Introduzione a questo emendamento

L’elaborazione dei dati personali in modo sicuro, equo e trasparente è estremamente importante per noi di TaxDome. Nell’ambito di questo impegno, trattiamo i dati personali in conformità alle leggi sulla protezione dei dati dell’UE, compreso il Regolamento generale sulla protezione dei dati (“GDPR”) dell’UE, e al Data Protection Act 2018 del Regno Unito (UK), nella misura in cui è applicabile. Trattiamo inoltre i dati personali in conformità con le leggi sulla protezione dei dati non UE che regolano il trattamento di vari tipi di dati personali, tra cui il California Consumer Privacy Act (“CCPA”), l’Health Insurance Portability and Accountability Act (“HIPAA”) e il Payment card industry compliance (“PCI”).

Per proteggere meglio i dati personali degli individui, forniamo i presenti termini per disciplinare il trattamento dei dati personali da parte di TaxDome e dell’utente (l’ “Emendamento Sull’Elaborazione Dei Dati” o “DPA”). Il presente DPA è parte integrante e modifica i Termini di servizio (“TDS”) e non richiede ulteriori azioni da parte dell’utente.

Se non accettate il presente DPA, potete interrompere l’utilizzo del servizio TaxDome e cancellare il vostro account.

Definizioni

È importante che tutte le parti comprendano quali dati e di chi sono protetti ai sensi del presente DPA. Ciascuna parte ha i rispettivi obblighi di protezione dei dati personali; pertanto, le seguenti definizioni spiegano l’ambito di applicazione del presente DPA e gli impegni reciproci di protezione dei dati personali.

“TaxDome”, “noi”, “ci” o “nostro” si riferisce al fornitore del sito web e dei servizi TaxDome (collettivamente indicati come “Servizio TaxDome”).

“Voi” o “Cliente” si riferisce all’azienda o all’organizzazione che si iscrive per utilizzare il Servizio TaxDome per gestire i rapporti con i vostri consumatori o utenti del servizio.

“Parte” si riferisce a TaxDome e/o al cliente a seconda del contesto.

“Personale” si riferisce alle persone che sono impiegate da una delle parti o che sono sotto contratto per eseguire un servizio per conto di una di esse. Il personale può avere diritti sui propri dati personali (comprese le informazioni di contatto aziendali) se risiede nell’UE. È importante essere chiari sulle modalità di tutela dei diritti del personale.

“Subprocessore” è una Terza parte, appaltatori indipendenti, venditori e fornitori che forniscono servizi e prodotti specifici relativi al sito web TaxDome e ai nostri servizi, come l’hosting, l’elaborazione delle carte di credito e lo screening delle frodi, e l’hosting delle mailing list (“terza parte” o “appaltatore esterno” avranno significati simili).

Per “incidente” si intende: (a) un reclamo o una richiesta relativa all’esercizio dei diritti di un individuo ai sensi del GDPR; (b) un’indagine o un sequestro dei dati personali da parte di funzionari governativi, o un’indicazione specifica dell’imminenza di tale indagine o sequestro; o (c) qualsiasi violazione della sicurezza e/o della riservatezza, come stabilito nel presente DPA, che porti alla distruzione accidentale o illegale, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso ai dati personali, o qualsiasi indicazione del fatto che tale violazione sia avvenuta o stia per avvenire.

I termini “Soggetto interessato”, “Dati personali”, “Stato membro”, “Titolare del trattamento”, “Incaricato del trattamento” e “Trattamento” avranno lo stesso significato di cui al GDPR e i termini corrispondenti saranno interpretati di conseguenza.

Per “Legge sulla protezione dei dati” si intende tutta la legislazione applicabile in materia di protezione dei dati e della privacy, incluso, a titolo esemplificativo, il GDPR, unitamente a qualsiasi legge nazionale di attuazione in qualsiasi Stato membro dell’Unione europea o, nella misura in cui sia applicabile, in qualsiasi altro paese, come di volta in volta modificata, abrogata, consolidata o sostituita.

Per “SCC” si intendono le clausole contrattuali standard per gli incaricati del trattamento approvate dalla Commissione europea o dall’Autorità federale svizzera per la protezione dei dati (a seconda dei casi).

Per motivi di leggibilità, nel presente DPA non utilizziamo la maiuscola iniziale dei termini definiti. I termini definiti sono termini definiti, indipendentemente dal loro formato.

1. Impegni relativi ai dati personali

1.1 Ciascuna parte concorda che i dati personali saranno trattati come informazioni riservate ai sensi del presente DPA. Inoltre, ciascuna parte si impegna a rispettare in ogni momento le leggi applicabili in materia di protezione dei dati nella giurisdizione di riferimento per quanto riguarda i dati personali dell’altra.

1.2 I dati personali rimarranno di proprietà della parte divulgante. TaxDome riconosce che il cliente è il responsabile del trattamento e mantiene il controllo sui dati personali dell’interessato.

1.3 TaxDome tratterà i dati personali del cliente solo nella misura strettamente necessaria allo scopo di fornire i servizi in conformità ai ToS e ad eventuali ulteriori istruzioni scritte del cliente concordate per iscritto. I dettagli del trattamento dei dati personali come richiesto dall’articolo 28(3) del GDPR sono riportati nell’Allegato B. TaxDome accetta che:

1.3.1 Implementerà e manterrà un programma di sicurezza ragionevole e appropriato che comprenda adeguate misure di sicurezza, tecniche e organizzative per la protezione contro l’elaborazione, l’uso, la cancellazione, la perdita o la distruzione non autorizzata, illegale o accidentale dei dati personali del cliente o il loro danneggiamento;

1.3.2 Non modificherà, altererà, cancellerà, pubblicherà o divulgherà i dati personali dei clienti a terzi, né consentirà a terzi di trattare tali dati personali per conto di TaxDome, a meno che i terzi non siano vincolati a disposizioni analoghe in materia di riservatezza e trattamento dei dati;

1.3.3 Garantirà che l’accesso ai dati personali sia limitato al personale che necessita di tale accesso per adempiere agli obblighi previsti dai TDS e che il personale impegnato nel trattamento dei dati personali sia informato della natura riservata dei dati personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia sottoscritto accordi scritti di riservatezza. TaxDome garantirà che tali obblighi di riservatezza sopravvivano alla cessazione dell’incarico del personale; e

1.3.4 Tratterà i dati personali del cliente solo nella misura necessaria per adempiere agli obblighi previsti dai TDS, su istruzioni scritte del cliente (solo se concordate reciprocamente) e in conformità alle leggi vigenti.

