Home Azienda Legale Addendum sulla protezione dei dati – (DPA)
Applicazioni

Addendum sulla protezione dei dati – (DPA)

Profilo

Pagine correlate

Il presente Addendum al trattamento dei dati (la presente “DPA”) è incorporato e fa parte dei termini di servizio di Edgio (“accordo”) tra Edgio, Inc., le sue affiliate e consociate (insieme, “Edgio”) e il cliente. In caso di conflitto tra disposizioni della presente legge sul trattamento dei dati e disposizioni del presente accordo, le disposizioni applicabili del presente controllo della legge sul trattamento dei dati personali.

1) definizioni.

I seguenti termini sono utilizzati nel presente DPA e avranno i significati qui stabiliti. I termini in maiuscolo utilizzati nella presente DPA e non definiti nel presente documento avranno il significato indicato nel Contratto.

1,1 per “paese adeguato” si intende un paese o territorio riconosciuto ai sensi della legislazione dell’UE in materia di protezione dei dati o dell’autorità competente pertinente del Regno Unito (“Regno Unito”) come che fornisce un livello adeguato di protezione dei dati personali.

1,2 per “leggi applicabili in materia di protezione dei dati” si intende (i) le leggi e i regolamenti del SEE e dei loro stati membri, applicabili al trattamento dei dati personali ai sensi della presente legge sulla protezione dei dati, comprese le leggi dell’UE sulla protezione dei dati; (ii) il California Consumer Protection Act (“CCPA”) e il California Privacy Rights Act (“CPRA”); e (iii) tutte le leggi che attuano o integrano quanto sopra e qualsiasi altra legge applicabile sulla protezione dei dati o sulla privacy.

1,3 per “dati personali del cliente” si intendono tutti i dati personali che riguardano i consumatori (gli “utenti finali” del cliente) e che sono trattati da Edgio o dai suoi subprocessori per conto del cliente nell’esecuzione dei servizi e degli altri obblighi di Edgio ai sensi del Contratto.

1,4 per “SEE” si intende lo spazio economico europeo, che comprende gli Stati membri dell’Unione europea, nonché la Norvegia, l’Islanda e il Liechtenstein.

1,5 “leggi sulla protezione dell’UE” significa (i) il GDPR; ii) la direttiva UE sulla privacy elettronica (direttiva 2002/58/CE), come modificata, e qualsiasi legislazione che sostituisca la presente direttiva modificata, iii) le leggi nazionali in materia di protezione dei dati emanate a norma di quanto sopra, in sostituzione o successiva, e (iv) ove applicabile, deve essere letta come inclusiva delle leggi sulla protezione dei dati del Regno Unito.

1,6 per “GDPR” si intende il regolamento generale sulla protezione dei dati dell’UE (regolamento 2016/679).

1,7 per “clausole contrattuali tipo” in relazione al trattamento dei dati personali ai sensi della presente legge sulla protezione dei dati si intende A) le clausole tipo per il trasferimento dei dati personali dai titolari del trattamento ai responsabili del trattamento stabiliti in paesi terzi di volta in volta approvate dalla Commissione europea, la cui versione attuale approvata è quella contenuta nella decisione 2021/914 della Commissione europea del 4 giugno 2021, disponibili all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, e di cui all’allegato 2 (le “clausole contrattuali standard dell’UE”); e (b) l’Addendum del Regno Unito alle clausole contrattuali tipo dell’UE, di cui all’allegato 3 (il “Addendum del Regno Unito”).

1,8 per “leggi sulla protezione dei dati del Regno Unito” si intende tutta la legge applicabile in relazione alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di tanto in tanto nel Regno Unito, incluso il GDPR del Regno Unito e il Data Protection Act del 2018.

1,9 per “GDPR del Regno Unito” si intende il regolamento generale sulla protezione dei dati del Regno Unito, in quanto fa parte del diritto di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 della legge del 2018 sull’Unione europea (recesso).

1,10 per “dati personali” si intendono tutte le informazioni che costituiscono “dati personali” o “informazioni personali” ai sensi delle leggi applicabili in materia di protezione dei dati a cui Edgio può accedere nell’esecuzione dei servizi ai sensi del Contratto di servizi.

1,11 “trattamento”, “processo”, “soggetto dei dati”, “titolare”, “impresa” “responsabile”, “prestatore di servizi”, “categorie speciali di dati personali” hanno il significato attribuito loro dalle leggi applicabili in materia di protezione dei dati, nella misura in cui tali concetti esistono in tali leggi.

2. Elaborazione dei dati

2,1 ambito e ruoli. In considerazione degli obblighi reciproci stabiliti nel presente documento, il presente DPA si applica nella misura in cui Edgio tratta i dati personali del cliente in base alle leggi sulla protezione dei dati applicabili in relazione ai servizi ai sensi del Contratto. In questo contesto, il cliente e Edgio riconoscono e accettano che: (A) Edgio è un responsabile del trattamento e il cliente è il titolare del trattamento ai sensi delle leggi sulla protezione dei dati applicabili; e (b) Edgio funge da semplice canale di tutti i dati personali che il cliente o i suoi utenti finali inseriscono nei servizi. Edgio e il cliente devono rispettare le leggi sulla protezione dei dati applicabili per il trattamento dei dati personali, in base alle leggi sulla protezione dei dati applicabili.

2,2 istruzioni per il trattamento.

(A) istruzioni per il cliente. Edgio tratterà i dati personali del cliente come mezzo per fornire i servizi e in conformità con le istruzioni documentate del cliente contenute nel presente DPA, o come altrimenti concordato reciprocamente tra le parti per iscritto. Se Edgio è obbligato dalle leggi sulla protezione dei dati applicabili a trattare i dati personali del cliente in modo diverso da quanto indicato dal cliente, ne informerà il cliente prima che si verifichi tale elaborazione, a meno che non sia proibito dalla legge.

(i) lo scopo del trattamento dei dati personali del cliente ai sensi del presente DPA è la fornitura dei servizi avviati dal cliente di volta in volta ai sensi del Contratto, che include l’elaborazione la fatturazione e i pagamenti, la comunicazione con il cliente utenti finali e/o subprocessori in merito ai servizi, la manutenzione del cliente, account dell’utente finale e/o dei subprocessori, misurazione e/o analisi dell’utilizzo del servizio, prevenzione o individuazione di frodi o abusi dei servizi e/o del sito Web, manutenzione e/o aggiornamento dei servizi e/o possibilità di consentire ai subprocessori di svolgere funzioni tecniche, logistiche o di altro tipo per conto di Edgio a supporto della fornitura dei servizi.

(ii) Edgio certifica che non lo farà (A) “vendere” (come definito nel CCPA) o “condividere” (come definito nella CPRA) dati personali del cliente; (b) conservare, utilizzare o divulgare i dati personali del cliente per scopi diversi dallo scopo specifico di fornire i servizi previsti dal Contratto di servizi, inclusa la conservazione, l’utilizzo o la divulgazione dei dati personali del cliente per scopi commerciali diversi dalla fornitura dei servizi; oppure (c) conservare, utilizzare o divulgare i dati personali del cliente a qualsiasi persona diversa da quanto necessario per fornire i servizi o al di fuori del rapporto commerciale diretto tra le parti.

(iii) il cliente dichiara e garantisce che: (1) le sue istruzioni per il trattamento sono conformi a tutte le leggi applicabili in materia di protezione dei dati; e (2) ha ottenuto e mantiene tutte le comunicazioni, i consensi e le autorizzazioni per il trattamento e il trasferimento di tutti i dati personali richiesti dalla legge. Il cliente riconosce che, tenendo conto della natura del trattamento, Edgio non è in grado di determinare se le istruzioni del cliente violino le leggi applicabili in materia di protezione dei dati.

b) riservatezza. Edgio impone adeguati obblighi contrattuali al proprio personale e a terzi che hanno accesso ai dati personali, per garantire che tale personale e terzi siano vincolati e resi consapevoli dei loro obblighi di riservatezza in relazione a tali dati personali.

c) Edgio Security Measures. Edgio ha implementato e mantenuto le misure tecniche e organizzative, di cui all’allegato 1, parte C, volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita, dall’alterazione, dalla divulgazione o dall’accesso accidentali, e contro altre forme illecite di trattamento. Edgio può aggiornare o modificare di tanto in tanto tali misure tecniche e organizzative, a condizione che tali aggiornamenti o modifiche non comportino un deterioramento della sicurezza generale dei servizi. Il cliente riconosce e accetta che (tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento dei dati personali, nonché dei rischi per gli utenti finali) le misure tecniche e organizzative attuate e mantenute da Edgio come stabilito nella presente sezione 2,2(c) (Edgio Security Measures) forniscono un livello di sicurezza adeguato al rischio in relazione ai dati personali. Nell’utilizzo dei servizi, il cliente riconosce di non dover configurare il proprio utilizzo dei servizi per memorizzare nella cache o archiviare i dati personali sugli edge server di Edgio.

