Clausole contrattuali standard SEE

 

Efficace: 30 maggio 2024

 

 

Clausole contrattuali standard (responsabili del trattamento)

 

Titolare del trattamento dei dati come definito nel Contratto di elaborazione dei dati (l'" esportatore di dati "),

 

E

 

Bendata, con sede in Italia , se l'esportatore di dati trasferisce dati personali a Bendata ai sensi del Contratto di elaborazione dati;

 

(l'entità Bendata pertinente sopra descritta è denominata " importatore di dati "),

 

ciascuno una “parte”; insieme “le parti”,

 

HANNO CONVENUTO le seguenti Clausole Contrattuali (le “Clausole”) al fine di fornire adeguate garanzie con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell’esportatore di dati all’importatore di dati dei dati personali specificati nell’Appendice 1.

 

 

SEZIONE I

Clausola 1

Scopo e ambito

(UN)  Lo scopo di queste clausole contrattuali tipo è garantire la conformità ai requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (1) per il trasferimento di dati personali verso un paese terzo.

(b) Le Parti:

(io)   la/le persona/e fisica/e o giuridica/e, l'autorità/le autorità pubblica/e, l'agenzia/le agenzie o altro/i organismo/i (di seguito "entità/i") che trasferisce/ono i dati personali, come elencati nell'allegato I. A (di seguito "esportatore/i di dati"), e

(ii) l'entità/le entità in un paese terzo che ricevono i dati personali dall'esportatore di dati, direttamente o indirettamente tramite un'altra entità anch'essa Parte delle presenti Clausole, come elencato nell'Allegato I.A (di seguito ciascun "importatore di dati")

hanno accettato le presenti clausole contrattuali standard (di seguito: "Clausole").

(C)  Le presenti clausole si applicano al trasferimento dei dati personali come specificato nell'allegato IB

(d) L'Appendice alle presenti Clausole contenente gli Allegati ivi richiamati costituisce parte integrante delle presenti Clausole.

Clausola 2

Efficacia e invariabilità delle clausole

(UN)  Le presenti Clausole stabiliscono garanzie adeguate, inclusi diritti azionabili degli interessati e rimedi giurisdizionali efficaci, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai titolari del trattamento ai responsabili del trattamento e/o dai responsabili del trattamento ai responsabili del trattamento, clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non vengano modificate, se non per selezionare il/i Modulo/i appropriato/i o per aggiungere o aggiornare informazioni nell'Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali tipo previste dalle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, a condizione che non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

(b) Le presenti clausole non pregiudicano gli obblighi a cui l'esportatore di dati è soggetto in virtù del regolamento (UE) 2016/679.

 

 

Clausola 3

Terzi beneficiari

(UN)  Gli interessati possono invocare e far rispettare le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore dei dati, con le seguenti eccezioni:

(io)   Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

(ii) Clausola 8.1(b), 8.9(a), (c), (d) e (e);

(iii) Clausola 9 – Clausola 9(a), (c), (d) e (e);

(iv) Clausola 12 – Clausola 12(a), (d) e (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) e (e);

(vii) Clausola 16(e);

(viii) Clausola 18 – Clausola 18(a) e (b);

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

Clausola 4

Interpretazione

(UN)  Laddove nelle presenti clausole vengano utilizzati termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di quelli previsti in tale regolamento.

(b) Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.

(C)  Le presenti clausole non devono essere interpretate in modo conflittuale con i diritti e gli obblighi previsti dal regolamento (UE) 2016/679.

 

 

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui le presenti Clausole vengono concordate o stipulate successivamente, prevarranno le presenti Clausole.

 

Clausola 6

Descrizione del/dei trasferimento/i

I dettagli del/dei trasferimento/i, e in particolare le categorie di dati personali trasferiti e le finalità per cui vengono trasferiti, sono specificati nell'allegato IB.

