DECRETO DEL DIRETTORE GENERALE - N. 213-DG del 26/03/2024 - Allegato Utente 2 (A02)

DECRETO DEL DIRETTORE GENERALE - N. 213-DG del 26/03/2024 - Allegato Utente 2 (A02)

ALLEGATO A
CLAUSOLE CONTRATTUALI TIPO SEZIONE I Clausola 1 Scopo e ambito di applicazione
a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1) in caso di trasferimento di dati personali verso un paese terzo.
b) Le parti:
i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le «entità») che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito «esportatore»), e
ii) la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito «importatore») hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»). ANNEX A
STANDARD CONTRACTUAL CLAUSES SECTION I Clause 1 Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (1) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’) have agreed to these standard contractual clauses (hereinafter: ‘Clauses’).

c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2 Effetto e invariabilità delle clausole
a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679. (c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2 Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46(2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clausola 3 Terzi beneficiari
a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;
ii) clausola 8 - modulo due: clausola 8.1, lettera b), clausola 8.9, lettere a), c), d) ed e);
iii) clausola 9 - modulo due: clausola 9, lettere a), c), d) ed e;
iv) clausola 12 - moduli due: clausola 12, lettere a), d) e f);
v) clausola 13;
vi) clausola 15.1, lettere c), d) ed e);
vii) clausola 16, lettera e);
viii) clausola 18 - modulo due e tre: clausola 18, lettere a) e b);.
Clausola 4 Interpretazione
a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento. Clause 3 Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Xxxxxx 6, Clause 7;
(ii) Clause 8 – Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9 – Module Two: Clause 9(a), (c), (d) and (e); Module Three: Clause 9(a), (c), (d) and (e);
(iv) Clause 12 – Module One: Clause 12(a) and (d); Xxxxxxx Two and Three: Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18 – Modules Two and Three: Clause 18(a) and (b);
Clause 4 Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5 Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6 Descrizione dei trasferimenti
I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.
Clausola 7 — Facoltativa Clausola di adesione successiva
a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A.
b) Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A. (b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5 Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6 Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7 – Optional Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.

c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.
SEZIONE II — OBBLIGHI DELLE PARTI
Clausola 8 Garanzie in materia di protezione dei dati
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
8.1. Istruzioni a) L’importatore tratta i dati personali soltanto su istruzione documentata dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.
b) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.
8.2. Limitazione delle finalità L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni dell’esportatore.
8.3. Trasparenza Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice (c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8 Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
MODULE TWO: Transfer controller to processor
8.1 Instructions (a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I. B, unless on further instructions from the data exporter.
8.3 Transparency On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data

compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può espungere informazioni dall’appendice delle presenti clausole prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. Questa clausola lascia impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.4. Esattezza Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per cancellarli o rettificarli.
8.5. Durata del trattamento e cancellazione o restituzione dei dati L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. Al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these

delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6. Sicurezza del trattamento a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing (a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter ‘personal data breach’). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

continuino a offrire un adeguato livello di sicurezza.
b) L’importatore concede l’accesso ai dati personali ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, se del caso anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo;
d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify

all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7. Dati sensibili Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8. Trasferimenti successivi L’importatore comunica i dati personali a terzi soltanto su istruzione documentata dell’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (4) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato.
i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione; the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter ‘sensitive data’), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (4) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;

iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9. Documentazione e rispetto a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore relative al trattamento a norma delle presenti clausole.
b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto dell’esportatore.
c) L’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e, su richiesta dell’esportatore, consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
d) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di (iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance (a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor.

incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
e) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
Clausola 9 Ricorso a sub-responsabili del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
a) OPZIONE 2: AUTORIZZAZIONE SCRITTA GENERALE: L’importatore ha l’autorizzazione generale dell’esportatore per ricorrere a sub- responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub- responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così all’esportatore tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce all’esportatore le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
b) Qualora l’importatore ricorra a un sub- responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto dell’esportatore), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9 Use of sub-processors
MODULE TWO: Transfer controller to processor
(a) OPTION 2: GENERAL WRITTEN AUTHORISATION: The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least [Specify time period] in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub- processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these

l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati (8). Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub- responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
c) Su richiesta dell’esportatore, l’importatore gli fornisce copia del contratto stipulato con il sub- responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub- responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali. Clauses, including in terms of third-party beneficiary rights for data subjects. (8) The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub- processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub-processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub-processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clausola 10 Diritti dell’interessato
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
a) L’importatore notifica prontamente all’esportatore qualunque richiesta ricevuta da un interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dall’esportatore.
b) L’importatore assiste l’esportatore nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni dell’esportatore.
Clausola 11 Ricorso
a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo Clause 10 Data subject rights
MODULE TWO: Transfer controller to processor
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11 Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion.

tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12 Responsabilità
a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12 Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these

b) L’importatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o il suo sub- responsabile del trattamento ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento.
c) Nonostante la lettera b), l’esportatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o l’importatore (o il suo sub-responsabile del trattamento) ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore e, qualora l’esportatore sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.
d) Le parti convengono che, se l’esportatore è ritenuto responsabile a norma della lettera c) per i danni causati dall’importatore (o dal suo sub- responsabile del trattamento), egli ha il diritto di reclamare dall’importatore la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
e) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro. Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non- material damages the data importer or its sub- processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub- processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub- processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.

f) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
g) L’importatore non può invocare il comportamento di un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13 Controllo
a) L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie. (f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13 Supervision
(a) The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14 Legislazione e prassi locali che incidono sul rispetto delle clausole
a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
(i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti; SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14 Local laws and practices affecting compliance with the Clauses
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (12);
(iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a). (ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards (12);
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
Clausola 15 Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
15.1. Notifica a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
(i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in (f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation [for Module Three:, if appropriate in consultation with the controller]. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by [for Module Three: the controller or] the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15 Obligations of the data importer in case of access by public authorities
15.1 Notification (a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification

conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
(ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
b) Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
c) Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.
d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta. shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.

e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2. Riesame della legittimità e minimizzazione dei dati a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e)
b) L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente. (e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation21
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14I.
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.
SEZIONE IV — DISPOSIZIONI FINALI
Clausola 16 Inosservanza delle clausole e risoluzione
a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
(i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
(ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o
(iii) l’importatore non si conformi a una decisione vincolante di un organo (c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16 Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or

giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l’autorità di controllo competente [per il modulo tre: e il titolare del trattamento] di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
d) I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati.] [Per il modulo quattro: I dati personali raccolti dall’esportatore nell’UE che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono cancellati immediatamente e integralmente, compresa qualunque loro copia. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority [for Module Three: and the controller] of such non- compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data.] [For Module Four: Personal data collected by the data exporter in the EU that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall immediately be deleted in its entirety, including any copy thereof.] The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes

presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17 Legge applicabile
Le presenti clausole sono disciplinate dalla legge di uno degli stati membri dell’UE, purchè essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella italiana.
Clausola 18 Scelta del foro e giurisdizione
a) Qualunque controversia derivante dalle presentiqua clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
b) Le parti convengono che tali organi giurisdizionali consitono nel Tribunale di Milano.
c) L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali. part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17 Governing law
These Clauses shall be governed by the law of one of the EU member states, provided that it recognizes the rights of the third party beneficiary. The parties agree that this law is the Italian one .
Clause 18 Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Milan.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.

