Joint Controlling Agreement

Accordo di Contitolarità del Trattamento di Dati Personali

(ai sensi dell'articolo 26 del Regolamento (UE) 2016/679 – GDPR)

(di seguito, l’“Accordo”)

Tra

Vittoria S.p.A., P.Iva: 01989570161, con sede in Via Liguria 8, 24041 – Brembate (BG), Italia (di seguito “Vittoria”)

Vittoria Park S.r.l., P.Iva: 04621540162, con sede in Via Liguria 8, 24041 – Brembate (BG), Italia

Vittoria Industries North America Inc., Registration Number: EIN: 90-0358966, con sede in 1639 W. Sheridan Avenue Oklahoma City, OK 73106 – USA 

Vittoria Tyres Thailand Co., Ltd., Registration Number: 0105530066312, con sede in 241 Bangpoo Industrial Estate Soi 3, Patana 1 Road, Preaksa, Muang, Samutprakarn 10280, Thailandia 

Vittoria Asia Pacific Co., Ltd., Business Registration Number: 0105539089421, con sede in 111, True Digital Park West, Unicorn Building, 5th Floor, Unit BO 534, Sukhumvit Road, Bang Chak Sub-district, Phra Khanong District, Bangkok. 10260 Thailand

 Internazionale Limited (incluse le sue filiali), Registration Number 139266, con sede in 38-44 D’Aguilar Street – Ho Lee Commercial Building – 5th Floor – Central – Hong Kong

(di seguito, congiuntamente, i “Contitolari” o, individualmente e collettivamente, le “Parti”)

1. Introduzione e Premesse

1.1. Scopo e Contesto Il presente Accordo disciplina, ai sensi dell'art. 26 del Regolamento (UE) 2016/679 (“GDPR”), le rispettive responsabilità dei Contitolari in relazione all'osservanza degli obblighi derivanti dalla normativa in materia di protezione dei dati personali, inclusi il D.Lgs. 196/2003 ("Codice Privacy") e i provvedimenti del Garante e dell'EDPB (congiuntamente, la "Normativa Applicabile"). Le Parti, pur mantenendo la propria autonomia giuridica, operano nell'ambito di un gruppo di imprese (il "Gruppo Vittoria") con una direzione coordinata e attività interconnesse. Tale contesto è fondamentale per comprendere le finalità congiunte dei trattamenti di dati personali qui disciplinati. Le premesse costituiscono parte integrante e sostanziale dell'Accordo.

1.2. Definizioni Principali. Ai fini del presente Accordo, i termini avranno il significato attribuito loro dal GDPR. In particolare:

  • Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
  • Trattamento: qualsiasi operazione o insieme di operazioni applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'uso, la comunicazione, la cancellazione o la distruzione.
  • Categorie Particolari di Dati: dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita o all'orientamento sessuale. I Contitolari dichiarano di non trattare di norma tali dati per le finalità dell'Accordo, se non in casi eccezionali e con idonea base giuridica.

2. Oggetto: Contitolarità e Finalità Congiunte

2.1. Determinazione Congiunta di Finalità e Mezzi Le Parti agiscono come Contitolari in quanto determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali per le attività di commercializzazione dei prodotti e l'erogazione dei servizi offerti dal Gruppo Vittoria. Tale contitolarità si manifesta nella gestione coordinata di attività e nell'uso di sistemi condivisi, come il CRM di Gruppo.

2.2. Finalità dei Trattamenti in Contitolarità I trattamenti congiunti sono svolti per le seguenti finalità principali, meglio dettagliate nella Sezione 3:

  • Marketing Diretto
  • Gestione Contrattuale e Servizio Clienti
  • Organizzazione di Eventi e Progetti Speciali
  • E-commerce
  • Gestione Centralizzata dei Contatti (CRM)
  • Customer Satisfaction
  • Comunicazione Istituzionale e Relazioni Esterne
  • Condivisione di Dati con Partner Selezionati per Loro Finalità di Marketing

3. Dettaglio dei Trattamenti in Contitolarità

I Contitolari trattano i dati personali per le finalità di seguito specificate, nel rispetto dei principi di liceità, correttezza e trasparenza e in conformità alle responsabilità generali definite nella Sezione 4.

