Base di conoscenzaNotizieSupporto
DreamHost
Torna alla panoramica legale

Queste traduzioni sono state fornite per comodità, ma le versioni in inglese di tutti i Termini di Servizio regolerà tutte le questioni legali.

Appendice Elaborazione Dati Cliente

Ultimo Aggiornamento:

17 settembre 2024

La presente Appendice Elaborazione Dati ("DPA"), datata 27 dicembre 2022 (la "Data di Entrata in Vigore"), è stipulata e fa parte del contratto generale e del rapporto ai sensi dei Termini di Servizio (e di qualsiasi altro accordo che regola i nostri Servizi) come modificato e integrato di volta in volta (l'"Accordo"), tra te ("Cliente") e DreamHost ("Società"). Tutti i termini in maiuscolo non definiti nella presente DPA avranno il significato indicato nell'Accordo.

Definizioni

  • "Affiliato" indica un'entità che direttamente o indirettamente Controlla, è Controllata da o è sotto Controllo comune con un'entità.
  • "Accordo" ha il significato indicato nella sezione introduttiva.
  • "Controllo" indica una proprietà, diritto di voto o interesse simile che rappresenta il cinquanta percento (50%) o più degli interessi totali in circolazione dell'entità in questione. Il termine "Controllato" sarà interpretato di conseguenza.
  • "Titolare del trattamento" indica un'entità che determina le finalità e i mezzi del Trattamento dei Dati Personali.
  • "Dati del Cliente" indica qualsiasi Dato Personale che la Società Tratta per conto del Cliente nel corso della fornitura dei Servizi.
  • "Leggi Applicabili sulla Protezione dei Dati" indica tutte le leggi efficaci sulla protezione dei dati e sulla privacy applicabili al Trattamento dei Dati Personali ai sensi dell'Accordo, incluse, a titolo esemplificativo ma non esaustivo, ove applicabili, il GDPR, le Leggi sulla Protezione dei Dati del Regno Unito e il CCPA.
  • "SEE" indica, ai fini della presente DPA, lo Spazio Economico Europeo e la Svizzera.
  • "GDPR" indica il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati), e tutte le implementazioni applicabili degli stati membri.
  • "Clausole Modello" indica le Clausole Contrattuali Standard modulo per Titolari a Responsabili come approvate dalla Commissione Europea nella forma indicata nell'Allegato D, come integrate dall'Appendice per il Trasferimento Internazionale dei Dati dell'Ufficio del Commissario per l'Informazione del Regno Unito.
  • "CCPA" indica il California Consumer Privacy Act del 2018 [Sezioni 1798.100 - 1798.199 del Codice Civile della California], come modificato (anche dal California Privacy Rights Act del 2020), e i relativi regolamenti di attuazione.
  • "Dati Personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • "Violazione dei Dati Personali" indica una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque Trattati.
  • "Trattamento" indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. "Tratta", "Trattamenti" e "Trattato" saranno interpretati di conseguenza.
  • "Responsabile del trattamento" indica un'entità che Tratta i Dati Personali per conto di un Titolare del trattamento.
  • "Servizi" indica qualsiasi prodotto o servizio fornito dalla Società al Cliente ai sensi dell'Accordo.
  • "Sub-responsabile" indica un terzo incaricato dalla Società per assistere nell'adempimento dei suoi obblighi relativi alla fornitura dei Servizi ai sensi dell'Accordo o della presente DPA.
  • "Leggi sulla Protezione dei Dati del Regno Unito" indica: (i) il Regolamento Generale sulla Protezione dei Dati del Regno Unito; e (ii) il Data Protection Act 2018.

1. Ambito di applicazione della presente DPA

La presente DPA si applica dove e solo nella misura in cui la Società Tratta Dati del Cliente che sono soggetti alle Leggi Applicabili sulla Protezione dei Dati per conto del Cliente nel corso della fornitura dei Servizi al Cliente ai sensi dell'Accordo.

2. Ruoli e ambito del trattamento

Ruolo delle Parti. Tra la Società e il Cliente, il Cliente è il Titolare del trattamento dei Dati del Cliente, e la Società Tratterà i Dati del Cliente solo come Responsabile del trattamento che agisce per conto del Cliente. Nella misura in cui il CCPA è applicabile al Trattamento dei Dati del Cliente ai sensi dell'Accordo, le parti concordano che il Cliente è una "azienda" e la Società è un "fornitore di servizi", come tali termini sono definiti nel CCPA.

Trattamento dei Dati del Cliente da parte del Cliente. Il Cliente accetta che (i) rispetterà i propri rispettivi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati rispetto al Trattamento dei Dati del Cliente e qualsiasi istruzione di Trattamento che emette alla Società; e (ii) ha fornito notifica e ottenuto (o otterrà) tutti i consensi e i diritti necessari ai sensi delle Leggi Applicabili sulla Protezione dei Dati affinché la Società Tratti i Dati del Cliente ai sensi dell'Accordo e della presente DPA.

Trattamento dei Dati del Cliente da parte della Società. La Società Tratterà i Dati del Cliente solo per le finalità descritte nella presente DPA e solo in conformità con le istruzioni documentate lecite del Cliente. Le parti concordano che la presente DPA e l'Accordo stabiliscono le istruzioni complete e finali del Cliente alla Società in relazione al Trattamento dei Dati del Cliente e il Trattamento al di fuori dell'ambito di queste istruzioni (se presente) richiederà un accordo scritto preliminare tra il Cliente e la Società.

Dettagli del Trattamento. I dettagli del Trattamento ai sensi dell'Accordo sono indicati nell'Allegato A.

Eccezioni. Nonostante qualsiasi disposizione contraria nell'Accordo (inclusa la presente DPA), il Cliente riconosce che la Società avrà il diritto di utilizzare e divulgare dati relativi all'operazione, al supporto e/o all'uso dei Servizi per i suoi legittimi scopi commerciali come fatturazione, gestione dell'account, supporto tecnico, sviluppo e miglioramento del prodotto, e vendite e marketing. Nella misura in cui tali dati utilizzati esclusivamente per gli scopi commerciali della Società sono considerati Dati Personali ai sensi delle Leggi Applicabili sulla Protezione dei Dati, la Società è il Titolare del trattamento di tali dati e di conseguenza garantisce che Tratterà tali dati in conformità con la Politica sulla Privacy della Società e le Leggi sulla Protezione dei Dati.

3. Sub-trattamento

Sub-responsabili Autorizzati. Il Cliente accetta che la Società possa incaricare Sub-responsabili per Trattare i Dati del Cliente per conto del Cliente. I Sub-responsabili attualmente incaricati dalla Società e autorizzati dal Cliente possono essere consultati nella scheda "Profilo e Privacy" del Pannello di Controllo DreamHost (l'"Elenco dei Sub-responsabili").

Obblighi del Sub-responsabile. La Società: (i) stipulerà un accordo scritto con il Sub-responsabile che impone termini di protezione dei dati che richiedono al Sub-responsabile di proteggere i Dati del Cliente secondo lo standard richiesto dalle Leggi Applicabili sulla Protezione dei Dati; e (ii) rimarrà responsabile della sua conformità agli obblighi della presente DPA e per qualsiasi atto o omissione del Sub-responsabile che causi alla Società la violazione di uno qualsiasi dei suoi obblighi ai sensi della presente DPA.

