CLAUSOLE CONTRATTUALI STANDARD

CLAUSOLE CONTRATTUALI STANDARD

SEZIONE I

Clausola 1

Oggetto e ambito di applicazione

  1. Le presenti clausole contrattuali standard mirano a garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati)1 per il trasferimento di dati personali verso un paese terzo.
  2. Le Parti:
    1. la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo (di seguito “entità”) che trasferisce i dati personali, come indicato nell’allegato I.A (di seguito ciascuno “esportatore di dati”), e
    2. l’entità o le entità in un paese terzo che ricevono i dati personali dall’esportatore di dati, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, come indicato nell’allegato I.A (di seguito ciascuno “importatore di dati”),
    hanno concordato le presenti clausole contrattuali standard (di seguito: “Clausole”).
  3. Le presenti Clausole si applicano al trasferimento dei dati personali come specificato nell’allegato I.B.
  4. L’appendice alle presenti Clausole, contenente gli allegati ivi richiamati, costituisce parte integrante delle Clausole stesse.

Clausola 2

Efficacia e invariabilità delle Clausole

  1. Le presenti Clausole stabiliscono garanzie adeguate, compresi i diritti azionabili degli interessati e mezzi di ricorso effettivi, ai sensi dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari a responsabili e/o da responsabili a responsabili, clausole contrattuali standard ai sensi dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, a condizione che non vengano modificate, se non per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le presenti Clausole o non pregiudichino i diritti o le libertà fondamentali degli interessati.
  2. Le presenti Clausole lasciano impregiudicati gli obblighi cui l’esportatore di dati è soggetto in virtù del regolamento (UE) 2016/679.

1 Qualora l’esportatore di dati sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un’istituzione o di un organo dell’Unione in qualità di titolare del trattamento, il ricorso alle presenti Clausole nel ricorrere a un altro responsabile (sub-trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti Clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare e il responsabile ai sensi dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 siano allineati. Ciò avverrà in particolare qualora il titolare e il responsabile si avvalgano delle clausole contrattuali standard incluse nella decisione […].

Clausola 3

Terzi beneficiari

  1. Gli interessati possono invocare e far valere le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore di dati e/o dell’importatore di dati, con le seguenti eccezioni:
    1. Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;
    2. Modulo due: Clausola 8.1(b), 8.9(a), (c), (d) ed (e);
    3. Clausola 9 – Modulo due: Clausola 9(a), (c), (d) ed (e);
    4. Modulo due: Clausola 12(a), (d) ed (f);
    5. Clausola 13;
    6. Clausola 15.1(c), (d) ed (e);
    7. Clausola 16(e);
    8. Clausola 18 – Modulo due: Clausola 18(a) e (b).
  2. La lettera a) lascia impregiudicati i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

Clausola 4

Interpretazione

  1. Laddove le presenti Clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini avranno lo stesso significato attribuito loro in tale regolamento.
  2. Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
  3. Le presenti Clausole non devono essere interpretate in modo contrastante con i diritti e gli obblighi previsti dal regolamento (UE) 2016/679.

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento dell’accettazione delle presenti Clausole o stipulati successivamente, prevarranno le presenti Clausole.

Clausola 6

Descrizione del trasferimento o dei trasferimenti

I dettagli del trasferimento o dei trasferimenti, e in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti, sono specificati nell’allegato I.B.

Clausola 7 – Opzionale

Clausola di adesione (Docking clause)

  1. Un’entità che non è parte delle presenti Clausole può, con l’accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, completando l’appendice e firmando l’allegato I.A.
  2. Una volta completata l’appendice e firmato l’allegato I.A, l’entità aderente diventerà parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore di dati o di un importatore di dati in conformità alla sua designazione nell’allegato I.A.
  3. L’entità aderente non avrà diritti o obblighi derivanti dalle presenti Clausole per il periodo precedente alla sua adesione.

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8

Garanzie in materia di protezione dei dati

L’esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per determinare che l’importatore di dati sia in grado, attraverso l’attuazione di adeguate misure tecniche e organizzative, di soddisfare i propri obblighi ai sensi delle presenti Clausole.

MODULO DUE: Trasferimento da titolare a responsabile

8.1 Istruzioni

  1. L’importatore di dati tratterà i dati personali solo sulla base di istruzioni documentate dell’esportatore di dati. L’esportatore di dati può fornire tali istruzioni per tutta la durata del contratto.
  2. L’importatore di dati informerà immediatamente l’esportatore di dati qualora non sia in grado di seguire tali istruzioni.

8.2 Limitazione della finalità

L’importatore di dati tratterà i dati personali solo per le finalità specifiche del trasferimento, come indicato nell’allegato I.B, salvo ulteriori istruzioni dell’esportatore di dati.

8.3 Trasparenza

Su richiesta, l’esportatore di dati metterà a disposizione dell’interessato, a titolo gratuito, una copia delle presenti Clausole, compresa l’appendice completata dalle Parti. Nella misura necessaria a proteggere segreti commerciali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore di dati può oscurare parte del testo dell’appendice alle presenti Clausole prima di condividerne una copia, ma dovrà fornire un riepilogo significativo qualora l’interessato non fosse altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniranno all’interessato i motivi degli oscuramenti, nella misura del possibile senza rivelare le informazioni oscurate. La presente clausola lascia impregiudicati gli obblighi dell’esportatore di dati ai sensi degli articoli 13 e 14 del regolamento (UE) 2016/679.

8.4 Esattezza

Se l’importatore di dati viene a conoscenza del fatto che i dati personali ricevuti sono inesatti o sono diventati obsoleti, ne informerà l’esportatore di dati senza indebito ritardo. In tal caso, l’importatore di dati collaborerà con l’esportatore di dati per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell’importatore di dati avverrà solo per la durata specificata nell’allegato I.B. Al termine della prestazione dei servizi di trattamento, l’importatore di dati, a scelta dell’esportatore di dati, cancellerà tutti i dati personali trattati per conto dell’esportatore di dati e certificherà a quest’ultimo di averlo fatto, oppure restituirà all’esportatore di dati tutti i dati personali trattati per suo conto e cancellerà le copie esistenti. Fino alla cancellazione o alla restituzione dei dati, l’importatore di dati continuerà a garantire il rispetto delle presenti Clausole. In caso di leggi locali applicabili all’importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l’importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e li tratterà solo nella misura e per il tempo richiesti da tale legge locale. Ciò lascia impregiudicata la clausola 14, in particolare l’obbligo per l’importatore di dati ai sensi della clausola 14(e) di notificare all’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere di essere o essere diventato soggetto a leggi o prassi non in linea con i requisiti della clausola 14(a).

8.6 Sicurezza del trattamento

  1. L’importatore di dati e, durante la trasmissione, anche l’esportatore di dati attueranno misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito “violazione dei dati personali”). Nel valutare il livello di sicurezza adeguato, le Parti terranno debitamente conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi che il trattamento comporta per gli interessati. Le Parti prenderanno in particolare in considerazione il ricorso alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere soddisfatta in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a uno specifico interessato rimarranno, ove possibile, sotto l’esclusivo controllo dell’esportatore di dati. Nell’adempiere ai propri obblighi ai sensi del presente paragrafo, l’importatore di dati attuerà almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore di dati effettuerà controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.
  2. L’importatore di dati concederà l’accesso ai dati personali ai membri del proprio personale solo nella misura strettamente necessaria per l’esecuzione, la gestione e il monitoraggio del contratto. Esso garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
  3. In caso di violazione dei dati personali riguardante dati personali trattati dall’importatore di dati ai sensi delle presenti Clausole, l’importatore di dati adotterà misure adeguate per porre rimedio alla violazione, comprese misure per attenuarne gli effetti negativi. L’importatore di dati informerà inoltre l’esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà i dettagli di un punto di contatto presso il quale è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per porre rimedio alla violazione, comprese, se del caso, le misure per attenuarne i possibili effetti negativi. Qualora non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni allora disponibili e le ulteriori informazioni saranno fornite successivamente senza indebito ritardo man mano che si renderanno disponibili.
  4. L’importatore di dati collaborerà con l’esportatore di dati e lo assisterà per consentirgli di adempiere ai propri obblighi ai sensi del regolamento (UE) 2016/679, in particolare per notificare l’autorità di controllo competente e gli interessati coinvolti, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’importatore di dati.

