Accordo di contitolarità

in merito al trattamento dei dati personali

Tra

LIBERA UNIVERSITÀ MARIA SS. ASSUNTA, con sede legale in 00193 Roma - Via della Traspontina n. 21, P. IVA 01091891000 – Cod. Fisc. 02635620582, in persona del suo Direttore Generale, Dr. Giampaolo Di Giorgio (di seguito “LUMSA”)

MAIOR GROUP S.R.L., con sede legale in 36100 Vicenza - Via Zamenhof n. 697, P.IVA e Cod. Fisc. 03948440247, in persona del suo legale rappresentante, Dr. Claudio Marino (di seguito “MAIOR”)

(di seguito, congiuntamente, i “Contitolari”)

1. Introduzione e definizioni

INTRODUZIONE.

Il presente accordo di contitolarità è volto a regolamentare le rispettive responsabilità tra LUMSA e MAIOR in merito all’osservanza degli obblighi derivanti dal Regolamento Privacy UE 2016/679 – GDPR (di seguito il “GDPR”). Saranno specificati soprattutto i ruoli e i rapporti dei Contitolari con le categorie di soggetti i cui dati saranno oggetto del trattamento.

DEFINIZIONI.

Articolo 26, paragrafo 1 GDPR - Contitolari del trattamento: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati”.

Articolo 4 GDPR – Definizioni: “Ai fini del presente regolamento s’intende per: 1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Articolo 9, paragrafo 1 GDPR – Trattamento di categorie particolari di dati personali: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

2. Premesse

Premesso che:

la LUMSA è un’università italiana non statale d’ispirazione cattolica. È il secondo Ateneo più antico di Roma dopo La Sapienza: la sua storia è iniziata con Luigia Tincani nel 1939. La LUMSA rientra nel sistema universitario nazionale e rilascia titoli di studio che hanno valore legale. Preparazione, crescita, futuro insieme all’attenzione allo studente come persona, all’insegnamento, al lavoro e alla ricerca sono le caratteristiche peculiari dell’Ateneo.
la MAIOR è una società specializzata nella ideazione, nella produzione e nella distribuzione di abbigliamento personalizzato (sportswear, workwear, accessoristica e gadget) sempre più orientati al green e alla sostenibilità, nonché nella creazione e gestione di piattaforme e-commerce dedicate e dei servizi di ordine e acquisto;
poiché, ai sensi dell’art. 26 GDPR, qualora due o più titolari del trattamento determinino congiuntamente le finalità e le modalità del trattamento, essi sono “contitolari del trattamento”, nell’ambito del rapporto contrattuale in essere per la creazione e la gestione di una piattaforma e-commerce, di cui il presente documento costituisce parte integrante, LUMSA e MAIOR riconoscono di essere contitolari dei dati personali trattati in relazione a tale piattaforma;
ai sensi del medesmo articolo, i contitolari del trattamento devono pertanto determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa vigente;
tale accordo deve disciplinare gli obblighi dei contitolari del trattamento con particolare riguardo all’esercizio dei diritti dell’interessato, alle rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 GDPR;
nell’ambito delle rispettive responsabilità, come determinate dal presente accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigente e nel pieno rispetto delle linee guida e dei codici di condotta applicabili di volta in volta e approvati dal Garante per la protezione dei dati personali, nonché nel rispetto delle istruzioni condivise tra i Contitolari.

Tutto quanto sopra premesso, che costituisce parte integrante del presente accoro, la LUMSA e la MAIOR pattuiscono quanto segue.

3. Contitolarità del trattamento

I servizi erogati da LUMSA e MAIOR necessitano di un trattamento che permetta una gestione centralizzata delle attività di seguito indicate:

Attività di marketing diretto per l'invio di materiale pubblicitario, di comunicazione commerciale e promozionale attraverso iscrizione alla newsletter. Gestione eventuale rapporto contrattuale, erogazione dei servizi richiesti e attività correlate.

