Addendum sulla protezione dei dati – (DPA)
Profilo
Il presente Addendum al trattamento dei dati (la presente “DPA”) è incorporato nei termini di servizio di Edgio (“Contratto”) tra Edgio, Inc., le sue affiliate e le sue consociate (insieme, “Edgio”) e il cliente. In caso di conflitto tra le disposizioni della presente legge sulla protezione dei dati e quelle dell’accordo, le disposizioni applicabili della presente legge controllano.
1) definizioni.
I seguenti termini sono utilizzati nel presente DPA e hanno i significati qui definiti. I termini in maiuscolo utilizzati nel presente DPA e non definiti nel presente documento avranno il significato stabilito nel Contratto.
1,1 “Paese adeguato”: Un paese o territorio riconosciuto dalla legislazione dell’UE in materia di protezione dei dati o dalla pertinente autorità competente del Regno Unito (“Regno Unito”) che fornisce un livello adeguato di protezione dei dati personali.
1,2 “leggi applicabili sulla protezione dei dati” significa (i) le leggi e i regolamenti del SEE e dei loro stati membri, applicabili al trattamento dei dati personali ai sensi della presente legge sulla protezione dei dati, comprese le leggi dell’UE sulla protezione dei dati; (ii) il California Consumer Protection Act (“CCPA”) e il California Privacy Rights Act (“CPRA”); e (iii) tutte le leggi che attuano o integrano quanto sopra e qualsiasi altra legge applicabile sulla protezione dei dati o sulla privacy.
1,3 “dati personali del cliente”: Tutti i dati personali relativi ai consumatori (gli “utenti finali” del cliente) e trattati da Edgio o dai suoi subincaricati per conto del cliente nell’esecuzione dei servizi e degli altri obblighi di Edgio previsti dal Contratto.
1,4 “SEE”, lo spazio economico europeo, che comprende gli Stati membri dell’Unione europea, nonché la Norvegia, l’Islanda e il Liechtenstein.
1,5 “leggi di protezione dell’UE” significa (i) il GDPR; ii) la direttiva UE sulla privacy elettronica (direttiva 2002/58/CE), come modificata, e qualsiasi legislazione che sostituisca la presente direttiva modificata, iii) le leggi nazionali in materia di protezione dei dati emanate ai sensi, in applicazione, della sostituzione o successiva a quanto sopra, e (iv) ove applicabile, va letto come comprensivo delle leggi sulla protezione dei dati del Regno Unito.
1,6 per “GDPR” si intende il regolamento generale sulla protezione dei dati dell’UE (regolamento 2016/679).
1,7 “clausole contrattuali tipo” in relazione al trattamento di dati personali ai sensi della presente legge significa A) le clausole tipo per il trasferimento di dati personali dai titolari del trattamento a responsabili del trattamento stabiliti in paesi terzi, approvate periodicamente dalla Commissione europea, la cui versione attualmente approvata è quella contenuta nella decisione 2021/914 della Commissione europea del 4 giugno 2021, disponibile all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN e riportata nell’allegato 2 (“clausole contrattuali tipo dell’UE”); e (b) l’addendum del Regno Unito alle clausole contrattuali tipo dell’UE, di cui all’allegato 3 (“Addendum del Regno Unito”).
1,8 per “leggi sulla protezione dei dati del Regno Unito” si intende tutta la legge applicabile in materia di protezione dei dati, trattamento dei dati personali, privacy e/o comunicazioni elettroniche in vigore di tanto in tanto nel Regno Unito, compresi il GDPR del Regno Unito e la legge sulla protezione dei dati del 2018.
1,9 per “GDPR del Regno Unito” si intende il regolamento generale sulla protezione dei dati del Regno Unito, in quanto fa parte della legge di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 della legge del 2018 sull’Unione europea (recesso).
1,10 per “dati personali” si intendono tutte le informazioni che costituiscono “dati personali” o “informazioni personali” ai sensi delle leggi applicabili sulla protezione dei dati a cui Edgio può accedere durante l’esecuzione dei servizi ai sensi dell’accordo sui servizi.
1,11 “trattamento”, “processo”, “interessato”, “titolare”, “impresa”, “responsabile del trattamento”, “fornitore di servizi”, “categorie speciali di dati personali” hanno il significato loro attribuito dalle leggi applicabili sulla protezione dei dati, nella misura in cui tali concetti esistano in tali leggi.
2. Elaborazione dei dati
2,1 ambito e ruoli. In considerazione degli obblighi reciproci qui stabiliti, la presente DPA si applica nella misura in cui Edgio tratta i dati personali del cliente soggetti alle leggi applicabili sulla protezione dei dati in relazione ai servizi ai sensi del Contratto. In questo contesto, il cliente e Edgio riconoscono e accettano che: (A) Edgio è un responsabile del trattamento e il cliente è il titolare del trattamento ai sensi delle leggi sulla protezione dei dati applicabili; e (b) Edgio agisce come semplice conduttore di qualsiasi dato personale che il cliente o i suoi utenti finali inseriscono nei servizi. Edgio e il cliente devono rispettare le leggi sulla protezione dei dati applicabili per il trattamento dei dati personali in base alle leggi sulla protezione dei dati applicabili.
2,2 istruzioni di elaborazione.
(A) istruzioni del cliente. Edgio tratterà i dati personali del cliente come mezzo per fornire i servizi e in conformità alle istruzioni documentate del cliente contenute nella presente DPA, o come altrimenti concordato reciprocamente tra le parti per iscritto. Se Edgio è obbligata dalle leggi sulla protezione dei dati applicabili a trattare i dati personali del cliente in modo diverso da quanto indicato dal cliente, ne informerà il cliente prima che tale trattamento avvenga, salvo che ciò sia vietato dalla legge.
(i) lo scopo del trattamento dei dati personali del cliente ai sensi del presente DPA è la fornitura dei servizi avviati dal cliente di volta in volta ai sensi del Contratto, che include l’elaborazione della fatturazione e dei pagamenti, la comunicazione con gli utenti finali del cliente e/o i sub-processori sui servizi, la manutenzione e/o l’aggiornamento degli account del cliente, la misurazione e/o l’analisi dell’utilizzo del servizio, la prevenzione o l’individuazione di frodi o l’utilizzo degli abusi dei servizi e/o dell’erogazione di altri sotto-processori per conto dei servizi tecnici.
ii) Edgio certifica che non lo farà A) “vendere” (come definito nella CCPA) o “condividere” (come definito nella CPRA) i dati personali dei clienti; (b) conservare, utilizzare o divulgare i dati personali del cliente per qualsiasi scopo diverso dallo scopo specifico di fornire i servizi ai sensi del Contratto di servizi, inclusa la conservazione, l’utilizzo o la divulgazione dei dati personali del cliente per scopi commerciali diversi dalla fornitura dei servizi; oppure (c) conservare, utilizzare o divulgare i dati personali del cliente a qualsiasi persona diversa da quanto necessario per fornire i servizi o al di fuori del rapporto commerciale diretto tra le parti.
(iii) il cliente dichiara e garantisce che: (1) le istruzioni per il trattamento sono conformi a tutte le leggi sulla protezione dei dati applicabili; e (2) ha ottenuto e mantiene tutte le notifiche, i consensi e le autorizzazioni legalmente richiesti per l’elaborazione e il trasferimento di tutti i dati personali. Il cliente riconosce che, tenuto conto della natura del trattamento, Edgio non è in grado di determinare se le istruzioni del cliente violino le leggi sulla protezione dei dati applicabili.
b) riservatezza. Edgio impone al proprio personale e ai terzi che hanno accesso ai dati personali obblighi contrattuali appropriati, per garantire che tale personale e terzi siano vincolati e messi a conoscenza dei loro obblighi di riservatezza in relazione a tali dati personali.
c) misure di sicurezza Edgio. Edgio ha implementato e mantiene le misure tecniche e organizzative di cui all’allegato 1, parte C, volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dalla divulgazione o dall’accesso non autorizzati e da altre forme illecite di trattamento. Edgio può aggiornare o modificare tali misure tecniche e organizzative di volta in volta, a condizione che tali aggiornamenti o modifiche non comportino un deterioramento della sicurezza complessiva dei servizi. Il cliente prende atto e accetta che (tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento dei dati personali nonché dei rischi per gli utenti finali) le misure tecniche e organizzative attuate e gestite da Edgio come stabilito nella presente sezione 2,2(c) (misure di sicurezza Edgio) forniscono un livello di sicurezza adeguato al rischio in relazione ai dati personali. Nell’utilizzo dei servizi, il cliente riconosce di non dover configurare l’utilizzo dei servizi per memorizzare nella cache o archiviare dati personali sugli edge server di Edgio.
(d) obblighi di sicurezza del cliente. Il cliente accetta che, fatti salvi gli obblighi di Edgio ai sensi della sezione 2,2(c) (misure di sicurezza Edgio) e della sezione 6 (notifica di violazione dei dati), il cliente è l’unico responsabile dell’uso dei servizi, inclusi: (1) l’uso appropriato dei servizi per garantire un livello di sicurezza adeguato al rischio in relazione ai dati personali, ad esempio la scelta e l’utilizzo della crittografia; e (2) la protezione delle credenziali di autenticazione dell’account, dei sistemi e dei dispositivi utilizzati dal cliente per l’accesso ai servizi da parte del cliente, comprese le azioni valide da parte dei clienti, da parte di terzi, per conto di terzi.
