Appendice sul trattamento dei dati

Appendice al trattamento dei dati

 

La presente Appendice costituisce parte integrante del Contratto ed è stipulata tra:

 

  1. (i) Il Cliente ("Esportatore dei dati")
  2. (ii) IQUALIF ("Importatore dei dati")

 

Ognuno dei quali è una "Parte" e congiuntamente le "Parti".

 

Premessa

CONSIDERANDO che l'Importatore dei dati fornisce servizi professionali software, informatici e servizi correlati (quali browser con funzioni di ricerca avanzate);

CONSIDERANDO che in base al Contratto, l'Importatore dei dati ha concordato di fornire all'Esportatore dei dati i servizi specificati nel Contratto (i "Servizi");

CONSIDERANDO che, fornendo i Servizi, l'Importatore dei dati riceve o beneficia dell'accesso alle informazioni dell'Esportatore dei dati o alle informazioni di altre persone che hanno una relazione (potenziale) con l'Esportatore dei dati; tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati ("GDPR") e di altre leggi applicabili in materia di protezione dei dati.

CONSIDERANDO che la presente Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento e all'uso di tali dati personali da parte dell'Importatore dei dati nella sua qualità di incaricato autorizzato del trattamento per conto dell'Esportatore dei dati, al fine di garantire che le Parti rispettino la normativa applicabile in materia di protezione dei dati.

 

PERTANTO, e per consentire alle Parti di proseguire il loro rapporto in conformità alla legge, le Parti hanno stipulato la presente Appendice come segue:

Parte 1

 

1. Struttura del documento e definizioni

1.1 Struttura

La presente Appendice è composta dalle parti seguenti:

 

Parte 1: 

contiene disposizioni generali, ad es. concernenti le definizioni utilizzate nella presente Appendice, la conformità alle leggi locali, i tempi e la risoluzione

 
Parte 2:

contiene il corpo del documento delle Clausole Contrattuali Standard non modificate

 
Appendice 1.1 della Parte 2:

contiene i dettagli delle operazioni di trattamento fornite dall'Importatore dei dati all'Esportatore dei dati in qualità di incaricato autorizzato del trattamento (inclusi il trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati) nell'ambito della presente Appendice

 
Appendice 2 della Parte 2:

contiene una descrizione delle misure tecniche e organizzative di sicurezza dell'Importatore dei dati, applicate in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2

 
Parte 3:

contiene le firme delle Parti vincolate dalla presente Appendice e identifica ciascun Importatore dei dati

 

 

1.2 Terminologia e definizioni

Ai fini della presente Appendice, sono applicabili la terminologia e le definizioni utilizzate dal GDPR (Nel corpo del documento delle Clausole Contrattuali Standard nella Parte 2, ove i termini definiti non sono scritti in maiuscolo). 

 

"Stato membro"

indica un paese appartenente all'Unione Europea o allo Spazio Economico Europeo

 
"Categorie particolari di dati (personali)"

si riferisce ai dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e ai dati genetici, ai dati biometrici, se trattati al fine di identificare in modo univoco una persona, ai dati relativi alla salute, ai dati relativi alla vita sessuale o all'orientamento sessuale di una persona

 
"Clausole Contrattuali Standard"

indica le Clausole Contrattuali Standard per il trasferimento di dati personali di incaricati del trattamento stabiliti in paesi terzi, ai sensi della Decisione della Commissione 2010/87/UE del 5 febbraio 2010, modificata dalla Decisione di esecuzione della Commissione (UE) 2016/2297 del 16 dicembre 2016

 
“Processore dei dati”

indica qualsiasi responsabile del trattamento, situato all'interno o all'esterno dell'UE/SEE, che accetta di ricevere dall'Importatore dei dati o da qualsiasi altro processore dell'Importatore dei dati, dati personali con l'esclusivo scopo di svolgere attività di trattamento che saranno eseguite per conto dell'Esportatore dei dati dopo il trasferimento, in conformità alle istruzioni dell'Esportatore dei dati, ai termini della presente Appendice e al Contratto con l'Importatore dei dati

 

 

 

2. Obblighi dell'Esportatore dei dati

2.1 L'Esportatore dei dati ha l'obbligo di garantire la conformità a tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge applicabile in materia di protezione dei dati che si applica all'Esportatore dei dati e di dimostrare tale conformità come richiesto dall'Articolo 5 (2) del GDPR. L'Esportatore dei dati garantisce che l'Importatore dei dati ha ottenuto il consenso preventivo degli interessati in conformità all'Articolo 6 (a) del GDPR e ha rispettato il proprio obbligo di informare gli interessati ai sensi degli Articoli 13 e 14 del GDPR.

2.2 L'Esportatore dei dati deve fornire all'Importatore dei dati i relativi registri delle attività di trattamento in conformità all'Articolo 30 (1) del GDPR relativi ai Servizi ai sensi della presente Appendice, nella misura necessaria affinché l'Importatore dei dati possa rispettare l'obbligo di cui all'Articolo 30 (2) del GDPR.

2.3 L'Esportatore dei dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla normativa applicabile in materia di protezione dei dati. L'Esportatore dei dati è obbligato a fornire i dettagli di contatto del responsabile della protezione dei dati o del rappresentante, se presente, all'Importatore dei dati.

2.4. L'Esportatore dei dati conferma, prima del completamento del trattamento, mediante l'accettazione della presente Appendice, che le misure tecniche e organizzative di sicurezza dell'Importatore dei dati, come indicate nell'Appendice 2 della Parte 2, sono appropriate e sufficienti a proteggere i diritti degli interessati e conferma che l'Importatore dei dati fornisce adeguate garanzie a tal riguardo.

 

3. Conformità alla legislazione locale

Al fine di soddisfare i requisiti dell'attuazione degli incaricati del trattamento ai sensi dell'Articolo 28 del GDPR, sono applicabili le seguenti modifiche:

 

3.1 Istruzioni

  1. (i) L'Esportatore dei dati dà istruzioni all'Importatore dei dati di trattare i dati personali esclusivamente per conto dell'Esportatore dei dati. Le istruzioni dell'Esportatore dei dati sono fornite nella presente Appendice e nel Contratto. L'Esportatore dei dati ha l'obbligo di garantire che tutte le istruzioni fornite all'Importatore dei dati siano conformi alle leggi applicabili in materia di protezione dei dati. L'Importatore dei dati deve trattare i dati personali solo in conformità alle istruzioni fornite dall'Esportatore dei dati salvo ove diversamente richiesto dall'Unione Europea o dalla legge dello Stato membro (in quest'ultimo caso, si applica la Clausola 3.2 (iv) (c) della Parte 1).
  2. (ii) Tutte le altre istruzioni che vadano oltre le istruzioni contenute nella presente Appendice o nel Contratto devono essere incluse nell'oggetto della presente Appendice e del Contratto. Se l'attuazione di questa istruzione aggiuntiva comporta costi per l'Importatore dei dati, l'Importatore dei dati informerà l'Esportatore dei dati di tali costi e fornirà una spiegazione prima di attuare l'istruzione. Solo dopo che l'Esportatore dei dati avrà confermato l'accettazione di tali costi per l'attuazione dell'istruzione, l'Importatore dei dati attuerà questa istruzione aggiuntiva. L'Esportatore dei dati deve dare istruzioni aggiuntive per iscritto a meno che l'urgenza o altre circostanze specifiche richiedano un'altra forma (es. orale, elettronica). Le istruzioni in una forma diversa dalla forma scritta devono essere confermate per iscritto e senza ritardo dall'Esportatore dei dati.
  3. 1. A meno che l'Esportatore dei dati non possa eseguire la rettifica, la cancellazione o la limitazione dei dati personali da solo, le istruzioni possono anche riguardare la rettifica, la cancellazione e/o la limitazione dei dati personali come previsto nella Clausola 3.3 della Parte 1.
  4. 2. L'Importatore dei dati deve informare immediatamente l'Esportatore dei dati se, a suo avviso, un'Istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro ("Istruzione contestata"). Se l'Importatore dei dati ritiene che un'Istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro, l'Importatore dei dati non è obbligato a seguire l'Istruzione contestata. Se l'Esportatore dei dati conferma l'Istruzione contestata dopo aver ricevuto le informazioni dall'Importatore dei dati e ne riconosce la responsabilità, l'Importatore dei dati attuerà l'Istruzione contestata, salvo che l'Istruzione contestata riguardi (i) l'attuazione di misure tecniche e organizzative, (ii) i diritti degli Interessati o (iii) il coinvolgimento di Processori dei dati. Nei casi (i) a (iii), l'Importatore dei dati può contattare un'autorità di controllo competente per far valutare legalmente l'Istruzione contestata da tale autorità. Se l'autorità di controllo dichiara che l'Istruzione contestata è legittima, l'Importatore dei dati dovrà attuare l'Istruzione contestata. Resta applicabile la Clausola 3.1 (ii) della Parte 1.