Le attività sono, in particolare, suddivise nelle seguenti funzioni:
- Produzione degli articoli di merchandising.
- Vendita degli articoli attraverso canali fisici e online.
- Gestione del magazzino dei prodotti.
- Gestione e manutenzione del sito web dedicato alla vendita del merchandising

Attività di Profilazione per una miglior gestione dei servizi e per l’invio di comunicazioni promozionali maggiormente in linea con le preferenze espresse dall’utente;
Comunicazione dei dati a terze parti per proprie finalità di marketing. Per terze parti si intendono le Società partner e sponsor dei contitolari; • Comunicazione istituzionale, relazione con i media e attività promozionali, pubblicitarie e/o di comunicazione in genere, anche attraverso il sito internet, l’uso di mailing lists ed eventuali ulteriori strumenti di comunicazione;
Vendita dei prodotti e dei servizi;
Customer satisfaction: invio di survey per la verifica del grado di soddisfazione del cliente al fine di migliorare l’offerta sui prodotti e servizi.

Per il dettaglio delle finalità si rinvia all’informativa predisposta dai contitolari.

4. Dati trattati, finalità e modalità del trattamento

Contitolarità del trattamento	Categoria di interessati	Tipologia dei Dati	Finalità del trattamento	Modalità del trattamento
MAIOR	Utenti sito internet	Dati di navigazione	Gestire la navigazione sul sito web ed utilizzo dei cookies.	Trattamento dati in modalità informatizzata.
MAIOR	Utenti sito internet	Dati anagrafici, dati di contatto e identificativi: Nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail	Permettere agli interessati di creare un account di registrazione. Permettere agli interessati di effettuare ordini come ospiti.	Trattamento dati in modalità informatizzata.
MAIOR	Clienti	Dati anagrafici, dati di contatto e identificativi: Nome, cognome, indirizzo, numero di telefono, e-mail	Attività amministrative e contabili correlate alla gestione degli ordini ricevuti (sia da utenti registrati che da utenti non registrati). Registrazione, strutturazione e conservazione contatti attraverso il CRM e vendita dei prodotti.	Trattamento dati in modalità informatizzata, in particolare mediante il CRM e le piattaforme a esso connesse.
MAIOR	Utenti sito internet, Clienti	Dati anagrafici, dati di contatto e identificativi: Nome, cognome, e-mail	Servizio di assistenza agli utenti e servizio clienti.	Trattamento dati in modalità informatizzata.
LUMSA MAIOR	Utenti registrati, Clienti	Dati di contatto e identificativi	Marketing diretto.	Trattamento dati in modalità informatizzata.
LUMSA MAIOR	Utenti registrati, Clienti	Dati di contatto e identificativi	Profilazione degli interessati.	Trattamento dati in modalità informatizzata.
LUMSA MAIOR	Utenti registrati, Clienti	Dati di contatto e identificativi	Comunicazione/cessione dei dati a terzi (Partner commerciali), per loro finalità di marketing diretto.	Trattamento dati in modalità informatizzata.
LUMSA	Clienti	Dati di contatto e identificativi	Customer satisfaction.	Trattamento dati in modalità informatizzata attraverso appositi questionari.
LUMSA MAIOR	Utenti sito internet, Clienti	Dati anagrafici, dati di contatto e identificativi: Nome, cognome, indirizzo (ove trattato), numero di telefono, e-mail	Prevenzione e conduzione delle controversie e di altre questioni legali e per la difesa in caso di giudizio.	Trattamento dati in modalità informatizzata.
LUMSA	Utenti sito internet, Clienti	Dati identificativi	Gestire le richieste degli interessati, ai sensi degli artt. 15 e ss. del GDPR (diritti dell’interessato).	Trattamento dati in modalità informatizzata e cartacea.