E) categorie speciali di dati. Il cliente non può e non consente ai suoi utenti finali di trasmettere o fornire in altro modo a Edgio, direttamente o indirettamente, dati personali che rivelino o contengano uno dei seguenti elementi: Origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenze sindacali, dati genetici, dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica o a reati o condanne penali.
3. Diritti dell’interessato
3,1 tenendo conto della natura dei servizi e del trattamento, il cliente riconosce che Edgio mette a disposizione del cliente determinati controlli, funzionalità e funzionalità come parte dei servizi, che il cliente può scegliere di utilizzare in relazione ai propri obblighi ai sensi delle leggi applicabili sulla protezione dei dati relative alle richieste degli interessati, comprese le richieste di restituzione o cancellazione.
3,2 è responsabilità del cliente configurare correttamente i servizi in modo che: (A) i dati personali vengono raccolti, trasferiti e utilizzati esclusivamente nella misura necessaria affinché il cliente possa ricevere i servizi; (b) i dati personali vengono conservati per il periodo più breve necessario affinché il cliente possa ricevere i servizi; e (c) il cliente utilizza un’API o una tecnologia simile per impostare una richiesta di file di registro nel caso in cui il cliente desideri conservare i dati personali per un periodo superiore a quello in cui sono conservati i servizi.
3,3 nella misura in cui i controlli, le caratteristiche e/o le funzionalità dei servizi non includano la possibilità per il cliente di eliminare i dati personali, Edgio rispetterà la ragionevole richiesta del cliente di facilitare tale cancellazione, a condizione che Edgio abbia stabilito che ciò è fattibile, tenendo conto della natura dei servizi e del trattamento e delle pratiche di conservazione dei dati di Edgio, e a meno che le leggi applicabili sulla protezione dei dati richiedano a Edgio di conservare i dati personali. Edgio può addebitare una commissione (sulla base dei costi ragionevoli di Edgio) per qualsiasi cancellazione dei dati ai sensi della presente sezione 3,3. Edgio fornirà al cliente i dettagli relativi a eventuali commissioni applicabili prima della cancellazione di tali dati. Il cliente riconosce l’obbligo di eliminare i dati personali dal proprio account alla risoluzione del Contratto e tali dati personali non eliminati dal cliente saranno eliminati dai sistemi di Edgio nel corso normale dei suoi processi aziendali.
4. Elaborazione secondaria
4,1 il cliente concede un’autorizzazione generale: (A) a Edgio per nominare le affiliate di Edgio come sub-responsabili del trattamento; e (b) a Edgio e alle affiliate Edgio per nominare fornitori di servizi terzi, inclusi, a titolo esemplificativo, fornitori di servizi di marketing, business, engineering o assistenza clienti, come sub-processori, esclusivamente per supportare la fornitura dei servizi.
4,2 il cliente riconosce e accetta che Edgio mantiene un elenco dei suoi sub-processori tramite il seguente URL: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“siti dei sub-processori”). Almeno trenta (30) giorni prima che Edgio consenta a un nuovo sub-processore di avviare il trattamento dei dati personali del cliente, Edgio informerà il cliente di tale nuovo sub-processore aggiungendo tale nuovo sub-processore al sito del sub-processore (“servizio di notifica”).
4,3 se il cliente ha una ragionevole obiezione all’utilizzo da parte di Edgio di un nuovo subprocessore come notificato tramite il servizio di notifica, il cliente dovrà notificare tempestivamente per iscritto a Edgio qualsiasi obiezione entro dieci (10) giorni lavorativi dal ricevimento delle informazioni tramite il servizio di notifica. Nel caso in cui il cliente presenti una ragionevole obiezione a un nuovo sub-processore, Edgio accetta di avviare discussioni in buona fede con il cliente per rispondere all’obiezione del cliente. Se il cliente non solleva tempestivamente obiezioni nei confronti di un subprocessore nuovo o sostitutivo in conformità alla presente sezione 4,3, si riterrà che il cliente abbia acconsentito a tale subprocessore e abbia rinunciato al diritto di opporsi a tale subprocessore. Edgio può utilizzare un nuovo sub-processore mentre è in corso la procedura di obiezione descritta in questa sezione 4,3.
4,4 quando Edgio si avvale di subincaricati ai sensi della sezione 4,1, lo farà mediante un accordo scritto con il subincaricato (“subcontratto di trattamento”) che impone al subincaricato obblighi sostanzialmente equivalenti a quelli imposti a Edgio ai sensi della presente legge sulla protezione dei dati. Edgio rimarrà responsabile nei confronti del cliente per l’adempimento degli obblighi dei subincaricati ai sensi dei termini del subcontratto di trattamento.
5. Trasferimenti di dati
5,1 nella misura in cui il trattamento dei dati personali del cliente da parte di Edgio avviene in un luogo al di fuori di un paese adeguato, le parti concordano che le clausole contrattuali standard applicabili allegate alla presente DPA nell’allegato 2 (clausole contrattuali standard dell’UE) e nell’allegato 3 (appendice del Regno Unito) saranno applicate in relazione al trasferimento di tali dati personali del cliente dal SEE, dalla Svizzera o dal Regno Unito a Edgio. Edgio, in qualità di responsabile del trattamento, si conformerà agli obblighi dell’«importatore di dati» nelle clausole contrattuali tipo e il cliente, in qualità di titolare del trattamento, si conformerà agli obblighi dell’«esportatore di dati».
5,2 alle clausole contrattuali tipo di cui all’allegato 2 e all’allegato 3 si applicano le seguenti condizioni:
(A) il cliente può esercitare il proprio diritto di controllo ai sensi della clausola 8,9(c) delle clausole contrattuali tipo come stabilito nella sezione 7 (audit) della presente DPA e nel rispetto dei requisiti di cui alla presente legge.
b) l’Edgio può nominare subincaricati del trattamento secondo quanto stabilito nella sezione 4 (sottotrattamento) della presente DPA e nel rispetto dei requisiti di cui alla sezione 4 (sottotrattamento).
5,3 nonostante tutto ciò che è contrario nella presente sezione 5, le clausole contrattuali standard non si applicano nella misura in cui il cliente abbia adottato uno standard di conformità alternativo riconosciuto per il trasferimento legittimo dei dati personali del cliente al di fuori di un paese adeguato.
6. Notifica di violazione dei dati
6,1 Edgio informerà il cliente senza indebito ritardo non appena viene a conoscenza dell’effettivo evento di sicurezza, nella misura in cui Edgio stabilisca, a sua esclusiva discrezione, che tale evento di sicurezza compromette la sicurezza e/o la riservatezza dei dati personali del cliente (una “violazione dei dati”). Nel caso in cui Edgio subisca una violazione dei dati, previa notifica al cliente, le parti collaboreranno in buona fede per concordare e adottare le misure necessarie per mitigare o porre rimedio agli effetti della violazione dei dati. La notifica Edgio o la risposta a una violazione dei dati ai sensi della presente sezione 6 (notifica di violazione dei dati) non sarà interpretata come una conferma da parte di Edgio di qualsiasi colpa o responsabilità in relazione alla violazione dei dati.
6,2 in caso di violazione dei dati, il cliente ha piena autorità e responsabilità nel determinare se informare le persone interessate e le altre parti come richiesto dalla legge applicabile, nonché le modalità e i tempi della notifica.
7) verifica
7,1 il cliente accetta che il diritto di controllo ai sensi delle leggi europee sulla protezione dei dati in relazione ai dati personali del cliente sia esercitato in primo luogo mediante una richiesta che Edgio fornisce: A) al cliente una copia sintetica delle relazioni di audit di Edgio relative alle misure tecniche e organizzative di Edgio di cui alla sezione 2,2, lettera c) (misure di sicurezza di Edgio), che saranno soggette alle disposizioni di riservatezza del Contratto e che dimostreranno che le misure tecniche e organizzative di Edgio sono sufficienti e conformi a una norma di audit di settore accettata; e b) informazioni supplementari in possesso o sotto il controllo di Edgio a un’autorità di controllo competente quando chiede o richiede informazioni supplementari in relazione al trattamento di dati personali effettuato da Edgio ai sensi della presente legge sulla protezione dei dati.
7,2 dopo che il cliente ha ricevuto la relazione di verifica ai sensi della sezione 7,1 e nel rispetto dei termini della sezione 7,3, il cliente o un revisore esterno indipendente incaricato dal cliente può condurre un’ispezione ragionevole dell’ambiente di elaborazione di Edgio che sia rilevante per il trattamento dei dati personali del cliente al fine di verificare la conformità di Edgio agli obblighi previsti dalla presente legge sulla protezione dei dati.
