Data Processing Agreement
Data Processing Agreement
Nome della parte 1 | NTT | |
Indirizzo fisico | ||
Indirizzo postale | ||
Numero di telefono | ||
Indirizzo e-mail | ||
Firma (soggetto che garantisce di essere autorizzato e legittimato alla firma) | In nome e per conto di NTT Italia | |
Nome del firmatario | ||
Titolo del firmatario | ||
Data di firma |
Nome della parte 21 | Cliente | |
Indirizzo fisico | ||
Indirizzo postale | ||
Numero di telefono | ||
Indirizzo e-mail | ||
Firma (soggetto che garantisce di essere autorizzato e legittimato alla firma) | In nome e per conto del Cliente | |
Nome del firmatario | ||
Titolo del firmatario | ||
Data di firma |
Con la firma di cui sopra, ciascuna parte riconosce di aver letto e compreso attentamente il presente Accordo per il Trattamento dei Dati e accetta di essere vincolata dai termini del medesimo. Se è stata utilizzata una firma elettronica per firmare il presente Accordo per il Trattamento dei Dati (qualunque sia il formato della firma elettronica), ciascuna parte accetta che tale metodo di firma sia esplicativo della propria intenzione di essere vincolata dal presente Accordo per il Trattamento dei Dati come se fosse firmato manualmente da ciascuna di esse.
Contents
5 Tipologia di dati personali e finalità di trattamento 4
7 Rapporti contrattuali con sub-responsabili 4
12 Trasferimenti transfrontalieri di dati personali in generale 6
13 Trasferimenti transfrontalieri di dati personali in applicazione del GDPR e del UK GDPR 7
14 Restituzione o distruzione di dati personali 7
16 Comunicazioni e notifiche 8
Allegato A Punti di contatto. Referenti 9
Allegato B Dettagli del Trattamento 10
Allegato C Misure Tecniche e Organizzative 12
Allegato D Clausole Contrattuali Tipo UK Regno Unito (responsabili) – Trasferimenti dal Xxxxx Xxxxx 00
Xxxxxxxx X Xxxxxxx XXXX Xxxxx Xxxxx 20
Allegato F Clausole Contrattuali Tipo UE Unione Europea (responsabili) – Trasferimenti da UE/SEE 22
1 Introduzione
1.1 NTT Ltd. è una società leader nel settore dei servizi tecnologici a livello globale. NTT Italia S.p.A. (" NTT") è una controllata di NTT Ltd. che fornisce servizi ICT (“ Servizi”) al Cliente in base all’Accordo [inserire nome/estremi del contratto] ("Contratto con il Cliente").
1.2 Nella misura in cui NTT sia tenuta a trattare dati personali per conto del Cliente, ai sensi del Contratto con il Cliente, NTT lo farà conformemente alle condizioni stabilite nel presente Accordo per il Trattamento d ei Dati (“Data Processing Agreement” o "DPA").
2 Definizioni
2.1 ‘EC Decision 2021’ è la decisione della Commissione Europea (EU) 2021/914.
2.2 ‘EU SCCs’ sono le Condizioni Contrattuali Tipo predisposte dalla Commissione Europea per il trasferimento dei dati personali dall’Unione Europea a paesi terzi extra UE, esplicitate nell’Annex della EC Decision 2021, e riportate nel Modulo 2, Parte 1, nell’0 al presente DPA e nel Modulo 4, Parte 2 nel citato 0.
2.3 ‘GDPR’ è il Regolamento Generale sulla Protezione dei Dati (Regolamento (EU) 2016/679).
2.4 ‘Restricted Transfer’ si intende un trasferimento di dati personali da uno Stato membro dello Spazio Economico Europeo (“SEE” or “EEA”), dal Regno Unito o dalla Svizzera a uno Stato al di fuori dell’Unione Europea, dello SEE, del Regno Unito o della Svizzera.
2.5 ‘Standard Contractual Clauses’ or ‘SCCs’ sono le Condizioni Contrattuali Tipo e Condizioni Contrattuali Standard adottate dall’UE e dal Regno Unito che possono essere aggiornate, integrate o sostituite di volta in volta ai sensi delle Leggi Applicabili sulla Protezione dei Dati, come meccanismo riconosciuto di trasferimento o trattamento (laddove applicabile).
2.6 ‘UK GDPR’ è il GDPR implementato nel Regno Unito.
2.7 ‘UK GDPR Terms’ indica quei termini richiesti ai sensi del GDPR del Regno Unito che non sono compresi nelle SCC, come indicato nell'0.
2.8 ‘UK SCCs’ indica le Condizioni Contrattuali Tipo descritte nell'Articolo 46(2)(c) del GDPR e approvate dalla Decisione della Commissione UE 2010/87/UE del 5 Febbraio nell’0.
2.9 Termini minuscoli. I seguenti termini minuscoli utilizzati ma non definiti nel presente DPA, quali " titolare del trattamento", "soggetto interessato", "dati personali", "responsabile del trattamento" e "trattamento", avranno lo stesso significato di cui all’articolo 4 del GDPR, indipendentemente dal fatto che il GDPR si applichi o meno.
3 Legge applicabile
3.1 NTT può essere tenuta a trattare dati personali per conto del Cliente in base a (i) a qualsiasi legislazione applicabile incluse (b) leggi e regolamenti che attuano il GDPR e (c) UK GDPR, come sopra definito (i provvedimenti sopra citati sono congiuntamente individuati come "Leggi applicabili sulla Protezione dei Dati").
3.2 A meno che non sia espressamente stabilito altrimenti, in caso di conflitto tra (a) il presente DPA; e (b) le SCCs o (c) lo UK GDPR (nella misura in cui si applichi lo UK GDPR in relazione ai presenti termini contrattuali), prevarrà la legge locale applicabile indicata in (b).
3.3 Nella misura in cui NTT è un responsabile del trattamento dei dati personali soggetto al GDPR e/o a llo UK GDPR, gli obblighi stabiliti dall'articolo 28 (3) del GDPR (o dello UK GDPR, qualora applicabile) per i contratti tra titolari e responsabili del trattamento che regolano il trattamento dei dati personali sono disciplinati nelle clausole 5.1, 6.1, 6.2, 6.4, 7, 8.1, 8.2, 9.1, 9.2, da 10 a 14 incluse. Le disposizioni dello UK GDPR disciplineranno le attività di trattamento in relazione a qualsiasi termine previsto dallo UK GDPR, che non sia altrimenti disciplinato dal presente DPA.
4 Durata e cessazione
4.1 Il DPA decorrerà dalla data in cui è firmato dalla Parte che l'ha sottoscritto per ultimo e rimarrà in vigore fino a quando il Contratto con il Cliente produrrà i propri effetti ovvero finché NTT Italia conserverà o tratterà dati personali relativi al Contratto con il Cliente, in suo possesso o sotto il suo controllo .
4.2 NTT tratterà i dati personali per conto del Cliente fino alla data di scadenza o di risoluzione del Contratto con il Cliente, a meno che il Cliente non impartisca istruzioni diverse per iscritto, o finché tali dati personali non siano restituiti o distrutti secondo le istruzioni scritte del Cliente ovvero per la maggior durata di conservazione richiesta per rispettare obblighi legali ai quali NTT sia soggetta
5 Tipologie di dati personali e finalità di trattamento
5.1 Qualora la Legge applicabile sulla Protezione dei Dati sia il GDPR o lo UK GDPR:
(a) il Cliente e NTT riconoscono che il Cliente è il titolare del trattamento e NTT è il responsabile o sub- responsabile del trattamento.
(b) i dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità di trattamento pe r le quali i dati personali vengono trattati per conto del titolare sono specificate in 0.
5.2 Il Cliente mantiene il controllo dei dati personali e rimane responsabile degli obblighi di conformità previsti dalle Leggi applicabili sulla Protezione dei Dati, compresi la comunicazione di tutte le necessarie informative, l'ottenimento di eventuali autorizzazioni e/o consensi richiesti e le istruzioni per il tr attamento impartite a NTT
5.3 L’0 descrive le finalità del trattamento e le categorie di soggetti interessati e dati personali che NTT può trattare/elaborare per erogare i servizi descritti nel Contratto con il Cliente (" Scopi e finalità di business").
6 Obblighi di NTT
6.1 Istruzioni del Cliente. Quando NTT agisce come responsabile del trattamento dei dati personali, tratterà i dati personali solo sulla base di istruzioni documentate del Cliente, provenienti dalle sole categori e di persone che il Cliente autorizza a dare istruzioni a NTT, per il trattamento dei dati personali, come identificate nell’0 (“Persone Autorizzate”) e nella misura in cui ciò sia necessario per soddisfare gli Scopi e finalità di business. NTT non tratterà i dati personali per altri scopi o in modo non conforme al presente DPA o alle Leggi applicabili sulla Protezione dei Dati. Qualora NTT ritenga ragionevolmente che una specifica attività di trattamento, al di fuori dell’ambito delle istruzioni del Cliente, debba conformarsi ad un obbligo giuridico cui è soggetta NTT, quest’ultima deve informare il Cliente di tale obbligo giuridico e chiedere l’autorizzazione esplicita del Cliente prima di procedere a tale trattamento. NTT non tratterà mai i dati personali in modo incompatibile con le istruzioni documentate del Cliente.
6.2 Titolare autonomo. Nella misura in cui NTT utilizza o comunque elabora i dati personali in relazione alle legittime operazioni di business di NTT, la medesima NTT agirà in qualità di titolare autonomo e sarà responsabile del rispetto di tutte le leggi applicabili e degli obblighi e adempimenti attribuiti ai titolari del trattamento.
