Appendice sul trattamento dei dati

Appendice al trattamento dei dati

 

Questo Appendice costituisce parte integrante del Contratto ed è stipulata tra:

 

  1. (i) Il Cliente ("Esportatore dei dati")
  2. (ii) IQUALIF ("Importatore dei dati")

 

Ciascuno definito come "Parte" e congiuntamente come "Parti".

 

Premessa

CONSIDERATO che l'Importatore dei dati fornisce servizi professionali di software, informatici e servizi correlati (come browser con funzioni di ricerca avanzate);

CONSIDERATO che ai sensi del Contratto, l'Importatore dei dati ha accettato di fornire all'Esportatore dei dati i servizi specificati nel Contratto (i "Servizi");

CONSIDERATO che, fornendo i Servizi, l'Importatore dei dati riceve o beneficia dell'accesso alle informazioni dell'Esportatore dei dati o alle informazioni di altre persone che hanno una relazione (potenziale) con l'Esportatore dei dati, tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati ("GDPR") e di altre leggi applicabili sulla protezione dei dati.

CONSIDERATO che questo Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento e all'uso di tali dati personali da parte dell'Importatore dei dati in qualità di responsabile autorizzato del trattamento dati dell'Esportatore dei dati, per garantire che le Parti rispettino la normativa applicabile in materia di protezione dei dati.

 

PERTANTO, e per consentire alle Parti di proseguire il loro rapporto in modo legale, le Parti hanno stipulato questo Appendice come segue:

Parte 1

 

1. Struttura del documento e definizioni

1.1 Struttura

Questo Appendice comprende diverse parti come segue:

 

Parte 1: 

contiene disposizioni generali, ad esempio riguardanti le definizioni utilizzate in questo Appendice, il rispetto delle leggi locali, i tempi e la cessazione

 
Parte 2:

contiene il corpo del documento delle Clausole Contrattuali Standard non modificate

 
Appendice 1.1 della Parte 2:

contiene i dettagli delle operazioni di trattamento fornite dall'Importatore dei dati all'Esportatore dei dati in qualità di responsabile autorizzato del trattamento (inclusi il trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati) ai sensi di questo Appendice

 
Appendice 2 della Parte 2:

contiene una descrizione delle misure tecniche e organizzative di sicurezza dell'Importatore dei dati, applicate in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2

 
Parte 3:

contiene le firme delle Parti vincolate da questo Appendice e identifica ciascun Importatore dei dati

 

 

1.2 Terminologia e definizioni

Ai fini di questo Appendice, si applicano la terminologia e le definizioni utilizzate dal GDPR (nel corpo del documento delle Clausole Contrattuali Standard nella Parte 2, dove i termini definiti non sono scritti in maiuscolo). 

 

"Stato membro"

indica un paese appartenente all'Unione Europea o allo Spazio Economico Europeo

 
"Categorie particolari di dati (personali)"

si riferisce a dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, o appartenenza sindacale, e dati genetici, dati biometrici, se trattati per identificare in modo univoco una persona, dati relativi alla salute, dati relativi alla vita sessuale o all'orientamento sessuale di una persona

 
"Clausole Contrattuali Standard"

indica le Clausole Contrattuali Standard per il trasferimento di dati personali di responsabili del trattamento stabiliti in paesi terzi, ai sensi della Decisione della Commissione 2010/87/UE del 5 febbraio 2010, modificata dalla Decisione di esecuzione della Commissione (UE) 2016/2297 del 16 dicembre 2016

 
“Responsabile del trattamento”

indica qualsiasi responsabile del trattamento, situato all'interno o all'esterno dell'UE/SEE, che accetta di ricevere dall'Importatore dei dati o da qualsiasi altro responsabile del trattamento dell'Importatore dei dati, dati personali esclusivamente per lo svolgimento di attività di trattamento da eseguire per conto dell'Esportatore dei dati dopo il trasferimento, in conformità alle istruzioni dell'Esportatore dei dati, ai termini di questo Appendice e del Contratto con l'Importatore dei dati

 

 

 

2. Obblighi dell'Esportatore dei dati

2.1 L'Esportatore dei dati ha l'obbligo di garantire il rispetto di tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge applicabile sulla protezione dei dati che si applica all'Esportatore dei dati e di dimostrare tale conformità come richiesto dall'articolo 5 (2) del GDPR. L'Esportatore dei dati garantisce che l'Importatore dei dati ha ottenuto il consenso preventivo degli interessati in conformità all'articolo 6 (a) del GDPR e ha rispettato il proprio obbligo di informare gli interessati ai sensi degli articoli 13 e 14 del GDPR.

2.2 L'Esportatore dei dati deve fornire all'Importatore dei dati i rispettivi file delle attività di trattamento in conformità all'articolo 30 (1) del GDPR relative ai Servizi ai sensi di questo Appendice, nella misura necessaria affinché l'Importatore dei dati possa rispettare l'obbligo previsto dall'articolo 30 (2) del GDPR.

2.3 L'Esportatore dei dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla legge applicabile sulla protezione dei dati. L'Esportatore dei dati è obbligato a fornire i dettagli di contatto del responsabile della protezione dei dati o del rappresentante, se presente, all'Importatore dei dati.

2.4. L'Esportatore dei dati conferma, prima del completamento del trattamento, accettando questo Appendice, che le misure tecniche e organizzative di sicurezza dell'Importatore dei dati, come descritte nell'Appendice 2 della Parte 2, sono appropriate e sufficienti a proteggere i diritti dell'interessato e conferma che l'Importatore dei dati fornisce sufficienti garanzie a tale riguardo.

 

3. Conformità alla legge locale

Per soddisfare i requisiti dell'attuazione dei responsabili del trattamento ai sensi dell'articolo 28 del GDPR, si applicano le seguenti modifiche:

 

3.1 Istruzioni

  1. (i) L'Esportatore dei dati istruisce l'Importatore dei dati a trattare i dati personali solo per conto dell'Esportatore dei dati. Le istruzioni dell'Esportatore dei dati sono fornite in questo Appendice e nel Contratto. L'Esportatore dei dati ha l'obbligo di garantire che tutte le istruzioni fornite all'Importatore dei dati siano conformi alle leggi applicabili sulla protezione dei dati. L'Importatore dei dati deve trattare i dati personali solo in conformità alle istruzioni fornite dall'Esportatore dei dati, salvo diverso obbligo dell'Unione Europea o della legge dello Stato membro (in quest'ultimo caso si applica la Clausola 3.2 (iv) (c) della Parte 1).
  2. (ii) Tutte le altre istruzioni che vanno oltre le istruzioni in questo Appendice o nel Contratto devono essere incluse nell'oggetto di questo Appendice e del Contratto. Se l'attuazione di questa istruzione aggiuntiva comporta costi per l'Importatore dei dati, l'Importatore dei dati informerà l'Esportatore dei dati di tali costi e fornirà una spiegazione prima di attuare l'istruzione. Solo dopo che l'Esportatore dei dati avrà confermato l'accettazione di tali costi per l'attuazione dell'istruzione, l'Importatore dei dati attuerà questa istruzione aggiuntiva. L'Esportatore dei dati deve fornire istruzioni aggiuntive per iscritto, salvo che l'urgenza o altre circostanze specifiche richiedano una forma diversa (ad esempio orale, elettronica). Le istruzioni in forma diversa da quella scritta devono essere confermate per iscritto e senza ritardo dall'Esportatore dei dati.
  3. 1. Salvo che l'Esportatore dei dati non possa effettuare direttamente la rettifica, la cancellazione o la limitazione dei dati personali, le istruzioni possono anche riguardare la rettifica, la cancellazione e/o la limitazione dei dati personali come previsto nella Clausola 3.3 della Parte 1.
  4. 2. L'Importatore dei dati deve informare immediatamente l'Esportatore dei dati se, a suo avviso, un'Istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro ("Istruzione contestata"). Se l'Importatore dei dati ritiene che un'Istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro, l'Importatore dei dati non è obbligato a seguire l'Istruzione contestata. Se l'Esportatore dei dati conferma l'Istruzione contestata dopo aver ricevuto l'informazione dall'Importatore dei dati e ne riconosce la responsabilità, l'Importatore dei dati attuerà l'Istruzione contestata, salvo che l'Istruzione contestata riguardi (i) l'attuazione di misure tecniche e organizzative, (ii) i diritti degli interessati o (iii) l'ingaggio di responsabili del trattamento. Nei casi (i) a (iii), l'Importatore dei dati può contattare un'autorità di controllo competente per far valutare legalmente l'Istruzione contestata da tale autorità. Se l'autorità di controllo dichiara legale l'Istruzione contestata, l'Importatore dei dati attuerà l'Istruzione contestata. Si applica la Clausola 3.1 (ii) della Parte 1.