(d) obblighi di sicurezza del cliente. Il cliente accetta che, fatti salvi gli obblighi di Edgio ai sensi della sezione 2,2(c) (misure di sicurezza Edgio) e della sezione 6 (notifica di violazione dei dati), il cliente è l’unico responsabile dell’utilizzo dei servizi, tra cui: (1) l’utilizzo appropriato dei servizi per garantire un livello di sicurezza adeguato al rischio in relazione ai dati personali, ad esempio la scelta e l’utilizzo della crittografia; e (2) la protezione delle credenziali di autenticazione dell’account, dei sistemi e dei dispositivi utilizzati dal cliente per accedere ai servizi. Il cliente riconosce di essere responsabile di tutte le azioni intraprese sui servizi utilizzando le credenziali di autenticazione valide del cliente, inclusi, a titolo esemplificativo, gli utenti finali, i fornitori del cliente o qualsiasi altra terza parte che agisca per conto del cliente.

E) categorie speciali di dati. Il cliente non deve e non deve permettere ai suoi utenti finali di trasmettere o altrimenti fornire a Edgio, direttamente o indirettamente, in alcun modo, dati personali che rivelino o contengano uno dei seguenti elementi: Origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, o appartenenza a sindacati, dati genetici, dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o dati riguardanti la vita sessuale o l’orientamento sessuale di una persona fisica o relativi alle condanne penali o ai reati di una persona fisica.

3) diritti dell’interessato

3,1 tenendo conto della natura dei servizi e del trattamento, il cliente riconosce che Edgio mette a disposizione del cliente determinati controlli, caratteristiche e funzionalità nell’ambito dei servizi, quale cliente può scegliere di utilizzare in relazione ai propri obblighi ai sensi delle leggi sulla protezione dei dati applicabili in relazione alle richieste degli interessati, incluse le richieste di restituzione o cancellazione.

3,2 il cliente è responsabile della corretta configurazione dei servizi in modo che: (A) i dati personali sono raccolti, trasferiti e utilizzati esclusivamente nella misura necessaria al cliente per ricevere i servizi; (b) i dati personali vengono conservati per il periodo più breve richiesto al cliente per ricevere i servizi; e (c) il cliente utilizza un’API o una tecnologia simile per impostare una richiesta di file di registro nel caso in cui il cliente desideri conservare i dati personali per un periodo più lungo di quello conservato dai servizi.

3,3 nella misura in cui i controlli, le caratteristiche e/o le funzionalità dei servizi non includano la possibilità per il cliente di eliminare i dati personali, Edgio si atterrà quindi alla ragionevole richiesta del cliente di facilitare tale cancellazione, a condizione che Edgio stabilisca che ciò è fattibile, tenendo conto della natura dei servizi e del trattamento e delle pratiche di conservazione dei dati di Edgio, e a meno che le leggi applicabili in materia di protezione dei dati non richiedano a Edgio di conservare i dati personali. Edgio può addebitare una commissione (sulla base dei costi ragionevoli di Edgio) per qualsiasi cancellazione di dati ai sensi della presente sezione 3,3. Edgio fornirà al cliente i dettagli di eventuali tariffe applicabili in anticipo rispetto alla cancellazione di tali dati. Il cliente riconosce l’obbligo di eliminare qualsiasi dato personale dal proprio account alla risoluzione del Contratto e qualsiasi dato personale non eliminato dal cliente sarà eliminato dai sistemi di Edgio nel corso ordinario dei suoi processi aziendali.

4. Sottoelaborazione

4,1 il cliente concede un’autorizzazione generale: (A) a Edgio per nominare Edgio Affiliates come subprocessori; e (b) alle affiliate Edgio e Edgio per nominare fornitori di servizi terzi, inclusi, a titolo esemplificativo, marketing, attività commerciali, fornitori di servizi tecnici o di assistenza clienti, in qualità di subprocessori, esclusivamente se necessario per supportare la fornitura dei servizi.

4,2 il cliente riconosce e accetta che Edgio mantiene un elenco dei suoi subprocessori tramite il seguente URL: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“siti dei subprocessori”). Almeno trenta (30) giorni prima che Edgio consenta a un nuovo subprocessore di iniziare a trattare i dati personali del cliente, Edgio informerà il cliente di tale nuovo subprocessore aggiungendo tale nuovo subprocessore al sito del subprocessore (“servizio di notifica”).

4,3 se il cliente ha una ragionevole obiezione all’uso da parte di Edgio di un nuovo subincaricato come notificato tramite il servizio di notifica, il cliente dovrà notificare tempestivamente per iscritto a Edgio qualsiasi obiezione entro dieci (10) giorni lavorativi dal ricevimento delle informazioni tramite il servizio di notifica. Nel caso in cui il cliente sollevi una ragionevole obiezione a un nuovo subprocessore, Edgio accetta di avviare discussioni in buona fede con il cliente per rispondere all’obiezione del cliente. Qualora il cliente non sollevi tempestivamente obiezioni nei confronti di un subprocessore nuovo o sostitutivo in conformità alla presente sezione 4,3, si riterrà che il cliente abbia acconsentito a tale subprocessore e rinunci al suo diritto di opporsi a tale subprocessore. Edgio può utilizzare un nuovo subprocessore mentre è in corso la procedura di obiezione descritta nella presente sezione 4,3.

4,4 quando Edgio si avvale di subappaltatori ai sensi della sezione 4,1, lo farà mediante un accordo scritto con il subappaltatore (“subappaltatore di trattamento”) che impone al subincaricato obblighi sostanzialmente equivalenti a quelli imposti a Edgio ai sensi della presente DPA. Edgio rimarrà responsabile nei confronti del cliente dell’adempimento degli obblighi dei subappaltatori ai sensi del subcontratto di trattamento.

5. Trasferimenti di dati

5,1 nella misura in cui il trattamento dei dati personali dei clienti da parte di Edgio avviene in un luogo al di fuori di un Paese adeguato, le parti concordano che le clausole contrattuali standard applicabili allegate alla presente DPA nell’allegato 2 (clausole contrattuali standard dell’UE) e nell’allegato 3 (appendice del Regno Unito) si applicherà in relazione al trasferimento di tali dati personali del cliente dal SEE, dalla Svizzera o dal Regno Unito a Edgio. Edgio, in qualità di responsabile del trattamento, adempirà agli obblighi dell’«importatore di dati» previsti dalle clausole contrattuali tipo e il cliente, in qualità di titolare del trattamento, adempirà agli obblighi dell’«esportatore di dati».

5,2 alle clausole contrattuali tipo di cui all’allegato 2 e di cui all’allegato 3 si applicano le seguenti condizioni:

(A) il cliente può esercitare il proprio diritto di revisione ai sensi della clausola 8,9(c) delle clausole contrattuali standard, come stabilito nella e nel rispetto dei requisiti di cui alla sezione 7 (audit) della presente DPA.

(b) Edgio può nominare subprocessori come stabilito e nel rispetto dei requisiti della sezione 4 (subtrattamento) della presente legge sulla protezione dei dati.

5,3 in deroga a quanto diversamente indicato nella presente sezione 5, le clausole contrattuali standard non si applicano nella misura in cui il cliente abbia adottato uno standard di conformità riconosciuto alternativo per il trasferimento legittimo dei dati personali del cliente al di fuori di un Paese adeguato.

6. Notifica di violazione dei dati

6,1 Edgio informerà il cliente senza indebito ritardo non appena viene a conoscenza del fatto che si è verificato un evento di sicurezza effettivo, nella misura in cui Edgio stabilisce, a sua esclusiva discrezione, che tale evento di sicurezza compromette la sicurezza e/o la riservatezza dei dati personali del cliente (una “violazione dei dati”). Nel caso in cui Edgio subisca una violazione dei dati, previa comunicazione al cliente, le parti collaboreranno in buona fede per concordare e adottare le misure necessarie per attenuare o porre rimedio agli effetti della violazione dei dati. La notifica o la risposta di Edgio a una violazione dei dati ai sensi della presente sezione 6 (notifica di violazione dei dati) non deve essere interpretata come un riconoscimento da parte di Edgio di qualsiasi colpa o responsabilità in relazione alla violazione dei dati.

6,2 in caso di violazione dei dati, il cliente ha la piena autorità e responsabilità di determinare se notificare le persone interessate e le altre parti come richiesto dalla legge applicabile, nonché le modalità e i tempi della notifica.

7) audit

7,1 il cliente accetta che il suo diritto di revisione ai sensi delle leggi europee sulla protezione dei dati in relazione ai dati personali del cliente sia esercitato per la prima volta attraverso una richiesta che Edgio fornisca: A) al cliente una copia sommaria della relazione o delle relazioni di audit di Edgio relative alle misure tecniche e organizzative di Edgio di cui alla sezione 2,2, lettera c) (misure di sicurezza di Edgio), le cui relazioni sono soggette alle disposizioni in materia di riservatezza dell’accordo; e quali relazioni devono dimostrare che le misure tecniche e organizzative di Edgio sono sufficienti e conformi a una norma di audit del settore accettata; e b) informazioni supplementari in possesso o sotto il controllo di Edgio a un’autorità di controllo competente quando quest’ultima richiede o richiede informazioni supplementari in relazione al trattamento dei dati personali effettuato da Edgio ai sensi della presente legge del trattamento dei dati personali.

7,2 dopo che il cliente ha ricevuto la relazione di verifica ai sensi della sezione 7,1, e nel rispetto dei termini di cui alla sezione 7,3, il cliente o un revisore esterno indipendente incaricato dal cliente può effettuare una ragionevole ispezione dell’ambiente di trattamento di Edgio che sia rilevante per il trattamento dei dati personali del cliente al fine di verificare la conformità di Edgio agli obblighi previsti dalla presente DPA.

