ACCORDO SULLA PROTEZIONE DEI DATI
ACCORDO SULLA PROTEZIONE DEI DATI
per l'utilizzo di una piattaforma di Affiliate Marketing fornita da Webgains
tra
l’Inserzionista
e
WEBGAINS ITALY SRL SB
(“WBG”)
(singolarmente denominati “Parte” e collettivamente le “Parti”).
PREAMBOLO
(A) WBG gestisce una piattaforma di Affiliate Marketing. Gli Inserzionisti possono utilizzare questa piattaforma per la commercializzazione delle loro offerte / dei loro servizi tramite gli Editori Affiliati fornendo il relativo materiale pubblicitario. Per partecipare al programma di Affiliate Marketing di WBG, è necessario che questi materiali pubblicitari siano dotati di un codice di tracciamento fornito da WBG all'Inserzionista. Questo è l'unico modo per garantire che i servizi forniti da WBG ai Inserzionisti possano essere tecnicamente implementati.
(B) Gli Inserzionisti possono scegliere tra gli Editori Affiliati registrati coloro che si occuperanno della commercializzazione dei materiali pubblicitari forniti sui loro canali di distribuzione. I ricavi generati dagli Editori Affiliati per gli Inserzionisti vengono registrati ed elaborati tramite la piattaforma di Affiliate Marketing fornita da WBG. Inoltre, WBG fornisce il relativo reporting per gli Inserzionisti e indica i pagamenti da corrispondere agli Editori Affiliati per l'attività di intermediazione ovvero a WBG per l'utilizzo della piattaforma.
(C) WBG intrattiene rapporti contrattuali sia con l'Editore Affiliato sia con l'Inserzionista. La fornitura dei servizi WBG richiede il trasferimento di dati personali a WBG e il loro trattamento, di modo che WBG possa adempiere ai propri obblighi di legge. Ciò include, ad esempio, la compensazione delle attività di intermediazione degli Editori Affiliati, nonché la compensazione nei confronti dell'Inserzionista per l'utilizzo della piattaforma e l’ulteriore compensazione della remunerazione dell'Editore Affiliato. Inoltre, il trasferimento di dati a WBG è necessario per l'ulteriore sviluppo dei servizi e delle funzioni, nonché per la prevenzione degli abusi e per la lotta contro le frodi.
(D) I dettagli delle rispettive operazioni di trattamento sono meglio descritti più nella Parte A e nella Parte B del presente Accordo. La Parte C contiene il modello dell’Accordo dei Contitolari del trattamento che si applica tra Inserzionista e Editore Affiliato nel caso in cui l'Editore Affiliato utilizzi il materiale pubblicitario messo a disposizione dall’Inserzionista. Rendendo disponibile il materiale pubblicitario sulla piattaforma di Affiliate Marketing, l'Inserzionista si offre di stipulare l’Accordo dei Contitolari del trattamento (ai sensi della Parte C), che viene accettato dal l'Editore Affiliato al momento della selezione del materiale pubblicitario.
(E) Il presente Accordo ha lo scopo di garantire un adeguato livello di protezione dei dati personali nel corso del trasferimento e del trattamento dei dati personali in conformità con le leggi applicabili in materia di protezione dei dati. Le Parti desiderano inoltre attuare misure adeguate per proteggere la vita privata e i diritti e le libertà fondamentali delle persone interessate.
Tutto ciò premesso, le Parti convengono quanto segue:
1. DEFINIZIONI
1.1 Nel presente Accordo i seguenti termini hanno i seguenti significati:
(a) I termini ”dati personali”, “titolare”, “responsabile del trattamento", “trattamento”, “interessato”, “ulteriore responsabile del trattamento” (”sub-responsabile” o “sub- fornitore”),”misure tecniche e organizzative” e “autorità di controllo” hanno il significato loro attribuito nel GDPR.
(b) “Paese con un livello di protezione adeguato”: qualsiasi paese al di fuori del SEE per il quale la Commissione europea ha deciso che il Paese offre un livello adeguato di protezione dei dati in virtù delle sue leggi o dei trattati internazionali che ha sottoscritto
(c) “Condizioni generali” o “CG” sono le Condizioni generali fornite da WBG all'Inserzionista, inclusi tutti i relativi accordi, condizioni o altri ordini che regolano l'utilizzo della piattaforma.
(d) “Accordo” è il presente Accordo sulla protezione dei dati.
(e) Per “Regolamento” si intendono l'Accordo per il trattamento dei dati e l'Accordo dei Contitolari del trattamento, nonché le clausole contrattuali tipo (vedi sotto).
(f) Per “Accordo per il trattamento dei dati” o “DPA” si intendono le regole di cui alla Parte A.
(g) “WBG” indica Webgains Italy Srl SB con sede in Milano CF e PI IT11309630967 (di seguito denominata: “WBG” o “Fornitore di servizi”)
(h) Per “Accordo dei Contitolari del trattamento” si intendono le disposizioni di cui alla Parte B e alla Parte C. Gli Accordi dei Contitolari del trattamento disciplinano il trasferimento e il trattamento dei dati personali tra WBG e l'Inserzionista (Parte B) e l'interazione tra l'Inserzionista e l’Editore Affiliato (o gli Editori Affiliati) rilevante ai sensi dell'art. 26 del GDPR (Parte C). Le rispettive disposizioni si applicano indipendentemente dal fatto che le Parti siano effettivamente da considerarsi come Contitolari del trattamento ai sensi dell'art. 26 del GDPR e mirano a garantire un'adeguata protezione del trasferimento e del trattamento dei dati personali indipendentemente da tale questione.
(i) Per “Trattamento dei dati da parte di Responsabili” si intende il trattamento dei dati personali per conto del Titolare ai sensi dell'art. 28 del GDPR. L'Inserzionista agisce come Titolare del trattamento e WBG agisce come Responsabile del trattamento.
(j) Per “Inserzionista” si intendono tutte le società che utilizzano i servizi di Affiliate Marketing di WBG sulla base delle CG o di accordi contrattuali simili.
(l) Per “Editore Affiliato” si intendono tutte le persone fisiche o giuridiche che si sono registrate sulla piattaforma WBG in base alle CG e che pubblicizzano i materiali pubblicitari messi a disposizione da un Inserzionista nelle loro offerte media / nei loro canali di distribuzione.
(m) "GDPR" significa Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (il regolamento generale sulla protezione dei dati).
(n) Per “Contitolare/i del trattamento" si intende il trattamento di dati personali da parte di più Titolari (Contitolari) che determinano congiuntamente le finalità e le modalità del trattamento (cfr. articolo 26 GDPR).
(o) "Stato membro" significa uno Stato membro dell'UE o uno Stato contraente del SEE.
(p) “Servizi di Affiliate Marketing” o “Servizi” includono i servizi descritti o a cui si fa riferimento nelle CG, compresa la fornitura della piattaforma di Affiliate Marketing da parte di WBG, che consente agli Inserzionisti di gestire i processi di Affiliate Marketing. Oltre alla registrazione delle vendite da parte degli Editori Affiliati, è compresa anche il relativo reporting.
1.2 Per il presente Accordo vale quanto segue:
(a) I riferimenti a una disposizione di legge comprendono qualsiasi legislazione subordinata emanata sulla base di tale disposizione;
(b) I riferimenti al presente Accordo comprendono le Parti (attualmente A, B e C) e i loro allegati;
(c) Le intestazioni non devono essere incluse nell'interpretazione del presente Accordo; e
(d) in caso di conflitto o incoerenza all'interno del presente Accordo, il conflitto o l'incoerenza saranno risolti dalla rispettiva clausola anteriore.
2. CAMPO DI APPLICAZIONE
2.1 L'Accordo per il trattamento dei dati (Parte A) e l'Accordo dei Contitolari del trattamento (Parte B) si applicano tra le Parti, ciascuna nel proprio ruolo di Titolare o di Responsabile del trattamento , in relazione ai dati personali trasmessi e trattati in conformità alle disposizioni della Parte A o B. I rispettivi processi e quale soggetto è responsabile del singolo trattamento dei dati nell'ambito di ciascun processo sono spiegati più dettagliatamente nella Parte A e nella Parte B. I rispettivi processi e quale soggetto è responsabile del singolo trattamento dei dati nell’ambito di ciascun processo sono spiegati più dettagliatamente nella Parte A e nella Parte B.
2.2 A seconda del processo, ciascuna Parte può agire in qualità di Titolare, Contitolare del trattamento o Responsabile del trattamento, mentre nei processi inizialmente disciplinati dal presente Accordo solo WBG può agire anche in qualità di Responsabile del trattamento ai sensi dell’art. 28 del GDPR e l'Inserzionista in qualità di committente.
2.3 Con l’incarico degli Editori Affiliati tramite la piattaforma di Affiliate Marketing WBG, l’inserzionista stipula un apposito Accordo dei Contitolari ai sensi dell’art. 26 GDPR (secondo la Parte C dell’Accordo dei Contitolari del trattamento) con il rispettivo Editore Affiliato o i rispettivi Editori Affiliati. WBG s’impegna nei confronti degli Editori Affiliati registrati sulla piattaforma di Affiliate Marketing a stipulare l’Accordo dei Contitolari del trattamento (Parte C) al momento dell'accettazione di un ordine. Secondo l'intesa comune delle Parti, l'Accordo dei Contitolari del trattamento (Parte C) non implica un rapporto contrattuale di diritto civile tra l'Inserzionista e l'Editore Affiliato. Le Parti si danno atto che l'Inserzionista (e l'Editore Affiliato) faranno valere i diritti relativi all'utilizzo dei servizi di Affiliate Marketing esclusivamente nell'ambito del rapporto contrattuale con WBG.
2.4 Ciascuna Parte in qualità di Responsabile del trattamento o di Titolare esige che i Sub-responsabili (denominati anche "sub-contraenti") interessati rispettino un livello di protezione almeno equivalente a quello previsto dalle rispettive normative e si assicura che i Sub-responsabili rispettino adeguati requisiti di sicurezza e di protezione dei dati prima di concludere un corrispondente accordo con un sub-responsabile.
2.5 Al fine di garantire un adeguato livello di protezione nel contesto del trasferimento e del trattamento dei dati personali, i principi contenuti nella Parte B si applicano a qualsiasi trattamento e trasferimento tra i Titolari del trattamento.
3. RISPETTO DELLE DISPOSIZIONI CONTRATTUALI
3.1 Le Parti si impegnano a rispettare gli obblighi imposti alle Parti in qualità di Titolari e/o Responsabili del trattamento ai sensi del presente Accordo.
3.2 Ciascuna Parte ha il diritto di far valere le rivendicazioni del presente Accordo nei confronti dell'altra Parte nella misura in cui l'altra Parte agisce nei suoi confronti nella rispettiva veste.
4. MODIFICHE
4.1 Le Parti convengono che il presente Accordo può essere modificato e/o integrato secondo la seguente procedura.
4.2 WBG ha il diritto di modificare o integrare il presente Accordo nella misura in cui lo ritenga necessario, in particolare al fine di rispettare gli obblighi legali delle Parti ai sensi della legge applicabile sulla protezione dei dati.
4.3 WBG informerà la controparte delle modifiche o degli emendamenti almeno per iscritto (ad es. via e- mail) con un termine di preavviso di sei (6) settimane prima dell'entrata in vigore prevista delle modifiche o degli emendamenti. Se l'altra Parte non si oppone alle modifiche entro quattro (4) settimane dal ricevimento della notifica delle modifiche per iscritto nei confronti di WBG e continua a utilizzare i servizi di Affiliate Marketing dopo la scadenza di questo termine, la modifica e/o l'emendamento si considerano accettati e l’accordo si considera modificato di conseguenza alla scadenza del suddetto periodo di sei (6) settimane.
4.4 WBG informerà l'altra Parte, al ricevimento della notifica, delle conseguenze dell'uso continuato e senza obiezioni dei servizi di Affiliate Marketing.