 

Clausola 7

Clausola di ancoraggio

(UN)  Un'entità che non è Parte delle presenti Clausole può, con l'accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, compilando l'Appendice e firmando l'Allegato IA.

(b) Una volta completata l'Appendice e firmato l'Allegato IA, l'entità aderente diventerà Parte di queste Clausole e avrà i diritti e gli obblighi di un esportatore o importatore di dati in conformità con la sua designazione nell'Allegato IA.

(C)  L'entità aderente non avrà diritti od obblighi derivanti dalle presenti Clausole per il periodo precedente alla sua adesione.

 

 

 

 

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8

Garanzie sulla protezione dei dati

L'esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per determinare che l'importatore di dati sia in grado, mediante l'attuazione di misure tecniche e organizzative adeguate, di soddisfare i propri obblighi ai sensi delle presenti clausole.

8.1 Istruzioni

(UN)  L'importatore di dati tratterà i dati personali esclusivamente su istruzioni documentate dell'esportatore di dati. L'esportatore di dati potrà impartire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informa immediatamente l'esportatore di dati qualora non sia in grado di seguire tali istruzioni.

8.2 Limitazione dello scopo

L'importatore di dati tratterà i dati personali esclusivamente per le finalità specifiche del trasferimento, come indicato nell'allegato IB, salvo ulteriori istruzioni da parte dell'esportatore di dati.

8.3 Trasparenza

Su richiesta, l'esportatore di dati metterà a disposizione dell'interessato, gratuitamente, una copia delle presenti Clausole, inclusa l'Appendice compilata dalle Parti. Nella misura necessaria a tutelare segreti commerciali o altre informazioni riservate, comprese le misure descritte nell'Allegato II e i dati personali, l'esportatore di dati potrà omettere parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma dovrà fornirne un riassunto significativo qualora l'interessato non sarebbe altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniranno all'interessato le motivazioni delle omissioni, nella misura in cui ciò sia possibile senza rivelare le informazioni omesse. La presente Clausola non pregiudica gli obblighi dell'esportatore di dati ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679.

8.4 Precisione

Qualora l'importatore di dati si accorga che i dati personali ricevuti sono inesatti o obsoleti, ne informa senza indebito ritardo l'esportatore di dati. In tal caso, l'importatore di dati collabora con l'esportatore di dati per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati avrà luogo solo per la durata specificata nell'Allegato IB. Al termine della fornitura dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore di dati, cancellerà tutti i dati personali trattati per conto dell'esportatore di dati e certificarà all'esportatore di dati di averlo fatto, oppure restituirà all'esportatore di dati tutti i dati personali trattati per suo conto e cancellerà le copie esistenti. Fino alla cancellazione o alla restituzione dei dati, l'importatore di dati continuerà a garantire il rispetto delle presenti Clausole. Qualora siano applicabili leggi locali all'importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l'importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e che li tratterà solo nella misura e per il periodo richiesto da tale legge locale. Ciò non pregiudica la clausola 14, in particolare l'obbligo per l'importatore di dati ai sensi della clausola 14(e) di notificare all'esportatore di dati per tutta la durata del contratto se ha motivo di credere di essere o di essere diventato soggetto a leggi o pratiche non conformi ai requisiti di cui alla clausola 14(a).

8.6 Sicurezza del trattamento

(UN)  L'importatore di dati e, durante la trasmissione, anche l'esportatore di dati, adottano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da violazioni della sicurezza che comportino accidentalmente o illecitamente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare l'adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi connessi al trattamento per gli interessati. Le Parti valutano in particolare il ricorso alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, ove la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per attribuire i dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell'esportatore di dati. Nell'adempimento degli obblighi previsti dal presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative specificate nell'Allegato II. L'importatore di dati effettua controlli periodici per garantire che tali misure continuino a garantire un livello di sicurezza adeguato.