3.1. Marketing Diretto

  • Descrizione: Invio di newsletter e comunicazioni promozionali su prodotti, servizi ed eventi del Gruppo Vittoria. Include la raccolta dei contatti, la gestione dei consensi, la creazione dei contenuti, la segmentazione, l'invio e il monitoraggio aggregato delle performance.
  • Basi Giuridiche: Consenso specifico dell'interessato (art. 6.1.a GDPR); Legittimo interesse (art. 6.1.f GDPR) per "soft spam" a clienti esistenti, con diritto di opposizione (opt-out).
  • Dati Trattati: Dati di contatto (email, nome), demografici, preferenze, storico acquisti (per soft spam), dati di interazione con le newsletter, dati tecnici (IP, device), dati relativi al consenso.
  • Periodo di Conservazione: Fino a revoca del consenso. In assenza di revoca, massimo 24 mesi dall'ultima interazione significativa. Per soft spam, fino a opposizione. I log di consenso sono conservati per 10 anni.

3.2. Gestione Contrattuale e Servizio Clienti

  • Descrizione: Gestione dell'intero ciclo di vita del rapporto con il cliente: fase precontrattuale, esecuzione del contratto (ordini, pagamenti, spedizioni), assistenza, gestione reclami, ticketing per eventi e adempimenti amministrativi.
  • Basi Giuridiche: Esecuzione di un contratto (art. 6.1.b GDPR); Adempimento di obblighi legali (es. fiscali) (art. 6.1.c GDPR); Legittimo interesse (art. 6.1.f GDPR) per la gestione del contenzioso e la trasmissione dati intra-gruppo per fini amministrativi.
  • Dati Trattati: Dati anagrafici e di contatto, dati contrattuali e di pagamento, dati relativi ad assistenza e reclami, dati di partecipazione a eventi, dati di navigazione (per servizi online).
  • Periodo di Conservazione: Per tutta la durata del rapporto contrattuale e per 10 anni dalla sua cessazione per obblighi legali e fiscali. I dati precontrattuali (in caso di mancata stipula) sono conservati per massimo 24 mesi.

 

3.3. Organizzazione di Eventi e Progetti Speciali

  • Descrizione: Promozione, organizzazione e gestione di eventi, manifestazioni sportive e progetti speciali, inclusa la gestione delle iscrizioni, la logistica, le comunicazioni ai partecipanti e le attività post-evento (invio materiali, sondaggi di gradimento).
  • Basi Giuridiche: Esecuzione di un contratto (es. eventi a pagamento) (art. 6.1.b GDPR); Consenso specifico (art. 6.1.a GDPR) per inviti promozionali, uso di immagini o raccolta dati particolari (es. allergie); Legittimo interesse (art. 6.1.f GDPR) per invitare clienti esistenti e per la gestione organizzativa.
  • Dati Trattati: Dati anagrafici e di contatto, dati di registrazione, dati per la logistica, dati particolari (con consenso), dati di pagamento, immagini e video (con base giuridica idonea), feedback e opinioni, dati di connessione (per eventi online).
  • Periodo di Conservazione: Dati di iscrizione conservati per 12-24 mesi post-evento. Dati di fatturazione per 10 anni. Il consenso per promozioni future è valido per 24 mesi.