 

3.2 Obblighi dell'Importatore dei dati

  1. (i) L'Importatore dei dati deve garantire che le persone autorizzate dall'Importatore dei dati a trattare dati personali per conto dell'Esportatore dei dati, in particolare i dipendenti dell'Importatore dei dati e i dipendenti di qualsiasi Subappaltatore, si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza, e che tali persone che hanno accesso ai dati personali li trattino in conformità alle istruzioni dell'Esportatore dei dati.
  2. (ii) L'Importatore dei dati deve attuare le misure tecniche e organizzative di sicurezza come descritte nell'Appendice 2 della Parte 2 prima di trattare i dati personali per conto dell'Esportatore dei dati. L'Importatore dei dati può modificare di volta in volta le misure tecniche e organizzative di sicurezza purché non forniscano una protezione inferiore a quella prevista nell'Appendice 2 della Parte 2.
  3. (iii) L'Importatore dei dati metterà a disposizione dell'Esportatore dei dati, su richiesta di quest'ultimo, informazioni per dimostrare il rispetto degli obblighi dell'Importatore dei dati ai sensi di questo Appendice. Le Parti concordano che tale obbligo informativo è soddisfatto fornendo all'Esportatore dei dati un rapporto di audit (che copre i principi di sicurezza, la disponibilità del sistema e la riservatezza) ("Rapporto di Audit"). Se sono richieste ulteriori attività di audit per legge, l'Esportatore dei dati può richiedere che le ispezioni siano effettuate dall'Esportatore dei dati o da un altro revisore nominato dall'Esportatore dei dati, subordinatamente all'esecuzione da parte di tale revisore di un accordo di riservatezza con l'Importatore dei dati a soddisfazione ragionevole di quest'ultimo ("Audit"). Tale Audit è soggetto alle seguenti condizioni: (i) il preventivo consenso scritto formale dell'Importatore dei dati; e (ii) l'Esportatore dei dati sosterrà tutti i costi relativi all'Audit in loco per l'Esportatore dei dati e l'Importatore dei dati. L'Esportatore dei dati deve redigere un rapporto di audit che riassuma i risultati e le osservazioni dell'Audit in loco ("Rapporto di Audit in loco"). I Rapporti di Audit in loco e i Rapporti di Audit sono informazioni riservate dell'Importatore dei dati e non devono essere divulgati a terzi salvo quanto richiesto dalla legge applicabile sulla protezione dei dati o in conformità al consenso dell'Importatore dei dati.
  4. (iv) L'Importatore dei dati ha l'obbligo di notificare all'Esportatore dei dati senza ingiustificato ritardo:
    1. a. qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità di polizia giudiziaria, salvo diverso divieto, come un divieto penale volto a proteggere la riservatezza di un'indagine di polizia
    2. b. qualsiasi reclamo e richiesta ricevuti direttamente da un interessato (ad esempio riguardanti accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione al trattamento dei dati, decisioni automatizzate) senza rispondere a tale richiesta, salvo che l'Importatore dei dati sia stato autorizzato a farlo
    3. c. se l'Importatore dei dati o il responsabile del trattamento è obbligato, ai sensi della legge dell'Unione Europea o dello Stato membro a cui è soggetto, a trattare i dati personali oltre le istruzioni dell'Esportatore dei dati, prima di effettuare tale trattamento oltre le istruzioni, salvo che le leggi dell'Unione Europea o dello Stato membro vietino tale trattamento per motivi di interesse pubblico vitale, nel qual caso la notifica all'Esportatore dei dati specificherà il requisito legale ai sensi di tale legge dell'Unione Europea o dello Stato membro; oppure
    4. d. se l'Importatore dei dati rileva una violazione dei dati personali, esclusivamente a causa propria o del suo subappaltatore, che potrebbe riguardare i dati personali dell'Esportatore dei dati coperti dal presente contratto, nel qual caso l'Importatore dei dati assisterà l'Esportatore dei dati nel suo obbligo, ai sensi della normativa applicabile sulla protezione dei dati, di informare gli interessati e, ove applicabile, le autorità di controllo fornendo le informazioni in suo possesso, in conformità all'articolo 33 (3) del GDPR.
    5. (v) Su richiesta dell'Esportatore dei dati, l'Importatore dei dati sarà tenuto ad assistere l'Esportatore dei dati nel suo obbligo di effettuare una valutazione d'impatto sulla protezione dei dati che può essere richiesta dall'articolo 35 del GDPR e una consultazione preventiva che può essere richiesta dall'articolo 36 del GDPR riguardante i servizi forniti dall'Importatore dei dati all'Esportatore dei dati ai sensi di questo Appendice, fornendo le informazioni necessarie all'Esportatore dei dati. L'Importatore dei dati sarà obbligato a fornire tale assistenza solo se l'Esportatore dei dati non può adempiere al proprio obbligo con altri mezzi. L'Importatore dei dati informerà l'Esportatore dei dati dei costi di tale assistenza. Non appena l'Esportatore dei dati avrà confermato di poter sostenere tali costi, l'Importatore dei dati fornirà tale assistenza.
    6. (vi) Al termine della fornitura dei servizi, l'Esportatore dei dati può richiedere la restituzione dei dati personali trattati dall'Importatore dei dati ai sensi di questo Appendice entro un mese dalla fine dei servizi. Salvo che la legislazione dello Stato membro o dell'Unione Europea richieda all'Importatore dei dati di conservare o trattenere tali dati personali, l'Importatore dei dati cancellerà tutti tali dati personali o non personali dopo il periodo di un mese, sia che siano stati restituiti all'Esportatore dei dati su sua richiesta o meno.

