ACCORDO SUL TRATTAMENTO DEI DATI (“DPA”)
ACCORDO SUL TRATTAMENTO DEI DATI (“DPA”)
I) Disposizioni generali
1. Ambito di applicazione
Il DPA è incorporato per riferimento e costituisce parte integrante dell’Accordo (come definito nei Termini e Condizioni), salvo le parti non stipulino un accordo separato sul trattamento dei dati come parte di accordi specifici. In caso di incongruenze tra il DPA e qualsiasi altro termine dell’Accordo, prevarrà il DPA.
Il presente DPA si applica laddove TD SYNNEX, che agisce in qualità di responsabile del trattamento , tratti i dati personali per conto e in conformità alle istruzioni dell’Acquirente, che agisce per suo conto o per conto dei suoi clienti o dei loro utenti finali (“Clienti”) in qualità di titolare del trattamento. Si applica anche nel caso in cui l’Acquirente, che agisce in qualità di responsabile del trattamento , debba trattare i dati personali per conto e in conformità con le istruzioni di TD SYNNEX che agisce [per proprio conto o per conto di terzi] in qualità di titolare del trattamento.
Il presente DPA non si applica a TD SYNNEX e all’Acquirente che condividono dati personali tra di loro quali titolari del trattamento separati o uniti.
TD SYNNEX agisce in genere come un titolare del trattamento autonomo se:
(a) raccoglie dati personali in relazione alla gestione dell’Acquirente (come i dati personali relativi ai dipendenti dell’Acquirente);
(b) TD SYNNEX tratta i dati personali dell’utente finale forniti dal cliente dell’Acquirente per:
(i) effettuare controlli su frodi, antiriciclaggio di denaro, sanzioni e qualsiasi altro controllo, comprese indagini negate degli elenchi delle parti, e indagare e perseguire le frodi, il riciclaggio di denaro o le violazioni delle sanzioni in relazione alla creazione e al mantenimento di un rapporto con il cliente e alla fornitura di servizi;
(ii) conformità agli obblighi legali e normativi;
(iii) anonimizzazione e/o analisi dei dati; e
(iv) l’adempimento dell’Accordo, comprese le spedizioni di consegna e, se necessario per l’adempimento dell’Accordo, il trasferimento di tali dati personali a
terzi che agiscono in qualità di titolari del trattamento, quali vettori, produttori o fornitori di servizi terzi.
2. Definizioni
Qualsiasi termine non definito nel presente DPA o in altre parti dell’Accordo avrà il significato ad esso attribuito ai sensi del Regolamento generale sulla protezione dei dati (UE 2016/679) (“GDPR”). Riferimenti agli articoli del GDPR nel presente documento [Art. GDPR] si applicheranno solo nella misura
in cui il trattamento è soggetto al GDPR; per tutte le altre giurisdizioni pertinenti si applicano le corrispondenti leggi applicabili in materia di protezione dei dati.
Per “Paese terzo” si intende qualsiasi Paese che non sia né uno stato membro dell’Unione europea (“UE”), o dello Spazio economico europeo (“SEE”), nè oggetto di un giudizio di adeguatezza della propria legislazione in materia di privacy da parte della Commissione europea ai sensi dell’Articolo 45(3) del GDPR.
Per “Trattamento dei Dati personali del SEE” ai fini del presente DPA, si intende il trattamento dei dati personali che rientra nell’ambito di applicazione del GDPR o delle Leggi sulla privacy del Regno Unito o della Svizzera.