7,3 in caso di audit ai sensi della precedente sezione 7,2,
(A) in conformità alle leggi europee sulla protezione dei dati, Edgio mette a disposizione del cliente tali informazioni in possesso o sotto il controllo di Edgio, come il cliente può ragionevolmente richiedere, per dimostrare che Edgio rispetta gli obblighi previsti dalla presente DPA. Il cliente non potrà esercitare i propri diritti di audit più di una volta in un periodo di dodici (12) mesi di calendario. La verifica sarà limitata ai giorni lavorativi (durante il normale orario di lavoro ed esclusi i giorni festivi federali degli Stati Uniti) e all’ambito ragionevolmente concordato dalle parti in anticipo. Il cliente deve informare Edgio di un audit con almeno trenta (30) giorni di anticipo e adottare tutte le misure ragionevoli per evitare inutili interruzioni delle attività di Edgio. Il cliente dovrà sostenere tutti i costi e le spese relativi a tale verifica.
(b) Edgio può opporsi a qualsiasi revisore esterno incaricato dal cliente di condurre qualsiasi audit ai sensi della sezione 7,2 se il revisore non è, a giudizio ragionevole di Edgio, adeguatamente qualificato o indipendente, un concorrente di Edgio o altrimenti manifestamente inadatto. Qualsiasi obiezione di Edgio richiederà al cliente di nominare un altro revisore o di condurre l’audit stesso.
(c) nessuna disposizione del presente DPA richiederà a Edgio di divulgare al cliente o al suo revisore di terze parti o di consentire al cliente o al suo revisore di terze parti di accedere a:
(i) qualsiasi dato di altri clienti di Edgio o di un’affiliata Edgio;
ii) qualsiasi informazione contabile o finanziaria interna dell’affiliato Edgio o dell’affiliato Edgio;
iii) qualsiasi segreto commerciale di Edgio o di un’affiliata Edgio;
(iv) qualsiasi informazione che, secondo la ragionevole opinione di Edgio, possa (1) compromettere la sicurezza dei sistemi o dei locali di un’affiliata Edgio o (2) indurre Edgio o qualsiasi affiliata Edgio a violare i propri obblighi ai sensi delle leggi sulla protezione dei dati applicabili o i propri obblighi di sicurezza e/o privacy nei confronti del cliente o di terzi; oppure
(v) qualsiasi informazione a cui il cliente o il suo revisore esterno cerca di accedere per qualsiasi motivo diverso dall’adempimento in buona fede degli obblighi del cliente ai sensi delle leggi sulla protezione dei dati applicabili.
(d) il cliente indennizzerà, difenderà e manterrà indenne Edgio da tutti i costi e le rivendicazioni asserite da terzi, reali o presunte, derivanti dalla divulgazione dei dati personali al cliente o in relazione a tale verifica. Tenendo conto della natura dei servizi e del trattamento, il cliente riconosce che Edgio non è in grado di identificare le persone sulla base delle informazioni dell’utente finale richieste al cliente affinché Edgio fornisca i servizi (ad esempio, e l’indirizzo IP dell’utente finale).
8) disposizioni generali
8,1 beneficiari terzi. Fatti salvi i diritti concessi ai sensi delle clausole contrattuali tipo, la presente legge sulla protezione dei dati non conferisce alcun diritto a terzi beneficiari.
8,2 non divulgazione. Il cliente accetta che i dettagli della presente DPA non siano noti pubblicamente e che costituiscano informazioni riservate Edgio come definito nel Contratto.
8,3 sopravvivenza. La presente DPA rimarrà in vigore e in vigore per tutta la durata applicabile del Contratto e, nonostante tutto ciò che è contrario, rimarrà valida anche dopo la risoluzione o la scadenza del Contratto. Alla risoluzione o alla scadenza del Contratto, Edgio può continuare a trattare i dati personali del cliente, a condizione che tale trattamento sia conforme ai requisiti del presente DPA e alle leggi sulla protezione dei dati applicabili.
8,4 intero accordo, conflitto. Il presente DPA sostituisce e sostituisce tutte le dichiarazioni, intese, accordi o comunicazioni precedenti o contemporanee tra Edgio e il cliente, in forma scritta o verbale, relative al trattamento dei dati personali del cliente. Salvo quanto modificato nella presente legge sulla protezione dei dati, l’accordo resta pienamente in vigore ed in vigore. In caso di conflitto tra i termini del presente DPA e il Contratto, i termini del presente DPA prevarranno nella misura in cui l’oggetto riguarda il trattamento dei dati personali del cliente.
8,5 Modifica, rinuncia. La presente legge sulla protezione dei dati può essere modificata solo per iscritto e firmata da entrambe le parti. La mancata o il ritardo da parte di una parte nell’esercizio o nell’applicazione di qualsiasi diritto ivi sancito costituirà una rinuncia a tale diritto.
PART A
Parti del controller rispetto alle clausole contrattuali standard del responsabile del trattamento
Esportatore di dati:
Nome: In base all’ordine di assistenza.
Indirizzo: In base all’ordine di assistenza.
Nome, posizione e recapiti della persona di contatto: In base all’ordine di assistenza.
Attività attinenti ai dati trasferiti ai sensi delle presenti clausole: si rimanda alle attività descritte di seguito per l’importatore di dati.
Ruolo: controllore
Importatore di dati:
Nome: Edgio, Inc
Indirizzo: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028
Nome, posizione e recapiti della persona di contatto : Rich Diegnan, DPO, rdiegnan@edg.io
Attività attinenti ai dati trasferiti ai sensi delle presenti clausole: Edgio Inc. Fornisce servizi di rete per la distribuzione di contenuti, streaming video e servizi di sicurezza correlati ai clienti dei media digitali attraverso una serie di punti di presenza in tutto il mondo.
Ruolo: processore
PART B
Oggetto
Trattamento effettuato in relazione alla fornitura dei servizi, che includono accelerazione del sito Web, WAF, download del software tramite la rete Edgio e Advanced Bot Service.
Duration
Dalla data di entrata in vigore fino alla risoluzione del Contratto.
Categorie di interessati i cui dati personali sono trasferiti.
Utenti finali del cliente, dipendenti aziendali del cliente
Natura del trattamento
Dalla data di entrata in vigore fino alla risoluzione del Contratto.
Categorie di dati personali trasferiti:
Categoria
Dati
Selezionare come applicabile
Dati personali degli utenti finali nei contenuti del cliente e dati personali nei dati registrati
I dati personali contenuti nel contenuto del cliente, se presenti, sono scelti dal cliente. Per quanto riguarda tali dati, il trattamento, se del caso, di tali dati è limitato al ruolo di Edgio quale canale di trasmissione per tali dati. Al fine di fornire i servizi, Edgio può elaborare e conservare determinati dati registrati, il che comporta la memorizzazione a breve termine degli indirizzi IP degli utenti finali dell’esportatore di dati.
X
|
Dati sensibili trattati (se del caso) e restrizioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, quali, ad esempio, la limitazione rigorosa delle finalità, le restrizioni all’accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro dell’accesso ai dati, le restrizioni per i trasferimenti successivi o misure di sicurezza supplementari. |
Categoria speciale
Dati
Nessuno
Nature of the processing
Edgio elabora i dati personali del cliente per fornire servizi di distribuzione e sicurezza dei contenuti come conduttore dei dati personali del cliente che il cliente o i suoi utenti finali inseriscono nel servizio. Edgio elabora i dati registrati allo scopo di fornire i servizi. I dati registrati vengono trasferiti negli Stati Uniti a fini di fatturazione, ecc. e memorizzati a breve termine.
Frequenza del trasferimento (ad esempio, se i dati sono trasferiti una tantum o su base continua)
Il trasferimento avverrà su base continuativa.
Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo
Lo scopo del trasferimento dei dati e del successivo trattamento è consentire a Edgio di fornire i servizi previsti dal Contratto, nella misura necessaria.
Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo
Lo scopo del trasferimento dei dati e del successivo trattamento è consentire a Edgio di fornire i servizi previsti dal Contratto, nella misura necessaria.
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche l’oggetto, la natura e la durata del trattamento
A seconda della configurazione dei servizi del cliente, i dettagli applicabili del sottoprocessore includono quelli forniti ai seguenti link:
https://view.highspot.com/viewer/
616088e19bf7c594a544f64
Autorità di vigilanza competente
Clausole contrattuali tipo dell’UE: L’autorità di controllo incaricata di garantire il rispetto del GDPR da parte dell’esportatore per quanto riguarda il trasferimento dei dati agisce in qualità di autorità di controllo competente.
Addendum del Regno Unito alle clausole contrattuali tipo dell’UE (se del caso): Se l’esportatore di dati è stabilito nel Regno Unito o rientra nell’ambito di applicazione territoriale delle leggi e dei regolamenti del Regno Unito in materia di protezione dei dati, l’Ufficio del Commissario per l’informazione agisce in qualità di autorità di controllo competente.
Parte C.
Misure tecniche e organizzative
POLITICA DI SICUREZZA DELLE INFORMAZIONI EDGIO
Politica sulla sicurezza delle informazioni . Edgio mantiene una politica formale e documentata sulla sicurezza delle informazioni, basata su vari standard di sicurezza riconosciuti nel settore, allineata al NIST Cybersecurity Framework ed è applicabile a tutti i dipendenti Edgio e agli utenti autorizzati sulle risorse Edgio.