 

3.3 Diritti degli interessati

  1.  
    1. (i) L'Esportatore dei dati gestisce e risponde alle richieste degli interessati. L'Importatore dei dati non è obbligato a rispondere direttamente agli interessati.
    2. (ii) Se l'Esportatore dei dati richiede l'assistenza dell'Importatore dei dati nel trattamento e nella risposta alle richieste dell'interessato, l'Esportatore dei dati emetterà un'ulteriore istruzione in conformità alla Clausola 3.1 (ii) della Parte 1. L'Importatore dei dati assisterà l'Esportatore dei dati con le seguenti misure tecniche e organizzative appropriate per rispondere alle richieste di esercizio dei diritti degli interessati di cui al Capitolo III del GDPR come segue:
    3. a. Per quanto riguarda le richieste di informazioni, l'Importatore dei dati fornirà all'Esportatore dei dati solo le informazioni richieste dagli articoli 13 e 14 del GDPR che può avere a disposizione se l'Esportatore dei dati non riesce a trovarle da solo.
    4. b. Per quanto riguarda le richieste di accesso (articolo 15 del GDPR), l'Importatore dei dati fornirà all'Esportatore dei dati solo le informazioni che devono essere fornite a un interessato per la suddetta richiesta di accesso, che può avere a disposizione se quest'ultimo non riesce a trovarle da solo.
    5. c. Per quanto riguarda le richieste di rettifica (articolo 16 del GDPR), richieste di cancellazione (articolo 17 del GDPR), limitazione delle richieste di trattamento (articolo 18 del GDPR) o richieste di portabilità (articolo 20 del GDPR), e solo se l'Esportatore dei dati non può rettificare, cancellare, limitare o trasmettere i dati personali a un altro terzo, l'Importatore dei dati offrirà all'Esportatore dei dati la possibilità di rettificare, cancellare, limitare o trasmettere i dati personali interessati all'altro terzo, o se ciò non è possibile, fornirà assistenza per rettificare, cancellare, limitare o trasmettere i dati personali interessati all'altro terzo.
    6. d. Per quanto riguarda la notifica relativa a rettifica, cancellazione o limitazione del trattamento (articolo 19 del GDPR), l'Importatore dei dati assisterà l'Esportatore dei dati notificando a tutti i destinatari dei dati personali impegnati dall'Importatore dei dati come responsabili del trattamento se l'Esportatore dei dati lo richiede e se l'Esportatore dei dati non può risolvere la situazione da solo.
    7. e. Per quanto riguarda il diritto di opposizione esercitato da un interessato (articoli 21 e 22 del GDPR), l'Esportatore dei dati determinerà se l'opposizione è legittima e come gestirla.
    8. (iii) Gli obblighi di assistenza dell'Importatore dei dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (ad esempio database, sistemi, applicazioni di proprietà o forniti dall'Importatore dei dati).
    9. (iv) L'Esportatore dei dati determinerà se un interessato può esercitare i diritti degli interessati di cui alla Clausola 3.1 di questa Parte 1 e informerà l'Importatore dei dati sull'entità dell'assistenza specificata nelle Clausole 3.3 (ii), (iii) della Parte 1 necessaria.
    10. (v) Se l'Esportatore dei dati richiede misure tecniche e organizzative aggiuntive o modificate per soddisfare i diritti degli interessati che vanno oltre l'assistenza fornita dall'Importatore dei dati ai sensi della Clausola 3.3 (ii), (iii) della Parte 1, l'Importatore dei dati informerà l'Esportatore dei dati dei costi per l'attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Non appena l'Esportatore dei dati avrà confermato di poter sostenere tali costi, l'Importatore dei dati attuerà tali misure tecniche e organizzative aggiuntive o modificate per assistere l'Esportatore dei dati nel rispondere alle richieste degli interessati.
    11. (vi) Fatto salvo quanto previsto dalla Clausola 3.3 (v) della Parte 1, l'Esportatore dei dati sarà obbligato a rimborsare all'Importatore dei dati le spese ragionevoli sostenute per rispondere alle richieste degli interessati.

 

3.4 Sub-trattamento

  1.  
    1. (i) L'Esportatore dei dati autorizza l'uso da parte dell'Importatore dei dati di subappaltatori per la fornitura dei servizi ai sensi di questo Appendice. L'Importatore dei dati selezionerà tali responsabili del trattamento con cura. L'Esportatore dei dati approva i responsabili del trattamento elencati nell'Appendice 1.1 alla fine della Parte 2.
    2. (ii) L'Importatore dei dati trasferirà i propri obblighi ai sensi di questo Appendice ai responsabili del trattamento nella misura applicabile ai servizi subappaltati.
    3. (iii) L'Importatore dei dati può licenziare, sostituire o nominare un altro responsabile del trattamento appropriato e affidabile a sua discrezione. Se richiesto per iscritto dall'Esportatore dei dati, l'Importatore dei dati deve seguire la procedura di seguito indicata:
  2.  
    1. a. L'Importatore dei dati informerà l'Esportatore dei dati prima di qualsiasi modifica all'elenco dei responsabili del trattamento di cui alla Clausola 3.4 (i) della Parte 1. Se l'Esportatore dei dati non si oppone ai sensi della Clausola 3.4. (b) della Parte 1 entro trenta giorni dal ricevimento della notifica dall'Importatore dei dati, i responsabili del trattamento aggiuntivi saranno considerati accettati.
    2. b. Se l'Esportatore dei dati ha un motivo legittimo per opporsi a un responsabile del trattamento aggiuntivo, darà preavviso scritto all'Importatore dei dati entro trenta giorni dal ricevimento della notifica dell'Importatore dei dati e prima che il servizio dell'Importatore dei dati venga messo in funzione. Se l'Esportatore dei dati si oppone all'uso di un responsabile del trattamento aggiuntivo, l'Importatore dei dati può rimuovere l'obiezione con una delle seguenti opzioni (scelte a sua discrezione): (A) l'Importatore dei dati annullerà i suoi piani di utilizzare un responsabile del trattamento aggiuntivo riguardo ai dati personali dell'Esportatore dei dati; (B) l'Importatore dei dati adotterà le misure correttive richieste dall'Esportatore dei dati nella sua obiezione (annullando l'obiezione) e utilizzerà il responsabile del trattamento aggiuntivo riguardo ai dati personali dell'Esportatore dei dati; (C) l'Importatore dei dati può cessare di fornire o l'Esportatore dei dati può concordare di non utilizzare (temporaneamente o permanentemente) un particolare aspetto del servizio che comporterebbe l'uso del responsabile del trattamento ulteriore dell'Esportatore dei dati per i dati personali dell'Esportatore dei dati.
  3.  
    1. (iv) se il responsabile del trattamento ha sede al di fuori dell'UE-SEE in un paese non riconosciuto come avente un livello adeguato di protezione dei dati a seguito di una decisione della Commissione Europea, l'Importatore dei dati adotterà le misure per conformarsi a un livello adeguato di protezione dei dati in conformità al GDPR (tali misure possono includere - tra le altre - l'uso di contratti di trattamento dati basati sulle clausole del Modello UE, il trasferimento a responsabili del trattamento auto-certificati nell'ambito del programma EU-US Privacy Shield o un programma simile).

 

3.5 Scadenza

La scadenza di questo Appendice è identica alla data di scadenza del Contratto corrispondente. Salvo quanto diversamente previsto in questo Appendice, i diritti e i doveri relativi alla cessazione saranno gli stessi contenuti nel Contratto.

 

4. Limitazione della responsabilità

4.1 Ciascuna parte gestisce i propri obblighi ai sensi di questo Appendice e della normativa applicabile sulla protezione dei dati.

4.2 Qualsiasi responsabilità relativa a una violazione degli obblighi ai sensi di questo Appendice o della normativa applicabile sulla protezione dei dati sarà soggetta e regolata dalle disposizioni sulla responsabilità previste nel Contratto o applicabili a esso, salvo quanto diversamente previsto in questo Appendice. Se la responsabilità è regolata dalle disposizioni sulla responsabilità previste nel Contratto o applicabili a esso, ai fini del calcolo dei limiti di responsabilità o della determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante da questo Appendice sarà considerata derivante dal Contratto.

 

5. Disposizioni generali

5.1 In caso di incongruenze o discrepanze tra le Parti 1 e 2 di questo Appendice, prevarrà la Parte 2. In particolare, anche in tale caso, la Parte 1 che semplicemente va oltre la Parte 2 (cioè i termini delle Clausole Standard) senza contraddirla rimarrà valida.

5.2 In caso di discrepanza tra le disposizioni di questo Appendice e quelle di altri contratti vincolanti per le parti, prevarrà questo Appendice riguardo agli obblighi di protezione dei dati delle parti. In caso di dubbio sul fatto che clausole in altri contratti riguardino gli obblighi di protezione dei dati delle parti, prevarrà questo Appendice.