“Clausole contrattuali standard” o “SCC”- indica le clausole contrattuali standard per il trasferimento di dati personali a paesi terzi in merito alla Decisione di attuazione della Commissione (UE) 2021/914 del 4 giugno 2021 o qualsiasi decisione successiva o integrativa;
“Legge sulla privacy” indica tutte le norme e regolamenti applicabili relativi al trattamento dei dati personali e alla privacy che possono esistere nelle giurisdizioni pertinenti, per gli stati membri dell’UE o del SEE, incluso il GDPR;
Per “TOM” si intendono le misure tecniche e organizzative di cui al significato delle Leggi sulla privacy;
Per “Responsabile del trattamento” o “Sub- responsabile del trattamento” si intendono le terze parti autorizzate ai sensi del presente ATD ad avere accesso logico ai dati personali e trattarli in conformità all’Accordo;
Per “Trasferimento dei dati” si intende qualsiasi trattamento di dati personali al di fuori del paese in cui risiede il titolare
“Esportatore” indica qualsiasi parte di un Trasferimento di dati che si trova nel SEE, nel Regno Unito o in Svizzera.
II) Termini speciali per TD SYNNEX in qualità di Responsabile del trattamento
La presente sezione II si applica laddove TD SYNNEX, che agisce in qualità di responsabile del trattamento, tratti i dati personali per conto e in conformità alle istruzioni
dell’Acquirente, che agisce per suo conto o per conto dei suoi clienti o dei loro utenti finali (“Clienti”) in qualità di titolare del trattamento. Si applica in aggiunta alla sezione III di seguito. In caso di incongruenze tra le sezioni II e III, prevarrà la presente sezione II.
1. Comunicazione elettronica. TD SYNNEX può fornire all’Acquirente informazioni e avvisi nel contesto del presente DPA in formato elettronico, anche via e-mail, tramite il sito web standard TD SYNNEX o tramite un sito web identificato da TD SYNNEX.
2. Dettagli del trattamento. Utilizzando i Servizi, l’Acquirente accetta i dettagli del trattamento, tra cui natura, finalità e oggetto del trattamento, categorie di soggetti interessati, tipi di dati personali, categorie speciali di dati personali, TOM e altri Responsabili del trattamento
– ove pertinente – come definito nell’Accordo (incluso il presente DPA) e come altrimenti reso disponibile e
comunicato Elettronicamente da TD SYNNEX, anche a mezzo e-mail, tramite il sito web standard TD SYNNEX, o tramite un sito web che TD SYNNEX identifichi.
3. Clausole contrattuali standard. Le SCC, qualora applicabili tra TD SYNNEX e l’Acquirente, sono disponibili sul sito web standard TD SYNNEX o su un sito web identificato da TD SYNNEX.
4. Obblighi di TD SYNNEX e dell’Acquirente.
4.1. TD SYNNEX adempirà tutte le Leggi sulla privacy applicabili al proprio ruolo di responsabile del trattamento. TD SYNNEX non è responsabile del rispetto di leggi o regolamenti applicabili al settore dell’Acquirente o dei suoi Clienti che non sono generalmente applicabili ai fornitori dei rispettivi Prodotti. TD SYNNEX non stabilisce se i dati dell’Acquirente o dei suoi Clienti includano informazioni soggette a leggi o regolamenti specifici.
4.2. L’Acquirente dovrà valutare e determinare l’idoneità, l’adeguatezza e la conformità dell’uso dei Prodotti da parte dell’Acquirente o dei suoi Clienti, in conformità alle norme e regolamenti, incluse le Leggi sulla privacy, in particolare in termini di TOM, altri Responsabili del trattamento coinvolti, ubicazione del centro dati e trasferimento dei dati pertinenti, come descritto nell’Accordo, compresi il DPA e i dettagli del trattamento.
4.3. Se l’Acquirente stesso non è il titolare del trattamento dei dati personali, ma tratta i dati personali per conto dei Clienti, l’Acquirente garantisce di disporre di tutti i contratti in essere e di possedere tutti i permessi e le autorizzazioni necessarie del/i Cliente/i:
- di agire in relazione a TD SYNNEX in qualità di titolare del trattamento ai sensi del presente DPA ed esercitare tutti i diritti in qualità di titolare del trattamento nei confronti di TD SYNNEX e dei suoi altri responsabili del trattamento in relazione al DPA;
- di utilizzare TD SYNNEX in qualità di responsabile del trattamento per il trattamento dei dati personali, come stabilito nell’Accordo, incluso il presente DPA e i dettagli del trattamento;
- di essere il singolo punto di contatto con TD SYNNEX per tutte le istruzioni, gli avvisi, le informazioni e le comunicazioni in relazione al presente DPA e per interfacciare le comunicazioni rilevanti tra i Clienti e TD SYNNEX, ove richiesto dalla legge. TD SYNNEX sarà
esonerata da qualsiasi obbligo di informare o notificare un Cliente quando TD SYNNEX ha fornito tali informazioni
o notifiche all’Acquirente. TD SYNNEX fungerà da unico punto di contatto in vista degli altri responsabili del trattamento di TD SYNNEX.