3.4. E-commerce

  • Descrizione: Gestione delle piattaforme di vendita online, inclusa la gestione dell'account utente, l'elaborazione degli ordini, i pagamenti, la logistica, la gestione di resi e rimborsi e l'assistenza clienti post-vendita.
  • Basi Giuridiche: Esecuzione di un contratto (art. 6.1.b GDPR); Adempimento di obblighi legali (art. 6.1.c GDPR); Legittimo interesse (art. 6.1.f GDPR) per prevenzione frodi, analisi statistiche aggregate e "soft spam"; Consenso specifico (art. 6.1.a GDPR) per marketing non rientrante nel soft spam e profilazione.
  • Dati Trattati: Dati anagrafici, di contatto e di registrazione account; indirizzi; dati relativi a ordini, pagamenti (tokenizzati) e spedizioni; dati di assistenza post-vendita; dati di navigazione (cookie).
  • Periodo di Conservazione: Dati di ordini e fatturazione per 10 anni. Dati dell'account utente fino a quando l'account è attivo (es. inattività per 36-60 mesi), salvo obblighi legali sugli ordini associati. Dati per marketing (consenso) per 24 mesi dall'ultima interazione.

3.5. Gestione Centralizzata dei Contatti (CRM)

  • Descrizione: Creazione e mantenimento di un database centralizzato (CRM di Gruppo) per ottimizzare la gestione di clienti, prospect e altri stakeholder, consolidando i dati da diverse fonti e tracciando lo storico delle interazioni per fornire una visione a 360 gradi.
  • Basi Giuridiche: Legittimo interesse (art. 6.1.f GDPR) per l'efficienza amministrativa e il coordinamento interno; Esecuzione di un contratto (art. 6.1.b GDPR) per i dati dei clienti necessari alla gestione del rapporto; Consenso specifico (art. 6.1.a GDPR) per la gestione centralizzata delle preferenze di marketing.
  • Dati Trattati: Dati anagrafici, di contatto, professionali; storico interazioni (email, telefonate, eventi); preferenze e interessi; dati di acquisto sintetici; segmentazioni interne.
  • Periodo di Conservazione: Variabile e legato alla finalità primaria. Dati contrattuali: 10 anni post-cessazione. Contatti per marketing (consenso): 24 mesi dall'ultima interazione/rinnovo. Prospect non attivi: 24-36 mesi dall'ultimo contatto significativo.

3.6. Customer Satisfaction

  • Descrizione: Progettazione, somministrazione e analisi di indagini di soddisfazione (survey) per misurare e migliorare la qualità dei prodotti e servizi offerti.
  • Basi Giuridiche: Legittimo interesse (art. 6.1.f GDPR) per inviare survey a clienti esistenti a seguito di un'interazione, garantendo il diritto di opposizione; Consenso specifico (art. 6.1.a GDPR) per indagini non correlate a transazioni recenti o rivolte a non-clienti.
  • Dati Trattati: Dati di contatto; dati identificativi della relazione (n. ordine/ticket); risposte fornite al questionario (valutazioni, commenti).
  • Periodo di Conservazione: Le risposte individuali identificabili sono conservate per il tempo necessario all'elaborazione (es. 12-24 mesi). Successivamente, i dati sono conservati solo in forma aggregata e anonima.

3.7. Comunicazione Istituzionale e Relazioni Esterne

  • Descrizione: Gestione della comunicazione corporate, delle relazioni con i media e della promozione del brand Gruppo Vittoria tramite comunicati stampa, siti web istituzionali e social media.
  • Basi Giuridiche: Legittimo interesse (art. 6.1.f GDPR) per la gestione di database di contatti professionali (giornalisti, stakeholder) e per la promozione del brand sui canali digitali; Consenso specifico (art. 6.1.a GDPR) per l'iscrizione a newsletter istituzionali o per l'uso di immagini di persone riconoscibili.
  • Dati Trattati: Dati di contatto di professionisti; dati di navigazione degli utenti dei siti web; dati pubblici degli utenti social media (username, commenti); immagini e contenuti audiovisivi.
  • Periodo di Conservazione: Contatti media: finché rilevanti (con revisioni periodiche). Contenuti pubblici online: finché ritenuti di rilevanza pubblica o fino a legittima richiesta di rimozione.