5.3 Se una qualsiasi disposizione di questo Appendice è invalida o inapplicabile, il resto di questo Appendice rimarrà in pieno vigore ed effetto. La disposizione invalida o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando per quanto possibile l'intenzione delle parti, oppure - se ciò non è possibile - (ii) interpretata come se la parte invalida o inapplicabile non fosse mai stata parte del contratto. Quanto sopra si applica anche in caso di omissione in questo Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere modifiche alla Clausola 3 della Parte 1 (Conformità alla legge locale) o ad altre parti dell'Appendice per conformarsi a interpretazioni, direttive o ordini emessi dalle autorità competenti dell'Unione o degli Stati membri, disposizioni nazionali di applicazione o qualsiasi altro sviluppo legale riguardante il GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e specificamente riguardo all'uso delle Clausole Contrattuali Standard nel GDPR. I termini delle Clausole Contrattuali Standard non possono essere modificati o sostituiti a meno che la Commissione Europea non lo approvi espressamente (ad esempio con nuove clausole adeguate e standard di protezione dei dati).

5.6 Qualsiasi riferimento in questo Appendice alle "Clausole" deve essere inteso come riferito a tutte le disposizioni di questo Appendice salvo diversa indicazione.

5.7 La scelta della legge nella Clausola 9 della Parte 2 si applica all'intero Contratto.

 

6. Dati personali trasmessi e trattati dalle parti per scopi personali (trasferimento dal titolare del trattamento al titolare del trattamento)

6.1 Le Parti sono pienamente consapevoli che alcuni dati personali saranno trasferiti dall'Esportatore dei dati all'Importatore dei dati e viceversa, e che tali dati sono trattati da ciascuna Parte per propri scopi. Per tali dati personali, non si applicano le altre disposizioni di questo Appendice (eccetto questa clausola 6).

6.2 L'Esportatore dei dati può trasferire dati personali relativi al personale dell'Importatore dei dati all'Importatore dei dati, comprese informazioni su incidenti di sicurezza, o qualsiasi altro documento o file creato o stabilito dall'Esportatore dei dati in relazione ai Servizi forniti dal personale dell'Importatore dei dati. L'Importatore dei dati può trattare tali dati personali per propri scopi, in particolare nei rapporti professionali con il personale dell'Importatore dei dati, per il controllo qualità e la formazione, o per scopi commerciali.

6.3 L'Importatore dei dati può trasferire dati personali all'Esportatore dei dati, inclusi nome e dettagli di contatto del personale dell'Importatore dei dati. L'Esportatore dei dati può trattare tali dati personali per propri scopi.

6.4 Entrambe le Parti devono rispettare le leggi applicabili sulla protezione dei dati, incluso il GDPR, nella raccolta, nel trattamento e nell'uso di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 della Parte 1. In particolare, entrambe le Parti devono adottare misure di sicurezza adeguate, fornendo un livello di protezione simile a quello delle misure di sicurezza descritte nell'Appendice 2 della Parte 2. Qualsiasi accesso a tali dati personali deve essere limitato al necessario.

6.5 Entrambe le Parti devono cancellare tali dati personali il prima possibile dopo il raggiungimento degli obiettivi.

Parte 2

 

DECISIONE DELLA COMMISSIONE

del 5 febbraio 2010

relativa alle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della direttiva 95/46/CE del Parlamento Europeo e del Consiglio

 

 

 

Clausola 1

Definizioni

Ai sensi delle clausole:

a) 'dati personali', 'categorie particolari di dati', 'trattamento', 'titolare del trattamento', 'responsabile del trattamento', 'interessato' e 'autorità di controllo' hanno lo stesso significato che hanno nella direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (1);

b) il 'Esportatore dei dati' è il titolare del trattamento che trasferisce i dati personali;

c) l' 'Importatore dei dati' è il responsabile del trattamento che accetta di ricevere dall'Esportatore dei dati dati personali destinati a essere trattati per conto dell'Esportatore dei dati dopo il trasferimento in conformità alle sue istruzioni e ai termini di queste clausole e che non è soggetto al meccanismo di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25(1) della direttiva 95/46/CE; (d) 'Responsabile del trattamento' indica il responsabile del trattamento incaricato dall'Importatore dei dati o da qualsiasi altro responsabile del trattamento dell'Importatore dei dati che accetta di ricevere dall'Importatore dei dati o da qualsiasi altro responsabile del trattamento dell'Importatore dei dati dati personali esclusivamente per attività di trattamento da svolgere per conto dell'Esportatore dei dati dopo il trasferimento in conformità alle istruzioni dell'Esportatore dei dati, alle condizioni stabilite in queste Clausole e ai termini del contratto scritto di subappalto del trattamento dati;

e) "legge applicabile sulla protezione dei dati" indica la legislazione che protegge i diritti e le libertà fondamentali delle persone fisiche, incluso il diritto alla riservatezza riguardo al trattamento dei dati personali, e che si applica a un titolare del trattamento nello Stato membro in cui l'Esportatore dei dati è stabilito;

f) “misure tecniche e organizzative relative alla sicurezza” indica misure intese a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su reti, e contro tutte le altre forme illecite di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, comprese, ove opportuno, categorie particolari di dati personali, sono specificati nell'Appendice 1, che costituisce parte integrante di queste clausole.

Clausola 3

Clausola a favore di terzi

1. L'interessato può far valere nei confronti dell'Esportatore dei dati questa Clausola, le Clausole 4(b) a (i), le Clausole 5(a) a (e) e (g) a (j), le Clausole 6 (1) e (2), le Clausole 7, le Clausole 8(2) e le Clausole da 9 a 12 come terzo beneficiario

2. L'interessato può far valere questa Clausola, le Clausole 5 (a) a (e) e (g), le Clausole 6, le Clausole 7, le Clausole 8 (2) e le Clausole da 9 a 12 nei confronti dell'Importatore dei dati qualora l'Esportatore dei dati sia fisicamente scomparso o abbia cessato di esistere legalmente, a meno che tutti i suoi obblighi legali non siano stati trasferiti, per contratto o per effetto di legge, all'entità successore, a cui pertanto spettano i diritti e gli obblighi dell'Esportatore dei dati, e nei confronti della quale l'interessato può quindi far valere le suddette clausole.

L'interessato può far valere questa Clausola, le Clausole 5 (a) a (e) e (g), le Clausole 6, le Clausole 7, le Clausole 8 (2) e le Clausole da 9 a 12 nei confronti del responsabile del trattamento, ma solo nei casi in cui l'Esportatore dei dati e l'Importatore dei dati siano fisicamente scomparsi, abbiano cessato di esistere legalmente o siano diventati insolventi, a meno che tutti gli obblighi legali dell'Esportatore dei dati non siano stati trasferiti, per contratto o per effetto di legge, al successore legale, a cui pertanto spettano i diritti e gli obblighi dell'Esportatore dei dati, e nei confronti del quale l'interessato può quindi far valere tali clausole. Tale responsabilità del responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi di queste clausole.

4. Le parti non si oppongono che l'interessato sia rappresentato da un'associazione o altro organismo se lo desidera e se la legge nazionale lo consente.