Modifiche ai Sub-responsabili. La Società fornirà notifica di eventuali aggiornamenti ai suoi Sub-responsabili al Cliente aggiornando l'Elenco dei Sub-responsabili con cinque (5) giorni di preavviso prima di utilizzare un nuovo Sub-responsabile per fornire i Servizi. L'Elenco dei Sub-responsabili rifletterà sempre la data di "ultimo aggiornamento". Il Cliente può ricevere notifiche via email dei cambiamenti all'Elenco dei Sub-responsabili. Se il Cliente non approva un nuovo Sub-responsabile dopo aver ricevuto notifica di tale aggiunta, e il Cliente fornisce una notifica scritta alla Società che include una spiegazione del motivo per cui il Cliente non approva il nuovo Sub-responsabile entro il periodo di cinque (5) giorni prima che la Società utilizzi il nuovo Sub-responsabile per fornire i Servizi, allora il Cliente può terminare i Servizi interessati tramite notifica scritta alla Società.

4. Sicurezza

Aggiornamenti alle Misure di Sicurezza. Il Cliente è responsabile della revisione delle informazioni rese disponibili dalla Società relative alla sicurezza dei dati e di effettuare una determinazione indipendente sul fatto che i Servizi soddisfino i requisiti del Cliente e gli obblighi legali ai sensi delle Leggi Applicabili sulla Protezione dei Dati. Le misure tecniche e organizzative minime della Società progettate per proteggere i Dati del Cliente sono indicate nell'Allegato B (le "Misure di Sicurezza delle Informazioni"). Il Cliente riconosce che le Misure di Sicurezza delle Informazioni sono soggette a progresso tecnico e sviluppo e che la Società può aggiornare o modificare le Misure di Sicurezza delle Informazioni di volta in volta a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi acquistati dal Cliente.

Personale. La Società garantirà che qualsiasi persona autorizzata dalla Società a Trattare i Dati del Cliente (inclusi il suo personale, agenti e Sub-responsabili autorizzati) sarà soggetta a un adeguato obbligo di riservatezza (sia un dovere contrattuale che statutario). Inoltre, la Società adotterà misure per garantire che qualsiasi persona autorizzata dalla Società ad avere accesso ai Dati del Cliente non Tratti tali dati se non su istruzioni del Cliente, a meno che tale persona sia tenuta a Trattare tali dati dalle Leggi Applicabili sulla Protezione dei Dati.

Responsabilità del Cliente Nonostante quanto sopra, il Cliente accetta che, salvo quanto previsto dalla presente DPA, il Cliente è responsabile del suo uso sicuro dei Servizi.

Risposta alla Violazione dei Dati Personali. Una volta venuta a conoscenza di una Violazione dei Dati Personali, la Società notificherà il Cliente senza indebito ritardo e fornirà tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che diventano note o come ragionevolmente richiesto dal Cliente. La Società adotterà prontamente misure ragionevoli per mitigare e, ove possibile, porre rimedio agli effetti di qualsiasi Violazione dei Dati Personali.

5. Rapporti di Audit

Il Cliente riconosce che la Società è regolarmente sottoposta a audit per la conformità alla presente DPA e agli standard di sicurezza della Società. Su ragionevole richiesta scritta inviata all'indirizzo della Società come mostrato nella Politica sulla Privacy, la Società fornirà un rapporto di audit di sintesi ("Rapporto") al Cliente, il quale Rapporto sarà soggetto alle disposizioni di riservatezza di qualsiasi accordo di non divulgazione fornito dalla Società per l'esecuzione da parte del Cliente in connessione con il Rapporto. La Società risponderà anche a qualsiasi domanda di audit scritta commercialmente ragionevole presentata dal Cliente a condizione che il Cliente non eserciti questo diritto più di una volta ogni dodici (12) mesi.

6. Trasferimenti Internazionali

Ubicazioni dei Centri Dati. La Società può trasferire e Trattare i Dati del Cliente ovunque nel mondo dove la Società, i suoi Affiliati o i suoi Sub-responsabili mantengono operazioni di Trattamento. La Società fornirà sempre un livello adeguato di protezione per i Dati del Cliente Trattati, in conformità con i requisiti delle Leggi Applicabili sulla Protezione dei Dati.

Clausole Modello. Nella misura in cui la Società Tratta qualsiasi Dato del Cliente protetto dal GDPR o dalle Leggi sulla Protezione dei Dati del Regno Unito ai sensi dell'Accordo e/o che proviene dallo SEE o dal Regno Unito, in un paese che non è stato designato dalla Commissione Europea, dall'Autorità Federale Svizzera per la Protezione dei Dati, o dall'Ufficio del Commissario per l'Informazione del Regno Unito (a seconda dei casi) come fornitore di un livello adeguato di protezione per i Dati Personali, le parti riconoscono che la Società sarà considerata fornire una protezione adeguata (ai sensi delle Leggi Applicabili sulla Protezione dei Dati) per tali Dati del Cliente rispettando le Clausole Modello. La Società accetta di essere un "importatore di dati" e il Cliente è l'"esportatore di dati" ai sensi delle Clausole Modello (nonostante il fatto che il Cliente sia un'entità situata al di fuori dello SEE). L'Allegato III alle Clausole Modello si applicherà solo rispetto al trasferimento di Dati del Cliente protetti dalle Leggi sulla Protezione dei Dati del Regno Unito ai sensi dell'Accordo e/o che proviene dal Regno Unito.

7. Restituzione o Cancellazione dei Dati

Al termine o alla scadenza dell'Accordo, la Società, su richiesta del Cliente e autenticata, restituirà o, nella misura tecnicamente fattibile, cancellerà tutti i Dati del Cliente in suo possesso o controllo. Nonostante quanto precede, la Società può conservare i Dati del Cliente o archiviare i Dati del Cliente sui suoi sistemi di backup dove la Società è tenuta dalla legge applicabile, dall'obbligo contrattuale o normativo, o dove la Società ha legittimi interessi commerciali che richiedono la conservazione di alcuni o tutti i Dati del Cliente. La Società isolerà e proteggerà in modo sicuro tali Dati del Cliente da qualsiasi ulteriore Trattamento, tranne nella misura richiesta dalla legge applicabile, dall'obbligo contrattuale o normativo.

8. Cooperazione

I Servizi possono fornire al Cliente una serie di controlli che il Cliente può utilizzare per recuperare, correggere, cancellare o limitare i Dati del Cliente, che il Cliente può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati, inclusi i suoi obblighi relativi alla risposta alle richieste degli interessati o delle autorità di protezione dei dati applicabili. Nella misura in cui il Cliente non è in grado di accedere in modo indipendente ai Dati del Cliente pertinenti all'interno dei Servizi, la Società (a spese del Cliente) fornirà una cooperazione ragionevole per assistere il Cliente a rispondere a eventuali richieste da parte di individui o autorità di protezione dei dati applicabili relative al Trattamento di Dati Personali ai sensi dell'Accordo. Nel caso in cui tale richiesta sia fatta direttamente alla Società, la Società non risponderà a tale comunicazione direttamente senza la previa autorizzazione del Cliente, a meno che non sia legalmente obbligata a farlo. Se la Società è tenuta a rispondere a tale richiesta, la Società informerà prontamente il Cliente e gli fornirà una copia della richiesta a meno che non sia legalmente vietato farlo.

