Supplemento per il Trattamento dei Dati Personali
Supplemento per il Trattamento dei Dati Personali
Il presente Supplemento per il Trattamento dei Dati Personali (nel seguito "Data Processing Addendum" o "DPA") e le Appendici DPA applicabili (nel seguito "Appendici DPA" o "DPA Exhibit"), disciplinano il Trattamento dei Dati Personali da parte di IBM per conto del Cliente (Dati Personali del Cliente) soggetti alla normativa GDPR (General Data Protection Regulation) 2016/679 o ad eventuali altre leggi sulla protezione dei dati identificate alla pagina xxxx://xxx.xxx.xxx/xxx/xxx (nell'insieme 'Leggi sulla Protezione dei Dati') al fine di erogare i servizi (Servizi) ai sensi dell'Accordo in essere tra il Cliente ed IBM. Le Appendici DPA per ciascun Servizio saranno fornite nel Documento d'Ordine (anche “TD”) applicabile. Il presente DPA è parte integrante dell'Accordo. I termini in maiuscolo utilizzati e non definiti nel presente documento hanno i significati specificati nelle Leggi sulla Protezione dei Dati applicabili. In caso di contrasto, le Appendici DPA prevalgono sul DPA che a sua volta prevale sulla parte rimanente dell'Accordo.
1. Trattamento dei Dati Personali
1.1 Il Cliente è (a) il Titolare del Trattamento dei Dati Personali del Cliente; o (b) è Responsabile del Trattamento per conto di altri Titolari e dichiara di aver ricevuto istruzioni ed essere stato autorizzato da tali altri Titolari a consentire a IBM il Trattamento dei Dati Personali del Cliente in qualità di Subresponsabile del Cliente secondo quanto stabilito nel presente DPA. Il Cliente nomina IBM quale Responsabile del Trattamento dei Dati Personali del Cliente. Qualora ci fossero altri Titolari del Trattamento dei Dati Personali, il Cliente li identificherà e informerà IBM prima di fornire i loro Dati Personali, come stabilito nell'Appendice DPA.
1.2 Nell'Appendice DPA per il Servizio sono elencate le categorie di Interessati, le tipologie di Dati Personali del Cliente, le Categorie particolari di Dati Personali e le attività di trattamento. La durata del Trattamento dei Dati Personali corrisponde alla durata del Servizio, salvo che non sia diversamente indicato nella Appendice DPA. La finalità e l'ambito del Trattamento dei Dati Personali consistono nell'erogazione del Servizio così come descritto nell'Accordo.
1.3 IBM tratterà i Dati Personali del Cliente secondo le istruzioni scritte del Cliente. L'ambito delle istruzioni del Cliente per il Trattamento dei Dati Personali del Cliente è definito nell'Accordo e, ove applicabile, dall'uso e dalla configurazione delle funzionalità a cui sono autorizzati il Cliente e i suoi utenti nell'ambito del Servizio. Il Cliente può fornire ulteriori istruzioni necessarie per legge in merito al Trattamento dei Dati Personali del Cliente (Istruzioni aggiuntive) come descritto nell'Articolo 10.2. Se IBM notifica al Cliente che un'Istruzione Aggiuntiva non è attuabile, le parti lavoreranno insieme per trovare un'alternativa. Se IBM comunica al Cliente che né l'Istruzione Aggiuntiva né una sua alternativa è praticabile, il Cliente può recedere dal Servizio interessato, in conformità con i termini applicabili dell’Accordo. Se IBM ritiene che un'istruzione violi le Leggi sulla Protezione dei Dati, IBM informerà immediatamente il Cliente, e potrà sospendere l'esecuzione di tale istruzione finché il Cliente non l’avrà modificata o ne avrà confermato in forma scritta la relativa legittimità.
1.4 Il Cliente agirà come unico punto di contatto per IBM. Poiché altri Titolari del Trattamento dei Dati potrebbero avere alcuni diritti diretti nei confronti di IBM, il Cliente dichiara e garantisce di esercitare tali diritti in nome e per conto dei suddetti Xxxxxxxx e di aver ottenuto tutte le autorizzazioni necessarie dagli altri Titolari del Trattamento dei Dati. IBM sarà esonerata dall'obbligo di informazione e comunicazione nei confronti di qualsiasi altro Titolare del Trattamento dei Dati ove IBM abbia provveduto a fornire tale informazione o comunicazione al Cliente. Analogamente, IBM agirà come unico punto di contatto per il Cliente rispetto ai propri obblighi in qualità di Responsabile del Trattamento dei Dati ai sensi del presente DPA.
