Il presente DPA è stipulato tra il Titolare e il Responsabile ed è incorporato e disciplinato dai termini dell’Accordo.
Qualsiasi termine con iniziale maiuscola non definito nel presente DPA avrà il significato attribuitogli nell’Accordo.
| “Affiliata” | indica qualsiasi entità che controlli, sia controllata da o sia sotto il controllo comune di una parte, direttamente o indirettamente. Ai fini della presente definizione, per “Controllo” si intende la titolarità o il controllo diretto o indiretto di oltre il 50% dei diritti di voto di una parte; |
| “Accordo” | indica l’accordo tra il Titolare e il Responsabile per la fornitura dei Servizi; |
| “CCPA” | indica il California Consumer Privacy Act del 2018, unitamente ai relativi regolamenti e successive modifiche; |
| “Titolare” | indica il Cliente; |
| “Normativa in materia di protezione dei dati” | indica tutte le leggi e i regolamenti, incluse le leggi e i regolamenti dell’Unione Europea, dello Spazio Economico Europeo, dei relativi Stati membri e del Regno Unito, nonché eventuali modifiche, sostituzioni o rinnovi degli stessi, applicabili al trattamento dei Dati Personali, incluso, ove applicabile, il Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, l’EU GDPR, l’UK GDPR, il UK Data Protection Act 2018, la FADP, il CCPA e qualsiasi normativa nazionale di attuazione, regolamento o normativa secondaria applicabile relativa al trattamento dei Dati Personali e alla riservatezza delle comunicazioni elettroniche, come di volta in volta modificati, sostituiti o aggiornati, inclusa la Privacy and Electronic Communications Directive (2002/58/EC) e la Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| “Interessato” | avrà lo stesso significato previsto dalla Normativa in materia di protezione dei dati oppure indica un “Consumer” così come definito nel CCPA; |
| “DPA” | indica il presente accordo sul trattamento dei dati unitamente agli Allegati A, B e C; |
| “SEE” | indica lo Spazio Economico Europeo; |
| “EU GDPR” | indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati); |
| “FADP” | indica la nuova Legge federale svizzera sulla protezione dei dati del 1° settembre 2023, e successive modifiche; |
| “Dati Personali” | avrà lo stesso significato previsto dalla Normativa in materia di protezione dei dati; |
| “Responsabile” | indica la Società, incluse, ove applicabile, eventuali “Service Provider” così come definiti dal CCPA; |
| “Trasferimento soggetto a restrizioni” | indica: (i) qualora si applichi l’EU GDPR, un trasferimento di Dati Personali tramite i Servizi dal SEE, direttamente o tramite trasferimento successivo, verso un Paese o un destinatario al di fuori del SEE non soggetto a una decisione di adeguatezza della Commissione europea; e (ii) qualora si applichi l’UK GDPR, un trasferimento di Dati Personali tramite i Servizi dal Regno Unito, direttamente o tramite trasferimento successivo, verso un Paese o un destinatario al di fuori del Regno Unito non basato su regolamenti di adeguatezza ai sensi della Sezione 17A del UK Data Protection Act 2018; e (iii) un trasferimento di Dati Personali tramite i Servizi dalla Svizzera, direttamente o tramite trasferimento successivo, verso un Paese o un destinatario al di fuori del SEE e/o della Svizzera non soggetto a una decisione di adeguatezza della Commissione europea; |
| “Servizi” | indica tutti i servizi e le applicazioni software e soluzioni forniti al Titolare dal Responsabile ai sensi e come descritto nell’Accordo; |
| “SCC” | indica: (i) qualora si applichi l’EU GDPR, le clausole contrattuali standard allegate alla Decisione di esecuzione della Commissione europea 2021/914 del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso Paesi terzi, pubblicata su https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN (“EU SCC”); e (ii) qualora si applichi l’UK GDPR, le clausole standard di protezione dei dati adottate ai sensi dell’Articolo 46(2)(c) dell’UK GDPR come riportate nell’Allegato C del presente DPA (“UK SCC”); e (iii) qualora i Dati Personali siano trasferiti dalla Svizzera verso l’esterno della Svizzera o del SEE, le EU SCC come modificate in conformità alle linee guida dell’Autorità svizzera per la protezione dei dati (“Swiss SCC”); |
| “Sub-responsabile” | indica qualsiasi terza parte (incluse le Affiliate del Responsabile) incaricata direttamente o indirettamente dal Responsabile di trattare Dati Personali ai sensi del presente DPA nell’ambito della fornitura dei Servizi al Titolare; |
| “Autorità di controllo” | indica un organismo di regolamentazione governativo o istituito per legge, dotato di autorità legale vincolante su una parte; |
| “UK GDPR” | indica l’EU GDPR nella misura in cui costituisce parte del diritto di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 dello European Union (Withdrawal) Act 2018. |
2.1. Il Responsabile ha accettato di fornire i Servizi al Titolare in conformità ai termini dell’Accordo. Nell’erogazione dei Servizi, il Responsabile tratterà i Dati del Cliente per conto del Titolare. I Dati del Cliente possono includere Dati Personali. Il Responsabile tratterà e proteggerà tali Dati Personali in conformità ai termini del presente DPA.
3.1. Nell’erogazione dei Servizi al Titolare ai sensi dei termini dell’Accordo, il Responsabile tratterà i Dati Personali esclusivamente nella misura necessaria a fornire i Servizi in conformità ai termini dell’Accordo, del presente DPA e alle istruzioni del Titolare documentate nell’Accordo e nel presente DPA, come di volta in volta aggiornate.
3.2. Il Titolare e il Responsabile adotteranno misure per garantire che qualsiasi persona fisica che agisca sotto l’autorità del Titolare o del Responsabile e che abbia accesso ai Dati Personali non li tratti se non su istruzione del Titolare, salvo che ciò sia richiesto da una Normativa in materia di protezione dei dati.