8.7 Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e reati (di seguito “dati sensibili”), l’importatore di dati applicherà le restrizioni specifiche e/o le garanzie supplementari descritte nell’allegato I.B.

8.8 Trasferimenti successivi

L’importatore di dati comunicherà i dati personali a terzi solo sulla base di istruzioni documentate dell’esportatore di dati. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell’Unione europea2 (nello stesso paese dell’importatore di dati o in un altro paese terzo, di seguito “trasferimento successivo”) solo se il terzo è o accetta di essere vincolato dalle presenti Clausole, nell’ambito del modulo appropriato, oppure se:

  1. il trasferimento successivo avviene verso un paese che beneficia di una decisione di adeguatezza ai sensi dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
  2. il terzo garantisce altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;
  3. il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; o
  4. il trasferimento successivo è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica.

Qualsiasi trasferimento successivo è subordinato al rispetto da parte dell’importatore di dati di tutte le altre garanzie previste dalle presenti Clausole, in particolare la limitazione della finalità.

2 L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione in materia di protezione dei dati, compreso il regolamento (UE) 2016/679, è coperta dall’accordo SEE ed è stata inserita nell’allegato XI dello stesso. Pertanto, qualsiasi comunicazione da parte dell’importatore di dati a un terzo situato nel SEE non si qualifica come trasferimento successivo ai fini delle presenti Clausole.

8.9 Documentazione e conformità

  1. L’importatore di dati risponderà tempestivamente e adeguatamente alle richieste dell’esportatore di dati relative al trattamento ai sensi delle presenti Clausole.
  2. Le Parti devono essere in grado di dimostrare il rispetto delle presenti Clausole. In particolare, l’importatore di dati conserva un’adeguata documentazione sulle attività di trattamento svolte per conto dell’esportatore di dati.
  3. L’importatore di dati metterà a disposizione dell’esportatore di dati tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nelle presenti Clausole e, su richiesta dell’esportatore di dati, consentirà e contribuirà alle verifiche (audit) delle attività di trattamento coperte dalle presenti Clausole, a intervalli ragionevoli o in presenza di indizi di non conformità. Nel decidere in merito a una revisione o a una verifica, l’esportatore di dati può tenere conto delle certificazioni pertinenti in possesso dell’importatore di dati.
  4. L’esportatore di dati può scegliere di condurre la verifica personalmente o di incaricare un revisore indipendente. Le verifiche possono includere ispezioni presso i locali o le strutture fisiche dell’importatore di dati e devono, se del caso, essere effettuate con un preavviso ragionevole.
  5. Le Parti metteranno le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali verifiche, a disposizione dell’autorità di controllo competente su richiesta.

Clausola 9

Ricorso a sub-responsabili

MODULO DUE: Trasferimento da titolare a responsabile

  1. L’importatore di dati ha l’autorizzazione generale dell’esportatore di dati per il ricorso a sub-responsabili del trattamento attingendo da un elenco concordato. L’importatore di dati informerà specificamente l’esportatore di dati per iscritto di eventuali modifiche previste a tale elenco mediante l’aggiunta o la sostituzione di sub-responsabili con almeno 10 giorni lavorativi di anticipo, dando così all’esportatore di dati il tempo sufficiente per potersi opporre a tali modifiche prima del ricorso ai sub-responsabili. L’importatore di dati fornirà all’esportatore di dati le informazioni necessarie per consentirgli di esercitare il proprio diritto di opposizione.
  2. Qualora l’importatore di dati ricorra a un sub-responsabile per svolgere specifiche attività di trattamento (per conto dell’esportatore di dati), lo farà mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi in materia di protezione dei dati di quelli che vincolano l’importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti dei terzi beneficiari per gli interessati.3 Le Parti concordano che, rispettando la presente clausola, l’importatore di dati adempie ai propri obblighi ai sensi della clausola 8.8. L’importatore di dati garantisce che il sub-responsabile rispetti gli obblighi cui l’importatore di dati è soggetto ai sensi delle presenti Clausole.
  3. L’importatore di dati fornirà, su richiesta dell’esportatore di dati, una copia di tale accordo con il sub-responsabile e di eventuali modifiche successive all’esportatore di dati. Nella misura necessaria a proteggere segreti commerciali o altre informazioni riservate, compresi i dati personali, l’importatore di dati può oscurare il testo dell’accordo prima di condividerne una copia.
  4. L’importatore di dati rimarrà pienamente responsabile nei confronti dell’esportatore di dati per l’adempimento degli obblighi del sub-responsabile ai sensi del contratto con l’importatore di dati. L’importatore di dati notificherà all’esportatore di dati qualsiasi inadempimento da parte del sub-responsabile dei propri obblighi ai sensi di tale contratto.
  5. L’importatore di dati concorderà una clausola a favore di terzi con il sub-responsabile in base alla quale – nel caso in cui l’importatore di dati sia di fatto scomparso, abbia cessato di esistere giuridicamente o sia diventato insolvente – l’esportatore di dati avrà il diritto di risolvere il contratto con il sub-responsabile e di istruire quest’ultimo a cancellare o restituire i dati personali.

3 Tale requisito può essere soddisfatto mediante l’adesione del sub-responsabile alle presenti Clausole nell’ambito del modulo appropriato, in conformità alla clausola 7.

Clausola 10

Diritti degli interessati

MODULO DUE: Trasferimento da titolare a responsabile

  1. L’importatore di dati notificherà tempestivamente all’esportatore di dati qualsiasi richiesta ricevuta da un interessato. Esso non risponderà a tale richiesta personalmente, a meno di non essere stato autorizzato a farlo dall’esportatore di dati.
  2. L’importatore di dati assisterà l’esportatore di dati nell’adempiere ai propri obblighi di risposta alle richieste degli interessati per l’esercizio dei loro diritti ai sensi del regolamento (UE) 2016/679. A tale riguardo, le Parti stabiliranno nell’allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, attraverso le quali sarà fornita l’assistenza, nonché l’ambito e l’entità dell’assistenza richiesta.
  3. Nell’adempiere ai propri obblighi ai sensi dei paragrafi (a) e (b), l’importatore di dati si atterrà alle istruzioni dell’esportatore di dati.

Clausola 11

Ricorso

  1. L’importatore di dati informerà gli interessati in un formato trasparente e facilmente accessibile, mediante comunicazione individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. Esso gestirà tempestivamente qualsiasi reclamo ricevuto da un interessato.

MODULO DUE: Trasferimento da titolare a responsabile

  1. In caso di controversia tra un interessato e una delle Parti in merito al rispetto delle presenti Clausole, tale Parte compirà ogni ragionevole sforzo per risolvere la questione in via amichevole e tempestiva. Le Parti si terranno reciprocamente informate su tali controversie e, se del caso, collaboreranno per risolverle.
  2. Qualora l’interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l’importatore di dati accetterà la decisione dell’interessato di:
    1. proporre reclamo all’autorità di controllo dello Stato membro in cui risiede abitualmente o lavora, oppure all’autorità di controllo competente ai sensi della clausola 13;
    2. adire le autorità giurisdizionali competenti ai sensi della clausola 18.
  3. Le Parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni stabilite nell’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
  4. L’importatore di dati si conformerà a una decisione vincolante ai sensi della legislazione applicabile dell’UE o dello Stato membro.
  5. L’importatore di dati concorda che la scelta effettuata dall’interessato non pregiudicherà i suoi diritti sostanziali e procedurali di esperire rimedi in conformità alle leggi applicabili.