1.4 Alla chiusura dell’account, TaxDome eliminerà o, su richiesta del cliente, restituirà tutti i dati personali in conformità con la nostra politica di backup e conservazione standard ai sensi dei TDS, di norma non oltre 90 giorni, a meno che non sia richiesto di conservare i dati personali a causa delle leggi dell’Unione, degli Stati membri o degli Stati Uniti; in tal caso TaxDome si riserva il diritto di conservare i dati personali.

1.5 Le parti riconoscono che i clienti possono di volta in volta essere in possesso di dati personali relativi al personale di TaxDome in relazione all’utilizzo del Servizio TaxDome. TaxDome garantisce di aver fornito a tale personale tutte le notifiche necessarie e di aver ottenuto tutti i consensi, le autorizzazioni, le approvazioni e/o gli accordi necessari, come richiesto da qualsiasi legge applicabile, al fine di consentire: (i) la divulgazione dei dati personali del personale di TaxDome al cliente in relazione all’utilizzo del Servizio TaxDome da parte del cliente; e (ii) l’ulteriore trattamento di tali dati personali di TaxDome da parte del cliente allo scopo di utilizzare il Servizio TaxDome.

2. Impegni relativi ai subprocessori

2.1 Le parti riconoscono che TaxDome può avvalersi di subprocessori terzi in relazione agli obblighi dei TDS. Per qualsiasi subprocessore con cui TaxDome si impegna, stipuleremo un accordo scritto contenente obblighi di protezione dei dati non inferiori a quelli previsti dalla presente modifica e necessari per proteggere i dati personali del cliente secondo gli standard richiesti dal GDPR.

2.2 TaxDome metterà a disposizione dei clienti l’elenco aggiornato dei subprocessori pubblicandolo online all’indirizzo: https://www.taxdome.com/policies/sub-processors/.

2.3 A scanso di equivoci, la suddetta autorizzazione all’assunzione di subelaboratori costituisce il previo consenso scritto del cliente alla subelaborazione da parte di TaxDome ai fini della clausola 9 delle Clausole contrattuali standard.

3. Impegni del cliente e assistenza di TaxDome

3.1 Il cliente garantisce di disporre di tutti i diritti necessari per fornire a TaxDome i dati personali da elaborare in relazione alla fornitura dei Servizi TaxDome.

3.2 Nella misura richiesta dalla legge applicabile, il cliente è responsabile di garantire l’ottenimento di tutti i consensi degli interessati che possono essere necessari per questo trattamento e di garantire la conservazione di un registro di tali consensi, compreso qualsiasi consenso all’utilizzo dei dati personali ottenuto da terzi. Nel caso in cui tale consenso venga revocato da un soggetto interessato, il cliente è responsabile della comunicazione di tale revoca a TaxDome, e TaxDome rimane responsabile dell’attuazione di qualsiasi istruzione del cliente in merito all’ulteriore trattamento di tali dati personali, o, se del caso, in conformità con qualsiasi obbligo legale di TaxDome.

3.3 Il cliente è consapevole, in qualità di responsabile del trattamento, di essere responsabile (tra il cliente e TaxDome) di:

3.3.1 determinare la legittimità di qualsiasi trattamento, eseguire qualsiasi valutazione d’impatto sulla protezione dei dati richiesta e rendere conto alle autorità di regolamentazione e alle persone, come potrebbe essere necessario;

3.3.2 compiere sforzi ragionevoli per verificare il consenso dei genitori quando i dati sono raccolti su un soggetto di età inferiore ai 16 anni;

3.3.3 fornire agli interessati le informazioni sulla privacy richieste dalla vostra giurisdizione, compresa l’informativa sui loro diritti e fornire i meccanismi per l’esercizio di tali diritti;

3.3.4 rispondere alle richieste degli interessati in merito ai loro dati e al trattamento degli stessi, comprese le richieste di modifica, correzione o cancellazione dei dati personali, e fornire copie dei dati effettivamente trattati;

3.3.5 implementare le proprie misure tecniche e organizzative adeguate per garantire e dimostrare un trattamento conforme alla presente DPA;

3.3.6 notificare alle persone e alle autorità di regolamentazione o alle autorità competenti qualsiasi incidente, come richiesto dalla legge nella vostra giurisdizione.

3.4 TaxDome assisterà il cliente implementando misure tecniche e organizzative adeguate, nella misura in cui ciò sia ragionevolmente e commercialmente possibile, nell’adempimento degli obblighi del cliente di rispondere alle richieste di esercizio dei diritti delle persone ai sensi del GDPR.

3.5 TaxDome assisterà il cliente nell’implementazione di misure tecniche e organizzative adeguate, nella misura in cui ciò sia ragionevolmente e commercialmente possibile, per garantire la conformità agli articoli da 32 a 36 (inclusi) del GDPR.

3.6 Su base annuale, TaxDome si procurerà un audit indipendente della sua base di codice e dei suoi sistemi da parte di terzi indipendenti per dimostrare la conformità agli obblighi previsti dal presente DPA. Su richiesta del cliente, e nel rispetto degli obblighi di riservatezza, TaxDome metterà a disposizione del cliente le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi di TaxDome ai sensi del presente DPA. Come minimo, su richiesta scritta, TaxDome produrrà al cliente una sintesi di qualsiasi rapporto di audit di terze parti riguardante l’adeguatezza delle misure di sicurezza tecnica di TaxDome come descritto nella Politica di Sicurezza.

