scopo educativo;
2. che l’Università nell’ambito della terza missione ha interesse a coinvolgere studenti di ogni età;
3. che le Parti hanno sottoscritto un accordo per la realizzazione del progetto Children's University Venezia avente ad oggetto laboratori didattici dedicati agli sviluppi dell’innovazione che disciplina compiti e attività di ciascuna parte e che nel caso di edizioni future le Parti si impegnano a redigere uno specifico accordo con ad oggetto quanto specificato sopra;
4. che per la realizzazione del progetto Children's University Venezia è necessario raccogliere i dati identificativi dei partecipanti e ove minorenni dei loro tutori e/o accompagnatori, allo scopo di permetterne la partecipazione all’iniziativa nonché l’accesso alle strutture all’interno delle quali si svolgeranno le attività sopra specificate, nonché i dati di contatto degli stessi per effettuare le comunicazioni che si rendessero necessarie e le comunicazioni promozionali relative a edizioni future della medesima iniziativa;
5. che nel corso dello svolgimento di tale progetto educativo potranno essere acquisite immagini fotografiche e audio-video dei soggetti partecipanti (di seguito anche "Materiale Multimediale");
6. che tale Materiale Multimediale potrà essere utilizzato allo scopo di promuovere l’immagine e i servizi dei Contitolari attraverso la pubblicazione e diffusione con ogni mezzo (stampa, giornali, internet);
7. che l’espletamento delle attività sopra descritte comporta il trattamento di dati personali così come definiti ai sensi dell’art. 4 del GDPR e che pertanto entrambe le Parti sono tenute al rispetto della normativa applicabile in materia di protezione dei dai personali;
8. che i suddetti dati personali riguardano le persone fisiche partecipanti al progetto e/o i loro tutori ove necessari (di seguito "Partecipanti");
9. che, entrambe le Parti, in coerenza con i propri valori, si impegnano reciprocamente a proteggere e trattare, conformemente alle prescrizioni di legge, i dati personali di ogni persona fisica che entri in contatto od operi con le stesse in qualità di “interessato” ai sensi della normativa in materia di protezione dei dati personali ad oggi vigente;
10. che, in particolare, ai sensi dell’art. 26 del GDPR, ove due o più titolari del trattamento determinano congiuntamente le modalità e le finalità del trattamento dei dati personali, essi sono definiti Contitolari del trattamento, e in quanto tali devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa vigente;
11. che le Parti intendono, con la presente scrittura privata, disciplinare congiuntamente: a) le finalità e i mezzi dei trattamenti dei dati di seguito meglio specificati all’art. 1 del presente Accordo; b) le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato; c) le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.

TUTTO CIO’ PREMESSO
Quanto sopra riportato è da intendersi parte integrante e sostanziale del presente atto, le Parti, convengono e stipulano quanto segue:

Art. 1 - Oggetto
Con il presente accordo le Parti intendono disciplinare l’instaurazione di un rapporto di contitolarità con riferimento al trattamento dei dati personali trattati secondo le finalità individuate congiuntamente dalle Parti stesse.
Le Parti determinano fin d’ora che i dati personali, ovvero i dati anagrafici, di contatto dei Partecipanti e il Materiale Multimediale, verranno raccolti allo scopo di garantire un efficiente svolgimento dell’evento e allo scopo di promuovere i servizi dei Contitolari mediante la pubblicazione del Materiale Multimediale.
Il trattamento di tali dati personali avverrà con mezzi automatizzati e non automatizzati.

Art. 2 - Responsabilità derivanti dalla contitolarità del trattamento
Il presente Accordo tra le Parti determina le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. I Contitolari sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti in materia di protezione dei dati personali (omissis).
I Contitolari del trattamento si impegnano a condividere e stabilire congiuntamente le finalità del trattamento di dati personali, le modalità del trattamento di dati personali, gli strumenti utilizzati ed i profili di sicurezza nonché a trattare i dati personali acquisiti nell’ambito del presente Accordo solo per le finalità previste dallo stesso e non per finalità proprie o di altri con l’eccezione di quanto stabilito agli artt. 2.1 e 2.2.
Nei confronti degli interessati, i Contitolari rispondono in solido per i danni derivanti dal trattamento, fermo restando, nei rapporti interni, la responsabilità di ciascun titolare per le operazioni allo stesso direttamente imputabili.