Team per la sicurezza delle informazioni . Edgio gestisce team di sicurezza delle informazioni per promuovere e assistere nell’applicazione della politica e delle pratiche di sicurezza delle informazioni di Edgio.
CONFORMITÀ EDGIO AGLI STANDARD
Sicurezza del prodotto . I servizi applicabili sono progettati e implementati con controlli tecnici, logici e fisici adattati alle esigenze aziendali e di sicurezza di Edgio e dei suoi clienti. Per i servizi aziendali applicabili, Edgio certifica annualmente i controlli applicabili al servizio in base a uno o più dei seguenti standard, linee guida e pratiche:
PCI (PCI-DSS)
ISO 27001
SSAE-18 SOC 1, 2 o 3
Condivisione certificati . Ove e quando disponibile, Edgio fornirà un certificato per ogni acquisto del cliente di assistenza, su ragionevole richiesta del cliente.
Protezione dei certificati Edgio . I certificati forniti a un cliente sono considerati informazioni riservate.
COMANDI
Controlli Edgio . Edgio protegge le proprie reti utilizzando pratiche, procedure e strumenti di sicurezza riconosciuti dal settore, specificamente adattati al panorama delle minacce e all’ambiente aziendale di Edgio.
Protezione hardware di terze parti . Edgio modifica le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza.
Test regolari di sistema e sicurezza . Edgio testa regolarmente i sistemi e i processi utilizzati per la sicurezza della rete per massimizzare la capacità operativa.
Ciclo di sviluppo software sicuro . Edgio sviluppa e gestisce sistemi progettati per proteggere i dati personali dei clienti attraverso valutazioni dei rischi per la privacy e la sicurezza informatica e, se del caso, utilizza l’automazione nel ciclo di vita dello sviluppo per applicare i controlli, tra le altre pratiche.
Gestione dei dispositivi mobili . I dispositivi emessi dall’azienda Edgio, come i computer portatili e i telefoni cellulari a emissione standard, sono gestiti da persone identificabili che sono responsabili e responsabili della protezione del dispositivo nonché della sicurezza dei dati trattati da tali dispositivi. Le risorse Edgio devono essere fisicamente bloccate o in modo comparabile quando si viaggia, si trasportano o si utilizzano attrezzature in ambienti fisici diversi da Edgio.
Monitoraggio della rete . Edgio utilizza strumenti e procedure di monitoraggio della rete progettati per identificare attività non autorizzate sulle reti Edgio.
GESTIONE DEL RISCHIO DELLA CATENA DI FORNITURA
Controlli dei contratti . Edgio utilizza misure contrattuali per imporre a terzi la conformità di Edgios ai requisiti appropriati in materia di sicurezza delle informazioni, quali gli standard di sicurezza delle informazioni di Edgio, un codice di condotta dei fornitori e altre politiche di gestione dei rischi.
Gestione del rischio Edgio . Edgio ha stabilito governance, processi e strumenti che vengono utilizzati in tutta l’azienda Edgio per gestire i rischi di terze parti. Il programma richiede ai fornitori di soddisfare o superare i requisiti di sicurezza in base alle politiche di sicurezza delle informazioni aziendali di Edgio e alle BEST practice del settore. Tali strumenti e pratiche possono includere che il fornitore completi un questionario, fornisca prove di controllo e valutazioni a distanza o in loco. Il programma rileva i problemi con i fornitori e lavora per risolverli in modo tempestivo.
CONTROLLI DI ACCESSO
Gestione degli accessi
Controlli di accesso logico . Edgio mantiene policy logiche di controllo degli accessi in modo che solo il personale autorizzato abbia accesso alle applicazioni e ai sistemi aziendali critici in base ai requisiti di posizione e lavoro.
ID utente univoci . Edgio assegna a ciascun utente autorizzato un ID utente univoco per la responsabilità delle azioni.
Accedere a revisioni. Edgio utilizza le revisioni delle autorizzazioni e i processi di modifica dei ruoli per avvisare gli amministratori della necessità di modificare e/o revocare i diritti di accesso quando un utente autorizzato non richiede più l’accesso.
Registrazione attività . La politica di Edgio richiede la registrazione e il monitoraggio dell’accesso alle reti di Edgio e alle risorse di Edgio.
Strumenti di protezione . Nella rete Edgio sono stati implementati strumenti basati su hardware e software per fornire avvisi in tempo reale da dispositivi quali firewall, sistemi di rilevamento delle intrusioni, router e switch.
Registri eventi . Le risorse Edgio critiche devono essere configurate per generare i registri eventi. I registri degli eventi vengono conservati in conformità con i requisiti normativi e di conservazione dei dati.
Principio del privilegio minimo . Edgio utilizza generalmente il principio di privilegio minimo per gestire l’accesso per ciascuno dei suoi sistemi. L’accesso privilegiato per le funzioni di rete, sistema o applicazione di produzione sarà generalmente controllato e limitato al minor numero di persone operativamente fattibili ed è autorizzato sulla base della “necessità di conoscere” o “evento per evento”.
Autenticazione a più fattori per l’accesso remoto . La politica di Edgio richiede l’uso di autenticazione a più fattori per garantire l’accesso remoto alla rete di Edgio e alle risorse di Edgio.
Verifica identità . La politica di controllo degli accessi di Edgio richiede che le credenziali di accesso degli utenti autorizzati identifichino in modo univoco una persona, un sistema o un servizio e siano salvaguardate. L’accesso concesso da tali credenziali di accesso utente autorizzato deve essere riesaminato periodicamente per verificare che sia ancora necessario.
De-provisioning. L’accesso deve essere de-provisioning o rimosso quando non è più necessario (ad esempio, modifica del ruolo lavorativo) o in caso di cessazione.
SICUREZZA FISICA
Controlli fisici . Edgio utilizza i controlli per limitare l’accesso fisico alle strutture che ospitano i sistemi Edgio al personale autorizzato.
Gestione degli accessi fisici . A seconda del tipo di struttura, l’accesso può essere consentito da lettori di carte elettroniche, chiavi, guardie di sicurezza o personale locale dell’azienda.
Sorveglianza. Le telecamere a circuito chiuso vengono implementate in posizioni strategiche per proteggere il personale, le operazioni e la proprietà.
Gestione visitatori . La politica in materia di bordi richiede ai visitatori di avere e mostrare in ogni momento i badge dei visitatori emessi da Edgio. Edgio richiede ai visitatori di accedere al registro di un visitatore prima di ricevere un badge di visitatore. Il personale Edgio è tenuto a indossare sempre un documento d’identità rilasciato dall’azienda mentre si trova nei locali di Edgio.
Sicurezza del data center . Edgio richiede controlli di sicurezza fisici per ogni sala computer, data center e strutture simili.
FORMAZIONE SULLA SICUREZZA DELLE INFORMAZIONI PER DIPENDENTI E APPALTATORI
Formazione annuale sulla sensibilizzazione alla sicurezza delle informazioni . Edgio richiede ai dipendenti e agli appaltatori Edgio di completare annualmente la formazione relativa alla sicurezza delle informazioni e alla sicurezza informatica per informarli del loro ruolo nella sicurezza delle informazioni.
TEST DI PENETRAZIONE
L’uso interno di prove di penetrazione di Edgio . Edgio esegue test di penetrazione sugli ambienti interni ed esterni di Edgio, in base al rischio.
Restrizioni sui test di penetrazione . A causa dei problemi di sicurezza posti a Edgio e ai suoi clienti, Edgio non consente ai clienti di verificare lo stato di sicurezza dei dispositivi di rete che Edgio possiede, opera o che si trovano in un data center Edgio. Inoltre, Edgio non consente attacchi di tipo Denial of Service, flooding o attività di test simili che comportano un consumo significativo della larghezza di banda della rete.
FIREWALL E SEGMENTAZIONE DELLA RETE
Firewall e strumenti di sicurezza . Edgio utilizza strumenti basati su hardware e software (come i firewall) in tutta la rete Edgio per fornire avvisi in tempo reale da dispositivi quali sistemi di rilevamento delle intrusioni, router e switch.
Architettura di rete e di sistema . Edgio utilizza procedure di architettura di sistema, software e rete per ridurre i rischi informatici.
BACK-UPS (non applicabile ai contenuti del cliente)
Criteri di backup . Edgio mantiene formalmente le politiche e le procedure di backup dei dati, ove appropriato. I backup dei dati vengono gestiti e presi in considerazione durante il completamento delle attività di mappatura, conservazione o eliminazione dei dati.
Backup e test dei file critici . Gli amministratori devono eseguire regolarmente backup di file critici e adottare le opportune precauzioni per proteggere le informazioni da eventuali danni, perdite o danni. Inoltre, gli amministratori devono eseguire test periodici delle procedure di ripristino di backup/disaster recovery.
CONSERVAZIONE E DISTRUZIONE DEI DATI (non applicabile ai contenuti dei clienti)
Politica di conservazione dei dati . La politica Edgio richiede la gestione e la protezione dei dati in modo sistematico e strutturato per tutto il ciclo di vita dei dati, dalla creazione, trasmissione, archiviazione, modifica, conservazione e distruzione.