(b) L'importatore di dati concede l'accesso ai dati personali al proprio personale solo nella misura strettamente necessaria all'esecuzione, alla gestione e al monitoraggio del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

(C)  In caso di violazione dei dati personali relativi ai dati personali trattati dall'importatore ai sensi delle presenti Clausole, l'importatore adotta misure appropriate per porre rimedio alla violazione, comprese misure volte ad attenuarne gli effetti negativi. L'importatore ne informa inoltre l'esportatore senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto presso cui è possibile ottenere ulteriori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e un numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per porre rimedio alla violazione, comprese, se del caso, misure volte ad attenuarne i possibili effetti negativi. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento e ulteriori informazioni, non appena disponibili, sono successivamente fornite senza indebito ritardo.

d) L'importatore di dati collabora con l'esportatore di dati e lo assiste per consentire a quest'ultimo di rispettare i propri obblighi ai sensi del regolamento (UE) 2016/679, in particolare, di notificare all'autorità di controllo competente e agli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore di dati.

8.7 Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, oppure dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'importatore dei dati applica le restrizioni specifiche e/o le garanzie aggiuntive descritte nell'allegato IB.

8.8 Trasferimenti successivi

L'importatore di dati comunicherà i dati personali a terzi solo su istruzioni documentate dell'esportatore di dati. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell'Unione Europea (4) (nello stesso Paese dell'importatore di dati o in un altro Paese terzo, di seguito "trasferimento successivo") solo se il terzo è o accetta di essere vincolato dalle presenti Clausole, ai sensi del Modulo appropriato, oppure se:

(UN)  il trasferimento successivo avviene verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;

b) il terzo fornisca altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 rispetto al trattamento in questione;

(C)  il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di rivendicazioni legali nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

d) il trasferimento successivo è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica.

Ogni ulteriore trasferimento è subordinato al rispetto, da parte dell'importatore dei dati, di tutte le altre garanzie previste dalle presenti Clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

(UN)  L'importatore di dati dovrà rispondere tempestivamente e adeguatamente alle richieste di informazioni dell'esportatore di dati relative al trattamento ai sensi delle presenti clausole.

(b) Le Parti devono essere in grado di dimostrare il rispetto delle presenti Clausole. In particolare, l'importatore di dati deve conservare un'adeguata documentazione sulle attività di trattamento svolte per conto dell'esportatore di dati.

(C)  L'importatore di dati metterà a disposizione dell'esportatore di dati tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nelle presenti Clausole e, su richiesta dell'esportatore di dati, consentirà e contribuirà a effettuare audit delle attività di trattamento contemplate dalle presenti Clausole, a intervalli ragionevoli o qualora vi siano indicazioni di non conformità. Nel decidere in merito a un riesame o a un audit, l'esportatore di dati potrà tenere conto delle certificazioni pertinenti in suo possesso.

(d) L'esportatore di dati può scegliere di condurre la verifica autonomamente o di incaricare un revisore indipendente. Le verifiche possono includere ispezioni presso i locali o le strutture fisiche dell'importatore di dati e, ove opportuno, devono essere effettuate con ragionevole preavviso.

(e)  Le Parti mettono a disposizione dell'autorità di vigilanza competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9

Utilizzo di sub-responsabili

(UN)  L'importatore di dati dispone dell'autorizzazione generale dell'esportatore di dati per l'assunzione di sub-responsabili del trattamento da un elenco concordato. L'importatore di dati è tenuto a informare specificamente e per iscritto l'esportatore di dati di eventuali modifiche previste a tale elenco mediante l'aggiunta o la sostituzione di sub-responsabili del trattamento con almeno quattordici giorni di anticipo, concedendo così all'esportatore di dati tempo sufficiente per opporsi a tali modifiche prima dell'assunzione dei sub-responsabili del trattamento. L'importatore di dati è tenuto a fornire all'esportatore di dati le informazioni necessarie per consentirgli di esercitare il proprio diritto di opposizione.