Art. 2.1 - Responsabilità in capo a Pleiadi
Pleiadi si occuperà:

  • della promozione e raccolta delle adesioni dei partecipanti mediante un portale web aperto al pubblico; attraverso lo stesso metterà a disposizione degli interessati, anche per conto dell’Università, l’informativa ai sensi dell’art. 13 GDPR e si occuperà di raccogliere e conservare i consensi necessari alla liceità dei trattamenti;
  • dell'invio delle comunicazioni promozionali dell’evento, che saranno inviate solo ai contatti per i quali ha acquisito specifico consenso al ricevimento di tali comunicazioni.

(omissis)
Resta inteso tra le Parti che le attività di diffusione e pubblicazione del Materiale Multimediale sui canali di comunicazione di Pleiadi saranno svolte dallo stesso in qualità di titolare autonomo del trattamento.

Art. 2.2 - Responsabilità in capo all’Università
L’Università avrà l’onere di verificare e raccogliere i moduli di consenso (c.d. "liberatorie") all’arrivo dei Partecipanti nelle sedi dell’evento nonché di conservare le stesse.

(omissis)
Resta inteso tra le Parti che le attività di diffusione e pubblicazione del Materiale Multimediale sui canali di comunicazione dell'Università saranno svolte dallo stesso in qualità di titolare autonomo del trattamento.

Art. 3 - Finalità e liceità dei trattamenti
I macro-trattamenti previsti dal presente sono:

  • Organizzazione e gestione corsi/eventi, la cui base giuridica è individuata, per Pleiadi, nel contratto (art. 6.1.b) del GDPR) e, per l’Università, nell’esecuzione di un compito di interesse pubblico (art. 6.1.e) del GDPR);
  • Rilevazione del grado di soddisfazione dei Partecipanti e la contestuale verifica dell’efficacia dell’evento, la cui base giuridica è individuata nell’esecuzione di un compito di interesse pubblico per l’Università (art.6.1.e) del GDPR) e nel legittimo interesse (art. 6.1.f) del GDPR) per Pleiadi;
  • Marketing diretto, svolto da Pleiadi, la cui base giuridica è individuata nel consenso (art. 6.1.a) del GDPR).

(omissis)

ACCORDO DI CONTITOLARITÀ

tra

l’Università Ca’ Foscari Venezia 

e

la Società Italiana di Econometria (“SIDE”);

(di seguito, congiuntamente, denominati “Parti” o “Contitolari”)

Premesso che

a) l’Università e la Società Italiana di Econometria hanno stipulato una convenzione (di seguito, “Convenzione”) avente ad oggetto l’organizzazione congiunta di due Summer School rispettivamente dal titolo “Networks Econometrics” e “Bayesian Multivariate Models and Forecasting in Economics and Finance” (di seguito, “Summer Schools”);
b) ai fini dell’esecuzione delle attività previste dalla Convenzione, le PARTI agiscono in qualità di Contitolari per le attività indicate all’art. 4 della Convenzione, in quanto determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali (come individuati nell’Allegato A (“Dati Personali”);
c) con il presente accordo, le PARTI, ai sensi dell’art. 26 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “GDPR”), intendono quindi determinare i rispettivi compiti e responsabilità.

 

Tutto ciò premesso, le PARTI convengono quanto segue:

1) OGGETTO

Il presente accordo ha lo scopo di definire i compiti assegnati a ciascuna Parte e le relative responsabilità in merito all’osservanza degli obblighi derivanti dal qualsiasi legge o regolamento, tempo per tempo applicabile, inclusi il GDPR, il D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018, le altre leggi e regolamenti dell’Unione Europea applicabili al trattamento dei dati personali e i Provvedimenti dell’Autorità Garante per la protezione dei dati personali (rispettivamente “Normativa Privacy” e “Garante”).

