Appendice sul trattamento dei dati

La presente Appendice costituisce parte integrante del Contratto ed è sottoscritta da:

(i) Il Cliente ("Esportatore dei Dati")
(ii) IQUALIF ("Importatore dei Dati")

Costituenti singolarmente una "Parte" e nel loro insieme le "Parti".

Preambolo

POICHÉ l'Importatore dei Dati fornisce servizi di software professionale, computer, e relativi servizi (come browser con funzioni di ricerca avanzata);

POICHÉ in conformità al Contratto, l'Importatore dei Dati ha acconsentito a fornire all'Esportatore dei Dati i servizi specificati nel Contratto (i "Servizi");

POICHÉ, fornendo i Servizi, l'Importatore dei Dati riceve o beneficia dell'accesso alle informazioni dell'Esportatore dei Dati o alle informazioni di altre persone che intrattengono una (potenziale) relazione con l'Esportatore dei Dati, tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (EU) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione degli individui riguardante il trattamento dei dati personali e la libera circolazione di tali dati ("GDPR") e di altre leggi applicabili in materia di protezione dei dati;

POICHÉ la presente Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento, e all'utilizzo di tali dati personali da parte dell'Importatore dei Dati in qualità di agente autorizzato al trattamento dei dati dell'Esportatore dei Dati, per garantire che le Parti ottemperino alla legge applicabile in materia di protezione dei dati;

PERTANTO, e per consentire alle Parti di continuare la loro relazione nel rispetto delle leggi, le Parti hanno stipulato la presente Appendice come segue:

Parte 1

1. Struttura del documento e definizioni

1.1 Struttura

La presente Appendice comprende diverse parti come segue:

Parte 1:	contiene disposizioni generali, per esempio riguardanti le definizioni utilizzate nella presente Appendice, la conformità alle leggi locali, la durata, e la risoluzione
Parte 2:	contiene il corpo del documento Clausole Contrattuali Standard senza emendamenti
Appendice 1.1 della Parte 2:	contiene i dettagli delle operazioni di trattamento fornite dall'Importatore dei Dati all'Esportatore dei Dati in qualità di agente autorizzato al trattamento dei dati (incluso il trattamento, la natura e lo scopo del trattamento, il tipo di dati personali, e le categorie delle persone interessate) ai sensi della presente Appendice
Appendice 2 della Parte 2:	contiene una descrizione delle misure di sicurezza tecniche e organizzative dell'Importatore dei Dati, che si applicano in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2
Parte 3:	contiene le firme delle Parti vincolate alla presente Appendice e identifica ogni Importatore dei Dati

1.2 Terminologia e definizioni

Per le finalità della presente Appendice, sono applicabili la terminologia e le definizioni utilizzate dal GDPR (Nel corpo del documento Clausola Contrattuale Standard nella Parte 2, dove i termini definiti non sono in maiuscolo).

"Stato Membro"	indica un paese appartenente all'Unione Europea o all'Area Economica Europea
"Categorie speciali di dati (personali)"	si riferisce ai dati personali che rivelano origine etnica o razziale, opinioni politiche, credo religioso o filosofico, o appartenenza sindacale, e dati genetici, biometrici, se trattati allo scopo di identificare una persona in modo univoco, dati riguardanti la salute, dati riguardanti la vita sessuale o l'orientamento sessuale di una persona
"Clausole Contrattuali Standard"	indica le Clausole Contrattuali Standard per il trasferimento dei dati personali di agenti incaricati del trattamento istituiti in paesi terzi, ai sensi della Decisione 2010/87/EU della Commissione del 5 Febbraio 2010, che è stata emendata dalla Decisione di Esecuzione (EU) 2016/2297 della Commissione del 16 Dicembre 2016
“Incaricato del Trattamento”	indica qualsiasi agente incaricato del trattamento dei dati, situato all'interno o al di fuori dell'EU/EEA, che accetta di ricevere dall'Importatore dei Dati o da qualsiasi altro incaricato dell'Importatore dei Dati, dati personali al fine esclusivo di trattare attività da svolgersi da parte dell'Esportatore dei Dati a seguito del trasferimento conformemente alle istruzioni dell'Esportatore dei Dati, ai termini della presente Appendice e al Contratto con l'Importatore dei Dati

2. Obblighi dell'Esportatore dei Dati

2.1 L'Esportatore dei Dati ha l'obbligo di assicurare il rispetto di tutti gli obblighi applicabili in base al GDPR e di tutte le leggi applicabili in materia di protezione dei dati che si applicano all'Esportatore dei Dati e di dimostrare tale rispetto come richiesto dall'Articolo 5 (2) del GDPR. L'Esportatore dei Dati garantisce che l'Importatore dei Dati ha ottenuto il previo consenso delle persone interessate nel rispetto dell'Articolo 6(a) del GDPR e che ha adempiuto al suo obbligo di informare le persone interessate in conformità agli Articoli 13 e 14 del GDPR.

2.2 L'Esportatore dei Dati deve fornire all'Importatore dei Dati i rispettivi file delle attività di trattamento in conformità all'Articolo 30 (1) del GDPR relativo ai Servizi ai sensi della presente Appendice, nella misura necessaria all'Importatore dei Dati per rispettare l'obbligo di cui all'Articolo 30 (2) del GDPR.

2.3 L'Esportatore dei Dati deve incaricare un funzionario o un rappresentante per la protezione dei dati nella misura richiesta dalla legge applicabile sulla protezione dei dati. L'Esportatore dei Dati ha l'obbligo di fornire i dettagli di contatto dell'agente o del rappresentante per la protezione dei dati, se esistente, all'Importatore dei Dati.

2.4. L'Esportatore dei Dati conferma prima del completamento del trattamento, accettando la presente Appendice, che le misure di sicurezza tecniche e organizzative dell'Importatore dei Dati, come stabilito in Appendice 2 fino alla Parte 2, sono appropriate e sufficienti a proteggere i diritti delle persone interessate e conferma che l'Importatore dei Dati fornisce sufficienti garanzie a tale riguardo.

3. Conformità alla legge locale

Al fine di rispettare i requisiti dell'implementazione degli agenti di trattamento ai sensi dell'Articolo 28 del GDPR, si applicano i seguenti emendamenti:

3.1 Istruzioni

(i) L'Esportatore dei Dati istruisce l'Importatore dei Dati a trattare i dati personali solo per conto dell'Esportatore dei Dati. Le istruzioni dell'Esportatore dei Dati sono fornite nella presente Appendice e nel Contratto. L'Esportatore dei Dati ha l'obbligo di garantire che tutte le istruzioni fornite all'Importatore dei Dati siano conformi alle leggi applicabili sulla protezione dei dati. L'Importatore dei Dati deve trattare i dati personali attenendosi soltanto alle istruzioni fornite dall'Esportatore dei Dati, fatto salvo laddove diversamente richiesto dall'Unione Europea o dalla legge dello Stato Membro (nel secondo caso, si applica Parte 1 Clausola 3.3 (iv) (c) ).
(ii) Tutte le altre istruzioni che esulano dalle istruzioni nella presente Appendice o nel Contratto devono essere incluse nell'oggetto della presente Appendice e nel Contratto. Se l'implementazione di queste istruzioni aggiuntive comporta dei costi per l'Importatore dei Dati, l'Importatore dei Dati deve informare L'Esportatore dei Dati di tali costi e fornire una spiegazione prima di implementare le istruzioni. L'Esportatore dei Dati deve fornire le istruzioni aggiuntive in forma scritta fatto salvo il caso in cui l'urgenza o altre circostanze specifiche richiedano un'altra forma (per esempio orale, elettronica). Le istruzioni in una forma diversa da quella scritta devono essere confermate in forma scritta e senza ritardi dall'Esportatore dei Dati.
1. Fatto salvo laddove l'Esportatore dei Dati non possa eseguire in autonomia la rettifica, la cancellazione o la restrizione dei dati personali, le istruzioni possono anche riguardare la rettifica, la cancellazione, e/o la restrizione dei dati personali come stabilito nella Parte 1 Clausola 3.3.
2. L'Importatore dei Dati deve informare immediatamente l'Esportatore dei Dati se ritiene che un'Istruzione sia in violazione del GDPR o di altre disposizioni applicabili sulla protezione dei dati dell'Unione Europea o di uno Stato Membro ("Istruzione Contestata"). Se l'Importatore dei Dati crede che un'Istruzione infranga il GDPR o altre disposizioni applicabili sulla protezione dei dati dell'Unione Europea o di uno Stato Membro, l'Importatore dei Dati non è obbligato a seguire l'Istruzione Contestata. Se l'Esportatore dei Dati conferma l'Istruzione Contestata al ricevimento dell'informazione dall'Importatore dei Dati e riconosce la propria responsabilità per l'Istruzione Contestata, l'Importatore dei Dati deve implementare l'Istruzione Contestata, fatti salvi i casi in cui l'Istruzione Contestata riguardi (i) l'implementazione di misure tecniche e organizzative, (ii) i diritti delle Persone Interessate o (iii) il coinvolgimento di Incaricati del Trattamento. Nei casi da (i) a (iii), l'Importatore dei Dati può contattare un'autorità di supervisione competente per ottenere da tale autorità una valutazione legale dell'Istruzione Contestata. Se l'autorità di supervisione dichiara legale l'Istruzione contestata, l'Importatore dei Dati deve implementare l'Istruzione contestata. Rimane applicabile la Parte 1 Clausola 3.1 (ii).

3.2 Obblighi dell'Importatore dei Dati

(i) L'Importatore dei Dati deve garantire che le persone autorizzate dall'Importatore dei Dati a trattare dati personali per conto dell'Esportatore dei Dati, in particolare i dipendenti dell'Importatore dei Dati e i dipendenti di qualsiasi Subappaltatore, hanno accettato di rispettare la riservatezza o sono soggetti a un appropriato obbligo legale di riservatezza, e che tali persone che hanno accesso ai dati personali li trattano nel rispetto delle istruzioni dell'Esportatore dei Dati.
(ii) L'Importatore dei Dati deve implementare le misure di sicurezza tecniche e organizzative come stabilito in Appendice 2 fino alla Parte 2 prima di trattare i dati personali per conto dell'Esportatore dei Dati. L'Importatore dei Dati può di tanto in tanto cambiare le misure di sicurezza tecniche e organizzative se non forniscono meno protezione di quelle stabilite in Appendice 2 fino alla Parte 2.
(iii) L'Importatore dei Dati deve rendere disponibile all'Esportatore dei Dati, su richiesta dell'Esportatore dei Dati, le informazioni attestanti il rispetto degli obblighi dell'Importatore dei Dati ai sensi della presente Appendice. Le Parti accettano che questo obbligo di informazione è rispettato fornendo all'Esportatore dei Dati un report di verifica (che copra sicurezza dei principi, disponibilità di sistema, e riservatezza) ("Report di Verifica"). Laddove siano legalmente richieste ulteriori attività di verifica, l'Esportatore dei Dati può richiedere che le ispezioni siano effettuate dall'Esportatore dei Dati o da un altro revisore incaricato dall'Esportatore dei Dati, soggetto alla stipulazione di un accordo di riservatezza tra il suddetto revisore e l'Importatore dei Dati con ragionevole soddisfazione dell'Importatore dei Dati ("Verifica"). Questa Verifica è soggetta alle seguenti condizioni: (i) la previa formale accettazione scritta dell'Importatore dei Dati; e (ii) l'Esportatore dei Dati deve farsi carico di tutti i costi relativi alla Verifica On-Site per l'Esportatore dei Dati e l'Importatore dei Dati. L'Esportatore dei Dati deve creare un report di verifica che riassuma i risultati e le osservazioni della Verifica On-Site ("Report di Verifica On-Site"). I Report di Verifica On-Site, e i Report di Verifica, sono informazioni confidenziali dell'Importatore dei Dati e non devono essere rivelate a terze parti fatto salvo laddove richiesto dalle leggi applicabili sulla protezione dei dati o con il consenso dell'Importatore dei Dati.
(iv) L'importatore dei Dati ha l'obbligo di notificare l'Esportatore dei Dati senza indebito ritardo:
1. a. di qualsiasi richiesta legalmente vincolante per la divulgazione di dati personali da parte di un'autorità di contrasto, salvo laddove altrimenti proibito, come il divieto ai sensi del diritto penale per proteggere la riservatezza di un'indagine delle forze dell'ordine
2. b. di qualsiasi reclamo e richiesta ricevuti direttamente da una persona interessata (per esempio riguardante accesso, rettifica, eliminazione, restrizione del trattamento, portabilità dei dati, obiezione al trattamento dei dati, processo decisionale automatizzato) senza rispondere a tale richiesta, fatto salvo il caso in cui l'Importatore dei Dati sia stato autorizzato a rispondere
3. c. se l'Importatore dei Dati o l'Incaricato del Trattamento è obbligato, ai sensi di legge dell'Unione Europea o dello Stato Membro a cui l'Importatore dei Dati o l'Incaricato del Trattamento è soggetto, a trattare i dati personali al di fuori delle istruzioni dell'Esportatore dei Dati, prima di eseguire tale trattamento al di fuori delle istruzioni, a meno che le leggi dell'Unione Europea o dello Stato Membro proibiscano tale trattamento sulla base del vitale pubblico interesse, nel qual caso la notifica all'Esportatore dei Dati deve specificare il requisito legale ai sensi di quella legge dell'Unione Europea o dello Stato Membro; o
4. d. se l'Importatore dei Dati ravvisa una violazione dei dati personali, unicamente a causa propria o di un suo subappaltatore, che interesserebbe i dati personali dell'Esportatore dei Dati coperti dal presente contratto, nel qual caso l'Importatore dei Dati assisterà l'Esportatore dei Dati nel suo obbligo, rispetto alla legge applicabile sulla protezione dei dati, di informare le persone interessate e, dove applicabile, le autorità di controllo fornendo le informazioni a sua disposizione, ai sensi dell'Articolo 33 (3) del GDPR.
5. (v) Su richiesta dell'Esportatore dei Dati, l'Importatore dei Dati ha l'obbligo di assistere l'Esportatore dei Dati nel suo obbligo di eseguire una valutazione dell'impatto della protezione dei dati che può essere richiesta dall'Articolo 35 del GDPR e una consultazione preliminare che può essere richiesta dall'Articolo 36 del GDPR riguardante i servizi forniti dall'Importatore dei Dati all'Esportatore dei Dati ai sensi della presente Appendice, fornendo il necessario e le informazioni all'Esportatore dei Dati. L'importatore dei Dati sarà tenuto a fornire tale assistenza soltanto laddove l'Esportatore dei Dati non possa ottemperare al proprio obbligo con altri mezzi. L'Importatore dei Dati avviserà l'Esportatore dei Dati del costo di tale assistenza. Quando l'Esportatore dei Dati avrà confermato di essere in grado di sostenere tale costo, l'Importatore dei Dati fornirà il proprio aiuto all'Esportatore dei Dati.
6. (vi) Al termine dell'erogazione dei servizi, l'Esportatore dei Dati può richiedere la restituzione dei dati personali trattati dall'Importatore dei Dati ai sensi della presente Appendice entro un mese a decorrere dal termine dei servizi. Fatto salvo laddove la legislazione dello Stato Membro o dell'Unione Europe richieda all'Importatore dei Dati di conservare o trattenere tali dati personali, l'Importatore dei Dati eliminerà tutti i dati personali o non personali dopo un periodo di un mese, indipendentemente dal fatto che siano stati o meno restituiti all'Esportatore dei Dati dietro sua richiesta.