- di esercitare i diritti degli Esportatori in conformità alle Clausole Contrattuali Standard – ove applicabile – nei confronti di (i) TD SYNNEX e/o (ii) degli altri suoi responsabili del trattamento tramite TD SYNNEX per conto dell’Esportatore.
III) Condizioni generali di trattamento
La presente sezione III si applica in aggiunta alla sezione II, laddove TD SYNNEX, che agisce in qualità di responsabile del trattamento , tratti i dati personali per conto e in conformità alle istruzioni dell’Acquirente, che agisce per suo conto o per conto dei suoi Clienti in qualità di titolare del trattamento. Si applica anche nel caso in cui l’Acquirente, che agisce in qualità di responsabile del trattamento, debba trattare i dati personali per conto e in conformità con le istruzioni di TD SYNNEX che agisce [per proprio conto o per conto di terzi] in qualità di titolare del trattamento.
1. Obblighi del Titolare del trattamento
1.1. Il Titolare del trattamento sarà l’unico responsabile del rispetto di tutti gli obblighi legali di un titolare del
trattamento in vista del trattamento ai sensi delle Leggi sulla privacy. Il Titolare del trattamento dovrà, al momento della risoluzione o scadenza dell’Accordo e per mezzo di un’istruzione, stabilire le misure per restituire i supporti informatici, inclusi i dati personali o per eliminare i dati personali memorizzati, e dovrà informare il responsabile del trattamento senza indebito ritardo in merito a eventuali errori o irregolarità di cui viene a conoscenza in relazione al trattamento dei dati personali da parte del responsabile del trattamento.
1.2. Il Titolare del trattamento non utilizzerà i Prodotti unitamente ai dati personali nella misura in cui ciò violi le Leggi sulla privacy e obblighi i propri Clienti di conseguenza.
2. Obblighi del Responsabile del trattamento
2.1. Conformità agli obblighi del Responsabile del trattamento. Il Responsabile del trattamento rispetterà tutti gli obblighi applicabili ai responsabili del trattamento ai sensi della Legge sulla privacy dei dati del SEE. Il Responsabile del trattamento non è responsabile di determinare i requisiti delle leggi applicabili all’attività o al settore del Titolare del trattamento o dei Clienti o che
la fornitura dei Prodotti da parte del responsabile del trattamento soddisfi i requisiti di tali leggi.
2.2. Istruzioni. Il Responsabile del trattamento tratterà i dati personali esclusivamente in conformità alle istruzioni impartite per iscritto dal titolare del trattamento, come definite nell’Accordo, incluso il presente DPA e i suoi allegati, – qualora applicabile – l’uso e la configurazione
autorizzati dei Prodotti da parte dei titolari del trattamento o altrimenti per iscritto. Il Responsabile dovrà informare immediatamente il titolare del trattamento qualora il responsabile del trattamento ritenga che le istruzioni del titolare del trattamento siano in violazione della legge applicabile in materia di protezione dei dati e/o degli obblighi contrattuali previsti dal presente Accordo, incluso il presente ATD. Il Responsabile del trattamento ha il diritto di sospendere l’implementazione di tale istruzione fino a quando non viene esaminata dal titolare del trattamento e confermata o modificata di conseguenza. Il responsabile del trattamento è autorizzato a trattare i dati personali senza le istruzioni del titolare del trattamento,
se richiesto dalla legge dell’UE o dei suoi Stati membri a cui è soggetto il responsabile del trattamento; in tal caso,
il responsabile del trattamento informerà il titolare del trattamento di tale requisito legale prima del trattamento, salvo non sia vietato dalla legge.