2) AMBITO DEL TRATTAMENTO

I Contitolari tratteranno i Dati Personali (i) dei partecipanti alle Summer Schools al fine di poter erogare loro i servizi previsti dalla Convenzione; (ii) dei docenti delle Summer School per ragioni connesse alla gestione del rapporto con gli stessi. In particolare, SIDE sarà responsabile della raccolta dei Dati Personali dei partecipanti durante la fase di iscrizione alle Summer Schools e per l’erogazione della didattica, mentre l’Università si occuperà del trattamento dei Dati Personali per la gestione operativa della loro presenza presso i locali di San Giobbe a Venezia e al fine di rendicontare le attività svolte e i costi sostenuti dall’Ateneo all’ente finanziatore (Ministero Ricerca Universitaria - finanziamento stabilito con

legge 11 dicembre 2016 n. 232). SIDE sarà, inoltre, responsabile delle attività di trattamento dei dati personali dei docenti che saranno raccolti in fase di attribuzione dell’incarico e trattati per la gestione del rapporto con gli stessi.

Le parti svolgeranno le seguenti attività in qualità di Titolari autonomi del trattamento:

  • SIDE - raccolta dei Dati Personali conferiti durante l’iscrizione alle Summer Schools per l’affiliazione degli iscritti alla stessa SIDE.
  • Università – eventuale conservazione dei Dati Personali nel caso in cui alcuni docenti estendano il periodo di permanenza e collaborazione con l’Università stessa. Il rapporto tra l’Università e i docenti saranno poi oggetto di specifico accordo tra le parti.

3) OBBLIGHI DELLE PARTI

Le Parti sono tenute a trattare i Dati Personali nel rispetto della Normativa Privacy nonché delle disposizioni del presente accordo. Le Parti si impegnano a non trattare i Dati Personali per finalità proprie e/o di qualunque terzo salvo quanto indicato all’articolo 2 che precede.

In particolare, le Parti convengono quanto segue:

a) informativa sul trattamento dei dati personali. L’informativa ai sensi degli articoli 13 e 14 del GDPR avverrà a cura di SIDE in quanto Parte che ha il contatto diretto con gli interessati. Il testo dell’informativa da rendere, concordato tra le Parti, è indicato all’Allegato B;
b) istanze di esercizio dei diritti presentate dagli interessati. Gli interessati possono esercitare i propri diritti ai sensi degli art. 15 e ss. del GDPR nei confronti di entrambe le Parti. La Parte ricevente l’istanza si impegna a darne comunicazione all’altra entro 3 giorni lavorativi, inviandone copia, al fine di collaborare attivamente per dare tempestivo riscontro alle suddette istanze e concordare le eventuali azioni che dovranno essere adottate;
c) registro delle attività di trattamento ai sensi dell’art. 30 del GDPR: ogni Parte si impegna a tenere un registro, come previsto dall’art. 30 del GDPR, in formato elettronico o cartaceo, di tutte i trattamenti svolti, fornendone senza ritardo un estratto all’altra Parte, se richiesto;
d) estratto dell’accordo di contitolarità. Le Parti si impegnano a mettere a disposizione degli interessati estratto del presente accordo (vedasi Allegato C).
e) misure di sicurezza tecniche ed organizzative. Le Parti dovranno adottare le misure tecniche ed organizzative prescritte dall’art. 32 del GDPR, ciascuna in relazione all’ambito di propria competenza, per garantire la riservatezza, l’integrità e la disponibilità dei Dati Personali, nel rispetto della Normativa Privacy;
f) notifica al Garante e agli interessati di eventuali violazioni dei Dati Personali ai sensi dell’art. 33 del GDPR. La Parte, che venga a conoscenza di una violazione della sicurezza che possa comportare accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai Dati Personali (che sia occorsa presso anche presso i propri Responsabili del trattamento), procede ad informare senza ingiustificato ritardo, e comunque entro 24 ore da quando ne abbia avuto conoscenza, l’altra Parte. La comunicazione deve contenere tutti i requisiti previsti dall’art. 33, 3° comma del GDPR (la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate). Le Parti dovranno, inoltre, adottare di concerto le misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente. Le Parti si impegnano, inoltre, a (i) predisporre e aggiornare un registro che dettagli qualsiasi violazione dei Dati Personali subita, indicando la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate; (ii) collaborare per notificare al Garante l’eventuale violazione della sicurezza e, ove ne ricorrano i presupposti, effettuare la comunicazione agli interessati, nei tempi previsti dalla Normativa Privacy;
g) nomina di eventuali responsabili del trattamento. Nel caso in cui una Parte intenda affidare operazioni di trattamento dei Dati Personali ad un soggetto esterno, dovrà informare preventivamente l’altra Parte con un preavviso di 15 giorni affinché possa esercitare eventuali opposizioni. In assenza di opposizioni, la Parte proponente potrà procedere all’affidamento, nominando l’outsourcer Responsabile del trattamento, ai sensi dell’art. 28 del GDPR; le Parti prendono atto e approvano che l’Università si avvale dei servizi di (i) Google Workspace for Education per la gestione della posta elettronica e per la conservazione dei documenti in cloud; (ii) Zoom per l’erogazione di corsi, lezioni o contenuti a distanza.
h) nomina ad autorizzato e vincolo di riservatezza per coloro che agiscono sotto l’autorità delle Parti. Ciascuna Parte è tenuta a fornire ai soggetti che operano sotto la propria responsabilità (cosiddetti autorizzati del trattamento) adeguate istruzioni sugli obblighi imposti dalla Normativa Privacy e a vincolarli all’obbligo di riservatezza sui Dati Personali anche per il periodo successivo alla cessazione del rapporto di lavoro o collaborazione;
i) effettuare una valutazione d’impatto nei casi previsti dall’art 35 del GDPR. Le Parti si impegnano a collaborare ove risulti necessario effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR, al fine di valutare i rischi connessi al trattamento e le misure tecniche ed organizzative da adottare a tutela dei Dati Personali, nonché nel caso si renda necessario procedere alla consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR;
l) trasferimento dei dati al di fuori dello Spazio Economico Europeo: le Parti si impegnano a trasferire i Dati Personali al di fuori dello Spazio Economico Europeo solo ove sussistano misure adeguate ai sensi del Capo V del GDPR;
m) comunicazioni da parte del Garante: le Parti si impegnano ad avvisare immediatamente, e comunque entro 24 ore, l’altra Parte di qualsiasi richiesta o comunicazione da parte del Garante o dell’Autorità Giudiziaria eventualmente ricevuta, inviando copia delle istanze, per concordare congiuntamente il riscontro.

Omissis

ALLEGATO A - Omissis

ALLEGATO B - Omissis

ALLEGATO C - Omissis

ACCORDO DI CONTITOLARITÀ ("l’Accordo") 

Ai sensi dell’art. 26 del Regolamento (UE) 2016/679 

tra 

UNIVERSITÀ CA' FOSCARI VENEZIA (di seguito “Università” o “Ateneo”) 

FONDAZIONE CA' FOSCARI  (di seguito “Fondazione”) 

(di seguito, congiuntamente, denominati “Parti” o “Contitolari”) 