Clausola 12

Responsabilità

MODULO DUE: Trasferimento da titolare a responsabile

  1. Ciascuna Parte sarà responsabile nei confronti dell’altra Parte o delle altre Parti per eventuali danni causati da qualsiasi violazione delle presenti Clausole.
  2. L’importatore di dati sarà responsabile nei confronti dell’interessato, e l’interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale causato all’interessato dall’importatore di dati o dal suo sub-responsabile violando i diritti dei terzi beneficiari ai sensi delle presenti Clausole.
  3. Nonostante il paragrafo (b), l’esportatore di dati sarà responsabile nei confronti dell’interessato, e l’interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale causato all’interessato dall’esportatore di dati o dall’importatore di dati (o dal suo sub-responsabile) violando i diritti dei terzi beneficiari ai sensi delle presenti Clausole. Ciò lascia impregiudicata la responsabilità dell’esportatore di dati e, qualora l’esportatore di dati sia un responsabile che agisce per conto di un titolare, la responsabilità del titolare ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.
  4. Le Parti concordano che se l’esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per danni causati dall’importatore di dati (o dal suo sub-responsabile), avrà il diritto di rivalersi sull’importatore di dati per la parte del risarcimento corrispondente alla responsabilità dell’importatore di dati per il danno.
  5. Qualora più di una Parte sia responsabile di un danno causato all’interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l’interessato avrà il diritto di intentare un’azione legale contro una qualsiasi di tali Parti.
  6. Le Parti concordano che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di rivalersi sull’altra Parte o sulle altre Parti per la parte del risarcimento corrispondente alla sua o loro responsabilità per il danno.
  7. L’importatore di dati non può invocare la condotta di un sub-responsabile per evitare la propria responsabilità.

Clausola 13

Supervisione

MODULO DUE: Trasferimento da titolare a responsabile

  1. Qualora l’esportatore di dati sia stabilito in uno Stato membro dell’UE: L’autorità di controllo incaricata di garantire il rispetto da parte dell’esportatore di dati del regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell’allegato I.C, agirà in qualità di autorità di controllo competente.

    Qualora l’esportatore di dati non sia stabilito in uno Stato membro dell’UE, ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 ai sensi dell’articolo 3, paragrafo 2, e abbia nominato un rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679: L’autorità di controllo dello Stato membro in cui è stabilito il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679, come indicato nell’allegato I.C, agirà in qualità di autorità di controllo competente.

    Qualora l’esportatore di dati non sia stabilito in uno Stato membro dell’UE, ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 ai sensi dell’articolo 3, paragrafo 2, senza tuttavia dover nominare un rappresentante ai sensi dell’articolo 27, paragrafo 2, del regolamento (UE) 2016/679: L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all’offerta di beni o servizi, o il cui comportamento è monitorato, come indicato nell’allegato I.C, agirà in qualità di autorità di controllo competente.

  2. L’importatore di dati accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di collaborare con essa in qualsiasi procedura volta a garantire il rispetto delle presenti Clausole. In particolare, l’importatore di dati accetta di rispondere alle richieste, di sottoporsi a verifiche e di conformarsi alle misure adottate dall’autorità di controllo, comprese le misure correttive e compensative. Esso fornirà all’autorità di controllo la conferma scritta che le azioni necessarie sono state intraprese.

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Leggi e prassi locali che incidono sul rispetto delle Clausole

MODULO DUE: Trasferimento da titolare a responsabile

  1. Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, compresi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sul presupposto che le leggi e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non siano in contraddizione con le presenti Clausole.
  2. Le Parti dichiarano che, nel fornire la garanzia di cui al paragrafo (a), hanno tenuto debitamente conto in particolare dei seguenti elementi:
    1. le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;
    2. le leggi e le prassi del paese terzo di destinazione – comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità – rilevanti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili4;
    3. qualsiasi garanzia contrattuale, tecnica o organizzativa pertinente messa in atto per integrare le garanzie previste dalle presenti Clausole, comprese le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.
  3. L’importatore di dati garantisce che, nell’effettuare la valutazione di cui al paragrafo (b), ha compiuto ogni ragionevole sforzo per fornire all’esportatore di dati le informazioni pertinenti e accetta di continuare a collaborare con l’esportatore di dati per garantire il rispetto delle presenti Clausole.
  4. Le Parti concordano di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
  5. L’importatore di dati accetta di notificare tempestivamente all’esportatore di dati se, dopo aver accettato le presenti Clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un’applicazione di tali leggi nella prassi non in linea con i requisiti del paragrafo (a).
  6. A seguito di una notifica ai sensi del paragrafo (e), o se l’esportatore di dati ha altrimenti motivo di ritenere che l’importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti Clausole, l’esportatore di dati individuerà tempestivamente le misure adeguate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l’esportatore di dati e/o l’importatore di dati devono adottare per far fronte alla situazione. L’esportatore di dati sospenderà il trasferimento dei dati se ritiene che non sia possibile garantire garanzie adeguate per tale trasferimento, o se così istruito dall’autorità di controllo competente. In tal caso, l’esportatore di dati avrà il diritto di risolvere il contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l’esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente clausola, si applicano la clausola 16, paragrafi (d) ed (e).

4 Per quanto riguarda l’impatto di tali leggi e prassi sul rispetto delle presenti Clausole, diversi elementi possono essere considerati come parte di una valutazione complessiva. Tali elementi possono includere l’esperienza pratica pertinente e documentata con precedenti casi di richieste di divulgazione da parte delle autorità pubbliche, o l’assenza di tali richieste, coprendo un arco temporale sufficientemente rappresentativo. Ciò si riferisce in particolare a registri interni o altra documentazione, redatti su base continuativa in conformità alla dovuta diligenza e certificati a livello di alta dirigenza, a condizione che tali informazioni possano essere legalmente condivise con terzi. Qualora si faccia affidamento su tale esperienza pratica per concludere che all’importatore di dati non sarà impedito di rispettare le presenti Clausole, essa deve essere supportata da altri elementi oggettivi e pertinenti, e spetta alle Parti valutare attentamente se tali elementi abbiano insieme un peso sufficiente, in termini di affidabilità e rappresentatività, per sostenere tale conclusione. In particolare, le Parti devono tenere conto se la loro esperienza pratica sia confermata e non contraddetta da informazioni affidabili, pubblicamente disponibili o altrimenti accessibili, sull’esistenza o l’assenza di richieste all’interno dello stesso settore e/o sull’applicazione della legge nella prassi, come la giurisprudenza e le relazioni di organismi di controllo indipendenti.

Clausola 15

Obblighi dell’importatore di dati in caso di accesso da parte delle autorità pubbliche

MODULO DUE: Trasferimento da titolare a responsabile

15.1 Notifica

  1. L’importatore di dati accetta di notificare tempestivamente all’esportatore di dati e, ove possibile, all’interessato (se necessario con l’aiuto dell’esportatore di dati) se:
    1. riceve una richiesta legalmente vincolante da parte di un’autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica includerà informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
    2. viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica includerà tutte le informazioni a disposizione dell’importatore.
  2. Qualora all’importatore di dati sia vietato notificare l’esportatore di dati e/o l’interessato ai sensi delle leggi del paese di destinazione, l’importatore di dati accetta di compiere ogni ragionevole sforzo per ottenere una deroga al divieto, al fine di comunicare quante più informazioni possibili, il prima possibile. L’importatore di dati accetta di documentare i propri sforzi per poterli dimostrare su richiesta dell’esportatore di dati.
  3. Laddove consentito dalle leggi del paese di destinazione, l’importatore di dati accetta di fornire all’esportatore di dati, a intervalli regolari per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedente/i, se le richieste sono state impugnate e l’esito di tali impugnazioni, ecc.).
  4. L’importatore di dati accetta di conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
  5. I paragrafi da (a) a (c) lasciano impregiudicato l’obbligo dell’importatore di dati ai sensi della clausola 14(e) e della clausola 16 di informare tempestivamente l’esportatore di dati qualora non sia in grado di rispettare le presenti Clausole.