5. Ambito di comunicazione

I Contitolari si impegnano a comunicare i dati di natura personale a destinatari che li tratteranno in qualità di responsabili e/o in qualità di persone fisiche che agiscono sotto l’autorità dei Contitolari e del Responsabile, al fine di ottemperare ai contratti o finalità connesse. Precisamente, i dati di natura personale potranno essere comunicati a destinatari appartenenti alle seguenti categorie:

Soggetti con sede in Italia, che forniscono servizi per il sito web e delle reti di comunicazione, ivi comprese posta elettronica, host e gestione sito internet;
Provider della piattaforma di CRM, con sede in Paesi extra SEE, utilizzata dai contitolari per la gestione della clientela;
Provider dei sistemi di gestione dei pagamenti, con sede in Paesi SEE;
Soggetti con sede in Italia, che forniscono servizi per la gestione delle attività sopra indicate nelle finalità;
Per marketing diretto, previo consenso a soggetti per la gestione di attività di marketing diretto;
Per marketing di terzi, previo consenso alle categorie di terzi sopra elencate nella finalità specifica (elenco a richiesta);
Liberi professionisti, studi o società, con sede in Italia, nell’ambito di rapporti di assistenza e consulenza;
Autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di organi pubblici, su richiesta.

In caso di trasferimento dei dati all’esterno dell’Unione Europea, i dati verranno trattati nei limiti e alle condizioni di cui agli artt. 44 e ss. del Regolamento UE 2016/679.

6. Ruoli e responsabilità

6.1) Informativa Privacy

I Contitolari si impegnano a fornire, in sede di raccolta del dato, le informazioni di cui all’art. 13 GDPR. Nello specifico l’informativa privacy dovrà comprendere i seguenti elementi:

“a) l'identità e i dati di contatto del titolare del trattamento e, eventualmente, del suo eventuale rappresentante;

b) dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un'autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni”.

L’informativa sarà resa disponibile sulla piattaforma e-commerce.

6.2) Esercizio dei diritti dell’interessato

Tutte le richieste di esercizio dei diritti di cui agli artt. 15-22 del Regolamento UE 2016/679 saranno gestite, per conto e nell’interesse di tutti i Contitolari, da LUMSA (Via della Traspontina 21 00193 Roma privacy@lumsa.it, Tel. 0668422976) con la supervisione del Responsabile della Protezione dei Dati (DPO) di LUMSA contattabile all’indirizzo mail dpo.lumsa@dpoprofessionalservice.it nei limiti e alle condizioni stabilite nella nomina di quest’ultimo.

Maior dovrà in ogni caso supportare LUMSA ai fini del riscontro all’interessato, fornendo le informazioni necessarie.

Gli interessati potranno esercitare i propri diritti nei confronti di tutti i Contitolari ai sensi dell’art. 26, par. 3 GDPR sopra citato, evocando ciascun contitolare, indipendentemente dall’altro.

6.3) Sicurezza del trattamento

Nel rispetto dei principi di cui all’art. 32 del GDPR i Contitolari del trattamento, tenendo conto tra gli altri aspetti anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento). I Contitolari del Trattamento sono tenuti a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate, declinate negli articoli 24 e 32 del GDPR per proteggere i dati personali raccolti, trattati o utilizzati nell’ambito del rapporto di contitolarità, conformemente a quanto disciplinato dalle norme di legge e in modalità che non si pongano in contrasto al presente accordo. I Contitolari del Trattamento devono verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione a richiesta dell’interessato e a prova di essersi adeguati a quanto disposto dalla legge in materia di trattamento dei dati-privacy e del rispetto al principio di responsabilizzazione, nonché ad adottare per la raccolta dei dati il metodo ivi descritto.

Nel valutare l’adeguato livello di sicurezza i Contitolari devono tenere conto dei rischi di:

Perdita;
Distruzione;
Modifica;
Divulgazione non autorizzata;
Accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.

I Contitolari hanno definito una linea comune sulle modalità di trattamento dei dati personali e si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, sia con riferimento a strumenti, archivi e supporti cartacei, sia con riferimento a strumenti e mezzi digitali e informatici utilizzati.