Premesso che 

a) L’Università Ca' Foscari Venezia è una Università statale italiana, avente sede a Venezia;
b) Fondazione opera come ente strumentale a supporto dell’Ateneo sia per potenziare le attività connesse alla mission di quest’ultimo sia per promuovere nuove iniziative in termini di public engagement a livello nazionale e internazionale;
c) in quanto ente strumentale, Fondazione fruisce di alcuni servizi ed infrastrutture forniti da Ateneo;
d) le Parti, per regolamentare i rapporti che le vedono coinvolte, hanno rinnovato il 31 gennaio 2020 la “Convenzione Quadro per la gestione dei rapporti tra l’Università Ca’ Foscari Venezia e la Fondazione Università Ca’ Foscari Venezia” (di seguito “Convenzione quadro”) nonché altre convenzioni specifiche come richiamate nella Convenzione quadro stessa.
e) in relazione alle attività che svolge Ca’ Foscari Challenge School, scuola di Ateneo senza personalità giuridica (di seguito “Challenge School”), le Parti hanno concluso il 3 maggio 2019 la “Convenzione per l’esecuzione dei Master universitari e delle attività di Lifelong Learning” (di seguito la “Convenzione”), che resta confermata a seguito del rinnovo della Convenzione quadro;
f) in forza della Convenzione, le Parti determinano congiuntamente le finalità e i mezzi, anche se in modo asimmetrico, per lo svolgimento delle attività di trattamento di dati personali di cui all’Allegato A e al punto 1.3 che segue all’interno della Challenge School (di seguito “Attività” e “Dati personali”) configurandosi, in tal modo, una contitolarità nei trattamenti che le Parti intendono normare con il presente Accordo, prevedendo i rispettivi adempimenti e responsabilità in merito all’osservanza degli obblighi connessi alla Normativa applicabile come di seguito definita.
g) In relazione alle altre attività oggetto della Convenzione quadro, le Parti stanno sottoscrivendo un accordo che costituisce la cornice all’interno della quale vengono definite le regole per il trattamento dei dati personali che le Parti si impegnano ad osservare a seconda della veste assunta di volta in volta dalle stesse, cioè quali Titolari o quali Responsabili del trattamento, in virtù della suddetta convenzione e di quelle in essa richiamate;
h) resta inteso che le Parti svolgeranno le operazioni di trattamento di dati personali diverse dalle Attività e diverse da quelle regolamentate della Convenzione quadro in qualità di Titolari autonomi del trattamento. 

TUTTO CIÒ PREMESSO, si conviene quanto segue: 

1. DEFINIZIONI 

Omissis

2. AMBITO DEL TRATTAMENTO 

2.1. Le premesse e gli allegati formano parte integrante e sostanziale dell’Accordo.
2.2. I Contitolari raccolgono i Dati personali, conferiti loro dagli studenti/utenti, al momento della instaurazione di un rapporto per l’attivazione di Master universitari di I e II livello nonché per attività relative alle attività di Lifelong Learning (“Alta Formazione”) di cui alla Convenzione. 

In particolare, possono essere raccolte le seguenti categorie di Dati personali: 

(i) dati anagrafici e di contatto – informazioni relative al nome, cognome, indirizzo, numero di telefono, fax, indirizzo email, PEC;
(ii) informazioni relative ad eventuali disabilità/disturbi specifici dell’apprendimento;
(iii) dati di carriera – informazioni relative alla carriera universitaria e al curriculum vitae;
(iv) immagini – fotografie e riprese audio-video;
(v) documento di identità;
(vi) dati personali di pagamento – informazioni relative al pagamento (es. informazioni relative ai metodi di pagamento quali conti corrente, carte di credito, iban ed ulteriori metodi di pagamento); 

relative alle seguenti categorie d’interessati: partecipanti ai Master/Corsi, docenti e collaboratori (di seguito “Dati personali”). 

2.3. Con l’Accordo, le Parti intendono definire, ai sensi dell’art 26 del GDPR, i rispettivi compiti e responsabilità relativi alle Attività. 

3. OBBLIGHI DELLE PARTI 

3.1. Le Parti sono tenute a trattare, nell’ambito delle Attività svolte all’interno della Challenge School, i Dati personali nel rispetto della Normativa applicabile nonché delle disposizioni dell’Accordo.

3.2. Le Parti si impegnano a non trattare i Dati personali per finalità proprie e/o di qualunque terzo salvo quanto di seguito indicato. L’Ateneo potrà utilizzare le immagini (fotografie e riprese audio-video) e gli indirizzi mail raccolti durante le Attività presso la Challenge School per promuovere i propri compiti istituzionali di didattica, ricerca e di terza missione.