6.3 Compliance. NTT assisterà ragionevolmente il Cliente nell’adempimento degli obblighi di conformità previsti a carico del Cliente stesso ai sensi delle Leggi applicabili sulla Protezione dei Dati, tenendo conto della natura del trattamento eseguito da NTT e delle informazioni messe a disposizione della stessa, anche in relazione ai diritti dei soggetti interessati, alle valutazioni d’impatto sulla protezione dei dati e alla comunicazione e consultazione con le autorità preposte alla protezione dei dati ai sensi delle Leggi applicabili sulla Protezione dei Dati. NTT informerà immediatamente il Cliente qualora, a suo parere, una qualsiasi istruzione violi le leggi applicabili sulla protezione dei dati. La notifica non costituirà un obbligo generale per NTT di monitorare o interpretare le leggi applicabili al Cliente e tale notifica non costituirà un parere legale al Cliente
6.4 Divulgazione. NTT non divulgherà dati personali se non: (1) a seguito di indicazione scritta del Cliente; (2) secondo quanto descritto nel presente DPA; o (3), secondo quanto previsto/richiesto dalla legge. Qualora NTT sia autorizzata dalla legge a farlo, dopo aver ricevuto una richiesta da un'autorità pubblica, NTT farà tutto il possibile per informare il Cliente e tenterà di reindirizzare l'autorità pubblica a richiedere i dati personali direttamente al Cliente
7 Rapporti contrattuali con sub-responsabili
7.1 Elenco dei sub-responsabili. Un elenco dei sub-responsabili di NTT che la stessa NTT, quale responsabile del trattamento, ingaggia direttamente per Servizi specifici è disponibile su richiesta d el Cliente al referente NTT indicato nell’0, ovvero è indicato nell’Allegato B ovvero è comunque reso disponibile sul sito web di NTT.
7.2 Autorizzazione generale. Il Cliente fornisce la propria autorizzazione generale all'impiego da parte di NTT di sub-responsabili, comprese le consociate attuali e future di NTT Ltd., per fornire alcuni o tutti i Servizi e trattare i dati personali per suo conto. Nella misura massima consentita dalle Leggi applicabili sulla Protezione dei Dati, il presente DPA costituirà autorizzazione scritta generale del Cliente a NTT ad affidare il trattamento dei dati personali all’elenco concordato di sub-responsabili.
7.3 Modifiche. NTT comunicherà per iscritto al Cliente eventuali modifiche previste all'elenco concordato dei sub - responsabili con almeno 14 giorni di anticipo, dando così al Cliente l'opportunità di opporsi a tali modifiche in modo motivato. Tale opposizione deve essere presentata per iscritto al contatto NTT di cui all' 0 entro 10 giorni dalla notifica.
7.4 Prestazioni. NTT è responsabile del rispetto da parte dei propri sub-responsabili degli obblighi di NTT previsti dal presente DPA.
8 Obblighi del Cliente
8.1 Richieste degli interessati. . Se NTT riceve una richiesta, da un soggetto interessato del Cliente che vuole esercitare uno o più dei suoi diritti ai sensi delle Leggi applicabili sulla Protezione dei Dati, in relazione a un Servizio per il quale NTT è responsabile o sub-responsabile, NTT reindirizzerà l’interessato a presentare la richiesta direttamente al Cliente. Il Cliente sarà responsabile della risposta a qualsiasi richiesta di questo tipo. NTT si conformerà alle ragionevoli richieste del Cliente di assistere il medesimo nella ri sposta alla richiesta di un interessato. Il Cliente si farà carico dei costi ragionevoli sostenuti da NTT per fornire tale assistenza .
8.2 Richieste del Cliente. NTT deve soddisfare prontamente qualsiasi richiesta del Cliente o istruzione da parte di Persone Autorizzate che riguardino (a) richieste a NTT di modificare, trasferire, cancellare o altrimenti trattare i dati personali, o arrestare, mitigare o porre rimedio a qualsiasi trattamento non autorizzato; (b) obblighi del Cliente in materia di sicurezza del trattamento; (c) obblighi di consultazione preventiva del Cliente prescritti dalle Leggi applicabili sulla Protezione dei Dati, considerando la natura del trattamento e le informazioni di cui dispone NTT.
8.3 Garanzia. Il Cliente garantisce (a) di avere tutti i diritti necessari per fornire i dati personali a NTT per il trattamento da eseguire in relazione ai Servizi affidati e (b) che l'utilizzo previsto da parte di NTT dei dati personali per gli Scopi e le finalità di business, secondo quanto specificamente indicato dal Cliente medesimo, sarà conforme a tutte le Leggi applicabili sulla Protezione dei Dati.
8.4 Informativa sulla privacy notices. Nella misura richiesta dalle Leggi applicabili sulla Protezione dei Dati, il Cliente è responsabile di assicurare che tutte le necessarie informative sulla privacy siano fornite agli interessati e, a meno che un'altra base giuridica stabilita nelle Leggi applicabili sulla Protezione dei Dati sostenga la legittimità del trattamento, che siano ottenute tutti i necessari consensi degli interessati al trattamento e che sia conservata la registrazione di tali consensi. Qualora un interessato revochi tale consenso, il Cliente ha la responsabilità di comunicare a NTT tale revoca e NTT rimane responsabile dell’attuazione delle istruzioni del Cliente relative al trattamento di tali dati personali.
9 Sicurezza
9.1 Misure tecniche e organizzative. NTT attuerà opportune misure tecniche e organizzative ("TOMs – Technical and Organizational Measures") per assicurare la sicurezza dei dati personali secondo quanto prescritto dalle Leggi applicabili sulla Protezione dei Dati, incluse le misure di sicurezza indicate nel l’0. Questo ricomprende la protezione dei dati personali contro violazioni di sicurezza che possano comportare accidentale o intenzionale distruzione, perdita, alterazione, rivelazione non autorizzata o accesso abusivo ai dati personali.
9.2 Accesso ai dati personali. NTT consentirà l'accesso ai dati personali oggetto di trattamento al proprio personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del Contratto con il Cliente. NTT assicurerà che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano adeguati obblighi legali di riservatezza.
9.3 Trattative sui costi. Le parti negozieranno in buona fede il costo, se del caso, per implementare modifiche sostanziali conseguenti a specifici requisiti di sicurezza aggiornati, stabiliti dalle Leggi applicabili sulla Protezione dei Dati applicabili o definiti dall’autorità per la protezione dei dati della giurisdizione competente (in tal caso NTT sosterrebbe le responsabilità di tali costi nella misura richiesta dal le Leggi applicabili sulla protezione dei dati o definita dall'autorità per la protezione dei dati).
10 Audits
10.1 Certificazioni. NTT manterrà tutte le certificazioni che è contrattualmente obbligata a mantenere e rispettare come espressamente stabilito nel Contratto con il Cliente. NTT manterrà aggiornate tali certificazioni come ragionevolmente richiesto.
10.2 Evidenza. Su richiesta scritta del Cliente, NTT fornirà al medesimo l’evidenza delle suddette certificazioni relative al trattamento dei dati personali, comprese le certificazioni applicabili o i rapporti di verifica del proprio ambiente informatico e/o dei data center fisici che utilizza nel trattamento dei dati personali per fornire i Servizi, in modo che il Cliente possa ragionevolmente verificare la conformità di NTT ai propri obblighi ai sensi del presente DPA.
10.3 Conformità alle TOMs. NTT può anche fare affidamento su tali certificazioni per dimostrare la conformità ai requisiti di cui alla clausola 9.1.
10.4 Informazioni riservate. Qualsiasi evidenza fornita da NTT è da considerarsi informazione riservata ed è soggetta alle limitazioni di non divulgazione e distribuzione di NTT e/o di qualsiasi s ub-responsabile di NTT.
10.5 Audit del Cliente. Il Cliente avrà il diritto di effettuare audit sui locali e sulle attività di NTT utilizzati per il trattamento dei dati personali del Cliente, se:
(a) NTT non ha fornito prove sufficienti delle misure adottate ai sensi del precedente articolo 9; ovvero
(b) un audit è formalmente richiesto da un’autorità competente per la protezione dei dati; o
(c) le Leggi applicabili sulla Protezione dei Dati riconoscono al Cliente un diritto di audit diretto (e a condizione che il Cliente effettui l’audit solo una volta in un periodo di dodici mesi, a meno che le Leggi sulla Protezione dei Dati richiedano verifiche più frequenti).
Ai fini dell’applicazione della presente clausola, NTT Ltd e le sue affiliate sono da considerarsi terzi beneficiari ex GDPR.
10.6 Processo di audit del Cliente. L'audit del Cliente può essere effettuato da una terza parte (che non deve essere concorrente di NTT e/o deve essere adeguatamente qualificata o indipendente), che dovrà prima sottoscrivere un accordo di riservatezza con NTT. Il Cliente deve fornire un preavviso di almeno 60 giorni rispetto alla data prevista di audit, salvo che le Leggi applicabili aulla Protezione dei Dati o un'autorità competente per la protezione dei dati non richiedano un preavviso più breve. NTT fornirà la propria collaborazione nello svoglimento dell’audit e permetterà agli auditor del Cliente un accesso ragionevole a tutti i locali e dispositivi che sono coinvolti nel trattamento dei dati personali. Gli audit del Cliente saranno limitati nel tempo a un massimo di tre giorni lavorativi. Al di là di tali restrizioni, le parti utilizzeranno le certificazioni correnti o altri rapporti di audit per evitare o ridurre al minimo gli audit ripetitivi. Il Cliente sosterrà i costi di qualsiasi audit richiesto dal medesimo, a meno che l'audit non riveli una violazione sostanziale da parte di NTT del presente DPA, nel qual caso NTT sosterrà i costi dell'audit. Se l’audit accerta che NTT ha violato gli obblighi che incombono in virtù del presente DPA, NTT porrà prontamente rimedio alla violazione a proprie spese.
