Addendum all'elaborazione dei dati

Il presente Addendum sul trattamento dei dati ("DPA") è incorporato nel, ed è soggetto ai termini e alle condizioni del, Contratto tra Digidly e la parte identificata come cliente del Servizio (o "Lei") nel Contratto ("Cliente“).

Tutti i termini in maiuscolo non definiti nel presente DPA avranno il significato stabilito nel Contratto. A scanso di equivoci, tutti i riferimenti al "Contratto" includono il presente DPA (comprese le SCC, come definite nel presente documento). 

1. Definizioni

Affiliato" indica un'entità che direttamente o indirettamente controlla, è controllata da o è sottoposta a controllo comune con un'entità.

Accordo" significa che l'Digidly Termini di servizio standard, o altri accordi scritti o elettronici, che regolano la fornitura del Servizio al Cliente, come tali termini o accordi possono essere aggiornati di volta in volta.

Controllo" indica una partecipazione di proprietà, con diritto di voto o simile, che rappresenta il cinquanta per cento (50%) o più del totale delle partecipazioni in circolazione dell'entità in questione. Il termine "Controllato" deve essere interpretato di conseguenza.

Dati del clientePer "dati personali" si intende qualsiasi dato personale che Digidly elabora per conto del Cliente in qualità di incaricato del trattamento nel corso della fornitura del Servizio, come descritto più in particolare nel presente DPA.

Leggi sulla protezione dei dati" indica tutte le leggi sulla protezione dei dati e sulla privacy applicabili al trattamento dei dati personali ai sensi dell'Accordo, compresa, ove applicabile, la legge sulla protezione dei dati dell'UE.

Legge sulla protezione dei dati dell'UE" indica (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; e (iii) le implementazioni nazionali applicabili di (i) e (ii) (o, per quanto riguarda il Regno Unito, qualsiasi legislazione nazionale applicabile che sostituisca o converta in legge nazionale il GDPR o qualsiasi altra legge relativa ai dati e alla vita privata in conseguenza dell'uscita del Regno Unito dall'Unione Europea); in ogni caso, come può essere modificato, superato o sostituito.

SEE" indica, ai fini della presente DPA, l'Unione Europea, lo Spazio Economico Europeo e/o i loro Stati membri, la Svizzera e/o il Regno Unito.

Scudo per la privacy" indica il programma di autocertificazione EU-U.S. Privacy Shield e Swiss-U.S. Privacy Shield Framework gestito dal Dipartimento del Commercio degli Stati Uniti e approvato rispettivamente dalla Commissione Europea ai sensi della Decisione C(2016)4176 del 12 luglio 2016 e dal Consiglio Federale Svizzero l'11 gennaio 2017.

Principi dello Scudo per la privacy" indica i Principi dello Scudo per la privacy (come integrati dai Principi supplementari) contenuti nell'Allegato II della Decisione della Commissione europea C(2016)4176 del 12 luglio 2016 (come eventualmente modificati, superati o sostituiti).

SCC" indica le clausole contrattuali standard per gli incaricati del trattamento approvate dalla Commissione europea o dall'Autorità federale svizzera per la protezione dei dati (a seconda dei casi).

Incidente di sicurezzaPer "violazione della sicurezza" si intende qualsiasi violazione non autorizzata o illegale che porti alla distruzione accidentale o illegale, alla perdita o all'alterazione dei dati del cliente o alla divulgazione non autorizzata o all'accesso ai dati del cliente sui sistemi gestiti o altrimenti controllati da Digidly.

Dati sensibili" significa (a) numero di previdenza sociale, numero di passaporto, numero di patente di guida o identificativo simile (o qualsiasi parte di esso); (b) numero di carta di credito o di debito (diverso dal troncamento (ultime quattro cifre) di una carta di credito o di debito); (c) informazioni occupazionali, finanziarie, genetiche, biometriche o sanitarie; (d) affiliazione razziale, etnica, politica o religiosa, appartenenza a sindacati, o informazioni sulla vita sessuale o sull'orientamento sessuale; (e) password di account; o (f) altre informazioni che rientrano nella definizione di "categorie particolari di dati" ai sensi del GDPR o di qualsiasi altra legge sulla protezione dei dati applicabile.