4. Gestione degli incidenti

4.1 Quando una delle parti viene a conoscenza di un incidente che ha un impatto sul trattamento dei dati personali, dovrà informare tempestivamente l’altra parte dell’incidente e dovrà ragionevolmente collaborare per consentire all’altra parte di svolgere un’indagine approfondita sull’incidente, di formulare una risposta corretta e di adottare ulteriori misure adeguate in relazione all’incidente.

4.2 Entrambe le parti devono sempre disporre di procedure scritte che consentano loro di rispondere prontamente all’altra parte in merito a un incidente. Qualora sia ragionevolmente probabile che l’incidente richieda una notifica di violazione dei dati ai sensi delle leggi applicabili, la parte responsabile dell’incidente dovrà notificare all’altra parte senza indebiti ritardi il fatto di essere venuta a conoscenza di tale incidente.

4. 3 Le notifiche effettuate ai sensi della presente sezione dovranno essere inviate a help@taxdome.com (se effettuate a TaxDome) e al nostro punto di contatto con l’utente (se effettuate al cliente), e dovranno contenere: (i) una descrizione della natura dell’incidente, comprese, ove possibile, le categorie e il numero approssimativo di individui interessati e le categorie e il numero approssimativo di registrazioni interessate; (ii) il nome e i dettagli di contatto del punto di contatto dove è possibile ottenere maggiori informazioni; (iii) una descrizione delle probabili conseguenze dell’incidente; e (iv) una descrizione delle misure adottate o proposte per affrontare l’incidente, comprese, se del caso, le misure per mitigare i possibili effetti negativi.

5. Responsabilità e indennizzo

5.1 La responsabilità di ciascuna parte nei confronti dell’altra parte ai sensi del presente DPA o in relazione ad esso sarà limitata in conformità alle disposizioni dei TDS.

5.2 Il cliente riconosce che TaxDome dipende dal cliente per quanto riguarda la misura in cui TaxDome è autorizzata a trattare i dati personali del cliente per conto del cliente nell’esecuzione dei Servizi. Di conseguenza, TaxDome non sarà responsabile ai sensi dei ToS per qualsiasi reclamo presentato da un soggetto interessato derivante da un’azione o un’omissione da parte di TaxDome, nella misura in cui tale azione o omissione derivi dalle istruzioni del cliente o dall’inosservanza da parte del cliente dei propri obblighi ai sensi della legge sulla protezione dei dati applicabile.

6. Durata e risoluzione

6.1 Il presente DPA entrerà in vigore il 1° gennaio 2022 e rimarrà in vigore fino alla sua modifica o risoluzione in conformità ai TDS.

6.2 La cessazione o la scadenza del presente DPA non esonera le parti dagli obblighi di riservatezza ivi previsti.

7. Trasferimenti internazionali dei dati

7.1 Ubicazione dei centri dati. Il Cliente riconosce che TaxDome può trasferire ed elaborare i dati personali negli Stati Uniti e in qualsiasi altra parte del mondo in cui TaxDome, le sue affiliate o i suoi sub-processori mantengono le operazioni di elaborazione dei dati. TaxDome garantirà in ogni momento che tali trasferimenti avvengano in conformità con i requisiti delle leggi sulla protezione dei dati.

7.2 Trasferimenti dei dati europei. Nella misura in cui TaxDome è un destinatario di dati personali protetti dalle leggi sulla protezione dei dati dell’UE (“Dati dell’UE”), le parti concordano che TaxDome renda disponibili i meccanismi elencati di seguito:

7.2.1 SCC: TaxDome si impegna a rispettare e trattare i Dati UE in conformità con le SCC, che sono incorporate integralmente per riferimento e costituiscono parte integrante del presente DPA. Ai fini degli SCC:

7.2.1.1 TaxDome accetta di essere l'”importatore di dati” e il cliente è l'”esportatore di dati” ai sensi delle SCC (nonostante il cliente possa essere un’entità situata al di fuori dell’UE);

7.2.1.2 L’Allegato B comprende le SCC e le relative appendici Le parti concordano inoltre che le SCC si applicheranno ai dati personali trasferiti tramite il Servizio dall’Europa al di fuori dell’Europa, direttamente o tramite trasferimento successivo, verso qualsiasi paese o destinatario: (a) non riconosciuto dalla Commissione Europea come fornitore di un livello adeguato di protezione dei dati personali (come descritto nella Legge sulla Protezione dei Dati dell’UE)

7.2.2 Se e nella misura in cui le Clausole contrattuali standard (ove applicabili) sono in conflitto con qualsiasi disposizione del presente DPA, le Clausole contrattuali standard prevarranno nella misura di tale conflitto.

Termini specifici della giurisdizione

1. Nella misura in cui TaxDome elabora dati personali provenienti e protetti dalle leggi sulla protezione dei dati in una delle giurisdizioni elencate nell’Allegato A, i termini specificati nell’Allegato A in relazione alla giurisdizione o alle giurisdizioni applicabili (“Termini specifici della giurisdizione”) si applicano in aggiunta ai termini del presente DPA. In caso di conflitto o ambiguità tra i Termini specifici della giurisdizione e qualsiasi altro termine del presente DPA, i Termini specifici della giurisdizione applicabili avranno la precedenza, ma solo nella misura in cui i Termini specifici della giurisdizione siano applicabili a TaxDome.

Allegato A – Condizioni specifiche della giurisdizione

Brasile

1. In seguito all’entrata in vigore della legge generale brasiliana sulla protezione dei dati, Lei Geral de Proteção de Dados (“LGPD”), si applicherà quanto segue: ciascuna parte è responsabile dell’adempimento dei rispettivi obblighi previsti dalla LGPD e il Cliente impartirà esclusivamente istruzioni di trattamento, come stabilito nella Sezione 1 (Impegni relativi ai dati personali) del DPA, che consentano a TaxDome di adempiere ai propri obblighi previsti dalla LGPD. Ai fini della Sezione 7 (Trasferimenti internazionali di dati), le Clausole contrattuali standard saranno utilizzate per i trasferimenti verso Paesi non adeguati ai sensi del GDPR.

California

1. Le definizioni di: “responsabile del trattamento” include “Azienda”; “incaricato del trattamento” include “Fornitore di servizi”; “soggetto dei dati” include “Consumatore”; “dati personali” include “Informazioni personali”; in ciascun caso come definito ai sensi del CCPA.