 

3.2 Obblighi dell'Importatore dei dati

  1. (i) L'Importatore dei dati deve garantire che le persone autorizzate dall'Importatore dei dati a trattare i dati personali per conto dell'Esportatore dei dati, in particolare i dipendenti dell'Importatore dei dati e i dipendenti di qualsiasi Sub-Processore, si siano impegnate a osservare la riservatezza o siano soggette a un appropriato obbligo legale di riservatezza, e che tali persone che hanno accesso ai dati personali li trattino in conformità alle istruzioni dell'Esportatore dei dati.
  2. (ii) L'Importatore dei dati deve attuare le misure tecniche e organizzative di sicurezza come indicate nell'Appendice 2 alla Parte 2 prima di trattare i dati personali per conto dell'Esportatore dei dati. L'Importatore dei dati può modificare di volta in volta le misure tecniche e organizzative di sicurezza purché non forniscano una protezione inferiore a quelle indicate nell'Appendice 2 alla Parte 2.
  3. (iii) L'Importatore dei dati metterà a disposizione dell'Esportatore dei dati, su richiesta di quest'ultimo, informazioni per dimostrare la conformità degli obblighi dell'Importatore dei dati ai sensi della presente Appendice. Le Parti concordano che tale obbligo informativo è soddisfatto fornendo all'Esportatore dei dati un rapporto di verifica ("Rapporto di audit") (che copre i principi di sicurezza, la disponibilità del sistema e la riservatezza). Se ulteriori attività di verifica sono legalmente richieste, l'Esportatore dei dati può richiedere che ispezioni siano eseguite dall'Esportatore dei dati o da un altro verificatore nominato dall'Esportatore dei dati, subordinatamente alla stipula da parte di tale verificatore di un accordo di riservatezza con l'Importatore dei dati secondo la ragionevole soddisfazione dell'Importatore dei dati ("Verifica"). Tale Verifica è soggetta alle seguenti condizioni: (i) la previa accettazione scritta formale dell'Importatore dei dati; e (ii) l'Esportatore dei dati sosterrà tutti i costi relativi alla Verifica in loco per l'Esportatore dei dati e per l'Importatore dei dati. L'Esportatore dei dati deve redigere un rapporto di verifica che riassuma i risultati e le osservazioni della Verifica in loco ("Rapporto della Verifica in loco"). I Rapporti della Verifica in loco e i Rapporti di audit sono informazioni riservate dell'Importatore dei dati e non devono essere divulgate a terzi salvo se richiesto dalla normativa applicabile in materia di protezione dei dati o in conformità al consenso dell'Importatore dei dati.
  4. (iv) L'Importatore dei dati ha l'obbligo di notificare all'Esportatore dei dati senza ingiustificato ritardo:
    1. a. qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità di pubblica sicurezza, salvo ove diversamente proibito, come un divieto previsto dal diritto penale per proteggere la riservatezza di un'indagine di pubblica sicurezza
    2. b. qualsiasi reclamo e richiesta ricevuta direttamente da un interessato (ad es. riguardante l'accesso, la rettifica, la cancellazione, la limitazione del trattamento, la portabilità dei dati, l'opposizione al trattamento dei dati, decisioni automatizzate) senza rispondere a tale richiesta, salvo che l'Importatore dei dati sia stato autorizzato a farlo
    3. c. se l'Importatore dei dati o il Processore dei dati è obbligato, ai sensi della legge dell'Unione Europea o dello Stato membro cui è soggetto, a trattare i dati personali al di fuori delle istruzioni dell'Esportatore dei dati, prima di eseguire tale trattamento al di fuori delle istruzioni, salvo che la legge dell'Unione Europea o dello Stato membro vieti tale comunicazione per ragioni di interesse pubblico vitale, nel qual caso la notifica all'Esportatore dei dati specificherà il requisito legale ai sensi di tale legge dell'Unione Europea o dello Stato membro; oppure
    4. d. se l'Importatore dei dati rileva una violazione dei dati personali, causata esclusivamente da sé o dal suo subappaltatore, che potrebbe riguardare i dati personali dell'Esportatore dei dati coperti dal presente contratto, nel qual caso l'Importatore dei dati assisterà l'Esportatore dei dati nel suo obbligo, nei confronti della normativa applicabile in materia di protezione dei dati, di informare gli interessati e, ove applicabile, le autorità di controllo fornendo le informazioni in suo possesso, in conformità all'Articolo 33 (3) del GDPR.
    5. (v) Su richiesta dell'Esportatore dei dati, l'Importatore dei dati sarà tenuto ad assistere l'Esportatore dei dati nel suo obbligo di effettuare una valutazione d'impatto sulla protezione dei dati che possa essere richiesta dall'Articolo 35 del GDPR e una consultazione preventiva che possa essere richiesta dall'Articolo 36 del GDPR in relazione ai servizi forniti dall'Importatore dei dati all'Esportatore dei dati ai sensi della presente Appendice, fornendo le informazioni necessarie all'Esportatore dei dati. L'Importatore dei dati sarà obbligato a fornire tale assistenza solo se l'Esportatore dei dati non può adempiere al proprio obbligo con altri mezzi. L'Importatore dei dati informerà l'Esportatore dei dati del costo di tale assistenza. Non appena l'Esportatore dei dati avrà confermato di potere sostenere tale costo, l'Importatore dei dati fornirà tale assistenza all'Esportatore dei dati.
    6. (vi) Al termine della prestazione dei servizi, l'Esportatore dei dati può richiedere la restituzione dei dati personali trattati dall'Importatore dei dati ai sensi della presente Appendice entro un mese dalla cessazione dei servizi. Salvo che la legislazione dello Stato membro o dell'Unione Europea richieda all'Importatore dei dati di conservare o trattenere tali dati personali, l'Importatore dei dati cancellerà tutti tali dati personali o non personali dopo il periodo di un mese, indipendentemente dal fatto che siano stati restituiti all'Esportatore dei dati su sua richiesta o meno.