La Società non divulgherà i Dati del Cliente a nessun governo o terza parte se non quando necessario per divulgare tali informazioni con un ordine valido e vincolante da parte di un'agenzia di forza pubblica. Se costretta a divulgare i Dati del Cliente a un'agenzia di forza pubblica, la Società darà al Cliente un ragionevole preavviso della richiesta per consentire al Cliente di richiedere un ordine protettivo o altro rimedio appropriato, a meno che la Società non sia legalmente vietata dal farlo.

Nella misura in cui la Società è tenuta ai sensi delle Leggi di Protezione Applicabili, la Società (a spese del Cliente) fornirà informazioni ragionevolmente richieste riguardanti i Servizi per consentire al Cliente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari con le autorità di protezione dei dati come richiesto dalla legge.

9. Clausole CCPA

Nella misura in cui il CCPA è applicabile al Trattamento dei Dati del Cliente ai sensi dell'Accordo, le parti si conformeranno all'Allegato C.

10. Generale

Qualsiasi reclamo presentato ai sensi o in connessione con la presente DPA sarà soggetto ai termini generali della Società (inclusi i Termini di Servizio) come aggiornati sulla pagina web Legale, incluse a titolo esemplificativo ma non esaustivo, le esclusioni e limitazioni stabilite nell'Accordo. Qualsiasi reclamo contro la Società o i suoi Affiliati ai sensi della presente DPA sarà presentato esclusivamente contro l'entità che è parte dell'Accordo. In nessun caso una parte limiterà la propria responsabilità rispetto ai diritti di protezione dei dati di un individuo ai sensi della presente DPA o altrimenti. Il Cliente accetta inoltre che eventuali sanzioni normative sostenute dalla Società in relazione ai Dati del Cliente che derivano da, o in connessione con, il mancato rispetto da parte del Cliente dei suoi obblighi ai sensi della presente DPA o di qualsiasi Legge Applicabile sulla Protezione dei Dati conteggeranno e ridurranno la responsabilità della Società ai sensi dell'Accordo come se fosse una responsabilità verso il Cliente ai sensi dell'Accordo.

Nessuno oltre a una parte della presente DPA, i suoi successori e cessionari autorizzati avrà il diritto di far rispettare uno qualsiasi dei suoi termini. La presente DPA sarà regolata e interpretata in conformità con le disposizioni di legge e giurisdizione governative nell'Accordo, a meno che non sia richiesto diversamente dalle Leggi Applicabili sulla Protezione dei Dati.

Le parti concordano che la presente DPA sostituirà qualsiasi DPA esistente (incluse le Clausole Modello (se applicabili)) che le parti possono aver precedentemente stipulato in relazione ai Servizi.

La presente DPA e le Clausole Modello termineranno simultaneamente e automaticamente con la cessazione o la scadenza dell'Accordo; a condizione, tuttavia, che le disposizioni che richiedono la distruzione sicura dei Dati Personali e la conservazione dei Dati Personali per soddisfare requisiti legali, contrattuali o normativi sopravvivano alla cessazione o scadenza della DPA per il tempo minimo richiesto per soddisfare i rispettivi obblighi ai sensi di tali disposizioni.

Fatte salve le modifiche apportate dalla presente DPA, l'Accordo rimane invariato e in pieno vigore ed effetto. In caso di conflitto tra la presente DPA e l'Accordo, la presente DPA prevarrà nella misura di tale conflitto.

Gli Allegati alla presente DPA sono incorporati nella presente DPA mediante questo riferimento. In caso di conflitto tra la presente DPA e qualsiasi Allegato alla presente DPA, la presente DPA prevarrà nella misura di tale conflitto. Nonostante quanto precede, in caso di conflitto tra la presente DPA e le Clausole Modello, le Clausole Modello prevarranno nella misura di tale conflitto.

Le disposizioni della presente DPA sono separabili. Se qualsiasi frase, clausola o disposizione è invalida o inapplicabile in tutto o in parte, tale invalidità o inapplicabilità riguarderà solo tale frase, clausola o disposizione, e il resto della presente DPA rimarrà in pieno vigore ed effetto.

Allegato A

Dettagli del Trattamento

  1. Oggetto: L'oggetto del Trattamento ai sensi della presente DPA sono i Dati del Cliente.
  2. Durata: Tra la Società e il Cliente, la durata del Trattamento ai sensi della presente DPA è stabilita nella Sezione 7 della presente DPA.
  3. Scopo e Natura: Lo scopo e la natura del Trattamento ai sensi della presente DPA è la fornitura dei Servizi al Cliente e l'esecuzione degli obblighi della Società ai sensi dell'Accordo (inclusa la presente DPA) o come altrimenti concordato dalle parti.
  4. Categorie di Interessati: Il Cliente può caricare Dati Personali durante l'utilizzo dei Servizi, la cui estensione può essere determinata e controllata dal Cliente. Questo può includere, a titolo esemplificativo ma non esaustivo:
    1. Potenziali clienti, clienti, partner commerciali, fornitori o terze parti del Cliente (che sono persone fisiche);
    2. Dipendenti, agenti, consulenti, terze parti e freelance del Cliente;
    3. Dipendenti o persone affiliate di (1) sopra;
    4. Utenti autorizzati dei Servizi del Cliente
  5. Tipi di Dati Personali: Il Cliente può caricare Dati Personali durante l'utilizzo dei Servizi, la cui estensione può essere determinata e controllata dal Cliente. Questo può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie: nome, indirizzo, numero di telefono, data di nascita, email e altri Dati del Cliente.

Allegato B

Misure di Sicurezza delle Informazioni

I seguenti elementi sono considerati i requisiti minimi di sicurezza che la Società ha in atto che sono progettati per proteggere i Dati del Cliente:

  • Nomina di uno o più funzionari responsabili del coordinamento e del monitoraggio delle regole e procedure della tecnologia dell'informazione.
  • Politica documentata e procedure che regolano l'uso del sistema di tecnologia dell'informazione da parte dei dipendenti e dei fornitori.
  • Processo per identificare e rispondere a incidenti di sicurezza sospetti o noti.
  • Internamente, i dati a riposo sono protetti da ruoli o permessi di gruppo e sottoposti a audit periodicamente per assicurarsi che le persone abbiano accesso solo ai dati di cui hanno bisogno per svolgere il loro lavoro e che gli account degli utenti terminati siano disabilitati.
  • I server vengono aggiornati tempestivamente per assicurarsi che siano applicate le ultime patch di sicurezza.
  • Transport Layer Security (TLS) viene utilizzato ovunque applicabile sia per il traffico web che per l'email. L'email viene anche filtrata e scansionata più volte in entrata.
  • Le Virtual Private Networks (VPN) sono utilizzate per criptare il traffico tra tutte le nostre sedi.
  • Gli utenti esterni utilizzano anche la connettività VPN criptata per accedere alle risorse interne e questo viene concesso su base individuale.
  • Tutte le password memorizzate sono criptate.
  • I dati vengono sincronizzati tra la loro posizione primaria e di backup giornalmente.
  • Revisori terzi conducono audit IT annualmente e rivedono politiche e procedure.