(1) Qualora l’esportatore sia un un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un'istituzione o di un organismo dell'Unione in qualità di responsabile del trattamento, quando ricorre a un altro responsabile del trattamento (trattamento parziale) non soggetto al regolamento (UE) 2016/679 garantisce inoltre il rispetto dell'articolo 29(4) del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni dell'Unione, e sulla libera circolazione di tali dati e che abroga il regolamento (CE) n./2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui queste Xxxxxxxx e gli obblighi di protezione dei dati come stabilito nel contratto o altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento ai sensi dell'articolo 29(3) del Regolamento (UE) 2018/1725 sono allineati. Ciò vale in particolare quando il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali standard incluse nella decisione 2021/915. (2) Ciò richiede che i dati siano resi anonimi in modo tale che la persona non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679, e che questo processo sia irreversibile. (3) L'accordo sullo Spazio economico europeo (accordo SEE) prevede l'estensione del mercato interno dell'Unione europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La legislazione dell'Unione in materia di protezione dei dati, compreso il regolamento (UE) 2016/679, è disciplinata dall'accordo SEE ed è stata incorporata nell'allegato XI dello stesso. Pertanto, qualsiasi comunicazione dell'importatore di dati a un terzo situato nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole. (4) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole. (7) Ciò include se il trasferimento e l'ulteriore trattamento riguardano dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici al fine di identificare in modo univoco una persona fisica, dati riguardanti la salute o la vita sessuale o l'orientamento sessuale di una persona o dati relativi a condanne o reati penali. (8) Questo requisito può essere soddisfatto dal sub-processore che aderisce a queste Clausole nell'ambito del modulo appropriato, in conformità alla clausola 7. (10) Tale periodo può essere prorogato al massimo di altri due mesi, nella misura necessaria tenendo conto della complessità e del numero delle richieste. L'importatore dei dati informa debitamente e tempestivamente l'interessato di tale estensione. (11) L'importatore di dati può offrire una risoluzione indipendente delle controversie attraverso un organo arbitrale solo se è stabilito in un paese che ha ratificato la Convenzione di New York sull'esecuzione delle sentenze arbitrali. (12) Per quanto riguarda l'impatto di tali leggi e pratiche sul rispetto delle presenti clausole, elementi diversi possono essere considerati parte di una valutazione globale. Tali elementi possono includere l'esperienza pratica pertinente e documentata in precedenti casi di richieste di divulgazione da parte delle autorità pubbliche o l'assenza di tali richieste, che coprono un periodo di tempo sufficientemente (1) Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub- processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915.
(2) This requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.
(3) The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.
(4) The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. (7) This includes whether the transfer and further processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences. (8) This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. (10) That period may be extended by a maximum of two more months, to the extent necessary taking into account the complexity and number of requests. The data importer shall duly and promptly inform the data subject of any such extension. (11) The data importer may offer independent dispute resolution through an arbitration body only if it is established in a country that has ratified the New York Convention on Enforcement of Arbitration Awards. (12) As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in

rappresentativo. Si tratta, in particolare, di registrazioni interne o di altra documentazione, redatte su base continuativa secondo la dovuta diligenza e certificate a livello di alta dirigenza, a condizione che tali informazioni possano essere legalmente condivise con terzi. Qualora si faccia affidamento su tale esperienza pratica per concludere che all'importatore di dati non sarà impedito di conformarsi alle presenti clausole, è necessario che tale esperienza sia supportata da altri elementi pertinenti, elementi oggettivi, e spetta alle parti valutare attentamente se questi elementi insieme abbiano un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di tale conclusione. In particolare, le parti devono tener conto del fatto che la loro esperienza pratica sia corroborata e non contraddetta da informazioni pubblicamente disponibili o altrimenti accessibili, informazioni affidabili sull'esistenza o assenza di richieste all'interno dello stesso settore e/o sull'applicazione pratica della legge, come la giurisprudenza e le relazioni di organismi di sorveglianza indipendenti. particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this xxxxxxxxxx.Xx particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