 

3.3 Diritti degli interessati

  1.  
    1. (i) L'Esportatore dei dati gestisce e risponde alle richieste presentate dagli interessati. L'Importatore dei dati non è obbligato a rispondere direttamente agli interessati.
    2. (ii) Se l'Esportatore dei dati richiede l'assistenza dell'Importatore dei dati nell'elaborare e rispondere alle richieste dell'Interessato, l'Esportatore dei dati dovrà emettere un'ulteriore istruzione in conformità alla Clausola 3.1 (ii) della Parte 1. L'Importatore dei dati assisterà l'Esportatore dei dati con le seguenti misure tecniche e organizzative appropriate per rispondere alle richieste di esercizio dei diritti degli interessati previste nel Capo III del GDPR come segue:
    3. a. Per quanto riguarda le richieste di informazione, l'Importatore dei dati fornirà all'Esportatore dei dati esclusivamente le informazioni richieste dagli Articoli 13 e 14 del PGRD di cui possa disporre se l'Esportatore dei dati non riesce a reperirle autonomamente.
    4. b. Per quanto riguarda le richieste di accesso (Articolo 15 del GDPR), l'Importatore dei dati fornirà all'Esportatore dei dati esclusivamente le informazioni che devono essere fornite a un interessato per la predetta richiesta di accesso, di cui possa disporre se quest'ultimo non riesce a reperirle autonomamente.
    5. c. Per quanto riguarda le richieste di rettifica (Articolo 16 del GDPR), le richieste di cancellazione (Articolo 17 del GDPR), la limitazione delle richieste di trattamento (Articolo 18 del GDPR) o le richieste di portabilità (Articolo 20 del GDPR), e solo se l'Esportatore dei dati non può rettificare o cancellare, limitare o trasmettere i dati personali a un altro terzo, l'Importatore dei dati offrirà all'Esportatore dei dati la possibilità di rettificare o cancellare, limitare o trasmettere i dati personali interessati all'altro terzo, oppure, se ciò non è possibile, fornirà assistenza per rettificare o cancellare, limitare o trasmettere i dati personali interessati all'altro terzo.
    6. d. Per quanto riguarda la notifica relativa alla rettifica, cancellazione o limitazione del trattamento (Articolo 19 del GDPR), l'Importatore dei dati assisterà l'Esportatore dei dati notificando tutti i destinatari dei dati personali coinvolti dall'Importatore dei dati come responsabili del trattamento se l'Esportatore dei dati lo richiede e se l'Esportatore dei dati non può risolvere la situazione autonomamente.
    7. e. Per quanto riguarda il diritto di opposizione esercitato da un interessato (Articoli 21 e 22 del GDPR), l'Esportatore dei dati determinerà se l'opposizione è legittima e come gestirla.
    8. (iii) Gli obblighi di assistenza dell'Importatore dei dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (es. database, sistemi, applicazioni di proprietà o forniti dall'Importatore dei dati).
    9. (iv) L'Esportatore dei dati determinerà se un Interessato può esercitare i diritti degli interessati di cui alla Clausola 3.1 della presente Parte 1 e informerà l'Importatore dei dati dell'entità dell'assistenza specificata nelle Clausole 3.3 (ii), (iii) della Parte 1 che è necessaria.
    10. (v) Se l'Esportatore dei dati richiede misure tecniche e organizzative aggiuntive o modificate per soddisfare i diritti degli interessati che vadano oltre l'assistenza fornita dall'Importatore dei dati ai sensi della Sottoclauola 3.3 (ii), (iii) della Parte 1, l'Importatore dei dati informerà l'Esportatore dei dati dei costi di attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Non appena l'Esportatore dei dati avrà confermato di poter sostenere tali costi, l'Importatore dei dati attuerà tali misure tecniche e organizzative aggiuntive o modificate per assistere l'Esportatore dei dati nella risposta alle richieste degli Interessati.
    11. (vi) Fatto salvo quanto previsto dalla Clausola 3.3 (v) della Parte 1, l'Esportatore dei dati sarà obbligato a rimborsare all'Importatore dei dati le spese ragionevoli sostenute da quest'ultimo per rispondere alle richieste degli Interessati.

 

3.4 Sub-trattamento

  1.  
    1. (i) L'Esportatore dei dati autorizza l'uso da parte dell'Importatore dei dati di subappaltatori per la fornitura dei servizi ai sensi della presente Appendice. L'Importatore dei dati selezionerà tali Processori dei dati con cura. L'Esportatore dei dati approva i Processori dei dati elencati nell'Appendice 1.1 alla fine della Parte 2.
    2. (ii) L'Importatore dei dati trasferirà le proprie obbligazioni ai sensi della presente Appendice ai Processori dei dati nella misura applicabile ai servizi subappaltati.
    3. (iii) L'Importatore dei dati può licenziare, sostituire o nominare a sua discrezione un altro Processore dei dati appropriato e affidabile. Se richiesto per iscritto dall'Esportatore dei dati, l'Importatore dei dati dovrà seguire la procedura di seguito descritta:
  2.  
    1. a. L'Importatore dei dati informerà l'Esportatore dei dati prima di qualsiasi modifica all'elenco dei Processori dei dati richiamato nella Clausola 3.4 (i) della Parte 1. Se l'Esportatore dei dati non si oppone ai sensi della Clausola 3.4. (b) della Parte 1 entro trenta giorni dal ricevimento della notifica dall'Importatore dei dati, i Processori dei dati aggiuntivi saranno considerati accettati.
    2. b. Se l'Esportatore dei dati ha un motivo legittimo per opporsi a un Processore dei dati aggiuntivo, darà comunicazione scritta preventiva all'Importatore dei dati entro trenta giorni dal ricevimento della notifica dell'Importatore dei dati e prima che il servizio dell'Importatore dei dati sia messo in funzione. Se l'Esportatore dei dati si oppone all'uso di un Processore dei dati aggiuntivo, l'Importatore dei dati potrà rimuovere l'obiezione scegliendo una delle seguenti opzioni a sua discrezione: (A) l'Importatore dei dati annullerà i piani di utilizzo del processore aggiuntivo per quanto riguarda i dati personali dell'Esportatore dei dati; (B) l'Importatore dei dati adotterà le misure correttive richieste dall'Esportatore dei dati nella sua obiezione (annullando l'obiezione) e utilizzerà il processore aggiuntivo per quanto riguarda i dati personali dell'Esportatore dei dati; (C) l'Importatore dei dati potrà cessare di fornire o l'Esportatore dei dati potrà concordare di non utilizzare (temporaneamente o permanentemente) un particolare aspetto del servizio che comporterebbe l'uso del suddetto processore aggiuntivo dei dati personali dell'Esportatore dei dati.
  3.  
    1. (iv) se il Processore dei dati ha sede al di fuori dell'UE-SEE in un paese non riconosciuto come avente un adeguato livello di protezione dei dati a seguito di una decisione della Commissione europea, l'Importatore dei dati adotterà le misure per garantire un livello adeguato di protezione dei dati conformemente al GDPR (tali misure possono includere - tra le altre - l'uso di contratti di trattamento dei dati basati sulle clausole modello dell'UE, il trasferimento a Processori dei dati auto-certificati nell'ambito dello scudo di protezione UE-USA, o un programma simile).

 

3.5 Scadenza

La scadenza della presente Appendice è identica alla data di scadenza del Contratto corrispondente. Salvo quanto diversamente previsto nella presente Appendice, i diritti e gli obblighi relativi alla cessazione saranno gli stessi di quelli contenuti nel Contratto.

 

4. Limitazione di responsabilità

4.1 Ciascuna parte gestisce i propri obblighi ai sensi della presente Appendice e della normativa applicabile in materia di protezione dei dati.

4.2 Qualsiasi responsabilità relativa a una violazione degli obblighi previsti dalla presente Appendice o dalla normativa applicabile in materia di protezione dei dati sarà soggetta e regolata dalle disposizioni di responsabilità previste nel Contratto, salvo quanto diversamente previsto nella presente Appendice. Se la responsabilità è regolata dalle disposizioni di responsabilità previste nel Contratto, ai fini del calcolo dei limiti di responsabilità o della determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dalla presente Appendice sarà considerata derivante dal Contratto.

 

5. Disposizioni generali

5.1 In caso di incoerenze o discrepanze tra le Parti 1 e 2 della presente Appendice, prevarrà la Parte 2. Specificamente, anche in tal caso, la Parte 1 che semplicemente integra la Parte 2 (cioè i termini delle clausole standard) senza contraddirla rimarrà valida.

5.2 Se dovesse insorgere una discrepanza tra le disposizioni della presente Appendice e quelle di altri contratti vincolanti per le parti, la presente Appendice prevarrà per quanto riguarda gli obblighi delle parti in materia di protezione dei dati. In caso di dubbio sul fatto che clausole in altri contratti riguardino gli obblighi delle parti in materia di protezione dei dati, prevarrà la presente Appendice.