Clausola 4

Obblighi dell'Esportatore dei dati

L'Esportatore dei dati accetta e garantisce quanto segue:

a) il trattamento, compreso il trasferimento effettivo dei dati personali, è stato e continuerà a essere effettuato in conformità alle disposizioni pertinenti della legge applicabile sulla protezione dei dati (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui l'Esportatore dei dati ha sede) e non viola le disposizioni pertinenti di tale Stato;

b) ha istruito, e istruirà per tutta la durata dei servizi di trattamento dei dati personali, l'Importatore dei dati a trattare i dati personali trasferiti esclusivamente per conto dell'Esportatore dei dati e in conformità alla legge applicabile sulla protezione dei dati e a queste clausole;

c) l'Importatore dei dati fornirà garanzie sufficienti riguardo alle misure tecniche e organizzative di sicurezza specificate nell'Appendice 2 al presente contratto;

d) dopo la valutazione dei requisiti della legge applicabile sulla protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione non autorizzata o l'accesso, in particolare quando il trattamento comporta la trasmissione di dati su una rete, e contro tutte le altre forme illecite di trattamento e garantiscono un livello di sicurezza adeguato ai rischi rappresentati dal trattamento e alla natura dei dati da proteggere, tenendo conto del livello della tecnologia e del costo di attuazione;

e) garantirà il rispetto delle misure di sicurezza;

f) se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima del trasferimento, o il prima possibile dopo il trasferimento, che i suoi dati possono essere trasferiti in un paese terzo che non offre un livello adeguato di protezione ai sensi della direttiva 95/46/CE;

g) trasmetterà qualsiasi notifica ricevuta dall'Importatore dei dati o da qualsiasi responsabile del trattamento ai sensi delle Clausole 5 (b) e 8 (3) all'autorità di controllo della protezione dei dati se decide di continuare il trasferimento o di revocare la sospensione;

h) metterà a disposizione degli interessati, se richiesto, una copia di queste Clausole, ad eccezione dell'Appendice 2, e una descrizione sommaria delle misure di sicurezza, e una copia di qualsiasi ulteriore contratto di subappalto concluso ai sensi di queste Clausole salvo che le Clausole o il contratto contengano informazioni commerciali, nel qual caso potrà ritirare tali informazioni;

i) in caso di subappalto del trattamento dei dati, l'attività di trattamento è effettuata ai sensi della Clausola 11 da un responsabile del trattamento che garantisce almeno lo stesso livello di protezione dei dati personali e dei diritti degli interessati dell'Importatore dei dati ai sensi di queste Clausole; e

j) garantirà il rispetto delle Clausole 4 (a) a (i).

Clausola 5

Obblighi dell'Importatore dei dati

L'Importatore dei dati accetta e garantisce quanto segue:

a) tratterà i dati personali solo per conto dell'Esportatore dei dati e secondo le istruzioni dell'Esportatore dei dati e queste clausole; se non può conformarsi per qualsiasi motivo, si impegna a informare l'Esportatore dei dati della sua impossibilità il prima possibile, nel qual caso l'Esportatore dei dati può sospendere il trasferimento dei dati e/o terminare il contratto;

b) non ha motivo di ritenere che la legge applicabile gli impedisca di adempiere alle istruzioni fornite dall'Esportatore dei dati e agli obblighi a lui incombenti ai sensi del contratto, e se tale legge subisce una modifica che potrebbe avere un effetto negativo sostanziale sulle garanzie e sugli obblighi ai sensi delle Clausole, notificherà senza ritardo all'Esportatore dei dati la modifica dopo averne avuto conoscenza, nel qual caso l'Esportatore dei dati può sospendere il trasferimento dei dati e/o terminare il contratto; (c) ha attuato le misure tecniche e organizzative di sicurezza specificate nell'Appendice 2 prima di trattare i dati personali trasferiti;

d) notificherà senza ritardo all'Esportatore dei dati:

i) qualsiasi richiesta vincolante di divulgazione di dati personali da parte di un'autorità di polizia giudiziaria, salvo diversa indicazione, come un divieto penale volto a preservare il segreto di un'indagine di polizia;

ii) qualsiasi accesso incidentale o non autorizzato; e

iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate senza rispondere a essa a meno che non sia stato autorizzato a farlo; amministratori

e) gestirà prontamente e correttamente tutte le richieste dell'Esportatore dei dati riguardanti il trattamento dei dati personali trasferiti e agirà secondo il parere dell'autorità di controllo riguardo al trattamento dei dati trasferiti;

f) su richiesta dell'Esportatore dei dati, sottoporrà le proprie strutture di trattamento dati a un audit delle attività di trattamento coperte da queste clausole da effettuarsi dall'Esportatore dei dati o da un organismo di controllo composto da membri indipendenti con le qualifiche professionali richieste, soggetto a un obbligo di segretezza e scelto dall'Esportatore dei dati, ove opportuno con l'accordo dell'autorità di controllo;

g) metterà a disposizione dell'interessato, se richiesto, una copia di queste Clausole, o di qualsiasi contratto di subappalto esistente, salvo che le Clausole o il contratto contengano informazioni commerciali, nel qual caso potrà rimuovere tali informazioni, ad eccezione dell'Appendice 2, che sarà sostituita da una descrizione sommaria delle misure di sicurezza, qualora l'interessato non possa ottenere una copia dall'Esportatore dei dati;

h) in caso di ulteriore subappalto riservato del trattamento dati, garantirà di informare preventivamente l'Esportatore dei dati e di ottenere il consenso scritto dell'Esportatore dei dati;

i) i servizi di trattamento forniti dal responsabile del trattamento saranno conformi alla Clausola 11;

j) invierà tempestivamente una copia di qualsiasi contratto di subappalto del trattamento dati stipulato da lui ai sensi di queste Clausole all'Esportatore dei dati.

Clausola 6

Responsabilità

1. Le parti concordano che qualsiasi interessato che abbia subito un danno a causa di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da parte di una parte o di un responsabile del trattamento può ottenere un risarcimento dall'Esportatore dei dati per il danno subito.

2. Se un interessato è impedito a intentare un'azione per danni di cui al paragrafo 1 contro l'Esportatore dei dati per inadempienza da parte dell'Importatore dei dati o del suo responsabile del trattamento a uno qualsiasi dei suoi obblighi ai sensi della Clausola 3 o della Clausola 11 perché l'Esportatore dei dati è fisicamente scomparso, ha cessato di esistere legalmente o è diventato insolvente, l'Importatore dei dati accetta che l'interessato possa presentare un reclamo contro di lui come se fosse l'Esportatore dei dati a meno che tutti gli obblighi legali dell'Esportatore dei dati non siano stati trasferiti, per contratto o per effetto di legge, alla sua entità successore, contro la quale l'interessato può quindi far valere i suoi diritti. L'Importatore dei dati non può fare affidamento su una violazione dei suoi obblighi da parte di un responsabile del trattamento per evitare la propria responsabilità.

3. Se un interessato è impedito a intentare l'azione di cui ai paragrafi 1 e 2 contro l'Esportatore dei dati o l'Importatore dei dati per violazione da parte del responsabile del trattamento dei suoi obblighi ai sensi della Clausola 3 o della Clausola 11 perché l'Esportatore dei dati e l'Importatore dei dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono diventati insolventi, il responsabile del trattamento accetta che l'interessato possa presentare un reclamo contro di lui riguardo alle proprie attività di trattamento in conformità a queste clausole come se fosse l'Esportatore dei dati o l'Importatore dei dati a meno che tutti gli obblighi legali dell'Esportatore dei dati o dell'Importatore dei dati non siano stati trasferiti, per contratto o per effetto di legge, al successore legale, contro il quale l'interessato può quindi far valere i suoi diritti. La responsabilità del responsabile del trattamento deve essere limitata alle proprie attività di trattamento in conformità a queste clausole.

 

Clausola 7

Mediazione e giurisdizione

1. L'Importatore dei dati accetta che se ai sensi delle clausole l'interessato invoca contro di lui il diritto del terzo beneficiario e/o richiede un risarcimento per il danno subito, accetterà la decisione dell'interessato:

a) di sottoporre la controversia a mediazione da parte di una persona indipendente o, se del caso, dell'autorità di controllo;

b) di portare la controversia davanti ai tribunali dello Stato membro in cui l'Esportatore dei dati ha sede.

2. Le parti concordano che la scelta fatta dall'interessato non pregiudica il diritto processuale o sostanziale dell'interessato di ottenere un risarcimento in conformità ad altre disposizioni del diritto nazionale o internazionale.