I Contitolari si impegnano inoltre a garantire che anche gli eventuali sub-fornitori saranno soggetti ai medesimi obblighi in merito alla protezione dei dati personali e delle informazioni.

6.4) Data Breach

Una violazione di dati personali (Data Breach) è ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal titolare del trattamento.

Ai sensi e per gli effetti dell’art. 33 GDPR, un Titolare del trattamento, in caso di violazione di dati personali, notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore è corredata da motivi di ritardo.

Ai sensi e per gli effetti dell’art. 34 GDPR, un Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo qualora la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.

Ciò premesso, i Contitolari gestiranno in autonomia e con procedura interna, ma con immediata comunicazione e supporto all’altra parte, i casi di violazione dei dati trattati (Data Breach) e si procederà con la notifica e/o comunicazione della violazione a norma di quanto stabilito dagli artt. 33- 34 GDPR. Ciascun Contitolare dovrà informare l’altra parte, immediatamente alla scoperta del fatto, a mezzo indirizzo e-mail, dei casi in cui la violazione riscontrata presenti un rischio per i diritti e le libertà delle persone fisiche e necessiti per tale ragione della notifica all’Autorità Garante per la protezione dei dati personali (o altra Autorità di Controllo competente).

6.5) DPIA

Per ogni nuova iniziativa che comporti l’utilizzo di nuove tecnologie per il trattamento dei dati, o in caso di modifiche di strumenti del trattamento già adottati (art. 35 s.s. GDPR), i Contitolari si impegnano a rispettare il sistema per la valutazione dei rischi connessi e delle misure tecniche ed organizzative da adottare a tutela dei dati personali.

7. Conclusioni

Qualsiasi modifica al presente documento sarà possibile solo con il consenso scritto di tutti i Contitolari.

Ai sensi dell’articolo 26 par. 2 GDPR, il contenuto essenziale del presente accordo sarà pubblicato sulla piattaforma e-commerce e in tal modo messo a disposizione degli interessati.

L’invalidità, anche parziale, di una o più delle clausole del presente accordo non pregiudica la validità delle restanti clausole.

Con il presente accordo le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente, relativo al trattamento dei dati personali. Le Parti hanno letto e compreso il contenuto del presente accordo e sottoscrivendolo esprimono pienamente il loro consenso.

Le Parti si danno atto che il presente contratto è stato negoziato clausola per clausola e per l’intero sicché ad esso non si applicheranno gli art. 1341-1342 cod. civ.. L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.

Data di aggiornamento: 06/08/2024

Lo store ufficiale dell'università LUMSA

NEGOZIO

LUMSA Official Store

presso
Maior Group srl
Via L. Zamenhof, 697
36100 Vicenza
Italia
P.I./C.F. 03948440247

Il tuo account

Informazioni

Nome	Provider	Cosa fa	Scadenza	permettere
Nome	Provider	Cosa fa	Scadenza	permettere
Carrello della spesa	PrestaShop	Questo fornisce e mantiene i prodotti all'interno del tuo carrello. Disattivando questo cookie si fermerebbe l'autorizzazione degli ordini. Questo cookie non salva alcun dato personale di alcun cliente del negozio. Questo fornisce e mantiene i prodotti all'interno del tuo carrello. Disattivando questo cookie si fermerebbe l'autorizzazione degli ordini. Questo cookie non salva alcun dato personale di alcun cliente del negozio.	30 giorni	permettere

Nome	Provider	Cosa fa	Scadenza	permettere
Nome	Provider	Cosa fa	Scadenza	permettere
statistiche di Google	Google	Tracciamento standard, che fa capire al nostro negozio la necessità e i luoghi in cui migliorare il nostro negozio. Il cookie dura 30 giorni. Tracciamento standard, che fa capire al nostro negozio la necessità e i luoghi in cui migliorare il nostro negozio. Il cookie dura 30 giorni.	30 giorni	permettere