1.5 IBM rispetterà tutte le Leggi sulla Protezione dei Dati in relazione ai Servizi, applicabili ad IBM in qualità di Responsabile del Trattamento dei Dati. IBM non è responsabile della determinazione dei requisiti di legge e delle normative applicabili alle attività commerciali del Cliente, nè del fatto che un Servizio soddisfi i requisiti di tali leggi o normative applicabili. Per ciò che concerne le Parti, il Cliente dichiara e garantisce che il Trattamento dei Dati Personali del Cliente è legittimo. Il Cliente non utilizzerà i Servizi in modo tale da determinare la violazione delle Leggi sulla Protezione dei Dati.
2. Misure tecniche e organizzative
2.1 Il Cliente ed IBM concordano che IBM implementerà e manterrà le misure tecniche e organizzative (TOMs) stabilite nell'Appendice DPA le quali garantiscono un livello di sicurezza adeguato al rischio connesso alle attività di responsabilità di IBM. Le TOMs sono soggette al progresso e ad ulteriore
sviluppo tecnico e tecnologico. Pertanto, IBM si riserva il diritto di modificare le TOMs a condizione che il funzionamento e la sicurezza dei Servizi non vengano degradati.
3. Diritti e Richieste degli Interessati
3.1 IBM informerà il Cliente in caso di richieste da parte degli Interessati pervenute direttamente a IBM e pertinenti all’esercizio dei propri diritti (ad es., comprese, ma non solo, la rettifica, la cancellazione, il blocco dei dati) in relazione ai Dati Personali del Cliente. Il Cliente sarà responsabile della gestione di tali richieste inoltrate dagli Interessati. IBM assisterà ragionevolmente il Cliente nella gestione di tali richieste degli Interessati in conformità con l'Articolo 10.2.
3.2 Se un Interessato presenta un reclamo direttamente nei confronti di IBM per una violazione dei propri diritti causata da fatti imputabili al Cliente, quest’ultimo rimborserà IBM per qualsiasi costo, addebito, danno, spesa o perdita derivanti da tale richiesta a condizione che IBM abbia provveduto a notificare il reclamo al Cliente senza ingiustificato ritardo e abbia fornito al Cliente medesimo l'opportunità di collaborare con IBM nell'azione difensiva e nella composizione della vertenza stessa. Nei limiti di quanto previsto dall'Accordo, il Cliente può richiedere a IBM i danni derivanti da reclami degli Interessati per violazione dei propri diritti, qualora tale violazione sia stata causata da fatti imputabili esclusivamente ad IBM, o ad un sub- responsabile, in virtù di una violazione dei propri obblighi in base al presente DPA ed alla relativa Appendice DPA.
4. Richieste di Xxxxx e Riservatezza
4.1 IBM non divulgherà i Dati Personali del Cliente ad alcuna terza parte, salvo che non venga autorizzata dal Cliente o sia richiesto dalla normativa vigente. Qualora una pubblica amministrazione o Autorità di Xxxxxxxxx richiedano l'accesso ai Dati Personali del Cliente, IBM informerà il Cliente prima di renderli disponibili, salvo che tale notifica non sia proibita dalla normativa vigente.
4.2 IBM richiede a tutto il suo personale, autorizzato a trattare i Dati Personali del Cliente, l'impegno alla riservatezza e a non trattare tali Dati Personali del Cliente per nessun'altra finalità, fatte salve diverse e ulteriori istruzioni del Cliente ovvero salvo che ciò non sia richiesto dalla legge in vigore.
5. Audit
5.1 IBM si impegna a consentire e a collaborare per il regolare svolgimento delle attività di audit, incluse le ispezioni, effettuate dal Cliente o da un altro revisore incaricato dal Cliente secondo quanto di seguito definito:
1. IBM, su richiesta scritta del Cliente, fornirà al Cliente o al suo revisore incaricato, evidenza delle certificazioni più recenti e/o di eventuali rapporti inerenti ad attività di audit richieste da IBM stessa al fine di testare e verificare periodicamente l'efficacia delle TOMs, nei limiti di quanto stabilito nell'Appendice al DPA.
2. IBM collaborerà ragionevolmente con il Cliente per fornire ulteriori informazioni disponibili riguardanti le TOMs, per aiutare il Cliente a meglio comprendere tali TOMs.