4.5 Se l'altra Parte si oppone alle modifiche o agli emendamenti, le Parti devono discutere le eventuali obiezioni e i disaccordi in modo costruttivo e risolverli di comune accordo. Nel caso in cui le Parti non raggiungano una risoluzione, sia WBG sia l'Inserzionista avranno il diritto di rescindere il presente Accordo o i rispettivi incarichi con un preavviso di quattro (4) settimane.
5. DURATA E RISOLUZIONE
5.1 Il presente Accordo entrerà in vigore dopo la conferma della sua validità da parte dell'Inserzionista con la procedura precedentemente notificata, ove per data di riferimento si intende la data in cui l'ultima Parte accetta il presente Accordo o con la firma del presente Accordo o con altri mezzi (in particolare accettando le presenti condizioni per via elettronica o per e-mail o con il consenso implicito utilizzando i servizi di Affiliate Marketing senza obiezioni). Ciascuna Parte è vincolata dalle disposizioni contenute nell'Accordo a partire dalla data di entrata in vigore.
5.2 Il presente Accordo ha durata indeterminata e termina automaticamente al momento della risoluzione del rapporto contrattuale sulla base delle CG e del rispettivo utilizzo dei servizi di Affiliate Marketing.
6. RISOLUZIONE
6.1 Qualsiasi risoluzione nell’ambito del presente Accordo (“Risoluzione”) deve essere effettuata per iscritto.
6.2 Nella misura in cui WBG ha inoltre il diritto di risolvere il rapporto contrattuale basato sulle CG e sull'utilizzo dei servizi di Affiliate Marketing in conformità con le CG, WBG ha anche il diritto di risolvere il presente Accordo.
6.3 Fermo restando il diritto alla risoluzione straordinaria per entrambe le Parti.
7. CESSIONE
L'Inserzionista non può cedere o trasferire alcun diritto o obbligo ai sensi del presente Accordo senza il preventivo consenso scritto di WBG.
8. INVALIDITA’ PARZIALE
8.1 Se una qualsiasi disposizione del presente Accordo sarà illegittima, nulla o inapplicabile in toto o in parte, la liceità, la validità e l'applicabilità delle restanti disposizioni del presente Accordo non saranno in alcun modo influenzate o compromesse.
8.2 Le Parti si impegnano a concordare una disposizione valida in sostituzione della disposizione non valida, il cui effetto sia il più vicino possibile all'obiettivo economico perseguito dalle Parti contraenti
con la disposizione non valida. Le precedenti disposizioni hanno rispettivamente validità nel caso in cui vengano riscontrate lacune nell'Accordo.
9. LEGGE APPLICABILE - FORO
Il luogo di esecuzione e il foro competente è Milano. Si applica il diritto Repubblica Italiana, con esclusione dell'applicazione delle norme di conflitto. L’applicazione della Convenzione delle Nazioni Unite del 11/04/1980 per contratti che riguardano la vendita internazionale di merci, è esclusa.
10. RAPPORTO CON LE CONDIZIONI GENERALI
10.1 Tutte le circostanze non espressamente disciplinate nel presente Accordo, compresa la responsabilità delle Parti nella fornitura o nell'utilizzo dei servizi di Affiliate Marketing, saranno disciplinate dalle disposizioni delle CG.
10.2 In caso di incongruenza tra le disposizioni del presente Accordo e le CG, prevarranno le disposizioni del presente Accordo.
*****
Parte A
Accordo per il trattamento dei dati
Preambolo
Il presente Accordo per il trattamento dei dati (“Regolamento per la Parte A”) specifica gli obblighi in materia di protezione dei dati delle Parti derivanti dal trattamento dei dati da parte di Responsabili descritto di seguito. Il Regolamento nella presente Parte A riguarda il trattamento dei dati personali da parte di WBG per conto dell'Inserzionista o persone autorizzate dal Contraente (di seguito anche “Sub-contraente”).
1. Ruoli degli interessati e responsabilità
Per l'esecuzione e il trattamento dei servizi di Affiliate Marketing, l'Inserzionista in qualità di Committente fa ricorso al trattamento dei dati personali da parte di WBG in qualità di Contraente. A tal fine, il Contraente deve fornire al Committente i servizi descritti nell’Allegato 1 della presente Parte A.
2. Oggetto dell’incarico, natura, scopo e portata del trattamento dei dati
2.1 L'oggetto dell'Incarico è l'attività di trattamento specificata di seguito e/o nelle Condizioni generali, inclusi i documenti che le specificano, o in qualsiasi altro accordo o incarico aggiuntivo (di seguito collettivamente “Incarico”) da parte di WBG in nome e per conto e secondo le istruzioni dell'Inserzionista.
2.2 Le tipologie e le categorie di dati personali raccolti e/o trattati, nonché le categorie di soggetti interessati dal trattamento dei dati personali ai sensi del presente Incarico, sono specificate nell'Allegato 1.
2.3 Le finalità, la natura e l'ambito di raccolta, trattamento e/o utilizzo dei dati personali nell'ambito dell’Incarico sono specificati nell'Allegato 1 della presente Parte A.
3. Responsabilità e diritti di istruzione del Titolare
3.1 Il Committente è il solo responsabile della valutazione dell'ammissibilità giuridica del trattamento dei dati personali da parte del Contraente effettuato nell'ambito del rapporto contrattuale in relazione alle disposizioni di legge vigenti in materia di protezione dei dati.
3.2 Il Contraente tratta i dati personali del Committente esclusivamente allo scopo di adempiere agli obblighi del DPA, del Contratto principale o delle singole istruzioni aggiuntive di cui al punto 2.
3.3 Nell'ambito dell'Incarico, il Committente si riserva il diritto di impartire istruzioni in merito al tipo di trattamento dei dati, alla finalità del trattamento, al tipo di dati personali e alle categorie di interessati, che potrà specificare mediante singole istruzioni. I diritti di istruzione a cui il Committente ha diritto in relazione al trattamento dei dati personali sono definitivamente specificati dalle funzioni fornite nell'ambito delle applicazioni e dei sistemi.
3.3 Le disposizioni di cui al punto 3.2 sono limitate nella misura in cui il Contraente vi è tenuto in base al diritto dell'Unione europea o degli Stati membri ai quali Il Contraente è soggetto; in tal caso, il Contraente deve notificare al Committente i requisiti legali prima del trattamento, a meno che la legge in questione non vieti tale notifica per motivi di interesse pubblico rilevante
3.4 Il Contraente è tenuto ad informare il Committente se ritiene che un'istruzione violi le norme sulla protezione dei dati. Il Contraente ha il diritto di sospendere l'esecuzione delle relative istruzioni fino alla loro conferma o modifica da parte del Committente.
4. Istruzioni e persone autorizzate a impartire istruzioni
4.1 Il Committente o un suo rappresentante debitamente autorizzato emetterà tutte le istruzioni in forma di testo (per iscritto, via e-mail). Se, in casi eccezionali, vengono impartite istruzioni verbali, il Committente le confermerà immediatamente via e-mail.
4.2 Nella misura in cui le istruzioni o gli avvisi devono essere dati all'altra Parte ai sensi del presente Accordo, tali istruzioni o avvisi devono essere indirizzati alle persone indicate nell'Allegato 2.
5. Obblighi del Contraente
5.1 Al Contraente non è consentito correggere, cancellare o limitare il trattamento dei dati personali, a meno che non sia stato incaricato di farlo o che la cancellazione non venga effettuata in conformità con la clausola 15 del presente Accordo (Risoluzione dell’Accordo). Le richieste degli interessati, in particolare di correzione, cancellazione o blocco, devono essere inoltrate immediatamente al Committente.
5.2 Il trattamento dei dati avviene esclusivamente nell'Unione europea o in un altro Stato contraente dell'Accordo sullo Spazio economico europeo. Qualsiasi trasferimento in un Paese terzo richiede il consenso preventivo del Committente. Se un'eccezione è stata approvata dal Committente, deve essere garantito un livello di protezione adeguato che soddisfi i requisiti degli art. 44 e segg. GDPR.
5.3 Il Contraente non memorizza o copia il materiale informativo o le informazioni che ne derivano sui suoi dispositivi finali o supporti dati, a meno che ciò non sia necessario per l'esecuzione dell'Incarico.
5.4 Nella misura in cui il Committente necessiti di informazioni da parte del Contraente per poter compilare l'elenco completo delle sue attività di trattamento, il Contraente deve fornire le informazioni su richiesta.
5.5 Il Contraente si impegna a creare una struttura interna di compliance con la quale vengano in particolare attuate le relative norme di protezione dei dati e gli obblighi del DPA. Questo include anche - se necessario - il supporto nella realizzazione di una valutazione dell'impatto sulla protezione dei dati.
5.6 Il Contraente ha — se è legalmente obbligato a farlo — nominato un responsabile della protezione dei dati qualificato, il cui nome e i cui dati di contatto devono essere indicati nell'Allegato 2. Il Contraente è tenuto ad informare immediatamente il Committente di eventuali modifiche.
6. Riservatezza del trattamento dei dati e obbligo per i dipendenti di attenersi alle istruzioni
6.1 Il Contraente è tenuto a garantire che i suoi dipendenti che hanno accesso ai dati personali nell'ambito dell'esecuzione dell’Incarico trattino tali dati esclusivamente su istruzioni del Titolare. Ciò non si applica se il Fornitore di servizi è obbligato, ai sensi del diritto dell'Unione o della legislazione degli Stati membri, a trattare i dati personali oggetto dell'Accordo.
6.2 Nella scelta e nell'impiego dei collaboratori, il Contraente deve assicurarsi che essi rispettino le disposizioni di legge sulla protezione dei dati e non trasmettano o sfruttino in altro modo le informazioni ottenute dal dominio del Committente a terzi.
6.3 Il Contraente deve dare istruzione a ogni persona a lui subordinata che ha accesso ai dati personali nell'ambito dell'esecuzione dell’Incarico di trattare i dati oggetto dell'Accordo come previsto dall'Accordo.
6.4 Il Contraente si avvale esclusivamente di collaboratori che hanno già familiarizzato con le disposizioni in materia di protezione dei dati che li riguardano e si assicura che tutti i collaboratori coinvolti nel trattamento dei dati comunicati nell'ambito del presente Accordo si siano impegnati a mantenere la riservatezza o siano soggetti a un adeguato obbligo di riservatezza previsto dalla legge.
7. Procedura per le richieste degli interessati o di terzi
7.1 Il Contraente è tenuto a informare il Committente per e-mail entro 48 ore, sulla base dei giorni lavorativi in Italia, di eventuali richieste o richieste di informazioni da parte di un'autorità di controllo della protezione dei dati o di un giornalista in merito all'oggetto del presente Accordo
7.2 Il Committente, in qualità di Titolare, è responsabile della tutela dei diritti degli interessati. Le richieste degli interessati riceveranno risposta esclusivamente dal Committente, a meno che non sia stato espressamente stabilito diversamente nelle istruzioni. Nella misura in cui la collaborazione del Contraente è necessaria per l'elaborazione delle richieste degli interessati, in particolare per
l'informazione, la correzione, la limitazione, la portabilità o la cancellazione dei dati, il Contraente adotta le misure necessarie in ogni caso secondo le istruzioni della Committente.
7.3 Il Contraente è tenuto a informare immediatamente (entro 48 ore) e in modo esauriente la persona autorizzata dal Committente a impartire istruzioni in merito alle corrispondenti richieste degli interessati. Una procedura per lo scambio di informazioni in risposta alle richieste degli interessati è concordata tra le Parti, a seconda dei casi.
8. Sub-fornitore
8.1 Il coinvolgimento di ulteriori Responsabili del trattamento all'evasione dell'Incarico (= sub-fornitore) da parte del Contraente è consentito solo con il consenso del Committente. Il Contraente deve comunicare in anticipo per iscritto al Committente il coinvolgimento di altri sub-fornitori e il trasferimento ad essi dei dati personali del Committente per il trattamento. Se il Committente non si oppone a tale utilizzo entro 6 settimane dalla notifica, il consenso del Committente si considera dato.
