ESTRATTO DELL’ACCORDO DI CONTITOLARITA’ NEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ARTICOLO 26 DEL REGOLAMENTO UE 2016/679 (“GDPR”)
tra
Società Cooperativa WeForGreen Sharing (P.IVA/COD. FISC. 04353200233), con sede legale in Via E. Torricelli, 37 – 37136 Verona (Vr), in persona del legale rappresentante pro tempore (“WeForGreen” o “Cooperativa”)
e
ForGreen S.p.A. Società Benefit (P.IVA/COD. FISC. 03879040230), con sede legale in Via E. Torricelli, 37 – 37136 Verona (Vr), in persona del legale rappresentante pro tempore (“ForGreen” o “Società”)
di seguito anche congiuntamente le “Parti” o “Contitolari”
Premesse
A. Le Parti intendono realizzare progetti che si caratterizzano per una raccolta di capitale tra i cittadini, per la realizzazione di impianti condivisi per la produzione di energia da fonti rinnovabili da inserire nella Comunità, che diventeranno nel medesimo momento soci della Cooperativa e consumatori dell’energia prodotta dagli impianti. Nell’esecuzione e realizzazione del progetto, nonché nella gestione amministrativa e societaria, la Cooperativa si avvarrà dei servizi erogati da ForGreen, che riveste il ruolo di socio incaricato di fornire tali servizi, definiti all’interno di appositi contratti di service in essere tra le parti. ForGreen, all’interno della Cooperativa, si occupa di gestire i flussi di compravendita di energia sia verso gli impianti della Comunità di proprietà della Cooperativa che verso i soci. Per tale motivo, il socio, all’atto dell’adesione alla Cooperativa, sottoscriverà anche un contratto di fornitura con ForGreen.
B. ForGreen opera anche attraverso la promozione di un modello di business declinato nella creazione di comunità energetiche (“Comunità”) per persone e per imprese, quali veicolo per una ridefinizione di valori – la logica del profitto viene coordinata ad una cultura comunitaria in grado di generare una tensione al futuro – promuovendo politiche energetiche ed infrastrutturali, con ricadute positive sulla comunità, attraverso la diffusione di una cultura in grado di valorizzare l’apporto del singolo individuo inteso sia come persona sia come impresa.
C. WeForGreen è una comunità energetica sviluppata e promossa da ForGreen aggregando un gruppo di consumatori consapevoli e attenti ad uno stile di vita green. L’obiettivo è quello di creare una soluzione sostenibile dal punto di vista energetico, economico ed ambientale. La Cooperativa, nel diffondere un’economia basata sulla condivisione e sulla sostenibilità economica e ambientale, si propone di realizzare, da sola o in collaborazione con altri operatori, prodotti, progetti e servizi in favore dei propri soci.
D. Ai sensi dell’art. 26, par. 1, del GDPR “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14. Tale accordo può designare un punto di contatto per gli interessati.”.
E. Dato che le Parti, nello svolgimento del Progetto, determinano congiuntamente le decisioni operative, le finalità e i mezzi riguardanti il trattamento dei Dati Personali degli Interessati, si concretizza una contitolarità del trattamento, ai sensi dell’art. 26 del GDPR.
F. Con il presente accordo (“Accordo”), i Contitolari intendono dunque instaurare un rapporto di contitolarità nel trattamento dei Dati Personali relativi al Progetto e disciplinare, di conseguenza, le finalità e modalità di trattamento di tali Dati, i rispettivi ruoli e le responsabilità nei confronti degli Interessati, nei termini meglio qui di seguito specificati.
Tutto ciò premesso, da ritenersi parte integrante e sostanziale del presente Accordo, tra le Parti in epigrafe indicate
si conviene e si stipula quanto segue.
1. AMBITO DI OPERATIVITA‘ DELLA CONTITOLARITÁ
1.1 Data l’inscindibilità delle Parti e l’interoperabilità dei dati per la riuscita del Progetto, come anticipato si registra la necessità di accedere e trattare i medesimi dati al fine di perseguire gli oggetti societari. Le finalità perseguite dalle Parti, oltre a quelle statutarie, sono quelle di promuovere e sviluppare nel territorio le Comunità energetiche tramite l’attività dei Contitolari nonché per tutelare l’affidamento da parte dell’Interessato in merito al reale titolare del trattamento dei dati personali. Per tali motivi le Parti hanno deciso congiuntamente di instaurare sotto il profilo del trattamento dei dati un rapporto di contitolarità.
1.2 Le Parti svolgono, in virtù del presente Accordo, le seguenti attività all’interno dell’Accordo di Contitolarità come da tabella sottostante:
Società: ForGreen S.p.A. S.B.
