CUSTOMER DATA PROCESSING ADDENDUM
CUSTOMER DATA PROCESSING ADDENDUM
Il presente Data Processing Addendum (il “DPA”) e i relativi Allegati si applicano quando HP agisce in qualita’ di Responsabile del trattamento e tratta i Dati personali del Cliente per conto dello stesso al fine di fornire i Servizi disciplinati dal contratto in essere tra HP e il Cliente (il “Contratto di fornitura di servizi”). Il presente DPA non si applica quando HP e il Cliente sono considerati Titolari del trattamento a sè stanti. I termini aventi iniziale maiuscola non specificamente definiti nel presente documento avranno il significato attribuito nel Contratto di fornitura di servizi. In caso di conflitto tra le condizioni del Contratto di fornitura di servizi relative al trattamento dei Dati personali e il presente DPA, quest’ultimo prevarrà.
1 DEFINIZIONI
1.1 Per “Cliente” si intende il cliente finale dei Servizi HP;
1.2 Per “Dati personali del Cliente” si intendono i Dati personali in relazione ai quali il Cliente è il Titolare del trattamento e che sono trattati da HP quale Responsabile del trattamento o dai suoi Sub- responsabili del trattamento nel corso della fornitura dei Servizi;
1.3 Per “Titolare del trattamento” si intende la persona fisica o giuridica, l'autorità pubblica, l’agenzia o altro organismo che, singolarmente o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei Dati personali; quando le finalità e i mezzi del trattamento sono determinati dalla Legge applicabile in materia di privacy e protezione dei dati, il Titolare del trattamento o i criteri per la sua nomina saranno quelli previsti da tale tale Legge applicabile;
1.4 Per “Responsabile del trattamento” si intende qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che tratta Dati personali per conto di un Titolare del trattamento o su incarico di un altro Responsabile del trattamento che agisce per conto di un Titolare del trattamento;
1.5 Per “Leggi in materia di privacy e protezione dei dati” si intendono tutte le leggi e normative vigenti e future applicabili in materia di trattamento, sicurezza, protezione e conservazione di Dati personali e in materia di privacy che possono esistere nelle giurisdizioni pertinenti, ivi incluse, a titolo esemplificativo ma non esaustivo, la direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, qualsiasi legge o normativa nazionale di attuazione delle suddette direttive, il GDPR (se applicabile), e tutte le leggi in materia di protezione dei dati della Norvegia, dell’Xxxxxxx, xxx Xxxxxxxxxxxxx, xxxxx Xxxxxxxx x xxx Xxxxx Xxxxx (xxx volta che il Regno Unito cessa di far parte dell'UE) e qualsiasi emendamento o sostituzione a tali leggi e normative;
1.6 “Interessato” avrà il significato attribuito a tale termine nelle Leggi applicabili in materia di privacy e protezione dei dati e comprenderà, come minimo, qualsiasi persona fisica identificata o identificabile a cui i Dati personali si riferiscono;
1.7 Per “UE” si intendono l’Unione europea e i suoi Stati membri collettivamente;
1.8 “Paese europeo” indica uno Stato membro dell'UE, la Norvegia, l'Islanda, il Liechtenstein, la Svizzera e il Regno Unito, una volta che il Regno Unito avrà cessato di essere uno Stato membro dell'UE;
1.9 Per “Clausole contrattuali tipo dell’UE” si intendono le “Standard contractual clauses” o “Clausole contrattuali tipo dell’UE” per il trasferimento dei Dati personali ai Responsabili del trattamento di cui alla decisione della Commissione 2010/87/UE o ad una successiva decisione;
1.10 Per “Scudo UE-USA per la privacy” si intende l’accordo quadro denominato “Privacy Shield UE-USA”, o “Scudo UE-USA per la privacy”, stabilito dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione Europea come modificato o sostituito di volta in volta;
1.11 “GDPR” indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
1.12 “Gruppo HP” indica HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) e tutte le entità affiliate a partecipazione maggioritaria di HP o controllate da HP, indipendentemente dalla giurisdizione di costituzione o in cui sono operative;
1.13 Per “Dati personali” si intende qualsiasi informazione relativa ad un individuo esistente identificato o identificabile o come altrimenti definiti dalle leggi applicabili in materia di privacy e protezione dei dati. Si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento ad un nome, un numero di identificazione, dati di localizzazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale;