8.2 Presupposto per il consenso al coinvolgimento di ulteriori sub-fornitori è la loro designazione concreta con nomi e dati di contatto unitamente a ulteriori informazioni sull'oggetto, sul tipo, sulla portata e sullo scopo del trattamento dei dati concretamente previsto. Inoltre, il Contraente deve assicurarsi che il sub- fornitore si attenga alle misure di sicurezza informatica specificate nell'Allegato 4 e, su richiesta, presentare al Committente quanto constatato. Il Committente non deve negare irragionevolmente il consenso al conferimento di incarico a sub-fornitori.
8.3 Si può conferire un incarico a sub-fornitori o sub-sub-fornitori in Paesi terzi (al di fuori dell'UE/SEE), a condizione che siano soddisfatti i requisiti pertinenti del GDPR.
8.4 Nella misura in cui il conferimento di incarico è consentito, il Contraente deve scegliere con cura il sub- fornitore per quanto riguarda l'adempimento degli obblighi contrattuali. Egli deve strutturare gli accordi contrattuali con il sub-fornitore in modo tale che rispettino le disposizioni sulla protezione dei dati del DPA. In particolare, egli deve rendere vincolanti contrattualmente nei confronti dei suoi sub-fornitori i diritti di cessione disciplinati dal presente Accordo e i diritti di controllo del Committente. Tale tutela contrattuale deve essere concepita in modo tale che il Committente — fatta salva la responsabilità del Contraente nei confronti dei sub-fornitori — abbia il diritto di esercitare direttamente il controllo sul sub-fornitore. Su richiesta del Committente, il Contraente è tenuto a fornire immediatamente al Committente informazioni sul contenuto contrattuale essenziale per il controllo e sull'attuazione degli obblighi relativi alla protezione dei dati da parte del sub-fornitore.
8.5 I sub-fornitori pre-approvati sono elencati nell'Allegato 3 , la cui approvazione è subordinata alla documentazione del rispetto delle misure di sicurezza dei dati prima dell’inizio del trattamento dei dati da parte del Contraente e al rispetto delle disposizioni di cui alla presente clausola n. 8. Una lista aggiornata dei sub-fornitori è sempre reperibile sotto xxxxx://xxx.xxxxxxxx.xxx/xxxxxx/xx/xxxxxxx-xxx- processors/.
8.6 Il Contraente deve verificare periodicamente (cioè almeno una volta all'anno) l'adempimento di tali obblighi da parte del sub-fornitore mediante adeguati controlli e adottare misure correttive in caso di violazioni. I controlli e le misure avviate in caso di mancanze individuate devono essere documentati. I relativi rapporti sono messi a disposizione del Committente su richiesta.
8.7 I rapporti di sub-appalto per servizi specialistici per i quali non è richiesta la conclusione di un contratto di trattamento dei dati da parte di persone autorizzate non necessitano di approvazione, in particolare i servizi accessori come i servizi di telecomunicazione, i servizi postali per il trasporto di lettere o pacchi, i servizi di pulizia o le attività dei Titolari del segreto professionale (consulenti fiscali, avvocati, medici aziendali esterni, revisori dei conti).
9. Determinazione delle misure tecniche e organizzative
9.1 La selezione del Contraente si basa in particolare sulla valutazione che esso fornisca garanzie sufficienti a rispettare le misure tecniche e organizzative per la sicurezza dei dati e che il trattamento dei dati
personali in conformità con i requisiti di legge assicuri un livello di sicurezza del trattamento adeguato al rischio per i diritti e le libertà delle persone fisiche interessate dal trattamento.
9.2 Salvo in casi di manutenzione a distanza / accesso remoto, il Contraente garantisce gli obiettivi di protezione di cui all'art.32 cpv. 1 del GDPR, quali la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi utilizzati per il trattamento dei dati, nonché la loro resilienza in relazione al tipo, alla portata, alle circostanze e alle finalità del trattamento. Inoltre, in tal caso egli si assicurerà che la disponibilità dei dati e l'accesso ad essi siano ripristinati rapidamente in caso di incidente fisico o tecnico e che venga utilizzata il più possibile un trasporto e un’archiviazione crittografati.
9.3 Il Contraente ha utilizzato una metodologia riconosciuta di valutazione dei rischi per il trattamento dei dati personali in conformità all'Accordo, che tiene conto della probabilità e della gravità dei rischi per i diritti e le libertà degli interessati.
9.4 Il Contraente assicura l'attuazione di misure tecniche e organizzative adeguate per il suo settore di competenza secondo il rispettivo stato dell’arte, al fine di rispettare le norme sulla protezione dei dati e di contenere in modo permanente il rischio associato al trattamento dei dati. Il concetto di protezione dei dati descritto nell'Allegato 4 definisce in dettaglio la scelta delle misure tecniche e organizzative adeguate al rischio individuato, tenendo conto degli obiettivi di protezione secondo lo stato dell'arte e con particolare riguardo ai sistemi informatici e alle procedure di elaborazione utilizzati dal Contraente, ed è vincolante.
9.5 Il trattamento dei dati oggetto del contratto in telelavoro dalla propria abitazione è consentita a condizione che il Contraente garantisca adeguate misure di sicurezza per la criticità del trattamento dei dati — paragonabili al trattamento dei dati in ufficio. A tal fine, egli prende le opportune precauzioni tecniche e organizzative e, su richiesta, ne fornisce la prova.
9.6 Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, il Contraente è autorizzato ad attuare misure alternative adeguate. Così facendo, il livello di sicurezza delle misure definite non deve essere inferiore al livello di sicurezza previsto. Modifiche significative che sono essenziali per la sicurezza dei dati (ad es. nell'organizzazione del trattamento dei dati nell'Incarico) devono essere preventivamente concordate con il Committente. Il Contraente è tenuto a effettuare un esame, una stima e una valutazione dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento quando vi è motivo di farlo, ma comunque almeno una volta all'anno (articolo 32, cpv. 1, lettera d del GDPR).
9.7 Su richiesta, il Contraente fornisce al Committente la sua attuale politica di protezione e sicurezza dei dati, nonché la sua politica di governance della sicurezza informatica per il trattamento dei dati da parte di Responsabili commissionato in conformità al presente Accordo.
10. Obblighi generali di controllo e di avviso del Contraente
10.1 Se il Contraente ritiene che un'istruzione violi le norme sulla protezione dei dati, il Contraente è tenuto a comunicarlo immediatamente al Committente in forma scritta. Il Contraente ha il diritto di sospendere l'esecuzione delle relative istruzioni fino alla loro conferma o modifica da parte del Committente. Il Contraente non ha diritto a una verifica giuridica approfondita.
10.2 Il Contraente è tenuto a verificare a intervalli regolari — almeno una volta per anno solare — che le disposizioni del presente Accordo che lo riguardano siano rispettate. Ciò riguarda in particolare il rispetto dei requisiti di sicurezza dei dati di cui all'Allegato 4. La verifica e le constatazioni effettuate devono essere documentate.
10.3 Se il Contraente ritiene che le misure di sicurezza dei dati adottate dal Committente siano insufficienti, ne informa immediatamente il Committente.
11. Violazioni del Contraente da segnalare / perdita di dati
11.1 Il Contraente è tenuto a comunicare immediatamente al Committente eventuali interruzioni, violazioni da parte del Contraente o dei suoi dipendenti delle disposizioni della legge sulla protezione dei dati o delle disposizioni contrattuali o delle specifiche contenute nel presente DPA o nelle istruzioni, nonché eventuali sospette violazioni delle suddette disposizioni della legge sulla protezione dei dati o irregolarità nel trattamento dei dati personali. Tale notifica va inviata per e-mail alla persona autorizzata dal Committente a dare istruzioni come specificato nell'Allegato 2.
11.2 Per quanto riguarda eventuali obblighi del Committente di informare le autorità di controllo per la protezione dei dati e/o gli interessati, il Contraente è tenuto ad informare immediatamente il Committente (entro 24 ore) di tutti gli incidenti in cui non si possa escludere che si sia perso il controllo di dati o che Xxxxx siano venuti o possano essere venuti a conoscenza di dati senza autorizzazione. In tal caso il Committente può richiedere la collaborazione del Committente per chiarire immediatamente i fatti, gestire l'incidente e adottare misure per porre rimedio o attenuare le conseguenze della violazione di dati personali.
11.3 Nel caso in cui il Contraente determini o giustifichi con i fatti il presupposto che una violazione della protezione dei dati da lui trattati per il Committente abbia portato alla distruzione, perdita, modifica, divulgazione non autorizzata o in altro modo all'accesso non autorizzato ai dati personali (“Incidente di sicurezza dei dati”), il Contraente è tenuto a informare immediatamente e in modo completo e per iscritto il Committente in merito al momento, alla natura e all'entità dell'incidente (o degli incidenti). Le informazioni devono comprendere una spiegazione della natura dell'acquisizione illecita di dati. Le informazioni dovrebbero inoltre comprendere una spiegazione delle possibili conseguenze negative dell'incidente di sicurezza dei dati.
11.4 Il Contraente terrà un elenco di tutti gli incidenti di sicurezza dei dati verificatisi, nella misura in cui si riferiscono al trattamento dei dati ai sensi del presente Accordo, e metterà l'elenco a disposizione del Committente su richiesta.
12. Controllo da parte del Committente
12.1 Il Committente o un suo rappresentante debitamente autorizzato ha il diritto di verificare — gratuitamente — l’ottemperanza di tutte le istruzioni e disposizioni del presente Accordo, nonché delle norme sulla protezione dei dati, nella misura in cui siano applicabili al trattamento dei dati contrattuali, da parte del Contraente durante il normale orario di lavoro attraverso ispezioni, comprese verifiche periodiche. Il Contraente si impegna a tollerare le opportune ispezioni e a supportare il Committente durante le sue ispezioni in conformità con il par. (3).
12.2 Il Contraente conferma il rispetto delle misure di sicurezza descritte nell'Allegato 4 presentando un certificato attuale da parte di un organismo indipendente (ad es. responsabile della sicurezza IT, responsabile della protezione dei dati, revisore della protezione dei dati) in conformità al modello Allegato 5. Tale conferma non limita il diritto di controllo di cui al par. 1.
12.3 Su richiesta, il Contraente deve fornire al Committente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del DPA e per adempiere agli obblighi esistenti in materia di protezione dei dati, compresa la assunzione di responsabilità. Il Contraente concede al Committente tutti i diritti di accesso, informazione e controllo richiesti dal Committente per l'esecuzione del controllo. Il Contraente si impegna in particolare a concedere al Committente l'accesso alle strutture di trattamento dei dati e ad altri documenti al fine di consentire il controllo e la verifica delle relative strutture di trattamento dei dati e di altra documentazione relativa alla raccolta o all'uso dei dati del Committente. Il Committente dovrà tenere in debita considerazione le procedure operative e i legittimi interessi di riservatezza del Contraente.
12.4 Deve essere redatto un protocollo sul controllo e sui suoi risultati.
12.5 In conformità con le normative applicabili in materia di protezione dei dati, il Committente e il Contraente sono soggetti a controlli pubblici da parte dell'autorità di controllo competente. Su richiesta del Committente, il Contraente dovrà supportare il Committente al meglio delle sue capacità nel contesto delle procedure di controllo ufficiali se e nella misura in cui il trattamento contrattuale dei dati del Committente è oggetto della procedura di controllo.
13. Completamento degli Incarichi / cessazione del rapporto contrattuale
13.1 Salvo diversa indicazione, si applicano le seguenti disposizioni:
(a) In caso di esecuzione di singoli Incarichi, il Contraente deve cancellare irrevocabilmente i dati personali forniti dal Committente tre (3) mesi dopo l'esecuzione del singolo Incarico.
(b) Se la durata del DPA corrisponde alla durata del Contratto principale o di un accordo di servizio e non vi è alcun singolo Incarico, i dati trattati nell'ambito dell'esecuzione del contratto saranno cancellati solo dopo un’istruzione apposita da parte del Committente.