2.3. Divulgazione/Accesso. Il Responsabile del trattamento non divulgherà i dati personali a terzi, salvo non sia autorizzato dal titolare del trattamento o richiesto dalla legge dell’UE o dei suoi Stati membri. Se tale legge richiede di fornire a terzi, o a un governo, tribunale o autorità di controllo sulla base di tale legge l’accesso ai dati personali, il responsabile del trattamento informerà il titolare del trattamento prima della divulgazione, salvo ciò non sia vietato dalla legge. Xxxxx non sia obbligato ai sensi della legge dell’UE o dei suoi stati membri, il responsabile del trattamento non dovrà divulgare alcun dato personale
in risposta a tale richiesta presentata al responsabile del trattamento senza essersi preventivamente consultato con il titolare del trattamento. Laddove i dati personali del titolare del trattamento diventino soggetti a perquisizione e sequestro, confisca durante procedimenti fallimentari
o di insolvenza, o eventi o misure simili da parte di terzi durante il trattamento, il responsabile del trattamento deve informare il titolare del trattamento senza indebito ritardo.
2.4. Obbligo di fiducia. Il responsabile del trattamento richiede che tutto il proprio personale e le persone a cui è affidato il trattamento dei dati personali, si impegnino a rispettare la riservatezza, salvo non si applichi un adeguato obbligo legale di riservatezza, e non trattino tali dati personali per qualsiasi altro scopo, tranne che su istruzioni del titolare del trattamento o come altrimenti richiesto dalla legge dell’UE o dai suoi stati membri.
2.5. Diritti degli Interessati. Il Responsabile del trattamento assisterà ragionevolmente il titolare del trattamento su richiesta del titolare del trattamento e come richiesto dalla legge, nel fornire l’accesso agli interessati
e per rispondere a qualsiasi richiesta, reclamo o altra comunicazione da parte di un interessato, comprese le richieste degli interessati che intendano esercitare i propri diritti ai sensi delle Leggi sulla privacy. In caso di tale richiesta, il reclamo o la comunicazione siano ricevuti o altrimenti inoltrati al responsabile del trattamento , il responsabile del trattamento deve informare il titolare del trattamento senza indebito ritardo, se il responsabile del trattamento è in grado di correlare i dati soggetti al titolare del trattamento.
2.6. Violazione dei dati. Il responsabile del trattamento informerà il titolare del trattamento senza indebito ritardo qualora venga a conoscenza di qualsiasi violazione dei dati personali (“Data Breach ”) che interessi i dati personali del titolare del trattamento. Il responsabile del trattamento adotterà le misure e le azioni ragionevoli per rimediare
o mitigare gli effetti del Data Breach assisterà il titolare del trattamento nel garantire la conformità ai propri obblighi ai sensi della Legge sulla privacy applicabile al fine di notificare il Data Breach alle autorità di controllo e ai soggetti interessati che prendono in considerazione la natura del trattamento. In particolare, i responsabili del trattamento dovranno collaborare con il titolare
del trattamento fornendo aggiornamenti regolari e altre informazioni ragionevolmente richieste. Qualsiasi comunicato stampa, notifica, annuncio pubblico o
regolamentare o comunicazione relativa a un Data Breach devono essere effettuati dal titolare del trattamento a sua esclusiva discrezione, salvo quanto altrimenti richiesto dalle leggi applicabili.
2.7. Assistenza relativa agli obblighi del Titolare del trattamento. Il responsabile del trattamento assisterà ragionevolmente il titolare del trattamento su richiesta del titolare del trattamento, in relazione agli obblighi del titolare del trattamento in merito alla sicurezza del trattamento, alle valutazioni d’impatto sulla protezione dei dati e alle consultazioni precedenti tenendo conto delle informazioni disponibili da TD SYNNEX e della natura del trattamento. Il responsabile del trattamento fornirà assistenza in relazione alle verifiche di qualsiasi autorità di controllo competente nella misura in cui tale verifica si riferisca al trattamento dei dati personali da
parte del responsabile del trattamento ai sensi del presente Accordo e come ragionevolmente richiesto dal titolare del trattamento. L’assistenza del responsabile del trattamento può essere soggetta a spese ragionevoli, salvo l’assistenza del responsabile del trattamento non sia già trattata nell’Accordo di conseguenza.