3.3. Con l’Accordo, le Parti definiscono, ai sensi dell’art. 26 del GDPR, di svolgere i seguenti compiti connessi al trattamento dei Dati personali nell’ambito delle Attività, con responsabilità congiunta:
3.3.1. redazione e revisione delle varie informative privacy (comprese le liberatorie per le immagini, oltre ad eventi ad hoc, ecc.) da fornire all’inizio del trattamento;
3.3.2. raccolta ed elaborazione dei Dati personali per rispondere alle richieste degli interessati;
3.3.3. gestione congiunta della formazione dei dipendenti dei Contitolari. Le Parti si impegnano ad organizzare attività di formazione per i dipendenti che si occupano delle Attività, per renderli edotti del contenuto dell’Accordo e garantire il corretto trattamento dei Dati personali, vincolando questi ultimi, ciascuno secondo quanto di propria competenza, al rispetto dei obblighi di riservatezza e confidenzialità; gestione delle richieste degli interessati ai sensi degli artt. 15/22 GDPR. Fermo restando il diritto di questi ultimi di far valere i propri diritti nei confronti di ciascuna Parte, la Parte ricevente l’istanza si impegna a darne comunicazione all’altra entro 3 giorni lavorativi, inviandone copia, al fine di collaborare attivamente per dare tempestivo riscontro alle suddette istanze e concordare le eventuali azioni che dovranno essere adottate;
3.3.4. notifica al Garante e agli interessati di eventuali Data Breach. La Parte, che venga a conoscenza di un Data Breach (che sia occorso anche presso i propri Responsabili del trattamento), procede ad informare senza ingiustificato ritardo, e comunque entro 24 ore da quando ne abbia avuto conoscenza, l’altra Parte. La comunicazione deve contenere tutti i requisiti previsti dall’art. 33, 3° comma del GDPR (la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate). Le Parti dovranno, inoltre, adottare di concerto le misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente. Le Parti si impegnano, inoltre, a (i) predisporre e aggiornare, ciascuna per quanto di propria competenza, un registro che dettagli qualsiasi violazione dei Dati personali subita, indicando la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate; (ii) collaborare per notificare al Garante l’eventuale Data Breach e, ove ne ricorrano i presupposti, effettuare la comunicazione agli interessati, nei tempi previsti dalla Normativa applicabile;
3.3.5. svolgimento di una valutazione d’impatto nei casi previsti dall’art 35 del GDPR. Le Parti si impegnano a collaborare ove risulti necessario effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR, al fine di valutare i rischi connessi al trattamento e le misure tecniche ed organizzative da adottare a tutela dei Dati personali, nonché nel caso si renda necessario procedere alla consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR;
3.3.6. trasferimento dei dati al di fuori dello Spazio Economico Europeo. Le Parti si impegnano a trasferire i Dati personali al di fuori dello Spazio Economico Europeo solo ove sussistano misure adeguate ai sensi del Capo V del GDPR;
3.3.7. comunicazioni da parte del Garante. Le Parti si impegnano ad avvisare immediatamente, e comunque entro 24 ore, l’altra Parte di qualsiasi richiesta o comunicazione da parte del Garante o dell’Autorità Giudiziaria eventualmente ricevuta, inviando copia delle istanze, per concordare congiuntamente il riscontro;
3.3.8. conclusione di convenzioni con altri enti per promuovere e sviluppare le attività della Challenge School: Fondazione potrà stipulare convenzioni con altri enti per promuovere ed ampliare l’offerta formativa della Challenge School.

3.4. Nell’ambito del rapporto di contitolarità del trattamento dei Dati personali, le Parti convengono di ripartire come segue le responsabilità in merito all’osservanza degli obblighi derivanti dalla Normativa applicabile: 

3.5. La Fondazione sarà responsabile delle seguenti attività: 

3.5.1. rilascio informativa sul trattamento dei dati personali. Il rilascio delle informazioni di cui agli articoli 13 e 14 del GDPR avverrà a cura di Fondazione, avendo la stessa il contatto diretto con l’interessato. Il testo dell’informativa da rendere agli interessati è rinvenibile all’Allegato B. Fondazione dovrà, inoltre, procedere alla pubblicazione di copia della predetta informativa sul sito internet www.cafoscarichallengeschool.it (di seguito “Sito”);
3.5.2. pubblicazione dell’estratto dell’Accordo. Fondazione dovrà mettere a disposizione dell’interessato il contenuto essenziale dell’Accordo in ottemperanza a quanto previsto dall’art. 26, comma 2, del GDPR anche mediante pubblicazione di un estratto dello stesso sul Sito;
gestione e manutenzione del Sito. Fondazione sarà responsabile della gestione e manutenzione del Sito, dell’adozione delle misure tecniche e organizzative necessarie per la conformità dello stesso alle prescrizioni della Normativa applicabile. Fondazione sarà altresì responsabile della corretta gestione dei cookie raccolti mediante il Sito. 