11 Gestione degli incidenti
11.1 Incidenti sulla sicurezza. Se NTT viene a conoscenza di una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l 'alterazione, la divulgazione non autorizzata o l'accesso a dati personali del Cliente durante l'elaborazione da parte di NTT (ciascuno di tali eventi di seguito "Incidente di Sicurezza"), NTT dovrà tempestivamente e senza indebito ritardo:
(a) informare il Cliente dell'Incidente di Sicurezza;
(b) indagare sull'Incidente di Sicurezza e fornire al Cliente informazioni sufficienti in proposito, compresa l'eventualità che l'Incidente di Sicurezza riguardi dati personali del Cliente;
(c) adottare misure ragionevoli per attenuare gli effetti e ridurre al minimo i danni derivanti dall’Incidente di Sicurezza.
11.2 Notifica di incidente di sicurezza. La notifica o le notifiche di Incidenti di Sicurezza avverranno in conformità a quanto previsto all’articolo Error! Reference source not found.. Qualora l'Incidente di Sicurezza riguardi d ati personali del Cliente, NTT si adopererà in modo ragionevole per consentire al Cliente di svolgere un'indagine approfondita sull'incidente, di formulare una risposta corretta e di adottare ulteriori misure adeguate in relazione all'Incidente di Sicurezza. NTT compirà ogni sforzo ragionevole per assistere il Cliente nell’adempimento dell’obbligo previsto dalle Leggi applicabili sulla Protezione dei Dati di notificare alla competente autorità per la protezione dei dati e agli interessati i fatti relativi a tale incidente di sicurezza. La notifica o la risposta di NTT a un Incidente di Sicurezza ai sensi del presente articolo non potranno mai essere intese come riconoscimento da parte di NTT di colpa o responsabilità in relazione all’incidente medesimo.
11.3 Altri incidenti. NTT informerà immediatamente il Cliente qualora venga a conoscenza di:
(a) una denuncia o richiesta relativa all’esercizio dei diritti di un soggetto interessato ai sensi delle Leggi applicabili in materia di Protezione dei Dati in relazione ai dati personali che NTT tratta per conto del Cliente e dei suoi interessati; o
(b) un'indagine o un sequestro di dati personali del Cliente da parte di funzionari governativi o un'indicazione specifica che tale indagine o sequestro è imminente; o
(c) laddove, secondo il parere di NTT, l’attuazione di un’istruzione ricevuta dal Cliente in relazione al trattamento di dati personali violi le leggi applicabili cui sono soggetti il Cliente o NTT.
11.4 Notifiche al Cliente. Tutte le notifiche effettuate al Cliente a norma del presente articolo 11, saranno indirizzate al referente del Cliente indicato nell'0, utilizzando uno dei metodi di contatto ivi indicato.
12 Trasferimenti transfrontalieri di dati personali in generale
12.1 Previsioni generali. Fatte 12.2 Fatte salve le altre disposizioni del presente articolo 12 e dell’articolo 13 , i dati personali che NTT tratta per conto del Cliente possono essere trasferiti, archiviati ed elaborati in qualsiasi paese in cui NTT o i suoi sub-responsabili
12.2 Restrizioni al trasferimento. Se una Legge applicabile sulla Protezione dei Dati limita i trasferimenti transfrontalieri di dati personali, il Cliente trasferirà tali dati personali a NTT solo se NTT, attraverso la sua posizione o la partecipazione a un meccanismo di trasferimento transfrontaliero valido ai sensi delle Leggi applicabili sulla Protezione dei dati applicabili, può ricevere legalmente tali dati personali.
12.3 Modifica del meccanismo di trasferimento legale . Nella misura in cui NTT fa affidamento sulle Clausole Contrattuali Tipo (“SCC”) o su altri meccanismi legali specifici per regolamentare i trasferimenti internazionali di dati e tali meccanismi siano successivamente modificati, revocati o ritenuti non validi da un tribunale della
giurisdizione competente, il Cliente e NTT conncordano di cooperare in buona fede sospendendo tempestivamente il trasferimento o individuando un idoneo meccanismo alternativo che possa legittimamente supportare il trasferimento.
13 Trasferimenti transfrontalieri di dati personali in applicazione del GDPR e del UK GDPR
13.1 Laddove il GDPR o lo UK GDPR siano le Leggi applicabili sulla Protezione dei Dati, NTT può trattare o consentire il trattamento dei dati personali nell’erogaizone dei Servizi, in relazione a un Restricted Transfer alle seguenti condizioni:
(a) Decisione di adeguatezza. Qualora la Commissione Europea o l’Autorità britannica competente abbia constatato che il paese in questione garantisca un'adeguata protezione dei diritti dei soggetti interessati.
(b) Garanzie adeguate. In assenza di una decisione di adeguatezza, ove siano state fornite garanzie adeguate dal titolare del trattamento o dal responsabile del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati e che ricevono i dati personali tramite un meccanismo di trasferimento valido ai sensi dell'articolo 46 (2) del GDPR o dello UK GDPR o altra Legge applicabile sulla Protezione dei Lati.
13.1.2 Clausole contrattuali tipo ("SCC"). Le SCC possono essere utilizzate come segue:
(i) le UK SCC per i dati personali soggetti allo UK GDPR o qualsiasi atto successivo, anche qualora il Regno Unito adotti un addendum alle SCCs dell'Unione Europea;
(ii) il Modulo 2 delle EU SCCs per i dati personali soggetti al GDPR e/o alla Legge Federale Svizzera del 19 giugno 1992 sulla protezione dei dati (FADP).
13.2 Esecuzione delle SCC. Se qualsiasi trasferimento transfrontaliero di dati personali tra NTT e il Cliente richiede l'esecuzione di SCC o l’esecuzione di atti successivi o addendum alle SCC menzionati nell’articolo 13.1.2, per conformarsi alla Legge applicabile sulla Protezione dei Dati, le Parti completeranno le attività necessarie ed eseguiranno le SCC applicabili e intraprenderanno tutte le altre azioni necessarie per legittimare il trasferimento.
13.3 Sub-responsabili. Il Cliente autorizza NTT a stipulare il relativo modulo delle SCC applicabile con il sub- responsabile in nome e per conto del Cliente (nel qual caso il Cliente non dovrà più stipulare accordi diretti con tali sub-responsabili). NTT metterà a disposizione del Cliente, su richiesta, il modulo delle SCC applicabile adottato.
14 Restituzione o distruzione dei Dati Personali
14.1 Eliminazione dei dati da parte del Cliente . Per alcuni Servizi, il Cliente è responsabile dell'installazione, dell'hosting, dell'elaborazione e dell'utilizzo dei dati personali. In tale ipotesi, solo il Cliente è in grado di accedere, estrarre ed eliminare i dati personali memorizzati durante l’esecuzione dei Servizi. Nel caso in cui un certo servizio non preveda né consenta l'accesso, la conservazione o l'estrazione di software fornito dal Cliente, NTT non avrà alcuna responsabilità per l'eliminazione di dati personali come descritto nella presente clausola 14.1.
14.2 Eliminazione o restituzione. Se il Contratto con il Cliente prevede che NTT conservi i dati personali, NTT cancellerà tali dati entro il periodo di tempo definito nel Contratto con il Cliente, a meno che a NTT non sia consentito o richiesto dalla legge applicabile la conservazione di tali dati. Se la conservazione dei dati personali non è stata disciplinata nel Contratto con il Cliente, NTT eliminerà, distruggerà o restituirà al Cliente tutti i dati personali ovvero distruggerà o restituirà tutte le copie esistenti:
(a) quando NTT avrà terminato la fornitura dei servizi che prevedono trattamento di dati; o
(b) nel momento in cui cesserà il presente DPA; o
(c) qualora il Cliente chieda per iscritto a NTT di farlo; o
(d) qualora NTT abbia altrimenti soddisfatto tutti gli obiettivi concordati nel contesto dei Servizi relativi alle attività di trattamento dati e il Cliente non richieda che NTT effettui ulteriori trattamenti.
14.3 Certificato di distruzione. NTT fornirà al Cliente un certificato di distruzione su richiesta del Cliente medesimo. Qualora la cancellazione o la restituzione dei dati personali sia impossibile per qualsiasi motivo, o qualora siano stati effettuati backup e/o copie archiviate dei dati personali, NTT conserverà tali dati personali in conformità a quanto stabilito dalle Leggi applicabili sulla Protezione dei Dati.
14.4 Terze parti. Al termine del presente DPA, NTT avviserà tutti i sub-responsabili che hanno fornito supporto nelle attività di trattamento e si accerterà che distruggano i dati personali o restituiscano al Cliente i dati personali, a scelta e discrezione di quest’ultimo.
15 Responsabilità
15.1 Eventuali limitazioni di responsabilità previste nel Contratto con il Cliente si applicheranno anche al presente DPA, a meno che tale limitazione (a) limiti la responsabilità delle parti nei confronti degli interessati o (b) non sia consentita dalla legge applicabile
16 Comunicazioni e notifiche
16.2 L’articolo 16.1 non si applica agli avvisi, le notifiche e/o le comunicazioni di procedimenti legali o altri documenti nell'ambito di azioni legali o, se del caso, di arbitrato o di altre modalità di risoluzione delle controversie .
16.3 Ogni notifica o altra comunicazione si considera data quando:
(a) consegnata di persona;
(b) ricevuta per posta (a mezzo raccomandata a.r. o a mezzo posta certificata); o
(c) ricevuta da un servizio di corriere riconosciuto a livello internazionale ( con prova della consegna ricevuta dalla parte notificante) all’indirizzo di notifica fisica (come sopra indicato), con una copia elettronica inviata all’indirizzo elettronico eletto (come indicato nella tabella di cui sopra).
17 Miscellanea
17.1 Contrasto con altre disposizioni. I termini del Contratto con il Ciente rimangono in vigore e hanno effetto sotto ogni profilo, tranne se modificati nel presente DPA. Nella misura in cui NTT tratterà dati personali soggetti alle Leggi applicabili sulla Protezione dei Dati, per conto del Cliente nel corso delle prestazioni previste nel Contratto, si applicheranno i termini del presente DPA. Se i termini del presente DPA sono in conflitto con i termini del Contratto con il Cliente, i termini del presente DPA prevarranno sui termini del Contratto con il Cliente.