2. “Elaborazione”, “Elaborato” o “Trattamento” indica qualsiasi operazione o insieme di operazioni eseguite su Informazioni personali, o su insiemi di Informazioni personali, con o senza mezzi automatizzati.

3. Gli obblighi di TaxDome in merito alle richieste degli interessati, come descritto nella Sezione 3(d) e 3(e) (diritti degli interessati e cooperazione) del presente DPA, si applicano ai diritti del Consumatore ai sensi del CCPA.

4. Nonostante tutto il contrario, le Informazioni Personali del Cliente sono le Informazioni Personali che TaxDome tratta per conto del Cliente ai sensi del Contratto. TaxDome può trattare le Informazioni personali del cliente al solo scopo di adempiere ai propri obblighi ai sensi del Contratto e non utilizzerà le Informazioni personali del cliente per nessun altro scopo senza l’espresso consenso scritto del cliente. In particolare, TaxDome non potrà: (i) vendere, come definito nel CCPA, le Informazioni Personali dell’Utente o condividere le Informazioni Personali dell’Utente con terzi senza l’autorizzazione dell’Utente; (ii) conservare, utilizzare o divulgare le Informazioni Personali dell’Utente per scopi diversi da quelli specificati nel presente Contratto, incluso conservare, utilizzare o divulgare le Informazioni Personali dell’Utente per uno scopo commerciale diverso da quello di fornire i propri servizi all’Utente; e (iii) conservare, utilizzare o divulgare le Informazioni Personali dell’Utente al di fuori del rapporto commerciale di TaxDome con l’Utente. Le parti riconoscono che qualsiasi divulgazione delle Informazioni personali del cliente ai sensi del Contratto non conferisce alcun valore ai sensi del Contratto.

5. TaxDome si atterrà a tutti i requisiti applicabili del CCPA nell’adempimento dei suoi obblighi ai sensi dell’Accordo, compresa l’implementazione e il mantenimento di ragionevoli misure di sicurezza adeguate alla natura delle Informazioni Personali, al fine di proteggere le Informazioni Personali del Cliente da accessi non autorizzati, distruzione, uso, modifica o divulgazione. TaxDome si impegna a riparare qualsiasi danno che qualsiasi persona possa subire a causa dell’Elaborazione eseguita in violazione dei suoi obblighi legali, normativi e contrattuali, tranne nel caso in cui TaxDome dimostri di non essere responsabile di tale danno.

6. TaxDome può de-identificare o aggregare i dati personali come parte dell’esecuzione del Servizio specificato nel presente DPA e nel Contratto.

7. Laddove i sub-processori elaborino i dati personali dei nostri clienti, TaxDome si adopera per garantire che tali sub-processori siano Fornitori di Servizi ai sensi del CCPA con i quali TaxDome ha stipulato un contratto scritto che includa termini sostanzialmente simili al presente DPA o siano altrimenti esenti dalla definizione di “vendita” del CCPA. TaxDome svolge un’adeguata due diligence sui propri sub-processori.

Canada

1. TaxDome adotta misure per garantire che i sub-processori di TaxDome, come descritto nella Sezione 2 del DPA, siano terze parti ai sensi del PIPEDA, con cui TaxDome ha stipulato un contratto scritto che include termini sostanzialmente simili al presente DPA. TaxDome conduce un’adeguata due diligence sui propri sub-processori.

2. TaxDome implementerà e manterrà ragionevoli misure di sicurezza adeguate alla natura delle Informazioni personali, come stabilito nella Sezione 1 del DPA.

Serbia

1. Legge sulla protezione dei dati personali (Zakon o zaštiti podataka o ličnosti; Gazzetta ufficiale della Repubblica di Serbia, n. 87/2018).

Regno Unito

1. Il Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, come modificato, superato o sostituito, una volta entrato in vigore, e il UK Data Protection Act 2018.

Allegato B – Clausole contrattuali standard (Responsabili del trattamento)

Sezione 1

Clausola 1

Scopo e ambito di applicazione

1. Lo scopo delle presenti clausole contrattuali standard è quello di garantire la conformità ai requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento di dati personali verso un paese terzo.

2. Le Parti:

a. la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo (di seguito “entità”) che trasferisce i dati personali, come elencato nell’allegato I.A (di seguito “esportatore di dati”), e

b. l’ente/gli enti di un paese terzo che riceve/ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un altro ente anch’esso parte delle presenti clausole, come elencato nell’allegato I.A (di seguito ciascun “importatore di dati”)

3. hanno accettato le presenti clausole contrattuali standard (di seguito: “Clausole”).

4. Le presenti Clausole si applicano in relazione al trasferimento di dati personali come specificato nell’Allegato I.B.

5. L’appendice alle presenti clausole, contenente gli allegati ivi menzionati, costituisce parte integrante delle stesse.

Clausola 2

Effetti e invariabilità delle Clausole

1. Le presenti Clausole stabiliscono garanzie adeguate, tra cui diritti dell’interessato applicabili e rimedi giuridici efficaci, ai sensi dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2 © del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da responsabili del trattamento a incaricati del trattamento e/o da incaricati del trattamento a incaricati del trattamento, clausole contrattuali standard ai sensi dell’articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non vengano modificate, se non per selezionare il Modulo o i Moduli appropriati o per aggiungere o aggiornare le informazioni nell’Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, purché non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

2. Le presenti Clausole non pregiudicano gli obblighi a cui l’esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3

Terzi beneficiari

1. Gli interessati possono invocare e far valere le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore di dati, con le seguenti eccezioni:

a. Clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;

b. Clausola 8.1(b), 8.9(a), (c), (d) ed (e);

c. Clausola 9(a), (c), (d) ed (e);

d. Clausola 12(a), (d) e (f);

e. Clausola 13;

f. Clausola 15.1(c), (d) ed (e);

g. Clausola 16(e);

h. Clausola 18(a) e (b).

2. Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4

Interpretazione

1. Laddove le presenti Clausole utilizzano termini che sono definiti nel Regolamento (UE) 2016/679, tali termini hanno lo stesso significato che hanno in tale Regolamento.

2. Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

3. Le presenti Clausole non devono essere interpretate in modo da entrare in conflitto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui le presenti Clausole vengono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 6

Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, in particolare le categorie di dati personali trasferiti e le finalità per cui vengono trasferiti, sono specificati nell’Allegato I.B.

Clausola 7 – Facoltativa

Clausola di approdo

1. Un soggetto che non è Parte delle presenti Clausole può, con l’accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore che come importatore di dati, compilando l’Appendice e firmando l’Allegato I.A.

2. Una volta completata l’Appendice e firmato l’Allegato I.A, l’entità aderente diventerà Parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore o di un importatore di dati in conformità alla sua designazione nell’Allegato I.A.

3. L’entità aderente non avrà alcun diritto o obbligo derivante dalle presenti Clausole per il periodo precedente all’adesione.

Sezione 2 – Obblighi delle Parti

Clausola 8

Salvaguardia della protezione dei dati

L’esportatore di dati garantisce di aver compiuto sforzi ragionevoli per determinare che l’importatore di dati sia in grado, attraverso l’implementazione di misure tecniche e organizzative adeguate, di soddisfare i propri obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni

1. L’importatore dei dati tratterà i dati personali solo su istruzioni documentate dell’esportatore dei dati. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.

2. L’importatore informa immediatamente l’esportatore se non è in grado di seguire tali istruzioni.

8.2 Limitazione delle finalità

L’importatore tratterà i dati personali solo per le finalità specifiche del trasferimento, come indicato nell’allegato I.B, salvo ulteriori istruzioni dell’esportatore.

8.3 Trasparenza

Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle Parti. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’Allegato II e i dati personali, l’esportatore di dati può redigere parte del testo dell’Appendice alle presenti Clausole prima di condividerne una copia, ma deve fornire una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniscono all’interessato i motivi delle riduzioni, per quanto possibile senza rivelare le informazioni ridotte. La presente clausola non pregiudica gli obblighi dell’esportatore di dati ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679.

8.4 Accuratezza

Se l’importatore dei dati si rende conto che i dati personali ricevuti sono inesatti o sono diventati obsoleti, deve informare l’esportatore dei dati senza indebito ritardo. In tal caso, l’importatore collaborerà con l’esportatore per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell’importatore di dati avrà luogo solo per la durata specificata nell’Allegato I.B. Al termine della fornitura dei servizi di trattamento, l’importatore di dati dovrà, a scelta dell’esportatore di dati, cancellare tutti i dati personali trattati per conto dell’esportatore di dati e certificare all’esportatore di dati di averlo fatto, oppure restituire all’esportatore di dati tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l’importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l’importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e li tratterà solo nella misura e per il tempo richiesti dalla legge locale. Ciò non pregiudica la Clausola 14, in particolare l’obbligo per l’importatore di dati ai sensi della Clausola 14(e) di notificare all’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla Clausola 14(a).

8.6 Sicurezza del trattamento

1. L’importatore dei dati e, durante la trasmissione, anche l’esportatore dei dati attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso a tali dati (di seguito “violazione dei dati personali”). Nel valutare il livello di sicurezza adeguato, le Parti tengono in debito conto lo stato dell’arte, i costi di attuazione, la natura, l’ambito, il contesto e le finalità del trattamento, nonché i rischi che il trattamento comporta per gli interessati. Le Parti prendono in considerazione, in particolare, la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere soddisfatta in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un soggetto specifico devono, ove possibile, rimanere sotto il controllo esclusivo dell’esportatore di dati. Nell’adempimento degli obblighi di cui al presente paragrafo, l’importatore di dati attua almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore di dati effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

2. L’importatore di dati concede l’accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l’attuazione, la gestione e il monitoraggio del contratto. Deve garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge.

3. In caso di violazione dei dati personali trattati dall’importatore di dati ai sensi delle presenti clausole, l’importatore di dati adotterà misure adeguate per affrontare la violazione, comprese misure per attenuarne gli effetti negativi. L’importatore di dati dovrà inoltre informare l’esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà gli estremi di un punto di contatto presso il quale ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per far fronte alla violazione, comprese, ove opportuno, le misure per attenuarne i possibili effetti negativi. Se, e nella misura in cui, non è possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni disponibili in quel momento e le ulteriori informazioni, man mano che si rendono disponibili, saranno fornite successivamente senza indebito ritardo.

4. L’importatore collabora e assiste l’esportatore di dati per consentire a quest’ultimo di adempiere agli obblighi previsti dal Regolamento (UE) 2016/679, in particolare di notificare l’autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’importatore di dati.

8.7 Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito “dati sensibili”), l’importatore dei dati applicherà le restrizioni specifiche e/o le garanzie supplementari descritte nell’Allegato I.B.

8.8 Trasferimenti successivi

L’importatore dei dati comunicherà i dati personali a terzi solo su istruzioni documentate dell’esportatore dei dati. Inoltre, i dati possono essere divulgati a terzi situati al di fuori dell’Unione europea (nello stesso paese dell’importatore dei dati o in un altro paese terzo, di seguito “trasferimento successivo”) solo se il terzo è o accetta di essere vincolato dalle presenti clausole, in base al modulo appropriato, o se:

1. il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell’articolo 45 del Regolamento (UE) 2016/679 che copre il trasferimento successivo;

2. la terza parte assicura altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del Regolamento (UE) 2016/679 in relazione al trattamento in questione;

3. il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di diritti legali nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

4. il trasferimento successivo è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell’importatore dei dati di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

1. L’importatore di dati deve trattare tempestivamente e adeguatamente le richieste di informazioni dell’esportatore di dati che riguardano il trattamento ai sensi delle presenti Clausole.

2. Le Parti devono essere in grado di dimostrare la conformità alle presenti clausole. In particolare, l’importatore di dati conserverà una documentazione adeguata sulle attività di trattamento svolte per conto dell’esportatore di dati.