SottoprocessorePer "subelaboratore" si intende qualsiasi elaboratore incaricato dalla Digidly o dalle sue Affiliate di assisterla nell'adempimento dei suoi obblighi relativi alla fornitura del Servizio ai sensi dell'Accordo o del presente DPA. I subelaboratori possono includere terzi o affiliati della Digidly, ma escludono i dipendenti o i consulenti della Digidly.

I termini "dati personali“, “controllore“, “processore" e "elaborazione" hanno il significato attribuito loro nel GDPR, e "processo“, “processi" e "elaborato" deve essere interpretato di conseguenza.

2. Ruoli e responsabilità

2.1 I ruoli delle parti. Per quanto riguarda la Digidly e il Cliente, quest'ultimo è il responsabile del trattamento dei dati del Cliente e la Digidly tratterà i dati del Cliente solo in qualità di incaricato del trattamento che agisce per conto del Cliente, come descritto nella sezione "Dati del Cliente". Allegato A (Dettagli sull'elaborazione dei dati) della presente LPD.

2.2 Limitazione dello scopo. La Digidly tratterà i dati dell'utente solo per le finalità descritte nel presente DPA e in conformità alle istruzioni legittime e documentate dell'utente, salvo che sia altrimenti richiesto dalla legge applicabile. Le parti convengono che l'accordo stabilisce le istruzioni complete e definitive dell'acquirente alla Digidly in relazione al trattamento dei dati dell'acquirente e che il trattamento al di fuori dell'ambito di tali istruzioni (se del caso) richiede un accordo scritto preliminare tra le parti.

2.3 Dati vietati. Il Cliente non fornirà (o farà in modo che venga fornito) alcun dato sensibile alla Digidly per il trattamento ai sensi del Contratto, e la Digidly non avrà alcuna responsabilità per i dati sensibili, sia in relazione a un incidente di sicurezza che ad altro. A scanso di equivoci, il presente DPA non si applica ai dati sensibili.

2.4 Conformità del cliente. Il Cliente dichiara e garantisce che (i) ha rispettato e continuerà a rispettare tutte le leggi applicabili in materia di protezione dei dati in relazione al trattamento dei Dati del cliente e a qualsiasi istruzione di trattamento impartita alla Digidly; e (ii) ha fornito, e continuerà a fornire, tutti gli avvisi e ha ottenuto, e continuerà a ottenere, tutti i consensi e i diritti necessari ai sensi delle leggi sulla protezione dei dati per consentire alla Digidly di trattare i Dati del cliente per gli scopi descritti nel Contratto. Il Cliente è l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati del Cliente e dei mezzi con cui ha acquisito i Dati del Cliente. Senza pregiudicare la generalità di quanto sopra, l'Utente accetta di essere responsabile del rispetto di tutte le leggi (comprese le leggi sulla protezione dei dati) applicabili a qualsiasi e-mail o altro contenuto creato, inviato o gestito tramite il Servizio, comprese quelle relative all'ottenimento di consensi (ove richiesto) per l'invio di e-mail, il contenuto delle e-mail e le sue pratiche di distribuzione delle e-mail.

2.5 Obblighi di notifica relativi alle istruzioni del Cliente. La Digidly informerà tempestivamente il cliente per iscritto, a meno che non gli sia vietato dalle leggi sulla protezione dei dati, se viene a conoscenza o ritiene che qualsiasi istruzione di trattamento dei dati da parte del cliente violi le leggi sulla protezione dei dati.

3. Sottoelaborazione

3.1 Subprocessori autorizzati. Il cliente accetta che la Digidly possa incaricare dei subelaboratori di trattare i dati del cliente per conto del cliente. 

3.2 Obiezione ai subprocessori. Il cliente può opporsi per iscritto alla nomina di un nuovo subincaricato da parte della Digidly entro cinque (5) giorni di calendario dal ricevimento della notifica in conformità alla sezione 3.1 di cui sopra, a condizione che tale obiezione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno in buona fede tali obiezioni al fine di raggiungere una soluzione commercialmente ragionevole. Se non è possibile raggiungere tale risoluzione, la Digidly, a sua esclusiva discrezione, non nominerà tale subprocessore, oppure consentirà al Cliente di sospendere o terminare il Servizio in questione in conformità alle disposizioni di risoluzione del Contratto, senza alcuna responsabilità per entrambe le parti (ma senza pregiudicare eventuali spese sostenute dal Cliente prima della sospensione o della terminazione).

