Regolamento Generale dell’Unione europea sulla Protezione dei Dati e Addendum sul Trasferimento dei Dati
Choose your language
La presente versione tradotta viene fornita esclusivamente per comodità e in caso di differenze di significato o di interpretazione tra la versione tradotta e la versione inglese, fa fede quella inglese.
Regolamento Generale dell’Unione europea sulla Protezione dei Dati e Addendum sul Trasferimento dei Dati
Il presente Addendum sul Trattamento dei Dati (“Addendum”) costituisce parte dei e modifica i Termini e le Condizioni relativi ai Consulenti di Guidepoint tra Guidepoint Global, LLC e il Consulente (qui di seguito “Accordo” o “l’Accordo”). Il presente Addendum si applica da e tra Guidepoint Global, LLC, con sedeprincipale a Third Avenue 730, New York, NY 10017 (“Responsabile del Trattamento” e/o “Importatore dei Dati”), da una parte, e il Consulente (“Titolare” e/o “Esportatore dei Dati”) dall’altra, quest’ultimo costituente parte dell’Addendum essendo stato informato dei relativi contenuti e avendo scelto di non sollevare periodicamente obiezioni. Il presente Addendum è stipulato ed eseguito a partire dalla data dell’Accordo o, se successiva (la “Data Effettiva”), dal 25 maggio, 2018. Il Titolare e il Responsabile del Trattamento sono a volte definiti singolarmente come una “Parte” e congiuntamente come le “Parti”.
Per le finalità del presente Addendum e salvo quando diversamente indicato, i termini in maiuscolo presenti in questo documento hanno lo stesso significato delle definizioni usate nel Regolamento Generale dell’Unione europea sulla Protezione dei Dati (“GDPR”) o nelle Clausole Contrattuali Standard per il Trasferimento dei Dati Personali ai Responsabili del Trattamento dei Dati aventi sede nei Paesi Terzi, che sono contenuti in appendice alla “decisione della Commissione europea 2010/87/CE del 5 febbraio 2010 sulle clausole contrattuali standard per il trasferimento dei Dati Personali ai responsabili del trattamento aventi sede nei paesi terzi” (“Clausole Contrattuali Standard” o “Clausole” allegate al presente documento nell’Allegato 1).
Il presente Addendum si applica ai Dati Personali raccolti o forniti dagli Interessati nell’Unione europea. Il presente Addendum si applica altresì, in parte rilevante, ai Dati Personali trattati nell’UE.
CONSIDERANDO
CHE, a seguito della prestazione di servizi da parte del Responsabile del Trattamento previstidall’Accordo, il Responsabile del Trattamento può ricevere in custodia o memorizzare, elaborare, o ottenere accesso a determinati file di dati che possono contenere Dati Personali come definito dal GDPR e come ulteriormente descritto nell’Appendice 1 al presente documento; e
CHE, le Parti vogliono garantire la presenza di garanzie adeguate relativamente alla tutela della privacy degli Interessati ai sensi del GDPR e pertanto vogliono modificare l’Accordo ai sensi dei termini e delle condizioni in esso stabiliti; e
CHE,le leggi europee sulla protezione dei dati richiedono agli esportatori dei dati nei paesi UE/SEE di fornire una protezione adeguata per i trasferimenti di Dati Personali ai paesi non UE/SEE, e tale protezione può essere fornita richiedendo agli importatori dei dati di inserirli nelle Clausole Contrattuali Standard per il Trasferimento di Dati Personali ai Paesi Terzi ai sensi della Decisione della Commissione 2004/915/CE del 27 dicembre 2004 (e successive modifiche o sostituzioni periodiche).
TUTTO CIÒ PREMESSO, per e in considerazione delle promesse e degli accordi reciproci contenuti nel presente documento, e a fronte di ogni altro valido corrispettivo del cui avvenuto ricevimento e della cui adeguatezza le Parti si danno qui reciprocamente atto, le Parti concordano quanto segue:
MODIFICHE ALL’ACCORDO
Allegato 1
Clausole Contrattuali Standard (responsabili del trattamento)
Per le finalità del GDPR e dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali ai responsabili del trattamento aventi sede nei paesi terzi che non garantiscono un livello adeguato di protezione dei dati, l’Importatore dei Dati e l’Esportatore dei Dati, così come identificati nell’Accordo, essendo ciascuna una “parte”; in solido “le parti”,
HANNO CONCORDATO le seguenti Clausole Contrattuali (le Clausole) al fine di offrire adeguate garanzie per quanto riguarda la protezione della privacy e dei diritti e delle libertà fondamentali degli individui per il trasferimento da parte dell’esportatore dei dati all’importatore dei dati dei dati personali specificati nell’Appendice 1.