3. L’importatore di dati mette a disposizione dell’esportatore tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e, su richiesta dell’esportatore, consente e contribuisce a verifiche delle attività di trattamento coperte dalle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere una revisione o un audit, l’esportatore di dati può tenere conto delle certificazioni pertinenti in possesso dell’importatore di dati.

4. L’esportatore di dati può scegliere di condurre l’audit autonomamente o di incaricare un revisore indipendente. Gli audit possono comprendere ispezioni presso i locali o le strutture fisiche dell’importatore di dati e devono, se del caso, essere effettuati con un ragionevole preavviso.

5. Le Parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9

Utilizzo di subprocessori

1. AUTORIZZAZIONE GENERALE SCRITTA – L’importatore di dati dispone dell’autorizzazione generale dell’esportatore per l’assunzione di subprocessori da un elenco concordato. L’importatore di dati informerà specificamente per iscritto l’esportatore di dati di qualsiasi modifica che si intenda apportare a tale elenco attraverso l’aggiunta o la sostituzione di subprocessori con almeno dieci (10) giorni di anticipo, dando così all’esportatore di dati il tempo sufficiente per potersi opporre a tali modifiche prima dell’assunzione dei subprocessori. L’importatore di dati fornirà all’esportatore di dati le informazioni necessarie per consentire all’esportatore di dati di esercitare il proprio diritto di opposizione.

2. Qualora l’importatore dei dati incarichi un subprocessore di svolgere specifiche attività di trattamento (per conto dell’esportatore dei dati), lo farà mediante un contratto scritto che preveda, nella sostanza, gli stessi obblighi di protezione dei dati che vincolano l’importatore dei dati ai sensi delle presenti Clausole ACTIVE/110240378.1 7, anche in termini di diritti di terzi beneficiari per gli interessati. 1 Le Parti convengono che, rispettando la presente Clausola, l’importatore di dati adempie agli obblighi di cui alla Clausola 8.8. L’importatore di dati dovrà garantire che il subprocessore rispetti gli obblighi a cui l’importatore di dati è soggetto ai sensi delle presenti Clausole.

3. L’importatore di dati fornirà all’esportatore, su richiesta di quest’ultimo, una copia di tale accordo di subincarico e di ogni successiva modifica. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore di dati può riformulare il testo dell’accordo prima di condividerne una copia.

4. L’importatore di dati rimane pienamente responsabile nei confronti dell’esportatore per l’adempimento degli obblighi del subprocessore ai sensi del contratto stipulato con l’importatore di dati. L’importatore di dati dovrà notificare all’esportatore qualsiasi inadempimento da parte del subprocessore degli obblighi previsti da tale contratto.

5. L’importatore di dati concorda con il subprocessore una clausola di beneficiario terzo in base alla quale – nel caso in cui l’importatore di dati sia scomparso di fatto, abbia cessato di esistere giuridicamente o sia diventato insolvente – l’esportatore di dati ha il diritto di risolvere il contratto di subprocessore e di ordinare al subprocessore di cancellare o restituire i dati personali.

Clausola 10

Diritti dell’interessato

1. L’importatore di dati dovrà informare tempestivamente l’esportatore di qualsiasi richiesta ricevuta da una persona interessata. L’importatore non risponderà direttamente a tale richiesta, a meno che non sia stato autorizzato a farlo dall’esportatore.

2. L’importatore dei dati assiste l’esportatore nell’adempimento degli obblighi di risposta alle richieste degli interessati per l’esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679. A tal proposito, le Parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, con cui fornire l’assistenza, nonché la portata e l’entità dell’assistenza richiesta.

3. Nell’adempimento degli obblighi di cui alle lettere a) e b), l’importatore di dati si attiene alle istruzioni dell’esportatore di dati.

Clausola 11

Ricorso

1. L’importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, attraverso una comunicazione individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. Esso si occuperà tempestivamente di qualsiasi reclamo ricevuto da un interessato.

2. In caso di controversia tra una persona interessata e una delle Parti per quanto riguarda l’osservanza delle presenti clausole, la Parte si impegna a fare del suo meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate su tali controversie e, ove opportuno, collaborano alla loro risoluzione.

a. presentare un reclamo all’autorità di vigilanza dello Stato membro in cui risiede abitualmente o lavora, o all’autorità di vigilanza competente ai sensi della clausola 13;

b. adire i tribunali competenti ai sensi della clausola 18.

3. Qualora l’interessato invochi un diritto di terzo beneficiario ai sensi della Clausola 3, l’importatore di dati accetta la decisione dell’interessato di:

4. Le Parti accettano che l’interessato possa essere rappresentato da un ente, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del Regolamento(UE) 2016/679.

5. L’importatore di dati si attiene a una decisione vincolante ai sensi del diritto dell’UE o dello Stato membro applicabile.

6. L’importatore di dati accetta che la scelta effettuata dall’interessato non pregiudichi i suoi diritti sostanziali e procedurali di chiedere rimedi in conformità alle leggi applicabili.

Clausola 12

Responsabilità

1. Ciascuna Parte sarà responsabile nei confronti dell’altra/altre Parte/i per i danni da essa causati all’altra/altre Parte/i da qualsiasi violazione delle presenti Clausole.

2. L’importatore di dati sarà responsabile nei confronti dell’interessato, e l’interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l’importatore di dati o il suo subprocessore causano all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti Clausole.

3. In deroga al paragrafo (b), l’esportatore di dati è responsabile nei confronti dell’interessato, e l’interessato ha diritto a ricevere un risarcimento, per qualsiasi danno materiale o morale che l’esportatore di dati o l’importatore di dati (o il suo subprocessore) causa all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell’esportatore di dati e, qualora l’esportatore di dati sia un incaricato del trattamento che agisce per conto di un responsabile del trattamento, la responsabilità del responsabile del trattamento ai sensi del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, a seconda dei casi.

4. Le Parti convengono che se l’esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall’importatore di dati (o dal suo subprocessore), avrà il diritto di richiedere all’importatore di dati la parte del risarcimento corrispondente alla responsabilità dell’importatore di dati per il danno.