Specifico del sistema . Edgio gestisce la conservazione dei dati mediante l’uso di riepiloghi di conservazione dei dati specifici del sistema. Un riepilogo della conservazione dei dati registra quali tipi di dati contiene il sistema, lo scopo della raccolta e dell’uso di ciascun tipo di dati, gli eventi scatenanti per la distruzione e il periodo di tempo in cui i dati dovrebbero essere conservati. Questi riepiloghi sulla conservazione dei dati sono tenuti a rispettare il programma di conservazione dei dati a livello aziendale di Edgio e le leggi, le normative e i requisiti dei clienti applicabili.
Distruzione dei dati . Le pratiche di distruzione dei dati di Edgio sono allineate al NIST 800-88, e comprendono i dati contenuti su supporti magnetici, a stato solido, ottici e documenti cartacei riservati.
RISPOSTA AGLI INCIDENTI/VIOLAZIONE DEI DATI
Programma
Piano di risposta agli incidenti . Edgio mantiene un piano scritto e attuabile di risposta agli incidenti per consentire a Edgio di reagire tempestivamente alle violazioni dei dati.
Test del piano di risposta . Il piano di risposta agli incidenti di Edgio viene testato mediante esercizi da tavolo per coordinare e verificare le procedure documentate.
Risposta e mitigazione degli incidenti
Revisioni eventi di sicurezza . I dati degli eventi di sicurezza vengono esaminati e analizzati in base a una pianificazione. Gli eventi di sicurezza devono essere tempestivamente sottoposti a escalation quando vengono superate le soglie degli eventi prestabilite e a cui viene data risposta in conformità a un processo di gestione degli incidenti definito.
RISORSE UMANE
Sistemi HR; deprovisioning. I protocolli e le procedure di sicurezza delle informazioni di Edgio devono essere integrati in tutti i sistemi e processi delle risorse umane Edgio. Il reparto risorse umane (“HR”) e il reparto IT di Edgio dispongono di routine automatizzate e verificabili per la creazione di account, le autorizzazioni dei ruoli e il deprovisioning degli accessi che coprono una richiesta di nuovi dipendenti, una modifica dei ruoli o la cessazione di un dipendente.
Controlli dei precedenti personali . Nel rispetto della legge applicabile, le risorse umane completano un’indagine completa prima dell’assunzione dei dipendenti Edgio al momento dell’assunzione, che comprende casellari giudiziari, SSN, autorizzazione al lavoro e controlli sulla lista delle parti vietate (ad esempio, l’Ufficio per il controllo dei beni esteri).
Codice di condotta Edgio . Il codice di condotta Edgio impone ai dipendenti Edgio di rispettare le politiche e le procedure di sicurezza delle informazioni di Edgio.
PROGRAMMA DI GESTIONE DELLE VULNERABILITÀ
Attenuazione del rischio di vulnerabilità . Il programma di gestione delle vulnerabilità di Edgio è progettato per implementare e mantenere pratiche e procedure per ridurre il rischio di vulnerabilità nell’ambiente aziendale di Edgio.
Processo di gestione delle patch . Per mantenere un elevato livello di funzionalità e sicurezza delle reti e dei sistemi ospitati, Edgio ha un processo di gestione delle patch consolidato per l’hardware e il software di produzione installati sulla rete Edgio. Le patch di sicurezza dei fornitori vengono inizialmente valutate per determinare il rischio e la priorità di distribuzione. Una volta che una patch ha superato le procedure di test corrette, viene rilasciata per la pianificazione per essere distribuita in produzione.
Modifiche significative del sistema . Edgio pianifica, monitora, controlla e tiene traccia delle modifiche significative delle risorse Edgio.
Scansioni di vulnerabilità . Edgio esegue periodicamente scansioni di vulnerabilità interne ed esterne. I proprietari dei sistemi possono pianificare scansioni del sistema di vulnerabilità in tempo reale, in base alle necessità, per adattarsi ai vettori di minaccia in evoluzione.
Restrizioni sulla scansione del cliente . A causa della possibilità di interrompere i sistemi Edgio e di creare rischi per la sicurezza per Edgio e i suoi clienti, Edgio non consente ai clienti (o alle loro terze parti) di testare o eseguire la scansione delle risorse Edgio.
Restrizioni alla condivisione dei rapporti . “Edgio non fornisce segnalazioni di vulnerabilità né risponde a specifiche domande “CVE” relative all’utilizzo e/o al mancato utilizzo di hardware, software o prodotti di terze parti specifici distribuiti all’interno dell’infrastruttura Edgio.”
CONTINUITÀ OPERATIVA E GESTIONE DEGLI EVENTI (“BCEM”)
Protocolli di continuità operativa . Edgio mantiene protocolli di business continuity e disaster recovery progettati per migliorare la capacità di Edgio di rispondere a eventi significativi che potrebbero interrompere le reti e le strutture di Edgio o compromettere in altro modo la capacità di fornire servizi.
Valutazione del rischio di catastrofi . Le pratiche di business continuity e disaster recovery di Edgio identificano i potenziali rischi di ripristino per le risorse Edgio e implementano misure volte a ridurre al minimo e mitigare tali rischi utilizzando pratiche accettate dal settore.
Risorse dedicate per il team . Edgio sviluppa e implementa strategie progettate per ridurre al minimo i rischi di recupero e convalidare le capacità di risposta di Edgio attraverso una rigorosa pianificazione standardizzata e test periodici.
ALLEGATO 2: CLAUSOLE CONTRATTUALI TIPO DA UTILIZZARE NEI TRASFERIMENTI DALL’UE
(Da controller a processori)
DECISIONE DI ESECUZIONE (UE) 2021/914 DELLA COMMISSIONE, del 4 giugno 2021, relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (trasferimenti del titolare del trattamento verso responsabili del trattamento).
Tra il cliente di seguito “esportatore di dati” e Edgio, Inc. Di seguito “importatore di dati” ciascuno una “parte”; insieme “le parti”,
IN CONSIDERAZIONE delle reciproche convenzioni e promesse contenute nel presente documento
HANNO CONVENUTO le seguenti clausole contrattuali (“clausole”) al fine di fornire garanzie adeguate in materia di tutela della vita privata e dei diritti e delle libertà fondamentali delle persone fisiche per il trasferimento all’importatore dei dati personali di cui all’allegato 1 da parte dell’esportatore di dati.
SEZIONE I.
Clausola 1
Scopo e ambito di applicazione
A) lo scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) per il trasferimento di dati verso un paese terzo.
b) le parti:
i) le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri organismi (di seguito «entità») che trasferiscono i dati personali elencati nell’allegato i bis (di seguito «esportatore di dati»), e
ii) le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato i bis (di seguito «importatore di dati»)
Hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»).
c) le presenti clausole si applicano al trasferimento di dati personali, come specificato nell’allegato I.B.
d) l’appendice delle presenti clausole, contenente gli allegati ivi menzionati, costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle clausole
A) le presenti clausole stabiliscono garanzie adeguate, compresi i diritti applicabili degli interessati e i mezzi di ricorso effettivi, a norma dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai titolari del trattamento ai responsabili del trattamento e/o ai responsabili del trattamento, le clausole contrattuali tipo a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, a condizione che non siano modificate, tranne per selezionare i moduli appropriati o per aggiungere o aggiornare le informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo contenute nelle presenti clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, a condizione che esse non siano in contrasto, direttamente o indirettamente, con le presenti clausole né pregiudichino i diritti o le libertà fondamentali degli interessati.
b) le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore di dati a norma del regolamento (UE) 2016/679.
Clausola 3
Beneficiari terzi
A) gli interessati possono invocare e far rispettare le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore di dati, con le seguenti eccezioni:
i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;
ii) clausola 8 — modulo 2: Clausola 8,1, lettera b), punto 8,9, lettere a), c), d) ed e);
iii) clausola 9 — modulo 2: Clausola 9, lettera a), c), (d) e. e);
iv) clausola 12 – moduli 2: Clausola 12, lettere a), d) e f);
v) clausola 13;
vi) punto 15.1, lettere c), d) ed e);
vii) clausola 16, lettera e);
viii) clausola 18 – modulo 2: Clausola 18, lettere a) e b).
b) paragrafo A) non pregiudica i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4
Interpretazione
A) qualora le presenti clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di tale regolamento.
b) le presenti clausole sono lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
c) le presenti clausole non devono essere interpretate in modo da essere in conflitto con i diritti e gli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni dei relativi accordi tra le parti, esistenti al momento in cui tali clausole sono concordate o sottoscritte successivamente, prevarranno le presenti clausole.
Clausola 6
Descrizione dei trasferimenti
I dettagli del trasferimento o dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti, sono specificati nell’allegato i, parte B.
Clausola 7
Clausola di ancoraggio
DELIBERATAMENTE VUOTO.
SEZIONE II – OBBLIGHI DELLE PARTI
Clausola 8
Garanzie di protezione dei dati
L’esportatore garantisce di aver compiuto sforzi ragionevoli per stabilire che l’importatore è in grado, mediante l’attuazione di misure tecniche e organizzative adeguate, di adempiere agli obblighi che gli incombono in virtù delle presenti clausole.