3.3 Obblighi del subprocessore. La Digidly dovrà: (i) stipulare un accordo scritto con ciascun Subprocessore contenente obblighi di protezione dei dati che garantiscano almeno lo stesso livello di protezione dei Dati del cliente previsto dal presente DPA, nella misura in cui ciò sia applicabile alla natura dei servizi forniti da tale Subprocessore; e (ii) rimanere responsabile dell'osservanza da parte di tale Subprocessore degli obblighi del presente DPA e di qualsiasi atto od omissione di tale Subprocessore che causi la violazione da parte della Digidly di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.

4. La sicurezza

4.1 Misure di sicurezza. La Digidly implementa e mantiene adeguate misure di sicurezza tecniche e organizzative per proteggere i dati del cliente da incidenti di sicurezza.

4.2 Riservatezza del trattamento. La Digidly garantisce che qualsiasi persona autorizzata dalla Digidly a trattare i dati del cliente (compresi il suo personale, i suoi agenti e i suoi subappaltatori) sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o legale).

4.3 Aggiornamenti alle misure di sicurezza. Il Cliente è responsabile di esaminare le informazioni rese disponibili dalla Digidly in materia di sicurezza dei dati e di determinare in modo indipendente se il Servizio soddisfa i requisiti e gli obblighi legali del Cliente ai sensi delle leggi sulla protezione dei dati. L'Utente riconosce che le misure di sicurezza sono soggette al progresso e allo sviluppo tecnico e che la Digidly può aggiornare o modificare le misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva del Servizio fornito all'Utente.

4.4 Risposta agli incidenti di sicurezza. Quando viene a conoscenza di un incidente di sicurezza, Digidly deve: (i) informare il Cliente senza indebito ritardo e, ove possibile, in ogni caso non oltre 48 ore dal momento in cui è venuto a conoscenza dell'incidente di sicurezza; (ii) fornire tempestivamente informazioni relative all'incidente di sicurezza non appena ne viene a conoscenza o come ragionevolmente richiesto dal Cliente; e (iii) adottare tempestivamente misure ragionevoli per contenere e indagare su qualsiasi incidente di sicurezza. La notifica o la risposta della Digidly a un Incidente di sicurezza ai sensi della presente Sezione 4.4 non deve essere interpretata come un riconoscimento da parte della Digidly di qualsiasi colpa o responsabilità in relazione all'Incidente di sicurezza.

4.5 Responsabilità del cliente. Fermo restando quanto sopra, il Cliente accetta che, salvo quanto previsto dal presente DPA, è responsabile dell'uso sicuro del Servizio, compresa la protezione delle credenziali di autenticazione del proprio account, la protezione della sicurezza dei Dati del Cliente durante il transito verso e dal Servizio e l'adozione di tutte le misure appropriate per crittografare in modo sicuro o eseguire il backup di qualsiasi Dato del Cliente caricato sul Servizio.

5. Rapporti e audit sulla sicurezza

5.1 Diritti di revisione. La Digidly metterà a disposizione del cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA e consentirà e contribuirà alle revisioni, comprese le ispezioni da parte del cliente, al fine di valutare la conformità al presente DPA. Il Cliente riconosce e accetta di esercitare i propri diritti di verifica ai sensi del presente DPA (compresa la presente sezione 5.1 e, ove applicabile, le SCC) istruendo la Digidly a rispettare le misure di verifica descritte nelle sezioni 5.2 e 5.3 di seguito.

5.2 Rapporti sulla sicurezza. Il cliente riconosce che la Digidly è regolarmente sottoposta a verifiche in base agli standard SSAE 16 e PCI da parte di revisori indipendenti di terze parti e revisori interni, rispettivamente. Su richiesta scritta, la Digidly fornirà (su base confidenziale) una copia riassuntiva della/e relazione/i di revisione più recente/i ("Rapporto") al Cliente, in modo che quest'ultimo possa verificare la conformità della Digidly agli standard di revisione in base ai quali è stata valutata e al presente DPA.