Allegato C

Clausole CCPA

Questo Allegato è applicabile alla DPA solo nella misura in cui il CCPA è applicabile al Trattamento dei Dati del Cliente ai sensi dell'Accordo. Come utilizzato in questo Allegato, i termini "Informazioni Personali", "Vendere", "Condividere", "Scopo Commerciale" e "Scopo Commerciale" avranno i significati dati nel CCPA.

Nella misura in cui i Dati del Cliente costituiscono Informazioni Personali ai sensi dell'Accordo:

  • La Società non Venderà o Condividerà alcun Dato del Cliente;
  • La Società non conserverà, utilizzerà o divulgherà Dati del Cliente per qualsiasi scopo diverso dagli Scopi Commerciali specificati nell'Accordo, vale a dire offrire nomi di dominio, web hosting e design, servizi cloud, servizi e-mail, incluso per qualsiasi Scopo Commerciale diverso dagli Scopi Commerciali specificati nell'Accordo.
  • La Società non conserverà, utilizzerà o divulgherà Dati del Cliente al di fuori del rapporto commerciale diretto tra il Cliente e la Società.
  • La Società non combinerà tali Dati del Cliente ricevuti da, o per conto del, Cliente con Dati del Cliente ricevuti da, o per conto di, qualsiasi terza parte, tranne per eseguire qualsiasi Scopo Commerciale consentito dal CCPA.
  • La Società rispetterà gli obblighi applicabili ai sensi del CCPA e fornirà lo stesso livello di protezioni ai Dati del Cliente come richiesto dal CCPA, incluso l'assistere il Cliente a rispondere alle richieste CCPA dei consumatori.
  • Il Cliente ha il diritto di adottare misure ragionevoli e appropriate per aiutare a garantire che la Società utilizzi i Dati del Cliente in modo coerente con gli obblighi del Cliente ai sensi del CCPA.
  • La Società notificherà al Cliente se determina che la Società non può più soddisfare i propri obblighi ai sensi del CCPA. Se la Società notifica al Cliente l'uso non autorizzato dei Dati del Cliente, incluso ai sensi della frase precedente, la Società avrà il diritto di adottare misure ragionevoli e appropriate per fermare e porre rimedio a tale uso non autorizzato.

Allegato D

Clausole Modello

SEZIONE 1

Clausola 1

Scopo e ambito

(a) Lo scopo di queste clausole contrattuali tipo è garantire il rispetto dei requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)1 per il trasferimento di dati personali verso un paese terzo.

(b) Le Parti:

  • (i) la/le persona/e fisica/che, l'autorità/le autorità pubblica/che, l'agenzia/le agenzie o altro organismo/altri organismi (di seguito "entità") che trasferisce/trasferiscono i dati personali, come elencato nell'Allegato I.A. (di seguito ciascuno "esportatore di dati"), e
  • (ii) l'/le entità in un paese terzo che riceve/ricevono i dati personali dall'esportatore di dati, direttamente o indirettamente tramite un'altra entità anch'essa Parte delle presenti Clausole, come elencato nell'Allegato I.A. (di seguito ciascuno "importatore di dati") hanno concordato le presenti clausole contrattuali tipo (di seguito: "Clausole").

(c) Le presenti Clausole si applicano al trasferimento di dati personali come specificato nell'Allegato I.B.

(d) L'Appendice alle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle presenti Clausole.

Clausola 2

Effetto e invariabilità delle Clausole

(a) Le presenti Clausole stabiliscono garanzie adeguate, compresi i diritti degli interessati azionabili e mezzi di ricorso effettivi, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non siano modificate, se non per selezionare il/i Modulo/i appropriato/i o per aggiungere o aggiornare informazioni nell'Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali tipo stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

(b) Le presenti Clausole non pregiudicano gli obblighi ai quali l'esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3

Beneficiari terzi

(a) Gli interessati possono invocare ed esercitare le presenti Clausole, come beneficiari terzi, contro l'esportatore di dati e/o l'importatore di dati, con le seguenti eccezioni:

  • (i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;
  • (ii) Clausola 8.1(b), 8.9(a), (c), (d) e (e);
  • (iii) Clausola 9(a), (c), (d) e (e);
  • (iv) Clausola 12(a), (d) e (f);
  • (v) Clausola 13;
  • (vi) Clausola 15.1(c), (d) e (e);
  • (vii) Clausola 16(e);
  • (viii) Clausola 18(a) e (b).

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4

Interpretazione

(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato di cui a tale Regolamento.

(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti Clausole non devono essere interpretate in modo tale da confliggere con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui le presenti Clausole sono concordate o stipulate successivamente, prevalgono le presenti Clausole.

Clausola 6

Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, e in particolare le categorie di dati personali che sono trasferiti e lo/gli scopo/i per cui sono trasferiti, sono specificati nell'Allegato I.B.

Clausola 7

Clausola di adesione

Non applicabile.

SEZIONE II - OBBLIGHI DELLE PARTI

Clausola 8

Salvaguardie per la protezione dei dati

L'esportatore di dati garantisce di aver compiuto sforzi ragionevoli per determinare che l'importatore di dati è in grado, attraverso l'implementazione di misure tecniche e organizzative appropriate, di soddisfare i suoi obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni

(a) L'importatore di dati tratterà i dati personali solo su istruzioni documentate dell'esportatore di dati. L'esportatore di dati può fornire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informerà immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni.

8.2 Limitazione delle finalità

L'importatore di dati tratterà i dati personali solo per la/e finalità specifica/che del trasferimento, come stabilito nell'Allegato I.B, salvo ulteriori istruzioni dell'esportatore di dati.

8.3 Trasparenza

Su richiesta, l'esportatore di dati metterà a disposizione dell'interessato una copia delle presenti Clausole, compresa l'Appendice compilata dalle Parti, gratuitamente. Nella misura necessaria per proteggere segreti commerciali o altre informazioni riservate, comprese le misure descritte nell'Allegato II e i dati personali, l'esportatore di dati può oscurare parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma dovrà fornire un riassunto significativo laddove altrimenti l'interessato non sarebbe in grado di comprenderne il contenuto o esercitare i propri diritti. Su richiesta, le Parti forniranno all'interessato i motivi delle oscurazioni, nella misura del possibile senza rivelare le informazioni oscurate. Questa Clausola non pregiudica gli obblighi dell'esportatore di dati ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679.

8.4 Accuratezza

Se l'importatore di dati viene a conoscenza che i dati personali ricevuti sono inesatti, o sono diventati obsoleti, ne informerà l'esportatore di dati senza indebito ritardo. In questo caso, l'importatore di dati coopererà con l'esportatore di dati per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati avverrà solo per la durata specificata nell'Allegato I.B. Al termine della fornitura dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore di dati, cancellerà tutti i dati personali trattati per conto dell'esportatore di dati e certificherà all'esportatore di dati di averlo fatto, o restituirà all'esportatore di dati tutti i dati personali trattati per suo conto e cancellerà le copie esistenti. Fino a quando i dati non vengono cancellati o restituiti, l'importatore di dati continuerà a garantire la conformità con le presenti Clausole. Nel caso di leggi locali applicabili all'importatore di dati che vietano la restituzione o la cancellazione dei dati personali, l'importatore di dati garantisce che continuerà a garantire la conformità con le presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesto da tale legge locale. Ciò non pregiudica la Clausola 14, in particolare il requisito per l'importatore di dati ai sensi della Clausola 14(e) di notificare all'esportatore di dati per tutta la durata del contratto se ha motivo di ritenere di essere o essere diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla Clausola 14(a).