5.3 Se una qualsiasi disposizione della presente Appendice è invalida o inapplicabile, il resto della presente Appendice rimarrà in pieno vigore ed efficacia. La disposizione invalida o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando per quanto possibile l'intento delle parti, oppure - se ciò non è possibile - (ii) interpretata come se la parte invalida o inapplicabile non fosse mai stata parte del contratto. Quanto sopra si applica altresì in caso di omissione nella presente Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere emendamenti alla Parte 1, Clausola 3 (Conformità alla legislazione locale) o ad altre parti dell'Appendice al fine di conformarsi a interpretazioni, direttive o ordini emanati dalle autorità competenti dell'Unione o degli Stati membri, disposizioni nazionali di applicazione, o qualsiasi altro sviluppo giuridico riguardante il GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e specificamente riguardo all'uso delle Clausole Contrattuali Standard nel GDPR. I termini delle Clausole Contrattuali Standard non possono essere modificati o sostituiti salvo che la Commissione europea lo approvi espressamente (es. mediante nuove clausole adeguate e standard di protezione dei dati).

5.6 Qualsiasi riferimento nella presente Appendice alle "Clausole" sarà inteso come riferito a tutte le disposizioni della presente Appendice salvo diversa indicazione.

5.7 La scelta della legge nella Parte 2, Clausola 9 si applica all'intero Contratto.

 

6. Dati personali trasmessi e trattati dalle parti per scopi personali (trasferimento dal titolare del trattamento al titolare del trattamento)

6.1 Le Parti sono pienamente consapevoli che alcuni dati personali saranno trasferiti dall'Esportatore dei dati all'Importatore dei dati e viceversa, e che tali dati sono trattati da ciascuna Parte per propri scopi. Tale circostanza non incide sulle altre disposizioni della presente Appendice (fatta eccezione per la presente clausola 6).

6.2 L'Esportatore dei dati può trasferire dati personali relativi al personale dell'Importatore dei dati all'Importatore dei dati, incluse informazioni su incidenti di sicurezza, o qualsiasi altro documento o file creato o predisposto dall'Esportatore dei dati in relazione ai Servizi forniti dal personale dell'Importatore dei dati. L'Importatore dei dati può trattare tali dati personali per propri scopi, in particolare nei rapporti professionali con il personale dell'Importatore dei dati, per il controllo qualità e la formazione, o per scopi commerciali.

6.3. L'Importatore dei dati può trasferire dati personali all'Esportatore dei dati, inclusi nome e dettagli di contatto del personale dell'Importatore dei dati. L'Esportatore dei dati può trattare tali dati personali per i propri scopi.

6.4 Entrambe le parti devono rispettare le leggi applicabili in materia di protezione dei dati, inclusi il GDPR, nella raccolta, nel trattamento e nell'uso di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 della Parte 1. In particolare, entrambe le Parti adotteranno misure di sicurezza adeguate, fornendo un livello di protezione simile a quello delle misure di sicurezza indicate nell'Appendice 2 della Parte 2. Qualsiasi accesso a tali dati personali sarà limitato al principio del bisogno di conoscere.

6.5 Entrambe le Parti devono cancellare tali dati personali non appena possibile una volta raggiunti gli scopi per i quali sono stati raccolti.

Parte 2

 

DECISIONE DELLA COMMISSIONE

del 5 febbraio 2010

sulle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio

 

 

 

Clausola 1

Definizioni

Ai fini delle clausole:

a) 'dati personali', 'categorie particolari di dati', 'trattamento', 'titolare', 'responsabile', 'interessato' e 'autorità di controllo' avranno lo stesso significato che assumono nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (1);

b) il 'Esportatore dei dati' è il Titolare del trattamento che trasferisce i dati personali;

c) il 'Importatore dei dati' è il Responsabile del trattamento che accetta di ricevere dall'Esportatore dei dati dati personali da trattare per conto dell'Esportatore dei dati dopo il trasferimento in conformità alle sue istruzioni e alle condizioni di queste clausole e che non è soggetto al meccanismo di un paese terzo che assicuri un'adeguata protezione ai sensi dell'Articolo 25(1) della Direttiva 95/46/CE; (d) 'Processore dei dati' indica il responsabile del trattamento incaricato dall'Importatore dei dati o da qualsiasi altro Processore dei dati dell'Importatore dei dati che accetta di ricevere dall'Importatore dei dati o da qualsiasi altro Processore dei dati dell'Importatore dei dati dati personali esclusivamente per attività di trattamento da svolgere per conto dell'Esportatore dei dati dopo il trasferimento in conformità alle istruzioni dell'Esportatore dei dati, alle condizioni previste da queste Clausole e ai termini del contratto scritto di subappalto del trattamento dei dati;

e) "legge applicabile in materia di protezione dei dati" indica la legislazione che protegge i diritti e le libertà fondamentali delle persone fisiche, incluso il diritto alla riservatezza in relazione al trattamento dei dati personali, e che si applica a un titolare nel Stato membro in cui l'Esportatore dei dati ha la sua sede;

f) "misure tecniche e organizzative relative alla sicurezza" indica misure intese a proteggere i dati personali contro la distruzione o la perdita accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso, in particolare quando il trattamento comporta la trasmissione di dati su reti, e contro tutte le altre forme illecite di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, incluse, ove applicabile, categorie particolari di dati personali, sono specificati nell'Appendice 1, che forma parte integrante di queste clausole.

Clausola 3

Clausola del beneficiario terzo

1. L'interessato può far valere nei confronti dell'Esportatore dei dati la presente Clausola, la Clausola 4(b) a (i), la Clausola 5(a) a (e) e (g) a (j), la Clausola 6 (1) e (2), la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12 in qualità di terzo beneficiario

2. L'interessato può far valere la presente Clausola, la Clausola 5 (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12 nei confronti dell'Importatore dei dati quando l'Esportatore dei dati è cessato materialmente o ha cessato di esistere giuridicamente, salvo che tutti i suoi obblighi legali siano stati trasferiti, per contratto o per effetto di legge, all'entità successore, alla quale perciò passano i diritti e gli obblighi dell'Esportatore dei dati, e nei confronti della quale l'interessato può quindi far valere le predette clausole.

L'interessato può far valere la presente Clausola, la Clausola 5 (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12 nei confronti del Processore dei dati, ma solo nei casi in cui l'Esportatore dei dati e l'Importatore dei dati siano cessati materialmente, abbiano cessato di esistere giuridicamente o siano divenuti insolventi, salvo che tutti gli obblighi legali dell'Esportatore dei dati siano stati trasferiti, per contratto o per effetto di legge, al successore legale, al quale i diritti e gli obblighi dell'Esportatore dei dati sono quindi conferiti, e nei confronti del quale l'interessato possa quindi far valere tali clausole. Tale responsabilità del Processore dei dati dovrà essere limitata alle proprie attività di trattamento ai sensi di queste clausole.

4. Le parti non si oppongono che l'interessato sia rappresentato da un'associazione o altro organismo se lo desidera e se il diritto nazionale lo consente.