5.3 Due diligence di sicurezza. Oltre alla relazione, l'Digidly risponderà a tutte le ragionevoli richieste di informazioni presentate dal cliente per confermare la conformità dell'Digidly al presente DPA, comprese le risposte ai questionari sulla sicurezza delle informazioni, sulla due diligence e sulle revisioni, mettendo a disposizione ulteriori informazioni relative al suo programma di sicurezza delle informazioni su richiesta scritta del cliente all'indirizzo [email protected], a condizione che il cliente non eserciti questo diritto più di una volta per anno civile.

6. Trasferimenti internazionali

6.1 Ubicazione dei centri dati. La Digidly può trasferire ed elaborare i dati del cliente in Europa e in qualsiasi altra parte del mondo in cui la Digidly, le sue Affiliate o i suoi Subprocessori effettuano operazioni di elaborazione dati. La Digidly deve sempre garantire che tali trasferimenti siano effettuati in conformità con i requisiti delle leggi sulla protezione dei dati.

6.2 Trasferimenti di dati SEE. Nella misura in cui Digidly è un destinatario di dati del cliente protetti dalle leggi sulla protezione dei dati applicabili al SEE ("Dati SEE"), le parti convengono che Digidly mette a disposizione i meccanismi elencati di seguito, per qualsiasi trasferimento di dati SEE in o verso un paese che non fornisce un livello adeguato di protezione dei dati personali (come descritto nelle leggi sulla protezione dei dati applicabili):

  • (a) Scudo per la privacy: Se la Digidly è autocertificata per il Privacy Shield: (i) le parti riconoscono e concordano che si riterrà che la Digidly fornisca una protezione adeguata (ai sensi delle leggi sulla protezione dei dati applicabili) per i dati del SEE in virtù dell'autocertificazione della sua conformità al Privacy Shield; (ii) la Digidly si impegna a trattare i dati del SEE in conformità con i principi del Privacy Shield; e (iii) se la Digidly non è in grado di soddisfare questo requisito, la Digidly ne informerà il cliente.
  • (b) SCC: Nella misura in cui il meccanismo di trasferimento di cui alla sezione 6.2, lettera a), non si applica al trasferimento e/o è invalidato, la Digidly accetta di rispettare e trattare i dati del SEE in conformità con le SCC, che sono incorporate integralmente per riferimento e costituiscono parte integrante del presente DPA. Ai fini delle CSS: (i) la Digidly accetta di essere l'"importatore di dati" e il cliente è l'"esportatore di dati" ai sensi delle CSS (nonostante il cliente possa essere un'entità situata al di fuori del SEE); (ii) gli allegati A e B del presente DPA sostituiscono rispettivamente le appendici 1 e 2 delle CSS; e (iii) l'allegato C costituisce l'appendice 3 delle CSS.

7. Restituzione o cancellazione dei dati

7.1 Cancellazione in caso di cessazione dell'attività. Al termine o alla scadenza del Contratto, la Digidly (a scelta del Cliente) cancellerà o restituirà al Cliente tutti i Dati del Cliente (comprese le copie) in suo possesso o controllo, salvo che tale requisito non si applichi nella misura in cui la Digidly è tenuta, in base alla legge applicabile, a conservare alcuni o tutti i Dati del Cliente, o ai Dati del Cliente archiviati su sistemi di back-up, che la Digidly isolerà in modo sicuro, proteggerà da qualsiasi ulteriore trattamento e infine cancellerà in conformità con le politiche di cancellazione della Digidly, salvo nella misura richiesta dalla legge applicabile.