Clausola 1
Definizioni
Per le finalità delle Clausole:
(a)‘dati personali, ‘categorie speciali di dati‘, ‘trattare/trattamento‘, ‘titolare‘, ‘responsabile del trattamento‘, ‘interessato‘ e ‘autorità di controllo’ hanno lo stesso significato che hanno nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 Ottobre 1995 sulla protezione degli individui per quanto riguarda il trattamento dei dati personali e la libera circolazione di tali dati;
(b)‘l’esportatore dei dati‘ è il titolare che trasferisce i dati personali;
(c)‘l’importatore dei dati‘ è il responsabile del trattamento che dichiara di ricevere dall’esportatore idati personali destinati al trattamento per suo conto successivamente al trasferimento in conformità alle sue istruzioni e alle condizioni delle Clausole e che non è soggetto al sistema di un paese terzo che garantisce una protezione adeguata e che rientra nei termini dell’Articolo 25(1) della Direttiva 95/46/CE;
(d)‘il sub-responsabile‘ è un responsabile del trattamento incaricato dall’importatore dei dati o da qualunque altro sub-responsabile dell’importatore dei dati che dichiara di ricevere dall’importatore o da qualsiasi altro sub-responsabile dell’importatore i dati personali destinati esclusivamente all’esecuzione delle attività di trattamento per conto dell’esportatore successivamente al trasferimento in conformità alle sue istruzioni, alle condizioni delle Clausole e del contratto scritto di subappalto;
(e)‘la legge applicabile sulla protezione dei dati‘ è la legislazione a tutela dei diritti e delle libertà fondamentali degli individui e, in particolare, il loro diritto alla privacy per quanto riguarda il trattamento dei dati personali, applicabile a un titolare dei dati nello Stato membro nel quale ha sede l’esportatore dei dati;
(f)‘misure di sicurezza tecniche e organizzative‘ sono quelle misure atte a proteggere i dati personali contro la distruzione accidentale o illecita o l’alterazione o la perdita accidentale, la divulgazione o l’accesso non autorizzati, in particolare ove il trattamento comporti la trasmissione dei dati attraverso una rete, e contro tutte le altre forme illecite di trattamento.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove del caso, sono specificati nell’Appendice 1 che costituisce parte integrante delle Clausole.
Clausola 3
Clausola del terzo beneficiario
1.L’interessato può far valere nei confronti dell’esportatore dei dati la presente Clausola, la Clausola 4 da (b) a (i), la Clausola 5 da (a) a (e), e da (g) a (j), la Clausola 6 (1) e (2), la Clausola 7, la Clausola 8(2), e le Clausole da 9 a 12 in qualità di terzo beneficiario.
2.L’interessato può far valere nei confronti dell’importatore dei dati la presenta Clausola, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2), e le Clausole da 9 a12, nei casi in cui l’esportatore sia scomparso di fatto o abbia cessato di esistere giuridicamente a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, e in conseguenza di ciò esso possa assumersi i diritti e gli obblighi dell’esportatore, nel cui caso l’interessato può farli valere nei confronti di tale successore.
3.L’interessato può far valere nei confronti del sub-responsabile del trattamento la presente Clausola, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2), e le Clausole da 9 a 12, nel casi in cui sia l’esportatore sia l’importatore siano scomparsi di fatto o abbiano cessato di esistere giuridicamente o siano diventati insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, e in conseguenza di ciò esso possa assumersi i diritti e gli obblighi dell’esportatore, nel cui caso l’interessato può farli valere nei confronti di tale successore. Tale responsabilità verso terzi del sub-responsabile è limitata alle sue attività di trattamento previste dalle presenti Clausole.
4.Le parti non sollevano obiezioni in merito al fatto che l’interessato sia rappresentato da un’associazione o da altro ente se ciò corrisponde all’esplicita volontà dell’interessato e se consentito dalla legislazione nazionale.