1.14 “Incidente relativo ai dati personali (Data Breach)” avrà il significato attribuito dalle leggi applicabili in materia di privacy e protezione dei dati ai termini “incidente di sicurezza”, “violazione della sicurezza” o “violazione di dati personali”, ma includerà qualsiasi circostanza in cui HP venga al corrente che i Dati personali del Cliente sono stati effettivamente o probabilmente resi noti attraverso accessi non autorizzati, divulgati, alterati, smarriti, distrutti o utilizzati da persone non autorizzate, in un modo non autorizzato;
1.15 “trattamento”, “trattamenti”, “trattare”, o “trattati” indicano qualsiasi operazione o insieme di operazioni eseguite sui Dati personali con o senza l'ausilio di processi automatizzati, tra cui, a titolo esemplificativo ma non esaustivo, l’accesso, la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, la memorizzazione, l’adattamento o la modifica, l'estrazione, la consultazione, l'utilizzo, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, il blocco, la limitazione, la cancellazione o la distruzione di Dati personali e qualsiasi definizione contenuta nelle Leggi applicabili in materia di privacy e protezione dei dati nella misura in cui tali definizioni superino la presente definizione;
1.16 “Paese terzo” indica tutti i Paesi diversi dai Paesi europei e da altri Paesi in relazione ai quali esiste una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 6, della Direttiva europea sulla protezione dei dati o dell'articolo 45 del GDPR;
1.17 “Servizi” indica i servizi, compresi i prodotti e il supporto, forniti da HP ai sensi del Contratto di fornitura di servizi;
1.18 “Contratto di fornitura di servizi” indica il contratto tra HP e il Cliente per l'acquisto di Servizi da HP; e
1.19 Per “Sub-responsabile del trattamento” si intende qualsiasi entità incaricata da HP o da qualsiasi altro Sub-responsabile del trattamento di HP che riceve Dati personali del Cliente per l'esecuzione di attività di trattamento per conto del Cliente.
2 AMBITO DI APPLICAZIONE E CONFORMITÀ ALLE LEGGE
2.1 Il presente DPA si applica solo al trattamento di Dati personali del Cliente da parte di HP in relazione alla fornitura dei Servizi da parte di HP quando quest’ultima agisce come Responsabile del trattamento per conto del Cliente, Titolare del trattamento. Il presente DPA non si applica quando HP e il Cliente sono considerati Titolari del trattamento a sè stanti.
2.2 Le categorie di Interessati, le tipologie di Dati personali del Cliente trattati e le finalità del trattamento sono indicati nell'Allegato 1 del presente DPA. HP tratterà Dati personali del Cliente per la durata del Contratto di fornitura di Servizi (o più a lungo nella misura prevista dalla legge applicabile).
2.3 Il Cliente, nell’utilizzo dei Servizi di HP, sarà responsabile in via esclusiva del rispetto di tutte le Leggi applicabili in materia di privacy e protezione dei dati per quanto riguarda l’accuratezza, la qualità e la liceità dei Dati personali del Cliente che devono essere trattati da HP in relazione ai Servizi. Il Cliente dovrà inoltre garantire che le istruzioni fornite ad HP in relazione al trattamento dei Dati personali del Cliente saranno conformi a tutte le Leggi applicabili in materia di privacy e protezione dei dati e non causeranno la violazione da parte di HP dei suoi obblighi ai sensi di dette leggi.
2.4 Se il Cliente utilizza i Servizi per trattare qualsiasi categoria di Dati personali non espressamente coperta dal presente DPA, il Cliente agisce a proprio rischio e HP non sarà responsabile per alcuna eventuale difformità alle leggi relativa a tale utilizzo.
2.5 Quando HP, o un dipendente di HP, divulga al Cliente Dati personali di propri dipendenti o gli fornisce Dati personali, che il Cliente tratterà per gestire il proprio utilizzo dei Servizi, quest’ultimo dovrà trattare tali Dati personali in conformità alle sue politiche sulla privacy e alle Leggi applicabili in materia di privacy e protezione dei dati. Tali divulgazioni devono essere effettuate da HP solo se legittime ai fini della gestione del contratto, della gestione dei servizi, dello screenning del background del Cliente o per ragioni di sicurezza.