8. Diritti dell'interessato e cooperazione

8.1 Richieste dell'interessato. Il Servizio fornisce all'Utente una serie di controlli che l'Utente può utilizzare per recuperare, correggere, cancellare o limitare i Dati dell'Utente, che l'Utente può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi del GDPR, compresi gli obblighi relativi alla risposta alle richieste degli interessati o delle autorità di protezione dei dati applicabili. Nella misura in cui l'Acquirente non è in grado di accedere autonomamente ai pertinenti Dati dell'Acquirente nell'ambito del Servizio, Digidly fornirà (a spese dell'Acquirente) una ragionevole cooperazione per assistere l'Acquirente a rispondere a qualsiasi richiesta di persone o autorità di protezione dei dati applicabili in relazione al trattamento dei Dati dell'Acquirente ai sensi del Contratto. Nel caso in cui una richiesta di questo tipo sia rivolta direttamente alla Digidly, quest'ultima non risponderà direttamente a tale comunicazione se non nei casi opportuni (ad esempio, per indirizzare l'interessato a contattare l'Acquirente) o previsti dalla legge, senza la previa autorizzazione dell'Acquirente. Se il Digidly è tenuto a rispondere a tale richiesta, ne darà tempestivamente notifica al cliente e gli fornirà una copia della richiesta, a meno che non gli sia vietato per legge. A scanso di equivoci, nessuna disposizione dell'Accordo (compreso il presente DPA) limiterà o impedirà al Digidly di rispondere alle richieste degli interessati o delle autorità di protezione dei dati in relazione ai dati personali di cui il Digidly è responsabile del trattamento.

8.2 Mandati di comparizione e ordinanze del tribunale. Se un'autorità preposta all'applicazione della legge invia alla Digidly una richiesta di dati del cliente (ad esempio, attraverso un mandato di comparizione o un ordine del tribunale), la Digidly cercherà di reindirizzare l'autorità preposta all'applicazione della legge a richiedere tali dati direttamente al cliente. Nell'ambito di questo sforzo, il Digidly può fornire le informazioni di contatto di base del cliente all'agenzia di applicazione della legge. Se costretto a divulgare i dati dell'utente a un'agenzia di applicazione della legge, Digidly darà all'utente un ragionevole preavviso della richiesta per consentirgli di chiedere un ordine di protezione o un altro rimedio appropriato, a meno che a Digidly non sia vietato per legge di farlo.

8.3 Valutazione dell'impatto sulla protezione dei dati. Nella misura richiesta dalle leggi applicabili in materia di protezione dei dati, Digidly fornirà (a spese dell'Utente) tutte le informazioni ragionevolmente richieste in merito al Servizio per consentire all'Utente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preventive con le autorità preposte alla protezione dei dati, come richiesto dalla legge.

9. Limitazione di responsabilità

9.1 La responsabilità di ciascuna parte e di tutte le sue Affiliate, considerate complessivamente, derivante da o correlata al presente DPA (comprese le SCC) sarà soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nell'Accordo.

9.2 Qualsiasi reclamo nei confronti di Digidly o delle sue Affiliate ai sensi del presente DPA o in relazione ad esso (comprese, se del caso, le SCC) deve essere presentato esclusivamente contro l'entità che è parte dell'Accordo.

9.3 In nessun caso una parte potrà limitare la propria responsabilità in relazione ai diritti di protezione dei dati di un individuo ai sensi del presente DPA o in altro modo.

10. Rapporto con l'Accordo

10.1 Il presente DPA rimarrà in vigore per tutto il tempo in cui Digidly effettuerà operazioni di trattamento dei dati del cliente per conto del cliente o fino alla risoluzione del Contratto (e tutti i dati del cliente sono stati restituiti o cancellati in conformità alla sezione 7.1 di cui sopra).

10.2 Le parti convengono che il presente DPA sostituisce qualsiasi accordo di trattamento dei dati o documento simile che le parti abbiano precedentemente stipulato in relazione al Servizio.

10.3 In caso di conflitto o incongruenza tra il presente DPA e le Condizioni d'uso standard di Digidly, prevarranno le disposizioni dei seguenti documenti (in ordine di precedenza): (a) le SCC; poi (b) il presente DPA; e poi (c) le Condizioni d'uso standard di Digidly.

10.4 Fatta eccezione per le modifiche apportate dal presente DPA, il Contratto rimane invariato e in vigore a tutti gli effetti.