8.6 Sicurezza del trattamento

(a) L'importatore di dati e, durante la trasmissione, anche l'esportatore di dati attueranno misure tecniche e organizzative appropriate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare il livello di sicurezza appropriato, le Parti terranno debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento e dei rischi connessi al trattamento per gli interessati. Le Parti prenderanno in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, laddove la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per attribuire i dati personali a un interessato specifico rimangono, ove possibile, sotto il controllo esclusivo dell'esportatore di dati. Nel rispettare i propri obblighi ai sensi del presente paragrafo, l'importatore di dati attuerà almeno le misure tecniche e organizzative specificate nell'Allegato II. L'importatore di dati effettuerà controlli regolari per garantire che queste misure continuino a fornire un livello di sicurezza appropriato.

(b) L'importatore di dati concederà l'accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Garantirà che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

(c) In caso di violazione dei dati personali concernente dati personali trattati dall'importatore di dati ai sensi delle presenti Clausole, l'importatore di dati adotterà misure appropriate per affrontare la violazione, comprese misure per mitigarne gli effetti negativi. L'importatore di dati notificherà inoltre all'esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà i dettagli di un punto di contatto presso cui possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, misure per mitigarne i possibili effetti negativi. Laddove, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni disponibili in quel momento e le ulteriori informazioni saranno fornite successivamente senza indebito ritardo man mano che diventano disponibili.

(d) L'importatore di dati coopererà con l'esportatore di dati e lo assisterà per consentire all'esportatore di dati di adempiere ai propri obblighi ai sensi del Regolamento (UE) 2016/679, in particolare per notificare all'autorità di controllo competente e agli interessati colpiti, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore di dati.

8.7 Dati sensibili

Laddove il trasferimento comporti dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici o dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'importatore di dati applicherà le restrizioni specifiche e/o le garanzie aggiuntive descritte nell'Allegato I.B.

8.8 Trasferimenti successivi

L'importatore di dati divulgherà i dati personali a terzi solo su istruzioni documentate dell'esportatore di dati. Inoltre, i dati possono essere divulgati a terzi situati al di fuori dell'Unione Europea 2 (nello stesso paese dell'importatore di dati o in un altro paese terzo, di seguito "trasferimento successivo") solo se il terzo è o accetta di essere vincolato dalle presenti Clausole, in base al Modulo appropriato, o se:

  1. il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del Regolamento (UE) 2016/679 che copre il trasferimento successivo;
  2. il terzo garantisce altrimenti garanzie appropriate ai sensi degli articoli 46 o 47 del Regolamento (UE) 2016/679 rispetto al trattamento in questione;
  3. il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; o
  4. il trasferimento successivo è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore di dati di tutte le altre garanzie ai sensi delle presenti Clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

a) L'importatore di dati tratterà prontamente e adeguatamente le richieste dell'esportatore di dati relative al trattamento ai sensi delle presenti Clausole.

(b) Le Parti saranno in grado di dimostrare la conformità con le presenti Clausole. In particolare, l'importatore di dati conserverà documentazione appropriata sulle attività di trattamento svolte per conto dell'esportatore di dati.

(c) L'importatore di dati metterà a disposizione dell'esportatore di dati tutte le informazioni necessarie per dimostrare la conformità con gli obblighi stabiliti nelle presenti Clausole e, su richiesta dell'esportatore di dati, consentirà e contribuirà alle verifiche delle attività di trattamento coperte da queste Clausole, a intervalli ragionevoli o se ci sono indicazioni di non conformità. Nel decidere su una revisione o un audit, l'esportatore di dati può tenere conto delle certificazioni pertinenti detenute dall'importatore di dati.

(d) L'esportatore di dati può scegliere di condurre l'audit da solo o incaricare un revisore indipendente. Gli audit possono includere ispezioni nei locali o nelle strutture fisiche dell'importatore di dati e, ove appropriato, saranno effettuati con un preavviso ragionevole.

(e) Le Parti metteranno a disposizione dell'autorità di controllo competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9

Utilizzo di sub-responsabili

(a) AUTORIZZAZIONE GENERALE SCRITTA L'importatore di dati ha l'autorizzazione generale dell'esportatore di dati per l'incarico di sub-responsabile/i da un elenco concordato. L'importatore di dati informerà specificamente per iscritto l'esportatore di dati di eventuali modifiche previste a tale elenco attraverso l'aggiunta o la sostituzione di sub-responsabili con almeno cinque (5) giorni di anticipo, dando così all'esportatore di dati tempo sufficiente per poter obiettare a tali modifiche prima dell'incarico del/i sub-responsabile/i. L'importatore di dati fornirà all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il proprio diritto di obiezione.

(b) Quando l'importatore di dati incarica un sub-responsabile per svolgere specifiche attività di trattamento (per conto dell'esportatore di dati), lo farà mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi di protezione dei dati di quelli che vincolano l'importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti di beneficiario terzo per gli interessati3. Le Parti concordano che, rispettando questa Clausola, l'importatore di dati adempie ai propri obblighi ai sensi della Clausola 8.8. L'importatore di dati garantirà che il sub-responsabile rispetti gli obblighi ai quali l'importatore di dati è soggetto ai sensi delle presenti Clausole.

(c) L'importatore di dati fornirà, su richiesta dell'esportatore di dati, una copia di tale accordo con il sub-responsabile e di eventuali successive modifiche all'esportatore di dati. Nella misura necessaria per proteggere segreti commerciali o altre informazioni riservate, compresi i dati personali, l'importatore di dati può oscurare il testo dell'accordo prima di condividerne una copia.

(d) L'importatore di dati rimarrà pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile ai sensi del suo contratto con l'importatore di dati. L'importatore di dati notificherà all'esportatore di dati qualsiasi inadempimento da parte del sub-responsabile dei suoi obblighi ai sensi di tale contratto.

(e) L'importatore di dati concorderà una clausola di beneficiario terzo con il sub-responsabile in base alla quale, nel caso in cui l'importatore di dati sia scomparso di fatto, ha cessato di esistere legalmente o è diventato insolvente, l'esportatore di dati avrà il diritto di risolvere il contratto con il sub-responsabile e di istruire il sub-responsabile di cancellare o restituire i dati personali.

Clausola 10

Diritti degli interessati

(a) L'importatore di dati notificherà prontamente all'esportatore di dati qualsiasi richiesta ricevuta da un interessato. Non risponderà a tale richiesta personalmente a meno che non sia stato autorizzato a farlo dall'esportatore di dati.

(b) L'importatore di dati assisterà l'esportatore di dati nell'adempimento dei suoi obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679. A tale riguardo, le Parti stabiliranno nell'Allegato II le misure tecniche e organizzative appropriate, tenendo conto della natura del trattamento, mediante le quali sarà fornita l'assistenza, nonché l'ambito e la portata dell'assistenza richiesta.

(c) Nell'adempiere ai propri obblighi ai sensi dei paragrafi (a) e (b), l'importatore di dati si conformerà alle istruzioni dell'esportatore di dati.

Clausola 11

Ricorso

(a) L'importatore di dati informerà gli interessati in un formato trasparente e facilmente accessibile, tramite notifica individuale o sul suo sito web, di un punto di contatto autorizzato a gestire i reclami. Tratterà prontamente qualsiasi reclamo ricevuto da un interessato.

