Appendice sul trattamento dei dati

Termini relativi al trattamento dei dati

1. Definizioni. Tutti i termini in maiuscolo utilizzati ma non altrimenti definiti nel presente documento avranno il significato stabilito nella presente Sezione 1 (Definizioni) o nel Contratto.

   
   (A) Per “Legge sulla protezione dei dati” si intende, a seconda dei casi: (i) il Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (il “GDPR dell’UE”); (ii) il GDPR dell’UE come incorporato nel diritto del Regno Unito ai sensi del UK European Union (Withdrawal) Act 2018 e la legislazione applicabile ai sensi di tale legge (il “GDPR del Regno Unito”); (iii) la Legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera) (il “FADP svizzero”); (iv) le leggi statali degli Stati Uniti che regolano il trattamento dei dati personali, tra cui il California Consumer Privacy Act del 2018 (il “CCPA”), come modificato dal California Privacy Rights Act del 2020 (il “CPRA”), e/o (v) la Legge canadese numero 25.
   
   (B) “SEE” indica lo Spazio Economico Europeo.
   
   (C) “UE” indica l’Unione Europea.
   
   (D) Per “Clausole contrattuali standard” o “SCC” si intendono le clausole allegate alla decisione di esecuzione (UE) della Commissione 2021/914 del 4 giugno 2021, relativa alle clausole contrattuali standard per il trasferimento dei dati personali verso Paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, disponibili online all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914from=EN.
   
   (E) “Trasferire” significa divulgare, fornire o rendere altrimenti disponibili i dati personali a una terza parte, compresa, senza limitazioni, la divulgazione mediante spostamento fisico dei dati personali a tale terza parte o consentire l’accesso ai dati personali con altri mezzi.
   
   (F) “UK” significa Regno Unito.
   
   (G) I termini “titolare del trattamento”, “titolare dei dati”, “dati personali”, “informazioni personali”, “violazione dei dati personali”, “trattamento”, “elaborazione” e “responsabile del trattamento” hanno il significato indicato nelle leggi sulla protezione dei dati applicabili.

2. Ruoli delle parti. Le parti concordano che, ai fini di qualsiasi legge applicabile sulla protezione dei dati, lo Sponsor è un titolare del trattamento (o, a seconda dei casi, un responsabile del trattamento) dei dati personali e Extu è un responsabile del trattamento dei dati personali. Ciascuna parte dovrà rispettare gli obblighi delle leggi sulla protezione dei dati personali ad essa applicabili in relazione alla presente ATD e all’elaborazione dei dati personali.

3. Elaborazione dei dati personali. Extu tratterà i dati personali esclusivamente: (a) per quanto necessario ad adempiere ai propri obblighi ai sensi del Contratto; (b) in conformità al Contratto, alla presente ATD e ad altre istruzioni documentate ricevute dallo Sponsor, come ulteriormente delineato nella Sezione 4 (Istruzioni) riportata di seguito; e (c) per quanto necessario a rispettare le leggi applicabili. I dettagli del trattamento dei dati personali (compresi l’oggetto e la durata del trattamento, la natura e lo scopo del trattamento, il tipo di dati personali e le categorie di soggetti interessati) sono descritti nell’Allegato A di questo documento.

4. Istruzioni. Extu tratterà i dati personali in conformità alle istruzioni, documentate e legittime, dello Sponsor, come specificato nel Contratto e nella presente ATD, comprese le istruzioni relative ai Trasferimenti. Lo Sponsor riconosce che Extu raccoglie solo i dati personali specificamente richiesti e approvati dallo Sponsor. Lo Sponsor può fornire ulteriori istruzioni, in forma scritta, a Extu in merito al trattamento dei dati personali in conformità con le leggi sulla protezione dei dati. Extu rispetterà le istruzioni aggiuntive dello Sponsor, nel caso in cui siano ragionevoli, lecite e documentate, salvo nella misura in cui tali istruzioni espandono l’ambito delle prestazioni di Extu ai sensi del Contratto, nel qual caso Extu si riserva il diritto di addebitare costi aggiuntivi. A meno che questo non sia proibito dalla legge applicabile, Extu informerà lo Sponsor se, secondo la ragionevole opinione di Extu, un’istruzione dello Sponsor violi la legge applicabile sulla protezione dei dati.