4.1. Il Responsabile può raccogliere, trattare o utilizzare Dati Personali esclusivamente nell’ambito del presente DPA.
4.2. Il Responsabile conferma che tratterà i Dati Personali per conto del Titolare in conformità alle istruzioni documentate del Titolare.
4.3. Il Responsabile informerà tempestivamente il Titolare qualora, a giudizio del Responsabile, una qualsiasi istruzione relativa al trattamento dei Dati Personali fornita dal Titolare violi la Normativa in materia di protezione dei dati.
4.4. Il Responsabile garantirà che tutti i dipendenti, agenti, dirigenti e appaltatori coinvolti nella gestione dei Dati Personali: (i) siano consapevoli della natura riservata dei Dati Personali e siano contrattualmente vincolati a mantenerli riservati; (ii) abbiano ricevuto una formazione adeguata sulle proprie responsabilità in qualità di responsabile del trattamento; e (iii) siano vincolati dai termini del presente DPA.
4.5. Il Responsabile implementerà misure tecniche e organizzative adeguate a proteggere i Dati Personali, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche.
4.6. Il Responsabile implementerà misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, includendo, tra l’altro e ove opportuno: (i) la pseudonimizzazione e la cifratura dei Dati Personali; (ii) la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi e servizi di trattamento; (iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai Dati Personali in caso di incidente fisico o tecnico; (iv) un processo per testare, valutare e verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nel valutare il livello di sicurezza adeguato, si terrà conto in particolare dei rischi presentati dal trattamento, in particolare derivanti da distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato, accidentali o illeciti, ai Dati Personali trasmessi, conservati o comunque trattati.
4.7. Le misure tecniche e organizzative dettagliate nell’Allegato B dovranno essere sempre rispettate come standard minimo di sicurezza. Il Titolare accetta e concorda che le misure tecniche e organizzative sono soggette a sviluppo e revisione e che il Responsabile può utilizzare misure alternative idonee rispetto a quelle indicate negli allegati del presente DPA, purché tali misure siano almeno equivalenti alle misure tecniche e organizzative previste nell’Allegato B e adeguate ai sensi degli obblighi del Responsabile di cui alle clausole 4.5 e 4.6 sopra.
4.8. Il Titolare riconosce e accetta che, nel corso della fornitura dei Servizi al Titolare, potrebbe essere necessario per il Responsabile accedere ai Dati Personali per rispondere a problemi tecnici o richieste del Titolare e per garantire il corretto funzionamento dei Servizi. Qualsiasi accesso da parte del Responsabile sarà limitato a tali finalità.
4.9. Tenuto conto della natura del trattamento e delle informazioni disponibili al Responsabile, il Responsabile assisterà il Titolare predisponendo misure tecniche e organizzative adeguate, per quanto possibile, ai fini dell’adempimento dell’obbligo del Titolare di rispondere alle richieste di esercizio dei diritti dell’Interessato e della conformità del Titolare ai propri obblighi in materia di protezione dei dati in relazione al trattamento dei Dati Personali.
4.10. Il Responsabile non può: (i) vendere Dati Personali; (ii) conservare, utilizzare o divulgare Dati Personali per finalità commerciali diverse dalla fornitura dei Servizi ai sensi dei termini dell’Accordo; o (iii) conservare, utilizzare o divulgare Dati Personali al di fuori dei termini dell’Accordo.
5.1. Il Titolare dichiara e garantisce che: (i) rispetterà il presente DPA e i propri obblighi ai sensi della Normativa in materia di protezione dei dati; (ii) ha ottenuto tutte le autorizzazioni e i consensi necessari per consentire al Responsabile, alle sue Affiliate e ai Sub-responsabili di esercitare i propri diritti o adempiere i propri obblighi ai sensi del presente DPA; e (iii) tutte le Affiliate del Titolare che utilizzano i Servizi rispetteranno gli obblighi del Titolare previsti nel presente DPA.
5.2. Il Titolare implementerà misure tecniche e organizzative adeguate a proteggere i Dati Personali, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche. Il Titolare implementerà misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, includendo, tra l’altro e ove opportuno: (i) la pseudonimizzazione e la cifratura dei Dati Personali; (ii) la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi e servizi di trattamento; (iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai Dati Personali in caso di incidente fisico o tecnico; (iv) un processo per testare, valutare e verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nel valutare il livello di sicurezza adeguato si terrà conto in particolare dei rischi presentati dal trattamento, in particolare derivanti da distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato, accidentali o illeciti, ai Dati Personali trasmessi, conservati o comunque trattati.
5.3. Il Titolare riconosce e accetta che alcune istruzioni del Titolare, incluse l’assistenza del Responsabile in relazione ad audit, ispezioni, DPIA o qualsiasi supporto ai sensi del presente DPA, possono comportare costi aggiuntivi. In tal caso, il Responsabile informerà preventivamente il Titolare delle proprie tariffe per la fornitura di tale assistenza e avrà diritto di addebitare al Titolare i costi e le spese ragionevoli sostenuti per fornire tale assistenza, salvo diverso accordo scritto.
6.1. Il Titolare riconosce e accetta che il Responsabile può avvalersi di Sub-responsabili in relazione alla fornitura dei Servizi.
6.2. Tutti i Sub-responsabili che trattano Dati Personali nell’ambito della fornitura dei Servizi al Titolare rispetteranno gli obblighi del Responsabile previsti nel presente DPA.
