Supplemento per il Trattamento dei Dati Personali
Supplemento per il Trattamento dei Dati Personali
Il presente Supplemento per il Trattamento dei Dati Personali (nel seguito "Data Processing Addendum" o "DPA") e le Appendici DPA applicabili (nel seguito "Appendici DPA" o "DPA Exhibit"), disciplinano il Trattamento dei Dati Personali da parte di Intesa per conto del Cliente (Dati Personali del Cliente) soggetti alla normativa GDPR (General Data Protection Regulation) 2016/679 o ad eventuali altre leggi sulla protezione dei dati identificate alla pagina xxxxx://xxx.xxxxxx.xx/xxxxxxx/ (nell'insieme 'Leggi sulla protezione dei dati') in modo da erogare servizi (Servizi) ai sensi del Contratto tra il Cliente ed Intesa. Le Appendici del DPA per ciascun Servizio saranno fornite nel Documento d'Ordine applicabile. Tale DPA è incluso nell'Accordo. I termini in maiuscolo utilizzati e non definiti nel presente documento hanno i significati specificati nelle Leggi sulla protezione dei dati applicabili. In caso di contrasto, le Appendici DPA prevalgono sul DPA che a sua volta prevale sulla parte rimanente del Contratto.
1. Trattamento dei Dati Personali
1.1 Il Cliente è (a) il Titolare del Trattamento dei propri Dati Personali; o (b) funge da Responsabile del Trattamento per conto di altri Titolari e dichiara di aver ricevuto istruzioni ed essere stato autorizzato dagli eventuali altri Titolari a consentire a Intesa il Trattamento dei Dati Personali in qualità di Subresponsabile del Cliente secondo quanto stabilito nel presente DPA. Il Cliente nomina Intesa quale Responsabile del Trattamento dei Dati Personali del Cliente. Qualora ci fossero altri Titolari del Trattamento dei Dati Personali, il Cliente li identificherà e informerà Intesa prima di fornire i loro Dati Personali, come stabilito nell'Appendice DPA.
1.2 Nell'Appendice DPA per il Servizio sono elencate le categorie di Interessati, le tipologie di Dati Personali del Cliente, le Categorie speciali di Dati Personali e le attività di trattamento. La durata del Trattamento dei Dati Personali corrisponde alla durata del Servizio, salvo che non sia diversamente indicato nella Appendice DPA. La finalità e l'ambito del Trattamento dei Dati Personali consistono nell'erogazione del Servizio così come descritto nell'Accordo.
1.3 Intesa tratterà i Dati Personali del Cliente secondo le istruzioni scritte del Cliente. L'ambito del Trattamento dei Dati Personali del Cliente è definito nell'Accordo, ove applicabile, dall'uso e dalla configurazione delle funzionalità a cui sono autorizzati il Cliente e i suoi utenti nell'ambito del Servizio. Il Cliente può fornire ulteriori istruzioni legalmente necessarie in merito al Trattamento dei Dati Personali del Cliente (Istruzioni aggiuntive) come descritto nell'Articolo 10.2. Se Intesa notifica al Cliente che un'istruzione aggiuntiva non è praticabile, le parti lavoreranno insieme per trovare un'alternativa. Se Intesa comunica al Cliente che né l'Istruzione Aggiuntiva né una sua alternativa è praticabile, il Cliente può recedere dal Servizio interessato, in conformità con i termini applicabili del Contratto. Se Intesa ritiene che un'istruzione violi le Leggi sulla Protezione dei Dati, Intesa informerà immediatamente il Cliente e potrà sospendere l'esecuzione di tali istruzioni finché il Cliente non le avrà modificate o avrà confermato in forma scritta la relativa legittimità.
1.4 Il Cliente agirà come unico punto di contatto per Intesa. Poiché altri Titolari del Trattamento dei Dati potrebbero avere alcuni diritti diretti nei confronti di Xxxxxx, il Cliente dichiara e garantisce, nel caso eserciti tali diritti, di aver ottenuto tutte le autorizzazioni necessarie dagli altri Titolari del Trattamento dei Dati a poter esercitare direttamente tali diritti nei confronti di Xxxxxx. Intesa sarà esonerata dall'obbligo di informazione e comunicazione nei confronti di qualsiasi altro Titolare del Trattamento dei Dati ove Intesa abbia provveduto a fornire tali informazioni al Cliente. Analogamente, Xxxxxx agirà come unico punto di contatto per il Cliente rispetto ai propri obblighi in qualità di Responsabile del Trattamento dei Dati ai sensi del presente DPA.