3.3 Diritti delle persone interessate

1. (i) L'Esportatore dei Dati gestisce e risponde alle richieste effettuate dalle persone interessate. L'Importatore dei Dati non è obbligato a rispondere direttamente alle persone interessate.
2. (ii) Se l'Esportatore dei Dati richiede l'assistenza dell'Importatore dei Dati per trattare e rispondere alle richieste delle Persone Interessate, l'Esportatore dei Dati deve emettere ulteriori istruzioni in conformità alla Clausola 3.1 (ii) della Parte 1. L'Importatore dei Dati assisterà l'Esportatore dei Dati con le seguenti misure tecniche e organizzative appropriate per rispondere alle richieste per l'esercizio dei diritti delle persone interessate stabilite nel Capitolo III del GDPR come segue:
3. a. Per le richieste di informazioni, l'Importatore dei Dati fornirà all'Esportatore dei dati soltanto le informazioni richieste dagli Articoli 13 e 14 del GDPR che può avere a propria disposizione laddove l'Esportatore dei Dati non possa trovarle in autonomia.
4. b. Per le richieste di accesso (Articolo 15 del GDPR), l'Importatore dei Dati fornirà all'Esportatore dei Dati soltanto le informazioni necessarie a una persona interessata per la suddetta richiesta di accesso, che può avere a propria disposizione laddove l'Esportatore non possa trovarle in autonomia.
5. c. Per le richieste di rettifica (Articolo 16 del GDPR), le richieste di cancellazione (Articolo 17 del GDPR), la restrizione delle richieste di trattamento (Articolo 18 del GDPR), o le richieste di portabilità (Articolo 20 del GDPR), e solo laddove l'Esportatore dei Dati non possa autonomamente rettificare o cancellare, limitare o trasmettere i dati personali a un'altra terza parte, l'Importatore dei Dati offrirà all'Esportatore dei Dati la possibilità di rettificare o cancellare, limitare, o trasmettere i dati personali interessati all'altra terza parte o, laddove ciò non sia possibile, fornirà assistenza per rettificare o cancellare, limitare o trasmettere i dati interessati all'altra terza parte.
6. d. Per la notifica relativa a rettifica, cancellazione, o restrizione del trattamento (Articolo 19 del GDPR), l'Importatore dei Dati assisterà l'Esportatore dei Dati notificando tutti i destinatari dei dati personali coinvolti dall'Importatore dei Dati in qualità di incaricato se così richiesto dall'Esportatore dei Dati e se l'Esportatore dei Dati non può porre rimedio alla situazione in autonomia.
7. e. Per il diritto di opposizione esercitato da una persona interessata (Articolo 21 e 22 del GDPR) l'Esportatore dei Dati determinerà se l'opposizione è legittima e come gestirla.
8. (iii) Gli obblighi di assistenza dell'Importatore dei Dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (per esempio database, sistemi, applicazioni di proprietà o fornite dall'Importatore dei Dati).
9. (iv) L'Esportatore dei Dati determina se una Persona Interessata può esercitare i diritti delle Persone Interessate stabiliti nella Clausola 3.1 della presente Parte 1 e consiglia l'Importatore dei Dati sulla misura in cui è necessaria l'assistenza specificata nelle Clausole 3.3 (ii), (iii) della Parte 1.
10. (v) Laddove l'Esportatore dei Dati richieda misure tecniche e organizzative aggiuntive o modificate per rispettare i diritti delle persone interessate che esulino dall'assistenza fornita dall'Importatore dei Dati ai sensi della Sotto-Clausola 3.3 (ii), (iii) della Parte 1, l'Importatore dei Dati deve informare l'Esportatore dei Dati dei costi d'implementazione di tali misure tecniche e organizzative aggiuntive o modificate. Quando l'Esportatore dei Dati avrà confermato di poter sostenere questi costi, l'Importatore dei Dati dovrà implementare tali misure tecniche e organizzative aggiuntive o modificate per assistere l'Esportatore dei Dati nel rispondere alle richieste delle Persone Interessate.
11. (vi) Senza limitare il campo di azione della Clausola 3.3 (v) della Parte 1, l'Esportatore dei Dati deve essere obbligato a rimborsare l'Importatore dei Dati per le ragionevoli spese sostenute nel rispondere alle richieste delle Persone Interessate.

3.4 Sub-trattamento

1. (i) L'Esportatore dei Dati autorizza l'Importatore dei Dati a utilizzare subappaltatori per l'erogazione di servizi ai sensi della presente Appendice. L'Importatore dei Dati deve selezionare attentamente tale(i) Incaricato(i) del Trattamento. L'Esportatore dei Dati approva l'Incaricato(i) del Trattamento elencato(i) in Appendice 1.1 alla fine della Parte 2.
2. (ii) L'Importatore dei Dati trasferisce i propri obblighi ai sensi della presente Appendice all'Incaricato(i) del Trattamento nella misura applicabile ai servizi subappaltati.
3. (iii) L'Importatore dei Dati può destituire, sostituire, o nominare un altro Incaricato(i) del Trattamento appropriato(i) e affidabile(i) a sua discrezione. Se richiesto in forma scritta dall'Esportatore dei Dati, l'Importatore dei Dati deve seguire la procedura di seguito stabilita:
1. a. L'Importatore dei Dati informa l'Esportatore dei Dati prima di ogni modifica all'elenco di Incaricati del Trattamento a cui si fa riferimento nella Clausola 3.4 (i) della Parte 1. Se l'Esportatore dei Dati non si oppone ai sensi della Clausola 3.4. (b) della Parte 1 entro trenta giorni successivi al ricevimento della notifica da parte dell'Importatore dei Dati, l'Incaricato del Trattamento aggiuntivo si considera accettato.
2. b. Se l'Esportatore dei Dati ha un motivo legittimo per opporsi a un Incaricato del Trattamento aggiuntivo, darà preavviso scritto all'Importatore dei Dati entro trenta giorni dalla ricezione della notifica dell'Importatore dei Dati e prima che il servizio dell'Importatore dei Dati sia diventato operativo. Se l'Esportatore dei Dati si oppone all'utilizzo di un Incaricato del Trattamento aggiuntivo, l'Importatore dei Dati può risolvere l'obiezione attraverso una delle seguenti opzioni (scelta a sua discrezione): (A) l'Importatore dei Dati cancellerà i i suoi piani di utilizzare un incaricato aggiuntivo per quanto concerne i dati personali dell'Esportatore dei Dati; (B) l'Importatore dei Dati adotterà le misure correttive richieste dall'Esportatore dei Dati nella sua obiezione (cancellando l'obiezione) e utilizzerà l'incaricato aggiuntivo per quanto concerne i dati personali dell'Esportatore dei Dati; (C) l'Importatore dei Dati può cessare di fornire o l'Esportatore dei Dati può accettare di non utilizzare (temporaneamente o permanentemente) un particolare aspetto del servizio che richiederebbe l'uso per l'Esportatore dei Dati di un ulteriore incaricato dei dati personali dell'Esportatore di Dati.
1. (iv) se l'Incaricato del Trattamento ha sede al di fuori dell'EU-EEA in un paese non riconosciuto come in grado di offrire un adeguato livello di protezione dei dati in seguito a una decisione della Commissione Europea, l'Importatore dei Dati adotterà le misure per rispettare un adeguato livello di protezione dei dati ai sensi del GDPR (tali misure possono includere - tra le altre - l'utilizzo di contratti per il trattamento dei dati basati sulle clausole del Modello EU, il trasferimento a Incaricati del Trattamento autocertificati all'interno del quadro dello Scudo per la Privacy EU-US, o di un programma simile).

3.5 Scadenza

La scadenza della presente Appendice è identica alla data di scadenza del Contratto corrispondente. Salvo quanto diversamente previsto nella presente Appendice, i diritti e doveri relativi alla terminazione sono gli stessi di quelli contenuti nel Contratto.