10.5 Nonostante qualsiasi disposizione contraria contenuta nel Contratto (compreso il presente DPA), Digidly avrà il diritto di raccogliere, utilizzare e divulgare i dati relativi all'uso, al supporto e/o al funzionamento del Servizio ("Dati di servizio") per i suoi legittimi scopi commerciali, come la fatturazione, la gestione del conto, il supporto tecnico e lo sviluppo del prodotto. Nella misura in cui i dati del servizio sono considerati dati personali ai sensi delle leggi sulla protezione dei dati, Digidly sarà responsabile e tratterà tali dati in conformità con le nostre leggi sulla protezione dei dati. Informativa sulla privacy e le leggi sulla protezione dei dati. A scanso di equivoci, la presente DPA non si applica ai Dati del Servizio.

10.6 Nessun altro che non sia una parte del presente DPA, i suoi successori e cessionari autorizzati avrà il diritto di far valere una qualsiasi delle sue condizioni.

10.7 Il presente DPA sarà disciplinato e interpretato in conformità alle disposizioni in materia di legge applicabile e di giurisdizione contenute nell'Accordo, a meno che non sia richiesto diversamente dalle leggi applicabili in materia di protezione dei dati.

Allegato A - Dettagli sul trattamento dei dati

(a) Oggetto: L'oggetto del trattamento dei dati ai sensi della presente DPA sono i Dati del Cliente.

(b) Durata: Per quanto riguarda la Digidly e il Cliente, la durata del trattamento dei dati ai sensi del presente DPA è fino alla scadenza o alla risoluzione dell'Accordo in conformità ai suoi termini.

(c) Scopo: Digidly tratterà i Dati dell'Utente solo per i seguenti scopi: (i) trattamento per l'esecuzione del Servizio in conformità con l'Accordo; (ii) trattamento avviato dall'Utente nell'uso del Servizio; e (ii) trattamento per ottemperare a qualsiasi altra ragionevole istruzione fornita dall'Utente (ad esempio, tramite e-mail o ticket di assistenza) che sia coerente con i termini dell'Accordo (singolarmente e collettivamente, il "Scopo“).

(d) Natura del trattamento: Digidly fornisce un servizio di posta elettronica, una piattaforma di automazione e marketing e altri servizi correlati, come descritto più in particolare nel Contratto.

(e) Categorie di soggetti interessati(i) Membri; e (ii) Contatti, ognuno dei quali è definito nella nostra Informativa sulla privacy.

(f) Tipi di dati dei clienti: Il Cliente può caricare, inviare o fornire in altro modo determinati dati personali al Servizio, la cui entità è tipicamente determinata e controllata dal Cliente a sua esclusiva discrezione, e può includere i seguenti tipi di dati personali:

  • Membri: Dati di identificazione e contatto (nome, indirizzo, titolo, dati di contatto, nome utente); informazioni finanziarie (dati della carta di credito, dati del conto, informazioni di pagamento); dati sull'occupazione (datore di lavoro, titolo di lavoro, posizione geografica, area di responsabilità);
  • Contatti: Dati di identificazione e contatto (nome, indirizzo, titolo, dati di contatto, compreso l'indirizzo e-mail), interessi o preferenze personali (compresa la cronologia degli acquisti, le preferenze di marketing e le informazioni sul profilo dei social media disponibili pubblicamente); informazioni informatiche (indirizzi IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di localizzazione, dati del browser); informazioni finanziarie (dati della carta di credito, dati del conto, informazioni di pagamento).

(g) Dati sensibili: Digidly non vuole, né intende, raccogliere o trattare alcun dato sensibile in relazione alla fornitura del Servizio.

(h) Operazioni di elaborazione: I Dati del Cliente saranno trattati in conformità al Contratto (inclusa la presente DPA) e potranno essere soggetti alle seguenti attività di trattamento:

  • Archiviazione e altre elaborazioni necessarie per fornire, mantenere e migliorare il Servizio fornito all'Utente ai sensi del Contratto; e/o
  • Divulgazioni in conformità con il Contratto e/o come richiesto dalla legge applicabile.

Allegato B

Tutti i termini definiti utilizzati nel presente allegato B hanno il significato loro attribuito nelle SCC, salvo diversa definizione nel presente allegato.

Appendice 3 alle Clausole contrattuali standard

La presente Appendice costituisce parte integrante delle Clausole e deve essere compilata dalle parti.