1.5 Intesa rispetterà le Normative vigenti sulla Protezione dei Dati in relazione ai Servizi, applicabili ad Intesa in qualità di Responsabile del Trattamento dei Dati. Intesa non è responsabile della determinazione dei requisiti di legge e delle normative applicabili alle attività commerciali del Cliente, né del fatto che un Servizio soddisfi i requisiti di qualsiasi legge o normativa applicabile. Per ciò che concerne le Parti, il Cliente dichiara e
garantisce che il Trattamento dei Dati Personali del Cliente è legittimo. Il Cliente non utilizzerà i Servizi in un modo che comporti la violazione delle Normative vigenti sulla Protezione dei Dati.
2. Misure tecniche e organizzative
2.1 Il Cliente ed Intesa implementeranno e manterranno le misure tecniche e organizzative (TOM) stabilite nell'Appendice DPA per garantire un livello di sicurezza adeguato al rischio connesso alle attività di diretta responsabilità di Intesa. Le TOM sono soggette al progresso e ad ulteriore sviluppo tecnico e
tecnologico. Pertanto, Intesa si riserva il diritto di modificare le TOM a condizione che il funzionamento e la sicurezza dei Servizi non vengano degradati.
3. Diritti e Richieste degli Interessati
3.1 Intesa informerà il Cliente in caso di richieste da parte degli Interessati pervenute direttamente a Intesa e pertinenti all’esercizio dei propri diritti (ad es., comprese, ma non solo, la rettifica, la cancellazione, il blocco dei dati) in relazione ai Dati Personali del Cliente. Il Cliente sarà responsabile della gestione di tali richieste inoltrate dagli Interessati. Intesa assisterà ragionevolmente il Cliente nella gestione di tali richieste degli Interessati in conformità con l'Articolo 10.2.
3.2 Se un Interessato presenta un reclamo direttamente nei confronti di Xxxxxx per una violazione dei propri diritti, il Cliente rimborserà Intesa per qualsiasi costo, addebito, danno, spesa o perdita derivanti da tale richiesta, a condizione che Intesa abbia provveduto a notificare il reclamo al Cliente e abbia fornito al Cliente medesimo l'opportunità di collaborare con Intesa nell'azione difensiva e nella composizione della vertenza stessa. Nei limiti di quanto previsto dal Contratto, il Cliente può richiedere a Intesa i danni derivanti da reclami degli Interessati, a titolo di risarcimento per violazione dei propri diritti, qualora tale violazione sia stata causata da fatti imputabili esclusivamente ad Intesa in virtù di una violazione da parte di Intesa dei propri obblighi in base al DPA ed alla relativa Appendice del DPA.
4. Richieste di Xxxxx e Riservatezza
4.1 Intesa non divulgherà i Dati Personali del Cliente ad alcuna terza parte, salvo che non venga autorizzata dal Cliente o richiesto dalla normativa vigente. Qualora una pubblica amministrazione o Autorità di Xxxxxxxxx richiedano l'accesso ai Dati Personali del Cliente, Intesa informerà il Cliente prima di renderli disponibili, salvo che tale notifica non sia proibita dalla normativa vigente.
4.2 Intesa richiede a tutto il suo personale, autorizzato a trattare i Dati Personali del Cliente, l'impegno alla riservatezza e a non trattare tali Dati Personali del Cliente per nessun'altra finalità, fatte salve diverse e ulteriori istruzioni del Cliente ovvero salvo che ciò non sia richiesto dalla legge in vigore.
5. Verifica ("Audit")
5.1 Intesa si impegna a consentire e a collaborare per il regolare svolgimento delle attività di audit, incluse le ispezioni, effettuate dal Cliente o da un altro revisore incaricato dal Cliente secondo quanto di seguito definito:
a) Xxxxxx, su richiesta scritta del Cliente, fornirà al Cliente o al suo revisore incaricato, evidenza delle certificazioni più recenti e/o di eventuali rapporti inerenti ad attività di audit richieste da Intesa stessa al fine di testare e verificare periodicamente l'efficacia delle TOM, nei limiti di quanto stabilito nell'Appendice al DPA.