7,3 in caso di audit ai sensi della precedente sezione 7,2,

(A) Edgio, conformemente alle leggi europee sulla protezione dei dati, mette a disposizione del cliente le informazioni in possesso o sotto il controllo di Edgio che il cliente può ragionevolmente richiedere, per dimostrare il rispetto da parte di Edgio degli obblighi derivanti dalla presente legge sulla protezione dei dati. Il cliente non può esercitare i propri diritti di audit più di una volta in un periodo di dodici (12) mesi di calendario. L’audit sarà limitato ai giorni lavorativi (durante il normale orario lavorativo, escluse le festività federali degli Stati Uniti) e all’ambito ragionevolmente concordato in anticipo dalle parti. Il cliente deve informare Edgio di un audit con almeno trenta (30) giorni di anticipo e adottare tutte le misure ragionevoli per evitare inutili interruzioni delle attività di Edgio. Il cliente è tenuto a sostenere tutti i costi e le spese connessi a tale verifica.

(b) Edgio può opporsi a qualsiasi revisore terzo nominato dal cliente per condurre qualsiasi revisione ai sensi della sezione 7,2 se, secondo ragionevole parere di Edgio, il revisore non è adeguatamente qualificato o indipendente, un concorrente di Edgio o è altrimenti manifestamente inadatto. Qualsiasi obiezione di questo tipo da parte di Edgio richiederà al cliente di nominare un altro revisore o di condurre la verifica stessa.

(c) nessuna disposizione della presente DPA richiederà a Edgio di rivelare al cliente o al suo revisore di terze parti o di consentire al cliente o al suo revisore di terze parti di accedere a:

(i) dati di altri clienti di Edgio o di un’affiliata Edgio;

(ii) qualsiasi informazione contabile o finanziaria interna dell’affiliato Edgio o Edgio;

(iii) qualsiasi segreto commerciale di Edgio o di un’affiliata Edgio;

iv) qualsiasi informazione che, secondo il ragionevole parere di Edgio, possa (1) compromettere la sicurezza dei sistemi o dei locali di Edgio o di Edgio affiliate; oppure (2) indurre Edgio o qualsiasi affiliato Edgio a violare i propri obblighi ai sensi delle leggi applicabili in materia di protezione dei dati o i propri obblighi di sicurezza e/o privacy nei confronti del cliente o di terze parti; oppure

(v) qualsiasi informazione a cui il cliente o il suo revisore terzo cerchi di accedere per qualsiasi motivo diverso dall’adempimento in buona fede degli obblighi del cliente ai sensi delle leggi sulla protezione dei dati applicabili.

(d) il cliente manleverà, difenderà e manterrà indenne Edgio da tutti i costi e le rivendicazioni asserite da terzi, reali o presunte, derivanti dalla divulgazione dei dati personali al cliente o in relazione a tale verifica. Tenendo conto della natura dei servizi e del trattamento, il cliente riconosce che Edgio non è in grado di identificare le persone sulla base delle informazioni sull’utente finale richieste al cliente affinché Edgio fornisca i servizi (ad esempio, e l’indirizzo IP dell’utente finale).

8) disposizioni generali

8,1 beneficiari terzi. Fatti salvi i diritti concessi ai sensi delle clausole contrattuali tipo, la presente legge del trattamento dei dati non conferisce diritti a terzi beneficiari.

8,2 non divulgazione. Il cliente accetta che i dettagli del presente DPA non sono noti pubblicamente e costituiscono informazioni riservate di Edgio come definito nel Contratto.

8,3 sopravvivenza. La presente DPA rimarrà pienamente in vigore ed efficace durante il periodo di validità applicabile del Contratto e, nonostante qualsiasi disposizione contraria, sopravviverà alla risoluzione o alla scadenza del Contratto. Alla risoluzione o alla scadenza del Contratto, Edgio può continuare a trattare i dati personali del cliente, a condizione che tale trattamento sia conforme ai requisiti della presente DPA e alle leggi applicabili in materia di protezione dei dati.

8,4 intero accordo, conflitto. Il presente DPA sostituisce e sostituisce tutte le precedenti dichiarazioni, intese, accordi o comunicazioni tra Edgio e il cliente, scritte o verbali, relative al trattamento dei dati personali del cliente. Fatta eccezione per le modifiche apportate alla presente legge sulla protezione dei dati, l’accordo rimane pienamente in vigore ed ha effetto. In caso di conflitto tra i termini della presente DPA e del Contratto, i termini della presente DPA prevarranno nella misura in cui l’oggetto riguarda il trattamento dei dati personali del cliente.

8,5 Modifica, rinuncia. La presente legge sulla protezione dei dati può essere modificata solo per iscritto e firmata da entrambe le parti. Nessun mancato o ritardo da parte di una parte nell’esercizio o nell’applicazione di qualsiasi diritto in esso contenuto costituirà una rinuncia a tale diritto.

PART A

Parti del titolare delle clausole contrattuali Standard del processore

Esportatore di dati:

Nome: In base all’ordine di assistenza.

Indirizzo: In base all’ordine di assistenza.

Nome, posizione e dati di contatto della persona di contatto: In base all’ordine di servizio.

Attività relative ai dati trasferiti ai sensi delle presenti clausole: si rimanda alle attività descritte di seguito per l’importatore di dati.

Ruolo: Controller

Importatore di dati:

Nome: Edgio, Inc

Indirizzo: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028

Nome, posizione e recapiti della persona di contatto: Rich Diegnan, Rich Diegnan, RPD, rdiegnan@edg.io

Attività relative ai dati trasferiti ai sensi delle presenti clausole: Edgio Inc. Fornisce servizi di rete per la distribuzione dei contenuti, streaming video e servizi di sicurezza correlati ai clienti di media digitali attraverso una serie di punti di presenza a livello mondiale.

Ruolo: processore

PART B

Oggetto

Trattamento effettuato in connessione con la fornitura dei servizi, che includono accelerazione del sito Web, WAF, download del software tramite la rete Edgio e Advanced Bot Service.

Duration

Dalla Data di entrata in vigore fino alla risoluzione del Contratto.

Categorie di interessati i cui dati personali sono trasferiti.

Utenti finali del cliente, dipendenti aziendali del cliente

Natura del trattamento

Dalla Data di entrata in vigore fino alla risoluzione del Contratto.

Categorie di dati personali trasferiti:

Categoria

Dati

Selezionare secondo necessità

Dati personali degli utenti finali nei contenuti del cliente e dati personali nei dati registrati

I dati personali contenuti nel contenuto del cliente, se presenti, vengono scelti dal cliente. Per quanto riguarda tali dati, il trattamento, se del caso, di tali dati è limitato al ruolo di Edgio quale canale per tali dati. Al fine di fornire i servizi, Edgio può elaborare e conservare determinati dati registrati, il che comporta la memorizzazione a breve termine degli indirizzi IP degli utenti finali dell’esportatore di dati.

X

Dati sensibili trattati (se del caso) e restrizioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, quali ad esempio la rigorosa limitazione delle finalità, le restrizioni di accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro dell’accesso ai dati, restrizioni per i trasferimenti successivi o ulteriori misure di sicurezza.

Categoria speciale
Dati

Nessuno

Nature of the processing

Edgio elabora i dati personali del cliente per fornire servizi di distribuzione dei contenuti e di sicurezza come canale dei dati personali del cliente che il cliente o i suoi utenti finali inseriscono nel servizio. Edgio elabora i dati registrati allo scopo di fornire i servizi. I dati registrati vengono trasferiti negli Stati Uniti per scopi di fatturazione, ecc. e memorizzati a breve termine.

Frequenza del trasferimento (ad esempio, se i dati sono trasferiti su base una tantum o continua)

Il trasferimento avverrà su base continuativa.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Lo scopo del trasferimento dei dati e dell’ulteriore trattamento è consentire a Edgio di fornire i servizi previsti dal Contratto, nella misura necessaria.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Lo scopo del trasferimento dei dati e dell’ulteriore trattamento è consentire a Edgio di fornire i servizi previsti dal Contratto, nella misura necessaria.

Per i trasferimenti a (sub-) trasformatori, specificare anche l’oggetto, la natura e la durata del trattamento

A seconda della configurazione dei servizi da parte del cliente, i dettagli dei subprocessori applicabili includono quelli forniti ai seguenti link:

https://view.highspot.com/viewer/
616088e19bf7c594a544f64

Autorità di vigilanza competente

Clausole contrattuali standard dell’UE: L’autorità di controllo incaricata di garantire il rispetto del GDPR da parte dell’esportatore dei dati per quanto riguarda il trasferimento dei dati agisce in qualità di autorità di controllo competente.

Addendum del Regno Unito alle clausole contrattuali tipo dell’UE (se del caso): Se l’esportatore di dati è stabilito nel Regno Unito o rientra nell’ambito di applicazione territoriale delle leggi e dei regolamenti del Regno Unito in materia di protezione dei dati, l’Ufficio dell’Information Commissioner funge da autorità di controllo competente.

