Art. 7 Trattamento di dati personali 1. La societa' tratta i dati raccolti tramite l'App IO, o altro portale dedicato messo a disposizione dall'issuer, e trattati nell'ambito del Sistema, in qualita' di titolare del trattamento, esclusivamente per le finalita' di cui al presente decreto. La societa' e' altresi' titolare del trattamento effettuato per la messa a disposizione ai cessionari dei dati di cui all'art. 6, comma 1, lettera i), del presente decreto, nonche' per le verifiche di cui agli articoli 5, comma 1, lettera c), e 6, comma 1, lettera g), da attuarsi secondo le modalita' previste dalla apposita convenzione con l'Agenzia delle entrate, sottoscritta e allegata alla valutazione di impatto di cui al comma 6 del presente articolo. 2. La societa' e' designata responsabile dagli esercenti, ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati per conto degli stessi nell'ambito del servizio di fatturazione automatica di cui al presente decreto. 3. Gli issuer sono designati responsabili dalla societa', ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati, in virtu' di un'apposita convenzione, per lo svolgimento delle attivita' ad essi affidate ai sensi del precedente art. 6, comma 1, lettera i), del presente decreto. 4. Al fine di individuare le transazioni rilevanti, e' fatto obbligo agli acquirer, previa messa a disposizione da parte della societa' dei dati relativi alle registrazioni dei cessionari e agli identificativi delle transazioni effettuate per le quali sia stata richiesta la fattura, di comunicare alla societa' i dati necessari a tal fine. L'attivita' di comunicazione e' svolta dagli acquirer in qualita' di titolari del trattamento, nel rispetto degli obblighi di sicurezza previsti dalla normativa rilevante nonche' dagli standard di settore. E' fatto divieto agli acquirer di utilizzare i dati relativi alle registrazioni dei cessionari forniti dalla societa' per finalita' non strettamente necessarie all'espletamento dei propri compiti ai sensi del presente decreto. Gli acquirer tengono aggiornati i dati ricevuti dalla societa' e li cancellano automaticamente non appena non piu' necessari all'espletamento delle attivita' di cui al presente decreto, secondo le modalita' individuate nella valutazione di impatto di cui al comma 6 del presente articolo. In sede di prima applicazione, gli acquirer possono demandare lo svolgimento di talune delle attivita' previste dal presente decreto alla societa' stessa, che le svolgera' previa designazione come responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679, come dettagliate nella valutazione di impatto di cui al comma 6 che segue. 5. Il trattamento dei dati avviene nel rispetto delle misure e degli obblighi imposti dal regolamento UE 2016/679 e dal decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni. 6. La societa' effettua, prima del trattamento, la valutazione di impatto ai sensi dell'art. 35 del regolamento (UE) 2016/679 e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali. 7. Nella valutazione di impatto sono indicate, inter alia, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonche' a tutela dei diritti e delle liberta' degli interessati. Nella valutazione, sono altresi' disciplinati i tempi e le modalita' di conservazione dei dati trattati ai sensi del presente decreto, assicurando che gli stessi siano conservati solo per il tempo necessario all'erogazione del servizio.