(c) Il Committente ha il diritto di richiedere la restituzione dei dati anziché la cancellazione.
13.2 Dopo aver elaborato i singoli Incarichi, il Contraente conferma al Committente senza ulteriore richiesta che il Contraente ha completamente distrutto o irrevocabilmente cancellato i dati trasferiti, eventuali dati temporaneamente memorizzati o il materiale di prova e di scarto. La cancellazione/distruzione deve essere documentata in modo adeguato, ad esempio tramite registrazione degli eventi. La documentazione della cancellazione/distruzione deve essere presentata su richiesta.
13.3 La documentazione che serve a dimostrare il corretto trattamento dei dati deve essere conservata dal Contraente oltre la fine dell'Accordo in conformità con i rispettivi periodi di conservazione. Il Contraente può consegnarli al Committente al termine dell'Accordo per il suo discarico.
13.4. Il Committente o una persona debitamente incaricata ha il diritto di controllare la restituzione o la cancellazione completa e ai sensi dell'Accordo dei dati o la distruzione del materiale di prova e di scarto presso il Contraente. Ciò può essere fatto anche ispezionando i sistemi di elaborazione dei dati nella sede del Contraente. L'ispezione in loco deve essere annunciata dal Committente con un ragionevole periodo di preavviso.
13.5 Se la durata del presente Accordo è basata sulla durata del Contratto principale e il Contratto principale è risolto, il Contraente ha anche il diritto di ulteriore conservazione e trattamento dei dati oltre la fine del Contratto principale esclusivamente nell'ambito della corretta esecuzione dell'Accordo.
14. Allegati
Costituiscono parte integrante del presente Accordo i seguenti allegati:
• Allegato 1: Istruzioni per il trattamento dei dati per conto del Committente
• Allegato 2: Persone di contatto
• Allegato 3: Sub-responsabili pre-approvati
• Allegato 4: Requisiti per la sicurezza dei dati
• Allegato 5: Conferma della conformità alla sicurezza dei dati
*****
PARTE A
Allegato 1: Istruzioni per il trattamento dei dati per conto dell'Inserzionista a WBG
Il presente Allegato contiene le istruzioni specifiche per il trattamento dei dati personali durante la fornitura dei servizi.
Panoramica dell’Incarico | |
Base per l’impartizione di istruzioni | Sulla base del contratto di servizio tra Inserzionista e WBG, il Titolare del trattamento impartisce istruzioni al Responsabile del trattamento per il trattamento dei dati: ☒ conformemente alle CG con descrizione dettagliata delle prestazioni ☒ conformemente alle seguenti specificazioni: |
Oggetto/natura/ambito del trattamento/specifica del trattamento ( | ☒ Servizi informatici secondo la seguente tipologia per • la memorizzazione dei cookie sui dispositivi degli utenti se questi hanno prestato il loro consenso all’Inserzionista sul suo sito web; • la registrazione degli accessi alle offerte (materiale pubblicitario) dell'Inserzionista, che vengono effettuati tramite il codice di tracciamento messo a disposizione da WBG e integrato nel materiale pubblicitario dell’Inserzionista; • la registrazione degli Editori Affiliati coinvolti in una transazione; • creazione e memorizzazione di un ID probabilistico sui dispositivi finali degli utenti, a condizione che questi abbiano dato il loro consenso; • memorizzazione di un ID deterministico sui dispositivi finali degli utenti, a condizione che questi abbiano dato il loro consenso. ☒ Servizi promozionali secondo la seguente tipologia per • la predisposizione e messa a disposizione di valutazioni in merito ai dati conservati per l'Inserzionista utilizzando gli strumenti di valutazione forniti da WBG ☒ Servizi informatici secondo la seguente tipologia per • la creazione di report per gli Editori Affiliati che lavorano per l'Inserzionista sulla base dei dati generati per l’Inserzionista • il calcolo della remunerazione per gli Editori Affiliati • il calcolo della remunerazione per l'attività di WBG • la valutazione dei dati ottenuti per l'individuazione di tentativi di frode e altri usi abusivi della piattaforma • la manutenzione remota e supporto per problemi tecnici ☒ il trasferimento di dati a WBG nell'ambito dell'Accordo dei Contitolari del trattamento (cfr. parte B). |
Finalità del trattamento dei dati personali degli | Registrazione delle vendite (transazioni) mediate dagli Editori Affiliati sulla piattaforma fornita dal Contraente e preparazione delle valutazioni per il Committente. Ciò include anche la messa a |
interessati da parte del Committente | disposizione di valutazioni in merito all'ambito delle attività di vendita per l’Inserzionista. Inoltre, WBG registra gli Editori Affiliati coinvolti nella vendita per l'Inserzionista al fine di consentire all’Inserzionista di assegnare una remunerazione ai singoli Editori Affiliati. La corretta registrazione avviene per mezzo del codice di tracciamento fornito da WBG, che viene ripreso dal Committente e integrato nel suo materiale pubblicitario consegnato dagli Editori Affiliati. Ciò include anche — se viene prestato il consenso — la memorizzazione dei cookie sui dispositivi utilizzati dall'utente da WBG in qualità di fornitore di servizi del Committente. |
Inizio e fine del trattamento | ☒ continuo ☐ Incarico singolo Inizio: : Fine: : (eventualmente a tempo indeterminato) |
Interessati (categorie) | ☒ Clienti ☒ Potenziali clienti/interessati ☒ Altro: Dati degli Editori Affiliati |
Tipologie di dati personali | ☒ Dati transazione: transaction-ID, Publisher-ID, order reference number, timestamp ☒ Dati dell'Accordo: product info; user country, value ☒ Dati di fatturazione dell'Accordo: sales value, currency, commission type ☒ Informazioni sul dispositivo utente / browser, Cookie-ID, Cache-Reference-ID ☒ Altro: Indirizzo IP, User-Agent, ID Campagna, ID Programma, ID Probabilistico, ID Evento, ID di referenza, ID deterministico. |
Tipo di fornitura dati | ☐ SFTP ☒ HTTPS (link per il download) ☒ Integrazione dell'applicazione WBG tramite lo script di tracciamento; |
Termine di restituzione/cancellazion e dopo il completamento dell'Incarico | ☒ 3 mesi ☐ 6 settimane ☐ |
PARTE A
Allegato 2: Persone autorizzate a impartire istruzioni, responsabile della protezione dei dati
1. Persone autorizzate a impartire istruzioni del Committente:
Referente del Committente:
- Il sottoscritto in persona
- Organi del Committente, ossia persone autorizzate
- Altre persone indicate al Contraente
2. Destinatario delle istruzioni del Contraente
Referente del Contraente:
Funzione Head of Affiliate & Account Management attualmente impegnato/a con:
Nome: Xxxxxxxxx Xxxxxxx
e come sostituto/a:
Nome: Xxxxxxxx Xxxxxxxxx
E-mail: xxxxxxxxxx@xxxxxxxx.xx
Telefono: x00 000 0000000
3. Responsabile della protezione dei dati del Contraente
Nome: Dr. Xxxxxx Xxxxxx
E-mail: xxxx-xxxxxxx@xxxxxxxx.xxx; xxxxxxxxxxx@xxxxxxxx.xx Telefono: +49 (0)228 / 00 00 00 00
☐ interno | ☒ esterno |
PARTE A
Allegato 3: Sub-responsabili approvati
N. | Fornitore / fornitore di servizi | Sede | Scopo |
1 | Webgains Ltd, Xxxxx Xxxxx, 00 Xxxxxxxxxx Xxxx, Xxxxxx, XX0X 0XX | Xxxxxxxxxxx | Gestione applicazione IT, supporto IT |
2 | Amazon Web Services, Inc. | Irlanda e Inghilterra | Servizio di hosting¸ supporto |
3 | Altre società di Webgains nell'UE incluse come Sub-responsabili ai sensi del punto 8 della Parte A, a condizione che la campagna sia distribuita in tutta l'UE | Sedi WBG nell'UE (attualmente: Francia, Germania, Inghilterra, Spagna, Italia, Paesei Bassi) | Supporto nella gestione delle campagne a livello UE/gestione della piattaforma WBG |
4 | Neory GmbH | Germania | Soluzioni container tag |
5 | Rollba, Inc. | San Xxxxxxxxx, Califiornia, USA | Rollbar monitora gli errori delle applicazioni per gli Inserzionisti. Nell'inviare i dati di errore di Xxxxxxx, gli Inserzionisti possono inavvertitamente includere i dati personali dell'utente finale. Di conseguenza, viene concordato un accordo di trattamento dei dati. |
*****
PARTE A
Allegato 4: Misure di sicurezza informatica
Per il trattamento specifico dei dati è garantito un livello di protezione adeguato al rischio per i diritti e le libertà delle persone fisiche interessate dal trattamento. A tal fine, gli obiettivi di protezione di cui all'art. 32, par. 1 del GDPR, quali la riservatezza, l'integrità e la disponibilità dei sistemi e dei servizi e la loro resilienza in relazione al tipo, alla portata, alle circostanze e alle finalità del trattamento, sono presi in considerazione in modo tale che il rischio sia permanentemente mitigato da adeguati rimedi tecnici e organizzativi.
Nella sua politica di sicurezza informatica, il Fornitore di servizi ha definito gli obiettivi di sicurezza, un processo di sicurezza informatica e la gestione della sicurezza informatica al fine di garantire la protezione dei dati personali attraverso misure tecniche e organizzative appropriate. In conformità con i requisiti della politica di sicurezza informatica, sono stati determinati i rischi associati al trattamento dei dati, nonché la determinazione del potenziale impatto sull'interessato e la probabilità. Le misure tecniche per garantire la sicurezza dei dati sono definite — come indicato nel concetto di sicurezza informatica — tenendo conto dello stato dell'arte e dei costi di attuazione.
La garanzia continua dei requisiti derivanti da requisiti di legge, ad esempio GDPR, è assicurata dalla “Gestione della sicurezza informatica”, dove, oltre a chiare definizioni e funzioni, nonché compiti e responsabilità, anche le misure tecniche e organizzative di cui al presente Allegato svolte ai sensi dell'art. 32 GDPR, sono implementate e controllate e verificate in modo sostenibile e continuo nell’ambito dei controlli di sicurezza.
Le misure di seguito descritte rappresentano la scelta delle misure tecniche e organizzative (“TOM”) atte a garantire la sicurezza dei dati ai sensi dell'art. 32 GDPR adeguate al rischio individuato, tenendo conto degli obiettivi di protezione secondo lo stato dell’arte. È stato utilizzato come base la seguente politica di livello di protezione:
Livello di protezione | Dati personali | ad esempio (per i dati individuali; se i dati vengono accumulati, può essere applicato un livello di protezione più elevato!) | Gravità del possibile danno |
A | che sono stati messi a disposizione gratuitamente dall'interessato | elenco telefonico, sito web liberamente accessibile, social media liberamente accessibili | Lieve |
B | la cui manipolazione impropria non dà luogo ad alcuna particolare menomazione, ma che non sono stati resi liberamente accessibili dall'interessato | file pubblici riservati, ispezione catastale, social media non liberamente accessibili; IBAN mascherato (ultime sei cifre cancellate), anagrafica clienti, data di nascita, luogo di nascita | Lieve |
C | la cui manipolazione impropria potrebbe pregiudicare l'interessato nella sua posizione sociale o nella sua situazione economica (“reputazione”) | reddito, dati fiscali, illeciti amministrativi, dati del passaporto, IBAN (completo); dati dell'Accordo (dati di consegna e ordine | Gestibile |
D | la cui manipolazione impropria potrebbe pregiudicare sensibilmente l'interessato nella sua posizione sociale | reclusione, reati, accertamenti ufficiali, certificati di lavoro, dati | sostanziale |
o nella sua situazione economica (“esistenza”) | sanitari, debiti, sequestri, dati di categorie speciali ai sensi dell'art. 9 GDPR | ||
E | la cui manipolazione impropria potrebbe pregiudicare la salute, la vita o la libertà dell'interessato | dati sulle persone che possono essere vittime di un reato, programma di protezione dei testimoni | Elevato |
F | trattati nell'ambito di manutenzione/accesso remoto | disposizioni speciali relative alla situazione specifica della manutenzione/dell’accesso remoto |
Le Parti hanno stabilito che il trattamento dei dati personali disciplinato nel presente Contratto di trattamento dei dati è soggetto ai seguenti requisiti di protezione:
Livello di protezione | Barrare la voce corrispondente |
A | ☐ |
B | ☐ |
C | ☒ |
D | ☐ |
E | ☐ |
F | ☐ |
Il seguente catalogo di misure contiene le misure tecniche e organizzative concordate per garantire i requisiti di protezione determinati dei livelli di protezione C.