Parte C

Misure tecniche organizzative degli annunci

POLITICA DI SICUREZZA DELLE INFORMAZIONI EDGIO

Politica di sicurezza delle informazioni. Edgio mantiene una politica di sicurezza delle informazioni formale e documentata, basata su vari standard di sicurezza riconosciuti del settore, allineata al framework di sicurezza informatica NIST ed applicabile a tutti i dipendenti Edgio e agli utenti autorizzati delle risorse Edgio.

Squadre per la sicurezza delle informazioni. Edgio gestisce squadre di sicurezza delle informazioni per promuovere e assistere l’applicazione della politica e delle pratiche di sicurezza delle informazioni di Edgio.

CONFORMITÀ EDGIO AGLI STANDARD

Sicurezza del prodotto. I servizi applicabili sono progettati e implementati con controlli tecnici, logici e fisici adeguati alle esigenze aziendali e di sicurezza di Edgio e dei suoi clienti. Per i servizi aziendali applicabili, Edgio certifica annualmente i controlli applicabili al servizio in base a uno o più dei seguenti standard, linee guida e pratiche:

PCI (PCI-DSS)

ISO 27001

SSAE-18 SOC 1, 2 o 3

Condivisione certificati. Ove e quando disponibile, Edgio fornirà un certificato per ogni acquisto del cliente dell’assistenza, su ragionevole richiesta del cliente.

Protezione dei certificati Edgio. I certificati forniti a un cliente sono considerati informazioni riservate.

CONTROLLI

Edgio Controls. Edgio protegge le proprie reti utilizzando procedure, procedure e strumenti di sicurezza riconosciuti dal settore, specificamente adattati al panorama delle minacce e all’ambiente aziendale di Edgio.

Sicurezza hardware di terze parti. Edgio modifica le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza.

Test periodici di sistema e sicurezza. Edgio testa regolarmente i sistemi e i processi utilizzati per la sicurezza della rete per massimizzare la capacità operativa.

Ciclo di sviluppo software sicuro. Edgio sviluppa e gestisce sistemi progettati per proteggere i dati personali dei clienti tramite valutazioni dei rischi legati alla privacy e alla cibersicurezza e, ove appropriato, utilizza l’automazione nel ciclo di vita dello sviluppo per applicare i controlli, tra le altre pratiche.

Gestione dei dispositivi mobili. I dispositivi emessi dall’azienda Edgio, come i portatili standard e i telefoni cellulari, sono gestiti da persone identificabili che sono responsabili e responsabili della protezione del dispositivo, nonché della sicurezza dei dati elaborati da tali dispositivi. Le risorse Edgio devono essere fisicamente bloccate o protette in modo comparabile quando si viaggia, si trasportano o si utilizzano attrezzature in ambienti fisici non Edgio.

Monitoraggio della rete. Edgio utilizza strumenti e procedure di monitoraggio della rete progettati per identificare attività non autorizzate sulle reti Edgio.

GESTIONE DEI RISCHI DELLA CATENA DI APPROVVIGIONAMENTO

Controlli dei contratti. Edgio utilizza misure contrattuali per imporre a Edgios di terzi la conformità ai requisiti di sicurezza delle informazioni appropriati, come gli standard di sicurezza delle informazioni di Edgio, un codice di condotta dei fornitori e altre politiche di gestione dei rischi.

Gestione del rischio edgio. Edgio ha stabilito governance, processi e strumenti che vengono utilizzati in tutta l’azienda Edgio per gestire i rischi di terze parti. Il programma richiede ai fornitori di soddisfare o superare i requisiti di sicurezza basati sulle politiche aziendali di sicurezza delle informazioni e sulle BEST practice del settore di Edgio. Tali strumenti e pratiche possono includere che il fornitore completi un questionario, fornisca prove di controllo e valutazioni a distanza o in loco. Il programma scopre i problemi con i fornitori e lavora per risolverli in modo tempestivo.

CONTROLLI DI ACCESSO

Gestione degli accessi

Controlli di accesso logico. Edgio gestisce policy di controllo degli accessi logici in modo che solo il personale autorizzato possa accedere alle applicazioni e ai sistemi aziendali critici in base ai requisiti di posizione e lavoro.

ID utente univoci. Edgio assegna a ciascun utente autorizzato un ID utente univoco per la responsabilità delle azioni.

Accedere alle revisioni. Edgio utilizza le revisioni delle autorizzazioni e i processi di modifica dei ruoli per avvisare gli amministratori della necessità di modificare e/o revocare i diritti di accesso quando un utente autorizzato non richiede più l’accesso.

Registrazione attività. La politica di Edgio richiede la registrazione e il monitoraggio dell’accesso alle reti e ai beni di Edgio.

Strumenti di protezione. Gli strumenti basati su hardware e software sono stati implementati in tutta la rete Edgio per fornire avvisi in tempo reale da dispositivi quali firewall, sistemi di rilevamento delle intrusioni, router e switch.

Registri eventi. Per generare i registri degli eventi è necessario configurare le risorse di analisi Edgio critiche. I registri eventi vengono conservati in conformità ai requisiti normativi e di conservazione dei dati.

Principio del privilegio minimo. Edgio utilizzerà generalmente il principio del privilegio minimo per gestire l’accesso per ciascuno dei suoi sistemi. L’accesso privilegiato per le funzioni di rete, sistema o applicazione di produzione sarà generalmente controllato e limitato al numero di persone che è possibile dal punto di vista operativo ed è autorizzato in base alla “necessità di sapere” o “evento per evento”.

Autenticazione a più fattori per l’accesso remoto. La politica di Edgio richiede l’uso dell’autenticazione a più fattori per proteggere l’accesso remoto alla rete di Edgio e alle risorse di Edgio.

Verifica identità. La politica di controllo degli accessi di Edgio prevede che le credenziali di accesso degli utenti autorizzati identifichino in modo univoco una persona, un sistema o un servizio e siano salvaguardate. L’accesso concesso da tali credenziali di accesso utente autorizzato deve essere rivisto periodicamente per verificare che sia ancora necessario.

De-provisioning. L’accesso deve essere deprovisioning o rimosso quando non è più necessario (ad es. Cambio di ruolo) o in caso di cessazione.

SICUREZZA FISICA

Controlli fisici. Edgio utilizza i controlli per limitare l’accesso fisico alle strutture che ospitano i sistemi Edgio al personale autorizzato.

Gestione degli accessi fisici. A seconda del tipo di struttura, l’accesso può essere consentito da lettori di schede elettroniche, chiavi, guardie di sicurezza o personale aziendale locale.

Sorveglianza. Le telecamere CCTV vengono implementate in posizioni strategiche per proteggere il personale, le operazioni e la proprietà.

Gestione dei visitatori. La politica Edgio richiede ai visitatori di avere e mostrare sempre i badge dei visitatori emessi da Edgio. Edgio richiede ai visitatori di registrarsi sul registro di un visitatore prima di ricevere un badge per i visitatori. Il personale di Edgio è tenuto a indossare sempre un badge identificativo rilasciato dall’azienda mentre si trova nei locali di Edgio.

Sicurezza del data center. Edgio richiede controlli di sicurezza fisici per ogni sala computer, data center e strutture simili.

FORMAZIONE SULLA SICUREZZA DELLE INFORMAZIONI PER DIPENDENTI E APPALTATORI

Formazione annuale sulla sensibilizzazione alla sicurezza delle informazioni. Edgio richiede ai dipendenti e agli appaltatori di Edgio di completare ogni anno una formazione sulla sicurezza delle informazioni e sulla sicurezza informatica per informarli del loro ruolo nella sicurezza delle informazioni.

TEST DI PENETRAZIONE

Il test per l’uso interno della penetrazione di Edgio. Edgio esegue test di penetrazione sugli ambienti interni ed esterni di Edgio, in base al rischio.

Restrizioni sui test di penetrazione. A causa dei problemi di sicurezza posti a Edgio e ai suoi clienti, Edgio non consente ai clienti di verificare lo stato di protezione dei dispositivi di rete di cui Edgio è proprietario, che opera o che si trovano in un data center Edgio. Inoltre, Edgio non consente attacchi di tipo Denial of Service, flooding o attività di test simili che implichino un consumo significativo della larghezza di banda della rete.

FIREWALL E SEGMENTAZIONE DELLA RETE

Firewall e strumenti di sicurezza. Edgio utilizza strumenti basati su hardware e software (come i firewall) in tutta la rete Edgio per fornire avvisi in tempo reale da dispositivi quali sistemi di rilevamento delle intrusioni, router e switch.

Architettura di rete e di sistema. Edgio utilizza procedure di architettura di sistema, software e rete per ridurre i rischi informatici.

BACK-UPS (non applicabile ai contenuti del cliente)

Criteri di backup. Edgio gestisce formalmente le politiche e le procedure di backup dei dati, ove appropriato. I backup dei dati vengono gestiti e presi in considerazione durante il completamento delle attività di mappatura, conservazione o eliminazione dei dati.

Backup e test dei file critici. Gli amministratori devono eseguire regolarmente backup di file critici e adottare le precauzioni appropriate per proteggere le informazioni da compromessi, perdite o danni. Inoltre, gli amministratori devono eseguire test periodici delle procedure di ripristino di backup/ripristino di emergenza.

