24 Febbraio 2026 | 03:14

2025_08_05/Group-1754375369672
2025_08_05/Group_(1)-1754375349610
2026_01_11/youtube_(1)-1768146300341

Cerca

Accordo di Contitolarità del Trattamento dei Dati Personali

Accordo di Contitolarità del Trattamento dei Dati Personali

ai sensi dell'art. 26 del Regolamento (UE) 2016/679 ("GDPR")

Tra

  1. Post Media S.r.l., con sede legale in Viale Codalunga 4/L, 35138 Padova (PD) C.F./P.IVA 05425410288, in persona del legale rappresentante pro tempore (di seguito anche "Post Media");
  2. Post Eventi S.r.l., con sede legale in Passaggio Alcide De Gasperi 29, 35131 Padova (PD), C.F./P.IVA 05673490287, in persona del legale rappresentante pro tempore (di seguito anche "Post Eventi");
  3. Post Comunicazione con sede legale in Passaggio Alcide De Gasperi 29, 35131 Padova (PD), C.F./P.IVA 05559360283, in persona del legale rappresentante pro tempore (di seguito "Post Comunicazione");
  4. Post Advertisement S.r.l.
  5. Eventuali altre società del gruppo ItalyPost S.r.l. con sede legale in Passaggio Alcide De Gasperi 29, 35131 Padova (PD), C.F./P.IVA 056 60640284, indicate nelle informative o in successivi allegati (congiuntamente, "Società del Gruppo" e, singolarmente, "Società").

Post Media e le altre Società del Gruppo sono di seguito congiuntamente indicate come "Contitolari" o "Parti".

Premesse

a) Le Parti appartengono al gruppo ItalyPost e collaborano alla gestione e allo sviluppo del sito web www.italypost.it e di eventuali sottodomini e landing page ad esso collegate (di seguito, complessivamente, il "Sito").

b) Tutti i contenuti del Sito (testi, immagini, articoli, loghi, marchi, nomi a dominio, grafiche, software, banche dati) sono di proprietà di Post Media S.r.l. e delle altre Società del Gruppo, che ne detengono la co-titolarità dei diritti, oppure di soggetti terzi autorizzati, come indicato nelle condizioni d'uso del Sito.

c) Nell'ambito della gestione e utilizzo del Sito, le Parti determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali degli utenti, in particolare con riferimento a:

  • gestione del Sito e dei contenuti editoriali;
  • gestione di iscrizioni a newsletter e comunicazioni informative;
  • gestione di eventi fisici e digitali;
  • attività di marketing e comunicazione, anche pubblicitaria e sponsorizzata;
  • profilazione limitata e analisi statistiche, ove previste.

d) Ai sensi dell'art. 26 GDPR, quando due o più titolari determinano congiuntamente finalità e mezzi del trattamento, essi sono contitolari e devono disciplinare, mediante un accordo interno, le rispettive responsabilità, rendendo disponibile agli interessati l'essenza di tale accordo.

e) Con il presente accordo (di seguito l'"Accordo") le Parti intendono definire in modo trasparente le rispettive responsabilità e i compiti connessi all'adempimento degli obblighi derivanti dal GDPR e dalla normativa applicabile in materia di protezione dei dati personali.

Tutto ciò premesso, si conviene e stipula quanto segue.

Articolo 1 – Oggetto e ambito di applicazione

1. Il presente Accordo disciplina i rapporti tra le Parti in qualità di contitolari del trattamento con riferimento ai dati personali degli utenti ("Dati") raccolti tramite:

  • navigazione sul Sito;
  • form di contatto e di richiesta informazioni;
  • form di iscrizione a newsletter, report, contenuti editoriali, abbonamenti;
  • form di registrazione e partecipazione ad eventi fisici e digitali organizzati dal Gruppo ItalyPost;
  • form e strumenti utilizzati per campagne di comunicazione e advertising online/offline collegate al Sito.

2. Restano esclusi dal presente Accordo eventuali trattamenti per i quali una singola Società agisca come titolare autonomo o responsabile del trattamento per conto di altre società; tali rapporti saranno oggetto di separati accordi o nomine.

Articolo 2 – Qualifica di Contitolari e basi giuridiche

1. Le Parti riconoscono di essere contitolari del trattamento ai sensi dell'art. 26 GDPR, in quanto determinano congiuntamente finalità e mezzi dei trattamenti di cui all'articolo 1.