6.3. Il Titolare autorizza il Responsabile a utilizzare i Sub-responsabili inclusi nell’elenco dei Sub-responsabili pubblicato all’indirizzo: https://multiply.cloud/en/legal-resources/ per trattare i Dati Personali. Durante la durata del presente DPA, il Responsabile fornirà al Titolare una notifica preventiva di 30 giorni, via e-mail, di qualsiasi modifica all’elenco dei Sub-responsabili prima di autorizzare un nuovo Sub-responsabile o un Sub-responsabile sostitutivo a trattare Dati Personali in relazione alla fornitura dei Servizi.
6.4. Il Titolare può opporsi all’utilizzo di un nuovo Sub-responsabile o di un Sub-responsabile sostitutivo, informando tempestivamente il Responsabile per iscritto entro quindici (15) giorni dal ricevimento dell’avviso del Responsabile. Se il Titolare si oppone a un nuovo Sub-responsabile o a un Sub-responsabile sostitutivo, il Titolare può risolvere l’Accordo con riferimento ai Servizi che non possono essere forniti dal Responsabile senza l’utilizzo del nuovo Sub-responsabile o del Sub-responsabile sostitutivo. Il Responsabile rimborserà al Titolare eventuali corrispettivi prepagati relativi al periodo residuo della durata dell’Accordo successivo alla data effettiva della risoluzione, con riferimento a tali Servizi risolti.
6.5. Tutti i Sub-responsabili che trattano Dati Personali rispetteranno gli obblighi del Responsabile previsti nel presente DPA. Prima che il relativo Sub-responsabile svolga qualsiasi attività di trattamento in relazione ai Dati Personali, il Responsabile dovrà: (i) nominare ciascun Sub-responsabile mediante un contratto scritto contenente obblighi sostanzialmente equivalenti a quelli del Responsabile previsti nel presente DPA, azionabili dal Responsabile; e (ii) garantire che ciascun Sub-responsabile rispetti tali obblighi.
6.6. Il Titolare accetta che il Responsabile e i suoi Sub-responsabili possano effettuare Trasferimenti soggetti a restrizioni di Dati Personali al fine di fornire i Servizi al Titolare in conformità all’Accordo. Il Responsabile conferma che tali Sub-responsabili: (i) si trovano in un Paese terzo o territorio riconosciuto dalla Commissione UE o da un’Autorità di controllo, a seconda dei casi, come avente un livello di protezione adeguato; oppure (ii) hanno sottoscritto le SCC applicabili con il Responsabile; oppure (iii) dispongono di altre garanzie appropriate legalmente riconosciute.
7.1. Le parti concordano che, quando un trasferimento di Dati Personali avviene tra il Titolare e il Responsabile o dal Responsabile a un Sub-responsabile e tale trasferimento costituisce un Trasferimento soggetto a restrizioni, esso sarà soggetto alle SCC applicabili.
7.2. Le parti concordano che le EU SCC si applicheranno ai Trasferimenti soggetti a restrizioni dal SEE. Le EU SCC si considerano sottoscritte (e incorporate nel presente DPA per riferimento) e completate come segue:
7.3. Le parti concordano che le EU SCC, come modificate nella clausola 7.2 sopra, saranno adeguate come segue laddove la FADP si applichi a un Trasferimento soggetto a restrizioni:
L’Incaricato federale svizzero della protezione dei dati e dell’informazione (“FDPIC”) sarà l’unica Autorità di controllo per i Trasferimenti soggetti a restrizioni esclusivamente soggetti alla FADP; I Trasferimenti soggetti a restrizioni soggetti sia alla FADP sia all’EU GDPR saranno gestiti dall’Autorità di controllo UE indicata nell’Allegato A del presente DPA; Il termine “Stato membro” non deve essere interpretato in modo da escludere gli Interessati in Svizzera dalla possibilità di adire le vie legali per far valere i propri diritti nel luogo di residenza abituale (Svizzera) in conformità alla Clausola 18(c) delle EU SCC; Qualora i Trasferimenti soggetti a restrizioni siano esclusivamente soggetti alla FADP, tutti i riferimenti al GDPR nelle EU SCC devono intendersi come riferimenti alla FADP; Qualora i Trasferimenti soggetti a restrizioni siano soggetti sia alla FADP sia all’EU GDPR, tutti i riferimenti al GDPR nelle EU SCC devono intendersi come riferimenti alla FADP nella misura in cui i Trasferimenti soggetti a restrizioni siano soggetti alla FADP; Le Swiss SCC proteggono inoltre i Dati Personali delle persone giuridiche fino all’entrata in vigore della FADP revisionata. 7.4. Le parti concordano che le UK SCC si applicheranno ai Trasferimenti soggetti a restrizioni dal Regno Unito e che le UK SCC si considerano sottoscritte (e incorporate nel presente DPA per riferimento), come indicato nell’Allegato C del presente DPA.
7.5. Qualora una qualsiasi disposizione del presente DPA sia in contraddizione diretta o indiretta con una qualsiasi SCC, prevarranno le disposizioni delle SCC applicabili sui termini del DPA.
8.1. Il Titolare può richiedere la rettifica, la cancellazione, il blocco e/o la messa a disposizione dei Dati Personali durante o dopo la cessazione dell’Accordo. Il Titolare riconosce e accetta che il Responsabile tratterà la richiesta nella misura in cui ciò sia lecito e darà ragionevole esecuzione a tale richiesta in conformità alle proprie procedure operative standard, per quanto possibile.
8.2. Nel caso in cui il Responsabile riceva una richiesta da un Interessato in relazione ai Dati Personali, il Responsabile indirizzerà l’Interessato al Titolare, salvo che ciò sia altrimenti vietato dalla legge. Il Titolare rimborserà al Responsabile tutti i costi sostenuti derivanti dalla prestazione di un’assistenza ragionevole nella gestione di una richiesta dell’Interessato. Nel caso in cui il Responsabile sia legalmente tenuto a rispondere all’Interessato, il Titolare collaborerà pienamente con il Responsabile, ove applicabile.