3 OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI
3.1 Nonostante qualsivoglia disposizione contraria contenuta nel Contratto di fornitura di Servizi, in relazione ai Dati personali del Cliente, HP dovrà:
3.1.1 trattare i Dati personali del Cliente solo in conformità alle istruzioni scritte fornite dal Cliente (che possono essere specifiche o generiche in base a quanto stabilito nel Contratto di fornitura di Servizi o come altrimenti notificato dal Cliente). Fermo restando quanto precede, HP può trattare i Dati personali del Cliente come richiesto ai sensi della legge applicabile. In tale situazione, HP dovrà adottare misure ragionevoli per informare il Cliente di tale obbligo prima del trattamento dei dati, a meno che la legge non proibisca di fornire tale avviso;
3.1.2 garantire che abbia accesso ai Dati personali solo il personale autorizzato adeguatamente formato sulla protezione e il trattamento degli stessi e che sia vincolato a rispettare la riservatezza dei Dati personali del Cliente;
3.1.3 attuare adeguate misure tecniche ed organizzative per proteggere i Dati personali del Cliente dalla distruzione non autorizzata o illecita, dalla perdita, dall'alterazione, dalla divulgazione o dall'accesso non autorizzato. Tali misure dovranno essere adeguate ai danni che potrebbero derivare da qualsiasi trattamento non autorizzato o illecito, perdita accidentale, distruzione, danneggiamento o furto di Dati personali del Cliente e tenendo conto della natura dei Dati personali del Cliente oggetto di protezione;
3.1.4 senza indebito ritardo e nella misura consentita dalla legge, notificare al Cliente qualsiasi eventuale richiesta da parte degli Interessati che intendono esercitare i loro diritti ai sensi delle Leggi applicabili in materia di privacy e protezione dei dati e, su richiesta scritta e a spese del Cliente, tenendo conto della natura del trattamento, assistere il Cliente implementando adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, al fine di fornire risposta a tali richieste. Nella misura in cui i Dati personali del Cliente non siano accessibili al Cliente tramite i Servizi forniti nell'ambito del Contratto di fornitura di servizi, HP dovrà, se legalmente consentito e su richiesta del Cliente, compiere sforzi commerciali ragionevoli per assistere il Cliente nel rispondere a tali richieste se le risposte a tali richieste sono prescritte dalle Leggi applicabili in materia di privacy e protezione dei dati;
3.1.5 su richiesta scritta e a spese del Cliente, tenendo conto della natura del trattamento e delle informazioni a disposizione di HP, assistere il Cliente nell’adempimento dei suoi obblighi ai sensi degli articoli da 32 a 36 del GDPR o di disposizioni equivalenti in base alle Leggi applicabili in materia di privacy e protezione dei dati. HP si riserva il diritto di addebitare i costi per l'assistenza fornita ai sensi della presente clausola 3.1.5 e delle clausole 3.1.3 e 3.1.4; e
3.1.6 su richiesta scritta del Cliente, cancellare o restituire al Cliente i Dati personali del Cliente alla conclusione della fornitura dei Servizi, a meno che la legge applicabile non richieda la conservazione dei Dati personali del Cliente.
4 NOMINA DI SUB-RESPONSABILI DEL TRATTAMENTO
4.1 Il Cliente autorizza HP a trasferire i Dati personali del Cliente o a rendere accessibili i Dati personali del Cliente a società del Gruppo HP e a terzi come Sub-responsabili del trattamento (e a consentire a Sub- responsabili del trattamento di nominare ulteriori sub-responsabili in conformità alla clausola 4.1) ai fini della prestazione dei Servizi o per altre finalità identificate nella sezione ‘Attività di trattamento’ dell'Allegato 1. HP rimarrà responsabile del rispetto degli obblighi di cui al presente DPA da parte del suo Sub-responsabile del trattamento. HP deve garantire che qualsiasi Sub-responsabile del trattamento al quale trasferisca i Dati personali del Cliente stipuli accordi scritti con HP che richiedano che i Sub-responsabili del trattamento rispettino condizioni con un livello di tutela non inferiore a quello previsto nel presente DPA. HP dovrà rendere disponibile al Cliente l'elenco attuale dei Sub- responsabili del trattamento per i Servizi compresi nel Contratto di fornitura di servizi.