3. Qualora il Cliente abbia bisogno di ulteriori informazioni per adempiere ad obblighi di audit propri e di altri Titolari del Trattamento dei Dati o ad una richiesta dell'Autorità di Xxxxxxxxx, il Cliente informerà IBM per iscritto per consentire ad IBM di fornire tali informazioni o garantirne l'accesso.
4. Nella misura in cui non sia possibile soddisfare altrimenti un obbligo di audit imposto dalla legge in vigore o espressamente concordato tra le Parti, solo le autorità preposte per legge (ad esempio l'Autorità governativa tenuta al controllo delle operazioni del Cliente), il Cliente o i suoi revisori incaricati avranno la facoltà di effettuare una visita onsite presso le strutture IBM utilizzate per fornire il Servizio. Le visite avranno luogo durante il normale orario lavorativo e, comunque, si svolgeranno in modo da ridurre al minimo la possibile interruzione delle attività di IBM. IBM stabilirà la tempistica di tale visita e la gestirà in
conformità con le procedure di audit descritte nell'Appendice DPA, al fine di ridurre i rischi per altri clienti di IBM.
Qualsiasi altro revisore incaricato dal Cliente non deve essere un concorrente diretto di IBM per quanto riguarda i Servizi e deve essere vincolato da un obbligo di riservatezza.
5.2 Entrambe le parti si faranno carico delle proprie spese in conformità con i paragrafi a. e b. dell'Articolo 5.1, altrimenti si applicherà l'Articolo 10.2.
6. Restituzione o Cancellazione dei Dati Personali del Cliente
6.1 Alla cessazione o scadenza dell'Accordo, IBM cancellerà o restituirà i Dati Personali del Cliente in suo possesso, come stabilito nell'Appendice DPA, salvo che non sia diversamente richiesto dalla normativa applicabile.
7. Subresponsabili
7.1 Il Cliente autorizza l'incarico di altri Responsabili per Trattamento dei Dati Personali del Cliente (Subresponsabili). Un elenco degli attuali Subresponsabili è specificato nella rispettiva Appendice DPA. IBM notificherà al Cliente in anticipo eventuali aggiunte o sostituzioni dei Subresponsabili come specificato nella rispettiva Appendice DPA. Entro 30 giorni dalla notifica di IBM dell’intenzione di apportare una modifica alla lista dei Subresponsabili, il Cliente può opporsi all’inserimento di un Subresponsabile solo nel caso in cui ciò possa causare la violazione degli obblighi della normativa vigente da parte del Cliente. Il rifiuto del Cliente, con l’indicazione specifica dei motivi e delle proposte alternative, ove possibile, dovrà essere comunicato ad IBM per iscritto. Se il Cliente non si oppone entro tale termine, il Subresponsabile s’intenderà autorizzato al Trattamento dei Dati Personali del Cliente. Prima del Trattamento dei Dati Personali del Cliente da parte di un Subresponsabile autorizzato, IBM si impegna ad imporre obblighi relativi alla protezione dei dati simili, ma non meno restrittivi, come definiti nel presente DPA.
7.2 Qualora il diniego del Cliente circa l’aggiunta di un Subresponsabile sia legittimo e IBM non possa ragionevolmente accogliere l'obiezione del Cliente, IBM lo comunicherà al Cliente. Il Cliente può recedere dai Servizi interessati come stabilito nell'Accordo, altrimenti le parti coopereranno per trovare una soluzione adatta in conformità con il processo di risoluzione delle controversie.
8. Trattamento dei Dati Transfrontaliero
8.1 In caso di trasferimento di Dati Personali del Cliente in un paese che non fornisce un livello adeguato di protezione ai sensi delle Leggi sulla Protezione dei Dati (Paese non adeguato), le parti dovranno cooperare per garantire la conformità con le Leggi sulla Protezione dei Dati applicabili come stabilito nei seguenti Articoli. Se il Cliente ritiene che le misure indicate di seguito non siano sufficienti per soddisfare i requisiti di legge, il Cliente dovrà informare IBM e le parti lavoreranno insieme per trovare un'alternativa.