8,1 istruzioni
A) l’importatore tratta i dati personali solo su istruzioni documentate dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.
b) l’importatore informa immediatamente l’esportatore se non è in grado di seguire tali istruzioni.
8,2 limitazione dello scopo
L’importatore tratta i dati personali solo per le finalità specifiche del trasferimento, come indicato nell’allegato I.B, salvo ulteriori istruzioni dell’esportatore.
8,3 trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può modificare parte del testo dell’appendice delle presenti clausole prima di condividerne una copia, ma fornisce una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprendere il suo contenuto o di esercitare i suoi diritti. Su richiesta, le parti forniscono all’interessato i motivi delle revisioni, nella misura del possibile senza rivelare le informazioni modificate. La presente clausola non pregiudica gli obblighi dell’esportatore di dati a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8,4 precisione
Se l’importatore viene a conoscenza che i dati personali che ha ricevuto sono inesatti o sono divenuti obsoleti, ne informa l’esportatore senza indebito ritardo. In tal caso, l’importatore collabora con l’esportatore per cancellare o rettificare i dati.
8,5 durata del trattamento e della cancellazione o della restituzione dei dati
Il trattamento da parte dell’importatore ha luogo solo per la durata specificata nell’allegato I.B., dopo la fine della fornitura dei servizi di trattamento, l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica all’esportatore che l’ha fatto, o restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l’importatore continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà a garantire la conformità alle presenti clausole e la elaborerà solo nella misura e per il tempo richiesto dalla legge locale. Ciò non pregiudica la clausola 14, in particolare l’obbligo per l’importatore di dati ai sensi della clausola 14, lettera e), di notificare all’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia divenuto soggetto a leggi o pratiche non conformi ai requisiti di cui alla clausola 14, lettera a).
8,6 sicurezza del trattamento
A) l’importatore e, durante la trasmissione, anche l’esportatore attuano le opportune misure tecniche e organizzative per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali») accidentale o illecita. Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi connessi al trattamento per gli interessati. Le parti valutano in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora lo scopo del trattamento possa essere conseguito in tale modo. In caso di pseudonimizzazione, le informazioni supplementari per attribuire i dati personali a una determinata persona interessata restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempimento degli obblighi di cui al presente paragrafo, l’importatore attua almeno le misure tecniche e organizzative specificate nell’allegato II L’importatore effettua controlli regolari per garantire che tali misure continuino a garantire un livello adeguato di sicurezza.
b) l’importatore concede l’accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Essa garantisce che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
c) in caso di violazione dei dati personali relativi a dati personali trattati dall’importatore ai sensi delle presenti clausole, l’importatore adotta le misure appropriate per porvi rimedio, comprese misure volte ad attenuarne gli effetti negativi. L’importatore informa inoltre l’esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto in cui è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, misure per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni allora disponibili e le informazioni supplementari, non appena disponibili, sono fornite senza indebito ritardo.
d) l’importatore collabora con l’esportatore e lo assiste per consentire all’esportatore di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare per informare l’autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’importatore.
8,7 dati sensibili
Se il trasferimento comporta dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito «dati sensibili»), l’importatore applica le restrizioni specifiche e/o le garanzie supplementari descritte nell’allegato I.B.
8,8 trasferimenti successivi
L’importatore comunica i dati personali a terzi solo su istruzioni documentate dell’esportatore. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell’Unione europea (nello stesso paese dell’importatore o in un altro paese terzo, di seguito «trasferimento successivo») solo se il terzo è o accetta di essere vincolato dalle presenti clausole, ai sensi del modulo appropriato, o se:
i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza a norma dell’articolo 45 del regolamento (UE) 2016/679 che riguarda il trasferimento successivo;
ii) il terzo garantisca altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;
iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in giudizio nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure
iv) il trasferimento successivo è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica.
Qualsiasi trasferimento successivo è subordinato al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8,9 documentazione e conformità
A) l’importatore si occupa tempestivamente e in modo adeguato delle richieste dell’esportatore relative al trattamento di cui alle presenti clausole.
b) le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva la documentazione appropriata sulle attività di trattamento svolte per conto dell’esportatore.
c) l’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e su richiesta dell’esportatore, consentire e contribuire agli audit delle attività di trattamento contemplate dalle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere in merito a un riesame o a un audit, l’esportatore di dati può tenere conto delle pertinenti certificazioni detenute dall’importatore di dati.
d) l’esportatore di dati può scegliere di effettuare la revisione da solo o di affidare il mandato a un revisore indipendente. Gli audit possono comprendere ispezioni presso i locali o le strutture fisiche dell’importatore di dati e, se del caso, sono effettuati con ragionevole preavviso.
E) le parti comunicano le informazioni di cui ai paragrafi b) e. c), compresi i risultati di eventuali audit, a disposizione dell’autorità di controllo competente su richiesta.
Clausola 9
Uso di sub-processori
A) l’importatore disponga dell’autorizzazione generale dell’esportatore per l’assunzione di uno o più subincaricati da un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di dati di eventuali modifiche previste a tale elenco mediante l’aggiunta o la sostituzione di subincaricati con almeno trenta (30) giorni di anticipo, dando così all’esportatore il tempo sufficiente per opporsi a tali modifiche prima dell’assunzione del subincaricato o dei subincaricati. L’importatore fornisce all’esportatore le informazioni necessarie per consentire all’esportatore di esercitare il suo diritto di opposizione.
b) se l’importatore ingaggia un subincaricato per svolgere specifiche attività di trattamento (per conto dell’esportatore), lo fa mediante un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati di quelli che vincolano l’importatore ai sensi delle presenti clausole, anche in termini di diritti dei terzi beneficiari per gli interessati. Le parti convengono che, rispettando la presente clausola, l’importatore adempie agli obblighi che gli incombono in virtù della clausola 8,8. L’importatore assicura che il subincaricato rispetti gli obblighi cui è soggetto l’importatore ai sensi delle presenti clausole.
c) l’importatore fornisce, su richiesta dell’esportatore, una copia di tale accordo di subtrattamento e di eventuali successive modifiche all’esportatore. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può modificare il testo dell’accordo prima di condividerne una copia.
d) l’importatore resta pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del subincaricato in virtù del suo contratto con l’importatore. L’importatore informa l’esportatore di dati di qualsiasi inadempimento da parte del subincaricato degli obblighi che gli incombono in virtù di tale contratto.
E) l’importatore concorda con il subincaricato una clausola del terzo beneficiario in base alla quale, nel caso in cui l’importatore sia scomparso, cessato di esistere per legge o sia diventato insolvente, l’esportatore ha il diritto di risolvere il contratto del subincaricato e di istruire il subincaricato di cancellare o restituire i dati personali.
Clausola 10
Diritti degli interessati
(a) L’importatore informa tempestivamente l’esportatore di qualsiasi richiesta ricevuta da un interessato. Essa non risponde direttamente a tale richiesta, a meno che non sia stata autorizzata a farlo dall’esportatore.
b) l’importatore assiste l’esportatore nell’adempimento dei suoi obblighi di rispondere alle richieste degli interessati di esercitare i loro diritti a norma del regolamento (UE) 2016/679. A tale riguardo, le parti definiscono nell’allegato II le opportune misure tecniche e organizzative, tenendo conto della natura del trattamento, mediante il quale viene fornita l’assistenza, nonché della portata e della portata dell’assistenza richiesta.
c) nell’adempimento degli obblighi di cui ai paragrafi (a) e. b) l’importatore si conforma alle istruzioni dell’esportatore.
Clausola 11
Riparazione
A) l’importatore informa gli interessati, in un formato trasparente e facilmente accessibile, tramite un avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Essa tratta tempestivamente qualsiasi reclamo ricevuto da un interessato.
b) in caso di controversia tra una persona interessata e una delle parti in merito al rispetto delle presenti clausole, la parte si adopera al massimo per risolvere la questione amichevolmente e tempestivamente. Le parti si tengono reciprocamente informate in merito a tali controversie e, se del caso, collaborano per risolverle.
c) se l’interessato invoca un diritto terzo beneficiario ai sensi della clausola 3, l’importatore accetta la decisione dell’interessato di:
i) presentare un reclamo all’autorità di controllo dello Stato membro di residenza o luogo di lavoro abituali o all’autorità di controllo competente ai sensi della clausola 13;
ii) deferire la controversia ai tribunali competenti ai sensi della clausola 18.
d) le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
E) l’importatore si attiene a una decisione vincolante ai sensi del diritto dell’UE o degli Stati membri applicabile.
f) l’importatore conviene che la scelta dell’interessato non pregiudica i suoi diritti sostanziali e procedurali di chiedere rimedi conformemente alla legislazione applicabile.
Clausola 12
Responsabilità
A) ciascuna parte sarà responsabile nei confronti dell’altra o delle altre parti per qualsiasi danno causato all’altra parte in caso di violazione delle presenti clausole.
b) l’importatore è responsabile nei confronti dell’interessato e l’interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale causato dall’importatore o dal suo subincaricato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.
c) in deroga al paragrafo b) l’esportatore è responsabile nei confronti dell’interessato e l’interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale causato dall’esportatore o dall’importatore (o dal suo subincaricato) all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell’esportatore e, se l’esportatore è un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.
d) le parti convengono che, se l’esportatore è ritenuto responsabile ai sensi del paragrafo c) per i danni causati dall’importatore (o dal suo subincaricato), quest’ultimo ha il diritto di chiedere all’importatore la parte del risarcimento corrispondente alla responsabilità dell’importatore per il danno.