Clausola 4

Obblighi dell'Esportatore dei dati

L'Esportatore dei dati accetta e garantisce quanto segue:

a) il trattamento, compreso il trasferimento effettivo dei dati personali, è stato e continuerà ad essere effettuato in conformità alle disposizioni pertinenti della legge applicabile in materia di protezione dei dati (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui l'Esportatore dei dati ha la sua sede) e non contravviene alle disposizioni rilevanti di quello Stato;

b) ha incaricato, e incaricherà per tutta la durata dei servizi di trattamento dei dati personali, l'Importatore dei dati di trattare i dati personali trasferiti per conto esclusivo dell'Esportatore dei dati e in conformità alla legge applicabile in materia di protezione dei dati e a queste clausole;

c) l'Importatore dei dati fornirà garanzie sufficienti in relazione alle misure tecniche e organizzative di sicurezza specificate nell'Appendice 2 al presente contratto;

d) dopo la valutazione dei requisiti della legge applicabile in materia di protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali contro la distruzione o la perdita accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso, in particolare quando il trattamento comporta la trasmissione di dati su una rete, e contro tutte le altre forme illecite di trattamento e garantiscono un livello di sicurezza appropriato ai rischi rappresentati dal trattamento e alla natura dei dati da proteggere, tenuto conto del livello della tecnologia e dei costi di attuazione;

e) si assicurerà il rispetto delle misure di sicurezza;

f) se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima del trasferimento, o il prima possibile dopo il trasferimento, che i suoi dati potrebbero essere trasferiti in un paese terzo che non offre un livello adeguato di protezione ai sensi della Direttiva 95/46/CE;

g) inoltrerà qualsiasi notifica ricevuta dall'Importatore dei dati o da qualsiasi Processore dei dati ai sensi delle Clausole 5 (b) e 8 (3) all'autorità di controllo competente se decide di proseguire il trasferimento o di revocare la sua sospensione;

h) metterà a disposizione degli interessati, se lo richiedono, una copia di queste Clausole, ad eccezione dell'Appendice 2, e una descrizione sommaria delle misure di sicurezza, e una copia di qualsiasi ulteriore accordo di subappalto concluso ai sensi di queste Clausole salvo che le Clausole o l'accordo contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni;

i) nel caso di subappalto del trattamento dei dati, l'attività di trattamento è svolta ai sensi della Clausola 11 da un Processore dei dati che garantisca almeno lo stesso livello di protezione dei dati personali e dei diritti degli interessati come l'Importatore dei dati ai sensi di queste Clausole; e

j) garantirà il rispetto delle Clausole 4 (a) a (i).

Clausola 5

Obblighi dell'Importatore dei dati

L'Importatore dei dati accetta e garantisce quanto segue:

a) tratterà i dati personali esclusivamente per conto dell'Esportatore dei dati e in base alle istruzioni dell'Esportatore dei dati e a queste clausole; se non può conformarsi per qualsiasi motivo, si impegna a informare l'Esportatore dei dati della propria impossibilità il prima possibile, nel qual caso l'Esportatore dei dati può sospendere il trasferimento dei dati e/o risolvere il contratto;

b) non ha motivo di ritenere che la legge applicabile a lui impedisca di adempiere alle istruzioni fornite dall'Esportatore dei dati e agli obblighi che gravano su di lui ai sensi del contratto, e se tale legge subisce una modifica che potrebbe avere un effetto negativo sostanziale sulle garanzie e sugli obblighi previsti dalle Clausole, informerà l'Esportatore dei dati della modifica senza indugio dopo averne preso conoscenza, nel qual caso l'Esportatore dei dati può sospendere il trasferimento dei dati e/o risolvere il contratto; (c) ha implementato le misure tecniche e organizzative di sicurezza specificate nell'Appendice 2 prima di trattare i dati personali trasferiti;

d) informerà l'Esportatore dei dati senza indugio:

i) qualsiasi richiesta vincolante di divulgazione di dati personali da parte di un'autorità di pubblica sicurezza, salvo diversamente specificato, come un divieto penale finalizzato a preservare il segreto di un'indagine di polizia;

ii) qualsiasi accesso incidentale o non autorizzato; e

iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate senza rispondere a essa a meno che non sia stato autorizzato a farlo; amministratori

e) si occuperà prontamente e adeguatamente di tutte le richieste dell'Esportatore dei dati riguardanti il suo trattamento dei dati personali trasferiti e agirà secondo l'opinione dell'autorità di controllo in merito al trattamento dei dati trasferiti;

f) su richiesta dell'Esportatore dei dati, sottoporrà le proprie strutture di trattamento dei dati a una verifica delle attività di trattamento coperte da queste clausole da eseguirsi da parte dell'Esportatore dei dati o di un organismo di controllo composto da membri indipendenti con le necessarie qualifiche professionali, soggetto a un obbligo di segretezza e scelto dall'Esportatore dei dati, ove appropriato con l'accordo dell'autorità di controllo;

g) metterà a disposizione dell'interessato, se da questi richiesto, una copia di queste Clausole, o di qualsiasi contratto di subappalto esistente, salvo che le Clausole o il contratto contengano informazioni commerciali, nel qual caso potrà rimuovere tali informazioni, fatta eccezione per l'Appendice 2, che sarà sostituita da una descrizione sommaria delle misure di sicurezza, qualora l'interessato non possa ottenere una copia dall'Esportatore dei dati;

h) in caso di subappalto confidenziale del trattamento dei dati, informerà preventivamente l'Esportatore dei dati e otterrà il consenso scritto dell'Esportatore dei dati;

i) i servizi di trattamento forniti dal Processore dei dati saranno conformi alla Clausola 11;

j) invierà tempestivamente una copia di qualsiasi accordo di subappalto del trattamento dei dati da lui concluso ai sensi di queste Clausole all'Esportatore dei dati.

Clausola 6

Responsabilità

1. Le parti convengono che qualsiasi interessato che abbia subito un danno a causa di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da parte di una delle parti o di un Processore dei dati può ottenere un risarcimento dall'Esportatore dei dati per il danno subito.

2. Se un interessato non può promuovere un'azione di risarcimento come indicato al paragrafo 1 nei confronti dell'Esportatore dei dati per inadempimento da parte dell'Importatore dei dati o del suo Processore dei dati a uno qualsiasi dei suoi obblighi ai sensi della Clausola 3 o della Clausola 11 perché l'Esportatore dei dati è cessato materialmente, ha cessato di esistere giuridicamente o è divenuto insolvente, l'Importatore dei dati accetta che l'interessato possa presentare un reclamo nei suoi confronti come se fosse l'Esportatore dei dati, salvo che tutti gli obblighi legali dell'Esportatore dei dati siano stati trasferiti, per contratto o per effetto di legge, alla sua entità successore, nei confronti della quale l'interessato potrà allora far valere i suoi diritti. L'Importatore dei dati non può appellarsi a una violazione dei suoi obblighi da parte di un Processore dei dati per evitare la propria responsabilità.

3. Se un interessato non può promuovere l'azione di cui ai paragrafi 1 e 2 nei confronti dell'Esportatore dei dati o dell'Importatore dei dati per inadempimento da parte del Processore dei dati ai suoi obblighi ai sensi della Clausola 3 o della Clausola 11 perché l'Esportatore dei dati e l'Importatore dei dati sono cessati materialmente, hanno cessato di esistere giuridicamente o sono divenuti insolventi, il Processore dei dati accetta che l'interessato possa presentare un reclamo nei suoi confronti riguardo alle sue proprie attività di trattamento in conformità a queste clausole come se fosse l'Esportatore dei dati o l'Importatore dei dati, salvo che tutti gli obblighi legali dell'Esportatore dei dati o dell'Importatore dei dati siano stati trasferiti, per contratto o per effetto di legge, al successore legale, nei confronti del quale l'interessato potrà allora far valere i suoi diritti. La responsabilità del Processore dei dati dovrà essere limitata alle proprie attività di trattamento conformemente a queste clausole.

 

Clausola 7

Mediazione e giurisdizione

1. L'Importatore dei dati accetta che, se ai sensi delle clausole l'interessato invoca nei suoi confronti il diritto del terzo beneficiario e/o richiede un risarcimento per il danno subito, accetterà la decisione dell'interessato di:

a) sottoporre la controversia a mediazione da parte di una persona indipendente o, ove opportuno, dell'autorità di controllo;

b) deferire la controversia ai tribunali dello Stato membro in cui l'Esportatore dei dati ha la sua sede.

2. Le parti convengono che la scelta effettuata dall'interessato non pregiudicherà il diritto processuale o sostanziale dell'interessato di ottenere un ricorso ai sensi di altre disposizioni del diritto nazionale o internazionale.