5. Richieste dei titolari dei dati. Se Extu riceve una richiesta da un soggetto interessato che si riferisce ai dati personali dello Sponsor e identifica lo Sponsor, Extu istruirà prontamente il soggetto interessato a presentare tale richiesta allo Sponsor. Extu assisterà, in modo ragionevole, lo Sponsor, con misure tecniche e organizzative adeguate e tenendo conto della natura del trattamento, ad adempiere all’obbligo dello Sponsor di rispondere alle richieste degli interessati di esercitare i loro diritti ai sensi della legge sulla protezione dei dati applicabile, compresi i diritti di accesso, correzione, opposizione, cancellazione e portabilità dei dati.

6. Ulteriore assistenza. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Extu, Extu assisterà ragionevolmente lo Sponsor nell’adempimento dei suoi obblighi di conformità per quanto riguarda: (a) garantire la sicurezza dei dati personali; (b) rispondere alle violazioni dei dati personali, come ulteriormente delineato di seguito nella Sezione 11 (Violazione dei dati personali); e (c) effettuare valutazioni dell’impatto sulla privacy e sulla protezione dei dati e relative consultazioni delle autorità di protezione dei dati.

7. Utilizzo di subprocessori. Lo Sponsor fornisce a Extu un’autorizzazione generale scritta a nominare subappaltatori terzi per il trattamento dei dati personali dello Sponsor in relazione alla fornitura delle prestazioni di Extu ai sensi del Contratto (indicati con il termine “Subprocessore“). Extu potrà continuare a utilizzare i Subprocessori già incaricati alla data di entrata in vigore dell’ATD, il cui elenco è disponibile all’indirizzo https://extu.com/legal/subprocessors/ (il “Sito web dei Subprocessori”). Con una notifica di almeno trenta (30) giorni prima della nomina di un nuovo Subprocessore per il trattamento dei dati personali dello Sponsor in relazione alla fornitura di prestazioni da parte della Extu ai sensi del Contratto, Extu fornirà allo Sponsor notifica della sua intenzione di nominare il nuovo Subprocessore aggiornando l’elenco disponibile sul Sito web dei Subprocessori. Se lo Sponsor non si oppone alla nomina entro dieci (10) giorni lavorativi, il nuovo Subprocessore sarà considerato approvato. Se lo Sponsor si oppone entro il periodo indicato di dieci (10) giorni, le parti si adopereranno in buona fede per risolvere tale obiezione entro un periodo di tempo ragionevole. Se le parti non sono in grado di risolvere tale obiezione entro un tempo ragionevole, lo Sponsor potrà recedere dal Contratto e dalla presente ATD, previa comunicazione a Extu. Prima di consentire a qualsiasi Subprocessore di trattare i dati personali dello Sponsor, Extu stipulerà con tale Subprocessore un accordo scritto, che non deve essere meno restrittivo della presente ATD, per quanto riguarda il trattamento dei dati personali. Extu rimarrà responsabile per qualsiasi azione od omissione di tale Subprocessore in relazione ai dati personali come se tale azione od omissione fosse stata direttamente compiuta da Extu.