4.2 HP può, in qualsiasi momento e senza specifica giustificazione, nominare un nuovo Sub-responsabile del trattamento a condizione che sia data comunicazione scritta al Cliente con preavviso di dieci (10) giorni e che quest’ultimo non si opponga legittimamente a tale modifica entro detto termine. Le opposizioni legittime devono contenere motivi ragionevoli e documentati relativi all’inosservanza da parte di un Sub-responsabile del trattamento delle Leggi applicabili in materia di privacy e protezione dei dati. Qualora HP, secondo il suo ragionevole giudizio, ritenesse tali opposizioni legittime, dovrà astenersi dall'utilizzare tale Sub-responsabile del trattamento nel contesto del trattamento dei Dati personali del Cliente. In tali casi, HP dovrà compiere ragionevoli sforzi al fine di (i) rendere disponibile al Cliente una modifica dei Servizi di HP o (ii) raccomandare una modifica alla configurazione o all'uso dei Servizi del Cliente al fine di evitare il trattamento dei Dati personali del Cliente da parte del Sub- responsabile del trattamento contestato. Se HP non è in grado di rendere disponibile tale modifica entro un ragionevole periodo di tempo, che non dovrà superare i novanta (90) giorni, il Cliente potrà, mediante comunicazione scritta a HP, risolvere il Servizio che non può essere fornito da HP senza l'utilizzo del Sub-responsabile del trattamento contestato.
5 INCIDENTI RELATIVI A DATI PERSONALI
5.1 Qualora HP venisse a conoscenza di qualsiasi Incidente relativo ai Dati personali che coinvolga Dati personali del Cliente, la stessa dovrà informare il Cliente, senza indebito ritardo, ed adottare le misure che il Cliente possa ragionevolmente richiedere, entro i tempi ragionevolmente richiesti dal medesimo, per porre rimedio all'Incidente relativo ai Dati Personali e per fornire le ulteriori informazioni che il Cliente possa ragionevolmente richiedere. HP si riserva il diritto di addebitare il costo per l'assistenza fornita ai sensi della presente clausola 5.1 a meno che e nella misura in cui il Cliente non dimostri che tale assistenza è richiesta a causa dell’inosservanza da parte di HP del presente DPA.
6 TRASFERIMENTI INTERNAZIONALI DI DATI PERSONALI DEL CLIENTE
6.1 HP può trasferire Dati personali del Cliente al di fuori del Paese in cui sono stati originariamente raccolti, a condizione che tale trasferimento sia richiesto in relazione ai Servizi e sia effettuato in conformità alle Leggi applicabili in materia di privacy e protezione dei dati.
6.2 Disposizioni specifiche europee
6.2.1 Nella misura in cui i Dati Personali del Cliente siano trasferiti da un Paese europeo a un Paese terzo, HP rende disponibili i meccanismi di trasferimento elencati di seguito che si applicheranno a tali trasferimenti in conformità alle Leggi applicabili in materia di privacy e protezione dei dati, in base all’ordine di priorità stabilito nella Clausola 6.2.2:
6.2.1.1 “Scudo UE-USA per la privacy” (Privacy Shield): HP è certificata ai sensi della normativa di cui al c.d. Scudo UE-USA per la privacy per i Dati personali del Cliente e garantisce che resterà certificata e informerà prontamente il Cliente se HP non rinnovasse o perdesse le certificazioni o modificasse le certificazioni in modo che il trattamento dei Dati personali del Cliente non rientrerà più nell'ambito della certificazione.
6.2.1.2 “Clausole contrattuali tipo dell’UE” (Standard Contractual clauses): Le Clausole contrattuali tipo dell'UE sono incorporate integralmente al presente DPA e, nella misura applicabile, HP dovrà garantire che i suoi Sub-responsabili del trattamento rispettino gli obblighi di un importatore di dati (come definiti nelle clausole contrattuali tipo dell'UE). In caso di conflitto tra il presente DPA e le Clausole contrattuali tipo dell'UE, prevarranno i termini delle clausole contrattuali tipo dell'UE.
6.2.2 Nel caso in cui i Servizi siano coperti da più di un meccanismo di trasferimento, il trasferimento dei Dati personali del Cliente sarà soggetto ad un unico meccanismo di trasferimento secondo il seguente ordine di priorità: 1) la certificazione Privacy Shield UE-USA di HP; e 2) le Clausole contrattuali tipo dell'UE.