Clausola 8

Cooperazione con le autorità di controllo

1. L'Esportatore dei dati accetta di depositare una copia del presente contratto presso l'autorità di controllo se quest'ultima lo richiede o se tale deposito è previsto dalla legge applicabile in materia di protezione dei dati.

2. Le parti convengono che l'autorità di controllo può effettuare verifiche presso l'Importatore dei dati e qualsiasi Processore dei dati nella stessa misura e alle stesse condizioni delle verifiche effettuate presso l'Esportatore dei dati in conformità alla legge applicabile in materia di protezione dei dati.

3. L'Importatore dei dati informerà l'Esportatore dei dati il prima possibile dell'esistenza di una legislazione riguardante l'Importatore dei dati o qualsiasi Processore dei dati che impedisca la verifica presso l'Importatore dei dati o qualsiasi Processore dei dati ai sensi del paragrafo 2. In tal caso, l'Esportatore dei dati potrà adottare le misure previste dalla Clausola 5 (b).

Clausola 9

Legge applicabile

Le clausole si applicano e sono regolate dalla legge dello Stato membro in cui l'Esportatore dei dati ha la sua sede.

Clausola 10

Modifica del contratto

Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di includere altre clausole commerciali che ritengano necessarie, a condizione che non contraddicano le presenti clausole.

Clausola 11

Subappalto successivo

1. L'Importatore dei dati non subappalterà nessuna delle sue attività di trattamento svolte per conto dell'Esportatore dei dati ai sensi di queste clausole senza il previo consenso scritto dell'Esportatore dei dati. L'Importatore dei dati potrà subappaltare i propri obblighi ai sensi di queste Clausole, con il consenso dell'Esportatore dei dati, attraverso un accordo scritto con il Processore dei dati che imponga al Processore dei dati gli stessi obblighi che gravano sull'Importatore dei dati ai sensi di queste Clausole. Se il Processore dei dati non può conformarsi ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l'Importatore dei dati resterà pienamente responsabile nei confronti dell'Esportatore dei dati per l'adempimento di tali obblighi.

2. Il preventivo accordo scritto tra l'Importatore dei dati e il Processore dei dati includerà anche una clausola di beneficiario terzo come prevista dalla Clausola 3 per i casi in cui l'interessato non possa promuovere l'azione di risarcimento di cui alla Clausola 6 (1), nei confronti dell'Esportatore dei dati o dell'Importatore dei dati perché l'Esportatore dei dati o l'Importatore dei dati sono cessati materialmente, hanno cessato di esistere giuridicamente o sono divenuti insolventi e tutti gli obblighi legali dell'Esportatore dei dati o dell'Importatore dei dati non siano stati trasferiti, per contratto o per effetto di legge, a un altro successore. La responsabilità del Processore dei dati dovrà essere limitata alle proprie attività di trattamento conformemente a queste clausole.

3. Le disposizioni relative agli aspetti di protezione dei dati del subappalto del trattamento dei dati di cui al paragrafo 1 saranno disciplinate dalla legge dello Stato membro in cui l'Esportatore dei dati ha la sua sede.

4. L'Esportatore dei dati manterrà un elenco degli accordi di subappalto del trattamento dei dati conclusi ai sensi di queste Clausole e notificati dall'Importatore dei dati ai sensi della Clausola 5 (j), che sarà aggiornato almeno una volta all'anno. Questo elenco sarà messo a disposizione dell'autorità di controllo dell'Esportatore dei dati.

Clausola 12

Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti convengono che, al termine dei servizi di trattamento dei dati, l'Importatore dei dati e il Processore dei dati, a scelta dell'Esportatore dei dati, restituiranno tutti i dati personali trasferiti e le copie degli stessi all'Esportatore dei dati, o distruggeranno tutti tali dati e forniranno la prova della distruzione all'Esportatore dei dati, salvo che la normativa imposta all'Importatore dei dati ne impedisca la restituzione o la distruzione di tutti o parte dei dati personali trasferiti. In tal caso, l'Importatore dei dati garantisce che garantirà la riservatezza dei dati personali trasferiti e che non tratterà più attivamente i dati.

2. L'Importatore dei dati e il Processore dei dati garantiranno che, se richiesto dall'Esportatore dei dati e/o dall'autorità di controllo, sottoporranno i loro mezzi di trattamento dei dati a una verifica delle misure di cui al paragrafo 1.

 

 

 

 

Appendice 1.1 alla Parte 2

Dettagli del trasferimento

 

 

Esportatore dei dati

L'Esportatore dei dati è il Cliente definito nell'accordo contrattuale.

 

Importatore dei dati

L'Importatore dei dati è IQUALIF ed è incaricato di trattare i dati fornendo servizi all'Esportatore dei dati.

 

Soggetti dei dati

I dati personali trasferiti riguardano le seguenti categorie di interessati:

☒ abbonati telefonici elencati nell'elenco telefonico universale

☐ Altri, inclusi:

 

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

 

Categorie di dati personali degli interessati dell'Esportatore dei dati in particolare,

☒ Nome e cognome

☒ Indirizzo postale

☒ Dati di contatto (e-mail, telefono, indirizzo IP, ecc.)

☒ Dettagli delle attività di marketing concernenti l'abbonato telefonico

☒ Altri, inclusi il tipo di alloggio, il reddito e le età medie per città elaborati in forma anonima

 

Categorie particolari di dati (se applicabile)

I dati personali trasferiti riguardano le seguenti categorie particolari di dati:

☒ Il trasferimento di categorie particolari di dati non è previsto

☐ Origine razziale o etnica

☐ Convinzioni religiose o filosofiche

☐ Appartenenza sindacale

☐ Opinioni politiche

☐ Informazioni genetiche

☐ Informazioni biometriche

☐ Informazioni sull'orientamento sessuale o sulla vita sessuale

☐ Dati relativi alla salute

 

Attività di trattamento

I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base:

 

  •  
    •  Finalità del trattamento

Le attività di trattamento svolte per conto dell'Esportatore dei dati si basano sui seguenti scopi, in particolare:

☒ Gestione dei prodotti o dei servizi offerti dall'Esportatore dei dati

☒ Offerta di un prodotto o servizio che la persona chiamata può richiedere

☒ Ordini presi dalle persone chiamate e ulteriore trattamento di tali ordini

☒ Questionari di studio e analisi

☒ Telemarketing

☐ Altri, inclusi:

 

  •  
    •  Natura e finalità del trattamento

L'Importatore dei dati tratta i dati personali degli interessati per conto dell'Esportatore dei dati, al fine di fornire i seguenti servizi, e in particolare:

☒ Vendite e Marketing

☒ Altri, inclusi l'aggiornamento di database di comuni e partiti politici

 

  •  
    •  Fornitura di servizi e impiego di fornitori di servizi

 

IQUALIF principalmente combina, centralizza e fornisce servizi all'Esportatore dei dati. I servizi forniti dal suddetto fornitore di servizi possono essere strutturati (tra gli altri, se del caso) intorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi e infrastruttura IT in relazione ai centri di elaborazione dati utilizzati, al fine di fornire e supportare i servizi, incluso il trattamento dei dati personali degli interessati come descritto sopra, tramite tali applicazioni, strumenti e sistemi, (ii) la fornitura di supporto IT, manutenzione e altri servizi relativi a tali applicazioni, strumenti, sistemi e infrastruttura IT, inclusi potenziali accessi ai dati personali memorizzati in tali applicazioni, strumenti e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione e servizi di risposta agli incidenti, inclusi potenziali accessi ai dati personali durante la fornitura di tali servizi di protezione. IQUALIF può avvalersi dei Processori dei dati come indicato di seguito per fornire i servizi, inclusi i servizi accessori.