Clausola 8

Cooperazione con le autorità di controllo

1. L'Esportatore dei dati accetta di depositare una copia del presente contratto presso l'autorità di controllo se quest'ultima lo richiede o se tale deposito è previsto dalla legge applicabile sulla protezione dei dati.

2. Le parti concordano che l'autorità di controllo può effettuare controlli presso l'Importatore dei dati e qualsiasi responsabile del trattamento nella stessa misura e alle stesse condizioni dei controlli effettuati presso l'Esportatore dei dati in conformità alla legge applicabile sulla protezione dei dati.

3. L'Importatore dei dati informerà l'Esportatore dei dati il prima possibile dell'esistenza di una legislazione che riguarda l'Importatore dei dati o qualsiasi responsabile del trattamento che impedisce la verifica presso l'Importatore dei dati o qualsiasi responsabile del trattamento ai sensi del paragrafo 2. In tal caso, l'Esportatore dei dati può adottare le misure previste nella Clausola 5 (b).

Clausola 9

Legge applicabile

Le clausole si applicano e sono disciplinate dalla legge dello Stato membro in cui l'Esportatore dei dati ha sede.

Clausola 10

Modifica del contratto

Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di includere altre clausole commerciali che ritengano necessarie, purché non contraddicano le presenti clausole.

Clausola 11

Subappalto successivo

1. L'Importatore dei dati non subappalterà nessuna delle sue attività di trattamento svolte per conto dell'Esportatore dei dati ai sensi di queste clausole senza il previo consenso scritto dell'Esportatore dei dati. L'Importatore dei dati subappalterà i propri obblighi ai sensi di queste Clausole, con il consenso dell'Esportatore dei dati, tramite un accordo scritto con il responsabile del trattamento che imponga a quest'ultimo gli stessi obblighi imposti all'Importatore dei dati ai sensi di queste Clausole. Se il responsabile del trattamento non può rispettare i suoi obblighi di protezione dei dati ai sensi di tale accordo scritto, l'Importatore dei dati rimarrà pienamente responsabile nei confronti dell'Esportatore dei dati per l'adempimento di tali obblighi.

2. Il preventivo accordo scritto tra l'Importatore dei dati e il responsabile del trattamento includerà anche una clausola a favore di terzi come previsto nella Clausola 3 per i casi in cui l'interessato sia impedito a presentare la richiesta di risarcimento danni di cui alla Clausola 6 (1), contro l'Esportatore dei dati o l'Importatore dei dati perché l'Esportatore dei dati o l'Importatore dei dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono diventati insolventi e tutti gli obblighi legali dell'Esportatore dei dati o dell'Importatore dei dati non sono stati trasferiti, per contratto o per effetto di legge, a un'altra entità successore. La responsabilità del responsabile del trattamento deve essere limitata alle proprie attività di trattamento in conformità a queste clausole.

3. Le disposizioni relative agli aspetti di protezione dei dati del subappalto del trattamento dati del contratto di cui al paragrafo 1 saranno disciplinate dalla legge dello Stato membro in cui l'Esportatore dei dati è stabilito.

4. L'Esportatore dei dati terrà un elenco dei contratti di subappalto del trattamento dati conclusi ai sensi di queste Clausole e notificati dall'Importatore dei dati in conformità alla Clausola 5 (j), che sarà aggiornato almeno una volta all'anno. Tale elenco sarà messo a disposizione dell'autorità di controllo della protezione dei dati dell'Esportatore dei dati.

Clausola 12

Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti concordano che al termine dei servizi di trattamento dati, l'Importatore dei dati e il responsabile del trattamento restituiranno, a scelta dell'Esportatore dei dati, tutti i dati personali trasferiti e le copie degli stessi all'Esportatore dei dati, o distruggeranno tutti tali dati e forniranno prova della distruzione all'Esportatore dei dati, salvo che la legislazione imposta all'Importatore dei dati ne impedisca la restituzione o la distruzione totale o parziale. In tal caso, l'Importatore dei dati garantisce che assicurerà la riservatezza dei dati personali trasferiti e che non tratterà più attivamente i dati.

2. L'Importatore dei dati e il responsabile del trattamento garantiranno che, se richiesto dall'Esportatore dei dati e/o dall'autorità di controllo, sottoporranno i propri mezzi di trattamento dati a verifica delle misure di cui al paragrafo 1.

 

 

 

 

Appendice 1.1 alla Parte 2

Dettagli del trasferimento

 

 

Esportatore dei dati

L'Esportatore dei dati è il Cliente definito nell'accordo contrattuale.

 

Importatore dei dati

L'Importatore dei dati è IQUALIF ed è incaricato di trattare i dati, fornendo servizi all'Esportatore dei dati.

 

Soggetti dei dati

I dati personali trasferiti riguardano le seguenti categorie di interessati:

☒ abbonati telefonici elencati nell'elenco universale

☐ Altri, inclusi:

 

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

 

Categorie di dati personali degli interessati dell'Esportatore dei dati in particolare,

☒ Nome completo

☒ Indirizzo postale

☒ Dettagli di contatto (e-mail, telefono, indirizzo IP, ecc.)

☒ Dettagli delle attività di marketing riguardanti l'abbonato telefonico

☒ Altri, inclusi il tipo di abitazione, reddito e età media per città in forma anonima

 

Categorie particolari di dati (se applicabile)

I dati personali trasferiti riguardano le seguenti categorie particolari di dati:

☒ Il trasferimento di categorie particolari di dati non è previsto

☐ Razza o origine etnica

☐ Convinzioni religiose o filosofiche

☐ Appartenenza sindacale

☐ Opinioni politiche

☐ Informazioni genetiche

☐ Informazioni biometriche

☐ Informazioni sull'orientamento sessuale o sulla vita sessuale

☐ Dati sulla salute

 

Attività di trattamento

I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base:

 

  •  
    •  Finalità del trattamento

Il trattamento effettuato per conto dell'Esportatore dei dati si basa in particolare sui seguenti soggetti:

☒ Gestione dei prodotti o servizi offerti dall'Esportatore dei dati

☒ Offerta di un prodotto o servizio che la persona chiamata può richiedere

☒ Ordini ricevuti dalle persone chiamate e ulteriore trattamento di tali ordini

☒ Questionari di studio e analisi

☒ Telemarketing

☐ Altri, inclusi:

 

  •  
    •  Natura e finalità del trattamento

L'Importatore dei dati tratta i dati personali degli interessati per conto dell'Esportatore dei dati, al fine di fornire i seguenti servizi, in particolare:

☒ Vendite e Marketing

☒ Altri, inclusi l'aggiornamento di database di comuni e partiti politici

 

  •  
    •  Fornitura di servizi e impiego di fornitori di servizi

 

IQUALIF principalmente combina, centralizza e fornisce servizi all'Esportatore dei dati. I servizi forniti dal suddetto fornitore di servizi possono essere strutturati (tra gli altri, se appropriato) attorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi e infrastrutture IT in relazione ai centri di trattamento dati utilizzati, al fine di fornire e supportare i servizi, incluso il trattamento dei dati personali degli interessati come sopra descritto, tramite tali applicazioni, strumenti e sistemi, (ii) la fornitura di supporto IT, manutenzione e altri servizi relativi a tali applicazioni, strumenti, sistemi e infrastrutture IT, incluso l'accesso potenziale ai dati personali memorizzati in tali applicazioni, strumenti e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione e servizi di risposta agli incidenti, incluso l'accesso potenziale ai dati personali durante la fornitura di tali servizi di protezione. IQUALIF può incaricare responsabili del trattamento come indicato di seguito per fornire i servizi, inclusi i servizi accessori.