15.2 Controllo di legittimità e minimizzazione dei dati

  1. L’importatore di dati accetta di verificare la legittimità della richiesta di divulgazione, in particolare se rientra nei poteri conferiti all’autorità pubblica richiedente, e di impugnare la richiesta se, dopo un’attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di cortesia internazionale. L’importatore di dati, alle stesse condizioni, esperirà le possibilità di appello. Nell’impugnare una richiesta, l’importatore di dati richiederà misure provvisorie volte a sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non si sarà pronunciata sul merito. Esso non divulgherà i dati personali richiesti finché non sarà tenuto a farlo in base alle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore di dati ai sensi della clausola 14(e).
  2. L’importatore di dati accetta di documentare la propria valutazione legale e qualsiasi impugnazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, di mettere la documentazione a disposizione dell’esportatore di dati. Essa sarà inoltre messa a disposizione dell’autorità di controllo competente su richiesta.
  3. L’importatore di dati accetta di fornire la quantità minima di informazioni consentita nel rispondere a una richiesta di divulgazione, sulla base di una ragionevole interpretazione della richiesta.

SEZIONE IV – DISPOSIZIONI FINALI

Clausola 16

Inosservanza delle clausole e risoluzione

  1. L’importatore dei dati informa tempestivamente l’esportatore dei dati qualora non sia in grado di rispettare le presenti clausole, per qualsiasi motivo.
  2. Nel caso in cui l’importatore dei dati violi le presenti clausole o non sia in grado di rispettarle, l’esportatore dei dati sospende il trasferimento dei dati personali all’importatore fino a quando non sia nuovamente garantito il rispetto delle stesse o il contratto non sia risolto. Ciò fatto salvo quanto previsto dalla clausola 14, lettera f).
  3. L’esportatore dei dati ha il diritto di risolvere il contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti clausole, qualora:
    1. l’esportatore dei dati abbia sospeso il trasferimento dei dati personali all’importatore ai sensi del paragrafo (b) e il rispetto delle presenti clausole non venga ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
    2. l’importatore dei dati violi in modo sostanziale o persistente le presenti clausole; oppure
    3. l’importatore dei dati non rispetti una decisione vincolante di un tribunale competente o di un’autorità di controllo in merito ai suoi obblighi ai sensi delle presenti clausole.
    In questi casi, informa l’autorità di controllo competente di tale inosservanza. Qualora il contratto coinvolga più di due parti, l’esportatore dei dati può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, a meno che le parti non abbiano concordato diversamente.
  4. Per il Modulo Due: I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono, a scelta dell’esportatore dei dati, essere immediatamente restituiti all’esportatore o cancellati integralmente. Lo stesso vale per eventuali copie dei dati.

    L’importatore dei dati certifica la cancellazione dei dati all’esportatore. Fino a quando i dati non vengono cancellati o restituiti, l’importatore continua a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore che vietino la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e tratterà i dati solo nella misura e per il tempo richiesti da tale legge locale.

  5. Ciascuna parte può revocare il proprio consenso a essere vincolata dalle presenti clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 che copra il trasferimento dei dati personali a cui si applicano le presenti clausole; oppure (ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali vengono trasferiti. Ciò fatto salvo altri obblighi applicabili al trattamento in questione ai sensi del regolamento (UE) 2016/679.

Clausola 17

Legge applicabile

MODULO DUE: Trasferimento da titolare a responsabile

Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, a condizione che tale legge consenta i diritti dei terzi beneficiari. Le parti concordano che tale legge sarà quella della Spagna.

Clausola 18

Scelta del foro e giurisdizione

MODULO DUE: Trasferimento da titolare a responsabile

  1. Qualsiasi controversia derivante dalle presenti clausole sarà risolta dai tribunali di uno Stato membro dell’UE.
  2. Le parti concordano che tali tribunali saranno quelli della Spagna.
  3. L’interessato può anche intentare un’azione legale contro l’esportatore e/o l’importatore dei dati dinanzi ai tribunali dello Stato membro in cui ha la sua residenza abituale.
  4. Le parti concordano di sottoporsi alla giurisdizione di tali tribunali.

APPENDICE

ALLEGATO I

MODULO DUE: Trasferimento da titolare a responsabile

A. ELENCO DELLE PARTI

Esportatore/i dei dati: l’esportatore dei dati è il titolare del trattamento che ha stipulato un contratto di servizi con l’importatore dei dati. L’identità e i dati di contatto dell’esportatore dei dati sono indicati nel contratto di servizi di cui le presenti Clausole costituiscono parte integrante.

Importatore/i dei dati:

Nome: PEGASUS BUSINESS INTELLIGENCE LLP
Indirizzo: Two Lincoln Centre
5420 LBJ Freeway, Suite 900
Dallas, TX 75240
Stati Uniti

L’importatore dei dati è un fornitore leader a livello mondiale di pagamenti B2B e soluzioni di business intelligence per l’industria dell’ospitalità con sede negli Stati Uniti; i dati di contatto dell’importatore sono dettagliati all’interno dell’accordo di servizi di cui le presenti clausole costituiscono parte vincolante.

B. DESCRIZIONE DEL TRASFERIMENTO

MODULO DUE: Trasferimento da titolare a responsabile

Categorie di interessati i cui dati personali vengono trasferiti

Ospiti dell’hotel e personale di contatto dell’esportatore dei dati.

Categorie di dati personali trasferiti

Nome, cognome e dati di prenotazione degli ospiti dell’hotel.

Dati di contatto (indirizzo e-mail, numero di telefono) del personale di contatto dell’esportatore dei dati.

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni all’accesso (incluso l’accesso solo per il personale che ha seguito una formazione specialistica), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una tantum o su base continuativa).

I dati vengono trasferiti su base continuativa.

Natura del trattamento e finalità del trasferimento dei dati e dell’ulteriore trattamento

Nel contesto delle attività che il responsabile del trattamento sviluppa a favore dei propri clienti, esso può accedere a determinati dati personali poiché l’accesso è necessario per fornire i servizi contrattati.

L’ambito dei servizi è stabilito nell’accordo di servizi stipulato tra l’importatore e l’esportatore dei dati, e i dati personali saranno trattati dall’importatore in qualità di responsabile del trattamento per fornire tali servizi e per rispettare i termini dell’accordo di servizi e delle presenti clausole.

Il periodo per il quale i dati personali saranno conservati o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo

I dati personali saranno cancellati o restituiti su richiesta scritta dell’esportatore, al termine della fornitura dei relativi servizi relativi al trattamento o, se precedente, non appena il trattamento di qualsiasi dato personale da parte del responsabile non sia più richiesto per l’adempimento degli obblighi delle parti ai sensi dell’accordo di servizi stipulato tra il titolare e il responsabile del trattamento, provvedendo alla cancellazione sicura delle copie esistenti.

Per i trasferimenti a (sub)responsabili, specificare anche l’oggetto, la natura e la durata del trattamento

Per i dati utilizzati per emettere fatture in Italia e in India, il responsabile del trattamento interagisce con Sovos per garantire il rispetto di tutti i requisiti normativi locali.

Flexential fornisce la piattaforma del data center, offrendo servizi di colocation e disaster recovery per i servizi Onyx che non fanno parte di un’infrastruttura basata su cloud. Le operazioni e i data center negli Stati Uniti sono interamente gestiti da Flexential, mentre le strutture dei data center con sede nell’UE sono gestite da Equinix.

Amazon Web Services (AWS) è la piattaforma preferita per i servizi abilitati al cloud forniti da Onyx in un ambiente cloud privato (VPC). Anche Microsoft Azure fornisce servizi cloud, ma limitatamente ai servizi InvoicePro.

Per l’oggetto, la natura e la durata di cui sopra.

C. AUTORITÀ DI CONTROLLO COMPETENTE

MODULO DUE: Trasferimento da titolare a responsabile

Identificare l’autorità o le autorità di controllo competenti in conformità alla clausola 13

L’Autorità spagnola per la protezione dei dati

ALLEGATO II – MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Controllo degli accessi alle aree di trattamento

L’importatore dei dati implementa misure idonee a impedire a persone non autorizzate di accedere alle apparecchiature di trattamento dei dati (server delle apparecchiature di rete e relativo hardware) dove i dati personali sono trattati o utilizzati, tra cui:

  • Istituzione di aree di sicurezza;
  • Protezione e limitazione dei percorsi di accesso;
  • Definizione delle autorizzazioni di accesso per dipendenti e terzi, inclusa la relativa documentazione;
  • Ogni accesso al data center in cui sono ospitati i dati personali è registrato, monitorato e tracciato; e
  • Il data center in cui sono ospitati i dati personali è protetto da un sistema di allarme di sicurezza e da altre misure di sicurezza appropriate

Controllo degli accessi ai sistemi di trattamento dei dati

  • L’importatore dei dati implementa misure idonee a impedire che i propri sistemi di trattamento dei dati vengano utilizzati da persone non autorizzate, tra cui:
  • Utilizzo di adeguate tecnologie di crittografia;
  • Identificazione del terminale e/o dell’utente del terminale presso l’importatore/sub-responsabile e i sistemi di trattamento;
  • Blocco temporaneo automatico del terminale utente se lasciato inattivo, con richiesta di identificazione e password per la riapertura;
  • Blocco temporaneo automatico dell’ID utente quando vengono inserite diverse password errate, file di log degli eventi, monitoraggio dei tentativi di intrusione (avvisi).