CONSERVAZIONE E DISTRUZIONE DEI DATI (non applicabile ai contenuti dei clienti)

Criterio di conservazione dei dati. La politica Edgio richiede la gestione e la protezione dei dati in modo sistematico e strutturato durante l’intero ciclo di vita dei dati, dalla creazione, trasmissione, archiviazione, modifica, conservazione e distruzione.

Specifico del sistema. Edgio gestisce la conservazione dei dati mediante l’uso di riepiloghi di conservazione dei dati specifici del sistema. Un riepilogo della conservazione dei dati registra quali tipi di dati contiene il sistema, lo scopo della raccolta e dell’uso di ciascun tipo di dati, gli eventi che hanno generato la distruzione e il periodo di tempo in cui i dati devono essere conservati. Questi riepiloghi sulla conservazione dei dati sono necessari per rispettare il programma di conservazione dei dati a livello aziendale di Edgio e le leggi, i regolamenti e i requisiti dei clienti applicabili.

Distruzione dei dati. Le pratiche di distruzione dei dati di Edgio sono in linea con il NIST 800-88, e comprendono i dati contenuti su documenti magnetici, allo stato solido, ottici e cartacei riservati.

RISPOSTA AGLI INCIDENTI/VIOLAZIONE DEI DATI

Programma

Piano di risposta agli incidenti. Edgio gestisce un piano di risposta agli incidenti scritto e attuabile per consentire a Edgio di reagire tempestivamente alle violazioni dei dati.

Test del piano di risposta. Il piano di risposta agli incidenti di Edgio viene testato mediante esercizi da tavolo per coordinare e verificare le procedure documentate.

Risposta agli incidenti e mitigazione

Revisioni degli eventi di sicurezza. I dati degli eventi di sicurezza vengono rivisti e analizzati su base programmata. Gli eventi di sicurezza devono essere tempestivamente segnalati quando vengono superate le soglie degli eventi prestabilite e a cui viene data risposta in conformità con un processo di gestione degli incidenti definito.

RISORSE UMANE

Sistemi HR; deprovisioning. I protocolli e le procedure di sicurezza delle informazioni di Edgio devono essere incorporati in tutti i sistemi e processi di Edgio Human Resource. Il reparto risorse umane (“HR”) e il reparto IT di Edgio dispongono di procedure automatizzate e verificabili per la creazione degli account, le autorizzazioni dei ruoli e il deprovisioning degli accessi che coprono una richiesta di un nuovo dipendente, un cambiamento di ruolo o la cessazione di un dipendente.

Controlli dei precedenti. Nel rispetto della legge applicabile, HR completa un’indagine completa sui precedenti pre-assunzione dei dipendenti Edgio al momento dell’assunzione, che include controlli relativi a precedenti penali, SSN, autorizzazione al lavoro e elenco delle parti vietate (ad esempio, Office of Foreign Assets Control).

Codice di condotta edgio. Il codice di condotta Edgio richiede che i dipendenti Edgio rispettino le politiche e le procedure di sicurezza delle informazioni di Edgio.

PROGRAMMA DI GESTIONE DELLE VULNERABILITÀ

Mitigazione dei rischi di vulnerabilità. Il programma di gestione delle vulnerabilità di Edgio è concepito per implementare e mantenere pratiche e procedure per mitigare il rischio di vulnerabilità nell’ambiente aziendale di Edgio.

Processo di gestione delle patch. Per mantenere un elevato livello di funzionalità e sicurezza delle reti e dei sistemi ospitati, Edgio dispone di un consolidato processo di gestione delle patch per l’hardware e il software di produzione installati sulla rete Edgio. Le patch di sicurezza dei fornitori vengono inizialmente valutate per determinare il rischio e la priorità di distribuzione. Una volta che una patch ha superato le procedure di test corrette, viene rilasciata per la pianificazione della distribuzione in produzione.

Modifiche significative del sistema. Edgio pianifica, monitora, controlla e tiene traccia delle modifiche significative delle risorse Edgio.

Scansioni di vulnerabilità. Edgio esegue periodicamente scansioni di vulnerabilità interne ed esterne. I proprietari dei sistemi possono pianificare in tempo reale le scansioni dei sistemi per le vulnerabilità, in base alle necessità, per adattarsi ai vettori di minaccia in continua evoluzione.

Restrizioni sulla scansione da parte del cliente. Data la possibilità di interrompere i sistemi Edgio e di creare rischi per la sicurezza per Edgio e i suoi clienti, Edgio non consente ai clienti (o a terzi) di testare o eseguire la scansione delle risorse Edgio.

Restrizioni sulla condivisione dei report. “Edgio non fornisce rapporti sulle vulnerabilità né risponde a domande specifiche sulle vulnerabilità comuni ed esposizioni (“CVE”) relative all’uso e/o al non utilizzo di hardware, software o prodotti di terze parti specifici distribuiti nell’infrastruttura Edgio.”

CONTINUITÀ OPERATIVA E GESTIONE DEGLI EVENTI (“BCEM”)

Protocolli per la continuità operativa. Edgio mantiene la continuità operativa e i protocolli di disaster recovery progettati per migliorare la capacità di Edgio di rispondere a eventi significativi che potrebbero disturbare le reti e le strutture di Edgio o compromettere in altro modo la capacità di fornire servizi.

Valutazione del rischio di catastrofe. Le pratiche di business continuity e disaster recovery di Edgio identificano i potenziali rischi di recupero per gli asset di Edgio e implementano misure volte a ridurre al minimo e mitigare tali rischi utilizzando pratiche accettate dal settore.

Risorse dedicate al team. Edgio sviluppa e implementa strategie progettate per ridurre al minimo i rischi di recupero e convalidare le capacità di risposta di Edgio attraverso una pianificazione rigorosa standardizzata e test periodici.

ALLEGATO 2: CLAUSOLE CONTRATTUALI TIPO DA UTILIZZARE NEI TRASFERIMENTI DALL’UE

(Da controller a processori)

DECISIONE DI ESECUZIONE (UE) 2021/914 DELLA COMMISSIONE, del 4 giugno 2021, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (trasferimenti dal titolare del trattamento al responsabile del trattamento).

Tra il cliente di seguito “esportatore di dati” e Edgio, Inc. Di seguito “importatore di dati”, ciascuna una “parte”; congiuntamente “le parti”,

In CONSIDERAZIONE dei reciproci accordi e delle promesse qui contenute

HANNO CONVENUTO le seguenti clausole contrattuali («clausole») al fine di assicurare garanzie adeguate in materia di tutela della vita privata e dei diritti e delle libertà fondamentali delle persone fisiche per il trasferimento, da parte dell’esportatore di dati all’importatore dei dati personali di cui all’allegato 1.

SEZIONE I

Clausola 1

Scopo e ambito di applicazione

A) lo scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) per il trasferimento di dati a un paese terzo.

b) le parti:

i) la o le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri organismi (di seguito «entità») che trasferiscono i dati personali, elencati nell’allegato I.A (di seguito «esportatore di dati»), e

ii) l’entità o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A (di seguito «importatore di dati»)

Hanno accettato le presenti clausole contrattuali tipo («clausole»).

c) le presenti clausole si applicano al trasferimento dei dati personali di cui all’allegato I. B.

d) l’appendice delle presenti clausole, contenente gli allegati ivi menzionati, costituisce parte integrante delle presenti clausole.

Clausola 2

Effetto e invariabilità delle clausole

A) le presenti clausole stabiliscono garanzie adeguate, compresi i diritti applicabili degli interessati e i mezzi di ricorso effettivi, a norma dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai titolari del trattamento ai responsabili del trattamento e/o ai responsabili del trattamento, clausole contrattuali tipo a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, purché non siano in contraddizione, direttamente o indirettamente, con tali clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

b) le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore di dati in virtù del regolamento (UE) 2016/679.

Clausola 3

Beneficiari terzi

(A) gli interessati possono invocare e applicare le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore di dati, con le seguenti eccezioni:

i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;

(ii) clausola 8 – modulo 2: Clausola 8,1(b), 8,9(a), (c), (d) ed (e);

iii) clausola 9 – modulo 2: Articolo 9, lettera a), c), (d) e. e);

iv) clausola 12 – moduli due: Articolo 12, lettere a), d) e f);

v) clausola 13;

vi) clausola 15.1, lettere c), d) ed e);

vii) clausola 16, lettera e);

(viii) clausola 18 – modulo 2: Articolo 18, lettere a) e b).

b) paragrafo A) non pregiudica i diritti degli interessati a norma del regolamento (UE) 2016/679.

Clausola 4

Interpretazione

A) qualora le presenti clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di tale regolamento.

b) le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.

c) le presenti clausole non devono essere interpretate in modo da essere in conflitto con i diritti e gli obblighi previsti dal regolamento (UE) 2016/679.

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti clausole e le disposizioni dei relativi accordi conclusi tra le parti, esistenti al momento della loro approvazione o della loro successiva conclusione, tali clausole prevalgono.

Clausola 6

Descrizione dei trasferimenti

I dettagli del trasferimento o dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti, sono specificati nell’allegato I.B.

Clausola 7

Clausola di aggancio

DELIBERATAMENTE VUOTO.

SEZIONE II — OBBLIGHI DELLE PARTI

Clausola 8

Garanzie di protezione dei dati

L’esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per stabilire che l’importatore di dati è in grado, attraverso l’attuazione di misure tecniche e organizzative adeguate, di adempiere agli obblighi che gli incombono in virtù delle presenti clausole.