4. Limitazione di Responsabilità

4.1 Ognuna delle parti gestisce i propri obblighi ai sensi della presente Appendice e della legislazione applicabile in materia di protezione dei dati.

4.2 Qualsiasi responsabilità relativa alla violazione degli obblighi ai sensi della presente Appendice o della legislazione applicabile in materia di protezione dei dati è soggetta e regolata dalle disposizioni sulla responsabilità stabilite nel o applicabili al Contratto, salvo quanto diversamente stabilito nella presente Appendice. Se la responsabilità è regolata dalle disposizioni sulla responsabilità stabilite nel o applicabili al Contratto, per calcolare i limiti di responsabilità o determinare l'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dalla presente Appendice deve essere considerata come derivante dal Contratto.

5. Disposizioni generali

5.1 In caso di incongruenze o discrepanze tra la Parte 1 e la Parte 2 della presente Appendice, prevale la Parte 2. Specificamente, anche in tale eventualità, la Parte 1 che esula semplicemente dalla Parte 2 (per esempio i termini delle Clausole Standard) senza contraddirla rimane valida.

5.2 Nel caso di discrepanze rilevate tra le disposizioni della presente Appendice e quelle di altri contratti vincolanti le parti, la presente Appendice prevale per quanto concerne gli obblighi di protezione dei dati delle parti. In caso di dubbio su quali clausole negli altri contratti riguardino gli obblighi di protezione dei dati delle parti, prevale la presente Appendice.

5.3 Laddove una qualsiasi disposizione della presente Appendice risulti inapplicabile o non valida, il resto della presente Appendice rimarrà in vigore a tutti gli effetti. La disposizione inapplicabile o non valida sarà (i) emendata per garantirne la validità e l'applicabilità, preservando al contempo le intenzioni delle parti, o - laddove ciò non fosse possibile - (ii) interpretata come se la parte inapplicabile o non valida non sia mai stata parte del contratto. Quanto sopra si applica inoltre in caso di una omissione nella presente Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere emendamenti alla Parte 1, Clausola 3 (Conformità alla legge locale) o ad altre parti dell'Appendice per conformarsi a interpretazioni, direttive, od ordini emanati dalle autorità competenti degli Stati Membri dell'Unione Europea, a disposizioni nazionali di attuazione, o a qualsiasi altro sviluppo legale riguardante il GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e in particolare per quanto concerne l'utilizzo di Clausole Contrattuali Standard nel GDPR. I termini delle Clausole Contrattuali Standard non possono essere modificate o sostituite se non su espressa approvazione da parte dell'Unione Europea (per esempio con nuove clausole e standard adeguati per la protezione dei dati).

5.6 Qualsiasi riferimento nella presente Appendice alle "Clausole" è da intendersi riferito a tutte le disposizioni della presente Appendice salvo laddove diversamente specificato.

5.7 La scelta della legge nella Parte 2, Clausola 9 si applica all'intero Contratto.

6. Dati personali trasmessi e trattati dalle parti per scopi personali (trasferimento dal responsabile del trattamento al responsabile del trattamento)

6.1 Le Parti sono pienamente consapevoli che certi dati personali saranno trasferiti dall'Esportatore dei Dati all'Importatore dei Dati e viceversa, e che tali dati sono trattati da ogni Parte per le proprie finalità. In riferimento a tali dati personali, ciò non influisce sulle altre disposizioni della presente Appendice (fatta eccezione per la presente Clausola 6).

6.2 L'Esportatore dei Dati può trasferire dati personali relativi allo staff dell'Importatore dei Dati all'Importatore dei Dati, incluse informazioni su incidenti di sicurezza, o qualsiasi altro documento o file creato o istituito dall'Esportatore dei Dati in connessione ai Servizi forniti dallo staff dell'Importatore dei Dati. L'Importatore dei Dati può trattare tali dati personali per le proprie finalità, in particolare nell'esercizio delle proprie relazioni professionali con il personale dell'Importatore dei Dati per il controllo qualità e la formazione, o per scopi commerciali.

6.3. L'Importatore dei Dati può trasferire dati personali all'Esportatore dei Dati, inclusi il nome e i dettagli di contatto del personale dell'Importatore dei Dati. L'Esportatore dei Dati può trattare tali dati personali per le proprie finalità.

6.4 Entrambe le parti sono tenute a rispettare ogni legge applicabile in materia di protezione dei dati, incluso il GDPR, nella raccolta, nel trattamento, e nell'utilizzo di tali dati personali ricevuti dall'altra parte ai sensi della Clausola 1 della Parte 1. In particolare, entrambe le Parti sono tenute ad adottare misure di sicurezza adeguate, fornendo un livello di protezione simile a quello delle misure di sicurezza stabilite in Appendice 2 della Parte 2. Qualsiasi accesso a tali dati personali è limitato alla necessita di conoscerli.

6.5 Entrambe le Parti devono eliminare tali dati personali il più presto possibile in seguito al raggiungimento degli obiettivi.

Parte 2

DECISIONE DELLA COMMISSIONE

del 5 Febbraio 2010

in merito alle clausole contrattuali standard per il trasferimento di dati personali a Incaricati del Trattamento stabiliti in paesi terzi ai sensi della Direttiva 95/46/EC del Parlamento Europeo e del Consiglio

Clausola 1

Definizioni

Ai sensi delle clausole:

a) 'dati personali', 'categorie speciali di dati', 'trattamento/trattamento', 'responsabile', 'incaricato', 'persona interessata' e 'autorità di controllo' hanno gli stessi significati di cui alla Direttiva 95/46/EC del Parlamento Europeo e del Consiglio del 24 ottobre1995 sulla protezione degli individui nei riguardi del trattamento di dati personali e della libera circolazione di tali dati (1);

b) l''Esportatore dei Dati' è il Responsabile del Trattamento che trasferisce i dati personali;

c) l''Importatore dei Dati' è l'Incaricato del Trattamento che accetta di ricevere dall'Esportatore dei Dati i dati personali da trattare per conto dell'Esportatore dei Dati dopo il trasferimento nel rispetto delle sue istruzioni e ai sensi dei presenti termini e delle presenti clausole e che non è soggetto al meccanismo di un paese terzo per garantire un'adeguata protezione ai sensi dell'Articolo 25(1) della Direttiva 95/46/EC; (d) 'Incaricato del Trattamento' si intende l'Incaricato del Trattamento coinvolto dall'Importatore dei Dati o da qualsiasi altro Incaricato del Trattamento dell'Importatore dei Dati che acconsente a ricevere dall'Importatore dei Dati o da qualsiasi altro Incaricato del Trattamento dell'Importatore dei Dati i dati personali esclusivamente per attività di trattamento da svolgere per conto dell'Esportatore dei Dati dopo il trasferimento nel rispetto delle istruzioni dell'Esportatore dei Dati, ai sensi delle condizioni stabilite nelle presenti Clausole e ai sensi dei termini del subappalto scritto del contratto per il trattamento dei dati;

e) "legge applicabile in materia di protezione dei dati" indica la legislatura che protegge i diritti fondamentali e le libertà degli individui, incluso il diritto alla privacy per quanto concerne il trattamento di dati personali, e che si applica a un responsabile nello Stato Membro dove è istituito l'Esportatore dei Dati;

f) “misure tecniche e organizzative relative alla sicurezza" indica le misure volte alla protezione dei dati personali contro la distruzione illegale o la perdita accidentale, l'alterazione, la divulgazione non autorizzata o l'accesso, in particolare laddove il trattamento coinvolga la trasmissione dei dati a mezzo di reti, e contro tutte le altre forme illegali di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, incluse, ove opportune, le categorie speciali di dati personali, sono specificati in Appendice 1, che costituisce parte integrante delle presenti clausole.