9.1. Il Responsabile metterà a disposizione del Titolare tutte le informazioni ragionevolmente necessarie per dimostrare la conformità ai propri obblighi di trattamento e consentire e contribuire ad audit e ispezioni.
9.2. Qualsiasi audit condotto ai sensi del presente DPA consisterà nell’esame dei report, certificazioni e/o estratti più recenti redatti da un revisore indipendente vincolato da obblighi di riservatezza analoghi a quelli previsti dall’Accordo. Qualora la produzione di tali documenti non sia ritenuta sufficiente, a ragionevole giudizio del Titolare, il Titolare può condurre un audit più approfondito che dovrà essere: (i) a spese del Titolare; (ii) limitato, quanto all’ambito, a questioni specifiche del Titolare e concordato in anticipo; (iii) svolto durante il normale orario lavorativo del Responsabile e previo ragionevole preavviso non inferiore a 4 settimane, salvo il sorgere di una questione materiale identificabile; e (iv) condotto in modo da non interferire con l’operatività quotidiana del Responsabile.
9.3. La presente clausola non modifica né limita i diritti di audit del Titolare; intende invece chiarire le procedure relative a qualsiasi audit svolto ai sensi della stessa.
10.1. Il Responsabile informerà il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza (e in ogni caso entro 72 ore dalla scoperta) di qualsiasi violazione di sicurezza che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato, accidentali o illeciti, a qualsiasi Dato Personale (“Violazione dei Dati Personali”).
10.2. In caso di Violazione dei Dati Personali, il Responsabile adotterà tutte le misure commercialmente ragionevoli per mettere in sicurezza i Dati Personali, limitare gli effetti della Violazione dei Dati Personali e assistere il Titolare nell’adempimento dei propri obblighi ai sensi della legge applicabile.
11.1. Il Responsabile informerà tempestivamente il Titolare di qualsiasi richiesta o reclamo relativo al trattamento dei Dati Personali che incida negativamente sul Titolare, salvo che tale notifica non sia consentita ai sensi della legge applicabile o di un provvedimento giudiziario pertinente.
11.2. Il Responsabile può effettuare copie e/o conservare i Dati Personali in conformità a qualsiasi requisito legale o regolamentare, inclusi, a titolo esemplificativo, gli obblighi di conservazione.
11.3. Il Responsabile assisterà ragionevolmente il Titolare nell’adempimento dell’obbligo del Titolare di effettuare valutazioni d’impatto sulla protezione dei dati (DPIA), tenendo conto della natura del trattamento e delle informazioni disponibili al Responsabile.
11.4. Il Titolare informerà il Responsabile entro un termine ragionevole di qualsiasi modifica alle leggi, codici o regolamenti applicabili in materia di protezione dei dati che possa incidere sugli obblighi contrattuali del Responsabile. Il Responsabile risponderà entro un termine ragionevole in merito alle modifiche necessarie da apportare ai termini del presente DPA o alle misure tecniche e organizzative per mantenere la conformità. Se il Responsabile non è in grado di recepire le modifiche necessarie, il Titolare può risolvere la parte o le parti dei Servizi che determinano la non conformità. Nella misura in cui altre parti dei Servizi forniti non siano interessate da tali modifiche, la fornitura di tali Servizi rimarrà invariata.
11.5. Il Titolare e il Responsabile e, ove applicabile, i rispettivi rappresentanti, coopereranno, su richiesta, con un’Autorità di controllo nello svolgimento dei rispettivi obblighi ai sensi del presente DPA e della Normativa in materia di protezione dei dati.
12.1. Le limitazioni di responsabilità previste nell’Accordo si applicano a tutte le richieste avanzate a seguito di qualsiasi violazione dei termini del presente DPA.
12.2. Le parti concordano che il Responsabile sarà responsabile per qualsiasi violazione del presente DPA causata da atti e omissioni o negligenza dei propri Sub-responsabili nella stessa misura in cui il Responsabile sarebbe responsabile se eseguisse direttamente i servizi di ciascun Sub-responsabile ai sensi dei termini del DPA, fatto salvo qualsiasi limite di responsabilità previsto dai termini dell’Accordo.
12.3. Le parti concordano che il Titolare sarà responsabile per qualsiasi violazione del presente DPA causata da atti e omissioni o negligenza delle proprie Affiliate come se tali atti, omissioni o negligenza fossero stati commessi dal Titolare stesso.
12.4. Il Titolare non avrà diritto di ottenere un risarcimento più di una volta per la medesima perdita.
13.1. Il Responsabile tratterà i Dati Personali esclusivamente per la durata del DPA. La durata del presente DPA decorrerà dalla Data di Entrata in Vigore dell’Accordo e il presente DPA cesserà automaticamente con la cessazione o la scadenza dell’Accordo.
14.1. Il Responsabile, a scelta del Titolare, a seguito del ricevimento di una richiesta scritta pervenuta entro 30 giorni dalla fine della fornitura dei Servizi, cancellerà o restituirà i Dati Personali al Titolare. In ogni caso, il Responsabile cancellerà tutte le copie dei Dati Personali dai propri sistemi entro 1 anno dalla data effettiva di cessazione dell’Accordo o dalla disattivazione dell’account del Titolare, salvo che la legge o i regolamenti applicabili richiedano la conservazione dei Dati Personali anche dopo la cessazione.
15.1. Il presente DPA rappresenta l’intera intesa tra le parti in merito all’oggetto del presente documento.
15.2. Qualora una disposizione del presente DPA sia invalida o divenga invalida, l’effetto giuridico delle altre disposizioni rimarrà invariato. Si considera concordata una disposizione valida che si avvicini il più possibile a quanto le parti intendevano commercialmente e che sostituirà la disposizione invalida. Lo stesso si applicherà a eventuali omissioni.