Attività:
- Emissione del valore del bonus da riconoscere in bolletta al socio della Cooperativa in funzione delle quote sottoscritte che determinano la quantità di energia autoprodotta;
- Promozione e divulgazione di contenuti informativi sul tema dell’enegia sostenibile ai soci della Cooperativa;
- Raccolta dei dati derivanti dall’adesione alla Cooperativa e dalla sottoscrizione del contratto di fornitura con ForGreen;
- Gestione dei siti web e dei relativi form di raccolta dati;
- Calcolo della percentuale di copertura sulla base del costo energetico e dei consumi in riferimento alle quote della Cooperativa sottoscritte dal socio;
- Utilizzo dei dati per finalità commerciali e promozionali sui progetti relativi alle Comunità energetiche;
- Gestione customer care con i clienti e/o soci;
- Gestione delle richieste da parte degli Interessati;
- Gestione degli adempimenti privacy nonchè dei consensi e liberatorie da parte degli Interessati;
Società: Società Cooperativa WeForGreen Sharing
Attività:
- Calcolo del bonus di autoproduzione da comunicare a ForGreen che lo riconoscerà all’interno della bolletta;
- Comunicazioni sul numero di quote della Cooperativa sottoscritte dal socio per la definizione della percentuale di copertura sulla base del costo energetico e relative proposte commerciali;
- Calcolo dei ristorni da riconoscere al socio sulla base dei giorni di fornitura elettrica.
1.3 A tal fine le Parti collaborano tra loro scambiandosi reciproche informazioni e Dati Personali per la realizzazione del Progetto.
2. ATTIVITÀ SVOLTE DAI CONTITOLARI
2.1 I Contitolari dichiarano, in merito al trattamento dei Dati Personali di cui al precedente § 1, di condividere in particolare:
a)le banche dati degli Interessati;
b) le finalità, i mezzi e le modalità del trattamento di Dati Personali;
c) la politica di conservazione dei Dati Personali;
d) lo stile e le modalità di comunicazione delle informative ai sensi degli artt. 13 e 14 del GDPR;
e) l’eventuale procedura di gestione dei consensi;
f) la tenuta dei registri del trattamento art. 30 del GDPR;
g) gli strumenti e i mezzi utilizzati in relazione alle misure di sicurezza fisiche, organizzative e tecniche;
h) i profili e la politica di sicurezza dei Dati Personali e la procedura del Data Breach;
i) la gestione della procedura di esercizio dei diritti dell’Interessato.
3. OBBLIGHI E RESPONSABILITÀ DEI CONTITOLARI
3.1 I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di Dati Personali e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal GDPR e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.
3.2 In particolare, con il presente Accordo, i Contitolari convengono che i Dati Personali presenti negli archivi tanto cartacei quanto informatizzati, verranno trattati per le finalità al precedente § 1.
3.3 Le Parti si obbligano a tenere il registro delle attività di trattamento ai sensi dell’art. 30, par. 1, GDPR e, nella specie, ad annotarvi la natura del trattamento differenziando anche le fasi operate in contitolarità ed eventualmente quali autonomi Titolari.
3.4 Se è necessaria una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR, le Parti sono tenute a cooperare e/o a realizzarla congiuntamente.
3.5 Le Parti si assumono l’onere di fornire agli Interessati l’informativa di cui agli artt. 13 e 14 del GDPR privacy.
3.6 Le Parti sono i destinatari delle richieste relative all’esercizio da parte degli Interessati ed a tal fine hanno individuato un punto di contatto per gli interessati: privacy@forgreen.it
3.7 ForGreen ha inoltre nominato un Responsabile della Protezione dei Dati personali (“DPO”) contattabile all’indirizzo: rdp@forgreen.it
3.8 I Contitolari saranno responsabili in solido nei confronti dell’Interessato dell’eventuale danno causato dal trattamento.
4. SICUREZZA DEL TRATTAMENTO (EX ART. 32 GDPR)
4.1 Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone, le Parti, ai fini del presente Accordo, si impegnano alla verifica e attuazione delle misure di sicurezza del trattamento dei Dati Personali mettendo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza informatico adeguato al rischio, che comprendono, tra le altre e se del caso:
a) la pseudonimizzazione e la cifratura dei Dati Personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei Dati Personali in caso di incidente fisico o tecnico;
d)la predisposizione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
4.2 Nel valutare l’adeguato livello di sicurezza, le Parti dovranno tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai Dati Personali trasmessi, conservati o comunque trattati.
4.3 I Contitolari si impegnano a far si che chiunque agisca sotto la loro autorità e abbia accesso informatico ai Dati Personali non tratti tali dati se non è istruito in tal senso dal Contitolare.
4.4 I Contitolari si impegnano ad adottare tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei Dati Personali in caso di incidente fisico o tecnico.
4.5 Ogni Contitolare eseguirà un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
5. ESERCIZIO DEI DIRITTI DA PARTE DEGLI INTERESSATI
5.1 Le Parti provvederanno a garantire all’Interessato l’esercizio dei diritti di cui al presente articolo. A tal fine verranno condivise tra le Parti procedure per la concreta attuazione dei i diritti dell’Interessato anche ai fini del rispetto dei termini previsti dalla normativa.
5.2 Le Parti hanno individuato un punto di contatto per gli interessati: privacy@forgreen.it, pertanto convengono inoltre che i reclami e le richieste di esercizio dei diritti presentati dagli Interessati saranno gestiti in via esclusiva da ForGreen, restando in ogni caso inteso che gli Interessati potranno comunque esercitare i propri diritti nei confronti di entrambi i Contitolari ai sensi dell’art. 26, par. 3, del GDPR. Pertanto, laddove l’Interessato contattasse WeForGreen, quest’ultima si impegna a darne immediata comunicazione per iscritto a ForGreen affinché la stessa possa rispettare i termini di cui all’art. 12 GDPR, prestando altresì la necessaria collaborazione.
5.3 ForGreen inoltre dichiara di aver nominato un proprio DPO, contattabile all’indirizzo: rdp@forgreen.it