8. Trasferimenti.

   
   (A) Se il trattamento dei dati personali da parte di Extu richiede trasferimenti da parte dello Sponsor di dati personali originati all’interno del SEE, del Regno Unito o della Svizzera in un Paese situato al di fuori del SEE, del Regno Unito o della Svizzera che non è stato oggetto di una decisione di adeguatezza da parte della Commissione europea o di un’analoga autorità competente in materia di protezione dei dati, tali trasferimenti saranno effettuati ai sensi delle Clausole contrattuali standard, che sono state qui incluse per riferimento, fatto salvo quanto segue:

   (i) nel caso in cui lo Sponsor sia un titolare del trattamento e Extu un responsabile del trattamento, i trasferimenti saranno effettuati ai sensi del Modulo due delle Clausole contrattuali standard;
   
   (ii) nel caso in cui sia lo Sponsor sia Extu siano responsabili del trattamento, i trasferimenti saranno effettuati ai sensi del Modulo tre delle Clausole contrattuali standard;
   
   (iii) nel caso in cui il trasferimento riguardi dati personali provenienti dal Regno Unito, le Clausole contrattuali standard saranno modificate come indicato nel documento “UK Transfer Addendum”, redatto dall’UK Information Commissioner’s Office (“UKICO”) e in vigore dal 21 marzo 2022, disponibile online all’indirizzo https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, e qui incluso per riferimento;
   
   (iv) le scelte delle parti, per quanto riguarda gli elementi opzionali delle Clausole contrattuali standard, sono indicate, giurisdizione per giurisdizione, nell’allegato B del presente documento; e
   
   (v) le informazioni richieste da: (A) Addendum I e Addendum III delle Clausole contrattuali standard sono riportate nell’Allegato A qui incluso e (B) l’Addendum II delle Clausole contrattuali standard è riportato nell’Allegato C qui incluso.

   (B) Qualsiasi Trasferimento successivo da parte di Extu di dati personali originati all’interno del SEE, del Regno Unito o della Svizzera a un destinatario che si trova in un Paese al di fuori del SEE, del Regno Unito o della Svizzera che non sia stato oggetto di una decisione di adeguatezza da parte della Commissione Europea o di un’analoga autorità competente per la protezione dei dati sarà soggetto a meccanismi di trasferimento vincolanti e appropriati che devono fornire un livello adeguato di protezione in conformità con la Legge sulla protezione dei dati, come le Clausole contrattuali standard o le norme aziendali vincolanti approvate.

9. Riservatezza. Extu verificherà che tutte le persone autorizzate al trattamento dei dati personali siano soggette a obblighi di riservatezza scritti, o a un obbligo di riservatezza legale, non meno restrittivi di quelli stabiliti nel presente documento o nel Contratto.

10. Sicurezza. Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento dei dati, Extu implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento dei dati personali.

11. Violazione dei dati personali. Se Extu viene a conoscenza di una violazione dei dati personali (come definita dalla Legge sulla protezione dei dati), informerà lo Sponsor per iscritto di tale violazione dei dati personali nel più breve tempo possibile. Tenuto conto della natura del trattamento e delle informazioni a disposizione di Extu, Extu assisterà, in maniera ragionevole, lo Sponsor nell’adempimento dei suoi obblighi in materia di violazione dei dati personali.

12. Restituzione o distruzione. Extu restituirà allo Sponsor o distruggerà tutti i dati personali alla cessazione del Contratto o della presente ATD, e distruggerà le copie esistenti dei dati personali a meno che: (a) la legge applicabile o la ragionevole politica di conservazione dei dati di Extu non ne richiedano la conservazione, o (b) tali dati personali sono conservati nei sistemi di archiviazione o di backup di Extu. Tutti i dati personali conservati da Extu ai sensi della presente Sezione 12 (Restituzione o distruzione) saranno conservati in conformità ai termini della presente ATD.