15.3. Salvo quanto diversamente previsto dalle SCC, il presente DPA sarà disciplinato dalle leggi di Inghilterra e Galles. I tribunali d’Inghilterra avranno giurisdizione esclusiva per la risoluzione di tutte le controversie derivanti dal presente DPA.
15.4. Le parti concordano che il presente DPA è incorporato e disciplinato dai termini dell’Accordo.
Elenco delle Parti, descrizione del trattamento e del trasferimento dei Dati Personali, Autorità di controllo competente
A. Elenco delle Parti
| indica il Cliente. | |
| Indirizzo: | Come indicato per il Cliente nell’Accordo. |
| Nome del referente, ruolo e dettagli di contatto: | Come fornito dal Cliente nel proprio account e utilizzato ai fini di notifica e fatturazione. |
| Come fornito dal Cliente nel proprio account e utilizzato ai fini di notifica e fatturazione. | Utilizzo dei Servizi. |
| Firma e data: | Con la sottoscrizione dell’Accordo, l’Esportatore si considera aver firmato le SCC incorporate nel presente DPA, incluse le relative Appendici, alla Data di Entrata in Vigore dell’Accordo. |
| Ruolo: | Titolare. |
| Nome del Rappresentante (se applicabile): | Qualsiasi rappresentante nel Regno Unito o nell’UE indicato nell’informativa privacy dell’Esportatore. |
| indica Multiply Software Limited. | |
| Indirizzo: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Nome del referente, ruolo e dettagli di contatto: | Julien Demoor Chief Executive Officer
|
| Attività rilevanti per i dati trasferiti ai sensi delle SCC: | La fornitura di soluzioni di cloud computing all’Esportatore, in base alle quali l’Importatore tratta i Dati Personali su istruzioni dell’Esportatore in conformità ai termini dell’Accordo. |
| Firma e data: | Con la sottoscrizione dell’Accordo, l’Esportatore si considera aver firmato le SCC incorporate nel presente DPA, incluse le relative Appendici, alla Data di Entrata in Vigore dell’Accordo. |
| Ruolo: | Responsabile. |
| Categorie di Interessati: | Dipendenti, agenti, consulenti, advisor, freelance del Titolare (che siano persone fisiche). Utenti, Affiliate e altri partecipanti autorizzati dal Titolare ad accedere o utilizzare i Servizi in conformità ai termini dell’Accordo. |
| Categorie di Dati Personali: | Categorie di Dati Personali: Il Titolare può inviare Dati Personali ai Servizi, la cui portata è determinata e controllata dal Titolare. I Dati Personali includono, a titolo esemplificativo e non esaustivo:
|
| Dati sensibili: | Non saranno trattati né trasferiti dati sensibili e non dovranno essere contenuti nel contenuto o negli allegati delle e-mail. |
| Frequenza del trattamento e del trasferimento (ad es. se i dati sono trasferiti una tantum o su base continuativa): | Su base continuativa per la durata dell’Accordo. |
| Natura del trattamento: | Le operazioni di trattamento includono, a titolo esemplificativo e non esaustivo:
|
| Finalità del trasferimento dei dati e dell’ulteriore trattamento: | I Dati Personali sono trasferiti a subappaltatori che devono trattare parte dei Dati Personali al fine di fornire i propri servizi al Responsabile nell’ambito dei Servizi forniti dal Responsabile al Titolare. |
| Periodo di conservazione dei Dati Personali o, se non possibile, i criteri utilizzati per determinarlo: | Salvo diverso accordo scritto, per la durata dell’Accordo, fatto salvo quanto previsto dalla clausola 14 del DPA. |
| Per i trasferimenti a (Sub-)responsabili, specificare anche oggetto, natura e durata del trattamento: | L’elenco dei Sub-responsabili pubblicato su: https://multiply.cloud/en/sub-processor-list/ indica i Dati Personali trattati da ciascun Sub-responsabile e i servizi forniti da ciascun Sub-responsabile. |
| Identificare l’Autorità/le Autorità di controllo competente/i (ad es. in conformità alla Clausola 13 delle SCC) | Qualora si applichi l’EU GDPR, l’Autorità irlandese per la protezione dei dati – Data Protection Commission (DPC). Qualora si applichi l’UK GDPR, l’Information Commissioner’s Office del Regno Unito (ICO). Qualora si applichi la FADP, l’Incaricato federale svizzero della protezione dei dati e dell’informazione (FDPIC). |
Allegato B
Misure tecniche e organizzative di sicurezza
(Incluse misure tecniche e organizzative per garantire la sicurezza dei dati)
Di seguito è riportata una descrizione delle misure tecniche e organizzative implementate dal Responsabile (incluse eventuali certificazioni pertinenti) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
Ove applicabile, il presente Allegato B fungerà da Allegato II alle SCC.