(b) In caso di controversia tra un interessato e una delle Parti per quanto riguarda la conformità con le presenti Clausole, tale Parte farà del suo meglio per risolvere la questione in modo amichevole in modo tempestivo. Le Parti si terranno reciprocamente informate su tali controversie e, ove appropriato, coopereranno nella loro risoluzione.

(c) Qualora l'interessato invochi un diritto di beneficiario terzo ai sensi della Clausola 3, l'importatore di dati accetterà la decisione dell'interessato di:

  1. presentare un reclamo all'autorità di controllo nello Stato membro della sua residenza abituale o del suo luogo di lavoro, o all'autorità di controllo competente ai sensi della Clausola 13;
  2. deferire la controversia ai tribunali competenti ai sensi della Clausola 18.

(d) Le Parti accettano che l'interessato possa essere rappresentato da un organismo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni stabilite nell'articolo 80, paragrafo 1, del Regolamento (UE) 2016/679.

(e) L'importatore di dati si atterrà a una decisione che è vincolante ai sensi del diritto dell'UE o dello Stato membro applicabile.

(f) L'importatore di dati accetta che la scelta fatta dall'interessato non pregiudicherà i suoi diritti sostanziali e procedurali di cercare rimedi in conformità con le leggi applicabili.

Clausola 12

Responsabilità

(a) Ciascuna Parte sarà responsabile nei confronti dell'altra Parte/delle altre Parti per eventuali danni che causa all'altra Parte/alle altre Parti con qualsiasi violazione delle presenti Clausole.

(b) L'importatore di dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l'importatore di dati o il suo sub-responsabile causa all'interessato violando i diritti di beneficiario terzo ai sensi delle presenti Clausole.

(c) Nonostante il paragrafo (b), l'esportatore di dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l'esportatore di dati o l'importatore di dati (o il suo sub-responsabile) causa all'interessato violando i diritti di beneficiario terzo ai sensi delle presenti Clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, ove l'esportatore di dati sia un responsabile che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti concordano che se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per danni causati dall'importatore di dati (o dal suo sub-responsabile), avrà il diritto di richiedere all'importatore di dati quella parte del risarcimento corrispondente alla responsabilità dell'importatore di dati per il danno.

(e) Qualora più di una Parte sia responsabile di qualsiasi danno causato all'interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l'interessato ha il diritto di intentare un'azione in giudizio contro una qualsiasi di queste Parti.

(f) Le Parti concordano che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all'altra Parte/alle altre Parti quella parte del risarcimento corrispondente alla sua/loro responsabilità per il danno.

(g) L'importatore di dati non può invocare la condotta di un sub-responsabile per evitare la propria responsabilità.

Clausola 13

Supervisione

(a) [Dove l'esportatore di dati è stabilito in uno Stato membro dell'UE:] L'autorità di controllo con responsabilità di garantire la conformità da parte dell'esportatore di dati al Regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell'Allegato I.C, agirà come autorità di controllo competente.

[Dove l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito di applicazione territoriale del Regolamento (UE) 2016/679 in conformità con il suo Articolo 3(2) e ha nominato un rappresentante ai sensi dell'Articolo 27(1) del Regolamento (UE) 2016/679:] L'autorità di controllo dello Stato membro in cui il rappresentante ai sensi dell'Articolo 27(1) del Regolamento (UE) 2016/679 è stabilito, come indicato nell'Allegato I.C, agirà come autorità di controllo competente.

[Dove l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito di applicazione territoriale del Regolamento (UE) 2016/679 in conformità con il suo Articolo 3(2) senza tuttavia dover nominare un rappresentante ai sensi dell'Articolo 27(2) del Regolamento (UE) 2016/679:] L'autorità di controllo di uno degli Stati membri in cui gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta di beni o servizi a loro, o il cui comportamento è monitorato, si trovano, come indicato nell'Allegato I.C, agirà come autorità di controllo competente.

(b) L'importatore di dati accetta di sottoporsi alla giurisdizione e di cooperare con l'autorità di controllo competente in qualsiasi procedura volta a garantire la conformità con le presenti Clausole. In particolare, l'importatore di dati accetta di rispondere alle richieste di informazioni, sottoporsi a audit e conformarsi alle misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. Fornirà all'autorità di controllo una conferma scritta che le azioni necessarie sono state intraprese.

SEZIONE III - LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Leggi e pratiche locali che influenzano la conformità con le Clausole

(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le pratiche nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore di dati, compresi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di dati di adempiere ai suoi obblighi ai sensi delle presenti Clausole. Ciò si basa sulla comprensione che le leggi e le pratiche che rispettano l'essenza dei diritti e delle libertà fondamentali e non eccedono quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'Articolo 23(1) del Regolamento (UE) 2016/679, non sono in contraddizione con le presenti Clausole.

(b) Le Parti dichiarano che nel fornire la garanzia di cui al paragrafo (a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

  • (i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;
  • (ii) le leggi e le pratiche del paese terzo di destinazione, compresi quelle che richiedono la divulgazione di dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità, pertinenti alla luce delle specifiche circostanze del trasferimento, e le limitazioni e le salvaguardie applicabili4;
  • (iii) qualsiasi salvaguardia contrattuale, tecnica o organizzativa pertinente messa in atto per integrare le salvaguardie ai sensi delle presenti Clausole, comprese le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.

(c) L'importatore di dati garantisce che, nell'effettuare la valutazione ai sensi del paragrafo (b), ha fatto del suo meglio per fornire all'esportatore di dati informazioni pertinenti e accetta di continuare a cooperare con l'esportatore di dati per garantire la conformità con le presenti Clausole.

(d) Le Parti concordano di documentare la valutazione ai sensi del paragrafo (b) e di renderla disponibile all'autorità di controllo competente su richiesta.

(e) L'importatore di dati accetta di notificare prontamente all'esportatore di dati se, dopo aver accettato le presenti Clausole e per la durata del contratto, ha motivo di ritenere di essere o essere diventato soggetto a leggi o pratiche non in linea con i requisiti di cui al paragrafo (a), anche a seguito di un cambiamento nelle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un'applicazione di tali leggi nella pratica che non è in linea con i requisiti del paragrafo (a).

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha altrimenti motivo di ritenere che l'importatore di dati non possa più adempiere ai suoi obblighi ai sensi delle presenti Clausole, l'esportatore di dati identificherà prontamente misure appropriate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) da adottare da parte dell'esportatore di dati e/o dell'importatore di dati per affrontare la situazione. L'esportatore di dati sospenderà il trasferimento dei dati se ritiene che non possano essere garantite salvaguardie appropriate per tale trasferimento, o se istruito in tal senso dall'autorità di controllo competente. In questo caso, l'esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l'esportatore di dati può esercitare questo diritto di risoluzione solo nei confronti della Parte pertinente, a meno che le Parti non abbiano concordato diversamente. Quando il contratto viene risolto ai sensi della presente Clausola, si applicano la Clausola 16(d) e (e).