Clausola 3

Clausola del terzo beneficiario

1. La persona interessata può far valere contro l'Esportatore dei Dati la presente Clausola, la Clausola 4 da (b) fino a (i), La Clausola 5 da (a) fino a (e) e da (g) fino a (j), La Clausola 6 (1) e (2), la Clausola 7, La Clausola 8(2) e le Clausole da 9 a 12 in qualità di terzo beneficiario

2. La persona interessata può far valere la presente Clausola, la Clausola 5 da (a) fino a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12 contro l'Importatore dei Dati laddove l'Esportatore dei Dati sia fisicamente scomparso o abbia giuridicamente cessato di esistere o sia divenuto insolvente, fatto salvo il caso in cui tutti i suoi obblighi legali siano strati trasferiti, tramite contratto o per effetto di legge, all'organo successore, a cui pertanto ritornano i diritti e gli obblighi dell'Esportatore dei Dati, e contro cui la persona interessata può pertanto far valere le suddette clausole.

La persona interessata può far valere la presente Clausola, la Clausola 5 da (a) fino a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12 contro l'Incaricato del Trattamento, ma solo nei casi in cui l'Esportatore dei Dati e l'Importatore dei Dati siano fisicamente scomparsi, abbiano cessato di esistere giuridicamente o siano divenuti insolventi, fatto salvo il caso in cui tutti gli obblighi legali dell'Esportatore dei Dati siano stati trasferiti, tramite contratto o per effetto di legge, al successore legale, che pertanto acquisisce i diritti e gli obblighi dell'Esportatore dei Dati, e contro cui la persona interessata può pertanto far valere tali clausole. Tale responsabilità dell'Incaricato del Trattamento deve essere limitata alle sue attività di trattamento ai sensi delle presenti clausole.

4. Le parti non obiettano alla rappresentazione della persona interessata da parte di un'associazione o di un altro ente secondo sua volontà e laddove consentito dalla legge nazionale.

Clausola 4

Obblighi dell'Esportatore dei Dati

L'Esportatore dei Dati accetta e garantisce quanto segue:

a) il trattamento, incluso l'effettivo trasferimento di dati personali, è stato e continuerà ad essere svolto conformemente alle disposizioni rilevanti della legge applicabile sulla protezione dei dati (e, laddove applicabile, si è data notifica alle autorità competenti dello Stato Membro in cui ha sede l'Esportatore dei Dati) e non infrange le rilevanti disposizioni di quello Stato;

b) di aver istruito, e che istruirà per la durata dei servizi di trattamento dei dati personali, l'Importatore dei Dati a trattare i dati personali trasferiti solo per conto dell'Esportatore dei Dati e conformemente alla legge applicabile sulla protezione dei dati e alle presenti clausole;

c) l'Importatore dei Dati fornirà sufficienti garanzie riguardanti le misure di sicurezza tecniche e organizzative specificate in Appendice 2 al presente contratto;

d) a seguito della valutazione dei requisiti della legge applicabile sulla protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali contro la distruzione accidentale o illegale, la perdita accidentale, l'alterazione, la divulgazione non autorizzata, o l'accesso, in particolare laddove il trattamento coinvolga la trasmissione di dati attraverso una rete, e contro tutte le forme illegali di trattamento, e garantiscono un livello di sicurezza appropriato ai rischi rappresentati dal trattamento e dalla natura dei dati da proteggere, con particolare riguardo per il livello di tecnologia e il costo d'implementazione;

e) garantirà la conformità alle misure di sicurezza;

f) laddove il trasferimento riguardi categorie speciali di dati, la persona interessata è stata informata o sarà informata prima del trasferimento, o il più presto possibile a seguito del trasferimento che i suoi dati possono essere trasferiti a un paese terzo che non offre un livello adeguato di protezione ai sensi della Direttiva 95/46/EC;

g) provvederà a inoltrare qualsiasi notifica ricevuta dall'Importatore dei Dati o da qualsiasi Incaricato del Trattamento ai sensi delle Clausole 5 (b) e 8 (3) all'autorità di controllo della protezione dei dati laddove decida di continuare il trasferimento o di revocare la sua sospensione;

h) deve rendere disponibile alle persone interessate, laddove ne facciano richiesta, una copia delle presenti Clausole, a eccezione dell'Appendice 2, e una descrizione sommaria delle misure di sicurezza, e una copia di qualsiasi ulteriore accordo di subappalto, concluso ai sensi delle presenti Clausole fatto salvo laddove le Clausole o l'accordo contengano informazioni commerciali, nel qual caso tali informazioni possono essere omesse;

i) in caso di subappalto della procedura di trattamento dei dati, l'attività di trattamento è svolta conformemente alla Clausola 11 da un Incaricato del Trattamento che fornisca un livello di protezione dei dati personali e dei diritti della persona interessata almeno uguale a quello dell'Importatore dei Dati ai sensi delle presenti Clausole; e

j) garantirà il rispetto della Clausola 4 da (a) a (i).

Clausola 5

Obblighi dell'Importatore dei Dati

L'Importatore dei Dati accetta e garantisce quanto segue:

a) tratterà i dati personali solo per conto dell'Esportatore dei Dati e conformemente alle istruzioni dell'Esportatore dei Dati e alle presenti clausole; laddove impossibilitato ad adempiere per qualsiasi motivo, accetta di informare l'Esportatore dei Dati della propria impossibilità, nel qual caso l'Esportatore dei Dati può sospendere il trasferimento dei dati e/o terminare il contratto;

b) non ha motivo di ritenere che la legge applicabile impedisca di eseguire le istruzioni fornite dall'Esportatore dei Dati e gli obblighi spettanti ai sensi del contratto, e laddove tale legge sia soggetta a una modifica che possa avere un effetto materiale avverso sulle garanzie e sugli obblighi ai sensi delle presenti Clausole, deve notificare il cambiamento all'Esportatore dei Dati senza ritardo dopo esserne venuto a conoscenza, nel qual caso l'Esportatore dei Dati può sospendere il trasferimento dei dati e/o terminare il contratto;

(c) ha implementato le misure di sicurezza tecniche e organizzative specificate in Appendice 2 prima di trattare i dati personali trasferiti;

d) notificherà all'Esportatore dei Dati senza ritardo:

i) qualsiasi richiesta vincolante di divulgazione di dati personali da parte di un'autorità di contrasto, fatto salvo laddove diversamente specificato, come un divieto penale volto a preservare la segretezza di un'indagine di polizia;

ii) qualsiasi accesso accidentale o non autorizzato; e

iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate senza rispondere fatto salvo laddove sia stato autorizzato a farlo; gli amministratori

e) gestiranno tempestivamente e in modo appropriato tutte le richieste da parte dell'Esportatore dei Dati riguardanti il suo trattamento dei dati personali in trasferimento e agiranno in conformità all'opinione dell'autorità di controllo in merito al trattamento dei dati trasferiti;

f) su richiesta dell'Esportatore dei Dati, sottoporranno le sue strutture per il trattamento dei dati a una verifica delle attività di trattamento coperte dalle presenti clausole e da svolgersi da parte dell'Esportatore dei Dati o di un organo di controllo composto di membri indipendenti con le qualifiche professionali richieste, soggetto a un obbligo di riservatezza e scelto dall'Esportatore dei Dati, laddove conforme all'accordo con l'autorità di controllo;

g) renderanno disponibile alla persona interessata, laddove ne faccia richiesta, una copia delle presenti Clausole, o di qualsiasi subappalto esistente del contratto per il trattamento dei dati, fatto salvo laddove le Clausole o il contratto contengano informazioni commerciali, nel qual caso tali informazioni possono essere rimosse, a eccezione di Appendice 2, che sarà sostituita da un descrizione sommaria delle misure di sicurezza, laddove la persona interessata non possa ottenere una copia dall'Esportatore dei Dati;

h) in caso di ulteriore subappalto confidenziale del trattamento dei dati, garantirà di informare l'Esportatore dei Dati in anticipo e di ottenere il consenso scritto dell'Esportatore dei Dati;

i) i servizi di trattamento forniti dall'Incaricato del Trattamento devono essere conformi alla Clausola 11;

j) invieranno tempestivamente all'Esportatore dei dati una copia di qualsiasi subappalto dell'accordo per il trattamento dei dati stipulato ai sensi delle presenti Clausole.