5. Qualora più di una Parte sia responsabile di qualsiasi danno causato all’interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l’interessato avrà il diritto di intentare un’azione legale contro una qualsiasi di queste Parti.

6. Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all’altra Parte/alle altre Parti la parte del risarcimento corrispondente alla sua/alle loro responsabilità per il danno.

7. L’importatore di dati non può invocare il comportamento di un subprocessore per evitare la propria responsabilità.

Clausola 13

Supervisione

1. Se l’esportatore di dati è stabilito in uno Stato membro dell’UE: l’autorità di controllo responsabile di garantire la conformità dell’esportatore di dati al Regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell’Allegato I.C, agisce in qualità di autorità di controllo competente.
L’autorità di controllo dello Stato membro in cui è stabilito il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679, come indicato nell’allegato I.C, agisce in qualità di autorità di controllo competente. L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all’offerta di beni o servizi agli stessi, o il cui comportamento è monitorato, come indicato nell’Allegato I.C, agisce in qualità di autorità di controllo competente.

2. L’importatore di dati accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di collaborare con essa in tutte le procedure volte a garantire il rispetto delle presenti Clausole. In particolare, l’importatore di dati si impegna a rispondere alle richieste di informazioni, a sottoporsi a verifiche e a rispettare le misure adottate dall’autorità di controllo, comprese le misure correttive e compensative. L’importatore fornirà all’autorità di controllo una conferma scritta dell’adozione delle misure necessarie.

Sezione 3 – Leggi locali e obblighi in caso di accesso da parte di autorità pubbliche

Clausola 14

Leggi e pratiche locali che incidono sulla conformità alle clausole

1. Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di dati di adempiere agli obblighi previsti dalle presenti Clausole. Ciò si basa sulla consapevolezza che le leggi e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all’articolo 23, paragrafo 1, del Regolamento (UE) 2016/679, non sono in contraddizione con le presenti Clausole.

2. Le Parti dichiarano che nel fornire la garanzia di cui alla lettera a), hanno tenuto in debito conto in particolare i seguenti elementi:

a. le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

b. le leggi e le prassi del paese terzo di destinazione – comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità – pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;

c. qualsiasi garanzia contrattuale, tecnica o organizzativa messa in atto per integrare le garanzie di cui alle presenti Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

3. L’importatore di dati garantisce che, nell’effettuare la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all’esportatore di dati le informazioni pertinenti e si impegna a continuare a collaborare con l’esportatore di dati per garantire il rispetto delle presenti Clausole

4. Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.

5. L’importatore di dati si impegna a notificare tempestivamente all’esportatore di dati se, dopo aver accettato le presenti Clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un’applicazione di tali leggi nella pratica non in linea con i requisiti di cui al paragrafo (a).

6. A seguito di una notifica ai sensi del paragrafo (e), o se l’esportatore di dati ha altrimenti motivo di ritenere che l’importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti clausole, l’esportatore di dati individua prontamente le misure appropriate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l’esportatore e/o l’importatore di dati devono adottare per affrontare la situazione. L’esportatore di dati sospenderà il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o se ha ricevuto istruzioni in tal senso dall’autorità di controllo competente. In tal caso, l’esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due parti, l’esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, a meno che le parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente clausola, si applica la clausola 16 (d) ed (e).

Clausola 15

Obblighi dell’importatore di dati in caso di accesso da parte di autorità pubbliche

15.1 Notifica

1. L’importatore di dati si impegna a notificare tempestivamente all’esportatore di dati e, ove possibile, all’interessato (se necessario con l’aiuto dell’esportatore di dati) se:

a. riceve una richiesta legalmente vincolante da parte di un’autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi delle presenti clausole; tale notifica deve includere informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

b. venga a conoscenza di un accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica dovrà includere tutte le informazioni a disposizione dell’importatore.

2. Se all’importatore di dati è vietato notificare l’esportatore e/o l’interessato ai sensi delle leggi del paese di destinazione, l’importatore di dati si impegna a fare del suo meglio per ottenere una deroga al divieto, al fine di comunicare il maggior numero di informazioni possibili, il prima possibile. L’importatore di dati si impegna a documentare i propri sforzi al fine di poterli dimostrare su richiesta dell’esportatore di dati.

3. Ove consentito dalle leggi del paese di destinazione, l’importatore di dati si impegna a fornire all’esportatore di dati, a intervalli regolari per tutta la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità/enti richiedenti, se le richieste sono state contestate e il loro esito, ecc.)

4. L’importatore di dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto e a metterle a disposizione dell’autorità di controllo competente su richiesta.

5. I paragrafi da (a) a (c) non pregiudicano l’obbligo dell’importatore di dati ai sensi della clausola 14 (e) e della clausola 16 di informare tempestivamente l’esportatore di dati qualora non sia in grado di rispettare tali clausole.

15.2 Revisione della legalità e minimizzazione dei dati

1. L’importatore di dati si impegna a riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rientra nei poteri concessi all’autorità pubblica richiedente, e a contestare la richiesta se, dopo un’attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di comitatologia internazionale. L’importatore di dati deve, alle stesse condizioni, avvalersi delle possibilità di ricorso. Quando impugna una richiesta, l’importatore di dati deve chiedere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso nel merito. Non divulgherà i dati personali richiesti fino a quando non sarà obbligato a farlo in base alle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell’importatore di dati ai sensi della clausola 14, lettera e).

2. L’importatore di dati si impegna a documentare la propria valutazione giuridica e l’eventuale contestazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell’esportatore di dati. Dovrà inoltre metterla a disposizione dell’autorità di controllo competente su richiesta.

3. L’importatore di dati si impegna a fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di un’interpretazione ragionevole della richiesta.

Sezione 4 – Disposizioni finali

Clausola 16

Mancato rispetto delle clausole e risoluzione

1. L’importatore di dati dovrà informare tempestivamente l’esportatore di dati qualora non sia in grado di rispettare le presenti Clausole, per qualsiasi motivo.