Clausola 4
Obblighi dell’esportatore dei dati
L’esportatore dei dati dichiara e garantisce:
(a)che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà a essere eseguito in conformità alle pertinenti disposizioni della legge applicabile sulla protezione dei dati (e, ove del caso, sia stato comunicato alle autorità pertinenti dello Stato membro nel quale ha sede l’esportatore dei dati) e non viola le disposizioni pertinenti di quello Stato;
(b)di avere informato e che per tutta la durata dei servizi di trattamento dei dati personali informerà l’importatore di trattare i dati personali trasferiti soltanto per conto dell’esportatore e in conformità alla legge applicabile sulla protezione dei dati e alle Clausole;
(c)che l’importatore dei dati fornirà garanzie sufficienti nel rispetto delle misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 al presente contratto;
(d)che successivamente alla valutazione dei requisiti della legge applicabile sulla protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali contro la distruzione accidentale o illecita o l’alterazione o la perdita accidentale, la divulgazione o l’accesso non autorizzati, in particolare ove il trattamento comporti la trasmissione dei dati attraverso una rete, e contro tutte le altre forme illecite di trattamento, e che tali misure garantiscano un livello di sicurezza adeguato ai rischi che presenta il trattamento e alla natura dei dati da proteggere tenuto conto dello stato dell’arte e del costo della loro attuazione;
(e)di garantire la conformità alle misure di sicurezza;
(f)che, qualora il trasferimento coinvolga categorie speciali di dati, l’interessato è stato informato o sarà informato precedentemente, o successivamente quanto prima, in merito alla possibilità che i suoi dati siano trasferiti a un paese terzo che ne non fornisce protezione adeguata nei termini della Direttiva 95/46/CE;
(g)di inoltrare eventuali notifiche ricevute dall’importatore o da un sub-responsabile ai sensi della Clausola 5(b) e della Clausola 8(3) all’autorità di controllo della protezione dei dati qualora l’esportatore decida di continuare il trasferimento o di revocare la sospensione;
(h)di mettere a disposizione degli interessati su richiesta una copia delle Clausole, ad eccezione dell’Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia del contratto dei servizi di trattamento svolti da un sub-responsabile che va redatta in conformità alle Clausole, a meno che le Clausole o il contratto contengano informazioni commerciali, nel quale caso esso può rimuovere tali informazioni commerciali;
(i)che, in caso di servizi svolti da un sub-responsabile, l’attività di trattamento è eseguita in conformità alla Clausola 11 da parte di un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell’interessato in qualità di importatore dei dati ai sensi delle Clausole; e
(j)di garantire il rispetto della Clausola 4 da (a) a (i).
Clausola 5
Obblighi dell’importatore dei dati
L’importatore dei dati dichiara e garantisce:
(a)di trattare i dati personali soltanto per conto dell’esportatore dei dati e in conformità alle sue istruzioni e alle Clausole; qualora non potesse fornire tale conformità per qualsivoglia ragione, dichiara di informare tempestivamente l’esportatore della sua incapacità di rispettare laconformità, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di rescindere il contratto;
(b)di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni ricevute dall’esportatore dei dati e i suoi obblighi previsti dal contratto e che in caso di modifica di tale normativa che possa arrecare sostanziale pregiudizio alle garanzie e agli obblighi disposti dalle Clausole, informerà tempestivamente della modifica l’esportatore dei dati non appena ne abbia conoscenza, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di rescindere il contratto.
(c)di avere attuato le misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 precedentemente al trattamento dei dati personali trasferiti;
(d)di notificare tempestivamente l’esportatore dei dati in merito a:
(i)una richiesta legalmente vincolante di divulgazione di dati personali da parte di un’autorità di polizia salvo divieti, come il divieto previsto dal diritto penale di mantenere la riservatezza di un’indagine di polizia,
(ii)un accesso accidentale o non autorizzato, e
(iii)una richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, salvo autorizzazione a farlo;
(e)di rispondere prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti al trasferimento e di conformarsi al parere dell’autorità di controllo in merito al trattamento dei dati trasferiti;
(f)su richiesta dell’esportatore dei dati di sottoporre i propri impianti di trattamento al controllo delle attività di trattamento per cui si applicano le Clausole che vanno eseguite dall’esportatore o da un ente investigativo composto da membri indipendenti e in possesso delle qualifiche professionali richieste, vincolato dall’obbligo di riservatezza, selezionato dall’esportatore, ove del caso, in accordo con l’autorità di controllo;
(g)di mettere a disposizione dell’interessato su richiesta una copia delle Clausole, o un eventuale contratto esistente di servizi di trattamento svolti da un sub-responsabile, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell’Appendice 2 che va sostituito con una descrizione sintetica delle misure di sicurezza nei casi in cui l’interessato non sia in grado di ottenere una copia dall’esportatore;
(h)di avere, in caso di servizi di trattamento svolti da un sub-responsabile, precedentemente informato l’esportatore e di averne ottenuto previo consenso scritto;
(i)che i servizi di trattamento saranno svolti da parte del sub-responsabile in conformità alla Clausola 11;
(j)di inviare tempestivamente all’esportatore una copia del contratto dei servizi di trattamento svolti da un sub-responsabile che stipula ai sensi delle Clausole.