Clausola 6

Responsabilità

1. Le parti accettano che qualsiasi persona interessata che abbia subito danni a causa di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da una delle parti o da un Incaricato del Trattamento può ottenere dall'Esportatore dei Dati un risarcimento per il danno subito.

2. Laddove una persona interessata sia impedita a fare richiesta di risarcimento per danni di cui al paragrafo 1 contro l'Esportatore dei Dati per mancata ottemperanza da parte dell'Importatore dei Dati o del suo Incaricato del Trattamento a qualsiasi obbligo ai sensi della Clausola 3 o della Clausola 11 poiché l'Esportatore dei Dati è fisicamente scomparso, ha cessato di esistere giuridicamente o è divenuto insolvente, l'Importatore dei Dati accetta che la persona interessata possa sporgere reclamo contro di lui come se fosse l'Esportatore dei Dati, fatto salvo laddove tutti gli obblighi legali dell'Esportatore dei Dati siano stati trasferiti, tramite contratto o per effetto di legge, al suo organismo successore, contro cui la persona interessata può far valere i propri diritti. L'Importatore dei Dati non può invocare la violazione dei suoi obblighi da parte di un Incaricato del Trattamento per evitare la propria responsabilità.

3. Laddove una persona interessata sia impedita a fare ricorso di cui ai paragrafi 1 e 2 nei confronti dell'Esportatore dei Dati o dell'Importatore dei Dati per una violazione da parte dell'Incaricato del Trattamento dei suoi obblighi di cui alla Clausola 3 o alla Clausola 11 perché l'Esportatore dei Dati e l'Importatore dei Dati sono fisicamente scomparsi, hanno cessato di esistere giuridicamente o sono divenuti insolventi, l'Incaricato del Trattamento accetta che la persona interessata possa sporgere reclamo contro di lui in merito alle sue attività di trattamento ai sensi delle presenti clausole come se fosse l'Esportatore dei Dati o l'Importatore dei Dati, fatto salvo il caso in cui tutti gli obblighi dell'Esportatore dei Dati o dell'Importatore dei dati siano stati trasferiti, tramite contratto o per effetto di legge, al successore legale, contro cui la persona interessata può dunque esercitare i propri diritti. La responsabilità dell'Incaricato del Trattamento deve essere limitata alle sue attività di trattamento ai sensi delle presenti clausole.

Clausola 7

Mediazione e giurisdizione

1. L'Importatore dei Dati dichiara che laddove ai sensi delle clausole, la persona interessata faccia valere contro di lui il diritto della terza parte beneficiaria e/o chieda risarcimento per il pregiudizio subito, accetterà la decisione della persona interessata:

a) di sottoporre la disputa alla mediazione di un soggetto indipendente o, laddove appropriato, dell'autorità di controllo;

b) di portare la disputa dinanzi ai tribunali dello Stato Membro in cui l'Esportatore dei Dati ha sede.

2. Le parti accettano che la scelta effettuata dalla persona interessata non pregiudica il diritto sostanziale o procedurale della persona interessata di ottenere riparazione ai sensi di altre disposizioni di legge nazionale o internazionale.

Clausola 8

Collaborazione con le autorità di controllo

1. L'Esportatore dei Dati accetta di depositare una copia del presente contratto presso l'autorità di controllo che ne faccia richiesta o laddove tale deposito sia previsto dalla legge applicabile sulla protezione dei dati.

2. Le parti accettano che l'autorità di controllo possa eseguire controlli presso l'Importatore dei Dati e qualsiasi Incaricato del Trattamento nella stessa misura e alle stesse condizioni dei controlli eseguiti presso l'Esportatore dai Dati ai sensi della legge applicabile sulla protezione dei dati.

3. L'Importatore dei Dati deve informare al più presto possibile l'Esportatore dei Dati dell'esistenza di legislazione riguardante l'Importatore dei Dati o qualsiasi Incaricato del Trattamento che impedisca la verifica presso l'Importatore dei Dati o qualsiasi Incaricato del Trattamento ai sensi del paragrafo 2. In tal caso, l'Esportatore dei Dati può adottare le misure previste nella Clausola 5 (b).

Clausola 9

Legge applicabile

Le clausole si applicano e sono regolate dalla legge dello Stato Membro in cui ha sede l'Esportatore dei Dati.

Clausola 10

Modifica del contratto

Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di includere altre clausole commerciali laddove ritenute necessarie, fermo restando che non contraddicano le presenti clausole.

Clausola 11

Successivo subappalto

1. L'Importatore dei Dati non può subappaltare alcuna delle sue attività di trattamento eseguite per conto dell'Esportatore dei Dati ai sensi delle presenti clausole senza il previo consenso scritto dell'Esportatore dei Dati. L'Importatore dei Dati può subappaltare i suoi obblighi ai sensi delle presenti Clausole, solo con il consenso dell'Esportatore dei Dati, attraverso un accordo scritto con l'Incaricato del Trattamento che imponga all'Incaricato del Trattamento gli stessi obblighi imposti all'Importatore dei Dati ai sensi delle presenti Clausole. Laddove l'Incaricato del Trattamento non possa adempiere ai propri obblighi sulla protezione dei dati ai sensi di quell'accordo scritto, l'Importatore dei Dati rimane pienamente responsabile nei confronti dell'Esportatore dei Dati per l'adempimento di tali obblighi.

2. Il previo accordo scritto tra l'Importatore dei Dati e l'Incaricato del Trattamento deve anche includere una clausola del terzo beneficiario come stabilito nella Clausola 3 per i casi in cui la persona interessata sia impossibilitata a presentare reclamo per danni di cui alla Clausola 6 (1), contro l'Esportatore dei Dati o l'Importatore dei Dati poiché l'Esportatore dei Dati o l'Importatore dei Dati sono fisicamente scomparsi, hanno cessato di esistere giuridicamente o sono divenuti insolventi e tutti gli obblighi legali dell'Esportatore dei Dati o dell'Importatore dei Dati non sono stati trasferiti, tramite contratto o per effetto di legge, a un altro organo successore. La responsabilità dell'Incaricato del Trattamento deve essere limitata alle sue attività di trattamento ai sensi delle presenti clausole.

3. Le disposizioni relative agli aspetti della protezione dei dati del subappalto del trattamento dei dati di cui al paragrafo 1 sono regolate dalla legge dello Stato Membro in cui è costituito l'Esportatore dei Dati.

4. L'Esportatore dei Dati deve tenere un elenco degli accordi dei subappalti del trattamento dei dati conclusi ai sensi delle presenti Clausole e notificati dall'Importatore dei Dati i sensi della Clausola 5(j), che deve essere aggiornato almeno una volta all'anno. Questo elenco deve essere messo a disposizione dell'autorità di controllo della protezione dei dati dell'Esportatore dei Dati.

Clausola 12

Obblighi al termine dei servizi di trattamento dei dati personali

1. Le parti accettano che, al completamento dei servizi di trattamento dei dati, l'Importatore dei Dati e l'Incaricato del Trattamento, a discrezione dell'Esportatore dei Dati, restituiranno tutti i dati personali trasferiti e le copie degli stessi all'Esportatore dei Dati, o distruggeranno tali dati e forniranno prova della distruzione all'Esportatore dei Dati, fatto salvo laddove la legislazione imposta all'Importatore dei Dati gli impedisca di restituire o distruggere, in tutto o in parte, i dati personali trasferiti. In quel caso, l'Importatore dei Dati assicura di garantire la riservatezza dei dati personali trasferiti e che smetterà di trattare attivamente i dati.