Controllo degli accessi per l’utilizzo di aree specifiche dei sistemi di trattamento dei dati

L’importatore/sub-responsabile si impegna a far sì che le persone autorizzate a utilizzare il proprio sistema di trattamento dei dati possano accedere ai dati solo nell’ambito e nella misura coperti dal rispettivo permesso di accesso (autorizzazione) e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione. Ciò sarà ottenuto attraverso varie misure, tra cui:

  • Politiche per i dipendenti e formazione in merito ai diritti di accesso di ciascun dipendente ai dati personali;
  • Capacità di monitoraggio rispetto alle persone che cancellano, aggiungono o modificano i dati personali;
  • Rilascio dei dati solo a persone autorizzate, inclusa l’assegnazione di diritti di accesso e ruoli differenziati; e
  • Utilizzo di adeguate tecnologie di crittografia; e controllo dei file, distruzione dei dati controllata e documentata

Controllo della disponibilità

L’importatore dei dati implementa misure idonee a garantire che i dati personali siano protetti dalla distruzione o dalla perdita accidentale, tra cui:

  • Ridondanza dell’infrastruttura; e
  • Il backup è archiviato in un sito alternativo e disponibile per il ripristino in caso di guasto del sistema primario;
  • Siti primari e secondari per il failover completo del servizio.

Controllo della trasmissione

L’importatore dei dati implementa misure idonee a impedire che i dati personali vengano letti, copiati, alterati o cancellati da soggetti non autorizzati durante la trasmissione degli stessi o durante il trasporto dei supporti dati. Ciò viene ottenuto attraverso varie misure, tra cui:

  • Utilizzo di firewall adeguati, VPN e tecnologie di crittografia per proteggere i gateway e i canali attraverso i quali viaggiano i dati; e
  • Per quanto possibile, tutte le trasmissioni di dati sono registrate, monitorate e tracciate.

Valutazioni dei sub-responsabili e dei fornitori

L’importatore dei dati valuta tutti i sub-responsabili e i fornitori per garantire che tutti i dati personali siano protetti in conformità alle politiche di sicurezza dell’importatore e siano conformi al suo programma di sicurezza delle informazioni, tra cui:

  • Valutazioni annuali dei fornitori per determinare il rischio; e
  • Misure di protezione dei dati, comprese le certificazioni.

1. SICUREZZA DEL DATA CENTER E DELLA RETE

(a) Data Center

  • Colocation (colo): L’importatore dei dati si avvale di una terza parte per ospitare le strutture del data center; i servizi di colocation forniscono un alloggiamento sicuro per i server fisici e connessioni di rete, oltre a risorse ridondanti di alimentazione e raffreddamento per proteggere l’infrastruttura.
  • Infrastruttura: L’importatore dei dati mantiene data center distribuiti geograficamente. L’importatore dei dati archivia tutti i dati di produzione in data center fisicamente sicuri.
  • Ridondanza: I sistemi infrastrutturali sono stati progettati per eliminare i singoli punti di guasto e ridurre al minimo l’impatto dei rischi ambientali previsti. Doppi circuiti, switch, reti o altri dispositivi necessari aiutano a fornire questa ridondanza. I servizi sono progettati per consentire all’importatore dei dati di eseguire determinati tipi di manutenzione preventiva e correttiva senza interruzioni. Tutte le apparecchiature e le strutture ambientali dispongono di procedure di manutenzione preventiva documentate che dettagliano il processo e la frequenza delle prestazioni in conformità con le specifiche del produttore o interne.
  • Alimentazione: I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e manutenibili senza impatto sulle operazioni continue, 24 ore su 24, 7 giorni su 7. Nella maggior parte dei casi, per i componenti critici dell’infrastruttura nel data center viene fornita una fonte di alimentazione primaria e una alternativa, ciascuna con uguale capacità. L’alimentazione di backup è fornita da vari meccanismi come batterie di gruppi di continuità (UPS), che forniscono una protezione dell’alimentazione costantemente affidabile durante cali di tensione, blackout, sovratensione, sottotensione e condizioni di frequenza fuori tolleranza. Se l’alimentazione di rete viene interrotta, l’alimentazione di backup è progettata per fornire energia transitoria al data center, a piena capacità, fino a quando non subentrano i sistemi di generatori diesel. I generatori diesel sono in grado di avviarsi automaticamente entro pochi secondi per fornire energia elettrica di emergenza sufficiente a far funzionare il data center a piena capacità, in genere per un periodo di giorni.
  • Continuità operativa: L’importatore dei dati replica i dati su più sistemi per proteggerli dalla distruzione o dalla perdita accidentale. L’importatore dei dati ha progettato e pianifica e testa regolarmente i propri programmi di pianificazione della continuità operativa/disaster recovery.

(b) Reti e trasmissione

  • Trasmissione dei dati: I data center sono in genere collegati tramite collegamenti privati ad alta velocità per fornire un trasferimento dati sicuro e veloce tra i data center. Questo è progettato per impedire che i dati vengano letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento o il trasporto elettronico. I collegamenti dedicati tra le sedi degli uffici e i data center sono forniti tramite SD-WAN. L’importatore dei dati trasferisce i dati tramite protocolli standard di Internet.
  • Superficie di attacco esterna: L’importatore dei dati impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la sua superficie di attacco esterna. L’importatore dei dati considera i potenziali vettori di attacco e incorpora tecnologie appropriate create appositamente nei sistemi rivolti all’esterno.
  • Rilevamento delle intrusioni: Il rilevamento delle intrusioni ha lo scopo di fornire informazioni sulle attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti. Il rilevamento delle intrusioni dell’importatore dei dati comporta il controllo rigoroso delle dimensioni e della composizione della superficie di attacco dell’importatore attraverso misure preventive e l’impiego di controlli di rilevamento intelligenti nei punti di ingresso dei dati.
  • Risposta agli incidenti: L’importatore dei dati monitora una varietà di canali di comunicazione per incidenti di sicurezza e il personale di sicurezza dell’importatore reagirà prontamente agli incidenti noti.
  • Tecnologie di crittografia: L’importatore dei dati rende disponibile la crittografia HTTPS (denominata anche connessione TLS) per la crittografia dei dati in transito; vengono utilizzati e configurati in modo appropriato protocolli e configurazioni (cifrari) secondo le migliori pratiche del settore. Quando i dati vengono trasferiti tramite FTP, viene utilizzato un canale sicuro (SFTP o FTPS).
  • Sicurezza delle applicazioni: L’importatore dei dati ha sviluppato e implementato un programma di sviluppo sicuro, basato sull’Open Web Application Security Project (OWASP) e sul Microsoft Security Development Lifecycle. Al termine, gli sviluppi di prodotti sensibili vengono testati per garantire che la sicurezza delle applicazioni sia stata affrontata in modo approfondito e corretto.
  • Monitoraggio delle vulnerabilità tramite test di penetrazione: L’importatore dei dati esegue almeno due test di penetrazione della sicurezza delle informazioni all’anno, condotti da società di sicurezza delle informazioni accreditate e completamente indipendenti. L’importatore dei dati esegue la scansione per la valutazione delle vulnerabilità utilizzando strumenti di terze parti almeno una volta al mese e dopo ogni modifica importante dell’infrastruttura nel nostro ambiente di produzione.