 

  •  
    • • Fornitori di servizi esterni terzi come sub-entità incaricate del trattamento dati

 

IQUALIF incarica fornitori di servizi esterni e terzi, che non sono filiali di IQUALIF, per supportare la fornitura di servizi all'Esportatore dei dati. L'Esportatore dei dati approva tali fornitori di servizi esterni terzi come sub-entità incaricate del trattamento dati.

 

Se una sub-entità coinvolta nel trattamento dati si trova al di fuori dell'UE/SEE, in un paese ritenuto non avere un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione Europea, l'Importatore dei dati adotterà misure per ottenere un livello adeguato di protezione dei dati in conformità al GDPR e alla sezione 3.4 (iv) della Parte 1.

 

 

Appendice 2, Parte 2

Misure tecniche e organizzative di protezione

 

L'Importatore dei dati adotterà le seguenti misure tecniche e organizzative di protezione confermate dall'Esportatore dei dati, al fine di garantire un livello adeguato di sicurezza per i diritti e le libertà delle persone, a seconda dei rischi. Nella valutazione del livello di protezione interessato, l'Esportatore dei dati ha considerato, in particolare, i rischi connessi al trattamento, inclusa la distruzione accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o altrimenti trattati. Per chiarire: queste misure tecniche e organizzative di protezione non si applicano alle applicazioni, strumenti, sistemi e/o infrastrutture IT forniti dall'Esportatore dei dati.

1 Misure generali tecniche e organizzative di protezione
1.1 Informazioni generali e strategie di protezione dei dati
Devono essere adottati i seguenti passaggi per seguire strategie generali di protezione dei dati e delle informazioni:
  • a) adottare misure per valutare quelle adottate riguardo alla protezione tecnica e organizzativa;
  • b) fornire formazione per sensibilizzare i dipendenti;
  • c) avere una descrizione dei sistemi interessati e concedere l'accesso ai dipendenti;
  • d) stabilire un processo formale di documentazione ogni volta che i sistemi sono implementati o modificati;
  • e) documentare la struttura organizzativa, i processi, le responsabilità e le rispettive valutazioni;
 
1.2 Organizzazione della protezione delle informazioni
Devono essere adottate le seguenti misure per coordinare le attività di protezione dei dati e delle informazioni:
  • a) responsabilità definite per la protezione delle informazioni e dei dati (ad esempio tramite la politica di gestione della protezione dei dati);
  • b) mantenere disponibile l'esperienza necessaria per la protezione delle informazioni e dei dati;
  • c) tutti i dipendenti si impegnano a garantire che i dati personali siano mantenuti riservati e sono stati informati delle potenziali conseguenze della violazione di tale impegno.
 
1.3 Controllo degli accessi alle aree di trattamento
Devono essere adottate le seguenti misure per impedire a persone non autorizzate di accedere ai sistemi di trattamento dati (in particolare software e hardware) quando i dati personali sono trattati, memorizzati o trasmessi:
  • a) stabilire aree sicure;
  • b) proteggere e limitare l'accesso ai sistemi di trattamento dati;
  • c) stabilire autorizzazioni di accesso per dipendenti e terzi, inclusi i relativi documenti;
  • d) qualsiasi accesso ai centri di trattamento dati in cui sono memorizzati dati personali deve essere registrato.
 
1.4 Controllo degli accessi ai sistemi di trattamento dati
Devono essere adottate le seguenti misure per prevenire l'accesso non autorizzato ai sistemi di trattamento dati:
  • a) politiche e procedure di autenticazione degli utenti;
  • b) uso di password su tutti i sistemi informatici;
  • c) l'accesso remoto alla rete richiede l'autenticazione multifattoriale ed è concesso alla persona interessata in base alle sue responsabilità e previa autorizzazione;
  • d) l'accesso a funzioni specifiche si basa sulle funzioni lavorative e/o attributi assegnati individualmente all'account di un utente;
  • e) i diritti di accesso relativi ai dati personali sono rivisti regolarmente;
  • f) i registri delle modifiche ai diritti di accesso sono mantenuti aggiornati.
 
1.5 Controllo dell'accesso a particolari aree di utilizzo dei sistemi di trattamento dati
Devono essere adottate le seguenti misure per garantire che le persone autorizzate con il diritto di utilizzare il sistema di trattamento dati possano accedere solo ai dati nell'ambito delle rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione:
  1.  
    1. a) politiche, istruzioni e formazione dei dipendenti, riguardanti gli obblighi di ciascuno in materia di riservatezza, diritti di accesso ai dati personali e ambito del trattamento dei dati personali;
  • b) misure disciplinari contro persone che accedono ai dati personali senza autorizzazione;
  • c) l'accesso ai dati personali deve essere concesso solo a persone autorizzate, secondo il principio del bisogno di sapere;
  • d) mantenere un elenco degli amministratori di sistema e adottare misure appropriate per monitorarli;
  • e) non copiare o riprodurre dati personali su alcun sistema di archiviazione per consentire a persone non autorizzate di rimuovere le informazioni del mittente;
  • f) cancellazione o distruzione controllata e documentata dei dati;
  • g) conservare in modo sicuro tutti i dati personali che devono essere trattenuti per motivi legali o normativi (ad esempio obblighi di conservazione dei dati), e solo per il tempo richiesto dalla legge.
 
1.6 Controllo delle trasmissioni
Devono essere adottate le seguenti misure per impedire che i dati personali siano letti, copiati, modificati o cancellati da terzi non autorizzati durante la trasmissione o il trasporto di dispositivi di memorizzazione dati (a seconda del trattamento dei dati personali effettuato):
  1.  
    1. a) uso di firewall;
  • b) evitare la memorizzazione di dati personali su dispositivi di memorizzazione mobili per scopi di trasporto, o crittografare i dispositivi;
  • c) uso su laptop e altri dispositivi mobili solo dopo che la protezione di crittografia è stata attivata;
  • d) registrazione delle trasmissioni di dati personali.
 
1.7 Controllo dell'inserimento dati
Devono essere adottate le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati inseriti o cancellati dai sistemi di trattamento dati e da chi:
  1.  
    1. a) una politica per autorizzare la lettura, la modifica e la cancellazione dei dati memorizzati;
  • b) misure di protezione riguardanti la lettura, la modifica e la cancellazione dei dati memorizzati.
 
1.8 Controllo del lavoro
In caso di trattamento delegato di dati personali, devono essere adottate le seguenti misure per garantire che tali dati siano trattati in conformità alle istruzioni del Titolare:
  1.  
    1. a) entità o sub-entità incaricate del trattamento dati, scelte con cura (fornitori di servizi che trattano dati personali per conto del titolare);
  • b) istruzioni riguardanti l'ambito di qualsiasi trattamento di dati personali ai dipendenti, entità o sub-entità incaricate del trattamento dati;
  • c) diritti di audit concordati con le entità o sub-entità incaricate del trattamento dati;
  • d) accordi in essere con le entità o sub-entità incaricate del trattamento dati.
 
1.9 Separazione dal trattamento per altri scopi
Devono essere adottate le seguenti misure per garantire che i dati raccolti per altri scopi possano essere trattati separatamente:
  1.  
    1. a) accesso separato ai dati personali in conformità ai diritti esistenti degli utenti;
  • b) interfacce, elaborazione batch e reportistica sono per altri scopi e funzioni, in modo che i dati raccolti per altri scopi possano essere trattati separatamente.
 
1.10 Pseudonimizzazione
Devono essere adottate le seguenti misure riguardanti la pseudonimizzazione dei dati personali:
  1.  
    1. a) Se l'Esportatore dei dati ordina una specifica operazione di trattamento o se ciò è ritenuto appropriato dall'Importatore dei dati in conformità alle leggi sulla protezione dei dati in vigore riguardo a determinate attività di trattamento, il trattamento dei dati personali sarà effettuato in modo tale che i dati non possano più essere attribuiti a una persona specifica senza l'uso di informazioni aggiuntive. Queste informazioni aggiuntive saranno conservate separatamente;
  • b) uso di tecniche di pseudonimizzazione, inclusa la randomizzazione delle liste di allocazione; creazione di valori in forma di hash.
 