8,1 istruzioni

A) l’importatore tratta i dati personali solo su istruzioni documentate dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.

b) l’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.

8,2 limitazione dello scopo

L’importatore tratta i dati personali solo per le finalità specifiche del trasferimento, come indicato nell’allegato I.B, salvo ulteriori istruzioni dell’esportatore.

8,3 trasparenza

Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può modificare parte del testo dell’appendice delle presenti clausole prima di condividerne una copia, ma fornisce una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti forniscono all’interessato i motivi delle modifiche, nella misura del possibile, senza rivelare le informazioni modificate. La presente clausola lascia impregiudicati gli obblighi dell’esportatore di dati a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.

8,4 precisione

Se l’importatore viene a conoscenza che i dati personali ricevuti sono inesatti o sono diventati obsoleti, ne informa senza indebito ritardo l’esportatore. In tal caso, l’importatore collabora con l’esportatore per cancellare o rettificare i dati.

8,5 durata del trattamento e della cancellazione o della restituzione dei dati

Il trattamento da parte dell’importatore è effettuato solo per la durata specificata nell’allegato I.B. dopo la fine della prestazione dei servizi di trattamento, l’importatore, a scelta dell’esportatore, cancellare tutti i dati personali trattati per conto dell’esportatore e certificare all’esportatore di dati che lo ha fatto, o restituire all’esportatore tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino alla cancellazione o alla restituzione dei dati, l’importatore continua a garantire il rispetto delle presenti clausole. Nel caso di leggi locali applicabili all’importatore che vietano la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà a garantire la conformità alle presenti clausole e le elaborerà solo nei limiti e per il tempo richiesti dalla legge locale. Ciò non pregiudica la clausola 14, in particolare l’obbligo per l’importatore di dati di cui alla clausola 14, lettera e), di notificare all’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia divenuto soggetto a leggi o pratiche non conformi ai requisiti di cui alla clausola 14, lettera a).

8,6 sicurezza dell’elaborazione

A) l’importatore dei dati e, durante la trasmissione, l’esportatore attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzati a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi connessi al trattamento per gli interessati. In particolare, le parti valutano la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora lo scopo del trattamento possa essere adempiuto in tal modo. In caso di pseudonimizzazione, le informazioni supplementari per l’attribuzione dei dati personali a una specifica persona interessata restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempimento degli obblighi di cui al presente paragrafo, l’importatore applica almeno le misure tecniche e organizzative specificate nell’allegato II L’importatore effettua controlli periodici per garantire che tali misure continuino a garantire un livello di sicurezza adeguato.

b) l’importatore concede l’accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l’esecuzione, la gestione e il controllo del contratto. Essa garantisce che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza per legge.

c) in caso di violazione dei dati personali relativi ai dati personali trattati dall’importatore ai sensi delle presenti clausole, l’importatore adotta le misure appropriate per ovviare alla violazione, comprese misure per attenuarne gli effetti negativi. L’importatore informa inoltre l’esportatore senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto in cui è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, se possibile, categorie e numero approssimativo di interessati e di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, misure per attenuarne i possibili effetti negativi. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento e, non appena disponibili, ulteriori informazioni sono fornite immediatamente.

d) l’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di notificare all’autorità di controllo competente e agli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’importatore.

8,7 dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito «dati sensibili»), l’importatore applica le restrizioni specifiche e/o le garanzie supplementari descritte nell’allegato I.B.

8,8 trasferimenti successivi

L’importatore comunica i dati personali a terzi solo su istruzioni documentate dell’esportatore. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell’Unione europea (nello stesso paese dell’importatore di dati o in un altro paese terzo, di seguito «trasferimento successivo») solo se il terzo è vincolato o accetta di essere vincolato dalle presenti clausole, ai sensi del modulo appropriato, o se:

i) il trasferimento successivo sia verso un paese che beneficia di una decisione di adeguatezza a norma dell’articolo 45 del regolamento (UE) 2016/679 che riguarda il trasferimento successivo;

ii) il terzo assicuri altrimenti garanzie adeguate a norma degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;

iii) il trasferimento successivo sia necessario per l’accertamento, l’esercizio o la difesa di crediti giudiziari nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

iv) il trasferimento successivo è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica.

Qualsiasi trasferimento successivo è subordinato al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

8,9 documentazione e conformità

A) l’importatore si occupa tempestivamente e in modo adeguato delle richieste dell’esportatore relative al trattamento di cui alle presenti clausole.

b) le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva la documentazione adeguata sulle attività di trattamento svolte per conto dell’esportatore.

c) l’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e su richiesta dell’esportatore, consentire e contribuire agli audit delle attività di trattamento di cui alle presenti clausole; a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere in merito a un riesame o a un audit, l’esportatore di dati può tener conto delle pertinenti certificazioni detenute dall’importatore di dati.

d) l’esportatore di dati può scegliere di condurre l’audit da solo o di affidare un revisore indipendente. Gli audit possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore di dati e, se del caso, sono effettuati con ragionevole preavviso.

E) le parti comunicano le informazioni di cui ai paragrafi (b) e. c), compresi i risultati di eventuali audit, a disposizione dell’autorità di controllo competente su richiesta.

Clausola 9

Utilizzo di subprocessori

A) l’importatore di dati dispone dell’autorizzazione generale dell’esportatore per l’assunzione di uno o più subresponsabili da un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di dati di qualsiasi modifica prevista di tale elenco mediante l’aggiunta o la sostituzione di subprocessori con almeno trenta (30) giorni di anticipo, in tal modo, l’esportatore ha il tempo sufficiente per poter opporsi a tali modifiche prima dell’assunzione del o dei subresponsabili del trattamento. L’importatore fornisce all’esportatore le informazioni necessarie per consentirgli di esercitare il suo diritto di opposizione.

b) quando l’importatore di dati incarica un subincaricato di svolgere specifiche attività di trattamento (per conto dell’esportatore), lo fa mediante un contratto scritto che prevede, in sostanza, gli stessi obblighi in materia di protezione dei dati di quelli che vincolano l’importatore in virtù delle presenti clausole; anche in termini di diritti dei beneficiari terzi per gli interessati. Le parti convengono che, rispettando la presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8,8. L’importatore garantisce che il subincaricato rispetti gli obblighi cui è soggetto l’importatore in virtù delle presenti clausole.

c) l’importatore fornisce all’esportatore, su richiesta dell’esportatore, una copia di tale accordo di subincaricato e di ogni successiva modifica. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può modificare il testo dell’accordo prima di condividerne una copia.

d) l’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del subincaricato in virtù del contratto stipulato con l’importatore. L’importatore notifica all’esportatore di dati l’eventuale inadempimento del subresponsabile del trattamento degli obblighi che gli incombono ai sensi di tale contratto.

E) l’importatore di dati concorda con il subincaricato una clausola del terzo beneficiario secondo la quale, nel caso in cui l’importatore di dati sia scomparso di fatto, cessato di esistere per legge o divenuto insolvente – l’esportatore ha il diritto di risolvere il contratto di subincaricato e di incaricare il subincaricato di cancellare o restituire i dati personali.

Clausola 10

Diritti dell’interessato

a) L’importatore notifica tempestivamente all’esportatore di dati qualsiasi richiesta ricevuta da un interessato. Essa risponde direttamente a tale richiesta solo se è stata autorizzata a farlo dall’esportatore.

b) l’importatore assiste l’esportatore nell’adempimento dei suoi obblighi di rispondere alle richieste degli interessati di esercitare i loro diritti a norma del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell’allegato II le opportune misure tecniche e organizzative, tenendo conto della natura del trattamento, mediante il quale viene fornita l’assistenza, nonché della portata e della portata dell’assistenza richiesta.

c) nell’adempimento degli obblighi di cui ai paragrafi (a) e. b) l’importatore si conforma alle istruzioni impartite dall’esportatore.

Clausola 11

Riparazione

A) l’importatore informa gli interessati, in un formato trasparente e facilmente accessibile, mediante una comunicazione individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Essa tratta senza indugio i reclami che riceve da un interessato.

b) in caso di controversia tra un interessato e una delle parti in merito al rispetto delle presenti clausole, la parte si adopera al massimo per risolvere la questione in modo amichevole e tempestivo. Le parti si tengono reciprocamente informate in merito a tali controversie e, se del caso, cooperano per risolverle.

c) se l’interessato fa valere il diritto di un terzo beneficiario ai sensi della clausola 3, l’importatore accetta la decisione dell’interessato:

i) presentare un reclamo all’autorità di controllo dello Stato membro di residenza abituale o di lavoro, o all’autorità di controllo competente ai sensi della clausola 13;

ii) deferire la controversia ai tribunali competenti ai sensi della clausola 18.

d) le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.

E) l’importatore si attiene a una decisione vincolante ai sensi del diritto applicabile dell’UE o dello Stato membro.

f) l’importatore conviene che la scelta effettuata dall’interessato non pregiudica i suoi diritti sostanziali e procedurali di proporre rimedi conformemente alle leggi applicabili.