La presente Appendice illustra l'interpretazione delle parti dei rispettivi obblighi ai sensi delle specifiche Clausole indicate di seguito. Qualora una parte si conformi alle interpretazioni contenute nella presente Appendice, l'altra parte riterrà che essa abbia rispettato gli impegni assunti ai sensi delle Clausole.

Ai fini della presente Appendice, per "DPA" si intende l'Addendum sul trattamento dei dati in vigore tra l'importatore e l'esportatore di dati e al quale sono incorporate le presenti Clausole e per "Accordo" si intende il significato attribuitogli nel DPA.

Clausola 5(a): Sospensione dei trasferimenti di dati e cessazione

  1. Le parti riconoscono che l'importatore dei dati può trattare i dati personali solo per conto dell'esportatore dei dati e in conformità alle sue istruzioni fornite dall'esportatore dei dati e alle Clausole.
  2. Le parti riconoscono che se l'importatore di dati non è in grado di fornire tale conformità per qualsiasi motivo, si impegna a informare tempestivamente l'esportatore di dati della sua incapacità di conformarsi, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere le Clausole.
  3. Se l'esportatore di dati intende sospendere il trasferimento dei dati personali e/o porre fine alle presenti Clausole, si impegna a darne comunicazione all'importatore di dati e a concedergli un periodo di tempo ragionevole per rimediare alla non conformità ("Periodo di cura").
  4. Se al termine del periodo di cura l'importatore di dati non ha sanato o non può sanare la non conformità, l'esportatore di dati può sospendere o interrompere immediatamente il trasferimento dei dati personali. L'esportatore di dati non è tenuto a fornire tale avviso nel caso in cui ritenga che vi sia un rischio sostanziale di danno agli interessati o ai loro dati personali.

Clausola 5(f): Audit

  1. L'esportatore di dati riconosce e accetta di esercitare il proprio diritto di verifica ai sensi della clausola 5(f) istruendo l'importatore di dati a rispettare le misure di verifica descritte nella sezione 5 (Rapporti e verifiche di sicurezza) della LPD.

Clausola 5(j): Divulgazione degli accordi con i subprocessori

  1. Le parti riconoscono l'obbligo dell'importatore di dati di inviare tempestivamente all'esportatore una copia di qualsiasi contratto di subprocessore stipulato ai sensi delle Clausole.
  2. Le parti riconoscono inoltre che, in base alle restrizioni sulla riservatezza dei subprocessori, l'importatore di dati può essere limitato dal divulgare all'esportatore di dati i contratti con i subprocessori successivi. Ciononostante, l'importatore di dati compirà ogni ragionevole sforzo per richiedere a qualsiasi subprocessore da esso nominato di consentirgli di divulgare il contratto di subprocessore all'esportatore di dati.
  3. Anche nel caso in cui l'importatore di dati non possa rivelare all'esportatore un accordo di subprocessamento, le parti convengono che, su richiesta dell'esportatore di dati, l'importatore di dati fornirà (su base confidenziale) all'esportatore di dati tutte le informazioni che può ragionevolmente fornire in relazione a tale accordo di subprocessamento.

Clausola 6: Responsabilità

  1. Qualsiasi reclamo presentato ai sensi delle Clausole sarà soggetto ai termini e alle condizioni, comprese, ma non solo, le esclusioni e le limitazioni stabilite nell'Accordo. In nessun caso una parte potrà limitare la propria responsabilità in relazione a qualsiasi diritto dell'interessato ai sensi delle presenti Clausole.

Clausola 11: Subprocesso successivo

  1. Le parti riconoscono che, ai sensi della FAQ II.1 del documento del Gruppo di lavoro Articolo 29 WP 176 intitolato "FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC", l'esportatore di dati può fornire un consenso generale al successivo subprocessing da parte dell'importatore di dati.
  2. Di conseguenza, l'esportatore di dati fornisce un consenso generale all'importatore di dati, ai sensi della clausola 11 delle presenti clausole, per l'assunzione di subprocessori successivi. Tale consenso è subordinato al rispetto da parte dell'importatore dei requisiti di cui alla Sezione 3 (Subprocessing) della DPA.