2. Nel caso in cui l’importatore di dati violi le presenti Clausole o non sia in grado di rispettarle, l’esportatore di dati sospenderà il trasferimento dei dati personali all’importatore di dati fino a quando non sarà garantita la conformità o il contratto sarà risolto. Ciò non pregiudica la Clausola 14(f).

3. L’esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, se:

a. l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore ai sensi del paragrafo (b) e il rispetto delle presenti clausole non venga ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

b. l’importatore di dati viola in modo sostanziale o persistente le presenti clausole; o

c. l’importatore di dati non si conformi a una decisione vincolante di un tribunale o di un’autorità di vigilanza competente in merito ai suoi obblighi ai sensi delle presenti Clausole.

4. In questi casi, dovrà informare l’autorità di controllo competente di tale inosservanza. Qualora il contratto coinvolga più di due Parti, l’esportatore di dati può esercitare il diritto di recesso solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente.

5. I dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono, a scelta dell’esportatore, essere immediatamente restituiti all’esportatore o cancellati nella loro interezza. Lo stesso vale per eventuali copie dei dati. L’importatore dei dati dovrà certificare la cancellazione dei dati all’esportatore. Fino alla cancellazione o alla restituzione dei dati, l’importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore di dati che vietino la restituzione o la cancellazione dei dati personali trasferiti, l’importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesti da tale legge locale.

6. Ciascuna delle Parti può revocare il proprio accordo ad essere vincolata dalle presenti Clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell’articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 che riguardi il trasferimento di dati personali a cui si applicano le presenti Clausole; oppure (ii) il Regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese in cui i dati personali sono trasferiti. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 17

Legge applicabile

Le presenti Clausole saranno disciplinate dalla legge di uno degli Stati membri dell’UE, a condizione che tale legge consenta i diritti di terzi beneficiari. Le Parti concordano che tale legge sarà quella dell’Irlanda.

Clausola 18

Scelta del foro e della giurisdizione

1. Qualsiasi controversia derivante dalle presenti clausole sarà risolta dai tribunali di uno Stato membro dell’UE.

2. Le Parti convengono che tali tribunali saranno quelli dell’Irlanda.

3. La persona interessata può anche intentare un’azione legale contro l’esportatore e/o l’importatore di dati davanti ai tribunali dello Stato membro in cui ha la residenza abituale.

4. Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali.

Appendice

Allegato I

A. Elenco delle parti

 

	ESPORTATORE DEI DATI (CLIENTE)	IMPORTATORE DEI DATI (TAXDOME)
NOME DELL’AZIENDA		TaxDome, LLC
INDIRIZZO		1178 Broadway, New York, NY 10001
NOME, POSIZIONE E CONTATTI DELLA PERSONA DI CONTATTO		Victor Radzinsky, CEO dpo@taxdome.com
FIRMA E DATA:
RUOLO:	Controller	Processore

Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: Vedere l’Allegato I.B

 

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti

I dati personali riguardano gli utenti finali dei nostri clienti.

 

Categorie di dati personali trasferiti

La piattaforma TaxDome si rivolge a un’ampia base di clienti e utenti finali che spazia in tutti i settori. TaxDome non controlla né limita l’argomento che gli utenti finali dei nostri clienti presentano attraverso l’uso del nostro strumento. In considerazione di ciò, della natura del prodotto e del ruolo di TaxDome come elaboratore, non è possibile stilare un elenco assoluto delle categorie di dati ingeriti ed elaborati. TaxDome elabora dati che possono includere, a titolo esemplificativo e non esaustivo: nome, età, sesso, genere, stato di famiglia, indirizzo, livello di istruzione, stile di vita e abitudini, indirizzo IP e dati di localizzazione, soddisfazione del cliente, professione, stato di occupazione, dati di utilizzo e registrazioni di immagini (foto o video digitali).

 

I dati sensibili trasferiti (se applicabile) e le restrizioni o le salvaguardie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione dello scopo, restrizioni di accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la conservazione di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

TaxDome tratta dati che potrebbero includere, a titolo esemplificativo e non esaustivo, le seguenti categorie particolari di dati: dati sanitari, dati genetici, origine razziale ed etnica, orientamento e/o abitudini sessuali, opinioni politiche, affiliazione o convinzioni religiose, appartenenza non politica o sindacale, condanne penali e reati.

La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o su base continua).

I dati personali vengono trasferiti su base continua.

 

Natura del trattamento

I dati personali vengono acquisiti attraverso l’utilizzo quotidiano della piattaforma. I dati possono essere inseriti manualmente dai clienti di TaxDome o in modo automatizzato attraverso le raccolte di log della piattaforma. I dati sono archiviati nel database di produzione di TaxDome.

 

Finalità del trasferimento dei dati e del successivo trattamento

I dati personali sono trattati allo scopo di fornire il servizio TaxDome e di supportare il sito web TaxDome e i servizi della piattaforma.

 

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo.

L’oggetto e la durata del trattamento dei dati personali sono indicati nei Termini di servizio.

 

Per i trasferimenti a (sub)processori del trattamento, specificare anche l’oggetto, la natura e la durata del trattamento.

TaxDome utilizza i sub-responsabili del trattamento che si trovano online sul sito www.taxdome.com/policies/sub-processors/ per la fornitura di servizi ai propri clienti. L’elenco specifica l’oggetto e la natura delle attività di trattamento svolte dai subprocessori di TaxDome e il meccanismo di trasferimento dei dati applicabile.

C. AUTORITÀ DI VIGILANZA COMPETENTE

Identificare l’autorità o le autorità di controllo competenti in conformità alla clausola 13.

Sede dell’esportatore dei dati/rappresentante nell’UE dell’esportatore dei dati/localizzazione della maggiore base di clienti dell’esportatore di dati

Allegato II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Descrizione delle misure tecniche e organizzative attuate dall’importatore o dagli importatori di dati (comprese eventuali certificazioni) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

Le misure tecniche e organizzative adottate da TaxDome per proteggere i dati personali trasferiti al di fuori del SEE verso un paese non adeguato sono pubblicate e disponibili all’indirizzo: https://www.taxdome.com/policies/security/.