2. CONTROLLI DI ACCESSO E DEL SITO

(a) Controlli del sito

  • Operazioni di sicurezza del data center in loco: I data center dell’importatore dei dati mantengono un’operazione di sicurezza in loco responsabile di tutte le funzioni di sicurezza fisica del data center 24 ore su 24, 7 giorni su 7. Il personale addetto alle operazioni di sicurezza in loco monitora le telecamere a circuito chiuso (CCTV) e tutti i sistemi di allarme. Il personale addetto alle operazioni di sicurezza in loco esegue regolarmente pattugliamenti interni ed esterni del data center.
  • Procedure di accesso al data center: L’importatore dei dati mantiene procedure di accesso formali per consentire l’accesso fisico ai data center. I data center sono ospitati in strutture che richiedono l’accesso tramite chiave elettronica, con allarmi collegati alle operazioni di sicurezza in loco. Tutti coloro che entrano nel data center sono tenuti a identificarsi e a mostrare una prova di identità alle operazioni di sicurezza in loco. Solo i dipendenti, gli appaltatori e i visitatori autorizzati possono accedere ai data center. Solo i dipendenti e gli appaltatori autorizzati possono richiedere l’accesso tramite chiave elettronica a queste strutture. Le richieste di accesso tramite chiave elettronica al data center devono essere effettuate tramite e-mail e richiedono l’approvazione dei responsabili del data center. Tutti gli altri soggetti che richiedono un accesso temporaneo al data center devono: (i) ottenere l’approvazione anticipata dai responsabili del data center per lo specifico data center e le aree interne che desiderano visitare; (ii) registrarsi presso le operazioni di sicurezza in loco; e (iii) fare riferimento a un record di accesso al data center approvato che identifichi l’individuo come autorizzato.
  • Dispositivi di sicurezza del data center in loco: I data center dell’importatore dei dati utilizzano una chiave elettronica e un sistema di controllo degli accessi biometrico collegato a un allarme di sistema. Il sistema di controllo degli accessi monitora e registra la chiave elettronica di ogni individuo e quando accede alle porte perimetrali, alla spedizione e ricezione e ad altre aree critiche. Le attività non autorizzate e i tentativi di accesso falliti vengono registrati dal sistema di controllo degli accessi e indagati, se del caso. L’accesso autorizzato in tutte le operazioni aziendali e nei data center è limitato in base alle zone e alle responsabilità lavorative dell’individuo. Le porte tagliafuoco dei data center sono allarmate. Le telecamere a circuito chiuso sono in funzione sia all’interno che all’esterno dei data center. Il posizionamento delle telecamere è stato progettato per coprire aree strategiche tra cui, tra le altre, il perimetro, le porte dell’edificio del data center e la spedizione/ricezione. Il personale addetto alle operazioni di sicurezza in loco gestisce le apparecchiature di monitoraggio, registrazione e controllo CCTV. Cavi sicuri in tutti i data center collegano le apparecchiature CCTV. Le telecamere registrano in loco tramite videoregistratori digitali 24 ore su 24, 7 giorni su 7. Le registrazioni di sorveglianza vengono conservate per un minimo di 30 giorni in base all’attività e ai requisiti di conformità.

(b) Controlli di accesso

  • Personale addetto alla sicurezza dell’infrastruttura: L’importatore dei dati ha e mantiene una politica di sicurezza per il proprio personale e richiede una formazione sulla sicurezza come parte del pacchetto formativo per il proprio personale. Il personale addetto all’infrastruttura e alla sicurezza dell’importatore dei dati è responsabile del monitoraggio continuo dell’infrastruttura di sicurezza dell’importatore, della revisione dei servizi e della risposta agli incidenti di sicurezza.
  • Controllo degli accessi e gestione dei privilegi: Gli amministratori dell’esportatore dei dati devono autenticarsi tramite un sistema di autenticazione centrale o tramite un sistema di single sign-on per amministrare i servizi.
  • Processi e politiche interne di accesso ai dati: I processi e le politiche interne di accesso ai dati dell’importatore dei dati sono progettati per impedire a persone e/o sistemi non autorizzati di accedere ai sistemi utilizzati per trattare i dati personali. L’importatore dei dati progetta i propri sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati per i quali sono autorizzate; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trattamento, l’uso e dopo la registrazione. I sistemi sono progettati per rilevare qualsiasi accesso inappropriato. L’importatore dei dati impiega un sistema di gestione degli accessi centralizzato per controllare l’accesso del personale ai server di produzione e fornisce l’accesso solo a un numero limitato di personale autorizzato. Active Directory, LDAP e Kerberos sono progettati per fornire all’importatore dei dati meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo i diritti di accesso approvati agli host del sito, ai log, ai dati e alle informazioni di configurazione. L’importatore dei dati richiede l’uso di ID utente univoci, password complesse e autenticazione a due fattori, ove opportuno, per ridurre al minimo il potenziale uso non autorizzato dell’account. La concessione o la modifica dei diritti di accesso si basa sulle responsabilità lavorative del personale autorizzato, sui requisiti delle mansioni lavorative necessari per eseguire i compiti autorizzati e sul principio della necessità di sapere. La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle politiche interne di accesso ai dati e alla formazione dell’importatore dei dati. Le approvazioni sono gestite da strumenti di workflow che mantengono i record di audit di tutte le modifiche. L’accesso ai sistemi viene registrato per creare una traccia di audit per la responsabilità. Laddove vengano utilizzate password per l’autenticazione (ad esempio, l’accesso alle workstation), vengono implementate politiche per le password che seguono almeno le pratiche standard del settore. Questi standard includono restrizioni sul riutilizzo delle password e una forza della password sufficiente.

3. ARCHIVIAZIONE E SMALTIMENTO DEI DATI

(a) Archiviazione dei dati

L’importatore dei dati archivia i dati in un ambiente multi-tenant su server gestiti/privati dell’importatore. L’architettura dei dati e del file system è replicata tra più data center geograficamente dispersi. L’importatore dei dati crittografa tutti i dati a riposo, isola inoltre logicamente i dati dell’esportatore e all’esportatore verrà dato il controllo su specifiche politiche di condivisione dei dati.

(b) Smaltimento dei dati

I dischi contenenti dati possono presentare problemi di prestazioni, errori o guasti hardware che ne comportano la dismissione. Ogni disco dismesso è soggetto a una serie di processi di distruzione dei dati prima di lasciare i locali dell’importatore dei dati, sia per il riutilizzo che per la distruzione. I dischi dismessi vengono cancellati in un processo a più fasi e la cancellazione viene verificata come completa. I risultati della cancellazione vengono registrati tramite il numero di serie del disco dismesso per il tracciamento.

4. SICUREZZA DEL PERSONALE

Il personale dell’importatore dei dati è tenuto a comportarsi in modo coerente con le linee guida dell’azienda in materia di riservatezza, etica aziendale, utilizzo appropriato e standard professionali. L’importatore dei dati conduce controlli dei precedenti ragionevolmente appropriati nella misura legalmente consentita e in conformità con la legge sul lavoro locale applicabile e le normative statutarie.

Il personale è tenuto a sottoscrivere un accordo di riservatezza e deve confermare la ricezione e il rispetto delle politiche di sicurezza e privacy dell’importatore dei dati. Al personale viene fornita una formazione sulla sicurezza. Il personale che gestisce i dati dei clienti è tenuto a completare requisiti aggiuntivi appropriati al proprio ruolo. Il personale dell’importatore dei dati non tratterà i dati dei clienti senza autorizzazione.

5. SICUREZZA DEI SUB-RESPONSABILI

Prima di inserire i sub-responsabili, l’importatore dei dati conduce un audit delle pratiche di sicurezza e privacy dei sub-responsabili per garantire che forniscano un livello di sicurezza e privacy appropriato al loro accesso ai dati e all’ambito dei servizi che sono incaricati di fornire.

ALLEGATO III – ELENCO DEI SUB-RESPONSABILI

Sovos: Sovos consente l’emissione di fatture tramite il processo Onyx InvoicePro CTC per l’Italia e l’India.