Clausola 15

Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

15.1 Notifica

(a) L'importatore di dati accetta di notificare prontamente all'esportatore di dati e, ove possibile, all'interessato (se necessario con l'aiuto dell'esportatore di dati) se:

  • (i) riceve una richiesta giuridicamente vincolante da un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione per la divulgazione di dati personali trasferiti ai sensi delle presenti Clausole; tale notifica includerà informazioni sui dati personali richiesti, l'autorità richiedente, la base giuridica della richiesta e la risposta fornita; o
  • (ii) viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità con le leggi del paese di destinazione; tale notifica includerà tutte le informazioni disponibili all'importatore.

(b) Se all'importatore di dati è vietato notificare all'esportatore di dati e/o all'interessato ai sensi delle leggi del paese di destinazione, l'importatore di dati accetta di utilizzare i suoi migliori sforzi per ottenere una deroga al divieto, al fine di comunicare il maggior numero possibile di informazioni il più presto possibile. L'importatore di dati accetta di documentare i suoi migliori sforzi al fine di poterli dimostrare su richiesta dell'esportatore di dati.

(c) Laddove consentito dalle leggi del paese di destinazione, l'importatore di dati accetta di fornire all'esportatore di dati, a intervalli regolari per la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedente/i, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.).

(d) L'importatore di dati accetta di conservare le informazioni ai sensi dei paragrafi da (a) a (c) per la durata del contratto e di renderle disponibili all'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della Clausola 14(e) e della Clausola 16 di informare prontamente l'esportatore di dati quando non è in grado di conformarsi alle presenti Clausole.

15.2 Revisione della legalità e minimizzazione dei dati

(a) L'importatore di dati accetta di rivedere la legalità della richiesta di divulgazione, in particolare se rimane nei limiti dei poteri concessi all'autorità pubblica richiedente, e di contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per considerare che la richiesta è illegale ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di cortesia internazionale. L'importatore di dati, alle stesse condizioni, perseguirà le possibilità di ricorso. Quando contesta una richiesta, l'importatore di dati cercherà misure provvisorie con l'obiettivo di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Non divulgherà i dati personali richiesti fino a quando non sarà obbligato a farlo ai sensi delle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della Clausola 14(e).

(b) L'importatore di dati accetta di documentare la sua valutazione legale e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, rendere la documentazione disponibile all'esportatore di dati. La renderà disponibile anche all'autorità di controllo competente su richiesta.

(c) L'importatore di dati accetta di fornire la quantità minima di informazioni consentita quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

SEZIONE IV - DISPOSIZIONI FINALI

Clausola 16

Non conformità con le Clausole e risoluzione

(a) L'importatore di dati informerà prontamente l'esportatore di dati se non è in grado di rispettare le presenti Clausole, per qualsiasi motivo.

(b) Nel caso in cui l'importatore di dati violi le presenti Clausole o non sia in grado di rispettarle, l'esportatore di dati sospenderà il trasferimento di dati personali all'importatore di dati fino a quando la conformità non sarà nuovamente garantita o il contratto non sarà risolto. Ciò non pregiudica la Clausola 14(f).

(c) L'esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, quando:

  • (i) l'esportatore di dati ha sospeso il trasferimento dei dati personali all'importatore di dati ai sensi del paragrafo (b) e la conformità con le presenti Clausole non viene ripristinata entro un periodo di tempo ragionevole e in ogni caso entro un mese dalla sospensione;
  • (ii) l'importatore di dati è in violazione sostanziale o persistente delle presenti Clausole; o
  • (iii) l'importatore di dati non rispetta una decisione vincolante di un tribunale competente o di un'autorità di controllo per quanto riguarda i suoi obblighi ai sensi delle presenti Clausole.

In questi casi, informerà l'autorità di controllo competente di tale non conformità. Qualora il contratto coinvolga più di due Parti, l'esportatore di dati può esercitare questo diritto di risoluzione solo nei confronti della Parte pertinente, a meno che le Parti non abbiano concordato diversamente.

(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono, a scelta dell'esportatore di dati, essere immediatamente restituiti all'esportatore di dati o cancellati nella loro totalità. Lo stesso vale per eventuali copie dei dati. L'importatore di dati certificherà la cancellazione dei dati all'esportatore di dati. Fino a quando i dati non vengono cancellati o restituiti, l'importatore di dati continuerà a garantire la conformità con le presenti Clausole. In caso di leggi locali applicabili all'importatore di dati che vietano la restituzione o la cancellazione dei dati personali trasferiti, l'importatore di dati garantisce che continuerà a garantire la conformità con le presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesto da tale legge locale.

(e) Ciascuna Parte può revocare il suo consenso a essere vincolata dalle presenti Clausole quando (i) la Commissione Europea adotta una decisione ai sensi dell'articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 che copre il trasferimento di dati personali a cui si applicano le presenti Clausole; o (ii) il Regolamento (UE) 2016/679 diventa parte del quadro giuridico del paese verso cui vengono trasferiti i dati personali. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 17

Legge applicabile

Le presenti Clausole sono disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta i diritti dei beneficiari terzi. Le Parti concordano che questa sarà la legge della Repubblica d'Irlanda.

Clausola 18

Scelta del foro e giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di uno Stato membro dell'UE.

(b) Le Parti concordano che questi saranno i tribunali della Repubblica d'Irlanda.

(c) Un interessato può anche intraprendere azioni legali contro l'esportatore di dati e/o l'importatore di dati davanti ai tribunali dello Stato membro in cui ha la sua residenza abituale.

(d) Le Parti accettano di sottoporsi alla giurisdizione di tali tribunali.

Note a piè di pagina

1 Laddove l'esportatore di dati sia un responsabile soggetto al Regolamento (UE) 2016/679 che agisce per conto di un'istituzione o un organismo dell'Unione come titolare del trattamento, il rispetto di queste Clausole quando si incarica un altro responsabile (subtrattamento) non soggetto al Regolamento (UE) 2016/679 garantisce anche il rispetto dell'articolo 29, paragrafo 4, del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio del 23 ottobre 2018 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui queste Clausole e gli obblighi di protezione dei dati come stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento ai sensi dell'articolo 29, paragrafo 3, del Regolamento (UE) 2018/1725 sono allineati. Questo sarà in particolare il caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella Decisione 2021/915.

2 L'Accordo sullo Spazio Economico Europeo (Accordo SEE) prevede l'estensione del mercato interno dell'Unione Europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La legislazione dell'Unione sulla protezione dei dati, compreso il Regolamento (UE) 2016/679, è coperta dall'Accordo SEE ed è stata incorporata nell'Allegato XI dello stesso. Pertanto, qualsiasi divulgazione da parte dell'importatore di dati a un terzo situato nel SEE non si qualifica come un trasferimento successivo ai fini delle presenti Clausole.

3 Questo requisito può essere soddisfatto dal sub-responsabile che aderisce a queste Clausole secondo il Modulo appropriato, in conformità con la Clausola 7.