13. Audit e indagini. Extu metterà a disposizione dello Sponsor tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di Extu alla Legge sulla protezione dei dati e alla presente ATD e, a spese dello Sponsor, consentirà e contribuirà agli audit, comprese le ispezioni, condotte dai revisori interni ed esterni e dal personale dello Sponsor e dalle autorità competenti in materia di protezione dei dati. In relazione a quanto detto sopra, lo Sponsor fornirà a Extu un ragionevole preavviso di tale audit (che in ogni caso non potrà essere inferiore a trenta (30) giorni) e tale audit si svolgerà in una data e in un orario concordato dalle parti durante il normale orario di lavoro e non interferirà in modo irragionevole con le operazioni commerciali di Extu. Lo Sponsor accetta di trattare qualsiasi informazione esaminata, ottenuta o altrimenti resa disponibile da Extu durante qualsiasi audit o ispezione, compresi i risultati di tale audit e ispezione, come informazioni riservate di Extu e prima di eseguire qualsiasi audit o ispezione ai sensi della presente Sezione 13 (Audit e indagini) obbligherà contrattualmente i propri revisori interni ed esterni e il proprio personale ad accettare le stesse condizioni.

14. Richieste di divulgazione. Se Extu riceve una citazione in giudizio, un ordine giudiziario, amministrativo o arbitrale di un organo esecutivo o amministrativo, di un’agenzia di regolamentazione o di un’altra autorità governativa che si riferisce al trattamento dei dati personali dello Sponsor (“Richiesta di divulgazione”), trasmetterà prontamente tale richiesta allo Sponsor senza rispondere a essa, a meno che non sia richiesto altrimenti dalla legge applicabile. Extu fornirà allo Sponsor tutte le informazioni in suo possesso necessarie a rispondere alla richiesta di divulgazione e si impegnerà a fornire ragionevole assistenza allo Sponsor per rispondere prontamente a tale richiesta.

15. Conformità al CCPA. Le parti riconoscono e concordano che Extu agisce come fornitore di servizi allo Sponsor (in accordo alla relativa definizione del CCPA) in relazione alle prestazioni di Extu ai sensi del Contratto. Extu riconosce e conferma di non fornire allo Sponsor alcun corrispettivo monetario o di altro valore in cambio della ricezione di informazioni personali (come definite dal CCPA) e certifica che comprende e rispetterà le restrizioni stabilite nella presente Sezione 15 (Conformità al CCPA). A eccezione di quanto richiesto dalla legge applicabile, Extu non raccoglierà, accederà, utilizzerà, divulgherà, elaborerà o conserverà informazioni personali per scopi diversi dalle prestazioni di Extu ai sensi del Contratto o da un altro scopo commerciale consentito dal CCPA, dalla presente ATD o dal Contratto. In particolare, Extu non procederà alla vendita (come definita dal CCPA) e alla condivisione (come definita dal CPRA) di alcuna informazione personale.

16. Sopravvivenza di clausole. Gli obblighi di Extu ai sensi della presente ATD continueranno per tutto il tempo in cui Extu avrà accesso, sarà in possesso o acquisirà dati personali, anche se il Contratto è scaduto o è stato terminato.

17. Limitazioni di responsabilità. A scanso di equivoci, la presente ATD e qualsiasi responsabilità o rimedio da essa derivanti sono soggetti a tutte le disposizioni di limitazione e di esclusione di responsabilità delle tipologie di danni previste dal Contratto, nella misura massima consentita dalla legge applicabile.

18. Interpretazione. Ad eccezione di quanto specificamente previsto nel presente documento, il Contratto rimarrà in vigore a tutti gli effetti. I diritti concessi a qualsiasi parte nel presente documento si aggiungono e non sostituiscono gli altri che la parte può avere ai sensi del Contratto. In caso di conflitto o incongruenza tra i termini della presente ATD e i termini del Contratto per quanto riguarda il trattamento dei dati personali, prevarranno i termini della presente ATD. In caso di conflitto o incongruenza tra i termini di qualsiasi modulo applicabile delle Clausole contrattuali standard e i termini della presente ATD in relazione ai trasferimenti dei dati, prevarranno i termini delle Clausole contrattuali standard.

A CONFERMA DI QUANTO SOPRA, le parti accettano di essere vincolate dalla presente ATD tramite i loro rappresentanti debitamente autorizzati, nella data di entrata in vigore specificata.