Se è stato determinato un ulteriore grado di protezione per il trattamento dei singoli dati, le misure aggiuntive adottate per garantire gli obiettivi di protezione sono documentate nella rispettiva descrizione del processo:
I. Requisiti organizzativi a garanzia della sicurezza dei dati
Il Fornitore di servizi mette in atto una procedura per la verifica periodica, la stima e la valutazione dell'efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento dei dati. Ciò ha anche lo scopo di garantire che le misure adottate per garantire la sicurezza dei dati corrispondano allo stato dell'arte. Di questo viene data dimostrazione al Committente in qualsiasi momento su richiesta.
II. Misure tecniche a garanzia della sicurezza dei dati
Il Contraente adotta le seguenti misure per garantire la sicurezza dei dati, il cui rispetto è garantito da adeguati controlli nell’ambito delle misure organizzative:
Obiettivo di protezione: Riservatezza
Deve essere garantito che nessuna persona — sia dipendenti che terzi — possa venire a conoscenza di dati personali senza esserne autorizzato. Per garantire questo obiettivo di protezione sono necessarie misure per l'accesso e il controllo degli accessi. L'accesso non autorizzato tramite dispositivo deve essere impedito. Inoltre, qui sono elencate le specifiche per la separazione dei dati di ogni Cliente al fine di garantire che i dati siano assegnati a un Titolare.
1. Controllo degli accessi:
Controllo dell'accesso fisico ai sistemi di trattamento dei dati (sistema di elaborazione dati) da parte di persone non autorizzate. Il controllo degli accessi ha lo scopo di impedire alle persone non autorizzate di avvicinarsi a un sistema di elaborazione dati. Del sistema di elaborazione dati fanno parte, oltre l'unità centrale, incluse le unità integrate, anche le unità periferiche collegate, come terminali, PC, stampanti, plotter e unità nastro ecc. Vengono registrati anche i terminali utilizzati per l'accesso remoto.
Il controllo degli accessi ai PC all'interno degli uffici è garantito, ad esempio, adottando misure che impediscono ai Clienti di avvicinarsi ai PC o di visualizzare lo schermo.
Misure per il raggiungimento degli obiettivi di protezione |
Controllo degli accessi per persone esterne; l'implementazione è effettuata, ad esempio, tramite i seguenti punti: |
• Regole per l'accesso da parte di soggetti esterni |
• Registrazione degli ingressi e delle uscite delle persone esterne all’azienda |
• Area centrale di accoglienza (portineria/reception) presente |
• Emissione di badge per visitatori |
• Permanenza di estranei in tutto l'edificio aziendale solo in presenza di dipendenti |
• Revoca dei mezzi di accesso dopo la scadenza dell'autorizzazione |
Controllo degli accessi per persone interne; l'implementazione è effettuata, ad esempio, tramite i seguenti punti: |
• Determinazione delle persone autorizzate, compreso l'ambito delle autorizzazioni, per l'accesso fisico a locali/aree di sicurezza pertinenti |
• Rilascio di documenti di autorizzazione all'accesso (es. smart card con registrazione delle attività) |
• Registrazione degli ingressi e delle uscite dei dipendenti |
Determinazione delle persone autorizzate per la sala computer/server |
Misure per garantire che solo le persone autorizzate abbiano accesso alla sala computer/server |
Fornitura di armadi/contenitori mobili chiudibili a chiave per dipendenti |
Controllo a chiave, se vengono utilizzate chiavi (porte chiuse a chiave; consegna chiavi solo a persone autorizzate; memorizzazione e utilizzo di una chiave master) |
Misure di protezione degli immobili (ad es. messa in sicurezza di pozzi e finestre; monitoraggio di tutta l’area) |
Ingresso sicuro (ad es. sistema di chiusura, lettore di carte d'identità) |
Finestre antieffrazione |
2. Controllo degli accessi:
L'uso dei sistemi di elaborazione dati da parte di persone non autorizzate (dipendenti non autorizzati o soggetti esterni) deve essere impedito. Il controllo degli accessi è importante per l'identificazione e la successiva autenticazione. Il controllo degli accessi comprende anche l'obiettivo che nessun accesso esterno (ad esempio da Internet) ai sistemi di elaborazione dati possa avvenire (protezione dagli hacker).
Requisiti |
Autenticazione degli utenti al sistema di elaborazione dati, ad es. identificazione tramite nome utente e password o autenticazione a 2 fattori |
Regole per l'assegnazione della password |
Password personale. |
Almeno 10 caratteri, inclusi caratteri speciali/numeri, maiuscole e minuscole |
Gestione dei diritti |
Registrazione degli accessi |
Assegnazione da parte degli utenti stessi |
Scadenza dopo un determinato periodo di tempo |
Blocco di accesso dopo tre tentativi falliti |
Divieto di inoltro a terzi |
Regole in caso di assenza (congedo, malattia ecc.) |
Blocco delle ultime 5 password utilizzate |
Blocco immediato delle autorizzazioni alla cessione delle funzioni di un dipendente |
Verifica periodica della validità delle autorizzazioni (annualmente) |
Blocco delle postazioni di lavoro con schermo in caso di assenza con sistema in funzione (protezione con password per screen saver dopo 5-15 min, a seconda del rischio di uso improprio) |
Isolamento delle reti interne dagli accessi esterni (firewall, crittografia VPN) |
3. Controllo dei diritti di accesso:
L'obiettivo del controllo dei diritti d’accesso è che i dipendenti e i terzi autorizzati possano accedere ai dati solo nell'ambito dei loro diritti di accesso. Inoltre, occorre garantire che i dati personali non possano essere letti, copiati, modificati o rimossi (cancellati) senza autorizzazione. Ciò vale sia per i dati memorizzati nei sistemi di elaborazione dati sia per i dati memorizzati su supporti di dati leggibili a computer o su carta.
Requisiti |
Creazione di un profilo utente, ovvero determinazione dei diritti di accesso ai dati personali oggetto di trattamento |
Diritti di accesso differenziati per la lettura, la modifica o l'eliminazione di dati |
Assegnazione dei diritti di accesso ai dipendenti e agli ausiliari secondo il principio minimo; l'accesso alle applicazioni e ai componenti del sistema è consentito solo se tale accesso è richiesto per la specifica attività. |
Creazione e attuazione di una politica dei diritti di accesso • Impostazione dei diritti di amministratore |
Gestione dei diritti di accesso da parte dell'amministratore di sistema |
Crittografia di tutti i dispositivi (smartphone, notebook ecc.) |
Crittografia del trasferimento delle e-mail |
Screen saver |
Separazione delle operazioni di prova e di produzione |
Configurazione delle apparecchiature informatiche utilizzate in modo tale che tutti i servizi e i componenti che non sono necessari per lo svolgimento dei servizi siano disattivati. Verifica annuale della corretta configurazione |
Il rilascio dei diritti di accesso deve essere documentato in modo comprensibile e comprendere una fase di approvazione. |
Smaltimento dei supporti di dati che non sono più necessari in conformità del rispettivo stato dell'arte in conformità con le norme applicabili (DIN 66399:2012) o commissionare a un Fornitore di servizi specializzato nello smaltimento di supporti di dati per il loro smaltimento, che distruggerà i supporti di dati con lo stesso livello di sicurezza o un livello superiore. I supporti di dati destinati allo smaltimento devono essere protetti con misure appropriate contro l'accesso non autorizzato durante la conservazione e il trasporto. |
Smaltimento dei rifiuti (ad esempio errori di stampa di liste di lavoro, lettere di accompagnamento ecc.) in conformità con la protezione dei dati per mezzo di un trituratore con un livello di sicurezza P-4 in conformità con DIN 66399:2012, o commissionare un Fornitore di servizi specializzato nella triturazione di documenti con lo smaltimento, che distruggerà i documenti con lo stesso livello di sicurezza o un livello di sicurezza superiore. |
Esclusione dell'uso privato di Internet per i dipendenti che accedono contemporaneamente ai dati del Committente. |
Esclusione dell'uso privato dell'account e-mail aziendale per i dipendenti che elaborano contemporaneamente i dati del Committente. |
4. Controllo di separazione:
In base al requisito di separazione, i dati raccolti per diverse finalità devono essere trattati separatamente (anche: requisito di non concatenabilità). Ciò al fine di garantire che la finalità dei dati personali sia attuata attraverso misure organizzative e tecniche. Il requisito della separazione nel contesto del trattamento dei dati da parte di Responsabili è di particolare importanza se, ad esempio, i dati di più Committenti sono memorizzati su un unico sistema. Se il requisito di separazione non può essere raggiunto con misure tecniche, come il software di controllo dei diritti di accesso, è necessaria una memorizzazione separata.
Requisiti |
Politica dei diritti di accesso con determinazione dei diritti di accesso |
Database abilitato per i Clienti |
Obiettivo di protezione: Integrità
Deve essere garantito che i processi e i sistemi informatici siano costantemente conformi alle specifiche specificate, in modo che i dati da trattare con essi rimangano intatti, completi e aggiornati. Le informazioni devono essere corrette e complete nel contenuto, provenire dall'autore e possono essere modificate solo da persone autorizzate. Questo obiettivo di protezione richiede l'adozione di misure per garantire l'integrità dei dati durante il loro trasferimento. Inoltre, occorre garantire che le modifiche ai dati siano attribuibili anche all'iniziatore (controllo dell'inserimento).
5. Controllo di inoltro:
Sono incluse tutte le varianti dell’inoltro di dati personali per mezzo di un supporto dati o di una rete di comunicazione. Il controllo di inoltro ha lo scopo di impedire l'uso non autorizzato (lettura, copia, modifica o rimozione/cancellazione) dei dati durante il loro inoltro. Il termine inoltro comprende sia il trasferimento a terzi sia l'inoltro nell'ambito del trattamento dei dati da parte di Responsabili tra il Committente e il Contraente e all'interessato.
Requisiti |
Documentazione dei destinatari dei dati, dei metodi di trasporto /trasferimento, delle persone autorizzate a trasmettere i dati e dei dati da trasmettere |
Trasferimento autenticato e adeguatamente crittografato dei dati prima dell’inoltro in caso di metodi di trasferimento non protetti |
6. Controllo di inserimento:
Il controllo di inserimento ha lo scopo di documentare chi è responsabile di un inserimento di dati (non ammissibile) o errato. L'obiettivo è la verificabilità dell'immissione di dati personali nel sistema informatico, che comprende anche postazioni di lavoro individuali non collegate in rete, come i PC. L'immissione di dati da controllare comprende sia la memorizzazione iniziale sia la modifica e la cancellazione (rimozione) dei dati.
Requisiti |
Gestione di diritti di accesso a prova di audit (scritti, tracciabili) |
Registrazione dell'inserimento, della modifica o della cancellazione dei dati personali |
Regolamento relativo alle autorizzazioni di accesso ai dati di registro creati |
Utilizzo dei checksum |
Obiettivo di protezione: Disponibilità e resilienza
La disponibilità dei dati personali e l'accesso ad essi in caso di incidente fisico o tecnico devono essere ripristinati rapidamente. A tal fine, deve essere garantita la protezione dei dati contro la distruzione o la perdita accidentale. I possibili pericoli includono danni causati da acqua, fulmini, interruzioni di corrente, incendi, sabotaggi o furti. L'obiettivo di protezione della resilienza è quello di raggiungere una certa stabilità contro guasti e attacchi ai sistemi. Poiché questo requisito ha anche una rilevanza particolare quando si esternalizzano servizi (hosting di dati), qui sono elencati anche i requisiti per il controllo degli Incarichi.