| Misura | Descrizione |
| Misure di pseudonimizzazione e cifratura dei Dati Personali | Ai fini del controllo dei trasferimenti, viene utilizzata una tecnologia di cifratura. L’idoneità della tecnologia di cifratura è valutata rispetto alla finalità di protezione. I dati archiviati del Titolare sono cifrati a riposo mediante cifratura AES256 bit. I dati in transito sono protetti tramite Transport Layer Security (“TLS”). |
| Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento | L’accesso ai dati necessari per l’esecuzione del compito specifico è garantito all’interno di sistemi e applicazioni mediante un adeguato modello di ruoli e autorizzazioni. In conformità ai principi di “least privilege” e “need-to-know”, ciascun ruolo dispone esclusivamente dei diritti necessari per l’esecuzione dell’attività da parte della singola persona. Per mantenere il controllo degli accessi ai dati, si applicano tecnologie di cifratura all’avanguardia ai Dati Personali stessi, ove ritenuto opportuno, per proteggere i dati sensibili in base al rischio. |
| Processi per testare, valutare e verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | Il Responsabile svolge molteplici audit interni. Il Responsabile si impegna ad automatizzare gli audit; pertanto, la maggior parte del monitoraggio della propria infrastruttura è automatizzata, operativa 24/7 e basata su diversi framework (CIS, NEST ecc.). Il Responsabile ottiene un audit esterno di sicurezza e conformità una volta per anno solare. |
| Misure per l’identificazione e l’autorizzazione degli utenti | L’accesso remoto ai sistemi di trattamento dei dati è possibile esclusivamente tramite il tunnel VPN sicuro del Responsabile. Se gli utenti effettuano prima l’autenticazione al tunnel VPN sicuro, dopo l’autenticazione riuscita l’autorizzazione viene eseguita tramite l’inserimento di un nome utente univoco e di una password in un servizio di directory centralizzato. Tutti i tentativi di accesso, riusciti e non riusciti, vengono registrati e monitorati. |
| Misure per la protezione dei dati durante la trasmissione | I dati in transito sono protetti tramite Transport Layer Security (“TLS”). |
| Misure per la protezione dei dati durante l’archiviazione | I Dati Personali sono conservati esclusivamente internamente e su server di data center di terze parti. I dati archiviati del Titolare sono cifrati a riposo mediante cifratura e i dati in transito sono protetti tramite Transport Layer Security (“TLS”). |
| Misure per la governance e la gestione interne dell’IT e della sicurezza IT | I dipendenti sono istruiti a raccogliere, trattare e utilizzare i Dati Personali esclusivamente nell’ambito e per le finalità delle proprie mansioni (ad es. erogazione dei servizi). A livello tecnico, la capacità multi-tenant include la separazione delle funzioni e un’adeguata separazione tra sistemi di test e sistemi di produzione. I Dati Personali del Titolare sono conservati in modo da separarli logicamente dagli altri dati dei clienti. |
| Misure per garantire la minimizzazione dei dati | Se i Dati Personali non sono più necessari per le finalità per cui sono stati trattati, vengono cancellati tempestivamente. Si noti che, a ogni cancellazione, i Dati Personali vengono inizialmente bloccati e successivamente cancellati definitivamente con un certo ritardo. Ciò avviene per prevenire cancellazioni accidentali o possibili danni intenzionali. |
| Misure per garantire la qualità dei dati | Tutti i dati in possesso del Responsabile sono forniti dal Titolare. Il Responsabile non valuta la qualità dei dati forniti dal Titolare. Il Responsabile mette a disposizione strumenti di reporting all’interno del prodotto per aiutare il Titolare a comprendere e validare i dati conservati. |
| Misure per garantire la limitazione della conservazione dei dati | Il Responsabile utilizza uno schema di classificazione dei dati per tutti i dati che conserva e la propria policy di conservazione specifica per quanto tempo ciascun tipo di dato viene conservato. Quando un record contenente Dati Personali viene cancellato, viene rimosso in modo permanente dai database attivi. I dati vengono conservati nei backup fino a quando non vengono sostituiti da backup più recenti, secondo la policy di conservazione dei dati. |
| Misure per garantire la responsabilizzazione (accountability) | Il Responsabile rivede internamente le proprie policy di sicurezza delle informazioni con cadenza semestrale per garantire che siano ancora pertinenti e rispettate. Tutti i dipendenti che gestiscono dati sensibili devono prendere visione e accettare le policy di sicurezza delle informazioni. Tali dipendenti vengono ri-formati sulle policy di sicurezza delle informazioni una volta all’anno. È inoltre prevista una policy disciplinare per i dipendenti che non rispettano le policy di sicurezza delle informazioni. |
| Misure che il (Sub-)responsabile deve adottare per poter fornire assistenza al Titolare (e, per i trasferimenti da un Responsabile a un Sub-responsabile, all’Esportatore dei dati). | Il trasferimento di Dati Personali a una terza parte (ad es. clienti, subappaltatori, fornitori di servizi) avviene esclusivamente se esiste un contratto corrispondente e solo per finalità specifiche. Se i Dati Personali vengono trasferiti al di fuori del SEE, il Responsabile garantisce che nel luogo o nell’organizzazione di destinazione esista un livello adeguato di protezione dei dati in conformità ai requisiti dell’Unione Europea in materia di protezione dei dati, ad es. mediante contratti basati sulle EU SCC. |
Allegato C
Addendum per il trasferimento internazionale dei dati alle Clausole Contrattuali Standard della Commissione UE
VERSIONE B1.0, in vigore dal 21 marzo 2022
Il presente Addendum è stato emesso dall’Information Commissioner per le Parti che effettuano Trasferimenti soggetti a restrizioni. L’Information Commissioner ritiene che esso fornisca Garanzie Appropriate per i Trasferimenti soggetti a restrizioni quando è stipulato come contratto legalmente vincolante.