b) Xxxxxx collaborerà ragionevolmente con il Cliente per fornire ulteriori informazioni disponibili riguardanti le TOM, per aiutare il Cliente a meglio comprendere tali TOM.
c) Qualora il Cliente abbia bisogno di ulteriori informazioni per adempiere ad obblighi di audit propri e di altri Titolari del Trattamento dei Dati o ad una richiesta dell'Autorità di Xxxxxxxxx, il Cliente informerà Intesa per iscritto per consentire ad Intesa di fornire tali informazioni o garantirne l'accesso.
d) Nella misura in cui non sia possibile soddisfare altrimenti un obbligo di audit imposto dalla legge in vigore o espressamente concordato tra le Parti, solo le autorità preposte per legge (ad esempio l'Autorità governativa tenuta al controllo delle operazioni del Cliente), il Cliente o i suoi revisori incaricati avranno la facoltà di effettuare una visita onsite presso le strutture Intesa deputate a fornire il Servizio. Le visite avranno luogo durante il normale orario lavorativo e, comunque, si svolgeranno in modo da ridurre al minimo la possibile
interruzione delle attività di Intesa. Intesa stabilirà la tempistica di tale visita e la gestirà in conformità con le procedure di audit descritte nell'Appendice DPA, al fine di ridurre i rischi per altri clienti di Intesa.
Qualsiasi altro revisore incaricato dal Cliente non deve essere un concorrente diretto di Intesa per quanto riguarda i Servizi e deve essere vincolato da un obbligo di riservatezza.
5.2 Entrambe le parti si faranno carico delle proprie spese in conformità con i paragrafi a. e b. dell'Articolo 5.1, altrimenti si applicherà l'Articolo 10.2 a seconda dei casi.
6. Restituzione o Cancellazione dei Dati Personali del Cliente
6.1 Alla cessazione o scadenza del Contratto, Xxxxxx cancellerà o restituirà i Dati Personali del Cliente in suo possesso, come stabilito nell'Appendice DPA, salvo che non sia diversamente richiesto dalla normativa applicabile.
7. Subresponsabili
7.1 Il Cliente autorizza l'impiego di altri Responsabili del Trattamento dei Dati Personali del Cliente (Subresponsabili). Un elenco degli attuali Subresponsabili è specificato nella rispettiva Appendice DPA. Intesa notificherà al Cliente in anticipo eventuali aggiunte o sostituzioni dei Subresponsabili come specificato nella rispettiva Appendice DPA. Entro 30 giorni dalla notifica di Intesa dell’intenzione di apportare una modifica alla lista dei Subresponsabili, il Cliente può opporsi all’inserimento di un Subresponsabile solo nel caso in cui ciò possa causare la violazione degli obblighi della normativa vigente da parte del Cliente. Il rifiuto del Cliente, con l’indicazione specifica dei motivi e delle proposte alternative, ove possibile, dovrà essere comunicato ad Intesa per iscritto. Se il Cliente non si oppone entro tale termine, il Subresponsabile s’intenderà autorizzato al Trattamento dei Dati Personali del Cliente. Prima del Trattamento dei Dati Personali del Cliente da parte di un Subresponsabile autorizzato, Intesa si impegna ad imporre obblighi relativi alla protezione dei dati simili, ma non meno restrittivi, definiti nel presente DPA.
7.2 Qualora il diniego del Cliente circa l’aggiunta di un Subresponsabile sia legittimo e Intesa non possa ragionevolmente accogliere l'obiezione del Cliente, Intesa lo comunicherà al Cliente. Il Cliente può recedere dai Servizi interessati come stabilito nell'Accordo, altrimenti le parti coopereranno per trovare una soluzione adatta in conformità con il processo di risoluzione delle controversie.
8. Trattamento dei Dati Transfrontaliero
8.1 In caso di trasferimento di Dati Personali del Cliente in un paese che non fornisce un livello adeguato di protezione ai sensi delle Leggi sulla Protezione dei Dati (Paese non adeguato), le parti cooperano per garantire la conformità con le Leggi sulla Protezione dei Dati come stabilito nei seguenti Articoli. Se il Cliente ritiene che le misure indicate di seguito non siano sufficienti per soddisfare i requisiti legali, il Cliente dovrà informare Xxxxxx e le parti lavoreranno insieme per trovare un'alternativa.