7. Verifica disponibilità:
Nell'area del controllo della disponibilità esistono le seguenti misure per prevenire la perdita o la distruzione accidentale dei dati e per garantire un rapido ripristino della disponibilità dei dati personali in caso di incidente fisico o tecnico.
Requisiti |
Procedura di rilascio formalizzata per le nuove procedure informatiche e per i cambiamenti significativi nelle procedure vecchie |
Gruppo di continuità (UPS) |
Sistemi automatici di rivelazione incendi e fumi |
Estintore a CO2 in/di fronte alla sala server |
Backup dei database |
• Creazione di una politica di backup dell'inventario |
• Conservazione delle copie di backup in luogo sicuro (esternalizzazione) |
• Creazione di backup secondo il principio generazionale ad intervalli di tempo adeguati |
• Concetto di recupero per la ricostruzione di banche dati |
• Esecuzioni di test nella ricostruzione dei database |
Ridondanza di hardware, software e infrastrutture |
8. Controllo degli Incarichi:
Garanzia del trattamento dei dati da parte di Responsabili secondo le istruzioni. Il Contraente deve attenersi alle istruzioni impartitegli, mentre il Committente deve assicurarsi che le sue istruzioni siano chiare e inequivocabili e siano seguite.
Requisiti |
Monitoraggio del rispetto delle normative sulla sicurezza dei dati da parte dei Contraenti |
Notifica in caso di violazioni o sospetto che i requisiti di sicurezza dei dati siano insufficienti |
Obbligo dei dipendenti del Contraente di rispettare i requisiti di protezione dei dati |
Impartizione di istruzioni ai dipendenti in merito all'uso previsto dei dati nonché alla portata dei dati richiesti e da utilizzare per l'esecuzione del trattamento. |
9. Procedura di verifica periodica
Garantire costantemente il rispetto dei requisiti di protezione dei dati e di sicurezza informatica. Il Contraente deve controllare periodicamente e documentare che le specifiche contrattualmente previste siano rispettate.
Requisiti |
Introduzione di un sistema di assunzione di responsabilità e governance della sicurezza informatica (nella misura necessaria) |
Gestione della risposta agli incidenti |
Regole per il controllo dei processi di modifica delle procedure |
Segnalazione di incidenti di sicurezza rilevati durante l’esercizio |
Monitoraggio dell'efficacia delle misure attuate almeno una volta all'anno |
Impostazione predefinita sicura e sufficiente per i server, attraverso la quale è possibile eseguire un riavvio sicuro del sistema server nei tempi pianificati |
*****
PARTE A
Allegato 5: Conferma della conformità alla sicurezza dei dati
Conferma
Per l'attuazione dei requisiti di sicurezza dei dati da parte del Responsabile del trattamento
Il Contraente conferma di aver implementato i requisiti di sicurezza dei dati specificati dal Committente nell'Allegato 4 prima dell'inizio del trattamento dei dati e si è anche convinto di ciò nell'ambito di una verifica.
Parte B
ACCORDO DEI CONTITOLARI DEL TRATTAMENTO
Preambolo
L'utilizzo della piattaforma WBG per l’Affiliate Marketing richiede una cooperazione nella condivisione del lavoro tra WBG e rispettivamente Editore Affiliato e Inserzionista nella misura descritta di seguito (“Cooperazione”), nonché una Cooperazione tra Editore Affiliato e Inserzionista in conformità con l’art. 26 del GDPR rilevante ai sensi del GDPR (v. Parte D ACCORDO DEI CONTITOLARI DEL TRATTAMENTO). A tal fine, le Parti concedono reciprocamente l'accesso a determinati dati personali o li raccolgono e trattano nel corso della cooperazione.
Il presente Accordo è concluso tra l’Inserzionista e WBG. Inoltre, l’Inserzionista e l'Editore Xxxxxxxxx incaricato concordano un ulteriore ACCORDO DEI CONTITOLARI DEL TRATTAMENTO (ai sensi della Parte C). Questo Accordo viene concluso anche nei casi in cui gli Inserzionisti utilizzano determinati Editori Affiliati per il posizionamento di annunci/annunci pubblicitari.
Le Parti definiscono ulteriormente nella presente Parte B la portata della cooperazione, gli obblighi reciproci delle Parti e i loro rispettivi ruoli e responsabilità per quanto riguarda il rispetto dei rispettivi obblighi in materia di protezione dei dati.
1. Ambito della Cooperazione
Nell'ambito della Cooperazione, i Titolari agiranno in qualità di Contitolari. I ruoli dei Titolari e le relative mansioni sono specificati più dettagliatamente nell'Allegato 1. Qualora una Parte sia l'unico Titolare di un'operazione di trattamento dei dati, tale Parte attuerà tutte le disposizioni pertinenti in materia di protezione dei dati sotto la propria responsabilità. Tuttavia, tali procedure di trattamento dei dati non sono oggetto del presente Accordo.
Il trattamento congiunto dei dati e il tipo di dati personali raccolti e trattati nell'ambito della Cooperazione sono specificati nell'Allegato 1.
2. Obblighi dei Titolari del trattamento, Responsabili del trattamento
2.1 I Titolari del trattamento effettuano il trattamento dei dati personali in conformità alle disposizioni in materia delle leggi applicabili in materia di protezione dei dati. Entrambe le Parti e l’Editore Affiliato sono congiuntamente responsabili del rispetto delle leggi applicabili in materia di protezione dei dati in relazione al trattamento congiunto dei dati. Nel rapporto interno si definisce l'ambito di responsabilità per il rispetto delle leggi applicabili in materia di protezione dei dati derivanti dall'Allegato 1, dove alle Parti sono state assegnate singole procedure di trattamento dei dati.
2.2 I Titolari del trattamento utilizzano i dati personali nell'ambito di questa Cooperazione per le finalità descritte nell'Allegato 1. Per ulteriori trattamenti di dati al di là della responsabilità congiunta, ciascun Titolare del trattamento si assume la responsabilità e deve rispettare i requisiti di protezione dei dati sotto la propria responsabilità.
Se le Parti trattano i dati personali oggetto del Contratto per finalità diverse da quelle descritte, le Parti si informeranno reciprocamente in modo adeguato, nella misura in cui ciò sia previsto obbligatoriamente dalla legge.
2.3 I Titolari del trattamento garantiscono che tutte le persone coinvolte nel trattamento dei dati personali si sono tenute e/o saranno tenute a mantenere la riservatezza e tratteranno i dati personali solo su istruzione del titolare del trattamento.
2.4 I dati personali devono essere corretti e, se necessario, aggiornati. La raccolta e il trattamento dei dati personali devono essere proporzionati e sostanziali alla finalità e nella misura necessaria ai fini del trasferimento e dell'ulteriore trattamento.
2.5 I Titolari del trattamento tratteranno i dati personali oggetto del Contratto avvalendosi di Responsabili del trattamento solo se con i rispettivi Responsabili del trattamento viene concluso un Contratto di trattamento dei dati corrispondente ai requisiti legali. I Titolari del trattamento inoltreranno i dati personali a terzi solo nella misura in cui ciò sia effettivamente necessario per adempiere agli obblighi derivanti dalla Cooperazione o altrimenti legalmente consentito e appropriato e informino l'altra Parte in merito agli ulteriori destinatari dei dati personali.
3. Misure tecniche e organizzative
Tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, delle circostanze e delle finalità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, i Titolari adottano misure tecniche e organizzative adeguate per garantire un livello di protezione commisurate al rischio, tra cui, tra l'altro, quanto segue, a seconda dei singoli casi:
• pseudonimizzazione e crittografia dei dati personali;
• la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza a lungo termine dei sistemi e dei servizi associati al trattamento;
• la facoltà di ripristinare rapidamente la disponibilità dei dati personali e l'accesso ad essi in caso di incidente fisico o tecnico;
• una procedura per la verifica periodica, la valutazione dell'efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento dei dati.
4. Responsabilità per il rispetto delle leggi sulla protezione dei dati e dei diritti dell'Interessato
4.1 Di norma, il Titolare del trattamento che ha inizialmente raccolto i dati personali in questione o è in rapporto contrattuale diretto con gli Interessati rimane il principale riferimento e contatto per gli Interessati. Di solito si tratta dell'Inserzionista che è in contatto diretto con il Cliente e ha raccolto i suoi dati per la stipula del Contratto.
4.2 Gli Interessati hanno diritti diversi riguardo ai dati personali trattati dai Titolari del trattamento. I Titolari del trattamento si impegnano ad adempiere ai rispettivi obblighi in conformità alle disposizioni delle leggi applicabili in materia di protezione dei dati.
4.3 Agli interessati devono essere fornite informazioni sul trattamento ai sensi degli artt. 13 e 14 del GDPR. Le Parti convengono che l’Editore Affiliato concede all'Interessato gli obblighi di informazione per il trattamento dei dati disciplinato nella Parte C, Allegato 1. Inoltre, è responsabilità degli Inserzionisti fornire agli Interessati tutte le informazioni necessarie sulle attività di trattamento dei dati elencate nell'Allegato 1 della Parte B in modo appropriato secondo la procedura descritta di seguito.
4.4 I Titolari del trattamento si sostengono reciprocamente nell'adempimento dei corrispondenti obblighi contrattuali e/o altri obblighi di legge e si forniscono le informazioni necessarie sulle relative attività di trattamento dei dati al fine di essere in grado di soddisfare tali requisiti. WBG fornirà informazioni apposite sulla protezione dei dati all'Inserzionista, il quale le fornirà ai propri Clienti finali allo scopo di informarli sulle attività di trattamento dei dati svolte da WBG nel corso dell'utilizzo dei servizi di Affiliate Marketing. Indipendentemente dalla fornitura delle suddette informazioni sulla protezione dei dati, l'Inserzionista rimane responsabile del rispetto di tutti gli obblighi di legge in capo a quest'ultimo, in particolare degli obblighi di informazione.
4.5 Xxxxx restando gli obblighi di legge, gli Interessati hanno il diritto di richiedere informazioni in merito al trattamento dei dati personali che li riguardano. Inoltre, le persone interessate dalla Cooperazione possono richiedere ai Titolari del trattamento di correggere, cancellare o limitare l'accesso ai loro dati. Nei casi disciplinati dalla legge, le persone interessate dalla Cooperazione possono opporsi in qualsiasi momento al trattamento dei loro dati personali nei confronti dei Titolari per motivi derivanti dalla loro particolare situazione.
Le Parti convengono che in linea di principio è responsabilità dell'Inserzionista rispondere alle rispettive richieste degli Interessati. Egli rimane il principale contatto per gli Interessati.
I Titolari del trattamento chiariscono inoltre che gli Interessati possono far valere i loro rispettivi diritti derivanti da o in relazione al trattamento dei dati personali nei confronti di qualsiasi Titolare, fatto salvo l'art. 82 GDPR.
I Titolari adotteranno tutte le misure necessarie e appropriate per soddisfare tali richieste e reclami per conto dell'altro Titolare e per cooperare di conseguenza in questo contesto. In ogni caso, i Titolari del trattamento devono fornire reciprocamente un supporto adeguato.
4.6 L’obbligo di segnalazione ai sensi degli artt. 33 e 34 GDPR è in capo al Titolare dell'incidente oggetto di segnalazione. In caso di incidente oggetto di segnalazione, le Parti si informeranno reciprocamente immediatamente in merito al trattamento oggetto del presente Contratto. L'altra Parte fornirà la migliore assistenza possibile alla persona responsabile della segnalazione dei fatti e dell'adozione di misure appropriate per proteggere gli Interessati. La decisione sulla necessità, il contenuto e la portata delle misure da adottare spetta al responsabile della segnalazione.