Parte 1: Tabelle
Tabella 1: Parti
| Data di inizio | La data indicata nell’Allegato I delle EU SCC approvate. | - |
| Le Parti | Esportatore (che invia il Trasferimento soggetto a restrizioni) | Importatore (che riceve il Trasferimento soggetto a restrizioni) |
| Dati delle Parti | Ragione sociale completa:. Indirizzo principale: Numero di registrazione ufficiale (se presente) (numero di società o identificativo analogo): | Ragione sociale completa: Indirizzo principale: Numero di registrazione ufficiale (se presente) (numero di società o identificativo analogo): |
| Contatto principale | Nome e cognome (facoltativo): Qualifica: Dettagli di contatto inclusa e-mail: | Nome e cognome (facoltativo): Qualifica: Dettagli di contatto inclusa e-mail: |
| Firma (se richiesta ai fini della Sezione 2) | - | - |
Tabella 2: SCC selezionate, moduli e clausole selezionate
| Addendum EU SCC | le EU SCC approvate, incluse le Informazioni dell’Appendice e con la sola attivazione, ai fini del presente Addendum, dei seguenti moduli, clausole o disposizioni opzionali delle EU SCC approvate: | ||||
| Modulo | Modulo in uso | Clausola 11 (Opzione) | Clausola 9a Autorizzazione generale | Clausola 9a (Periodo) | I dati personali ricevuti dall’Importatore vengono combinati con dati personali raccolti dall’Esportatore? |
| 1 | false | non utilizzata | - | - | - |
| 2 | true | non utilizzata | true | 30 giorni | - |
| 3 | true | non utilizzata | true | 30 giorni | - |
| 4 | sì/no | non utilizzata | - | - | sì/no |
Tabella 3: Informazioni dell’Appendice
Per “Informazioni dell’Appendice” si intendono le informazioni che devono essere fornite per i moduli selezionati come previsto nell’Appendice delle EU SCC approvate (ad eccezione delle Parti) e che, per il presente Addendum, sono riportate in:
| Allegato 1A: Elenco delle Parti: come indicato nell’Allegato I delle EU SCC approvate |
| Allegato 1B: Descrizione del trasferimento: come indicato nell’Allegato I delle EU SCC approvate |
| Allegato II: Misure tecniche e organizzative incluse le misure tecniche e organizzative per garantire la sicurezza dei dati: come indicato nell’Allegato II delle EU SCC approvate |
Tabella 4: Cessazione del presente Addendum quando cambia l’Addendum approvato
| Cessazione del presente Addendum quando cambia l’Addendum approvato | Quali Parti possono cessare il presente Addendum come previsto nella Sezione 19: Importatore Esportatore |
Parte 2: Clausole obbligatorie
Sottoscrizione del presente Addendum
Interpretazione del presente Addendum
| Addendum | Il presente Addendum per il trasferimento internazionale dei dati, costituito dal presente Addendum che incorpora l’Addendum EU SCC. |
| Addendum EU SCC | La/e versione/i delle EU SCC approvate cui è allegato il presente Addendum, come indicato nella Tabella 2, incluse le Informazioni dell’Appendice. |
| Informazioni dell’Appendice | Come indicato nella Tabella 3. |
| Garanzie Appropriate | Lo standard di protezione dei dati personali e dei diritti degli interessati richiesto dalle leggi del Regno Unito in materia di protezione dei dati quando si effettua un Trasferimento soggetto a restrizioni facendo affidamento su clausole standard di protezione dei dati ai sensi dell’Articolo 46(2)(d) dell’UK GDPR. |
| Addendum approvato | Il modello di Addendum emesso dall’ICO e presentato al Parlamento in conformità alla s119A del Data Protection Act 2018 il 2 febbraio 2022, come revisionato ai sensi della Sezione 18. |
| EU SCC approvate | Le Clausole Contrattuali Standard riportate nell’Allegato della Decisione di esecuzione della Commissione (UE) 2021/914 del 4 giugno 2021. |
| ICO | L’Information Commissioner. |
| Trasferimento soggetto a restrizioni | Un trasferimento disciplinato dal Capitolo V dell’UK GDPR. |
| Regno Unito | Il Regno Unito di Gran Bretagna e Irlanda del Nord. |
| Leggi del Regno Unito in materia di protezione dei dati | Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, incluse l’UK GDPR e il Data Protection Act 2018. |
| UK GDPR | Come definito nella sezione 3 del Data Protection Act 2018. |
4. Il presente Addendum deve essere sempre interpretato in modo coerente con le leggi del Regno Unito in materia di protezione dei dati e in modo da adempiere all’obbligo delle Parti di fornire le Garanzie Appropriate.
Se le disposizioni incluse nell’Addendum EU SCC modificano in qualsiasi modo le SCC approvate in modo non consentito dalle EU SCC approvate o dall’Addendum approvato, tali modifiche non saranno incorporate nel presente Addendum e saranno sostituite dalle corrispondenti disposizioni delle EU SCC approvate.
In caso di incoerenza o conflitto tra le leggi del Regno Unito in materia di protezione dei dati e il presente Addendum, prevalgono le leggi del Regno Unito in materia di protezione dei dati.
Se il significato del presente Addendum non è chiaro o vi è più di un’interpretazione, si applica l’interpretazione che più si allinea alle leggi del Regno Unito in materia di protezione dei dati.
Qualsiasi riferimento alla legislazione (o a specifiche disposizioni legislative) si intende riferito a tale legislazione (o disposizione specifica) nella misura in cui possa cambiare nel tempo. Ciò include i casi in cui tale legislazione (o disposizione specifica) sia stata consolidata, riemanata e/o sostituita dopo la sottoscrizione del presente Addendum.
Gerarchia
Sebbene la Clausola 5 delle EU SCC approvate stabilisca che le EU SCC approvate prevalgono su tutti gli accordi correlati tra le parti, le parti concordano che, per i Trasferimenti soggetti a restrizioni, prevarrà la gerarchia prevista nella Sezione 10.
In caso di incoerenza o conflitto tra l’Addendum approvato e l’Addendum EU SCC (a seconda dei casi), l’Addendum approvato prevale sull’Addendum EU SCC, salvo che (e nella misura in cui) i termini incoerenti o in conflitto dell’Addendum EU SCC forniscano una maggiore protezione per gli interessati; in tal caso tali termini prevarranno sull’Addendum approvato.