17.2 Legislazione applicabile. Il presente DPA è disciplinato dalle leggi del paese specificato nelle relative disposizioni del Contratto con il Cliente.
17.3 Risoluzione delle controversie. Le controversie derivanti dal presente DPA o ad esso connesse saranno trattate esclusivamente dall'autorità giurisdizionale competente della giurisdizione specificata nel Contratto con il Cliente.
17.4 Controparti: Il presente DPA e qualsiasi SCC possono essere eseguiti nei confronti di qualsiasi numero di controparti, ciascuna delle quali andrà a comporre un’originale, ma che insieme costituiranno un unico accordo. Qualora una o entrambe le parti scelgano di sottoscrivere il presente DPA e le SCC mediante firma elettronica, ciascuna firma elettronica avrà la stessa validità ed effetto legale dell'uso di una firma apposta a mano ed è realizzata con l'intenzione di autenticare questo DPA e le SCC ed evidenziando l'intenzione di ciascuna parte che lo sottoscrive di essere vincolata da questo DPA e dalle SCC.
Allegato A Punti di contatto. Referenti
Informazioni di contatto del responsabile della protezione dei dati e/o altra funzione del Cliente:
Dati di contatto
_____________________
indirizzo fisico
_____________________
telefono
_____________________
Informazioni di contatto del responsabile della protezione dei dati d i NTT:
Dati di Contatto
Responsabile della Protezione dei Dati xxxxxxxxxxxx@xxxxxx.xxx.
Allegato B Dettagli del Trattamento
1. Categorie di soggetti interessati i cui dati personali sono oggetto di trattamento/trasferimento
I soggetti interessati includono i rappresentanti del Cliente, i dipendenti, fornitori e clienti. NTT riconosce che, a seconda dell'utilizzo dei Servizi da parte del Cliente, essa può elaborare i dati personali di una delle seguenti categorie di interessati:
• Dipendenti, collaboratori, lavoratori interinali, agenti e rappresentanti del Cliente/esportatore;
• Utenti (ad es. clienti utenti finali) e altri interessati che sono utilizzano i Servizi del Cliente;
• Persone giuridiche (ove applicabile).
2. Categorie di dati personali trattati/trasferiti
NTT riconosce che, a seconda dell'utilizzo dei Servizi da parte del Cliente, può trattare le seguenti tipologie di dati personali
• Dati anagrafici di base (ad esempio nome, cognome, xxxxxxxxx e-mail);
• Dati di autenticazione (ad esempio username e password);
• Informazioni di contatto (ad esempio e-mail di lavoro e numero di telefono);
• Numeri di identificazione univoci e firme (ad esempio indirizzi IP);
• Dati sulla posizione (ad esempio, dati di rete di geolocalizzazione);
• Identificazione del dispositivo (ad esempio numero IMEI e indirizzo MAC);
• Qualsiasi altro dato personale identificato nell'articolo 4 del GDPR.
3. Dati sensibili trattati/trasferiti (se applicabile) e restrizioni o salvaguardie adottate che tengano pienamente conto della natura dei dati e dei rischi coinvolti, quali rigorose limitazioni delle finalità, restrizioni di accesso (compreso l'accesso al solo personale che abbia seguito una formazione specifica), mantenimento di una registrazione dell'accesso ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.
Informazioni biometriche (ad esempio impronte digitali presso i data center NTT). [Rimuovere se non applicabile al Servizio]
4. Frequenza del trattamento/trasferimento (ad es. se i dati vengono trattati/trasferiti su base una tantum o continua).
I dati personali possono essere trattati/trasferiti su base continuativa allo scopo di fornire i Servizi in conformità ed ai sensi del vigente Contratto con il Cliente.
5. Natura del trattamento/trasferimento
La natura del trattamento/trasferimento dei dati personali sta nel fatto che NTT fornisce i Servizi in forza e ai sensi del vigente Contratto con il Cliente. Ciò comprende
• Erogazione dei Servizi: per fornire prodotti e servizi in linea con il contratto in essere;
• Risoluzione ticket: per comunicare e coordinare la risoluzione delle richieste di supporto in modo tempestivo;
• Miglioramenti dei processi aziendali: per migliorare il modo in cui i servizi vengono forniti ai clienti NTT;
• Reporting delle performance contrattuali: report sui servizi affidati e sulle attività di risoluzione dei problemi;
• Fatturazione e gestione contrattuale: per gestire i contratti, i rinnovi contrattuali e la relativa fatturazione;
• Sicurezza e autenticazione: per identificare e verificare l'identità dei soggetti prima di fornire l'accesso a sistemi e dati; per coordinare le risposte a potenziali eventi sulla sicurezza delle informazioni;
• Amministrazione dei sistemi: per garantire la disponibilità e la sicurezza dei sistemi.
6. Finalità del trattamento/trasferimento dei dati e ulteriore trattamento
La finalità del trattamento dei dati personali è che NTT fornisca i Servizi ai sensi del vigente Contratto con il Cliente.
7. Periodo di conservazione dei dati personali ovvero criteri utilizzati per determinare tale periodo
Vedi articolo 14 del DPA
8. Per i trasferimenti ai (sub)responsabili del trattamento specificare: oggetto natura e durata del trattamento
In conformità con quanto stabilito nel DPA, NTT può incaricare sub-responsabili di fornire alcuni o tutti i Servizi per conto della stessa NTT ovvero utilizzare una qualsiasi delle affiliate attuali o future di NTT Ltd. per la durata del Contratto con il Cliente. A ciascuno di tali sub-responsabili sarà consentito di trattare dati personali solo per fornire alcuni o tutti i Servizi che NTT ha incaricato di fornire, ed è loro vietato utilizzare i dati personali per qualsiasi altro scopo.
L’elenco delle attuali affiliate di NTT Ltd è di seguito allegato.
NTT Affiliates.pdf
9. Persone autorizzate (articolo 6.1 del DPA)
NTT tratterà i dati personali solo su istruzioni documentate del Cliente fornite dalle seguenti categorie di persone che il Cliente autorizza a fornire istruzioni sul trattamento dei dati personali a NTT:
✓
✓
Allegato C Misure Tecniche e Organizzative
Il presente 0 descrive le misure tecniche e organizzative ("TOM" o “Technical and Organizational Measures”) che NTT adotta per garantire il trattamento e la protezione dei dati personali in modo responsabile, tenuto conto delle tipologie di dati personali che NTT elabora, gli standard di settore, gli interessi e i diritti di dipendenti, di clienti e delle communit y e i ragionevoli costi di implementazione in conformità con l ’articolo 10 del DPA e/o di quanto definito nell'Appendice 2 delle SCC applicabili e/o delle Leggi applicabili sulla Protezione dei Dati .
Le TOM adottate da NTT sono reperibili al seguente URL: xxxxx://xxxxxxxx.xxxxxx.xxx/xx-xx/xxxxx/xxxx-xxxxxxx-xxx-xxxxxxxxxx
Al momento della firma del presente DPA, la versione TOM in uso era la V1.0, ultimo aggiornamento 05 gennaio 2021.
Allegato D Clausole Contrattuali Tipo UK Regno Unito (responsabili) – Trasferimenti dal Regno Unito
Per le finalità dello UK GDPR per il trasferimento dei dati personali a responsabili del trattamento stabiliti in paesi terzi che non assicurano un adeguato livello di protezione dei dati.
Nome dell’esportatore dei dati: Si prega di fare riferimento ai dettagli del Cliente in prima pagina
Indirizzo: Si prega di fare riferimento ai dettagli del Cliente in prima pagina
Tel.: Si prega di fare riferimento ai dettagli del Cliente in prima pagina
E-mail Si prega di fare riferimento ai dettagli del Cliente in prima pagina
(“data exporter” o “esportatore dei dati”) e
Nome dell’importatore dei dati: Si prega di fare riferimento ai dettagli di NTT in prima pagina
Indirizzo: Si prega di fare riferimento ai dettagli di NTT in prima pagina
Tel.: Si prega di fare riferimento ai dettagli di NTT in prima pagina
E-mail: Si prega di fare riferimento ai dettagli di NTT in prima pagina
Altre informazioni necessarie ad identificare l’organizzazione …………………….
(“data importer” o “importatore dei dati””
ciascuna denominata “Parte” e congiuntamente “le Parti”,
Accettano e sottoscrivono le seguenti Standard Contractual Clauses (“le Clausole”) per adottare misure adeguate nel rispetto della protezione dei dati personali e dei diritti e delle libertà fondamentali per il trasferimento, da parte dell’Esportatore all’Importatore, dei dati personali indicati nell’ Appendice 1.
Ai fini delle presenti Clausole:
Clausola 1
Definitioni
a) “dati personali”, “categorie speciali di dati”, “trattamento”, “titolare del trattamento”, "responsabile del trattamento", "interessato" e "Commissario" avranno lo stesso significato del GDPR del Regno Unito;
b) “l'esportatore di dati” indica il titolare del trattamento che trasferisce i dati personali;
c) “l'importatore di dati” indica il responsabile del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento, in conformitàcon le sue istruzioni e i termini delle Clausole e chi non è soggetto al sistema di un paese terzo coperto dalle normative di adeguatezza del Regno Unito emesse ai sensi della Sezione 17A del Data Protection Xxx 0000 o dei paragrafi 4 e 5 dell'Allegato 21 del Data Protection Xxx 0000;
d) “il sub-responsabile” indica qualsiasi responsabile incaricato dall'importatore di dati o da qualsiasi altro subincaricato dell'importatore di dati che accetta di ricevere dall'importatore di dati o da qualsiasi altro subincaricato dell'importatore di dati dei dati personali esclusivamente destinati alle attività di trattamento, da svolgere per conto dell’esportatore dei dati, dopo il trasferimento e secondo le sue istruzioni, i termini delle Clausole e i termini dell’accordo scritto di subappalto;
e) “la legge sulla protezione dei dati applicabile” significa la normativa a tutela dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla privacy in relazione al trattamento dei dati personali applicabile a un titolare del trattamento nel Regno Unito;
f) “misure tecnico e organizzative di sicurezza” indica le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati in rete, e da ogni altra forma illecita di trattamento.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento ed in particolarele specifiche categorie di dati personali, ove applicabili, sono indicate nell?Appendice 1 che costituisce parte integrante delle presenti Clausole.