E) qualora più di una parte sia responsabile di qualsiasi danno causato all’interessato in seguito a una violazione delle presenti clausole, tutte le parti responsabili saranno responsabili in solido e l’interessato ha il diritto di adire un’azione giudiziaria contro una di queste parti.
f) le parti convengono che se una parte è ritenuta responsabile ai sensi del paragrafo E) ha il diritto di chiedere all’altra parte o alle altre parti la parte del risarcimento corrispondente alla sua responsabilità per il danno.
G) l’importatore non può invocare la condotta di un subincaricato per evitare la propria responsabilità.
Clausola 13
Supervisione
L’autorità di controllo responsabile di garantire che l’esportatore di dati rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell’allegato I.C, agisce in qualità di autorità di controllo competente.
b) l’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con essa in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, di sottoporsi a audit e di rispettare le misure adottate dall’autorità di controllo, comprese le misure correttive e compensative. Essa fornisce all’autorità di controllo la conferma scritta che sono state adottate le misure necessarie.
SEZIONE III – LEGGI E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE
Clausola 14
Leggi e prassi locali che influiscono sulla conformità alle clausole
A) le parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di adempiere agli obblighi previsti dalle presenti clausole. Ciò si basa sulla consapevolezza che le leggi e le pratiche che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non sono in contraddizione con tali clausole.
b) le parti dichiarano che nel fornire la garanzia di cui al paragrafo a) hanno tenuto debitamente conto, in particolare, dei seguenti elementi:
i) le circostanze specifiche del trasferimento, compresa la durata della catena di perfezionamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;
ii) le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento e delle limitazioni e garanzie applicabili;
iii) tutte le pertinenti garanzie contrattuali, tecniche o organizzative messe in atto per integrare le garanzie previste dalle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
c) l’importatore di dati garantisce che, nell’effettuare la valutazione di cui al paragrafo b) si è adoperata al massimo per fornire all’esportatore le informazioni pertinenti e accetta di continuare a collaborare con l’esportatore per garantire il rispetto delle presenti clausole.
d) le parti convengono di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
E) l’importatore si impegna a notificare tempestivamente all’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere che esso sia o sia divenuto soggetto a leggi o pratiche non conformi ai requisiti di cui alla lettera a), anche in seguito a una modifica della legislazione del paese terzo o a una misura (come una richiesta di divulgazione) indicante un’applicazione pratica di tali leggi che non sia in linea con i requisiti di cui alla lettera a).
f) a seguito di una notifica ai sensi della lettera e), o se l’esportatore ha altrimenti motivo di ritenere che l’importatore non possa più adempiere agli obblighi previsti dalle presenti clausole, l’esportatore deve individuare prontamente le misure appropriate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l’esportatore e/o l’importatore devono adottare per affrontare la situazione, sospende il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento o se richiesto dall’esportatore competente, salvo disposizione della clausola di cui le parti contraenti, in caso di risoluzione dei dati, salvo la clausola di cui detta clausola di cui il contratto sia applicabile.
Clausola 15
Obblighi dell’importatore in caso di accesso da parte delle autorità pubbliche
15,1 notifica
A) l’importatore si impegna a notificare tempestivamente all’esportatore e, se possibile, all’interessato (se necessario con l’aiuto dell’esportatore) se:
i) riceve una richiesta giuridicamente vincolante da un’autorità pubblica, comprese le autorità giudiziarie, ai sensi del diritto del paese di destinazione, di divulgazione dei dati personali trasferiti in virtù delle presenti clausole; tale notifica include informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure
ii) venga a conoscenza di qualsiasi accesso diretto delle autorità pubbliche ai dati personali trasferiti in applicazione delle presenti clausole in conformità della legislazione del paese di destinazione; tale notifica deve includere tutte le informazioni di cui dispone l’importatore.
b) se all’importatore è vietato notificare all’esportatore e/o all’interessato in base alla legislazione del paese di destinazione, l’importatore accetta di fare tutto il possibile per ottenere una deroga al divieto, al fine di comunicare quanto più possibile le informazioni. L’importatore accetta di documentare i suoi sforzi al fine di poterli dimostrare su richiesta dell’esportatore.
c) se consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire all’esportatore, a intervalli regolari per tutta la durata del contratto, tutte le informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedente, se le richieste sono state contestate e l’esito di tali sfide, ecc.).
d) l’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per tutta la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
E) le lettere da a) a c) non pregiudicano l’obbligo dell’importatore di dati ai sensi della clausola 14, lettera e), e della clausola 16 di informare tempestivamente l’esportatore di dati qualora non sia in grado di conformarsi alle presenti clausole.
15,2 revisione della legalità e minimizzazione dei dati
A) l’importatore accetta di riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rimane nell’ambito dei poteri conferiti all’autorità pubblica richiedente, e di contestare la richiesta se, dopo un’attenta valutazione, giunge alla conclusione che vi sono fondati motivi per ritenere che la richiesta sia illegittima ai sensi del diritto del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di comunità internazionale. Alle stesse condizioni, l’importatore persegue le possibilità di ricorso. Nell’impugnare una richiesta, l’importatore di dati chiede misure provvisorie per sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso in merito. Essa non divulga i dati personali richiesti fino a quando ciò non sia richiesto dalle norme procedurali applicabili. Tali requisiti non pregiudicano gli obblighi dell’importatore di dati di cui alla clausola 14, lettera e).
b) l’importatore accetta di documentare la propria valutazione giuridica e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalla legislazione del paese di destinazione, di mettere la documentazione a disposizione dell’esportatore. Esso lo mette inoltre a disposizione dell’autorità di controllo competente su richiesta.
c) l’importatore accetta di fornire la quantità minima di informazioni ammessa per rispondere a una richiesta di divulgazione, sulla base di un’interpretazione ragionevole della richiesta.
SEZIONE IV – DISPOSIZIONI FINALI
Clausola 16
Inosservanza delle clausole e risoluzione
A) l’importatore informa tempestivamente l’esportatore se, per qualsiasi motivo, non è in grado di rispettare le presenti clausole.
b) nel caso in cui l’importatore di dati violi le presenti clausole o non sia in grado di conformarsi alle presenti clausole, l’esportatore sospende il trasferimento di dati personali all’importatore di dati fino a quando non sia nuovamente assicurata la conformità o non sia risolto il contratto. Ciò non pregiudica la clausola 14(f).
c) l’esportatore ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, se:
i) l’esportatore abbia sospeso il trasferimento di dati personali all’importatore di dati a norma della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e comunque entro un mese dalla sospensione;
ii) l’importatore abbia violato in modo sostanziale o persistente le presenti clausole; oppure
iii) l’importatore non rispetta una decisione vincolante di un organo giurisdizionale o di un’autorità di controllo competente in merito agli obblighi che gli incombono ai sensi delle presenti clausole.
In tali casi, informa l’autorità di controllo competente di tale inosservanza. Se il contratto coinvolge più di due parti, l’esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, salvo diverso accordo tra le parti.
d) i dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo 1 c) sono immediatamente restituiti all’esportatore o cancellati integralmente, a scelta dell’esportatore. Lo stesso vale per tutte le copie dei dati. L’importatore certifica la cancellazione dei dati all’esportatore. Fino a quando i dati non saranno cancellati o restituiti, l’importatore continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore che vietano la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà a garantire la conformità alle presenti clausole e tratterà i dati solo nella misura e per il tempo richiesto dalla legge locale.
E) ciascuna delle parti può revocare il proprio consenso ad essere vincolata dalle presenti clausole, qualora i) la Commissione europea adotta una decisione a norma dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 che riguarda il trasferimento di dati personali a cui si applicano le presenti clausole; oppure ii) il regolamento (UE) 2016/679 entra a far parte del quadro giuridico del paese in cui i dati personali sono trasferiti. Ciò non pregiudica altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17
Legge applicabile
Le presenti clausole sono disciplinate dal diritto di uno degli Stati membri dell’UE, purché tale legge consenta di esercitare diritti a terzi beneficiari. Le parti convengono che questa sarà la legge dell’Irlanda.
Clausola 18
Scelta del foro e della giurisdizione
A) qualsiasi controversia derivante dalle presenti clausole è risolta dalle autorità giurisdizionali di uno Stato membro dell’UE.
b) le parti convengono che questi sono i tribunali dell’Irlanda.
c) L’interessato può anche adire l’esportatore e/o l’importatore di dati dinanzi alle autorità giurisdizionali dello Stato membro in cui ha la sua residenza abituale.
d) le parti convengono di assoggettarsi alla giurisdizione di tali tribunali.