Clausola 6
Responsabilità
1.Le parti concordano che qualunque interessato che abbia subito un pregiudizio in conseguenza di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da una parte o da un sub-responsabile del trattamento ha il diritto di ricevere il risarcimento da parte dell’esportatore dei dati per il danno subito.
2.Qualora l’interessato non sia in grado di avanzare una richiesta di risarcimento in conformità al comma 1 nei confronti dell’esportatore, derivante da una violazione da parte dell’importatore o del suo sub-responsabile del trattamento dei loro obblighi di cui alla Clausola 3 o alla Clausola 11, in quanto l’esportatore è scomparso di fatto o ha cessato di esistere giuridicamente o è diventato insolvente, l’importatore dichiara che l’interessato può avanzare una richiesta nei confronti dell’importatore come se questi fosse l’esportatore, a meno che un successore non abbia assunto tutti gli obblighi legali dell’esportatore, per contratto o per legge, nel qual caso l’interessato può far valere i suoi diritti nei confronti di tale successore.
L’importatore non può far valere la violazione degli obblighi ad opera del sub-responsabile al fine di escludere la propria responsabilità.
3.Qualora un interessato non sia in grado di avanzare una richiesta nei confronti dell’esportatore o dell’importatore dei dati di cui ai commi 1 e 2, derivante da una violazione da parte del sub-responsabile del trattamento dei loro obblighi di cui alla Clausola 3 o alla Clausola 11 in quanto sia l’esportatore che l’importatore dei dati sono scomparsi di fatto o hanno cessato di esistere giuridicamente o sono diventati insolventi, il sub-responsabile del trattamento dichiara che l’interessato può avanzare una richiesta nei confronti del sub-responsabile del trattamento in merito alle sue attività di trattamento previste dalle presenti Clausole come se fosse questi l’esportatore o l’importatore dei dati, a meno che un successore non abbia assunto tutti gli obblighi legali dell’esportatore o dell’importatore dei dati, per contratto o per legge, nel quale caso l’interessato può far valere i suoi diritti nei confronti di tale successore. La responsabilità del sub-responsabile del trattamento è limitata alle sue attività di trattamento previste dallepresenti Clausole.
Clausola 7
Mediazione e giurisdizione
1.L’importatore dei dati dichiara che qualora l’interessato sollevi nei suoi confronti i diritti del terzo beneficiario e/o chiede il risarcimento dei danni ai sensi delle presenti Clausole, l’importatore accetterà la decisione dell’interessato:
(a)di sottoporre la controversia alla mediazione, da parte di un soggetto indipendente o, ove del caso, da parte di un’autorità di controllo;
(b)di sottoporre la controversia alle corti di giustizia dello Stato membro nel quale ha sede l’esportatore dei dati.
2.Le parti dichiarano che la scelta dell’interessato non pregiudicherà i suoi diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.
Clausola 8
Cooperazione con le autorità di controllo
1.L’esportatore dei dati dichiara di depositare una copia del presente contratto con l’autorità di controllo in caso di richiesta della stessa oppure se tale deposito è richiesto ai sensi della legge applicabile sulla protezione dei dati.
2.Le parti dichiarano che l’autorità di controllo ha il diritto di eseguire un controllo dell’importatore dei dati, e di ogni sub-responsabile del trattamento, che rientri nello stesso ambito e sia soggetto alle stesse condizioni che si applicherebbero a un controllo dell’esportatore ai sensi della legge applicabile sulla protezione dei dati.
3.L’importatore è tenuto a informare tempestivamente l’esportatore in merito all’esistenza della normativa applicabile a esso riferita oppure ogni sub-responsabile che impedisce l’esecuzione di un controllo dell’importatore, o di un sub-responsabile, ai sensi del comma 2. In tale caso l’esportatore ha il diritto di prendere le misure previste dalla Clausola 5(b).
Clausola 9
Legge applicabile
Le presenti Clausole sono soggette alla legislazione dello Stato Membro nel quale ha sede l’esportatore dei dati.
Clausola 10
Modifica del contratto
Le parti si impegnano a non alterare o modificare le presenti Clausole. Ciò non impedisce alle parti di aggiungere clausole relative a questioni legate alle attività ove richiesto, purché non siano in contrasto con la presente Clausola.
Clausola 11
Subappalto
1.L’importatore dei dati non può subappaltare nessuna attività di trattamento svolta per conto dell’esportatore ai sensi delle presenti Clausole senza il previo consenso scritto dell’esportatore. Qualora l’importatore subappalti i suoi obblighi ai sensi delle presenti Clausole, con il consenso dell’esportatore, può farlo solo tramite un accordo scritto con il sub-responsabile che imponga gli stessi obblighi al sub-responsabile di quelli imposti all’importatore ai sensi delle presenti Clausole. Qualora il sub-responsabile non adempia ai suoi obblighi di protezione dei dati sulla base di tale accordo scritto, l’importatore resta pienamente responsabile nei confronti dell’esportatore per l’adempimento degli obblighi del sub-responsabile ai sensi di tale accordo.