7 AUDIT
7.1 Su richiesta scritta del Cliente, HP dovrà fornire al Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalle Leggi applicabili in materia di privacy e protezione dei dati a condizione che HP non abbia alcun obbligo di fornire informazioni commerciali riservate. Con il limite massimo di una volta all’anno e a spese del Cliente, HP dovrà inoltre consentire e fornire assistenza alle verifiche e ispezioni da parte del Cliente o di un soggetto terzo autorizzato dal Cliente
che non potrà essere un concorrente di HP. La portata di tali audit, comprese le condizioni di riservatezza, dovrà essere previamente concordata tra le parti.
8 RESPONSABILITÀ
8.1 La responsabilità di HP derivante da o correlata al trattamento dei Dati personali del Cliente in conformità al presente DPA (sia a titolo contrattuale, per atto illecito o in base a qualsiasi altra fonte di responsabilità) è soggetta alle disposizioni sulla limitazione della responsabilità come disciplinate dal Contratto di fornitura di servizi.
Allegato 1
Dettagli del trattamento
HP può aggiornare periodicamente il presente Allegato 1 al fine di riflettere eventuali variazioni nelle attività di trattamento.
Categorie di Interessati
Dipendenti del Cliente, rappresentanti, agenti e subappaltatori del Cliente. Tipo di Dati personali
I Dati personali del Cliente trattati da HP in relazione alla fornitura dei Servizi sono stabiliti e controllati dal Cliente come Titolare del trattamento e in conformità allo statement of work e/o ordine di acquisto/modifica applicabile, ma possono includere a titolo esemplificativo e non esaustivo:
Dati relativi al contatto – quali nome e recapiti lavorativi (numero di telefono, indirizzo di posta elettronica e indirizzo della sede di lavoro);
Dati relativi a credenziali di sicurezza – quali identificazione del dipendente o numero di badge;
Dati relativi all’utilizzo del prodotto – quali pagine stampate, modalità di stampa, supporto utilizzato, marca dell’inchiostro o toner, tipo di file stampato (.pdf, .jpg, ecc.), applicazione utilizzata per la stampa (Word, Excel, Adobe Photoshop, ecc.), dimensioni del file, data e ora, e utilizzo e stato di altre forniture per stampanti;
Dati relativi alle prestazioni – Eventi di stampa, funzionalità e avvisi utilizzati quali avvisi di “esaurimento inchiostro”, utilizzo di schede fotografiche, fax, scanner, server Web incorporato e informazioni tecniche aggiuntive che variano in base al prodotto;
Dati relativi al dispositivo – Informazioni riguardanti il computer, stampanti e/o dispositivi quali il sistema operativo, quantità di memoria, regione, lingua, fuso orario, numero di modello, data di avvio iniziale, versione del dispositivo, data di produzione del dispositivo, versione del browser, produttore del computer, porta di connessione, stato della garanzia, identificatori di dispositivo univoci, identificatori pubblicitari e informazioni tecniche aggiuntive che variano in base al prodotto;
Dati relativi alle applicazioni – Informazioni relative ad applicazioni HP quali luogo, lingua, versioni software, scelte di condivisione dati e dettagli di aggiornamento; e
Altri Dati personali forniti da un Interessato quando interagisce di persona, online, telefonicamente o via posta con centri di assistenza, help desk o altri canali di supporto clienti per facilitare la consegna di Servizi HP e rispondere alle richieste del Cliente e/o dell’Interessato.