2. L'Importatore dei Dati e l'Incaricato del Trattamento assicurano che, laddove richiesto dall'Esportatore dei Dati e/o dall'autorità di controllo, sottoporranno i propri mezzi di trattamento dei dati alla verifica delle misure di cui al paragrafo 1.

Appendice 1.1 alla Parte 2

Dettagli del Trasferimento

Esportatore dei Dati

L'Esportatore dei Dati è il Cliente definito nell'Accordo Contrattuale.

Importatore dei Dati

L'Importatore dei Dati è IQUALIF ed è assegnato al trattamento dei dati, fornendo servizi all'Esportatore dei Dati.

Persone interessate

I dati personali trasferiti riguardano le seguenti categorie di persone interessate:

☒ Abbonati telefonici elencati nella directory universale

☐ Altri, tra cui:

Categorie dei dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

Categorie dei dati personali delle persone interessate dell'Esportatore dei Dati in particolare,

☒ Nome completo

☒ Indirizzo portale

☒ Informazioni di contatto (e-mail, telefono, indirizzo IP, ecc.)

☒ Dettagli di attività di marketing riguardanti l'abbonato telefonico

☒ Altre, inclusi tipo di abitazione, reddito, ed età media per città fornite in modo anonimo

Categorie speciali dei dati (se applicabili)

I dati personali trasferiti riguardano le seguenti categorie speciali dei dati:

☒ Il trasferimento di categorie speciali di dati non è previsto

☐ Razza od origine etnica

☐ Credo religioso o filosofico

☐ Appartenenza sindacale

☐ Orientamento politico

☐ Informazioni genetiche

☐ Informazioni biometriche

☐ Informazioni sull'orientamento sessuale o sulla vita sessuale

☐ Dati sulla salute

Attività di trattamento

I dati personali trasferiti saranno soggetti alle seguenti attività elementari di trattamento:

- • Scopo del trattamento

Il trattamento svolto per conto dell'Esportatore dei Dati si basa sui seguenti principi, in particolare:

☒ Presa in carico dei prodotti o servizi offerti dall'Esportatore dei Dati

☒ L'offerta di un prodotto o servizio che la persona chiamata può richiedere

☒ Ordini ricevuti dalle persone chiamate e successivo trattamento di questi ordini

☒ Questionari di ricerca e analisi

☒ Telemarketing

☐ Altri, incluso:

- • Natura e scopo del trattamento

L'Importatore dei Dati tratta i dati personali delle persone interessate per conto dell'Esportatore dei Dati, per fornire i seguenti servizi, e in particolare:

☒ Vendite e Marketing

☒ Altri, incluso l'aggiornamento dei database dei comuni e dei partiti politici

- • Fornitura di servizi e impiego di fornitori di servizi

IQUALIF principalmente combina, centralizza e fornisce servizi all'Esportatore dei Dati. I servizi erogati dal suddetto fornitore di servizi possono essere strutturati (tra gli altri, se appropriato) attorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi, e infrastruttura informatica in relazione ai centri di trattamento dei dati utilizzati, al fine di fornire e supportare i servizi, incluso il trattamento dei dati personali delle persone interessate come illustrato in precedenza, tramite tali applicazioni, strumenti, e sistemi, (ii) la fornitura di assistenza informatica, manutenzione o altri servizi relativi a tali applicazioni, strumenti, sistemi e infrastruttura informatica, incluso il potenziale accesso ai dati personali archiviati in tali applicazioni strumenti, e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione, e servizi di risposta agli incidenti, incluso il potenziale accesso ai dati personali durante la fornitura di tali servizi di protezione. IQUALIF può coinvolgere degli Incaricati al Trattamento come di seguito stabilito per fornire i servizi, inclusi i servizi accessori.

- • Terzi fornitori esterni di servizi come sotto-entità assegnate al trattamento dei dati

IQUALIF coinvolge fornitori di servizi esterni e terzi, che non sono sussidiari di IQUALIF, per supportare la fornitura di servizi all'Esportatore dei Dati. L'Esportatore dei Dati approva tali fornitori di servizi terzi ed esterni come sotto-entità assegnate al trattamento dei dati.

Laddove una sotto-entità coinvolta nel trattamento dei dati sia situata al di fuori dell'EU/EEA, in un paese ritenuto non in grado di fornire un adeguato livello di protezione dei dati in base a una decisione della Commissione Europea, l'Importatore dei Dati si impegnerà per ottenere un adeguato livello di protezione dei dati ai sensi del GDPR e della sezione 3.4 (iv) della Parte 1.

Appendice 2, Parte 2

Misure protettive tecniche e organizzative

L'Importatore dei Dati deve prendere le seguenti misure di protezione tecniche e organizzative confermate dall'Esportatore dei Dati, per garantire un appropriato livello di sicurezza per i diritti e la libertà degli individui, in base ai rischi. Nel valutare il livello di protezione interessato, l'Esportatore dei Dati ha considerato, in particolare, i rischi connessi al trattamento, inclusi la distruzione accidentale o dolosa, l'alterazione, la divulgazione non autorizzata, o l'accesso ai dati personali trasmessi, conservati, o altrimenti trattati. Come chiarimento: Queste misure di protezione tecniche e organizzative non si applicano ad applicazioni, strumenti, sistemi, e/o infrastrutture informatiche forniti dall'Esportatore dei Dati.

1 Misure generali di protezione tecniche e organizzative

1.1 Strategie generali di protezione dei dati e delle informazioni

Occorre osservare i seguenti passaggi per seguire le strategie generali di protezione dei dati e delle informazioni:

a) prendere misure per valutare quelle prese in relazione alla protezione tecnica e organizzativa;

b) fornire formazione per sensibilizzare i dipendenti;

c) disporre di una descrizione dei sistemi interessati e garantire l'accesso ai dipendenti;

d) stabilire una procedura formale di documentazione ogniqualvolta i sistemi vengono implementati o modificati;

e) documentare struttura organizzativa, processi, responsabilità e rispettive valutazioni;

1.2 Organizzazione della protezione delle informazioni

Occorre adottare le seguenti misure per coordinare le attività di protezione di dati e informazioni:

a) definire le responsabilità per la protezione di informazioni e dati (per esempio attraverso la politica di gestione della protezione dei dati);

b) la necessaria competenza sulla protezione di informazioni e dati ancora disponibili;

c) tutti i dipendenti sono tenuti a garantire che i dati personali restino confidenziali, e sono stati informati delle potenziali conseguenze della violazione di questo impegno.

1.3 Controllo dell'accesso alle aree di trattamento

Occorre adottare le seguenti misure per impedire alle persone non autorizzate l'accesso ai sistemi di trattamento dei dati (in particolare software e hardware) quando i dati personali vengono trattati, conservati o trasmessi:

a) stabilire aree sicure;

b) proteggere e restringere l'accesso ai sistemi di trattamento dati;

c) stabilire autorizzazioni di accesso per impiegati e terze parti, inclusi i rispettivi documenti;

d) ogni accesso ai centri di trattamento dei dati in cui sono conservati dati personali deve essere registrato.

1.4 Controllo dell'accesso ai sistemi di trattamento dei dati

Occorre adottare le seguenti misure per impedire l'accesso non autorizzato ai sistemi di trattamento dei dati:

a) politiche e procedure di autenticazione degli utenti;

b) l'utilizzo di password su tutti i sistemi computerizzati;

c) l'accesso remoto alla rete richiede l'autenticazione a più fattori ed è garantito al personale secondo le diverse responsabilità e su autorizzazione;

d) l'accesso a funzioni specifiche varia in base alle mansioni e/o gli attributi individualmente assegnati all'account di un utente;

e) i diritti di accesso relativi ai dati personali sono riesaminati periodicamente;

f) i registri delle modifiche ai diritti di accesso sono mantenuti aggiornati.