2. Le principali finalità e basi giuridiche del trattamento, da dettagliare nell'informativa privacy, sono:

  • Gestione tecnica del Sito e sicurezza (art. 6, par. 1, lett. f) GDPR – legittimo interesse);
  • Riscontro a richieste degli utenti (art. 6, par. 1, lett. b) e/o f) GDPR);
  • Iscrizione e invio di newsletter / comunicazioni editoriali (art. 6, par. 1, lett. a) – consenso, o lett. f) – soft spam, ove applicabile);
  • Gestione degli eventi: iscrizione, partecipazione, fatturazione, rendicontazione (art. 6, par. 1, lett. b) – esecuzione di un contratto, e lett. c) – obblighi legali);
  • Marketing e comunicazione commerciale (art. 6, par. 1, lett. a) – consenso; per marketing tradizionale anche lett. f) – legittimo interesse, se consentito);
  • Attività statistiche e di reportistica aggregata (art. 6, par. 1, lett. f) – legittimo interesse, con dati aggregati o anonimizzati ove possibile).

Articolo 3 – Ripartizione delle responsabilità tra i Contitolari

1. Le Parti concordano la seguente attribuzione di responsabilità principale per ciascuna macro-finalità (fermo restando che tutte le Parti restano contitolari):

Finalità di trattamento Contitolare "referente" Altri Contitolari coinvolti Esempi concreti
Gestione del Sito, contenuti editoriali, database utenti generali Post Media Tutte le Società del Gruppo Hosting, CMS, gestione account generici, moderazione contenuti
Newsletter/editoria (ItalyPost, report, rubriche) Post Media Post Comunicazione Invio newsletter, gestione liste, segmentazione editoriale
Eventi fisici e digitali Post Eventi Post Media, Post Comunicazione Iscrizioni, accrediti, badge, gestione partecipanti e follow-up
Campagne ADV / comunicazione commerciale Post Comunicazione Post Media, Post Eventi DEM promozionali, campagne social, sponsorizzazioni eventi
Statistiche e analisi di gruppo Post Media Tutte Analisi performance, report per direzione, insight marketing/editoriali

2. Il Contitolare referente per una determinata finalità:

  • cura in via principale la documentazione (registro trattamenti, DPIA se necessaria, policy interne);
  • coordina i rapporti con i fornitori esterni (es. CRM, piattaforme email marketing, piattaforme eventi) in relazione alla specifica finalità;
  • supporta gli altri Contitolari nella gestione degli adempimenti verso gli interessati.

3. In ogni caso, ai sensi dell'art. 26, par. 3 GDPR, l'interessato può esercitare i propri diritti nei confronti di ciascun Contitolare, a prescindere dalla ripartizione interna delle responsabilità.

Articolo 4 – Informative privacy e punto di contatto unico

1. Le Parti convengono che:

  • Post Media è responsabile della predisposizione, aggiornamento e pubblicazione delle informative privacy sul Sito, in nome e per conto di tutti i Contitolari;
  • le altre Società forniscono a Post Media tutte le informazioni necessarie per mantenere aggiornate e corrette le informative (finalità, basi giuridiche, tempi di conservazione, categorie di destinatari, ecc.).

2. Le Parti designano Post Media quale punto di contatto unico per gli interessati, da indicare nelle informative privacy e nel Sito (indirizzo email dedicato, es. privacy@italypost.it).

3. Le Parti si impegnano a rendere disponibile agli interessati "l'essenza del presente Accordo" attraverso l'informativa privacy e/o apposita sezione del Sito, come richiesto dall'art. 26, par. 2 GDPR.

Articolo 5 – Gestione delle richieste di esercizio dei diritti

1. Qualsiasi richiesta di esercizio dei diritti ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso, ecc.) ricevuta da una delle Parti deve essere:

  • registrata internamente;
  • inoltrata senza ritardo e comunque non oltre 2 giorni lavorativi a Post Media, quale coordinatore delle risposte.

2. Post Media:

  • coordina la gestione della richiesta, coinvolgendo le Società del Gruppo interessate;
  • raccoglie le informazioni necessarie per il riscontro;
  • invia la risposta all'interessato entro i termini previsti dal GDPR (di regola entro 1 mese dalla ricezione).

3. Le altre Società si impegnano a fornire a Post Media tutte le informazioni e il supporto necessario entro termini compatibili per garantire il rispetto delle scadenze di legge.

4. Nel caso di richieste particolarmente complesse, Post Media potrà informare l'interessato dell'eventuale proroga del termine, nei limiti previsti dall'art. 12 GDPR.

Articolo 6 – Responsabili del trattamento e sub-fornitori

1. I Contitolari possono nominare soggetti esterni come responsabili del trattamento (art. 28 GDPR) per servizi quali, a titolo esemplificativo:

  • hosting e manutenzione del Sito;
  • piattaforme newsletter e CRM;
  • piattaforme di gestione eventi;
  • servizi di web analytics e advertising;
  • servizi amministrativi e di supporto.

2. Di regola:

  • per i fornitori trasversali al Sito e ai sistemi centrali (es. hosting, CRM, piattaforma newsletter principale) la nomina è curata da Post Media, previo confronto con le altre Parti;
  • per fornitori specifici di attività di eventi, la nomina è curata da Post Eventi;
  • per fornitori specifici di campagne advertising, la nomina è curata da Post Comunicazione.