Attività di trattamento
I Dati personali del Cliente trattati in relazione al Contratto di fornitura di servizi dovranno essere utilizzati da HP per gestire il rapporto con il Cliente e fornire Servizi al Cliente. HP può trattare i Dati personali del Cliente per:
fornire servizi di fleet management come Managed Print Services e Device as a Service;
mantenere dati accurati di contatto e di registrazione per fornire servizi completi di assistenza e manutenzione, inclusi l’assistenza care-pack e il supporto esteso della garanzia e facilitare le riparazioni e le restituzioni;
facilitare l'accesso a portali per ordinare e completare ordini di prodotti o servizi, ai fini della gestione di account e dell'organizzazione di spedizioni e consegne;
migliorare le prestazioni e il funzionamento di prodotti, di soluzioni, di servizi e del supporto, incluso il supporto in garanzia e gli aggiornamenti e gli avvisi puntuali del firmware e del software per garantire il funzionamento ininterrotto del dispositivo o del servizio;
fornire comunicazioni amministrative al Cliente riguardo ai Servizi. Esempi di comunicazioni amministrative possono includere risposte alle richieste del Cliente, comunicazioni relative al completamento del servizio o alla garanzia, notifiche di richiami di sicurezza o aggiornamenti aziendali applicabili relativi a fusioni, acquisizioni o cessioni;
mantenere l'integrità e la sicurezza dei siti web, dei prodotti, delle funzionalità e dei servizi HP e prevenire e rilevare minacce alla sicurezza, frodi o altre attività criminali o dannose che potrebbero compromettere le informazioni del Cliente;
verificare l'identità del Cliente, eventualmente richiedendo il nome di chi chiama e l'identificazione del dipendente o il numero di badge per la prestazione dei servizi di manutenzione da remoto di HP;
ottemperare a leggi e normative applicabili, ordini di tribunali, richieste governative e di autorità preposte all’applicazione della legge e proteggere dipendenti e altri clienti e risolvere controversie; e
offrire un'esperienza personalizzata, personalizzare i servizi e le comunicazioni e creare raccomandazioni.
CLAUSOLE CONTRATTUALI TIPO («INCARICATI DEL TRATTAMENTO»)
Le presenti Clausole contrattuali tipo (responsabili del trattamento) sono allegate a e costituiscono parte integrante del Contratto sulla protezione dei dati tra HP e il Cliente.
Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
Nome dell’organizzazione esportatrice: Si veda l’ Appendice 1
Indirizzo:.....................................................................................................................................................................................................
Tel. .......................................................;Fax ....................................................;. E‐mail: ...............................................................
Altre informazioni identificative:................................................................................................................................................
(«l’esportatore»)
e
Nome dell’organizzazione importatrice: Si veda l’ Appendice 1
Indirizzo:....................................................................................................................................................................................
Tel. ..........................................................;Fax ..................................................;. E‐mail: ...........................................................
Altre informazioni identificative:...............................................................................................................................
(«l’importatore»)
denominato ciascuno «parte» e congiuntamente «parti»,
HANNO CONVENUTO le seguenti clausole contrattuali («le clausole») al fine di prestare garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall’esportatore all’importatore dei dati personali indicati nell’appendice 1.
Ai fini delle presenti clausole:
Clausola 1
Definizioni
a) I termini «dati personali», «categorie particolari di dati», «trattamento», «responsabile del trattamento»,
«incaricato del trattamento», «interessato/persona interessata» e «autorità di controllo» hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1;
b) con «esportatore» s’intende il responsabile del trattamento che trasferisce i dati personali;
c) con «importatore» s’intende l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’espor‐ tatore dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;
d) con «subincaricato» s’intende l’incaricato del trattamento designato dall’importatore o da altro suo subincaricato, che s’impegni a ricevere dall’importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole e del subcontratto scritto;
e) con «normativa sulla protezione dei dati» si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è stabilito l’esportatore;
f) con «misure tecniche e organizzative di sicurezza» s’intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’ac‐ cesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
1 Le parti hanno facoltà di avvalersi delle definizioni di cui alla direttiva 95/46/CE nell’ambito della presente clausola se ritenuto preferibile ai fini del contratto.
Clausola 2
Particolari del trasferimento
I particolari del trasferimento, segnatamente le categorie particolari di dati personali, sono indicati nell’appendice 1 che costituisce parte integrante delle presenti clausole.
Clausola 3
Clausola del terzo beneficiario
1. L’interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da
b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.
2. L’interessato può far valere, nei confronti dell’importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore.
3. L’interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale.
Clausola 4
Obblighi dell’esportatore
L’esportatore dichiara e garantisce quanto segue:
a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;
b) che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;
c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2;
d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione;
e) che provvederà all’osservanza delle misure di sicurezza;
f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;
g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;
h) che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le informazioni commerciali eventualmente contenute nelle clausole o nel contratto;
i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;
j) che provvederà all’osservanza della clausola 4, lettere da a) ad i).