Clausola 19
Trasferimento soggetto alla legge svizzera sulla protezione dei dati
(A) nella misura in cui le leggi e le normative sulla protezione dei dati e sulla privacy della Svizzera (“Legge svizzera sulla protezione dei dati “) si applica al trasferimento di dati personali, l’esportatore e l’importatore concordano che le presenti clausole sono modificate in modo che, per quanto riguarda (solo) tale trasferimento (e senza limitare o pregiudicare l’applicazione delle presenti clausole in altro modo):
io I riferimenti generali e specifici contenuti nelle presenti clausole al regolamento (UE) 2016/679 o a “tale regolamento” o al diritto dell’UE o degli Stati membri hanno lo stesso significato del riferimento equivalente nella legislazione svizzera sulla protezione dei dati;
ii Il termine “Stato membro” non sarà interpretato in modo da escludere gli interessati in Svizzera dalla possibilità di fare causa per i loro diritti nel loro luogo di residenza abituale (Svizzera) conformemente alla clausola 18, lettera c), delle presenti clausole;
iii I dettagli dei trasferimenti sono quelli specificati nell’allegato i, dove le leggi svizzere sulla protezione dei dati si applicano al trattamento dell’esportatore al momento del trasferimento;
iv. Le presenti clausole si applicano anche al trasferimento di informazioni relative a una persona giuridica identificata o identificabile, qualora tali informazioni siano protette in modo analogo ai “dati personali” ai sensi delle leggi svizzere sulla protezione dei dati fino a quando tali leggi non siano modificate per non essere più applicabili a un’entità giuridica; e
v. il Commissario federale svizzero per la protezione dei dati e l’informazione è l’autorità di controllo competente ai fini della clausola 13 delle presenti clausole.
ALLEGATO I DEL PUNTO 2
A. ELENCO DELLE PARTI
ESPORTATORE/I DI DATI: [Identità e recapiti dell’esportatore/degli esportatori di dati e, se del caso, del suo/dei loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]
Vedere l’illustrazione 1, parte A.
B. DESCRIZIONE DEL TRASFERIMENTO
Vedere l’allegato 1, parte B.
C. AUTORITÀ DI CONTROLLO COMPETENTE
Vedere l’allegato 1, parte B.
ALLEGATO II DEL PUNTO 2
Vedere l’allegato 1, parte C.
ALLEGATO III DELL’ALLEGATO 2
ELENCO DEI SOTTOPROCESSORI
Non applicabile.
ALLEGATO 3
APPENDICE DEL REGNO UNITO ALLE CLAUSOLE CONTRATTUALI STANDARD DELL’UE
Data del presente addendum:
1) il presente addendum è valido a partire dalla stessa data delle clausole.
Sfondo:
2) l’Information Commissioner ritiene che il presente addendum fornisca garanzie adeguate ai fini dei trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale in base agli articoli 46 del GDPR del Regno Unito e, per quanto riguarda i trasferimenti di dati dai titolari del trattamento ai responsabili del trattamento e/o ai responsabili del trattamento ai responsabili del trattamento.
Interpretazione del presente addendum
3) se il presente addendum utilizza termini definiti nell’allegato, tali termini hanno lo stesso significato di cui al punto 2.22 dell’allegato. Inoltre, i seguenti termini hanno i seguenti significati:
Il presente addendum
Il presente addendum alle clausole
L’allegato
Leggi sulla protezione dei dati del Regno Unito
Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di tanto in tanto nel Regno Unito, inclusi il GDPR del Regno Unito e il Data Protection Act del 2018.
GDPR DEL REGNO UNITO
Il regolamento generale sulla protezione dei dati del Regno Unito, in quanto fa parte del diritto di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 della legge del 2018 sull’Unione europea (recesso).
REGNO UNITO
Il Regno Unito di Gran Bretagna e Irlanda del Nord
4) il presente addendum deve essere letto e interpretato alla luce delle disposizioni delle leggi del Regno Unito sulla protezione dei dati e in modo che, se soddisfa l’intenzione di fornire le garanzie appropriate come previsto dall’articolo 46 del GDPR.
5. Il presente addendum non deve essere interpretato in modo da essere in conflitto con i diritti e gli obblighi previsti dalle leggi sulla protezione dei dati del Regno Unito.
6) qualsiasi riferimento alla legislazione (o a disposizioni specifiche della legislazione) significa che la legislazione (o disposizione specifica) può cambiare nel tempo. Ciò include il caso in cui tale legislazione (o disposizione specifica) sia stata consolidata, riemanata e/o sostituita dopo che il presente addendum è stato stipulato.
Gerarchia
7) in caso di conflitto o incongruenza tra il presente addendum e le disposizioni delle clausole o di altri accordi correlati tra le parti, esistenti al momento in cui il presente addendum viene concordato o concluso successivamente, prevalgono le disposizioni che garantiscono la massima protezione agli interessati.
Integrazione delle clausole
8) il presente addendum incorpora le clausole che si ritiene siano modificate nella misura necessaria per il loro funzionamento:
a.. Per i trasferimenti effettuati dall’esportatore all’importatore di dati, nella misura in cui la legislazione del Regno Unito sulla protezione dei dati si applichi al trattamento dell’esportatore al momento del trasferimento; e
b.. Fornire garanzie adeguate per i trasferimenti in conformità agli articoli 46 delle leggi GDPR del Regno Unito.
9) le modifiche richieste dalla precedente sezione 7 comprendono (senza limitazione):
a.. Per “clausole” si intende il presente addendum in quanto esso incorpora le clausole
b.. La clausola 6 Descrizione dei trasferimenti è sostituita dalla seguente:
“I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti, sono quelli specificati nell’allegato i, parte B, in cui le leggi del Regno Unito sulla protezione dei dati si applicano al trattamento da parte dell’esportatore al momento del trasferimento.”
d.. I riferimenti al “regolamento (UE) 2016/679” o al “suddetto regolamento” sono sostituiti da “leggi del Regno Unito sulla protezione dei dati” e i riferimenti a specifici articoli del “regolamento (UE) 2016/679” sono sostituiti dall’articolo o sezione equivalente della legislazione del Regno Unito sulla protezione dei dati.
e.. I riferimenti al regolamento (UE) 2018/1725 sono soppressi.
f.. I riferimenti a “Unione”, “UE” e “Stato membro dell’UE” sono tutti sostituiti da “Regno Unito”
g.. La clausola 13, lettera a), e la parte C dell’allegato II non sono utilizzate; la “autorità di controllo competente” è l’Information Commissioner;
h.. La clausola 17 è sostituita con lo stato “queste clausole sono regolate dalle leggi di Inghilterra e Galles”.
io Il punto 18 è sostituito dal seguente:
j. “Qualsiasi controversia derivante dalle presenti clausole sarà risolta dai tribunali dell’Inghilterra e del Galles. L’interessato può anche intentare procedimenti giudiziari nei confronti dell’esportatore e/o dell’importatore di dati dinanzi ai tribunali di qualsiasi paese del Regno Unito. Le parti convengono di sottoporsi alla giurisdizione di tali tribunali.”
k.. Le note a piè di pagina delle clausole non fanno parte dell’addendum.
Modifiche al presente addendum
10) le parti possono convenire di modificare la clausola 17 e/o 18 per fare riferimento alle leggi e/o ai tribunali della Scozia o dell’Irlanda del Nord.
11. Le parti possono modificare il presente addendum a condizione che mantenga le opportune garanzie richieste dall’articolo 46 del GDPR del Regno Unito per il relativo trasferimento integrando le clausole e apportando modifiche a esse in conformità alla precedente sezione 7.
Esecuzione del presente Addendum
12) le parti possono stipulare l’addendum (che incorpora le clausole) in qualsiasi modo che le renda giuridicamente vincolanti per le parti e consenta agli interessati di far valere i loro diritti come stabilito nelle clausole. Ciò include (ma non è limitato a):
a.. Aggiungendo il presente addendum alle clausole e includendo nelle seguenti lettere le firme di cui all’allegato 1A:
“Firmando accettiamo di essere vincolati dall’addendum del Regno Unito alle clausole contrattuali standard della Commissione europea datate:” e aggiungiamo la data (dove tutti i trasferimenti sono soggetti all’addendum)
“Con la firma accettiamo anche di essere vincolati dall’addendum del Regno Unito alle clausole contrattuali standard della Commissione europea datate” e aggiungiamo la data (in caso di trasferimenti sia ai sensi delle clausole che dell’addendum) (o parole con lo stesso effetto) e l’esecuzione delle clausole; oppure
b.. Modificando le clausole in conformità al presente addendum ed eseguendo tali clausole modificate.
ALLEGATO I DEL PUNTO 3
A. ELENCO DELLE PARTI
ESPORTATORE/I DI DATI: [Identità e recapiti dell’esportatore/degli esportatori di dati e, se del caso, del suo/dei loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]
Vedere l’illustrazione 1, parte A.
B. DESCRIZIONE DEL TRASFERIMENTO
Vedere l’allegato 1, parte B.
C. AUTORITÀ DI CONTROLLO COMPETENTE
Vedere l’allegato 1, parte B.
ALLEGATO II DEL PUNTO 3
Vedere l’allegato 1, parte C.
ALLEGATO III DELL’ALLEGATO 3
ELENCO DEI SOTTOPROCESSORI
Non applicabile.