4.7 Inoltre, l'Inserzionista rimane responsabile di fornire agli Interessati informazioni sul contenuto essenziale delle normative ai sensi della PARTE B, se e nella misura in cui l'Interessato lo richiede e ciò è obbligatorio ai sensi della legge applicabile. Nel caso in cui gli Interessati richiedano tali informazioni, i Titolari del trattamento, previa consultazione, comunicheranno agli Interessati il presente paragrafo della PARTE B.
4.8 Ciascun Titolare del trattamento tiene sotto la propria responsabilità un elenco delle attività di trattamento. I titolari del trattamento si forniscono reciprocamente le informazioni necessarie per mantenere un corrispondente registro delle attività di trattamento.
4.9 I Titolari si prestano assistenza reciproca, se necessario e in misura adeguata, nella preparazione di una valutazione d'impatto della protezione dei dati e, se del caso e legalmente consentito, previa consultazione delle autorità di controllo. Su richiesta di un Titolare del trattamento, l'altro Titolare del trattamento deve fornire alla Parte richiedente le informazioni e i documenti necessari.
4.10 Ciascun Titolare sosterrà le proprie eventuali spese derivanti dall’adempimento agli obblighi di cui alla presente PARTE B. Ciò non pregiudica le disposizioni delle CG e le disposizioni supplementari relative all'utilizzo dei servizi di Affiliate Marketing.
5. Responsabilità
I Titolari sono responsabili gli uni verso gli altri in conformità con le disposizioni di legge.
6. Norme di conflitto
Le disposizioni delle CG relative all'utilizzo dei servizi di Affiliate Marketing sono sostituite da questa disposizione nella misura in cui il presente Accordo preveda disposizioni speciali. In caso contrario, permane l'applicabilità sussidiaria delle disposizioni sull'utilizzo dei servizi di Affiliate Marketing.
PARTE B
ALLEGATO 1: Ruoli, compiti e ambito di Cooperazione tra l’Inserzionista e WBG
WBG fornisce una piattaforma di Affiliate Marketing e per il suo utilizzo conclude Accordi (“CG”) separati rispettivamente con l'Inserzionista e l’Editore Affiliato. Il compito di WBG è quello di consentire la fatturazione delle vendite mediate tramite la piattaforma. L’Editore Affiliato avvia il trattamento dei dati pubblicando un annuncio fornito dagli Inserzionisti con un rispettivo codice di tracciamento. Di conseguenza, il potenziale Cliente viene inoltrato a una landing page preventivamente definita dall'Inserzionista.
L'Inserzionista trasmette i dati rilevanti per la fatturazione dei servizi dell’Editore Affiliato a WBG sulla base di un accordo contrattuale in modo che WBG possa adempiere ai propri obblighi contrattuali. Inoltre, WBG proporrà all'Inserzionista degli Editori Affiliati idonei per i servizi / prodotti offerti dall'Inserzionista. A tal fine, WBG propone gli Editori Affiliati dal database disponibile presso WBG, che, secondo le specifiche dell'Inserzionista, presumibilmente sono particolarmente adatti alle attività di marketing dell'Inserzionista. WBG fornisce inoltre agli Editori Affiliati una panoramica dei prodotti offerti dagli Inserzionisti tramite la piattaforma, insieme a dichiarazioni sull’entità delle vendite di tali prodotti. In questo modo, l’Editore Affiliato può selezionare gli annunci pubblicitari di suo interesse.
Nel dettaglio, i compiti nell'ambito della contitolarità sono così ripartiti:
Procedura | Scopo/ambito | Ruoli e compiti | Trattamento/accesso a categorie di dati / Interessati |
Trasferimento dei dati da parte degli Inserzionisti a WBG per la predisposizione delle fatture per gli Editori Affiliati / Inserzionisti e per la conservazione dei dati per l'adempimento degli obblighi di conservazione del diritto tributario e commerciale | Fornitura di dati sulle vendite mediate dagli Editori Affiliati tramite la piattaforma per la preparazione delle fatture all'Inserzionista/Editore Affiliato e l'adempimento degli obblighi fiscali e di diritto commerciale da parte di WBG. | Inserzionista: Trasferimento dei dati a WBG | Interessati: Cliente dell'Inserzionista che ha concluso un contratto con l'Inserzionista grazie all'intermediazione dell’Editore Affiliato: I dati interessati sono i seguenti: • dati di contatto dell'Inserzionista, • dati di contatto dell'agenzia (se presente) • ID Inserzionista • ID agenzia • ID programma • dati di fatturazione • dati del contratto • ID Editore Affiliato |
WBG: Trattamento dei dati forniti per le finalità di cui sopra. | |||
Valutazione dei dati delle transazioni per il controllo e l'ulteriore sviluppo della piattaforma nonché per la lotta contro gli abusi e le frodi | Utilizzo dei dati per rilevare abusi / frodi e — in forma anonima — per • la pianificazione delle capacità • l’ottimizzazione dei processi • la predisposizione di report sull'utilizzo della piattaforma e • l’ulteriore sviluppo della piattaforma | WBG: Coordinamento relativo ai dati da trasmettere a WBG per i scopi indicati (valutazione dei dati indicati) Inserzionista: Trasferimento dei dati a WBG | Interessati: Cliente dell'Inserzionista che ha concluso un contratto con l'Inserzionista grazie all'intermediazione dell’Editore Affiliato: I dati interessati sono i seguenti: • ID Inserzionista • ID agenzia • ID Editore Affiliato • ID programma • Dettagli del programma (Fee, Override, Commission) • dati di fatturazione • Dati delle transazioni e status della transazione • Time stamp / Timbro temporale |
Reporting per l’Editore Affiliato | Predisposizione di report per l’Editore Affiliato al fine di verificare i sales e ottimizzare le proprie attività di commercializzazione | WBG: Coordinamento relativo ai dati da trasmettere a WBG per queste finalità (predisposizione di report sulla base dei dati) Inserzionista: Trasferimento dei dati a WBG | Interessati: Cliente dell'Inserzionista che ha concluso un contratto con l'Inserzionista grazie all'intermediazione dell’Editore Affiliato: I dati interessati sono i seguenti: • dati di fatturazione • Codice del buono • Dati delle transazioni e status della transazione • Time stamp / Timbro temporale • Tipo dei dispositivi utilizzati dall'utente |
• Browser dei dispositivi utilizzati • Numero dei clic sulla visualizzazione • URL usato dall’utente | |||
Raccomandazioni all'Inserzionista in merito agli Editori Affiliati potenzialmente adatti | Selezione di Editori Affiliati potenzialmente adatti in base agli articoli ovvero servizi venduti/offerti dagli Inserzionisti. Panoramica degli Editori Affiliati così determinati per l'Inserzionista. | WBG: Selezione degli Editori Affiliati in base ai propri dati e fornitura di report / suggerimenti all'Inserzionista Inserzionista: Coordinamento con WBG per quanto riguarda i criteri di selezione degli Editori Affiliati e la messa a disposizione dei dati | Interessati: Editori Affiliati I dati interessati sono i seguenti: • ID Editore Affiliato • Campaign ID • Articoli • Numero di articoli proposti • Data di vendita |
Raccomandazioni all'Editore Affiliato in merito ad articoli potenzialmente adatti | Piattaforma di visualizzazione per Editori Affiliati che include i prodotti offerti dagli Inserzionisti attraverso la piattaforma WBG. Questo annuncio contiene inoltre informazioni sull'entità delle vendite di tali prodotti. In questo modo, l'Editore Affiliato può selezionare gli articoli/materiale pubblicitario di suo interesse. | Inserzionista: Coordinamento con WBG per quanto riguarda la selezione degli Editori Affiliati e la messa a disposizione dei dati | Interessati: Clienti degli Inserzionisti I dati utilizzati sono i seguenti: • Articoli • Data di vendita • Quantità del prodotto acquistato |
Inserzionista: Coordinamento con WBG per quanto riguarda l'anonimizzazione dei dati per la produzione di statistiche |
*****
Parte C
ACCORDO DEI CONTITOLARI DEL TRATTAMENTO
tra
Inserzionista e Editore Affiliato
Preambolo
L'utilizzo della piattaforma WBG per l’Affiliate Marketing richiede una cooperazione nella condivisione del lavoro tra WBG e rispettivamente Editore Affiliato e Inserzionista, nonché una Cooperazione tra Editore Affiliato e Inserzionista in conformità con l’art. 26 del GDPR rilevante ai sensi del GDPR. Le disposizioni della Parte C dell’ACCORDO DEI CONTITOLARI DEL TRATTAMENTO si applicano a questa cooperazione tra l'inserzionista e l'editore affiliato. Gli Inserzionisti e gli Editori Affiliati concederanno reciprocamente l'accesso a determinati dati personali o li raccoglieranno e tratteranno nel corso della cooperazione. Questo Accordo viene concluso anche nei casi in cui gli Inserzionisti utilizzano determinati Editori Affiliati per il posizionamento di annunci/annunci pubblicitari.
Le Parti definiscono ulteriormente nell’Allegato 1/1a del presente Accordo la portata della cooperazione, gli obblighi reciproci delle Parti e i loro rispettivi ruoli e responsabilità per quanto riguarda il rispetto dei rispettivi obblighi in materia di protezione dei dati.
1. Ambito della Cooperazione
Nell'ambito della Cooperazione, i Titolari agiranno in qualità di Contitolari. I ruoli dei Titolari e le relative mansioni sono specificati più dettagliatamente nell'Allegato 1/1a. Qualora una Parte sia l'unico Titolare di un'operazione di trattamento dei dati, tale Parte attuerà tutte le disposizioni pertinenti in materia di protezione dei dati sotto la propria responsabilità. Tuttavia, tali procedure di trattamento dei dati non sono oggetto del presente Accordo.
Il trattamento congiunto dei dati e il tipo di dati personali raccolti e trattati nell'ambito della Cooperazione sono specificati nell'Allegato 1/1°.
2. Obblighi dei Titolari del trattamento, Responsabili del trattamento
2.1 I Titolari del trattamento effettuano il trattamento dei dati personali in conformità alle disposizioni in materia delle leggi applicabili in materia di protezione dei dati. Entrambe le Parti e l’Editore Affiliato sono congiuntamente responsabili del rispetto delle leggi applicabili in materia di protezione dei dati in relazione al trattamento congiunto dei dati. Nel rapporto interno si definisce l’ambito di responsabilità per il rispetto delle leggi applicabili in materia di protezione dei dati derivanti dall’Allegato 1/1a, dove alle Parti sono state assegnate singole procedure di trattamento dei dati.
2.2 I Titolari del trattamento utilizzano i dati personali nell'ambito di questa Cooperazione per le finalità descritte nell'Allegato 1/1a. Per ulteriori trattamenti di dati al di là della responsabilità congiunta, ciascun Titolare del trattamento si assume la responsabilità e deve rispettare i requisiti di protezione dei dati sotto la propria responsabilità.
Se le Parti trattano i dati personali oggetto del Contratto per finalità diverse da quelle descritte, le Parti si informeranno reciprocamente in modo adeguato, nella misura in cui ciò sia previsto obbligatoriamente dalla legge.
2.3 I Titolari del trattamento garantiscono che tutte le persone coinvolte nel trattamento dei dati personali si sono tenute e/o saranno tenute a mantenere la riservatezza e tratteranno i dati personali solo su istruzione del titolare del trattamento.
2.4 I dati personali devono essere corretti e, se necessario, aggiornati. La raccolta e il trattamento dei dati personali devono essere proporzionati e sostanziali alla finalità e nella misura necessaria ai fini del trasferimento e dell'ulteriore trattamento.
2.5 I Titolari del trattamento tratteranno i dati personali oggetto del Contratto avvalendosi di Responsabili del trattamento solo se con i rispettivi Responsabili del trattamento viene concluso un Contratto di trattamento dei dati corrispondente ai requisiti legali. I Titolari del trattamento inoltreranno i dati personali a terzi solo nella misura in cui ciò sia effettivamente necessario per adempiere agli obblighi derivanti dalla Cooperazione o altrimenti legalmente consentito e appropriato e informino l'altra Parte in merito agli ulteriori destinatari dei dati personali.