3.8. Condivisione di Dati con Partner Selezionati per Loro Finalità di Marketing

  • Descrizione: Comunicazione di dati personali a partner commerciali e sponsor del Gruppo Vittoria, che agiranno come autonomi Titolari del trattamento per proprie finalità di marketing.
  • Base Giuridica: Esclusivamente il consenso specifico, libero, informato, granulare e revocabile dell'interessato (art. 6.1.a GDPR). I partner saranno chiaramente elencati nell'informativa privacy.
  • Dati Trattati: La comunicazione sarà limitata ai soli dati pertinenti e indicati nell'informativa (es. dati anagrafici e di contatto).
  • Periodo di Conservazione (del consenso): Il consenso è ritenuto valido fino a revoca, e comunque per non oltre 24 mesi dall'ultima manifestazione di volontà. I registri del conferimento del consenso sono conservati per 10 anni per finalità di accountability.

4. Obblighi e Ripartizione Generale delle Responsabilità

4.1. Principi Fondamentali e Privacy by Design/Default Ciascun Contitolare si impegna a rispettare i principi di cui all'art. 5 del GDPR (liceità, finalità, minimizzazione, esattezza, conservazione, integrità e riservatezza) e a integrare la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR).

4.2. Fornitura dell'Informativa agli Interessati (Artt. 13-14 GDPR)

  • Coordinamento: Vittoria S.p.A., con il supporto del DPO, coordina la redazione e l'aggiornamento di un'informativa privacy comune che descriva i trattamenti in contitolarità, l'identità di tutti i Contitolari e il contenuto essenziale del presente Accordo.
  • Responsabilità: Ciascun Contitolare che raccoglie dati direttamente da un interessato è responsabile di fornirgli l'informativa completa al momento della raccolta. L'informativa è resa accessibile anche sui siti web del Gruppo.

4.3. Esercizio dei Diritti dell'Interessato (Artt. 15-22 GDPR)

  • Punto di Contatto Designato: I Contitolari designano Vittoria S.p.A. quale punto di contatto principale per gli interessati.

o   Indirizzo postale: Vittoria S.p.A., Via Liguria 8, 24041 – Brembate (BG), Italia (All'attenzione del Referente Privacy)

o   Email: privacy@vittoria.com

o   DPO: Il DPO del Gruppo (dpo@vittoria.it) supervisiona la corretta gestione delle richieste.

  • Procedura: Qualsiasi Contitolare che riceva una richiesta la inoltra immediatamente (e non oltre 24 ore lavorative) al punto di contatto designato. Vittoria S.p.A. coordina la risposta, con la piena e tempestiva collaborazione di tutti i Contitolari.
  • Diritto dell'Interessato: Resta fermo il diritto dell'interessato di esercitare i propri diritti nei confronti di e contro ciascun Contitolare.

4.4. Sicurezza del Trattamento (Art. 32 GDPR) Ciascun Contitolare adotta e mantiene misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, assicurando la riservatezza, l'integrità e la disponibilità dei dati e dei sistemi. I Contitolari si conformano alle policy di sicurezza del Gruppo e cooperano per dimostrare l'accountability.

4.5. Gestione delle Violazioni dei Dati Personali (Data Breach - Artt. 33-34 GDPR)

  • Coordinamento: Vittoria S.p.A. assume il ruolo di coordinamento per la gestione dei Data Breach.
  • Flusso di Comunicazione: Ciascun Contitolare che venga a conoscenza di una violazione (o sospetta tale) la notifica immediatamente (entro 12-24 ore) agli altri Contitolari e al DPO. La decisione sulla notifica all'Autorità di Controllo (da effettuarsi entro 72 ore) e/o sulla comunicazione agli interessati sarà presa in modo coordinato, e l'adempimento sarà di norma eseguito da Vittoria S.p.A. a nome di tutti.

4.6. Valutazione d'Impatto sulla Protezione dei Dati (DPIA - Art. 35 GDPR) Qualora un trattamento presenti un rischio elevato, i Contitolari si impegnano a effettuare una DPIA congiunta prima di procedere, coordinata da Vittoria S.p.A. con il supporto del DPO.

4.7. Designazione di Responsabili del Trattamento (Art. 28 GDPR) I Contitolari, qualora si avvalgano di fornitori terzi, li designeranno Responsabili del Trattamento mediante un atto scritto conforme all'art. 28.3 del GDPR, selezionando soggetti che offrano garanzie sufficienti.