2.8. Termine di scadenza dell’Accordo. Il Responsabile del trattamento, secondo facoltà del titolare del trattamento, eliminerà o restituirà tutti i dati personali al titolare del trattamento alla risoluzione o scadenza dell’Accordo, ed eliminerà le copie esistenti, salvo la legge dell’UE o dello Stato membro non richieda la conservazione dei dati personali da parte del responsabile del trattamento.
3. Misure di sicurezza tecniche e organizzative
3.1. Il responsabile del trattamento e il Titolare del trattamento devono implementare e mantenere i TOM, secondo le disposizioni della Legge sulla privacy applicabile. Ciò include l’implementazione e la manutenzione dei TOM
per garantire un livello di sicurezza adeguato ai rischi o ai danni ai dati personali, appropriato al danno che potrebbe derivare dal trattamento non autorizzato o
illegale o dalla perdita accidentale, distruzione o danno e la natura dei dati da proteggere, tenendo conto dello stato di sviluppo tecnologico e del costo di implementazione di qualsiasi misura (tali misure possono includere, qualora appropriato, pseudonimizzazione e crittografia dei dati personali, garantire la riservatezza, integrità, disponibilità e resilienza dei propri sistemi e servizi).
3.2. I TOM sono soggette a progressi tecnici e a ulteriori sviluppi. Il responsabile del trattamento si riserva il diritto di modificare le misure e le tutele implementate, a condizione, tuttavia, che la funzionalità e la sicurezza dei Prodotti non siano degradate. Qualsiasi decisione sostanziale relativa alla sicurezza sull’organizzazione del
trattamento dei dati e sulle procedure applicate deve essere notificata al titolare del trattamento.
3.3. Utilizzando un Prodotto, il titolare del trattamento riconosce le condizioni di servizio come indicato nell’Accordo e/o stabilito dal Responsabile del trattamento e conferma che le condizioni di servizio forniscono un livello adeguato di protezione in relazione ai rischi associati al trattamento dei dati personali.
4. Obblighi documentali e Audit
4.1. Su richiesta del titolare del trattamento, il responsabile del trattamento deve mettere a disposizione del titolare del trattamento, o di una terza parte autorizzata che agisca per conto del titolare del trattamento, le informazioni necessarie al titolare del trattamento o ai Clienti per adempiere i propri obblighi di Audit ai sensi delle Legge sulla privacy o di una richiesta dell’autorità di vigilanza, e deve consentire e contribuire all’espletamento di Audit e verifiche, comprese le ispezioni come stabilito di seguito.
4.2. Il Titolare del trattamento può richiedere al responsabile del trattamento di fornire informazioni pertinenti sui TOM, tra cui, ove disponibili, certificati di responsabili dell’Audit, rapporti o estratti dei rapporti di enti indipendenti (ad es., revisore, responsabile della protezione dei dati, reparto di sicurezza IT, revisore della privacy dei dati, revisore della qualità).
4.3. Nella misura in cui non sia altrimenti possibile soddisfare un obbligo di verifica previsto dalla Legge sulla privacy applicabile, il titolare del trattamento dei dati o il suo revisore incaricato può condurre verifiche personali in loco a costi individuali del titolare del trattamento, solitamente non più di una volta all’anno, durante il normale orario
di lavoro, con ragionevole interferenza con le operazioni del responsabile del trattamento e con ragionevole preavviso. Il responsabile del trattamento può stabilire che tali verifiche e ispezioni siano soggette all’esecuzione di un’impresa di riservatezza che protegge i dati di altri clienti e la riservatezza dei TOM e delle misure di salvaguardia implementate.