4 Per quanto riguarda l'impatto di tali leggi e pratiche sulla conformità con le presenti Clausole, diversi elementi possono essere considerati come parte di una valutazione complessiva. Tali elementi possono includere esperienze pratiche pertinenti e documentate con precedenti istanze di richieste di divulgazione da parte di autorità pubbliche, o l'assenza di tali richieste, che coprono un periodo di tempo sufficientemente rappresentativo. Ciò si riferisce in particolare a registri interni o altra documentazione, redatta su base continuativa in conformità con la dovuta diligenza e certificata a livello di alta direzione, a condizione che queste informazioni possano essere legalmente condivise con terzi. Laddove questa esperienza pratica sia utilizzata per concludere che l'importatore di dati non sarà impedito di rispettare le presenti Clausole, deve essere supportata da altri elementi pertinenti e oggettivi, ed è responsabilità delle Parti considerare attentamente se questi elementi insieme hanno un peso sufficiente, in termini di affidabilità e rappresentatività, per supportare questa conclusione. In particolare, le Parti devono tenere conto se la loro esperienza pratica è corroborata e non contraddetta da informazioni affidabili pubblicamente disponibili o altrimenti accessibili sull'esistenza o l'assenza di richieste all'interno dello stesso settore e/o sull'applicazione della legge nella pratica, come giurisprudenza e rapporti di organismi di controllo indipendenti.

APPENDICE

ALLEGATO I

A. ELENCO DELLE PARTI

Esportatore/i di dati: [Identità e dettagli di contatto dell'esportatore/degli esportatori di dati e, ove applicabile, del suo/loro responsabile della protezione dei dati e/o rappresentante nell'Unione Europea]

Nome: [Nome del cliente registrato nell'account DreamHost]

Indirizzo: [Indirizzo del cliente registrato nell'account DreamHost]

Nome, posizione e dettagli di contatto della persona di contatto: [Cliente come definito sopra]

Firma e data: [Come registrato digitalmente al momento della creazione dell'account e come vincolato dai Termini di Servizio]

Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento.

Importatore/i di dati: [Identità e dettagli di contatto dell'importatore/degli importatori di dati, compresa qualsiasi persona di contatto responsabile della protezione dei dati]

Nome: DreamHost

Indirizzo: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Nome, posizione e dettagli di contatto della persona di contatto:

Att.ne: Responsabile della Protezione dei Dati

Email: privacypolicy@dreamhost.com

Attività pertinenti al trasferimento di dati ai sensi delle presenti Clausole: Come descritto in questa Appendice, nella DPA e nell'Accordo.

Firma e data: [Come registrato digitalmente al momento della creazione dell'account e come vincolato dai Termini di Servizio]

Ruolo (titolare del trattamento/responsabile del trattamento): Responsabile del trattamento.

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di interessati i cui dati personali vengono trasferiti

Come stabilito nell'Allegato A alla presente DPA.

Categorie di dati personali trasferiti

Come stabilito nell'Allegato A alla presente DPA.

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, come ad esempio la rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive. Come stabilito nell'Allegato A alla presente DPA.

La frequenza del trasferimento (ad es. se i dati vengono trasferiti su base una tantum o continua).

Su base continua secondo necessità per fornire i Servizi.

Natura del trattamento

Come stabilito nell'Allegato A alla presente DPA.

Finalità del trasferimento dei dati e dell'ulteriore trattamento

Come stabilito nell'Allegato A alla presente DPA.

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Come stabilito nella Sezione 7 della presente DPA.

Per i trasferimenti a (sub-)responsabili, specificare anche l'oggetto, la natura e la durata del trattamento Come stabilito nell'Accordo, al fine di fornire i Servizi, per la durata dell'Accordo.

C. AUTORITÀ DI CONTROLLO COMPETENTE

Identificare l'autorità/le autorità di controllo competente/i in conformità con la Clausola 13

[Da completare in base alle operazioni dell'esportatore di dati]

ALLEGATO II

MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Descrizione delle misure tecniche e organizzative implementate dall'importatore/dagli importatori di dati (inclusa qualsiasi certificazione pertinente) per garantire un livello adeguato di sicurezza, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

Come stabilito nell'Allegato B alla presente DPA.

Per i trasferimenti a (sub-)responsabili, descrivere anche le specifiche misure tecniche e organizzative che il (sub-)responsabile deve adottare per essere in grado di fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile a un sub-responsabile, all'esportatore di dati

Come stabilito nell'Allegato B alla presente DPA.

ALLEGATO III

APPENDICE DEL REGNO UNITO

La presente Appendice è stata emessa dal Commissario per l'Informazione per le Parti che effettuano Trasferimenti Soggetti a Restrizioni. Il Commissario per l'Informazione ritiene che fornisca Garanzie Appropriate per i Trasferimenti Soggetti a Restrizioni quando viene stipulata come contratto giuridicamente vincolante.

Parte 1: Tabelle

Tabella 1: Parti

Data di inizio

la Data di Entrata in Vigore.

Le Parti

Esportatore (chi invia il Trasferimento Soggetto a Restrizioni)

Importatore (chi riceve il Trasferimento Soggetto a Restrizioni)

Dettagli delle PartiCome stabilito nell'Allegato I sopra.Come stabilito nell'Allegato I sopra.
Contatto PrincipaleCome stabilito nell'Allegato I sopra.Come stabilito nell'Allegato I sopra.

Tabella 2: SCC UE Selezionate, Moduli e Clausole Selezionate

Appendice SCC UE

☒ La versione delle SCC UE Approvate a cui è allegata questa Appendice, dettagliata di seguito, incluse le Informazioni dell'Appendice:


Data: la Data di Entrata in Vigore.


Riferimento (se presente): N/A.


Altro identificatore (se presente): N/A.


O


☐ le SCC UE Approvate, incluse le Informazioni dell'Appendice e solo con i seguenti moduli, clausole o disposizioni opzionali delle SCC UE Approvate messe in vigore ai fini della presente Appendice:

ModuloModulo in funzioneClausola 7 (Clausola di Adesione)Clausola 11 (Opzione)Clausola 9a (Autorizzazione Preventiva o Autorizzazione Generale)Clausola 9a (Periodo di Tempo)

I dati personali ricevuti dall'Importatore vengono combinati con i dati personali raccolti dall'Esportatore?

1
2XNon selezionata.Non selezionata.Autorizzazione Generale.Cinque (5) giorni.
3
4

Tabella 3: Informazioni dell'Appendice

Per "Informazioni dell'Appendice" si intendono le informazioni che devono essere fornite per i moduli selezionati come stabilito nell'Appendice delle SCC UE Approvate (diverse dalle Parti), e che per questa Appendice sono stabilite in:

Allegato 1A: Elenco delle Parti: Come stabilito nell'Allegato I sopra.
Allegato 1B: Descrizione del Trasferimento: Come stabilito nell'Allegato I sopra.

Allegato II: Misure tecniche e organizzative comprese le misure tecniche e organizzative per garantire la sicurezza dei dati: Come stabilito nell'Allegato II sopra.

Allegato III: Elenco dei Sub-responsabili (Solo Moduli 2 e 3): N/A.

Tabella 4: Terminazione di questa Appendice quando l'Appendice Approvata Cambia

Terminazione di questa Appendice quando l'Appendice Approvata cambia

Quali Parti possono terminare questa Appendice come stabilito nella Sezione:
☐ Importatore
☐ Esportatore
☒ nessuna Parte

Parte 2: Clausole Obbligatorie

Clausole Obbligatorie

Parte 2: Clausole Obbligatorie dell'Appendice Approvata, che è il modello di Appendice B.1.0 emesso dall'ICO e presentato al Parlamento in conformità con la s119A del Data Protection Act 2018 il 2 febbraio 2022, come viene rivisto ai sensi della Sezione 18 di tali Clausole Obbligatorie.