Clausola 3
Clausola del terzo beneficiario
1. L'interessato può far valere nei confronti dell'esportatore di dati la presente Xxxxxxxx, la Clausola 4 da (b) a (i), la Clausola 5 da (a) a (e) e da (g) a (j), la Clausole 6(1) e (2), la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12 come terzo beneficiario.
2. L'interessato può far valere nei confronti dell'importatore di dati la presente Xxxxxxxx, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12, nei casi in cui l'esportatore di dati è di fatto scomparso o ha cessato di esistere per legge, a meno che il soggetto che gli succede non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto della legge, in conseguenza dei quali assume i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale soggetto.
3. L'interessato può far valere nei confronti del sub-responsabile del trattamento la presente Xxxxxxxx, la Clausola 5 da (a) a
(e) e (g), le Clausole 6, le Clausole 7, le Clausole 8(2) e le Clausole da 9 a 12, nei casi in cui sia l'esportatore di dati e l'importatore di dati sono di fatto scomparsi o hanno cessato di esistere legalmente o sono diventati insolventi, a meno che qualsiasi successore non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, in conseguenza dei quali assume i diritti e obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale soggetto. Tale responsabilità del terzo del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle presenti Clausole.
4. Le parti non si oppongono al fatto che un interessato sia rappresentato da un'associazione o altro organismo se l'interessato lo desidera espressamente e se consentito dal diritto nazionale.
L’esportatore di dati accetta e garantisce:
Clausola 4
Obbligazioni dell’esportatore di dati
(a) che il trattamento dei dati personali, ivi compreso il trasferimento stesso, è stato e continuerà ad essere effettuato in conformità con le disposizioni della normativa applicabile in materia di protezione dei dati (e, ove applicabile, è stato notificato al Commissario e non viola la normativa applicabile in materia di protezione dei dati;
(b) che ha istruito e per tutta la durata dei servizi di trattamento dei dati personali darà istruzioni all'importatore di dati per trattare i dati personali, oggetto di trasferimento, solo per conto dell'esportatore di dati e in conformità con la normativa applicabile in materia di protezione dei dati e le presenti Clausole;
(c) che l'importatore di dati fornirà sufficienti garanzie del rispetto delle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 al presente contratto;
(d) che, dopo aver valutato i requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza sono idonee a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati su una rete, e contro ogni altra forma illecita di trattamento, e che tali misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere, tenuto conto dello stato dell'arte e del costo della loro attuazione;
(e) garantirà la conformità con le misure di sicurezza;
(f) che, qualora il trasferimento riguardi categorie speciali di dati, l'interessato è stato informato o sarà informato prima del trasferimento, ovvero non appena possibile, e che i suoi dati potrebbero essere trasmessi a un paese terzo non coperto dalle norme di adeguatezza emanate ai sensi della Sezione 17A del Data Protection Act del 2018 o dei Paragrafi 4 e 5 dello Schedule 21 del Data Protection Act del 2018;
(g) di inoltrare qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi subresponsabile del trattamento ai sensi della Clausola 5(b) e della Clausola 8(3) al Commissario se l'esportatore decide di proseguire il trasferimento o revocare la sospensione;
(h) di mettere a disposizione degli interessati, su richiesta, una copia delle presenti Clausole, ad eccezione dell’Appendice 2, e una descrizione riassuntiva delle misure di sicurezza, nonché una copia di qualsiasi contratto per i servizi di sub trattamento dei dati che deve essere stipulato in conformità con le presenti Clausole, a meno che le presenti Clausole o il contratto non contengano informazioni commerciali, nel qual caso potrà rimuovere tali informazioni commerciali;
(i) che, in caso di sub trattamento, l'attività di trattamento sarà svolta in conformità alla Clausola 11 da un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle preenti Clausole; e
(j) che garantirà il rispetto della Clausola 4 da (a) a (i).
L’importatore dei dati accetta e garantisce:
Clausola 5
Obbligazioni dell’importatore di dati
(a) di trattare i dati personali solo per conto dell'esportatore dei dati e nel rispetto delle sue istruzioni e delle presenti Clausole; qualora non sia in grado di assicurare tale conformità, per qualsiasi ragione, si impegna ad informare tempestivamente l'esportatore dei dati della propria impossibilità di ottemperare, nel qual caso l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;
(b) che non ha motivo di ritenere che la normativa ad essa applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore dei dati e dai suoi obblighi contrattuali e che in caso di modifica della suddetta normativa, che possa incidere in modo sostanziale e negativo sulle garanzie e sugli obblighi previsti dalle presenti Clausole, darà tempoestiva comunicazione di tale modifica all'esportatore di dati, non appena ne venga a conoscenza; in tale ipotesi l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;
(c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima del trattamento dei dati personali oggetto di trasferimento;
(d) che informerà tempestivamente l'esportatore dei dati in merito a:
i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte delle forze dell’ordine e/o dell’autorità giudiziaria, salvo che ciò non sia altrimenti cosentito, come un divieto stabilito dal diritto penale per preservare la riservatezza di un'indagine delle forze dell'ordine,
ii) qualsiasi accesso accidentale o non autorizzato, e
iii) qualsiasi richiesta pervenuta direttamente dagli interessati, fermo restando che non darà risposta a tale richiesta, salvo diversa autorizzazione a farlo;
(e) di trattare in modo tempestivo e corretto tutte le richieste dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e di attenersi al parere del Commissario in merito al trattamento dei dati trasferiti;
(f) di sottoporre, su richiesta dell'esportatore di dati, le proprie strutture ove sono svolte le attivita di trattamento dei dati a verifiche e audit sulle attività di trattamento condotte secondo le presenti Clausole, verifiche che devono essere svolte dall'esportatore di dati o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste, nonchè vincolato da un obbligo di riservatezza, scelto dall'esportatore dei dati, ove applicabile, d'intesa con il Commissario;
(g) di mettere a disposizione dell'interessato, su richiesta, copia delle presenti Clausole, o di qualsiasi contratto in essere per il sub trattamento, salvo che le Clausole o il contratto contengano informazioni commerciali; in tale ipotesi potrà rimuovere tali informazioni commerciali, ad eccezione dell'Appendice 2 che è sostituita da una descrizione sommaria delle misure di sicurezza, nei casi in cui l’interessato non sia in grado di ottenere copia dall'esportatore dei dati;
(h) che, in caso di sub trattamento, ha preventivamente informato l'esportatore dei dati e ottenuto il suo previo consenso scritto;
(i) che i servizi di sub trattamento da parte del sub-responsabile saranno effettuati in conformità con la Clausola 11
(j) di inviare tempestivamente all’esportatore dei dati una copia di qualsiasi accordo con il sub-responsabile, stipulato ai sensi e per le finalità delle presenti Clausole.
Clausola 6
Responsabilità
1. Le parti convengono che qualunque interessato, che abbia subito un danno a seguito di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da qualsiasi parte o da un sub-responsabile del trattamento, ha diritto al risarcimento del danno subito dall'esportatore dei dati.
2. Se un interessato non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell'esportatore di dati, a causa di una violazione, da parte dell'importatore di dati o di un suo sub-responsabile del trattamento, di uno qualsiasi degli obblighi di cui alla Clausola 3 o alla clausola 11, perché l'esportatore di dati è di fatto scomparso o ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo control’importatore dei dati, come se fosse l'esportatore di dati, a meno che un qualsiasi soggetto successore abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, nel qual caso l'interessato potrà far valere i propri diritti nei confronti di tale entità.
L'importatore di dati non può fare affidamento su una violazione dei propri obblighi da parte di un sub-responsbaile al fine di evitare le proprie responsabilità.
3. Se un interessato non è in grado di agire contro l'esportatore di dati o l'importatore di dati di cui ai paragrafi 1 e 2, a causa di una violazione da parte del sub-responsabile del trattamento di uno qualsiasi degli obblighi di cui alla Clausola 3 o alla Clausola 11, perché sia l'esportatore di dati che l'importatore di dati sono di fatto scomparsi o hanno cessato di esistere per legge o sono diventati insolventi, il sub-responsabile accetta che l'interessato possa presentare un reclamo contro il sub- responsabile del trattamento per quanto riguarda le proprie operazioni di trattamento ai sensi delle presenti Clausole, come se fosse l'esportatore di dati o l'importatore di dati, a meno che un soggetto successore non abbia assunto tutti gli obblighi legali dell'esportatore o dell’importatore di dati per contratto o per legge, nel qual caso l'interessato potrà far valere i propri diritti nei confronti di tale soggetto. La responsabilità del sub-responsabile del trattamento è limitata alle proprie operazioni di trattamento ai sensi delle presenti Clausole.
Clausola 7
Mediazione e giurisdizione
1. L'importatore di dati accetta che se l'interessato fa valere nei suoi confronti i diritti del terzo beneficiario e/o chiede il risarcimento dei danni ai sensi delle presenti Xxxxxxxx, l'importatore di dati accetterà la decisione dell'interessato:
a) di deferire la controversia ad un organismo di mediazione, da parte di un soggetto o, ove applicabile, dal Commissario;
b) di deferire la controversia ai tribunali del Regno Unito.
2. Le parti convengono che la scelta operata dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di pretendere opportuni rimedi in conformità con le altre disposizioni del diritto nazionale o internazionale.