8.2 Con la conclusione del presente Accordo il Cliente accetta le Clausole Contrattuali Standard UE indicate nell'Appendice DPA applicabile all’ambito del trattamento (EU SCC) con:
(i) ciascun Subresponsabile indicato nella relativa Appendice DPA che sia parte del gruppo IBM e che sia situato in un Paese non Adeguato (IBM Data Importer)
(ii) IBM, se ubicata in un Paese non adeguato, secondo le seguenti modalità di accettazione:
a. se il Cliente è Titolare del trattamento di tutti i Dati Personali o anche solo di una parte di questi, il Cliente accetterà le EU SCC in relazione a tali Dati;
b. se il Cliente agisce in qualità di Responsabile, per tutti i Dati Personali, o anche solo per una parte di questi, il Cliente accetterà le EU SCC come segue:
(i) qualora il Cliente abbia già sottoscritto le Clausole Contrattuali Standard UE con i Titolari, in conformità alla Clausola 11 delle stesse Clausole Contrattuali Standard UE, stipulerà un accordo scritto con il Subresponsabile (Back-to-Back SCC); ovvero
(ii) qualora il Cliente non abbia già sottoscritto le Clausole Contrattuali Standard UE con i Xxxxxxxx, dovrà ottenere da tali titolari idoneo titolo a concludere tale accordo.
Il Cliente accetta in anticipo che qualsiasi nuovo IBM Data Importer incaricato da IBM in conformità con l'Articolo 7 diventerà un importatore di dati aggiuntivo rispetto alle EU SCC e/o alle Back-to-Back SCC come sopra definite.
8.3 Se un Subresponsabile che si trova in un Paese non Adeguato non è un IBM Data Importer (Importatore Terzo di Dati) e le EU SCC sono sottoscritte in conformità con l’Articolo 8.2, allora IBM o un IBM Data Importer, dovrà stipulare un accordo scritto ai sensi della Clausola 11 delle EU SCC (back-to-back SCC) con tale Importatore Terzo di Dati. In caso contrario, ovvero qualora le EU SCC non siano state sottoscritte ai sensi del citato Articolo 8.2, il Cliente per proprio conto e/o, se richiesto, per conto di altri Titolari, stipulerà direttamente delle separate Clausole Contrattuali Standard UE o un separato accordo scritto ai sensi dell’art. 11 delle EU SCC (back-to-back SCC) come stabilito da IBM.
8.4 Se il Cliente non ha titolo per accettare le EU SCC o le Back-to-Back SCC per conto di un altro Titolare, come stabilito negli Articoli 8.2 e 8.3, il Cliente dovrà ottenere l’impegno di tale altro Titolare a concludere direttamente tali accordi. Inoltre, il Cliente accetta per sè e, se applicabile, per conto degli altri Titolati, che le EU SCC o le Back-to-Back SCC, incluse tutte le eventuali pretese derivanti dalle stesse, siano soggette ai medesimi termini e alle medesime condizioni stabilite nell'Accordo, ivi incluse le clausole che disciplinano le esclusioni e le limitazioni di responsabilità. In caso di conflitto con l’Accordo, prevarranno le EU SCC e le Back-to-Back SCC.
9. Violazione dei Dati Personali
9.1 In conformità a quanto previsto dall’art. 33, par. 2 e 3, del Regolamento UE 2016/679 (GDPR) IBM, dopo essere venuta a conoscenza di una Violazione dei Dati Personali nell'ambito dei Servizi, notificherà la stessa al Cliente senza indebito ritardo. IBM verificherà tempestivamente la Violazione dei Dati Personali qualora abbia avuto luogo in un'infrastruttura IBM o in un'altra area di cui IBM è responsabile e assisterà il Cliente, come indicato nell'Articolo 10.
10. Assistenza da parte di IBM al Cliente
10.1 IBM assisterà il Cliente con misure tecniche ed organizzative (TOMs) per consentire a quest’ultimo di adempiere agli obblighi normativi a suo carico circa il rispetto dei diritti degli Interessati. IBM assisterà inoltre il Cliente al fine di consentirgli l’adempimento degli obblighi relativi alla sicurezza del Trattamento dei dati, alla notifica ed alla comunicazione di una Violazione dei Dati Personali ed alla Valutazione d'Impatto sulla protezione dei dati, inclusa la previa consultazione con l'Autorità di Vigilanza responsabile, se necessario, tenendo conto della natura del trattamento e delle informazioni disponibili per IBM.
10.2 Il Cliente farà una richiesta scritta a IBM per qualsiasi assistenza di cui al presente DPA. IBM potrà addebitare al Cliente un corrispettivo ragionevole per l'esecuzione di assistenza o di Istruzioni aggiuntive. Tale corrispettivo sarà quantificato da IBM e sarà oggetto di accordo scritto fra le Parti; in alternativa le Parti potranno applicare quanto eventualmente previsto nell’Accordo. Se il Cliente non accetta la proposta di IBM, le parti concordano di cooperare ragionevolmente per trovare una soluzione percorribile in conformità con la procedura di risoluzione delle controversie.