APPENDICE
NOTA ESPLICATIVA:
Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o a ciascuna categoria di trasferimenti e, a tale riguardo, determinare i ruoli rispettivi delle parti quali esportatori e/o importatori. Non occorre per forza compilare e firmare appendici distinte per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale laddove tale trasparenza possa essere garantita con un’unica appendice. Tuttavia, ove necessario per assicurare una sufficiente chiarezza, dovrebbero essere utilizzate appendici distinte. APPENDIX EXPLANATORY NOTE: It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ALLEGATO I CLAUSOLE CONTRATTUALI TIPO
Il presente Allegato fa parte delle Clausole e deve essere compilato e firmato dalle parti.
Gli Stati membri possono completare o specificare, secondo le loro procedure nazionali, qualsiasi ulteriore informazione necessaria da figurare nel presente Allegato.
Esportatore dei dati è:
Fondazione IRCCS Istituto Nazionale dei Tumori Indirizzo: Xxx Xxxxxxxx 0 – 00000 Xxxxxx Nome, qualifica e dati di contatto del referente: Dott.ssa Xxxx Xxxx XxxxXxxxxxxxxxXxxxxxx-xxx@xxxxxxxxxxxxxx.xx.xx Contatti DPO: dott.ssa Xxxx Xxxx. Attività pertinenti ai dati trasferiti a norma delle presenti clausole: raccolta, trasferimento, archivio dei dati pazienti e campioni biologici nell’ambito dello studio.
Firma e data:
Ruolo: Titolare del trattamento Xxxx. Xxxxx Xxxxxx Direttore Generale
Importatore: Medpace Inc. (specificare brevemente le attività rilevanti per il trasferimento):
L’'importatore di dati è un'Organizzazione di Ricerca Clinica (CRO) che conduce studi clinici, che possono includere funzioni di laboratorio centrale, per conto del sito di sperimentazione clínica Nome: Medpace Inc - APPENDIX 1 TO THE STANDARD CONTRACTUAL CLAUSES
This Appendix forms part of the Clauses and must be completed and signed by the parties.
The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this Appendix.
Data exporter is
Fondazione IRCCS Istituto Nazionale dei Tumori Indirizzo: Xxx Xxxxxxxx 0 – 00000 Xxxxxx Nome, qualifica e dati di contatto del referente: Dr. Xxxx Xxxx XxxxXxxxxxxxxxXxxxxxx-xxx@xxxxxxxxxxxxxx.xx.xx Contatti DPO: dott.ssa Xxxx Xxxx Activities relevant to data transferred under these clauses: collection, transfer, archiving of patient data and biological samples as part of the study.
Signature and date:
Role: Data Controller Dr. Xxxxx Xxxxxx General Manager
Data importer: The data importer is Medpace Inc. (please specify briefly activities relevant to the transfer):
The Data importer is a Clinical Research Organization (CRO) conducting clinical trials, which may include central laboratory functions, on behalf of the clinical trial Site Name: Medpace Inc

Indirizzo: 0000 Xxxxxxx Xxx, Xxxxxxxxxx, Xxxx, 00000 C.F. n. LLCC81-4138570
Nome, qualifica e dati di contatto del referente: Dr.ssa Xxxxx Xxxxxxx – Executive Director, Clinical Trial Management
Xxxxx Xxxxxxx Firma e data: 08.03.2024 16:28:07 GMT+01:00


Ruolo : Responsabile del trattamento:
Dati degli Interessati: I dati personali trasferiti riguardano le seguenti categorie di interessati (si prega di specificare):
Partecipanti alla sperimentazione clinica;
Personale e investigatori del centro di sperimentazione clinica;
Dipendenti di partner commerciali e fornitori;
Categorie di dati personali trasferiti I dati personali trasferiti riguardano le seguenti categorie di interessati (si prega di specificare): .
Informazioni demografiche pseudonimizzate dai partecipanti alla sperimentazione clinica, inclusi numero ID dello studio, posizione, età, sesso, data di nascita o anno di nascita o altre categorie come richiesto dal protocollo della sperimentazione clinica Informazioni di contatto, CV/curriculum vitae del personale del sito di sperimentazione clinica e dei ricercatori;
Informazioni di contatto e informazioni sul conto bancario per il pagamento di partner commerciali e fornitori; Address: 0000 Xxxxxxx Xxx, Xxxxxxxxxx, Xxxx, 00000 C.F. n. LLCC81-4138570
Contact’s Data and Title: Dr.ssa Xxxxx Xxxxxxx – Executive Director, Clinical Trial Management
Xxxxx Xxxxxxx 08.03.2024
Signature and date: 16:28:07 GMT+01:00