5. Ambito di Comunicazione e Trasferimenti Extra-SEE

5.1. Categorie di Destinatari I dati personali potranno essere comunicati a personale autorizzato dei Contitolari e a terzi che agiscono come Responsabili del Trattamento (es. fornitori di servizi IT, agenzie di marketing, società di logistica) o come Titolari Autonomi (es. partner previo consenso, autorità competenti per obblighi di legge).

5.2. Trasferimenti di Dati al di Fuori dello Spazio Economico Europeo (SEE) I Contitolari riconoscono che i trattamenti possono comportare trasferimenti di dati extra-SEE. Qualsiasi trasferimento verso un Paese terzo avverrà in conformità al Capo V del GDPR, adottando uno dei seguenti strumenti:

  • Decisioni di Adeguatezza della Commissione Europea (art. 45 GDPR).
  • Clausole Contrattuali Standard (SCC) (art. 46 GDPR). Per ogni trasferimento basato su SCC, i Contitolari si impegnano a condurre e documentare una Valutazione d'Impatto sul Trasferimento (TIA) per verificare che le leggi del Paese terzo non ne pregiudichino l'efficacia, integrandole ove necessario con misure supplementari. Vittoria S.p.A. coordinerà tale valutazione, e il Contitolare destinatario fornirà piena cooperazione.
  • Norme Vincolanti d'Impresa (BCR) (art. 47 GDPR).
  • Deroghe (art. 49 GDPR), solo in casi eccezionali e documentando le ragioni della scelta.

6. Responsabilità, Durata e Disposizioni Finali

6.1. Responsabilità e Diritto di Regresso I Contitolari sono congiuntamente responsabili nei confronti degli interessati per i danni causati da un trattamento in violazione del GDPR. Nei rapporti interni, ciascuna Parte sarà responsabile per i danni derivanti dalla violazione dei propri obblighi. Qualora una Parte risarcisca un danno per una violazione imputabile a un'altra, avrà diritto di regresso nei confronti di quest'ultima.

6.2. Durata, Rinnovo e Recesso Il presente Accordo entra in vigore alla data dell'ultima sottoscrizione, ha una durata iniziale di 5 anni e si intende tacitamente rinnovato per periodi di 2 anni, salvo disdetta con preavviso di almeno 6 mesi. Il recesso è possibile per giusta causa o con preavviso di almeno 90 giorni. In caso di cessazione dell'Accordo per una delle Parti, quest'ultima cesserà l'accesso ai sistemi condivisi. Entro 30 giorni, i Contitolari definiranno per iscritto un piano operativo per la sicura cancellazione o anonimizzazione dei dati condivisi, fatti salvi gli obblighi di conservazione legale e le responsabilità residue.

6.3. Legge Applicabile e Foro Competente L'Accordo è disciplinato dalla legge italiana. Per qualsiasi controversia tra le Parti, il Foro competente in via esclusiva è quello di Milano. Resta ferma la facoltà degli interessati di adire l'Autorità Giudiziaria competente ai sensi del GDPR.

6.4. Segretezza e Confidenzialità Le Parti si impegnano a trattare come confidenziali le informazioni riservate di cui vengano a conoscenza e a non divulgarle a terzi non autorizzati. Tale obbligo resterà in vigore per 5 anni dopo la cessazione dell'Accordo.

6.5. Disposizioni Finali

  • Modifiche: Qualsiasi modifica all'Accordo dovrà essere effettuata per iscritto e sottoscritta da tutte le Parti.
  • Messa a Disposizione: Il contenuto essenziale dell'Accordo sarà reso disponibile agli interessati, ad esempio tramite pubblicazione sul sito istituzionale di Vittoria S.p.A.:

https://int.vittoria.com/it/pages/joint-controlling-agreement   

  • Revisione: L'Accordo sarà oggetto di revisione periodica, almeno una volta all'anno.
  • Intero Accordo: Il presente documento sostituisce qualsiasi precedente intesa sulla medesima materia.