Kurt D. Ring
Global Alliances Manager | Sovos Compliance
Ufficio: 978.527.1276 | Cellulare: 617.877.2115
200 Ballardvale Street, Building 1, 4th Floor, Wilmington MA 01887

Flexential: Flexential fornisce la piattaforma del data center, offrendo servizi di colocation e disaster recovery.

Derek Sieburg | Sr. Customer Success Manager | Flexential
Ufficio: 720.354.3758 | [email protected] | www.flexential.com [email protected]
All’attenzione di: Privacy & Security Officer, Flexential Corp., 8809 Lenox Pointe Drive, Suite G, Charlotte, NC 28273
https://www.flexential.com/flexential-gdpr-policy-statement

Equinix: Equinix fornisce strutture e infrastrutture per i data center per i servizi situati nell’UE forniti da Flexential

[email protected] +1.866.977.3749
https://www.equinix.nl/about/legal/privacy

Amazon Web Services (AWS): AWS è la piattaforma preferita per i servizi abilitati al cloud forniti da Onyx. Per ulteriori dettagli, fare riferimento all’AWS GDPR DPA che è incorporato nei Termini di servizio AWS

https://aws.amazon.com/privacy/

Microsoft Azure: Azure fornisce servizi cloud per l’hosting del frontend di Onyx InvoicePro. Per ulteriori informazioni, consultare l’Addendum sulla protezione dei dati dei servizi online Microsoft.

Microsoft Corporation
All’attenzione di: Chief Privacy Officer
1 Microsoft Way
Redmond, WA 98052 USA

ADDENDUM SUL TRASFERIMENTO INTERNAZIONALE DEI DATI ALLE CLAUSOLE CONTRATTUALI STANDARD DELLA COMMISSIONE UE

PARTE 1: TABELLE

Tabella 1: Parti

Data di inizio Data di efficacia dell’Addendum sul trattamento dei dati
Le Parti Esportatore (chi invia il Trasferimento limitato) Importatore (chi riceve il Trasferimento limitato)
Dettagli delle parti Vedere Allegato 1, Appendice 1, Sezione A Vedere Allegato 1, Appendice 1, Sezione A
Contatto principale Vedere Allegato 1, Appendice 1, Sezione A Vedere Allegato 1, Appendice 1, Sezione A
Firma (se richiesta ai fini della Sezione 2) L’esecuzione dell’Addendum sul trattamento dei dati alla Data di efficacia è considerata esecuzione del presente Addendum L’esecuzione dell’Addendum sul trattamento dei dati alla Data di efficacia è considerata esecuzione del presente Addendum

Tabella 2: SCC selezionate, moduli e clausole selezionate

Addendum SCC UE La versione delle SCC UE approvate a cui è allegato il presente Addendum, dettagliata di seguito, comprese le Informazioni dell’appendice:

Data: Data di efficacia dell’Addendum sul trattamento dei dati
Riferimento (se presente): Nessuno
Altro identificatore (se presente): Nessuno

Tabella 3: Informazioni dell’appendice

Informazioni dell’appendice” indica le informazioni che devono essere fornite per i moduli selezionati come stabilito nell’Appendice delle SCC UE approvate (diverse dalle Parti), e che per il presente Addendum sono stabilite in:

Allegato 1A: Elenco delle parti: Vedere Allegato 1, Appendice 1, Sezione A

Allegato 1B: Descrizione del trasferimento: Vedere Allegato 1, Appendice 1, Sezione B

Allegato II: Misure tecniche e organizzative, comprese le misure tecniche e organizzative per garantire la sicurezza dei dati: Vedere Allegato 1, Allegato II

Allegato III: Elenco dei sub-responsabili (solo moduli 2 e 3): Vedere Allegato 1, Allegato III

Tabella 4: Cessazione del presente Addendum in caso di modifiche all’Addendum approvato

Cessazione del presente Addendum in caso di modifiche all’Addendum approvato Quali parti possono porre fine al presente Addendum come stabilito nella Sezione 19:

☐ Importatore
☐ Esportatore
☐ Nessuna delle parti

PARTE 2: CLAUSOLE OBBLIGATORIE

Stipula del presente Addendum

  1. Ciascuna parte accetta di essere vincolata dai termini e dalle condizioni stabiliti nel presente Addendum, in cambio dell’accettazione da parte dell’altra parte di essere anch’essa vincolata dal presente Addendum.
  2. Sebbene l’Allegato 1A e la Clausola 7 delle SCC UE approvate richiedano la firma delle parti, ai fini dell’effettuazione di Trasferimenti limitati, le parti possono stipulare il presente Addendum in qualsiasi modo che le renda legalmente vincolanti per le parti e consenta agli interessati di far valere i propri diritti come stabilito nel presente Addendum. La stipula del presente Addendum avrà lo stesso effetto della firma delle SCC UE approvate e di qualsiasi parte delle SCC UE approvate.

Interpretazione del presente Addendum

  1. Laddove il presente Addendum utilizzi termini definiti nelle SCC UE approvate, tali termini avranno lo stesso significato che hanno nelle SCC UE approvate. Inoltre, i seguenti termini hanno i seguenti significati:
Addendum Il presente Addendum sul trasferimento internazionale dei dati, costituito dal presente Addendum che incorpora le SCC UE dell’Addendum.
Addendum SCC UE La versione o le versioni delle SCC UE approvate a cui è allegato il presente Addendum, come stabilito nella Tabella 2, comprese le Informazioni dell’appendice.

Le SCC UE dell’Addendum sono incluse nell’Allegato 1 dell’Addendum sul trattamento dei dati.
Informazioni dell’appendice Come stabilito nella Tabella 3.
Garanzie adeguate Lo standard di protezione dei dati personali e dei diritti degli interessati, richiesto dalle leggi sulla protezione dei dati del Regno Unito quando si effettua un Trasferimento limitato basandosi su clausole standard di protezione dei dati ai sensi dell’articolo 46, paragrafo 2, lettera d), del GDPR del Regno Unito.
Addendum approvato Il modello di Addendum emesso dall’ICO e presentato al Parlamento in conformità alla sezione 119A del Data Protection Act 2018 il 28 gennaio 2022, così come rivisto ai sensi della Sezione 18.
SCC UE approvate Le clausole contrattuali standard stabilite nell’allegato della decisione di esecuzione (UE) 2021/914 della Commissione, del 4 giugno 2021.
ICO L’Information Commissioner.
Trasferimento limitato Un trasferimento coperto dal Capo V del GDPR del Regno Unito.
UK Il Regno Unito di Gran Bretagna e Irlanda del Nord.
Leggi sulla protezione dei dati del Regno Unito Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, inclusi il GDPR del Regno Unito e il Data Protection Act 2018.
GDPR del Regno Unito Come definito nella sezione 3 del Data Protection Act 2018.
  1. Il presente Addendum deve essere sempre interpretato in modo coerente con le leggi sulla protezione dei dati del Regno Unito e in modo da adempiere all’obbligo delle parti di fornire le garanzie adeguate.
  2. Se le disposizioni incluse nelle SCC UE dell’Addendum modificano le SCC approvate in qualsiasi modo non consentito dalle SCC UE approvate o dall’Addendum approvato, tali modifiche non saranno incorporate nel presente Addendum e la disposizione equivalente delle SCC UE approvate prenderà il loro posto.
  3. In caso di incoerenza o conflitto tra le leggi sulla protezione dei dati del Regno Unito e il presente Addendum, si applicano le leggi sulla protezione dei dati del Regno Unito.
  4. Se il significato del presente Addendum non è chiaro o se vi è più di un significato, si applica il significato che più si avvicina alle leggi sulla protezione dei dati del Regno Unito.
  5. Qualsiasi riferimento alla legislazione (o a specifiche disposizioni legislative) indica tale legislazione (o specifica disposizione) così come può cambiare nel tempo. Ciò include i casi in cui tale legislazione (o specifica disposizione) sia stata consolidata, riemanata e/o sostituita dopo la stipula del presente Addendum.