Role: Processor
Data Subjects: The personal data transferred concern the following categories of data subjects (please specify):
Clinical trial participants;
Clinical trial site staff and investigators; Employees of business partners and vendors; Categories of data The personal data transferred concern the following categories of data (please specify):
Pseudonymized demographic information from clinical trial participants, including study ID number, location, age, gender, DOB or year of birth, or other categories as required by the clinical trial protocol;
Contact information, CVs/resumes of clinical trial site staff and investigators;
Contact information and bank account information for payment of business partners and vendors;

Categorie speciali di dati (se del caso) I dati personali conferiti riguardano le seguenti categorie particolari di dati (si prega di specificare):
Dati personali pseudonimizzati relativi a salute, razza/etnia, dati genetici o biometrici dei partecipanti alla sperimentazione clinica;
Operazioni di elaborazione: I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base (specificare):
Qualsiasi operazione richiesta dal protocollo della sperimentazione clinica, incluse, a titolo esemplificativo ma non esaustivo, raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione, allineamento o combinazione, restrizione, anonimizzazione o archiviazione;
Il trasferimento dei dati avviene su base continua
C. AUTORITA’ DI CONTROLLO Identificare la o le autorità di controllo competenti conformemente alla clausola 13
Garante per la protezione dei dati personali (“GPDP”), Xxxxxx Xxxxxxx 00 00000 Xxxx (Xxxxxx)
Telefono +39 00.000000
e-mail xxxxxxxxxx@xxxx.xx
link : https//xxx.xxxxxxxxxxxxxx.xx/xxx/xxxxxxx- privacy-en Special categories of data (if appropriate) The personal data transferred concern the following special categories of data (please specify):
Pseudonymized personal data related to health, race/ethnicity, genetic or biometric data of clinical trial participants;
Processing operations The personal data transferred will be subject to the following basic processing activities (please specify):
Any operations required by the clinical trial protocol including but not limited to collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure, alignment or combination, restriction, anonymization or archiving;
Data transfer occurs on a continuous basis.
C. COMPETENT SUPERVISORY AUTHORITY Identify the competent supervisory authority/ies in accordance with Clause 13
Garante per la Protezione dei Dati [Personal Data Protection Authority] Xxxxxx Xxxxxxx 00 00000 – Xxxx – (Italy)
Ph. x00 00 000000
e-mail xxxxxxxxxx@xxxx.xx
link: https//xxx.xxxxxxxxxxxxxx.xx/xxx/xxxxxxx- privacy-en

ALLEGATO II ALLE CLAUSOLE CONTRATTUALI TIPO
Il presente Allegato fa parte delle Clausole e deve essere compilato e firmato dalle parti.
Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità con le clausole 4(d) e 5(c) (o documento/normativa allegata):
1. Definire, pubblicare e comunicare al personale e ai sub-responsabili un insieme di politiche per la sicurezza delle informazioni.
2. Rivedere le politiche per la sicurezza delle informazioni a intervalli pianificati o quando si verificano cambiamenti significativi per garantire la loro continua idoneità, adeguatezza ed efficacia.
3. Esecuzione di screening pre-assunzione e controlli dei precedenti in linea con le pratiche e le leggi locali sulle assunzioni.
4. Responsabilità del personale con accesso ai dati personali per il mantenimento degli obblighi di riservatezza.
5. Richiesta di formazione su etica aziendale, sicurezza dei dati e privacy dei dati internazionali al momento dell'assunzione iniziale e almeno una volta all'anno.
6. Mettere a disposizione di tutto il personale copie degli standard e delle procedure di sicurezza.
7. Stabilire una politica di controllo degli accessi appropriata e rivederla in base ai requisiti aziendali e ai relativi requisiti di sicurezza delle informazioni.
8. Assegnazione della responsabilità delle pratiche e degli standard di sicurezza delle informazioni come parte di un programma di sicurezza delle informazioni. APPENDIX 2 TO THE STANDARD CONTRACTUAL CLAUSES
This Appendix forms part of the Clauses and must be completed and signed by the parties.
Description of the technical and organisational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached):
1. Defining, publishing and communicating to staff and sub-processors a set of policies for information security.
2. Reviewing policies for information security planned intervals or when significant changes occur to ensure their continuing suitability, adequacy and effectiveness.
3. Performing pre-hire screening and background checks consistent with local hiring practices and laws.
4. Holding staff with access to personal data accountable for maintaining confidentiality obligations.
5. Requiring business ethics, data security, and international data privacy training upon initial hire and at least annually.
6. Making copies of security standards and procedures available to all staff.
7. Establishing an appropriate access control policy and reviewing it based on business requirements and related information security requirements.
8. Assigning responsibility for information security practices and standards as part of an information security program.

