Art. 10 Trattamento dei dati personali 1. Ciascun ente erogatore e' il titolare del trattamento dei dati personali necessari allo svolgimento di ogni iniziativa dallo stesso attivata e gestita mediante la piattaforma e si avvale del gestore della piattaforma in qualita' di responsabile del trattamento. 2. Il gestore della piattaforma e' il titolare del trattamento dei dati personali relativi all'utilizzo da parte dell'utente dell'App IO o altro canale messo a disposizione dal gestore della piattaforma per aderire alle iniziative, nonche' dei dati relativi agli strumenti di pagamento o di acquisto e agli Iban registrati dall'utente. Il gestore della piattaforma agisce, invece, in qualita' di responsabile del trattamento ai sensi dell'art. 28 del regolamento (UE) n. 2016/679 per conto di ciascun ente erogatore per i trattamenti, diversi da quelli di cui al primo periodo del presente comma, necessari allo svolgimento delle attivita' ad essa affidate nell'ambito di ogni singola iniziativa. 3. Il gestore della piattaforma detiene un'anagrafica degli esercenti che supportano la piattaforma e, al fine della corretta gestione della stessa, tratta i relativi dati personali in qualita' di titolare del trattamento. 4. Gli issuer convenzionati sono titolari del trattamento dei dati personali dei propri clienti. Inoltre, gli stessi agiscono in qualita' di sub-responsabili del trattamento, individuati dal gestore della piattaforma in virtu' di un'apposita convenzione, limitatamente allo svolgimento delle attivita' ad essi affidate ai sensi del presente decreto. 5. Gli acquirer convenzionati sono titolari del trattamento dei dati personali effettuato nell'ambito delle transazioni da essi gestite. Inoltre, essi agiscono in qualita' di sub-responsabili del trattamento, individuati dal gestore della piattaforma in virtu' di un'apposita convenzione, limitatamente allo svolgimento delle attivita' ad essi affidate ai sensi del presente decreto. 6. Gli enti di supporto sono titolari del trattamento dei dati personali di cui alle rispettive banche dati, le quali possono essere interrogate, nell'ambito della gestione delle iniziative, al fine di verificare i dati degli utenti per l'adesione. 7. Il gestore della piattaforma deve predisporre la valutazione di impatto ai sensi dell'art. 35 del regolamento UE 2016/679 ed effettuare la consultazione preventiva ai sensi dell'art. 36. Nella valutazione di impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonche' a tutela dei diritti e delle liberta' degli interessati. Nella valutazione di impatto sono altresi' disciplinati i tempi e le modalita' di cancellazione dal programma. 8. Ciascun ente erogatore deve predisporre la valutazione di impatto ed effettuare la consultazione preventiva per i trattamenti effettuati nell'ambito di ogni singola iniziativa, qualora cio' sia necessario ai sensi della normativa vigente. 9. I dati personali raccolti ai sensi del presente decreto possono essere trattati esclusivamente per la finalita' di cui all'art. 2, comma 1. 10. Il gestore della piattaforma, previa anonimizzazione e aggregazione, puo' utilizzare i dati acquisiti per finalita' di miglioramento dei servizi erogati, nonche' per lo sviluppo della piattaforma e la valorizzazione del patrimonio aziendale.