1.5 Controllare l'accesso a particolari aree d'utilizzo dei sistemi di trattamento dei dati

Occorre adottare le seguenti misure per garantire che le persone autorizzate all'uso dei sistemi di trattamento dei dati possano accedere soltanto ai dai pertinenti alle loro rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o eliminati senza autorizzazione:

1. a) politiche, istruzioni, e formazione dei dipendenti, riguardanti i rispettivi obblighi in merito a riservatezza, diritto di accesso ai dati personali, e lo scopo del trattamento dei dati personali;

b) misure disciplinari nei confronti di persone che accedano a dati personali senza autorizzazione;

c) l'accesso ai dati personali deve essere consentito solo al personale autorizzato, sulla base della necessaria riservatezza;

d) mantenere un elenco degli amministratori di sistema e prendere misure appropriate per monitorare gli amministratori di sistema;

e) non copiare o riprodurre dati personali su qualsiasi sistema di archiviazione per consentire al personale autorizzato di rimuovere le informazioni dell'originatore;

f) eliminazione o distruzione controllata e documentata dei dati;

g) conservare in sicurezza tutti i dati personali che devono essere conservati per motivi legali o normativi (per esempio gli obblighi di conservazione dei dati), e solo per il tempo richiesto dalla legge.

1.6 Controllo delle trasmissioni

Occorre adottare le seguenti misure per impedire a terze parti non autorizzate di leggere, modificare, o eliminare dati personali durante la trasmissione o il trasporto di dispositivi di archiviazione dei dati (in base al trattamento dei dati personali intrapreso):

1. a) utilizzare i firewall;

b) evitare l'archiviazione di dati personali su dispositivi di archiviazione mobili per finalità di trasporto, o crittografare i dispositivi;
c) utilizzare su laptop e altri dispositivi mobili solo dopo l'attivazione della protezione crittografata;

d) registrare le trasmissioni di dati personali.

1.7 Controllo dell'inserimento dei dati

Occorre adottare le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati inseriti o eliminati dai sistemi di trattamento dei dati e da chi:

1. a) una politica per autorizzare lettura, alterazione, e cancellazione dei dati archiviati;

b) misure di protezione riguardanti lettura, alterazione, e cancellazione dei dati archiviati.

1.8 Controllo del lavoro

In caso di delegato trattamento di dati personali, occorre adottare le seguenti misure per garantire che tali dati siano trattati nel rispetto delle istruzioni del Supervisore:

1. a) entità o sotto-entità assegnate al trattamento dei dati, selezionate con cura (fornitori di servizi che trattano dati personali per conto del controllore);

b) istruzioni riguardanti lo scopo di qualsiasi trattamento di dati personali a dipendenti, entità, o sotto-entità assegnate al trattamento dei dati;

c) diritti di verifica concordati con le entità o sotto-entità assegnate al trattamento dei dati;

d) accordi in essere con le entità o sotto-entità assegnate al trattamento dei dati.

1.9 Separazione dal trattamento per altri fini

Occorre adottare le seguenti misure per garantire che i dati raccolti per altri fini possano essere trattati separatamente:

1. a) accesso separato ai dati personali nel rispetto dei diritti in essere degli utenti;

b) interfacce, trattamento in serie e segnalazione sono per altri scopi e funzioni, così da consentire il trattamento separato dei dati raccolti per altri scopi.

1.10 Pseudonimizzazione

Occorre adottare le seguenti misure riguardanti la pseudonimizzazione dei dati personali:

1. a) Se l'Esportatore dei Dati ordina una specifica operazione di trattamento o se ciò è considerato opportuno dall'Importatore dei Dai ai sensi delle leggi vigenti sulla protezione dei dati in relazione a certe attività di trattamento, il trattamento dei dati personali sarà eseguito in modo tale che i dati non possano più essere attribuiti a persone specifiche senza l'utilizzo di informazioni aggiuntive. Tali informazioni aggiuntive saranno tenute separatamente;

b) utilizzo di tecniche di pseudonimizzazione, inclusa la randomizzazione dell'elenco di allocazione; creazione di valori in forma di diesis.

1.11 Crittografia

Occorre adottare i seguenti passaggi per crittografare i dati personali nelle applicazioni e trasmissioni che supportano la crittografia:

1. a) utilizzo di tecniche di crittografia;

b) istituzione di una gestione della crittografia per supportare le tecniche di crittografia autorizzate a essere utilizzate;

c) supportare l'utilizzo della crittografia attraverso procedure e protocolli per generare, modificare, revocare, distruggere, distribuire, certificare, conservare, catturare, utilizzare, e archiviare chiavi crittografiche per impedire la modifica e la divulgazione non autorizzate.

1.12 Completezza dei sistemi e dei servizi di trattamento dei dati

Occorre adottare le seguenti misure per garantire la completezza dei sistemi e dei servizi di trattamento dei dati:

a) protezione dei sistemi di trattamento dei dati contro la manipolazione o la distruzione attraverso mezzi appropriati (per esempio software antivirus, software per la prevenzione della perdita di dati, patch per software, firewall, e protezione desktop gestita);

b) proibire l'installazione di qualsiasi servizio o software dannoso per i sistemi e i servizi di trattamento dei dati, o la manipolazione dei dati personali;

c) utilizzare un sistema di rilevamento e prevenzione delle intrusioni di rete nella struttura della rete stessa.

1.13 Disponibilità dei sistemi e dei servizi di trattamento dei dati e la possibilità di ripristinare l'accesso e l'utilizzo di dati personali in caso di incidente tecnico o materiale

Occorre adottare le seguenti misure per garantire la disponibilità dei sistemi di trattamento dei dei dati, e per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali, in caso di incidente tecnico o materiale (in particolare garantendo che i dati personali siano protetti contro distruzione o perdita accidentali):

a) avere mezzi di controllo per tenere copie di backup e ripristinare dati persi o eliminati;

b) eseguire test di ridondanza e performance infrastrutturale;

c) protezione fisica delle risorse computerizzate;

d) utilizzo di strumenti per monitorare stato e disponibilità della rete interna;

e) segnalazione di incidenti e politiche di reazione che regolano la procedura di gestione degli incidenti, e la reiterazione del rispetto di queste politiche come parte della regolare formazione;

f) backup (a volte off-site) per ripristinare il sistema e farlo tornare funzionante;

g) piani di continuità operativa aziendale/ripristino di emergenza

1.14 Resilienza dei sistemi e dei servizi di trattamento dei dati

Occorre adottare le seguenti misure per garantire la resilienza dei sistemi e dei servizi di trattamento dei dati:

a) i sistemi sono configurati armoniosamente, utilizzando parametri di sicurezza approvati;

b) ridondanza della rete;

c) protezione di contenimento dei sistemi critici.

1.15 Procedura per testare, valutare e stabilire regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati

Procedura per testare, valutare e stabilire regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati.

a) prendere le misure necessarie a valutare i rischi e le strategie di mitigazione;

b) riunioni di analisi del servizio del reparto informatico per risolvere i problemi in essere;

c) I piani di continuità operativa aziendale/ripristino di emergenza sono aggiornati regolarmente.

Parte 3

Firme delle parti ed elenco degli Importatori dei Dati

Compilando il modulo di ordine online e convalidandolo spuntando la casella di accettazione dei termini e condizioni generali di utilizzo, si stipula il contratto che regola il rapporto tra il Cliente e IQUALIF.

Inviando il pagamento a IQUALIF il contratto si considera accettato e stipulato.

Prendere nota: Il presente testo è stato tradotto dal Francese. La versione originale in Francese, valida e legalmente vincolante, è disponibile qui.