Clausola 12

Responsabilità

(A) ciascuna parte è responsabile nei confronti dell’altra/e per qualsiasi danno che essa causi all’altra/e in seguito alla violazione delle presenti clausole.

b) l’importatore è responsabile nei confronti dell’interessato e l’interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale causato dall’importatore o dal suo subincaricato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.

(c) in deroga al paragrafo b) l’esportatore è responsabile nei confronti dell’interessato e l’interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale che l’esportatore o l’importatore di dati (o il suo subincaricato) causano all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò lascia impregiudicata la responsabilità dell’esportatore di dati e, se l’esportatore è un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.

d) le parti convengono che se l’esportatore è ritenuto responsabile ai sensi del paragrafo c) per i danni causati dall’importatore (o dal suo subincaricato), ha il diritto di chiedere all’importatore di dati la parte dell’indennizzo corrispondente alla responsabilità dell’importatore per il danno.

E) qualora più di una parte sia responsabile di qualsiasi danno causato all’interessato in seguito alla violazione delle presenti clausole; tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di adire un tribunale contro una di queste parti.

f) le parti convengono che se una parte è ritenuta responsabile ai sensi del paragrafo E) essa ha il diritto di chiedere all’altra parte o alle altre parti la parte del risarcimento corrispondente alla sua responsabilità per il danno.

G) l’importatore non può invocare il comportamento di un subincaricato per sottrarsi alla propria responsabilità.

Clausola 13

Supervisione

L’autorità di controllo incaricata di garantire il rispetto, da parte dell’esportatore, del regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, di cui all’allegato I.C, agisce in qualità di autorità di controllo competente.

b) l’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con essa in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle indagini, di sottoporsi a audit e di rispettare le misure adottate dall’autorità di controllo, comprese le misure correttive e compensative. Essa fornisce all’autorità di controllo la conferma scritta che sono state adottate le misure necessarie.

SEZIONE III – LEGGI E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Leggi e prassi locali che influiscono sulla conformità alle clausole

A) le parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l’accesso da parte delle autorità pubbliche, impedire all’importatore di dati di adempiere agli obblighi che gli incombono ai sensi delle presenti clausole. Ciò si basa sull’intesa che le leggi e le pratiche che rispettano l’essenza dei diritti e delle libertà fondamentali e non superano quanto è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non sono in contraddizione con queste clausole.

b) le parti dichiarano che, nel fornire la garanzia di cui al paragrafo a) hanno tenuto debitamente conto, in particolare, dei seguenti elementi:

i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trasformazione, il numero di soggetti interessati e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

ii) le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;

iii) eventuali garanzie contrattuali, tecniche o organizzative predisposte per integrare le garanzie previste dalle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

c) l’importatore giustifica che, nell’effettuare la valutazione di cui al paragrafo 1 b) si è adoperato al massimo per fornire all’esportatore le informazioni pertinenti e conviene che continuerà a collaborare con l’esportatore per garantire il rispetto delle presenti clausole.

d) le parti convengono di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.

E) l’importatore si impegna a informare tempestivamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere che sia o sia divenuto soggetto a leggi o prassi non conformi ai requisiti di cui alla lettera a); anche a seguito di una modifica della legislazione del paese terzo o di una misura (come una richiesta di informativa) che indichi un’applicazione pratica di tali leggi non conforme ai requisiti di cui alla lettera a).

f) a seguito di una notifica ai sensi della lettera e), o se l’esportatore ha motivo di ritenere che l’importatore non possa più adempiere agli obblighi che gli incombono in virtù delle presenti clausole, l’esportatore individua tempestivamente le misure appropriate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) da adottare dall’esportatore e/o dall’importatore di dati per far fronte alla situazione. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di controllo competente. In tal caso, l’esportatore ha il diritto di risolvere il contratto nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due parti, l’esportatore può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, salvo diverso accordo tra le parti. In caso di risoluzione del contratto ai sensi della presente clausola, si applica la clausola 16, lettere d) ed e).

Clausola 15

Obblighi dell’importatore in caso di accesso da parte delle autorità pubbliche

15,1 notifica

A) l’importatore accetta di informare tempestivamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:

i) riceve una richiesta giuridicamente vincolante da parte di un’autorità pubblica, comprese le autorità giudiziarie, ai sensi della legislazione del paese di destinazione per la divulgazione dei dati personali trasferiti in applicazione delle presenti clausole; tale notifica include informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

ii) venga a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti a norma delle presenti clausole conformemente alla legislazione del paese di destinazione; tale notifica deve includere tutte le informazioni di cui l’importatore dispone.

b) se all’importatore è vietato notificare all’esportatore e/o all’interessato in base alla legislazione del paese di destinazione, l’importatore accetta di adoperarsi al massimo per ottenere una deroga al divieto, al fine di comunicare il maggior numero possibile di informazioni; il prima possibile. L’importatore accetta di documentare i suoi sforzi al fine di poterli dimostrare su richiesta dell’esportatore.

c) se consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire all’esportatore, a intervalli regolari per tutta la durata del contratto, tutte le informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità o autorità richiedenti, se le richieste sono state contestate e l’esito di tali sfide, ecc.).

d) l’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.

E) le lettere da a) a c) non pregiudicano l’obbligo dell’importatore di dati, ai sensi della clausola 14, lettera e), e della clausola 16, di informare tempestivamente l’esportatore qualora non sia in grado di conformarsi alle presenti clausole.

15,2 revisione della legalità e della minimizzazione dei dati

A) l’importatore conviene di riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rimanga nell’ambito dei poteri conferiti all’autorità pubblica richiedente; e contestare la richiesta se, dopo un’attenta valutazione, essa conclude che vi sono fondati motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi della comunità internazionale. L’importatore di dati persegue, alle stesse condizioni, le possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso sul merito. Essa non divulga i dati personali richiesti fino a quando ciò non sia richiesto dalle norme procedurali applicabili. Tali requisiti non pregiudicano gli obblighi dell’importatore di dati di cui alla clausola 14, lettera e).

b) l’importatore accetta di documentare la propria valutazione giuridica e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalla legislazione del paese di destinazione, di mettere la documentazione a disposizione dell’esportatore. Esso lo mette inoltre a disposizione dell’autorità di vigilanza competente su richiesta.

c) l’importatore accetta di fornire la quantità minima di informazioni consentite nel rispondere a una richiesta di divulgazione, sulla base di un’interpretazione ragionevole della richiesta.

SEZIONE IV — DISPOSIZIONI FINALI

Clausola 16

Inosservanza delle clausole e rescissione

A) l’importatore informa tempestivamente l’esportatore qualora, per qualsiasi motivo, non sia in grado di conformarsi alle presenti clausole.

b) nel caso in cui l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a quando non sia nuovamente garantito il rispetto delle stesse o non sia risolto il contratto. Ciò non pregiudica la clausola 14, lettera f).

c) l’esportatore ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, qualora:

i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore a norma della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e comunque entro un mese dalla sospensione;

ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; oppure

iii) l’importatore non ottempera a una decisione vincolante di un organo giurisdizionale o di un’autorità di controllo competente in merito agli obblighi che gli incombono in virtù delle presenti clausole.

In tali casi, informa l’autorità di vigilanza competente di tale inosservanza. Se il contratto coinvolge più di due parti, l’esportatore può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, salvo diverso accordo tra le parti.

d) dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo c) a scelta dell’esportatore, deve essere immediatamente restituito all’esportatore o soppresso nella sua interezza. Lo stesso vale per tutte le copie dei dati. L’importatore certifica la cancellazione dei dati all’esportatore. Fino alla cancellazione o alla restituzione dei dati, l’importatore continua a garantire il rispetto delle presenti clausole. Nel caso di leggi locali applicabili all’importatore che vietino la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà a garantire la conformità alle presenti clausole e che elaborerà i dati solo nella misura e per il tempo richiesto dalla legge locale.

E) ciascuna parte può revocare il proprio accordo di essere vincolata dalle presenti clausole qualora i) la Commissione europea adotta una decisione a norma dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 che riguarda il trasferimento di dati personali cui si applicano le presenti clausole; oppure ii) il regolamento (UE) 2016/679 entra a far parte del quadro giuridico del paese in cui i dati personali sono trasferiti. Ciò lascia impregiudicati altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.

Clausola 17

Legge applicabile

Tali clausole sono disciplinate dal diritto di uno degli Stati membri dell’UE, a condizione che tale legge consenta diritti di terzi beneficiari. Le parti convengono che questa è la legge dell’Irlanda.

Clausola 18

Scelta del foro e della giurisdizione

A) qualsiasi controversia derivante dalle presenti clausole è risolta dai tribunali di uno Stato membro dell’UE.

b) le parti convengono che questi sono i tribunali dell’Irlanda.

c) L’interessato può inoltre intentare un’azione legale contro l’esportatore e/o l’importatore di dati dinanzi agli organi giurisdizionali dello Stato membro in cui ha la residenza abituale.

d) le parti convengono di sottoporsi alla giurisdizione di tali organi giurisdizionali.