3.6. L’Università sarà responsabile delle seguenti attività:
3.6.1. Gestione delle risorse informatiche. L’Università sarà responsabile delle risorse informatiche gestite dalla stessa, e utilizzate per lo svolgimento delle Attività, nonché dell’adozione ed implementazione delle misure tecniche e organizzative necessarie per garantire il rispetto della Normativa applicabile. Le Parti si danno atto che l’Università svolge attività di supporto informatico in favore di Fondazione, per trattamenti non rientranti nelle Attività, in qualità di Responsabile del trattamento ex art 28 GDPR direttamente ovvero avvalendosi di terzi fornitori così come previsto nell’accordo di cui alla premessa g). 

3.7. Le Parti si impegnano, inoltre, per quanto di propria competenza:
3.7.1. registro delle attività di trattamento ai sensi dell’art. 30 del GDPR. Ogni Parte si impegna a tenere un registro, come previsto dall’art. 30 del GDPR, in formato elettronico o cartaceo, di tutti i trattamenti svolti, fornendone senza ritardo un estratto all’altra Parte se richiesto;
3.7.2. misure tecniche ed organizzative. Le Parti dovranno adottare le misure tecniche ed organizzative prescritte dall’art. 32 del GDPR, ciascuna in relazione all’ambito di propria competenza, per garantire la riservatezza, l’integrità e la disponibilità dei Dati personali, nel rispetto della Normativa applicabile.
3.7.3. nomina di eventuali responsabili del trattamento. Nel caso in cui una Parte intenda affidare operazioni di trattamento dei Dati personali ad un soggetto esterno, dovrà nominare l’outsourcer Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, assumendo la responsabilità di tale designazione 

3.8. Le Parti dichiarano di aver implementato tutti gli adempimenti imposti dalla Normativa applicabile e si impegnano altresì a porre in essere, ciascuna nel proprio ambito di competenza, tutti gli obblighi in tema di accountability prescritti dalla Normativa applicabile quali a titolo esemplificativo e non esaustivo: registro delle attività di trattamento, valutazione di impatto privacy, applicazione dei principi di privacy by design e by default. 

4. ULTERIORI OBBLIGHI DELLE PARTI 

4.1. Le Parti si danno reciprocamente atto che i Dati personali saranno trattati in modo lecito secondo correttezza per le finalità indicate nell’Accordo. 

4.2. I Contitolari, secondo i rispettivi ambiti di competenza, si impegnano a trattare i Dati personali, nel rispetto dei seguenti principi:
(i) limitazione delle finalità: i Dati personali devono essere elaborati e utilizzati ovvero comunicati esclusivamente ai fini specificati nell’Accordo;
(ii) limitazione della conservazione: i Dati personali devono essere conservati per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono stati raccolti e successivamente trattati;
(iii) qualità e proporzionalità dei dati: i Dati personali devono essere corretti, ove necessario aggiornati. I Dati personali devono essere adeguati, pertinenti e non eccedenti in relazione ai fini perseguiti;
(iv) trasparenza: gli interessati devono essere informati sulle finalità del trattamento, sul periodo di conservazione dei Dati personali e sul soggetto presso il quale esercitare il diritto di accesso ai propri Dati, nonché gli altri diritti previsti dalla Normativa applicabile (rettifica, blocco, cancellazione, limitazione, portabilità ove applicabile);
(v) liceità: devono essere poste in essere procedure tali da consentire all’interessato di poter verificare le proprie scelte e di poterle modificare nei casi ove ciò sia possibile;
(vi) sicurezza e riservatezza: devono essere attuate le misure tecniche e organizzative di sicurezza appropriate ai rischi presentati dal trattamento;
(vii) nel caso di trattamento di eventuali categorie particolari di dati (origine razziale, etnica, provvedimenti di sicurezza, stato di salute, ecc.) devono essere previste idonee e ulteriori salvaguardie. 

Omissis

Last update: 27/09/2022