 

  •  
    • • Fornitori di servizi terzi esterni come sub-entità incaricate del trattamento dei dati

 

IQUALIF si avvale di fornitori di servizi esterni e terzi, che non sono società controllate di IQUALIF, per supportare la fornitura dei servizi all'Esportatore dei dati. L'Esportatore dei dati approva tali fornitori di servizi terzi esterni come sub-entità incaricate del trattamento dei dati.

 

Se una sub-entità coinvolta nel trattamento dei dati ha sede al di fuori dell'UE/SEE, in un paese ritenuto non dotato di un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione europea, l'Importatore dei dati prenderà provvedimenti per ottenere un adeguato livello di protezione dei dati in conformità al GDPR e alla sezione 3.4 (iv) della Parte 1.

 

 

Appendice 2, Parte 2

Misure tecniche e organizzative di protezione

 

L'Importatore dei dati adotterà le seguenti misure tecniche e organizzative di protezione confermate dall'Esportatore dei dati, al fine di garantire un livello di sicurezza adeguato per i diritti e le libertà delle persone, in base ai rischi. Nella valutazione del livello di protezione considerato, l'Esportatore dei dati ha preso in considerazione, in particolare, i rischi connessi al trattamento, inclusa la distruzione o perdita accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti trattati. Per chiarire: tali misure tecniche e organizzative di protezione non si applicano alle applicazioni, agli strumenti, ai sistemi e/o all'infrastruttura IT forniti dall'Esportatore dei dati.

1 Misure generali tecniche e organizzative di protezione
1.1 Informazioni generali e strategie di protezione dei dati
Si dovrebbero adottare i seguenti passaggi per seguire strategie generali di protezione delle informazioni e dei dati:
  • a) adottare misure per valutare quelle adottate riguardo alle protezioni tecniche e organizzative;
  • b) fornire formazione per aumentare la consapevolezza tra i dipendenti;
  • c) avere una descrizione dei sistemi interessati e concedere accesso ai dipendenti;
  • d) stabilire un processo di documentazione formale ogni volta che i sistemi vengono implementati o modificati;
  • e) documentare la struttura organizzativa, i processi, le responsabilità e le relative valutazioni;
 
1.2 Organizzazione della protezione delle informazioni
Si dovrebbero adottare le seguenti misure per coordinare le attività di protezione dei dati e delle informazioni:
  • a) responsabilità definite per la protezione delle informazioni e dei dati (es. tramite la politica di gestione della protezione dei dati);
  • b) mantenere disponibile l'esperienza necessaria sulla protezione delle informazioni e dei dati;
  • c) tutti i dipendenti si impegnano a garantire che i dati personali siano mantenuti riservati e sono stati informati delle possibili conseguenze derivanti dalla violazione di tale impegno.
 
1.3 Controllo degli accessi alle aree di trattamento
Si devono adottare le seguenti misure per evitare che persone non autorizzate ottengano accesso ai sistemi di trattamento dei dati (in particolare software e hardware) quando i dati personali vengono trattati, archiviati o trasmessi:
  • a) istituire aree protette;
  • b) proteggere e limitare l'accesso ai sistemi di trattamento dei dati;
  • c) stabilire autorizzazioni di accesso per dipendenti e terzi, incluse le relative documentazioni;
  • d) qualsiasi accesso ai centri di elaborazione dati in cui sono memorizzati dati personali sarà registrato.
 
1.4 Controllo degli accessi ai sistemi di trattamento dei dati
Si devono adottare le seguenti misure per prevenire accessi non autorizzati ai sistemi di trattamento dei dati:
  • a) politiche e procedure di autenticazione degli utenti;
  • b) l'uso di password su tutti i sistemi informatici;
  • c) l'accesso remoto alla rete richiede l'autenticazione a più fattori ed è concesso alla persona interessata in base alle proprie responsabilità e previa autorizzazione;
  • d) l'accesso a funzioni specifiche è basato su mansioni lavorative e/o attributi assegnati individualmente all'account dell'utente;
  • e) i diritti di accesso relativi ai dati personali sono periodicamente revisionati;
  • f) vengono mantenuti aggiornati i registri delle modifiche ai diritti di accesso.
 
1.5 Controllo dell'accesso a specifiche aree di utilizzo dei sistemi di trattamento dei dati
Si devono adottare le seguenti misure per garantire che le persone autorizzate all'uso del sistema di trattamento dei dati possano accedere soltanto ai dati nell'ambito delle loro rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione:
  1.  
    1. a) politiche, istruzioni e formazione dei dipendenti, riguardanti gli obblighi di ciascuno in materia di riservatezza, i diritti di accesso ai dati personali e l'ambito del trattamento dei dati personali;
  • b) misure disciplinari nei confronti delle persone che accedono ai dati personali senza autorizzazione;
  • c) l'accesso ai dati personali sarà concesso solo a persone autorizzate, secondo il principio del bisogno di conoscere;
  • d) mantenere un elenco degli amministratori di sistema e adottare misure appropriate per monitorare gli amministratori di sistema;
  • e) non copiare o riprodurre i dati personali su alcun sistema di archiviazione che permetta a persone non autorizzate di rimuovere le informazioni dell'origine;
  • f) cancellazione o distruzione controllata e documentata dei dati;
  • g) conservare in modo sicuro tutti i dati personali che devono essere trattenuti per ragioni legali o regolamentari (es. obblighi di conservazione dei dati), e solo per il tempo richiesto dalla legge.
 
1.6 Controllo delle trasmissioni
Si devono adottare le seguenti misure per impedire che i dati personali siano letti, copiati, modificati o cancellati da terze parti non autorizzate durante la trasmissione o il trasporto di dispositivi di archiviazione dei dati (a seconda del trattamento dei dati personali effettuato):
  1.  
    1. a) uso di firewall;
  • b) evitare la memorizzazione di dati personali su dispositivi di archiviazione mobili per scopi di trasporto, o crittografare i dispositivi;
  • c) uso su laptop e altri dispositivi mobili solo dopo che la protezione di crittografia è stata attivata;
  • d) registrazione delle trasmissioni di dati personali.
 
1.7 Controllo dell'immissione dei dati
Si devono adottare le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati immessi o cancellati dai sistemi di trattamento dei dati e da chi:
  1.  
    1. a) una politica per autorizzare la lettura, la modifica e la cancellazione dei dati memorizzati;
  • b) misure di protezione riguardanti la lettura, la modifica e la cancellazione dei dati memorizzati.
 
1.8 Controllo del lavoro
In caso di trattamento delegato dei dati personali, si devono adottare le seguenti misure per garantire che tali dati siano trattati in conformità alle istruzioni del Titolare:
  1.  
    1. a) entità o sub-entità incaricate del trattamento dei dati, scelte con cura (fornitori di servizi che trattano dati personali per conto del titolare);
  • b) istruzioni riguardanti l'ambito di qualsiasi trattamento di dati personali al personale, alle entità o alle sub-entità incaricate del trattamento dei dati;
  • c) diritti di verifica concordati con le entità o sub-entità incaricate del trattamento dei dati;
  • d) accordi in essere con le entità o sub-entità incaricate di trattare i dati.
 
1.9 Separazione dal trattamento per altri scopi
Si devono adottare le seguenti misure per garantire che i dati raccolti per altri scopi possano essere trattati separatamente:
  1.  
    1. a) accesso separato ai dati personali in conformità ai diritti esistenti degli utenti;
  • b) interfacce, elaborazione in batch e reporting per altri scopi e funzioni, in modo che i dati raccolti per altri scopi possano essere trattati separatamente.
 
1.10 Pseudonimizzazione
Si devono adottare le seguenti misure riguardanti la pseudonimizzazione dei dati personali:
  1.  
    1. a) Se l'Esportatore dei dati ordina una specifica operazione di trattamento o se ciò è ritenuto appropriato dall'Importatore dei dati in conformità alle leggi sulla protezione dei dati in vigore concernenti determinate attività di trattamento, il trattamento dei dati personali sarà effettuato in modo tale che i dati non possano più essere attribuiti a una persona specifica senza l'uso di informazioni aggiuntive. Queste informazioni aggiuntive saranno conservate separatamente;
  • b) utilizzo di tecniche di pseudonimizzazione, inclusa la randomizzazione degli elenchi di allocazione; creazione di valori in forma di identificatori.
 