Gerarchia

  1. Sebbene la clausola 5 delle SCC UE approvate stabilisca che queste ultime prevalgano su tutti gli accordi correlati tra le parti, le parti concordano che, per i Trasferimenti limitati, prevarrà la gerarchia di cui alla Sezione 10.
  2. In caso di incoerenza o conflitto tra l’Addendum approvato e le SCC UE dell’Addendum (a seconda dei casi), l’Addendum approvato prevale sulle SCC UE dell’Addendum, tranne laddove (e nella misura in cui) i termini incoerenti o in conflitto delle SCC UE dell’Addendum forniscano una maggiore protezione per gli interessati, nel qual caso tali termini prevarranno sull’Addendum approvato.
  3. Laddove il presente Addendum incorpori le SCC UE dell’Addendum che sono state stipulate per proteggere i trasferimenti soggetti al Regolamento generale sulla protezione dei dati (UE) 2016/679, le parti riconoscono che nulla nel presente Addendum influisce su tali SCC UE dell’Addendum.

Incorporazione e modifiche alle SCC UE

  1. Il presente Addendum incorpora le SCC UE dell’Addendum che vengono modificate nella misura necessaria affinché:
    1. insieme operino per i trasferimenti di dati effettuati dall’esportatore all’importatore, nella misura in cui le leggi sulla protezione dei dati del Regno Unito si applichino al trattamento dell’esportatore quando effettua tale trasferimento di dati, e forniscano garanzie adeguate per tali trasferimenti di dati;
    2. le sezioni da 9 a 11 prevalgano sulla clausola 5 (Gerarchia) delle SCC UE dell’Addendum; e
    3. il presente Addendum (comprese le SCC UE dell’Addendum in esso incorporate) sia (1) disciplinato dalle leggi dell’Inghilterra e del Galles e (2) qualsiasi controversia da esso derivante sia risolta dai tribunali dell’Inghilterra e del Galles, in ogni caso a meno che le leggi e/o i tribunali della Scozia o dell’Irlanda del Nord non siano stati espressamente selezionati dalle parti.
  2. A meno che le Parti non abbiano concordato emendamenti alternativi che soddisfino i requisiti della Sezione 12, si applicheranno le disposizioni della Sezione 15.
  3. Non è possibile apportare emendamenti alle SCC UE approvate, se non per soddisfare i requisiti della Sezione 12.
  4. Vengono apportati i seguenti emendamenti all’Addendum SCC UE (ai fini della Sezione 12):
    1. I riferimenti alle “Clausole” indicano il presente Addendum, che incorpora le SCC UE dell’Addendum;
    Nella Clausola 2, elimina le parole:

    “e, per quanto riguarda i trasferimenti di dati da titolari a responsabili e/o da responsabili a responsabili, clausole contrattuali standard ai sensi dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679”;

    1. La Clausola 6 (Descrizione del trasferimento o dei trasferimenti) è sostituita da:

    “I dettagli dei trasferimenti (e in particolare le categorie di dati personali trasferiti e le finalità per cui sono trasferiti) sono quelli specificati nell’Allegato I.B qualora le leggi del Regno Unito sulla protezione dei dati si applichino al trattamento dell’esportatore di dati al momento di tale trasferimento.”;

    1. La Clausola 8.7(i) del Modulo 1 è sostituita da:

    “avvenga verso un paese che beneficia di regolamenti di adeguatezza ai sensi della Sezione 17A del GDPR del Regno Unito che copra il trasferimento successivo”;

    1. La Clausola 8.8(i) dei Moduli 2 e 3 è sostituita da:

    “il trasferimento successivo avvenga verso un paese che beneficia di regolamenti di adeguatezza ai sensi della Sezione 17A del GDPR del Regno Unito che copra il trasferimento successivo;”

    1. I riferimenti al “Regolamento (UE) 2016/679”, al “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)” e a “tale regolamento” sono tutti sostituiti dalle “Leggi del Regno Unito sulla protezione dei dati”. I riferimenti a specifici articoli del “Regolamento (UE) 2016/679” sono sostituiti dall’articolo o dalla sezione equivalente delle leggi del Regno Unito sulla protezione dei dati;
    2. I riferimenti al Regolamento (UE) 2018/1725 sono rimossi;
    3. I riferimenti a “Unione Europea”, “Unione”, “UE”, “Stato membro dell’UE”, “Stato membro” e “UE o Stato membro” sono tutti sostituiti con “Regno Unito”;
    4. Il riferimento alla “Clausola 12(c)(i)” nella Clausola 10(b)(i) del Modulo uno è sostituito da “Clausola 11(c)(i)”;
    5. La Clausola 13(a) e la Parte C dell’Allegato I non vengono utilizzate;
    6. L’“autorità di controllo competente” e l’“autorità di controllo” sono entrambe sostituite dall’“Information Commissioner”;
    7. Nella Clausola 16(e), la sottosezione (i) è sostituita da:

    “il Segretario di Stato emana regolamenti ai sensi della Sezione 17A del Data Protection Act 2018 che coprono il trasferimento dei dati personali a cui si applicano queste clausole;”;

    1. La Clausola 17 è sostituita da:

    “Queste Clausole sono regolate dalle leggi dell’Inghilterra e del Galles.”;

    1. La Clausola 18 è sostituita da:

    “Qualsiasi controversia derivante da queste Clausole sarà risolta dai tribunali dell’Inghilterra e del Galles. Un interessato può anche intentare un’azione legale contro l’esportatore e/o l’importatore di dati davanti ai tribunali di qualsiasi paese del Regno Unito. Le Parti accettano di sottoporsi alla giurisdizione di tali tribunali.”; e

    1. Le note a piè di pagina delle SCC UE approvate non fanno parte dell’Addendum, ad eccezione delle note 8, 9, 10 e 11.

Emendamenti al presente Addendum

  1. Le Parti possono concordare di modificare le Clausole 17 e/o 18 dell’Addendum SCC UE per fare riferimento alle leggi e/o ai tribunali della Scozia o dell’Irlanda del Nord.
  2. Se le Parti desiderano modificare il formato delle informazioni incluse nella Parte 1: Tabelle dell’Addendum approvato, possono farlo concordando la modifica per iscritto, a condizione che tale modifica non riduca le garanzie adeguate.
  3. Di tanto in tanto, l’ICO può emettere un Addendum approvato rivisto che:
    1. apporta modifiche ragionevoli e proporzionate all’Addendum approvato, inclusa la correzione di errori nell’Addendum approvato; e/o
    2. riflette le modifiche alle leggi del Regno Unito sulla protezione dei dati;
    L’Addendum approvato rivisto specificherà la data di decorrenza a partire dalla quale le modifiche all’Addendum approvato sono efficaci e se le Parti debbano rivedere il presente Addendum, incluse le informazioni dell’Appendice. Il presente Addendum si intende automaticamente modificato come stabilito nell’Addendum approvato rivisto a partire dalla data di decorrenza specificata.
  4. Se l’ICO emette un Addendum approvato rivisto ai sensi della Sezione 18, qualora una delle Parti selezionate nella Tabella 4 “Termine dell’Addendum in caso di modifiche all’Addendum approvato” subisca, come risultato diretto delle modifiche all’Addendum approvato, un aumento sostanziale, sproporzionato e dimostrabile di:
    1. i propri costi diretti per l’adempimento dei propri obblighi ai sensi dell’Addendum; e/o
    2. il proprio rischio ai sensi dell’Addendum,
    e in entrambi i casi abbia prima adottato misure ragionevoli per ridurre tali costi o rischi in modo che non siano sostanziali e sproporzionati, allora tale Parte può recedere dal presente Addendum al termine di un ragionevole periodo di preavviso, fornendo comunicazione scritta per tale periodo all’altra Parte prima della data di decorrenza dell’Addendum approvato rivisto.
  5. Le Parti non necessitano del consenso di terzi per apportare modifiche al presente Addendum, ma ogni modifica deve essere apportata in conformità ai suoi termini.

PARTE 2 ALTERNATIVA CLAUSOLE OBBLIGATORIE:

Clausole obbligatorie Parte 2: Clausole obbligatorie dell’Addendum approvato, ovvero il modello di Addendum B.1.0 emesso dall’ICO e presentato al Parlamento in conformità alla sezione 119A del Data Protection Act 2018 il 28 gennaio 2022, così come rivisto ai sensi della Sezione 18 di tali Clausole obbligatorie.