9. Concessione dell'accesso logico minimo necessario necessario per supportare i servizi di elaborazione dati.
10. Rimozione tempestiva dell'accesso per il personale licenziato.
11. Richiedere modifiche periodiche della password per il personale con accesso ai dati personali.
12. Richiedere procedure di accesso sicure per accedere ai dati personali.
13. Controllo delle modifiche alle strutture per il trattamento delle informazioni degli importatori di dati e ai sistemi informativi che interessano i dati personali.
14. Monitoraggio della capacità e della disponibilità delle risorse informative che memorizzano, elaborano o trasmettono dati personali.
15. Limitare l'accesso fisico ai data center che elaborano dati personali alle persone autorizzate che supportano l'attrezzatura fisica o la struttura; comprese le protezioni fisiche e ambientali del data center inclusa la videosorveglianza 24x7; richiedono sempre la pre-autorizzazione del visitatore e l'accompagnamento a tempo pieno.
16. Protezione delle strutture da ragionevoli minacce fisiche e ambientali come disastri naturali, incendi, ecc.
17. Distruggere supporti fisici utilizzando pratiche standard del settore; crittografare i backup se si utilizzano nastri rimovibili o altri supporti.
18. Fornire protezioni di rete come firewall, rilevamento delle intrusioni e monitoraggio di accessi non autorizzati.
19. Protezione dei dati personali trasmessi su Internet e tra reti esterne con crittografia standard del settore. 9. Granting the minimum necessary logical access necessary to support the data processing services.
10. Removing access for terminated staff promptly.
11. Requiring regular password changes for staff with access to personal data.
12. Requiring secure log-on procedures to access to personal data.
13. Controlling changes to Data Importers Information Processing Facilities and Information Systems that affect personal data.
14. Monitoring the capacity and availability of information resources that store, process or transmit personal data.
15. Limiting physical access to data centres processing personal data to authorized individuals supporting the physical equipment or facility; including data centre physical and environmental protections including 24x7 video surveillance; require visitor pre-authorization and full- time accompaniment at all times.
16. Protecting facilities against reasonable physical and environmental threats such as natural disasters, fires, etc.
17. Destroying physical media using industry standard practices; encrypting backups if using removable tape or other media.
18. Providing network protections like firewalls, intrusion detection and monitoring for unauthorized access.
19. Securing personal data transmitted over the internet and between external networks with industry standard encryption.

20. Effettuare periodicamente test di vulnerabilità; applicare regolarmente patch di sicurezza; implementare la protezione da malware per server e workstation.
21. L'importatore di dati non ridurrà materialmente la sicurezza complessiva dei servizi di trattamento dei dati durante il periodo di validità delle clausole. 20. Periodically conducting vulnerability tests; regularly applying security patches; implementing malware protection for servers and workstations.
21. Data importer will not materially decrease the overall security of the data processing services during the term of the Clauses.