4.4. Il Titolare del trattamento informerà il responsabile del trattamento senza indebito ritardo in merito a eventuali errori o irregolarità rilevati durante un Audit.
5. Sub-responsabile del trattamento
5.1. Il Titolare del trattamento autorizza il responsabile del trattamento a trasferire i dati personali o a concedere l’accesso ai dati personali ad altri responsabili del trattamento da esso incaricati (e consente ad altri responsabili del trattamento tale accesso in conformità con la presente Clausola 5) allo scopo di fornire i Prodotti soggetti agli obblighi del titolare del trattamento ai sensi della presente Clausola 5. L’autorizzazione di cui sopra costituisce il previo consenso per iscritto del titolare del trattamento al coinvolgimento di altri responsabili del trattamento da parte del responsabile del trattamento, qualora tale consenso sia richiesto ai sensi delle Clausole contrattuali standard o della Legge sulla privacy. Il responsabile del trattamento è responsabile della conformità degli altri responsabili del trattamento agli obblighi del presente DPA. Il responsabile del trattamento rende disponibile al titolare del trattamento un elenco
aggiornato di altri responsabili del trattamento, ad esempio
su un sito web dedicato.
5.2 Il Titolare del trattamento avrà il diritto di opporsi alla nomina di un nuovo responsabile del trattamento entro 10 giorni dalla notifica. In caso contrario, si riterrà che il
titolare del trattamento abbia approvato tale nuova nomina
o modifica. Laddove esista un motivo sostanzialmente importante per un’obiezione, e non sia possibile risolvere la questione in maniera amichevole tra le parti, il titolare del trattamento avrà il diritto di risolvere l’Accordo in relazione al Prodotto in questione.
5.3 Il responsabile del trattamento stipula accordi scritti con l’altro responsabile del trattamento che assume ma
non possono essere meno protettivi di quelli stipulati nel presente DPA. Tale accordo in particolare fornisce garanzie sufficienti per implementare le TOM appropriate.
6. Trasferimento internazionale dei dati
6.1. Il Titolare del trattamento quivi autorizza il responsabile del trattamento a trasferire o concedere l’accesso ai
dati personali nell’ambito dei servizi, come indicato nell’Accordo, i dettagli del trattamento e/o le SCC, ove pertinente.
6.2. Qualsiasi trattamento di dati personali al di fuori del Paese
o della regione in cui si trova il titolare del trattamento è soggetto a un adeguato meccanismo di trasferimento dei dati, se e nelle guise richieste dalla Legge sulla privacy.
6.3. Per i trasferimenti di dati internazionali nell’ambito del Trattamento dei Dati personali del SEE, le SCC devono essere eseguite tra TD SYNNEX e l’Acquirente, qualora la parte che trasmetta o fornisca l’accesso ai dati personali si trova nel SEE, nel Regno Unito o in Svizzera e l’altra parte, che riceve o ha accesso a tali dati, si trovi in un Paese terzo. I termini del presente DPA non sono intesi a emendare o modificare le SCC, ma a fornire chiarezza in
termini di processi e procedure per la conformità alle SCC. In caso di conflitto tra i termini del presente DPA e le SCC, prevarranno le SCC.
6.4. Per i Trasferimenti di dati in relazione al trattamento di altri responsabili del trattamento, il responsabile del trattamento stipula le Clausole contrattuali standard applicabili (dal Responsabile del trattamento al
Responsabile del trattamento) con gli altri responsabili del trattamento e obbliga gli altri responsabili del trattamento di conseguenza in relazione a qualsiasi ulteriore trasferimento successivo.
7. Riservatezza
Le Parti non divulgheranno alcuna informazione riservata condivisa in relazione al presente DPA, ad eccezione di (i) come richiesto nel presente DPA o nelle istruzioni delle parti,
(ii) come richiesto dalla legge, (iii) in risposta a un’autorità competente o a un’agenzia regolatoria o governativa, e (iv) per le divulgazioni ai propri dipendenti, agenti e appaltatori
vincolati dalla riservatezza in base alla necessità di conoscenza delle informazioni.