1.11 Crittografia

I seguenti passaggi dovrebbero essere adottati per crittografare i dati personali nelle applicazioni e nelle trasmissioni che supportano la crittografia:

  1.  
    1. a) uso di tecniche di crittografia;
  • b) istituzione di una gestione della crittografia per supportare le tecniche di crittografia autorizzate all'uso;
  • c) supportare l'uso della crittografia tramite procedure e protocolli per generare, modificare, revocare, distruggere, distribuire, certificare, memorizzare, salvare, usare e archiviare chiavi crittografiche per proteggere contro modifiche e divulgazioni non autorizzate.
 
1.12 Integrità dei sistemi e dei servizi di trattamento dei dati
Si devono adottare le seguenti misure per garantire l'integrità dei sistemi e dei servizi di trattamento dei dati:
  1. a) protezione dei sistemi di trattamento dei dati contro manipolazioni o distruzione mediante mezzi appropriati (es. software antivirus, software di prevenzione della perdita di dati e software contro il malware, patch software, firewall e protezione desktop gestita);
  • b) vietare l'installazione di qualsiasi servizio o software dannoso per i sistemi di trattamento dei dati, i servizi o la manipolazione dei dati personali;
  • c) utilizzo di un sistema di rilevamento e prevenzione delle intrusioni di rete nella struttura stessa della rete.
 
1.13 Disponibilità dei sistemi e dei servizi di trattamento dei dati e possibilità di ripristinare l'accesso e l'uso dei dati personali in caso di incidente materiale o tecnico
Si devono adottare le seguenti misure per garantire la disponibilità dei sistemi di trattamento dei dati, nonché per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali in caso di incidente materiale o tecnico (in particolare assicurando che i dati personali siano protetti contro la distruzione o la perdita accidentale):
  • a) disporre di mezzi di controllo per conservare copie di backup e ripristinare dati persi o cancellati;
  • b) ridondanza infrastrutturale e test delle prestazioni;
  • c) protezione fisica delle risorse informatiche;
  • d) uso di strumenti per monitorare lo stato e la disponibilità della rete interna;
  • e) politiche di segnalazione e risposta agli incidenti che disciplinano la procedura di gestione degli incidenti, e reiterazione dell'adesione a tali politiche come parte della formazione periodica;
  • f) backup (talvolta fuori sede) per ripristinare il sistema e consentirne nuovamente il funzionamento;
  • g) piani di continuità aziendale/recupero di emergenza
 
1.14 Resilienza dei sistemi e dei servizi di trattamento dei dati
Si devono adottare le seguenti misure per garantire la resilienza dei sistemi e dei servizi di trattamento dei dati:
  • a) sistemi configurati in modo armonico, utilizzando parametri di sicurezza approvati;
  • b) ridondanza di rete;
  • c) protezione di contenimento dei sistemi critici.
 
1.15 Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati
Procedura per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per proteggere il trattamento dei dati.
  • a) adottare le misure necessarie per valutare i rischi e le strategie di mitigazione;
  • b) riunioni di analisi dei servizi del dipartimento IT per affrontare le questioni attuali;
  • c) i piani di continuità aziendale/recupero di emergenza sono regolarmente aggiornati.

 

Parte 3

Firme delle parti e elenco degli Importatori dei dati

 

Quando compili il modulo d'ordine online e lo convalidi selezionando la casella di accettazione delle condizioni generali di utilizzo, il contratto che regola il rapporto tra il Cliente e IQUALIF si considera stipulato.

L'invio del pagamento a IQUALIF sarà considerato come accettazione e conclusione del contratto.

Nota: Questo testo è stato tradotto dal francese. La versione francese originale, che è valida e legalmente vincolante, è disponibile here.

FAQ

Come installare il software

Installazione del software

Per installare IQUALIF, è sufficiente cliccare su questo link di download e installare la versione di prova.

📥 Passo 1: Scaricamento

Dopo il download, è possibile che il vostro browser o Chrome mostri un messaggio di avviso.

Questo può accadere per software recenti o poco diffusi.

In tal caso :

  • Fate clic con il tasto destro sul file scaricato
  • Cliccate su "Conserva" o "Apri comunque"

⚙️ Passo 2: Installazione

Al momento dell'avvio del programma (doppio clic), Windows può mostrare un avviso di sicurezza (Windows Defender).

Questo si verifica semplicemente perché il software ha ancora pochi download e non ha ancora un ampio storico sui server Microsoft.

Se questo messaggio appare :

  • Cliccate su "Informazioni aggiuntive" o sui tre puntini "..."
  • Poi selezionate "Esegui comunque" o "Apri comunque"

✅ Perché potete installare in tutta sicurezza ?

IQUALIF è un software professionale distribuito dal 2013.

Sviluppiamo soluzioni utilizzate quotidianamente da professionisti.

Questi messaggi di sicurezza sono automatici e legati unicamente al numero di download, e non al contenuto del software.

Qual è la differenza tra la versione di prova e la versione a pagamento

La versione di prova e la versione a pagamento offrono esattamente le stesse funzionalità.

La differenza è semplice:

  • La versione di prova è limitata a 3 giorni.
  • La versione a pagamento funziona il doppio più velocemente, per un risparmio di tempo ottimale quotidianamente.

Puoi così testare liberamente tutte le funzionalità, per poi godere appieno delle prestazioni massime con la versione completa

Cosa è incluso nel Piano

I Piani vi offrono un accesso completo a tutti i software IQUALIF per tutta la loro durata di validità.

Non appena la vostra ordine viene confermato, riceverete la vostra chiave di attivazione via email in soli 5 minuti.

Se non la trovate, ricordate di controllare la cartella SPAM o posta indesiderata.

Il rinnovo automatico è senza impegno: potete annullarlo in qualsiasi momento dal vostro spazio cliente.

I vostri dati di accesso vi vengono inviati via email dopo il vostro ordine.

E naturalmente, siamo disponibili tramite chat, email o telefono per qualsiasi domanda.

Cos'è la velocità

Una velocità adatta alle tue esigenze

IQUALIF ti permette di recuperare i dati al tuo ritmo, in base al volume di cui hai bisogno.

Versione di prova

Fino a 400 contatti all’ora

(ideale per scoprire e testare tutte le funzionalità)

Versione a pagamento

  • Velocità standard : fino a 800 contatti all’ora
  • Velocità 5x : fino a 4.000 contatti all’ora
  • Velocità 10x : fino a 8.000 contatti all’ora

Puoi scegliere la velocità più adatta alla tua attività e puoi modificarla in qualsiasi momento.

La velocità può variare in base alla fonte selezionata.

Ci sono delle offerte?

Promozioni occasionali vengono offerte durante tutto l’anno, senza un calendario fisso.

Vengono inoltre applicati sconti ai nostri clienti fedeli, con tariffe decrescenti in base all’anzianità.

Per saperne di più, non esitate a contattarci via email o telefono

Ho bisogno di assistenza o di una dimostrazione a distanza

Puoi contattarci tramite chat, email o telefono: il nostro team sarà felice di assisterti.

Se necessario, possiamo intervenire direttamente sul tuo computer tramite uno strumento sicuro di assistenza remota, per aiutarti in modo rapido ed efficace.

Ho appena effettuato l'ordine, come posso attivare il mio prodotto

  1. Ouvri IQUALIF.
  2. Clicca in alto a sinistra sul menu ?, poi su Licenza.
  3. Nella finestra che si apre, copia la chiave ricevuta via email e clicca su OK.

Apparirà un messaggio di conferma per indicarti che il tuo prodotto è stato attivato correttamente.