8.2 Accettando l'Accordo, il Cliente accetta le Clausole Contrattuali Standard UE stabilite nell'Appendice del DPA applicabile (EU SCC) con (i) ciascun Subresponsabile riportato nella relativa Appendice del DPA che è un affiliato Intesa situato in un Paese non Adeguato (Intesa Data Importers) e (ii) Intesa, se ubicata in un Paese non adeguato, nelle modalità che seguono:
a) se il Cliente è Titolare del trattamento di tutti i Dati Personali del Cliente o anche solo di una parte di questi, il Cliente accetta le SCC UE in relazione a tali Dati Personali del Cliente; e
b) se il Cliente agisce in qualità di Responsabile, per conto di altri Titolari, di tutti i Dati Personali del Cliente o anche solo di una parte di questi allora il Cliente accetta le SCC UE:
i. in Back-to-Back alle SCC EU, in conformità con la Clausola 11 delle Clausole Contrattuali Standard UE (Back-to-Back SCC), a condizione che il Cliente abbia accettato le Clausole Contrattuali Standard UE separate con i Titolari; o
ii. per conto dell'altro/i Titolare/i
Il Cliente accetta in anticipo che qualsiasi nuovo Importatore Intesa di Dati assunto da Intesa in conformità con l'Articolo 7 diventerà un importatore di dati aggiuntivo ai sensi delle EU SCC e/o Back-to-Back SCC.
8.3 Se un Subresponsabile che si trova in un Paese non Adeguato non è un Importatore di Dati Intesa (Importatore di dati di terzi) e le EU SCC vengono accettate in conformità con l'Articolo 8.2, Intesa o un Importatore Intesa di Xxxx dovrà stipulare in back-to-back le EU SCC con tale Importatore di Dati di terzi. In caso contrario, il Cliente per proprio conto e/o, se richiesto, per conto di altri Titolari, stipulerà delle Clausole Contrattuali Standard UE o back-to-back EU SCC separate come definito da Intesa.
8.4 Se il Cliente non può accettare le SCC EU o le Back-to-Back SCC per conto di un altro Titolare, come stabilito negli Articoli 8.2 e 8.3, il Cliente dovrà ottenere il consenso di tale altro Titolare ad accettare direttamente tali accordi. Inoltre, il Cliente accetta e, se possibile, ottiene il consenso di altri Titolari, che le EU SCC o le Back-to-Back EU SCC, incluse le eventuali pretese derivanti dalle stesse, siano soggette ai medesimi termini e alle medesime condizioni stabilite nell'Accordo, incluse le clausole che disciplinano le esclusioni e le limitazioni di responsabilità. In caso di conflitto, prevarranno le EU SCC e le Back-to-Back SCC.
9. Violazione dei Dati Personali
9.1 Intesa, dopo essere venuta a conoscenza di una Violazione dei Dati Personali nell'ambito dei Servizi, notificherà la stessa al Cliente senza indebito ritardo. Intesa verificherà tempestivamente la Violazione dei Dati Personali qualora abbia avuto luogo in un'infrastruttura Intesa o in un'altra area di cui Intesa è responsabile e assisterà il Cliente, come indicato nell'Articolo 10.
10. Assistenza da parte di Intesa al BP
10.1 Intesa assisterà il Cliente con misure tecniche ed organizzative (TOM) per consentire, a quest’ultimo di adempiere agli obblighi normativi a suo carico circa il rispetto dei diritti degli Interessati ed assicurando la conformità agli obblighi dei Clienti relativi alla sicurezza del Trattamento dei dati, alla notifica ed alla comunicazione di una Violazione dei Dati Personali ed alla Valutazione d'Impatto sulla protezione dei dati, inclusa la previa consultazione con l'autorità di vigilanza responsabile, se necessario, tenendo conto della natura del trattamento e delle informazioni disponibili per Intesa.
10.2 Il Cliente farà una richiesta scritta a Intesa per qualsiasi assistenza di cui al presente DPA. Intesa potrà addebitare al Cliente un corrispettivo ragionevole per l'esecuzione di tale assistenza o di Istruzioni Aggiuntive. Tale corrispettivo sarà quantificato da Xxxxxx e sarà oggetto di accordo scritto fra le Parti; in alternativa le Parti potranno applicare quanto eventualmente previsto nel Contratto. Se il Cliente non accetta il preventivo, le parti concordano di cooperare ragionevolmente per trovare una soluzione percorribile in conformità con la procedura di risoluzione delle controversie.