Clausola 8
Coollaborazione con le autorità di vigilanza
1. L'esportatore di dati si impegna a depositare una copia del presente contratto presso il Commissario, in caso di richiesta in tal senso ovvero qualora tale deposito sia richiesto ai sensi della normativa applicabile sulla protezione dei dati.
2. Le parti convengono che il Commissario ha il diritto di condurre un audit/verifica dell'importatore di dati, e di qualsiasi sub responsabile, che abbia lo stesso scopo e sia soggetto alle stesse condizioni che si applicherebbero a un audit dell'esportatore di dati ai sensi della normativa applicabile sulla protezione dei dati.
3. L'importatore di dati informa tempestivamente l'esportatore di dati dell'esistenza di una normativa ad esso applicabile o di eventuali sub-responsabili al fine di prevenire lo svolgimento di un audit/verifica dell'importatore di dati, o di qualsiasi sub responsabile, ai sensi del paragrafo 2. In tal caso l'esportatore di dati ha il diritto di adottare le misure previste nella Clausola 5 (b).
Le presenti Clausole sono disciplinate dal diritto inglese.
Clausola 9
Legge applicabile
Clausola 10
Modifiche del contratto
Le parti si impegnano a non variare o modificare le presenti Clausole. Ciò non preclude alle parti di (i) apportare modifiche consentite dal Paragrafo 7(3) e (4) dello Schedule 21 del Data Protection Act del 2018; o (ii) l'aggiunta di clausole su questioni relative all'attività, ove necessario, purché non siano in contraddizione con le presenti Clausole.
Clausola 11
Sub trattamento
1. L'importatore di dati non potrà subappaltare nessuna delle sue operazioni di trattamento eseguite per conto dell'esportatore di dati ai sensi delle presenti Clausole, senza il previo consenso scritto dell'esportatore di dati. Se l'importatore di dati subappalta i propri obblighi ai sensi delle presenti Clausole, con il consenso dell'esportatore di dati, lo potrà fare solo mediante un accordo scritto con il sub-responsabile del trattamento che imponga a tale sub-responsabile gli stessi obblighi imposti all'importatore di dati ai sensi delle presenti Clausole. Qualora il sub-responsabile del trattamento non adempia ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l'importatore di dati resterà pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile del trattamento ai sensi di tale accordo.
2. Il previo contratto scritto tra l'importatore di dati e il sub-responsabile del trattamento dovrà prevedere anche una clausola di terzo beneficiario come previsto dalla Clausola 3, per i casi in cui l'interessato non è in grado di proporre la domanda di risarcimento, di cui al paragrafo 1 della Clausola 6, nei confronti dell'esportatore di dati o dell'importatore di dati perché sono di fatto scomparsi o hanno cessato di esistere legalmente o sono diventati insolventie e nessun successore ha assunto tutti gli obblighi legali dell'esportatore o importatore di dati per contratto o per effetto di legge.Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle presenti Clausole.
3. Le disposizioni relative agli aspetti di protezione dei dati per il subtrattamento del contratto di cui al paragrafo 1 sono regolate dalla legge inglese.
4. L'esportatore di dati conserverà un elenco degli accordi di sub trattamento conclusi ai sensi delle presenti Clausole e notificati dall'importatore di dati ai sensi della Clausola 5 (j), che dovrà essere aggiornato almeno una volta all'anno. L'elenco sarà a disposizione del Commissario.
Clausola 12
Obblighi dopo la cessazione dei servizi di trattamento dei dati personali
1. Le parti convengono che alla cessazione della prestazione dei servizi di trattamento dati, l'importatore di dati e il sub- responsabile del trattamento restituiranno, a scelta dell'esportatore di dati, tutti i dati personali trasferiti e le copie degli stessi all'esportatore di dati o distruggeranno tutti i dati personali e certificheranno all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati gli impedisca di restituire o distruggere, in tutto o in parte, i dati personali trasferiti. In tal caso, l'importatore di dati garantisce che assicurerà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.
2. L'importatore di dati e il sub responsabile garantiscono che, su richiesta dell'esportatore di dati e/o del Commissario, sottoporrà le proprie strutture ove sono svolte attività di trattamento ad un audit/verifica delle misure di cui al paragrafo 1.
Clausola 13
Controparti e firme elettroniche
1 Le presenti Clauso le possono essere eseguite in un numero qualsiasi di copie, ciascuna delle quali costituirà un originale, ma che insieme costituiranno un accordo.
2 Laddove una o entrambe le parti scelgano di dare esecuzione alle presenti Clausole mediante firma elettronica, ciascuna firma elettronica avrà la stessa validità ed efficacia giuridica dell'uso di una firma apposta manualmente ed è realizzata con l'intenzione di autenticare le presenti Xxxxxxxx e dimostrare l'intenzione di tale parte (per sé e per gli altri esportatori di dati per conto dei quali tale parte sta eseguendo le presenti Clausole) ad essere vincolata dalle presenti Clausole.
Appendice 1 alle Clausole Contrattuali Tipo UK Regno Unito
Esportatore dei Dati. Il Cliente è l’esportatore dei dati. L’esportatore dei dati riceve i Servizi sulla base del Contratto con il Cliente
Importatore dei Dati. L’importatore dei Dati è NTT e i sub-responsabili indicati nell’Allegato B che sono coinvolti nel trattamento dei dati personali per l’erogazione dei Servizi.
Oggetto del trattamento. L’oggetto del trattamento è limitato ai dati personali trattati nell'ambito del paragrafo "Natura e finalità del trattamento dei dati" (vedi sotto) e lo UK GDPR.
Durata e obiettivo del trattamento: La durata del trattamento sarà coincidente con la durata del Contratto con il Cliente, stipulato tra l'Esportatore dei Dati e NTT. L’obiettivo del trattamento dei dati è l’esecuzione dei Servizi.
Natura e finalità del trattamento. La natura e la finalità del trattamento dei dati personali è connessa con la necessità, per l’Importatore dei Dati, di fornire i Servizi definiti nell’ambito del Contratto con il Cliente.
L’Importatore dei Dati si avvale di una rete globale di data center e infrastrutture di supporto e il trattamento può avere luogo in una delle giurisdizioni ove risiedono tali data center e infrastrutture di supporto di cui l’importatore dei dati o i suoi sub-responsabili si avvalgono.
Istruzioni dell’Esportatore dei Dati. Per tutti I Servizi, l’Importatore dei Dati può agire solo in base alle istruzioni trasmessegli dall’Esportatore dei Dati.
Cancellazione e restituzione dei dati personali. Alla scadenza o cessazione dei Servizi, l'esportatore di dati può estrarre dati personali e l'importatore di dati cancellerà i dati personali, ciascuno in conformità con quanto previsto nel DPA.
Categorie di interessati. Si veda l’Allegato B. Categorie di dati personali. Si veda l’Allegato B. Sub-responsabili. Si veda l’Allegato B.
Persone autorizzate. Si veda l’Allegato B.
Appendix 2 alle Clausole Contrattuali Tipo UK Regno Unito
Descrizione delle misure tecniche e organizzative implementate dall’Importatore dei dati in accordo con le Clausole 4 (d) e 5 (c):
1. Personale. Il personale dell’Importatore dei Dati non può trattare i dati personali senza autorizzazione.
2. Contatto per la protezione dei dati. Il referente per la protezione dei dati dell’Importatore può essere contattato al seguente indirizzo:
NTT
c.a. Data Protection Officer
E-mail XxxxxxxXxxxxx@xxxxxx.xxx
3. Misure Tecniche e Organizzative.
L'importatore di dati ha implementato e manterrà appropriate misure tecniche e organizzative, controlli interni e routine di sicurezza delle informazioni adeguati a proteggere i dati personali da perdite accidentali, distruzione o alterazione; divulgazione o accesso non autorizzati; o distruzione illecita come segue:
Le misure tecniche e organizzative, i controlli interni e le routine di sicurezza delle informazioni di cui all'Allegato C sono qui incorporati in questa Appendice 2 per riferimento e sono vincolanti per l'importatore di dati come se fossero stabilite in questa Appendice 2 nella loro interezza.
Firma delle Clausole Contrattuali Tipo, Appendice 1 e Appendice 2 per conto dell'Importatore di Dati e dell’Esportatore dei Dati: Esportatore dei Dati: Si prega di fare riferimento ai dettagli del Cliente in prima pagina
Firma: …………………….
Nome …………………….
Designazione …………………….
Indirizzo: …………………….
Importatore dei Dati: Si prega di fare riferimento ai dettagli di NTT in prima pagina
Firma: …………………….
Nome …………………….
Designazione …………………….
Indirizzo: …………………….
Allegato E Termini GDPR Regno Unito
Nella misura in cui il DPA non affronta tutte le questioni del presente 0 o fornisce al Cliente impegni minori sulla protezione dei dati, laddove NTT tratti dati personali nell'ambito e ai sensi del GDPR del Regno Unito per conto del Cliente, la stessa NTT assume verso il Cliente gli impegni di cui al presente Allegato (per brevità “Termini del GDPR del Regno Unito”). I presenti Termini del GDPR del Regno Unito non limitano né riducono gli impegni di protezione dei dati che NTT assume nei confronti del Cliente per effetto di quanto stabilito nel Contratto con il Cliente.
Ai fini dei presenti Termini del GDPR del Regno Unito, il Cliente e NTT concordano sul fatto che il Cliente è il titolare del trattamento e NTT è il responsabile del trattamento dei dati personali, tranne quando il Cliente agisce come responsabile del trattamento, nel qual caso NTT è un sub-responsabile del trattamento. I presenti Termini del GDPR del Regno Unito non si applicano laddove NTT sia un titolare del trattamento dei dati personali.
1 Misure contrattuali supplementari
1.1 Nella misura in cui il trattamento dei dati personali effettuato da NTT è soggetto al GDPR del Regno Unito e NTT effettua un trasferimento ad un suo sub-responsabile in qualità di “importatore di dati”, troveranno applicazione gli obblighi di cui alle presenti clausole da Error! Reference source not found. a Error! Re ference source not found. compreso.