Laddove il presente Addendum incorpori Addendum EU SCC sottoscritti per proteggere trasferimenti soggetti al Regolamento generale sulla protezione dei dati (UE) 2016/679, le Parti riconoscono che nulla nel presente Addendum incide su tali Addendum EU SCC.
Incorporazione e modifiche alle EU SCC
a. insieme, operino per i trasferimenti di dati effettuati dall’esportatore dei dati all’importatore dei dati, nella misura in cui le leggi del Regno Unito in materia di protezione dei dati si applichino al trattamento dell’esportatore dei dati nel momento in cui effettua tale trasferimento, e forniscano Garanzie Appropriate per tali trasferimenti;
b. le Sezioni 9-11 prevalgano sulla Clausola 5 (Gerarchia) dell’Addendum EU SCC; e
c. il presente Addendum (incluso l’Addendum EU SCC in esso incorporato) sia (1) disciplinato dalle leggi di Inghilterra e Galles e (2) qualsiasi controversia derivante dallo stesso sia risolta dai tribunali di Inghilterra e Galles, in ciascun caso salvo che le leggi e/o i tribunali di Scozia o Irlanda del Nord siano stati espressamente selezionati dalle Parti.
Salvo che le Parti abbiano concordato modifiche alternative che soddisfino i requisiti della Sezione 12, si applicheranno le disposizioni della Sezione 15.
Non possono essere apportate modifiche alle EU SCC approvate diverse da quelle necessarie per soddisfare i requisiti della Sezione 12.
Le seguenti modifiche all’Addendum EU SCC (ai fini della Sezione 12) sono apportate:
a. I riferimenti alle “Clausole” indicano il presente Addendum, che incorpora l’Addendum EU SCC;
b. Nella Clausola 2, eliminare le parole:
“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. La Clausola 6 (Descrizione del/dei trasferimento/i) è sostituita da:
“I dettagli del/dei trasferimento/i e in particolare le categorie di dati personali trasferiti e le finalità per cui sono trasferiti sono quelli specificati nell’Allegato I.B laddove le leggi del Regno Unito in materia di protezione dei dati si applichino al trattamento dell’esportatore dei dati nel momento in cui effettua tale trasferimento.”;
d. La Clausola 8.7(i) del Modulo 1 è sostituita da:
“it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;
e. La Clausola 8.8(i) dei Moduli 2 e 3 è sostituita da:
“the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”
f. I riferimenti a “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” e “that Regulation” sono tutti sostituiti da “UK Data Protection Laws”. I riferimenti a specifici Articoli di “Regulation (EU) 2016/679” sono sostituiti con l’Articolo o la Sezione equivalente delle leggi del Regno Unito in materia di protezione dei dati;
g. I riferimenti al Regolamento (UE) 2018/1725 sono rimossi;
h. I riferimenti a “European Union”, “Union”, “EU”, “EU Member State”, “Member State” e “EU or Member State” sono tutti sostituiti con “UK”;
i. Il riferimento a “Clause 12(c)(i)” nella Clausola 10(b)(i) del Modulo 1 è sostituito da “Clause 11(c)(i)” ;
j. La Clausola 13(a) e la Parte C dell’Allegato I non sono utilizzate;
k. L’“competent supervisory authority” e la “supervisory authority” sono entrambe sostituite con “Information Commissioner”;
l. Nella Clausola 16(e), il punto (i) è sostituito da:
“the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;
m. La Clausola 17 è sostituita da:
“These Clauses are governed by the laws of England and Wales.”;
n. La Clausola 18 è sostituita da:
“Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; e
o. Le note a piè di pagina delle EU SCC approvate non costituiscono parte del presente Addendum, ad eccezione delle note a piè di pagina 8, 9, 10 e 11.
Modifiche al presente Addendum
Le Parti possono concordare di modificare le Clausole 17 e/o 18 dell’Addendum EU SCC per fare riferimento alle leggi e/o ai tribunali di Scozia o Irlanda del Nord.
Se le Parti desiderano modificare il formato delle informazioni incluse nella Parte 1: Tabelle dell’Addendum approvato, possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le Garanzie Appropriate.
Di volta in volta, l’ICO può emettere un Addendum approvato revisionato che:
a. apporta modifiche ragionevoli e proporzionate all’Addendum approvato, inclusa la correzione di errori nell’Addendum approvato; e/o
b. rispecchia modifiche alle leggi del Regno Unito in materia di protezione dei dati; L’Addendum approvato revisionato specificherà la data di inizio a partire dalla quale le modifiche all’Addendum approvato sono efficaci e se le Parti debbano riesaminare il presente Addendum, incluse le Informazioni dell’Appendice. Il presente Addendum è automaticamente modificato come previsto dall’Addendum approvato revisionato a partire dalla data di inizio specificata.
a. i propri costi diretti per adempiere ai propri obblighi ai sensi dell’Addendum; e/o
b. il proprio rischio ai sensi dell’Addendum,
ed in ogni caso abbia prima adottato misure ragionevoli per ridurre tali costi o rischi affinché non siano sostanziali e sproporzionati, allora tale Parte può porre fine al presente Addendum al termine di un periodo di preavviso ragionevole, fornendo comunicazione scritta di tale periodo all’altra Parte prima della data di inizio dell’Addendum approvato revisionato.
Wow! Multiply ha aumentato le nostre vittorie nella Buy Box all'80%, incrementato le vendite del 32% e fatto crescere i profitti dove non abbiamo concorrenza. Prova terminata, ora siamo clienti a tutti gli effetti. Grazie mille!
Bastano pochi clic per ottimizzare le tue vendite sui marketplace e aumentare i tuoi profitti.