3. In ogni caso, i contratti con i responsabili del trattamento dovranno:

  • rispettare gli artt. 28 e 32 GDPR;
  • prevedere adeguate garanzie in termini di sicurezza e riservatezza;
  • disciplinare l'eventuale ricorso a sub-responsabili.

Articolo 7 – Sicurezza dei dati e gestione dei data breach

1. Ciascun Contitolare si impegna ad adottare misure tecniche e organizzative adeguate alla sicurezza dei Dati, conformemente agli artt. 24, 25 e 32 GDPR.

2. In caso di violazione dei dati personali ("data breach") che possa riguardare i trattamenti oggetto del presente Accordo:

  • la Parte che ne viene a conoscenza informa senza ingiustificato ritardo gli altri Contitolari, e comunque entro 24/48 ore;
  • le Parti collaborano per valutare la gravità dell'evento, l'eventuale obbligo di notifica al Garante e/o agli interessati, e per adottare le misure di mitigazione necessarie.

3. Post Media coordina, salvo diverso accordo caso per caso:

  • le eventuali notifiche al Garante;
  • le eventuali comunicazioni agli interessati;
  • la gestione documentale dell'incidente.

Articolo 8 – Trasferimenti verso Paesi terzi

1. Qualora, nell'ambito dei trattamenti oggetto del presente Accordo, i Dati siano trasferiti verso Paesi extra-SEE (ad es. in caso di fornitori con server al di fuori dello Spazio Economico Europeo), le Parti si impegnano a:

  • verificare l'esistenza di una decisione di adeguatezza della Commissione Europea; oppure
  • adottare garanzie adeguate ai sensi degli artt. 46 e ss. GDPR (ad es. Clausole Contrattuali Standard), anche alla luce della giurisprudenza e delle raccomandazioni dell'EDPB.

2. Le informazioni sui trasferimenti verso Paesi terzi devono essere chiaramente riportate nelle informative rese agli interessati.

Articolo 9 – Conservazione dei dati

1. Le Parti concordano che i Dati siano conservati per periodi coerenti con le finalità perseguite e nel rispetto del principio di minimizzazione e limitazione della conservazione (art. 5 GDPR).

2. In particolare, a titolo esemplificativo:

  • dati relativi ad eventi: per la durata dell'evento e per i tempi necessari ad adempimenti amministrativi/fiscali e alla tutela in giudizio;
  • dati per newsletter: fino alla revoca del consenso o alla disiscrizione;
  • dati per finalità di marketing: secondo quanto indicato nell'informativa, e comunque per periodi idonei a rispettare le linee guida del Garante.

3. I tempi di conservazione specifici sono riportati e aggiornati nelle informative privacy e nei registri dei trattamenti.

Articolo 10 – Data Protection Officer (DPO) e cooperazione con le Autorità

1. Qualora sia nominato un DPO unico di Gruppo o distinti DPO per le singole Società, le Parti garantiscono la piena collaborazione con il/i DPO nella gestione:

  • delle richieste di parere;
  • delle valutazioni d'impatto sulla protezione dei dati (DPIA);
  • dei contatti con il Garante per la protezione dei dati personali e con eventuali altre Autorità.

2. Le Parti collaborano altresì in caso di ispezioni o richieste da parte di Autorità competenti, condividendo informazioni e documentazione rilevante.

Articolo 11 – Durata, modifiche e risoluzione

1. Il presente Accordo entra in vigore alla data dell'ultima firma e:

  • resta efficace per tutta la durata della contitolarità relativa al Sito e ai relativi trattamenti;
  • è soggetto a revisione almeno annuale o comunque ogniqualvolta intervengano modifiche rilevanti nell'organizzazione o nei trattamenti.

2. Le eventuali modifiche saranno concordate per iscritto tra le Parti e allegate al presente Accordo.

3. La cessazione della partecipazione di una Società alla contitolarità:

  • non pregiudica la legittimità dei trattamenti svolti fino a quel momento;
  • richiede la definizione delle modalità di conservazione, cancellazione o trasferimento dei Dati relativi.

Articolo 12 – Legge applicabile e foro competente

1. Il presente Accordo è regolato dal diritto dell'Unione Europea e, per quanto qui non previsto, dal diritto italiano applicabile in materia di protezione dei dati personali.

2. Per ogni controversia relativa alla validità, interpretazione o esecuzione del presente Accordo sarà competente in via esclusiva il Foro di Padova, salvo diversa competenza inderogabile.

Ultimo aggiornamento: 13 gennaio 2026

ITALYPOST
ItalyPost è una testata giornalistica registrata presso il Tribunale di Padova n. 2253

Direttore Responsabile: Filiberto Zovico
ItalyPost è edito da Post Media Srl - Community Corporation

Sede legale: Viale Codalunga 4L, 35138 Padova

info (at) italypost.it

Ufficio del Registro delle Imprese di Padova, Numero di iscrizione PD 466652; Partita Iva: 05425410288

logo USPI