1.11 Crittografia

Devono essere adottati i seguenti passaggi per crittografare i dati personali nelle applicazioni e nelle trasmissioni che supportano la crittografia:

  1.  
    1. a) uso di tecniche di crittografia;
  • b) istituzione di una gestione della crittografia per supportare le tecniche di crittografia autorizzate;
  • c) supporto all'uso della crittografia tramite procedure e protocolli per generare, modificare, revocare, distruggere, distribuire, certificare, conservare, acquisire, utilizzare e archiviare chiavi crittografiche per proteggere contro modifiche e divulgazioni non autorizzate.
 
1.12 Completezza dei sistemi e servizi di trattamento dati
Devono essere adottate le seguenti misure per garantire la completezza dei sistemi e servizi di trattamento dati:
  1. a) protezione dei sistemi di trattamento dati contro manipolazioni o distruzioni con mezzi appropriati (ad esempio software antivirus, software di prevenzione della perdita di dati e software contro malware, patch software, firewall e protezione desktop gestita);
  • b) vietare l'installazione di qualsiasi servizio o software dannoso per i sistemi di trattamento dati, i servizi o la manipolazione dei dati personali;
  • c) uso di un sistema di rilevamento e prevenzione delle intrusioni di rete nella struttura stessa della rete.
 
1.13 Disponibilità dei sistemi e servizi di trattamento dati e possibilità di ripristinare l'accesso e l'uso dei dati personali in caso di incidente materiale o tecnico
Devono essere adottate le seguenti misure per garantire la disponibilità dei sistemi di trattamento dati, nonché per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali, in caso di incidente materiale o tecnico (in particolare garantendo che i dati personali siano protetti contro distruzione o perdita accidentale):
  • a) disporre di mezzi di controllo per mantenere copie di backup e ripristinare dati persi o cancellati;
  • b) ridondanza infrastrutturale e test delle prestazioni;
  • c) protezione fisica delle risorse informatiche;
  • d) uso di strumenti per monitorare lo stato e la disponibilità della rete interna;
  • e) politiche di segnalazione e risposta agli incidenti che regolano la procedura di gestione degli incidenti, e reiterazione dell'adesione a tali politiche come parte della formazione regolare;
  • f) backup (talvolta fuori sede) per ripristinare il sistema e consentirne nuovamente le funzioni;
  • g) piani di continuità aziendale/recupero da disastri
 
1.14 Resilienza dei sistemi e servizi di trattamento dati
Devono essere adottate le seguenti misure per garantire la resilienza dei sistemi e servizi di trattamento dati:
  • a) sistemi configurati armoniosamente, utilizzando parametri di sicurezza approvati;
  • b) ridondanza della rete;
  • c) protezione di contenimento dei sistemi critici.
 
1.15 Procedura per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dati
Procedura per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per proteggere il trattamento dati.
  • a) adottare le misure necessarie per valutare i rischi e le strategie di mitigazione;
  • b) riunioni di analisi del servizio del reparto IT per affrontare questioni attuali;
  • c) i piani di continuità aziendale/recupero da disastri sono aggiornati regolarmente.

 

Parte 3

Firme delle parti e elenco degli Importatori dei dati

 

Quando si compila il modulo d'ordine online e lo si convalida spuntando la casella di accettazione delle condizioni generali di utilizzo, si stipula il contratto che regola il rapporto tra il Cliente e IQUALIF.

L'invio del pagamento a IQUALIF sarà considerato come accettazione e stipula del contratto.

Nota: Questo testo è stato tradotto dal francese. La versione originale francese, che è valida e legalmente vincolante, è disponibile qui.

FAQ

Come installare il software

Installazione del software

Per installare IQUALIF, basta cliccare su questo link per il download e installare la versione di prova.

📥 Passo 1: Download

Dopo il download, è possibile che il vostro browser o Chrome mostri un messaggio di avviso.

Questo può accadere per software recenti o poco diffusi.

In questo caso:

  • Fate clic con il tasto destro sul file scaricato
  • Cliccate su "Conserva" o "Apri comunque"

⚙️ Passo 2: Installazione

Al lancio del programma (doppio clic), Windows potrebbe mostrare un avviso di sicurezza (Windows Defender).

Questo accade semplicemente perché il software è ancora poco scaricato e non ha ancora un grande volume di storico sui server Microsoft.

Se appare questo messaggio:

  • Cliccate su "Informazioni aggiuntive" o sui tre puntini "..."
  • Poi selezionate "Esegui comunque" o "Apri comunque"

✅ Perché potete installare con fiducia?

IQUALIF è un software professionale pubblicato dal 2013.

Sviluppiamo soluzioni utilizzate quotidianamente da professionisti.

Questi messaggi di sicurezza sono automatici e legati unicamente al numero di download, e non al contenuto del software.

Qual è la differenza tra la versione di prova e la versione a pagamento

La versione di prova e la versione a pagamento offrono esattamente le stesse funzionalità.

La differenza è semplice:

  • La versione di prova è limitata a 3 giorni.
  • La versione a pagamento funziona il doppio più velocemente, per un risparmio di tempo ottimale quotidianamente.

Puoi così testare liberamente tutte le funzionalità, per poi usufruire appieno delle prestazioni massime con la versione completa

Cosa è incluso nel Piano

I Piani ti offrono un accesso completo a tutti i software IQUALIF per tutta la loro durata di validità.

Non appena confermi il tuo ordine, riceverai la tua chiave di attivazione via email in soli 5 minuti.

Se non la trovi, ricorda di controllare la cartella SPAM o posta indesiderata.

Il rinnovo automatico è senza impegno: puoi annullarlo in qualsiasi momento dal tuo spazio cliente.

I tuoi dati di accesso ti vengono inviati via email dopo aver effettuato l’ordine.

E naturalmente, siamo disponibili tramite chat, email o telefono per qualsiasi domanda.

Cos'è la velocità

Una velocità adatta alle tue esigenze

IQUALIF ti permette di recuperare i dati al tuo ritmo, in base al volume di cui hai bisogno.

Versione di prova

Fino a 400 contatti all’ora

(ideale per scoprire e testare tutte le funzionalità)

Versione a pagamento

  • Velocità standard : fino a 800 contatti all’ora
  • Velocità 5x : fino a 4.000 contatti all’ora
  • Velocità 10x : fino a 8.000 contatti all’ora

Puoi scegliere la velocità più adatta alla tua attività e puoi modificarla in qualsiasi momento.

La velocità può variare in base alla fonte selezionata.

Ci sono sconti?

Promozioni occasionali sono offerte durante tutto l’anno, senza un calendario fisso.

Vengono inoltre applicati sconti ai nostri clienti fedeli, con tariffe decrescenti in base alla anzianità.

Per saperne di più, non esitate a contattarci via email o telefono

Ho bisogno di assistenza o di una dimostrazione a distanza

Puoi contattarci tramite chat, email o telefono: il nostro team sarà felice di assisterti.

Se necessario, possiamo intervenire direttamente sul tuo computer tramite uno strumento sicuro di assistenza remota, per aiutarti in modo rapido ed efficace.

Ho appena effettuato un ordine, come posso attivare il mio prodotto

  1. Ouvri IQUALIF.
  2. Clicca in alto a sinistra sul menu ?, poi su Licenza.
  3. Nella finestra che si apre, copia la chiave ricevuta via email e clicca su OK.

Apparirà un messaggio di conferma per indicarti che il tuo prodotto è stato attivato correttamente.