2.Il previo consenso scritto tra l’importatore e il sub-responsabile deve anche comprendere una clausola del terzo beneficiario come previsto dalla Clausola 3 per i casi nei quali l’interessato non sia in grado di richiedere il risarcimento di cui al comma 1 della Clausola 6 nei confronti dell’esportatore o dell’importatore in quanto sono scomparsi di fatto o hanno cessato di esistere giuridicamente o sono diventati insolventi e nessun successore ha assunto tutti gli obblighi legali dell’esportatore o dell’importatore dei dati per contratto o per legge. Tale responsabilità verso terzi del sub-responsabile è limitata alle proprie attività di trattamento previste dalle presenti Clausole.
3.Le disposizioni relative agli aspetti di protezione dei dati per il subappalto del contratto di cui al comma 1 sono soggette alla legislazione dello Stato membro nel quale ha sede l’esportatore.
4.L’esportatore deve tenere un elenco degli accordi di subappalto conclusi ai sensi delle Clausole e essere informato dall’importatore ai sensi della Clausola 5 (j), la quale va aggiornata almeno una volta l’anno. L’elenco deve essere a disposizione dell’autorità di controllo della protezione dei dati dell’esportatore.
Clausola 12
Obbligo successivo alla cessazione dei servizi di trattamento dei dati personali
1.Le parti dichiarano che al momento della cessazione dei servizi di trattamento dei dati, l’importatore e il sub-responsabile sono tenuti, a scelta dell’esportatore, a restituire tutti i dati personali trasferiti e le relative copie all’esportatore o a distruggere tutti i dati personali certificandone l’avvenuta distruzione all’esportatore, a meno che una normativa imposta nei confronti dell’importatore non gli impedisca di restituire tutti o parte dei dati personali trasferiti. In tale caso, l’importatore garantisce la riservatezza dei dati personali trasferiti e non tratterà piùattivamente i dati personali trasferiti.
2.L’importatore e il sub-responsabile garantiscono, su richiesta dell’esportatore e/o dell’autorità di controllo, di sottoporre i propri impianti di trattamento al controllo delle misure di cui al comma 1.
APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD
Il presente Appendice costituisce parte delle Clausole e deve essere completato e sottoscritto dalle parti.
Gli Stati membri possono completare o specificare, in base alle loro procedure nazionali, le ulteriori informazioni necessarie contenute nel presente Appendice.
Esportatore dei dati
L’esportatore dei dati è (si prega di specificare brevemente le vostre attività pertinenti il trasferimento):
Il Titolare (esportatore dei dati) si è impegnato con l’Importatore dei Dati nell’opportunità di fornire potenzialmente servizi di consulenza o connessi ai clienti dell’Importatore dei Dati, in cambio del pagamento da parte dell’Importatore dei Dati.
Importatore dei dati
L’importatore dei dati è (si prega di specificare brevemente le attività pertinenti il trasferimento):
Guidepoint è l’Importatore dei Dati. Il Titolare (esportatore dei dati) si è impegnato con l’Importatore dei Dati nell’opportunità di fornire potenzialmente servizi di consulenza o annessi ai clienti dell’Importatore dei Dati, in cambio del pagamento da parte dell’Importatore dei Dati.
Interessati
I dati personali trasferiti riguardano le seguenti categorie di interessati:
Categorie di dati
I dati personali trasferiti riguardano le seguenti categorie di dati:
Categorie speciali di dati (se del caso)
I dati personali trasferiti riguardano le seguenti categorie speciali di dati:
Nessuna.
Attività di trattamento
I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base:
I dati forniti pertinenti per gli interessati elencati sono utilizzati per consentire al Responsabile del Trattamento di fornire servizi e assistenza al Titolare in via ordinaria, tra cui nelle comunicazioni con varie finalità legate alle attività aziendali, alla conformità giuridica (compresa la conformità al GDPR e la memorizzazione delle istruzioni scritte) e altri usi pertinenti di cui sopra legati alle attività aziendali nell’ambito dell’Accordo.
APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD
Il presente Appendice costituisce parte delle Clausole e deve essere completato e sottoscritto dalle parti.
Descrizione delle misure di sicurezza tecniche e organizzative attuate dall’importatore dei dati in conformità alle Clausole 4(d) e 5(c) (o documento/normativa allegati):