1. OGGETTO

1.1. Con il presente Accordo, le Parti determinano le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. Con il presente Accordo, le Parti stabiliscono, altresì, i rispettivi obblighi in merito all’esercizio dei diritti degli interessati e i rispettivi ruoli in merito alla comunicazione dell’informativa.

1.2. La contitolarità è riferita al trattamento dei dati personali, come definito all’art. 4, par. 2, del GDPR ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.

1.3. Resta inteso, tra le Parti, che, ai sensi dell’art. 26, par. 2, del GDPR, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di, e contro, ciascun Contitolare del trattamento.

2. TRATTAMENTI OGGETTO DEL RAPPORTO DI CONTITOLARITÀ E DURATA DEL RAPPORTO

2.1. Ai fini del conseguimento delle finalità previste all’art.1, il seguente trattamento di dati personali sarà gestito in regime di contitolarità tra le Parti durante il periodo indicato nelle premesse al punto A. La tipologia di trattamento di dati personali oggetto della contitolarità è la seguente:

• • rendere più efficienti i processi di prevenzione, diagnosi, cura, riabilitazione e assistenza all’utente all’interno delle strutture sanitarie dei Contitolari attraverso la condivisione dei data base per il cui trattamento sono adeguatamente legittimati entrambi i Contitolari;
• • invio di comunicazioni promozionali verso l’utenza delle strutture di entrambi i Contitolari;
• • invio di comunicazioni personalizzate verso l’utenza delle strutture di entrambi i Contitolari;
• • gestione di un portale per la visualizzazione di promozioni, offerte e gestione dei referti effettuati presso le strutture dei Contitolari.
• • utilizzo da parte di Phoenix S.r.l. del sito web https://marilab.it/ della Marilab S.r.l. per pubblicizzare la sua attività e servizi
• • utilizzo da parte di Phoenix S.r.l. del sito web https://salute.marilab.it/ della Marilab S.r.l. per la gestione dell’attività di e-commerce

Il trattamento di dati è effettuato nel rispetto della normativa di settore e le Parti determinano congiuntamente i mezzi e le finalità del trattamento dei dati:

• • dati anagrafici;
• • dati di contatto;
• • dati relativi a documenti di identificazione/riconoscimento;
• • dati contabili;
• • dati di pagamento;
• • dati sanitari

La tipologia di trattamento dei dati di cui sopra verrà gestita secondo lo schema seguente:

2.2. Le Parti concordano che non potranno essere trattenuti o elaborati i dati personali condivisi più a lungo del necessario per l'esecuzione degli scopi concordati. In deroga a quanto sopra stabilito, le Parti continueranno a conservare i dati personali condivisi in conformità ai periodi di conservazione previsti dalla legge e dal massimario di scarto applicato dalle Parti medesime.

2.3. Il presente Accordo ha durata per il periodo indicato nelle premesse al punto A.

3. OBBLIGHI E RESPONSABILITÀ DEI CONTITOLARI

3.1. I Contitolari condividono le decisioni relative alle finalità e alle modalità del trattamento dei dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal GDPR e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.

3.2. In particolare, con il presente Accordo, i Contitolari convengono che i dati personali presenti negli archivi, tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti, per la gestione dei rapporti con i contraenti e con gli utenti e per l’adempimento degli obblighi previsti da leggi, regolamenti e normativa comunitaria, nonché delle disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo.

3.3. L’informativa, di cui agli artt. 13 e 14 del Regolamento UE 2016/679, sarà redatta congiuntamente dalle Parti e dovrà precisare, in modo chiaro e comprensibile per l’interessato, la Contitolarità del trattamento. Le Parti concordano che le responsabilità reciproche nella prestazione dell’informativa vengono identificate dallo schema di cui al punto 2.1. del presente Accordo. Inoltre, se richiesta, l’informativa potrà essere consegnata su supporto cartaceo dall’Ente a cui si rivolge l’interessato.

3.4. I Contitolari del Trattamento saranno responsabili in solido per l’intero ammontare del danno al fine di garantire il risarcimento effettivo dell’interessato.

3.5. Ogni Contitolare potrà dover risarcire in toto l’interessato che dimostra di essere stato danneggiato dal trattamento. Esclusivamente in un momento successivo, il Contitolare che ha risarcito in toto l’interessato potrà rivalersi sull’altro Contitolare responsabile effettivo del danno, esercitando nei suoi confronti l’azione di regresso.

3.6. Le Parti si impegnano altresì, ai sensi dell’art. 26, par. 2, del GDPR, a mettere a disposizione dell’interessato il contenuto essenziale del presente Accordo.

3.7. Anche i danni provocati all’interessato in casi di forza maggiore saranno a carico di entrambi i Contitolari in solido, che dovranno fronteggiare il rischio della forza maggiore; il Contitolare che ha pagato potrà esercitare l’azione di regresso nei confronti dell’altro Contitolare;

3.8. Le Parti concordano che tutto il personale impiegato in attività afferenti al trattamento indicato al punto 2.1. del presente Accordo riceverà specifica autorizzazione al trattamento dei dati personali.