Clausola 5
Obblighi dell’importatore2
L’importatore dichiara e garantisce quanto segue:
a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;
d) che comunicherà prontamente all’esportatore:
i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunica‐ zione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini;
ii) qualsiasi accesso accidentale o non autorizzato; e
iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
f) che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;
g) che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto;
h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;
i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;
j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.
Clausola 6
Responsabilità
1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.
2. Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore perviolazione diuno degliobblighidicuialla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore.
2 Disposizioni vincolanti della legislazione nazionale applicabile all’importatore che non vanno oltre quanto è necessario in una società democratica sulla base di uno degli interessi di cui all’articolo 13, paragrafo 1, della direttiva 95/46/CE; in altri termini, le restrizioni necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca, dell’accer tamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante interesse economico o finanziario dello Stato, della protezione della persona cui si riferiscono i dati o dei diritti o delle libertà altrui, non sono in contraddizione con le clausole contrattuali tipo. Costituiscono esempi di disposizioni vincolanti che non vanno oltre quanto è necessario in una società democratica le sanzioni internazionalmente riconosciute, gli obblighi di informazione in materia fiscale o contro il riciclaggio di capitali.
L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità.
3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
Clausola 7
Mediazione e giurisdizione
1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:
a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo;
b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore.
2. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.
Clausola 8
Collaborazione con le autorità di controllo
1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati.
2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati.
3. L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera b).
Clausola 9
Legge applicabile
Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.
Clausola 10
Modifica del contratto
Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole commerciale ritenute necessarie, purché non siano in contrasto con le clausole.
Clausola 11
Subcontratto
1. L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole3. L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto.
2. Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, afavoredell’interessatochenonsiaingradodiproporrel’azione dirisarcimento dicui alla clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla
3 Tale prescrizione può considerarsi soddisfatta qualora il subincaricato sottoscriva il contratto concluso tra l’esportatore e l’importatore ai sensi della presente decisione.
legge dello Stato membro in cui è stabilito l’esportatore.
4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall’importatore a norma della clausola 5, lettera j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.
Clausola 12
Obblighi al termine dell’attività di trattamento dei dati personali
1. Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.
2. L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.
Appendice 1
Alle clausole contrattuali tipo
La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti
(Gli Stati membri hanno facoltà di integrare o specificare ulteriormente, conformemente alle rispettive procedure nazio‐ nali, qualsiasi altra informazione che debba fare parte della presente appendice)
Esportatore
(specificare brevemente le attività pertinenti al trasferimento):
L'esportatore dei dati è la persona giuridica che ha sottoscritto il Contratto di fornitura di servizi e tutte le entità affiliate del Cliente costituite all'interno di un Paese europeo che hanno acquistato Servizi in conformità al Contratto di fornitura di servizi.
Importatore
(specificare brevemente le attività pertinenti al trasferimento):
HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) unitamente a tutte le sue entità affiliate di proprietà di HP inc. e controllate a maggioranza da HP inc., indipendentemente dalla giurisdizione di costituzione o di funzionamento (il “Gruppo HP”) come fornitori dei Servizi stabiliti nel Contratto di fornitura di servizi applicabile.
Interessati
I dati personali trasferiti interessano le seguenti categorie di persone (specificare): Si veda l’Allegato 1.
Categorie di dati oggetto di trasferimento
I dati trasferiti interessano le seguenti categorie di dati (specificare):
Si veda l’Allegato 1.
Categorie particolari di dati (se del caso) Il trasferimento interessa le seguenti categorie particolari di dati (specificare): Si veda l’Allegato 1.
Trattamento
I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare): Si veda l’Allegato 1.
Appendice 2
alle clausole contrattuali tipo
La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti
Descrizione delle misure tecniche e organizzative di sicurezza attuate dall’importatore in conformità della clausola 4, lettera d), e della clausola 5, lettera c) (o del documento/atto legislativo allegato):
L'importatore dei dati dovrà mantenere misure di tutela amministrative, fisiche e tecniche per la protezione, la sicurezza e la riservatezza dei Dati personali trattati in relazione ai Servizi forniti ai sensi del Contratto di fornitura di servizi applicabile. Le garanzie specifiche possono variare a seconda della natura dei Servizi forniti ai sensi del Contratto di fornitura di servizi.