3. Misure tecniche e organizzative
Tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, delle circostanze e delle finalità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, i Titolari adottano misure tecniche e organizzative adeguate per garantire un livello di protezione commisurate al rischio, tra cui, tra l'altro, quanto segue, a seconda dei singoli casi:
• pseudonimizzazione e crittografia dei dati personali;
• la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza a lungo termine dei sistemi e dei servizi associati al trattamento;
• la facoltà di ripristinare rapidamente la disponibilità dei dati personali e l'accesso ad essi in caso di incidente fisico o tecnico;
• una procedura per la verifica periodica, la valutazione dell'efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento dei dati.
4. Responsabilità per il rispetto delle leggi sulla protezione dei dati e dei diritti dell'Interessato
4.1 Di norma, il Titolare del trattamento che ha inizialmente raccolto i dati personali in questione o è in rapporto contrattuale diretto con gli Interessati rimane il principale riferimento e contatto per gli Interessati. Di solito si tratta dell'Inserzionista che è in contatto diretto con il Cliente e ha raccolto i suoi dati per la stipula del Contratto.
4.2 Gli Interessati hanno diritti diversi riguardo ai dati personali trattati dai Titolari del trattamento. I Titolari del trattamento si impegnano ad adempiere ai rispettivi obblighi in conformità alle disposizioni delle leggi applicabili in materia di protezione dei dati.
4.3 Agli interessati devono essere fornite informazioni sul trattamento ai sensi degli artt. 13 e 14 del GDPR. Le Parti convengono che l’Editore Affiliato concede all'Interessato gli obblighi di informazione per il trattamento dei dati disciplinato nella Parte C, Allegato 1/1a. Inoltre, è responsabilità degli Inserzionisti fornire agli Interessati tutte le informazioni necessarie sulle attività di trattamento dei dati elencate nell'Allegato 1 della Parte B in modo appropriato secondo la procedura descritta di seguito.
4.4 I Titolari del trattamento si sostengono reciprocamente nell'adempimento dei corrispondenti obblighi contrattuali e/o altri obblighi di legge e si forniscono le informazioni necessarie sulle relative attività di trattamento dei dati al fine di essere in grado di soddisfare tali requisiti. WBG fornirà informazioni apposite sulla protezione dei dati all'Inserzionista, il quale le fornirà ai propri Clienti finali allo scopo di informarli sulle attività di trattamento dei dati svolte da WBG nel corso dell'utilizzo dei servizi di Affiliate Marketing. Indipendentemente dalla fornitura delle suddette informazioni sulla protezione dei dati, l'Inserzionista rimane responsabile del rispetto di tutti gli obblighi di legge in capo a quest'ultimo, in particolare degli obblighi di informazione.
4.5 Xxxxx restando gli obblighi di legge, gli Interessati hanno il diritto di richiedere informazioni in merito al trattamento dei dati personali che li riguardano. Inoltre, le persone interessate dalla Cooperazione possono richiedere ai Titolari del trattamento di correggere, cancellare o limitare l'accesso ai loro dati. Nei casi disciplinati dalla legge, le persone interessate dalla Cooperazione possono opporsi in qualsiasi momento al trattamento dei loro dati personali nei confronti dei Titolari per motivi derivanti dalla loro particolare situazione.
Le Parti convengono che in linea di principio è responsabilità dell'Inserzionista rispondere alle rispettive richieste degli Interessati. Egli rimane il principale contatto per gli Interessati.
I Titolari del trattamento chiariscono inoltre che gli Interessati possono far valere i loro rispettivi diritti derivanti da o in relazione al trattamento dei dati personali nei confronti di qualsiasi Titolare, fatto salvo l'art. 82 GDPR.
I Titolari adotteranno tutte le misure necessarie e appropriate per soddisfare tali richieste e reclami per conto dell'altro Titolare e per cooperare di conseguenza in questo contesto. In ogni caso, i Titolari del trattamento devono fornire reciprocamente un supporto adeguato.
4.6 L’obbligo di segnalazione ai sensi degli artt. 33 e 34 GDPR è in capo al Titolare dell'incidente oggetto di segnalazione. In caso di incidente oggetto di segnalazione, le Parti si informeranno reciprocamente immediatamente in merito al trattamento oggetto del presente Contratto. L'altra Parte fornirà la migliore assistenza possibile alla persona responsabile della segnalazione dei fatti e dell'adozione di misure appropriate per proteggere gli Interessati. La decisione sulla necessità, il contenuto e la portata delle misure da adottare spetta al responsabile della segnalazione.
4.7 Inoltre, l'Inserzionista rimane responsabile di fornire agli Interessati informazioni sul contenuto essenziale delle normative ai sensi della PARTE B, se e nella misura in cui l'Interessato lo richiede e ciò è obbligatorio ai sensi della legge applicabile. Nel caso in cui gli Interessati richiedano tali informazioni, i Titolari del trattamento, previa consultazione, comunicheranno agli Interessati il presente paragrafo della PARTE B.
4.8 Ciascun Titolare del trattamento tiene sotto la propria responsabilità un elenco delle attività di trattamento. I titolari del trattamento si forniscono reciprocamente le informazioni necessarie per mantenere un corrispondente registro delle attività di trattamento.
4.9 I Titolari si prestano assistenza reciproca, se necessario e in misura adeguata, nella preparazione di una valutazione d'impatto della protezione dei dati e, se del caso e legalmente consentito, previa consultazione
delle autorità di controllo. Su richiesta di un Titolare del trattamento, l'altro Titolare del trattamento deve fornire alla Parte richiedente le informazioni e i documenti necessari.
4.10 Ciascun Titolare sosterrà le proprie eventuali spese derivanti dall’adempimento agli obblighi derivanti dal presente Accordo. Ciò non pregiudica le disposizioni delle CG tra la rispettiva Parte e Webgains e le disposizioni supplementari relative all'utilizzo dei servizi di Affiliate Marketing.
5. Responsabilità
I Titolari sono responsabili gli uni verso gli altri in conformità con le disposizioni di legge.
6. Norme di conflitto
Le disposizioni delle CG relative all'utilizzo dei servizi di Affiliate Marketing nei confronti di WBG sono sostituite da questa disposizione nella misura in cui il presente Accordo preveda disposizioni speciali. In caso contrario, permane l'applicabilità sussidiaria delle disposizioni sull'utilizzo dei servizi di Affiliate Marketing.
*****
PARTE C
ALLEGATO 1: Xxxxx, compiti e ambito di Cooperazione tra Inserzionista ed Editore Xxxxxxxxx, se incaricato dall’Inserzionista dell’intermediazione
WBG fornisce una piattaforma di Affiliate Marketing e per il suo utilizzo conclude Accordi (“CG”) separati rispettivamente con l'Inserzionista e l’Editore Affiliato. Il compito di WBG è quello di consentire la fatturazione delle vendite mediate tramite la piattaforma. L'Editore Affiliato avvia il trattamento dei dati pubblicando un annuncio fornito dagli Inserzionisti tramite la piattaforma di Affiliate Marketing con un rispettivo codice di tracciamento. Di conseguenza, i potenziali Clienti vengono indirizzati a una landing page preventivamente definita dagli Inserzionisti.
L'Inserzionista trasmette i dati rilevanti per la fatturazione dei servizi dell'Editore Affiliato a WBG sulla base di un accordo contrattuale apposito in modo che WBG possa adempiere ai propri obblighi contrattuali. Inoltre, WBG proporrà all'Inserzionista degli Editori Affiliati idonei per i servizi / prodotti offerti dall'Inserzionista. A tal fine, WBG propone gli Editori Affiliati dal database disponibile presso WBG, che, secondo le specifiche dell'Inserzionista, presumibilmente sono particolarmente adatti alle attività di marketing dell'Inserzionista.
Nel dettaglio, i compiti nell'ambito della contitolarità sono così ripartiti tra Inserzionista ed Editore Affiliato:
Procedura | Scopo/ambito | Ruoli e compiti | Trattamento/accesso a categorie di dati / Interessati |
Inoltro dell'utente da parte dell'Editore Affiliato dopo aver cliccato su un annuncio dell'Inserzionista sulla landing page collegata nel materiale pubblicitario | L'Editore Affiliato utilizza l'annuncio pubblicitario dell'Inserzionista con un codice di tracciamento a scopo pubblicitario (“Display”). Dopo aver cliccato sulla visualizzazione, l'utente viene reindirizzato alla landing page prevista | Editore Affiliato: Inserimento del materiale pubblicitario pixelato (Ad) nell’ambito di attività promozionali proprie e inoltro della richiesta dopo aver cliccato su un annuncio per selezionare la landing page dell'Inserzionista | Soggetto Interessato: potenziali clienti dell’Inserzionista Si fa riferimento ai seguenti dati: • Indirizzo IP, • Referrer, • Tipo di browser, • Timbro temporale (timestamp), • ID Programma • ID Editore Affiliato • ID Probabilistico • ID Evento • Value • Reference-ID |
Inserzionista: Messa a disposizione di ad con script |
ALLEGATO 1A: Xxxxx, compiti e ambito di collaborazione tra Inserzionista ed Editore Affiliato nella prenotazione del servizio di Post View Tracking.
La presente ALLEGATO 1a si aggiunge all'ALLEGATO 1: Ruoli, responsabilità e ambito di cooperazione tra Inserzionista ed Editore della Parte B - Contratto di controllo congiunto tra Editore Affiliato e Inserzionista.
WBG fornisce una piattaforma di marketing di affiliazione e stipula accordi separati per il suo utilizzo rispettivamente con l'Inserzionista e l'Editore Affiliato. L'utilizzo della piattaforma WBG per il marketing di affiliazione richiede una collaborazione basata sulla suddivisione dei compiti tra WBG, l'Editore Affiliato e l'Inserzionista nella misura descritta di seguito, nonché una collaborazione tra Editore Xxxxxxxxx e Inserzionista rilevante ai sensi della legge sulla protezione dei dati ai sensi dell'art. 26 GDPR.
In dettaglio, i compiti nell'ambito del controllo congiunto sono distribuiti come segue:
Procedura | Scopo / Ambito di applicazione | Ruoli e compiti | Trattamento/accesso a categorie di dati/ Soggetti interessati |
Fornitura del tracking code per la valutazione del comportamento degli utenti sul sito web dell'Editore Affiliato | Creazione dei requisiti tecnici per il tracciamento / per ordine | Inserzionista: WBG crea e trasferisce il tracking code come fornitore dell'inserzionista. Editore Affiliato: destinatario del tracking code | Azioni tecniche preparatorie che non includono l'elaborazione dei dati |
Attivazione del tracking code dopo la consegna dell'annuncio | Creazione dei requisiti tecnici per il tracciamento / per ordine | Inserzionista: Iniziazione Editore Affiliato: Integrazione del tracking code nell'annuncio | Azioni tecniche preparatorie che non includono l'elaborazione dei dati |
Raccolta dei dati dell'utente sul sito web dell'Editore Affiliato dopo la consegna dell'annuncio | Misurazione del successo e dell'efficacia di un annuncio / dopo il consenso dell'utente in ogni caso | Inserzionista: Mandante per il monitoraggio dell'attività Editore: Mandatario per il monitoraggio delle attività | Visitatori del sito web e parti interessate dell'Inserzionista a cui vengono mostrati gli annunci sul sito web dell'Editore Affiliato / Dati utente • Click ID • ID programma • ID campagna • Timestamp / Timbro temporale |
Trasferimento dei dati degli utenti agli Inserzionisti | Misurazione del successo e dell’efficacia di un annuncio / dopo il consenso dell’utente in ogni caso | Inserzionista: destinatario dei dati degli utenti Editore: Trasmettitore dei dati degli utenti | Visitatori del sito web e parti interessate dell’inserzionista a cui vengono mostrati annunci sul sito web dell’editore / Dati utente: • Click ID • ID programma • ID campagna • Timestamp / Timbro temporale |
*****