4. SEGRETEZZA E CONFIDENZIALITÀ

4.1. Il Contitolare del trattamento si impegna a mantenere la segretezza dei dati personali raccolti, trattati ed utilizzati in virtù del rapporto di Contitolarità instaurato con l’altra Parte;

4.2. In ogni caso, le Parti si impegnano a considerare strettamente riservato tutto il materiale generalmente non di dominio pubblico, ed in particolare tutto ciò che è classificato come strettamente confidenziale e/o segreto, e si impegnano ad utilizzare tali informazioni esclusivamente per gli scopi previsti dal presente Accordo.

5. SICUREZZA DELLE INFORMAZIONI

5.1. Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, i Contitolari del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se opportuno, una o più delle seguenti misure:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

I Contitolari, nello stabilire l’adeguato livello di sicurezza, hanno tenuto conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

5.2. Il Contitolare del trattamento, che detiene fisicamente dati e documenti, nonché i database, adotterà tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali degli interessati in caso di incidente fisico o tecnico.

5.3. I Contitolari eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto al fine di renderlo sempre adeguato al rischio.

5.4. Chiunque agisca nell’ambito dell’autorità di un Contitolare ed abbia accesso ai dati personali degli interessati non tratterà i predetti dati personali se non previamente istruito dal Contitolare stesso.

5.5. Il Contitolare deve verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione all’altro Contitolare.

6. ESERCIZIO DEI DIRITTI DEGLI INTERESSATI

6.1. Nell’ipotesi in cui l’esercizio del diritto da parte dell’interessato venga rivolto ad uno dei due Contitolari, il Contitolare che ricevuto la richiesta dovrà trasmettere la documentazione relativa al diritto esercitato tramite PEC all’altro Contitolare entro e non oltre tre (3) giorni lavorativi dal momento della ricezione della richiesta stessa.

6.2. La notifica trasmessa dal Contitolare che ha ricevuto la richiesta deve essere corredata di tutta la documentazione necessaria per consentire all’altro Contitolare di poter esaminare l’esercizio del diritto dell’interessato e offrire il supporto necessario, al fine di dare riscontro entro i limiti temporali stabiliti dal GDPR; in particolare, il Contitolare che ha ricevuto la trasmissione dell’istanza dall’altro Contitolare, dovrà presentare le proprie osservazioni su quanto ricevuto entro e non oltre 10 (dieci) giorni dalla trasmissione dell’istanza, al fine di concordare la risposta da fornire all’istante e/o, comunque, per definire le modalità di gestione della richiesta.

6.3. Se per qualsivoglia motivo e/o ragione, a seguito della trasmissione dell’istanza all’altro Contitolare, quest’ultimo non presti la necessaria collaborazione, il Contitolare che ha ricevuto l’istanza dall’interessato potrà comunque gestire la risposta in via autonoma, al fine di rispettare i termini previsti dal GDPR e senza che ciò possa comportare responsabilità alcuna nei confronti dell’altro Contitolare.

6.4. In ogni caso, il Contitolare che ha ricevuto la richiesta da parte dell’interessato dovrà rispondere entro il limite di trenta (30) giorni così come previsto dal GDPR. Tale periodo può essere esteso fino a tre (3) mesi in casi di particolare complessità, nel rispetto di quanto stabilito dall’art. 12, par. 3, del GDPR.

7. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI

7.1. Le Parti hanno l’obbligo di comunicarsi reciprocamente, tramite PEC, qualsiasi violazione dei dati personali (c.d. Data Breach) entro e non oltre un (1) giorno lavorativo dal momento dell’avvenuta conoscenza dell’evento. Tale notifica deve essere corredata di tutta la documentazione necessaria per consentire, ove necessario, di notificare tale violuzione all'Autorità competente. Ciascuna Parte dovrà aver cura di notificare al Garante l’evento.

7.2. Per violazione dei dati si intende ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali degli interessati trasmessi, conservati o comunque trattati. Ciascun Contitolare dovrà prestare ogni necessaria collaborazione all’altro Contitolare in relazione all’adempimento degli obblighi di notifica all’Autorità Garante ai sensi dell’art. 33 GDPR o di comunicazione agli interessati ai sensi dell’art. 34 GDPR.

7.3. La comunicazione conterrà almeno le seguenti informazioni:

• • la natura della violazione dei dati personali;
• • la categoria degli interessati;
• • il contatto presso cui ottenere più informazioni;
• • gli interventi attuati o che si prevede di attuare.

7.4. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni necessarie nello stesso momento della prima comunicazione, le informazioni ulteriori possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

8. DISPOSIZIONI CONCLUSIVE

8.1. Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.

8.2. L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.

8.3. Le Parti hanno letto e compreso il contenuto del presente Accordo e, sottoscrivendolo, esprimono pienamente il loro consenso.