Clausola 19

Trasferimento soggetto alla legge svizzera sulla protezione dei dati

(A) nella misura in cui le leggi e i regolamenti sulla protezione dei dati e sulla privacy della Svizzera (“Legge svizzera sulla protezione dei dati“) si applica a un trasferimento di dati personali, l’esportatore e l’importatore di dati convengono che le presenti clausole sono modificate in modo che, per quanto riguarda (solo) tale trasferimento (e senza limitare o pregiudicare altrimenti l’applicazione delle presenti clausole):

io I riferimenti generali e specifici contenuti nelle presenti clausole al regolamento (UE) 2016/679 o “tale regolamento” o al diritto dell’UE o degli Stati membri hanno lo stesso significato del riferimento equivalente nelle leggi svizzere sulla protezione dei dati;

ii Il termine “Stato membro” non è interpretato in modo da escludere gli interessati in Svizzera dalla possibilità di fare causa per i loro diritti nel luogo di residenza abituale (Svizzera) conformemente alla clausola 18, lettera c), delle presenti clausole;

iii. I dettagli dei trasferimenti sono quelli specificati nell’allegato i in cui la legislazione svizzera sulla protezione dei dati si applica al trattamento dell’esportatore al momento di effettuare tale trasferimento;

iv. Le presenti clausole si applicano anche al trasferimento di informazioni relative a una persona giuridica identificata o identificabile, qualora tali informazioni siano protette come “dati personali” ai sensi della legislazione svizzera sulla protezione dei dati fino a quando tali leggi non siano state modificate per non essere più applicabili a una persona giuridica; e

v. il Commissario federale per la protezione dei dati e l’informazione è l’autorità di controllo competente ai fini della clausola 13 delle presenti clausole.


ALLEGATO I DELLA FIGURA 2

A. ELENCO DELLE PARTI

ESPORTATORE/I DI DATI: [Identità e dati di contatto dell’esportatore/degli esportatori di dati e, se del caso, del suo/dei loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]

Vedere l’allegato 1 parte A.

B. DESCRIZIONE DEL TRASFERIMENTO

Vedere l’allegato 1 parte B.

C. AUTORITÀ DI VIGILANZA COMPETENTE

Vedere l’allegato 1 parte B.

ALLEGATO II DELL’ALLEGATO 2

Vedere l’allegato 1 parte C.

ALLEGATO III DELL’ALLEGATO 2

ELENCO DEI SOTTOPROCESSORI

Non applicabile.


ALLEGATO 3

ADDENDUM DEL REGNO UNITO ALLE CLAUSOLE CONTRATTUALI STANDARD DELL’UE

Data del presente Addendum:

1) il presente Addendum è in vigore dalla stessa data delle clausole.

Contesto:

2) l’Information Commissioner ritiene che il presente addendum fornisca garanzie adeguate ai fini del trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale in base agli articoli 46 del GDPR del Regno Unito e, per quanto riguarda il trasferimento di dati dai titolari del trattamento ai responsabili del trattamento e/o ai responsabili del trattamento.

Interpretazione del presente Addendum

3) qualora il presente addendum utilizzi termini definiti nell’allegato, tali termini hanno lo stesso significato di cui al punto 2.22 dell’allegato. Inoltre, i seguenti termini hanno i seguenti significati:

Il presente Addendum

Il presente addendum alle clausole

L’allegato

Le clausole contrattuali tipo di cui all’allegato della decisione di esecuzione (UE) 2021/914 della Commissione, del 4 giugno 2021

Leggi sulla protezione dei dati del Regno Unito

Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di tanto in tanto nel Regno Unito, incluso il GDPR del Regno Unito e il Data Protection Act 2018.

GDPR DEL REGNO UNITO

Il regolamento generale sulla protezione dei dati del Regno Unito, in quanto fa parte della legge di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 dell’European Union (Withdrawal) Act 2018.

REGNO UNITO

Il Regno Unito di Gran Bretagna e Irlanda del Nord

4. Il presente Addendum deve essere letto e interpretato alla luce delle disposizioni delle leggi del Regno Unito sulla protezione dei dati e in modo che, se soddisfa l’intenzione per esso di fornire le garanzie appropriate come previsto dall’articolo 46 del GDPR.

5) il presente Addendum non deve essere interpretato in modo da essere in contrasto con i diritti e gli obblighi previsti dalle leggi sulla protezione dei dati del Regno Unito.

6) qualsiasi riferimento alla legislazione (o a disposizioni specifiche della legislazione) indica la legislazione (o una disposizione specifica) che può cambiare nel tempo. Ciò include il caso in cui tale legislazione (o disposizione specifica) sia stata consolidata, riemanata e/o sostituita dopo la conclusione del presente Addendum.

Gerarchia

7) in caso di conflitto o incoerenza tra il presente addendum e le disposizioni delle clausole o di altri accordi correlati tra le parti, esistenti al momento dell’accordo o della conclusione del presente addendum, prevalgono le disposizioni che garantiscono la massima protezione agli interessati.

Incorporazione delle clausole

8) il presente addendum incorpora le clausole che si ritengono modificate nella misura necessaria per operare:

a.. Per i trasferimenti effettuati dall’esportatore all’importatore di dati, nella misura in cui le leggi del Regno Unito sulla protezione dei dati si applicano al trattamento dell’esportatore al momento di effettuare tale trasferimento; e

b.. Fornire garanzie adeguate per i trasferimenti in conformità agli articoli 46 delle leggi del GDPR del Regno Unito.

9) le modifiche prescritte dalla precedente sezione 7 comprendono (a titolo esemplificativo e non esaustivo):

a.. Per “clausole” si intende il presente addendum in quanto incorpora le clausole

b.. Clausola 6 la descrizione dei trasferimenti è sostituita dalla seguente:

“I dettagli dei trasferimenti e in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti sono quelli specificati nell’allegato i, parte B, in cui le leggi del Regno Unito in materia di protezione dei dati si applicano al trattamento dell’esportatore al momento di effettuare tale trasferimento.”

d.. I riferimenti al “regolamento (UE) 2016/679” o al “regolamento” sono sostituiti da “leggi del Regno Unito in materia di protezione dei dati” e i riferimenti a specifici articoli del “regolamento (UE) 2016/679” sono sostituiti con l’articolo o la sezione equivalente delle leggi del Regno Unito sulla protezione dei dati.

e.. I riferimenti al regolamento (UE) 2018/1725 sono rimossi.

f.. I riferimenti all’“Unione”, all’“UE” e all’“Stato membro dell’UE” sono tutti sostituiti dal“Regno Unito”

g.. Non sono utilizzate le disposizioni della clausola 13, lettera a), e della parte C dell’allegato II; la “autorità di controllo competente” è l’Information Commissioner;

h.. La clausola 17 è sostituita per dichiarare “queste clausole sono governate dalle leggi di Inghilterra e Galles”.

io Il punto 18 è sostituito dal seguente:

j.. “Qualsiasi controversia derivante da queste clausole sarà risolta dai tribunali di Inghilterra e Galles. L’interessato può inoltre intentare un’azione legale contro l’esportatore e/o l’importatore di dati dinanzi ai tribunali di qualsiasi paese del Regno Unito. Le parti convengono di sottomettersi alla giurisdizione di tali tribunali.”

k. Le note a piè di pagina delle clausole non fanno parte dell’Addendum.

Modifiche al presente addendum

10) le parti possono convenire di modificare le clausole 17 e/o 18 per fare riferimento alle leggi e/o ai tribunali della Scozia o dell’Irlanda del Nord.

11) le parti possono modificare il presente addendum a condizione che mantengano le garanzie appropriate prescritte dall’articolo 46 del GDPR del Regno Unito per il trasferimento pertinente incorporando le clausole e apportandovi modifiche conformemente alla precedente sezione 7.

Esecuzione del presente Addendum

12) le parti possono inserire nell’addendum (che incorpora le clausole) in qualsiasi modo che le renda giuridicamente vincolanti per le parti e consenta agli interessati di far valere i loro diritti come stabilito nelle clausole. Ciò include (a titolo esemplificativo ma non esaustivo):

a.. Aggiungendo il presente addendum alle clausole e includendo le firme di cui all’allegato 1A:

“Firmando accettiamo di essere vincolati dall’Addendum del Regno Unito alle clausole contrattuali standard della Commissione dell’UE datate:” e aggiungiamo la data (in cui tutti i trasferimenti sono sotto l’Addendum)

“Firmando accettiamo anche di essere vincolati dall’Addendum del Regno Unito alle clausole contrattuali standard della Commissione dell’UE datate” e di aggiungere la data (laddove vi siano trasferimenti sia ai sensi delle clausole che dell’Addendum) (o parole con lo stesso effetto) ed eseguire le clausole; oppure

b.. Modificando le clausole conformemente al presente addendum ed eseguendo tali clausole modificate.


ALLEGATO I DELLA FIGURA 3

A. ELENCO DELLE PARTI

ESPORTATORE/I DI DATI: [Identità e dati di contatto dell’esportatore/degli esportatori di dati e, se del caso, del suo/dei loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]

Vedere l’allegato 1 parte A.

B. DESCRIZIONE DEL TRASFERIMENTO

Vedere l’allegato 1 parte B.

C. AUTORITÀ DI VIGILANZA COMPETENTE

Vedere l’allegato 1 parte B.


ALLEGATO II DELL’ALLEGATO 3

Vedere l’allegato 1 parte C.


ALLEGATO III DELL’ALLEGATO 3

ELENCO DEI SOTTOPROCESSORI

Non applicabile.

Documenti correlati

2022 rapporto ESG