1.2 Ciascuna parte garantisce di non avere motivo di ritenere che le leggi applicabili a cui è soggetta, inclusi eventuali requisiti di divulgazione di dati personali o misure che autorizzano l'accesso da parte di autorità pubbliche, le impediscano di adempiere ai propri obblighi ai sensi del presente DPA e delle SCC s del Regno Unito. Nel fornire la presente garanzia, ciascuna parte dichiara di aver tenuto in debito conto, in particolare, dei seguenti elementi:
(a) le circostanze specifiche del trattamento, inclusa l'entità e la regolarità del trattamento soggette a tali leggi applicabili; i canali di trasmissione utilizzati; la natura dei dati personali; qualsiasi esperienza pratica pertinente con istanze pregresse, ovvero l'assenza di richieste di comunicazione, da parte di pubbliche autorità, ricevute dalla stessa parte per la tipologia di dati personali da essa trattati;
(b) le leggi applicabili a cui è/sono soggetto, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità, nonché le limitazioni e le tutele applicabili; e
(c) misure di salvaguardia in aggiunta a quelle previste dal presente DPA, comprese le misure tecniche e organizzative applicate al trattamento dei dati personali da parte di NTT e dei rispettivi sub responsabili.
1.3 Ciascuna parte garantisce che, nell'effettuare la valutazione di cui alla clausola Error! Reference source not f ound., si è adoperata al meglio per fornire al Cliente le informazioni pertinenti e accetta di continuare a collaborare con il Cliente per garantire il rispetto del presente DPA. NTT si impegna a documentare questa valutazione e a renderla disponibile al Cliente su richiesta e concorda che tale valutazione possa essere messa a disposizione anche di un'autorità per la protezione dei dati.
1.4 NTT si impegna a informare tempestivamente il Cliente se, dopo aver concordato il presente DPA e per la durata dello stesso, ha motivo di ritenere che essa (o un proprio sub-responsabile verso il quale viene effettuato un trasferimento) sia o sia diventato soggetto a leggi applicabili non in linea con i requisiti di cui all a clausola Error! Reference source not found. , anche a seguito di una modifica delle leggi applicabili alle quali essa è s oggetta (o è soggetto il proprio sub-responsabile del trattamento) o a seguito di una misura (come una richiesta di divulgazione) che indichi un'applicazione di tali leggi applicabili nella pratica ch e non è in linea con i requisiti di cui clausola Error! Reference source not found.. A seguito di tale notifica ovvero qualora il Cliente abbia a ltrimenti motivo di ritenere che NTT non possa più adempiere ai propri obblighi ai sensi del presente DPA (anche in relazione al proprio sub-responsabile del trattamento), il Cliente (e le r ispettive sussidiarie che sono titolari del trattamento) identificherà tempestivamente le misure appropriate (quali, ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) da adottare dal medesimo o da NTT (e/o dal proprio sub-responsabile), a spese del Cliente, per affrontare la situazione, consultata, se del caso, la competente autorità per la protezione dei dati.
1.5 NTT si impegna a informare tempestivamente il Cliente se la stessa NTT (o il proprio sub-responsabile a cui viene effettuato il trasferimento):
(a) riceve una richiesta legalmente vincolante di una pubblica autorità ai sensi delle leggi applicabili a cui essa NTT (o il proprio sub-responsabile) è soggetto per la divulgazione di dati personali; tale notifica conterrà informazioni sui dati personali richiesti, l'autorità richiedente, la base giuridica della richiesta e la risposta fornita;
(b) viene a conoscenza dell'eventuale accesso diretto da parte di pubbliche autorità ai dati personali ai sensi delle leggi applicabili cui NTT è soggetto (o è soggetto il proprio sub-responsabile); tale notifica includerà tutte le informazioni a disposizione di NTT (e del proprio sub-responsabile).
1.6 Se a NTT (o al proprio sub-responsabile a cui viene effettuato il trasferimento) è vietato inviare al Cliente la notifica prevista nella clausola Error! Reference source not found., NTT si impegna ad adoperarsi al meglio p er ottenere (e far sì che il proprio sub-responsabile del trattamento ottenga) una deroga a tale divieto, al fine di comunicare quante più informazioni e quanto prima possibile. NTT si impegna a documentare i propri sforzi (e quelli del proprio sub-responsabile) al fine di poterli dimostrare, su richiesta del Cliente.
1.7 Nella misura consentita dalle leggi applicabili a cui è soggetta NTT (e il proprio sub-responsabile del trattamento), NTT si impegna a fornire al Cliente, per tutta la durata del trattamento, le informazioni rilevanti sulle richieste ricevute dalla medesima e/o dal proprio sub-responsabile (in particolare, il numero di richieste, il tipo di dati richiesti, l’autorità o le autorità richiedenti, se le richieste sono state impugnate e l'esito di tali impugnazioni, ecc.).
1.8 NTT si impegna a preservare le informazioni ai sensi delle clausole da Error! Reference source not found. a REF _Ref84600280 \r \h \* MERGEFORMAT Error! Reference source not found., per la durata del trattamento e a metterle a disposizione dell'autorità competente per la protezione dei dati personali su richiesta.
1.9 NTT si impegna a rivedere (e a fare in modo che il proprio sub-responsabile, verso il quale è effettuato il trasferimento, riveda), tenuto conto delle leggi applicabili a cui è soggetta (e a cui è soggetto il proprio sub- responsabile), la legittimità della richiesta di divulgazione, in particolare se ri entra nell'ambito dei poteri conferiti all'autorità pubblica richiedente, e si impegna ad esaurire tutti i mezzi di ricorso disponibili per impugnare la richiesta se, dopo un'attenta valutazione, essa (o il proprio sub-responsabile del trattamento) conclude che vi sono motivi, ai sensi della normativa applicabile cui è soggetta NTT (o il proprio sub-responsabile del trattamento). Nell'impugnare una richiesta, NTT cercherà (e farà in modo che il proprio sub-responsabile faccia altrettanto) di chiedere provvedimenti cautelari volti a sospendere gli effetti della richiesta fino a quando il giudice non si sarà pronunciato nel merito. NTT non divulgherà (e farà in modo che il proprio sub-responsabile del trattamento non divulghi) i dati personali richiesti fino a quando ciò non sia richiesto dalle norme procedurali applicabili. Tali requisiti non fanno venir meno gli obblighi a carico di NTT di cui alla clausola Error! Reference s ource not found.. NTT si impegna a documentare la propria valutazione legale (e quella del proprio sub- responsabile del trattamento) nonché qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalle leggi applicabili a cui è soggetta (o cui è soggetto il proprio sub-responsabile del trattamento), di metterla a disposizione del Cliente. Su richiesta, tale documentazione sarà messa a disposizione anche dell'autorità competente per la protezione dei dati.
1.10 NTT impiegherà ogni ragionevole sforzo per fornire (e per fare in modo che il proprio sub-responsabile al quale è stato effettuato il trasferimento fornisca) la quantità minima di informazioni consentita quando risponde a una richiesta di divulgazione, sulla base di una ragionevole interpretazione della richiesta
1.11 NTT informerà (e farà in modo che il proprio sub-responsabile cui è effettuato il trasferimento informi) gli interessati in modo trasparente e facilmente accessibile, sul proprio sito web, di un punto di contatto autorizzato a gestire reclami o richieste e NTT gestirà (e farà in modo che i propri sub-responsabili gestiscano) tempestivamente eventuali reclami
Allegato F Clausole Contrattuali Tipo UE Unione Europea (responsabili) – Trasferimenti da UE/SEE
Clausole Contrattuali Tipo UE Unione Europea per il trasferimento dei dati personali a paesi terzi secondo quanto previsto dal Regolamento (UE) 2016/679
(Modulo 2 – Trasferimenti da Titolare del trattamento nell’UE/SEE a Responsabile del trattamento al di fuori dell’UE /SEE)
SEZIONE I
Clausola 1
Scopo e ambito di applicazione
a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) 1 in caso di trasferimento di dati personali verso un paese terzo.
b) Le parti:
i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le «entità») che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito «esportatore»), e
ii) la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito «importatore»)
hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»).
c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle Clausole
a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.
Clausola 3
Terzi beneficiari
a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
i) clausola 1, clausola 2, xxxxxxxx 3, clausola 6, clausola 7;
ii) clausola 8 - modulo uno: clausola 8.5, lettera e), e clausola 8.9, lettera b); modulo due: clausola 8.1, lettera b), clausola 8.9, lettere a), c), d) ed e); modulo tre: clausola 8.1, lettere a), c) e d), e clausola 8.9, lettere a), c), d), e), f) e g); modulo quattro: clausola 8.1, lettera b), e xxxxxxxx 8.3, lettera b);
iii) clausola 9 - modulo due: clausola 9, lettere a), c), d) ed e); modulo tre: clausola 9, lettere a), c), d) ed e);
iv) clausola 12 - modulo uno: clausola 12, lettere a) e d); moduli due e tre: clausola 12, lettere a), d) e f);
v) clausola 13;
1 Qualora l’esportatore sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un’istituzione o di un organo dell’Unione in qualità di titolare del trattamento, l’utilizzo delle presenti clausole quando è fatto ricorso a un altro responsabile del trattamento (sub-responsabile del trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Si tratta, in particolare, del caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella decisione 2021/915.
vi) clausola 15.1, lettere c), d) ed e);
vii) clausola 16, lettera e);
viii) clausola 18 - moduli uno, due e tre: clausola 18, lettere a) e b); modulo quattro: clausola 18.
b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4
Interpretazione
a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6
Descrizione dei trasferimenti
I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.
Clausola 7 — Facoltativa
Clausola di adesione successiva
a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A.
b) Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A.
c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.
SEZIONE II — OBBLIGHI DELLE PARTI
Clausola 8
Garanzie in materia di protezione dei dati
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
8.1. Istruzioni
a) L’importatore tratta i dati personali soltanto su istruzione documentata dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.
b) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.
8.2. Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni dell’esportatore.
8.3. Trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può espungere informazioni dall’appendice delle presenti clausole prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. Questa clausola lascia impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.4. Esattezza
Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per cancellarli o rettificarli.
8.5. Durata del trattamento e cancellazione o restituzione dei dati
L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. Al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6. Sicurezza del trattamento
a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
b) L’importatore concede l’accesso ai dati personali ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, se del caso anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo;
d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7. Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo
«dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8. Trasferimenti successivi
L’importatore comunica i dati personali a terzi soltanto su istruzione documentata dell’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea2 (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato.
i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
2 L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9. Documentazione e rispetto
a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore relative al trattamento a norma delle presenti clausole.
b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto dell’esportatore.
c) L’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e, su richiesta dell’esportatore, consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
d) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
e) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
Clausola 9
Ricorso a sub-responsabili del trattamento
a) AUTORIZZAZIONE SCRITTA GENERALE. L’importatore ha l’autorizzazione generale dell’esportatore per ricorrere a sub- responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub- responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così all’esportatore tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce all’esportatore le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
b) Qualora l’importatore ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto dell’esportatore), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati3. Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
c) Su richiesta dell’esportatore, l’importatore gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub- responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.
Clausola 10
Diritti dell’interessato
a) L’importatore notifica prontamente all’esportatore qualunque richiesta ricevuta da un interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dall’esportatore.
b) L’importatore assiste l’esportatore nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e
3 Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti clausole secondo il modulo appropriato, conformemente alla clausola 7.
organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni dell’esportatore.
Clausola 11
Ricorso
a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12
Responsabilità
a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
b) L’importatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o il suo sub- responsabile del trattamento ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento.
c) Nonostante la lettera b), l’esportatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o l’importatore (o il suo sub-responsabile del trattamento) ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore e, qualora l’esportatore sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.
d) Le parti convengono che, se l’esportatore è ritenuto responsabile a norma della lettera c) per i danni causati dall’importatore (o dal suo sub-responsabile del trattamento), egli ha il diritto di reclamare dall’importatore la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
e) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
f) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
g) L’importatore non può invocare il comportamento di un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13
Controllo
a) [Qualora l’esportatore sia stabilito in uno Stato membro dell’UE:] L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e abbia nominato un rappresentante in conformità dell’articolo 27, paragrafo 1, del medesimo regolamento:] L’autorità di controllo dello Stato membro in cui il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679 è stabilito, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e non abbia tuttavia nominato un rappresentante in conformità dell’articolo 27, paragrafo 2, del medesimo regolamento:] L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti a norma delle presenti clausole in relazione all’offerta di beni o alla prestazione di servizi, o il cui comportamento è oggetto di monitoraggio, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.
SEZIONE III — LEGISLAZIONI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14
Legislazione e prassi locali che incidono sul rispetto delle clausole
a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili4;
iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a). [Per il modulo tre: L’esportatore trasmette la notifica al titolare del trattamento.]
f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione [per il modulo tre:, se del caso in consultazione con il titolare del trattamento]. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione [per il modulo tre: del titolare del trattamento o] dell’autorità di controllo competente. In
4 Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle presenti clausole, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale. Tali elementi possono includere un’esperienza pratica pertinente e documentata in casi precedenti di richieste di comunicazione da parte di autorità pubbliche, o l’assenza di tali richieste, per un periodo di tempo sufficientemente rappresentativo. Si tratta in particolare di registri interni o altra documentazione, elaborati su base continuativa conformemente alla dovuta diligenza e certificati a livello di alta dirigenza, sempre che tali informazioni possano essere lecitamente condivise con terzi. Qualora per concludere che all’importatore non sarà impedito di rispettare le presenti clausole si faccia affidamento su questa esperienza pratica, essa deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se tali elementi, congiuntamente, abbiano un peso sufficiente in termini di affidabilità e rappresentatività per sostenere tale conclusione. In particolare, le parti devono considerare se la loro esperienza pratica è corroborata e non contraddetta da informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti.
tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
15.1. Notifica
Clausola 15
Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
b) Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
c) Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.). [Per il modulo tre: L’esportatore trasmette le informazioni al titolare del trattamento.]
d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2. Riesame della legittimità e minimizzazione dei dati
a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).
b) L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente. [Per il modulo tre: L’esportatore mette la valutazione a disposizione del titolare del trattamento.]
c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.
SEZIONE IV — DISPOSIZIONI FINALI
Clausola 16
Inosservanza delle clausole e risoluzione
a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o
iii) l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l’autorità di controllo competente di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
d) I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17
Legge applicabile
Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella specificata nel Contratto con il Cliente stipulato tra le Parti, salvo diversamente specificato.
Clausola 18
Scelta del foro e giurisdizione
a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
b) Le parti convengono che tali organi giurisdizionali sono quelli specificati nell’ambito del Contratto con il Cliente stipulato tra le Parti.
c) L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.
Clausola 19
Xxxxxxxx aggiuntiva relativa agli esportatori di dati soggetti alle leggi sulla protezione dei dati in Svizzera
La presente clausola 19 si applica ai dati personali soggetti alla stessa legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e rivista il 25 settembre 2020 ("LPD"). Il termine Stato membro dell'UE in queste clausole include gli Stati SEE e la Svizzera. Il trasferimento dei dati è soggetto alle disposizioni del GDPR. Le disposizioni della LPD sono inoltre applicabili in via secondaria. Per quanto riguarda i trasferimenti di dati personali dalla Svizzera, l'autorità di controllo competente è l'Incaricato federale della protezione dei dati e della trasparenza (“FDPIC”). Ai sensi dell'attuale legge federale sulla protezione dei dati del 19 giugno 1992 (in vigore alla data di sottoscrizione delle presenti clausole) e fino all'entrata in vigore della legge federale sulla protezione dei dati del 19 giugno 1992, rivista il 25 settembre 2020 (il o dopo la data di sottoscrizione delle presenti Clausole), il termine dati personali rispetto alla Svizzera comprende, inoltre, i dati delle persone giuridiche e non solo delle persone fisiche.
APPENDICE
NOTA ESPLICATIVA:
Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o categoria di trasferimenti e, al riguardo, determinare il/i rispettivo/i ruolo/i delle Parti in qualità di esportatore/i di dati e/o importatore/i di dati. Ciò non richiede necessariamente la compilazione e la sottoscrizione di allegati separati per ciascuna cessione/categoria di cessioni e/o rapporto contrattuale, ove tale trasparenza possa essere ottenuta attraverso un'unica appendice. Tuttavia, ove necessario per garantire una sufficiente chiarezza, dovrebbero essere utilizzate appendici separate.
A. LISTA delle PARTI Esportatore/i dei dati: il Cliente
Denominazione: fare riferimento ai dettagli del Cliente sulla prima pagina del DPA. Indirizzo: fare riferimento ai dettagli del Cliente nella prima pagina del DPA.
Nome e riferimenti della persona di contatto: fare riferimento ai dettagli del Cliente nella prima pagina del DPA.
Attività rilevanti per il trasferimento dei dati ai sensi delle presenti Clausole: fare riferimento ai dettagli del Contratto con il Cliente e alla descrizione del trasferimento dei dati.
Firma e data: fare riferimento ai dettagli del Cliente nella prima pagina del DPA. Posizione (Titolare/Responsabile): Titolare.
Importatore/i dei dati: NTT e i sub-responsabili elencati nell’Allegato B del DPA che sono coinvolti nel trattamento dei dati personali per l’erogazione del Servizio
Denominazione: fare riferimento ai dettagli di NTT nella prima pagina del DPA, così come alla denominazione e ai dettagli di ciascuna entità del Gruppo NTT, coinvolta nel trattamento dei dati personali per l’erogazione del Servizio indicati nell’Allegato B.
Indirizzo: fare riferimento ai dettagli di NTT nella prima pagina del DPA, così come alla denominazione e ai dettagli di ciascuna entità del Gruppo NTT, coinvolta nel trattamento dei dati personali per l’erogazione del Servizio indicati nell’Allegato B.
Nome e riferimenti della persona di contatto: fare riferimento ai dettagli di NTT nella prima pagina del DPA.
Attività rilevanti per il trasferimento dei dati sai sensi delle presente Clausole: fare riferimento ai dettagli dell’Accordo con il Cliente e alla descrizione del trasferimento dei dati.
Firma e data: fare riferimento ai dettagli di NTT nella prima pagina del DPA. Posizione (Titolare/Responsabile): Responsabile
B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di interessati i cui dati sono oggetto di trasferimento
Si veda l’Allegato B.
Categorie di dati personali oggetto di trasferimento
Si veda l’Allegato B.
Dati sensibili trasferiti (se applicabile) e restrizioni applicate o misure di salvaguardia che tengano pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio rigorose limitazioni delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenimento della registrazione degli accessi ai dati personali, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.
Si veda l’Allegato B. Frequenza del trasferimento Si veda l’Allegato B.
Natura del trattamento
Si veda l’Allegato B.
Finalità del trasferimento e ulteriori trattamenti
Si veda l’Allegato B.
Periodo di conservazione dei dati, oppure, se non è possibile individuarlo a priori, i criteri utilizzati per determinare tale periodo
Si veda l’Allegato B.
Per trasferimenti a sub-responsabili specificare oggetto, natura e durata del trattamento
Si veda l’Allegato B.
C. AUTORITÀ DI VIGILANZA COMPETENTE
L’Autorità di Xxxxxxxxx competente viene individuate secondo quanto previsto dalla Clasuola 13.
L'autorità o le autorità di vigilanza competenti sono indicate sotto i dettagli del Cliente nella prima pagina di questo documento.
MISURE TECNICHE E ORGANIZZATIVE FINALIZZATE AD ASSICURARE LA SICUREZZA DEI DATI
Si veda l’Allegato C.