(b) Qualora l'importatore di dati incarichi un sub-responsabile del trattamento per svolgere specifiche attività di trattamento (per conto dell'esportatore di dati), dovrà farlo tramite un contratto scritto che preveda, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l'importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti di terzo beneficiario per gli interessati. (8) Le Parti convengono che, conformandosi alla presente Clausola, l'importatore di dati adempie ai propri obblighi ai sensi della Clausola 8.8. L'importatore di dati dovrà garantire che il sub-responsabile del trattamento rispetti gli obblighi a cui è soggetto l'importatore di dati ai sensi delle presenti Clausole.

(C)  L'importatore di dati è tenuto a fornire, su richiesta dell'esportatore di dati, una copia di tale accordo di sub-responsabilità e di eventuali successive modifiche all'esportatore di dati. Nella misura necessaria a tutelare segreti aziendali o altre informazioni riservate, inclusi i dati personali, l'importatore di dati può redigere il testo dell'accordo prima di condividerne una copia.

(d) L'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile ai sensi del contratto con l'importatore di dati. L'importatore di dati è tenuto a notificare all'esportatore di dati qualsiasi inadempimento da parte del sub-responsabile agli obblighi previsti da tale contratto.

(e)  L'importatore di dati dovrà concordare con il sub-responsabile una clausola di terzo beneficiario in base alla quale, nel caso in cui l'importatore di dati sia scomparso di fatto, abbia cessato di esistere giuridicamente o sia diventato insolvente, l'esportatore di dati avrà il diritto di recedere dal contratto con il sub-responsabile e di incaricare il sub-responsabile di cancellare o restituire i dati personali.

Clausola 10

Diritti dell'interessato

(UN)  L'importatore di dati è tenuto a informare tempestivamente l'esportatore di dati di qualsiasi richiesta ricevuta da un interessato. Non risponderà direttamente a tale richiesta, salvo autorizzazione dell'esportatore di dati.

b) L'importatore di dati assiste l'esportatore di dati nell'adempimento dei propri obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679. A tale riguardo, le Parti stabiliscono nell'Allegato II le misure tecniche e organizzative appropriate, tenendo conto della natura del trattamento, mediante le quali sarà fornita l'assistenza, nonché l'ambito e la portata dell'assistenza richiesta.

(C)  Nell'adempimento degli obblighi previsti dai paragrafi (a) e (b), l'importatore dei dati deve attenersi alle istruzioni dell'esportatore dei dati.

Clausola 11

Risarcimento

(UN)  L'importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, tramite avviso individuale o sul proprio sito web, circa un punto di contatto autorizzato a gestire i reclami. L'importatore è tenuto a trattare tempestivamente qualsiasi reclamo ricevuto da un interessato.

(b) In caso di controversia tra un interessato e una delle Parti in merito al rispetto delle presenti Clausole, tale Parte si impegnerà al massimo per risolvere la questione in via amichevole e tempestiva. Le Parti si terranno reciprocamente informate di tali controversie e, ove opportuno, coopereranno alla loro risoluzione.

(C)  Qualora l'interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore dei dati accetterà la decisione dell'interessato di:

(io)     proporre reclamo all'autorità di controllo dello Stato membro in cui risiede abitualmente o lavora, oppure all'autorità di controllo competente ai sensi della clausola 13;

(ii)     deferire la controversia ai tribunali competenti ai sensi della clausola 18.

d) Le Parti accettano che l'interessato possa essere rappresentato da un organismo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni stabilite dall'articolo 80(1) del regolamento (UE) 2016/679.

(e)  L'importatore di dati dovrà attenersi a una decisione vincolante ai sensi della normativa applicabile dell'UE o dello Stato membro.

(F)  L'importatore dei dati accetta che la scelta effettuata dall'interessato non pregiudicherà i suoi diritti sostanziali e procedurali di cercare rimedi in conformità alle leggi applicabili.

Clausola 12

Responsabilità

(UN)  Ciascuna Parte sarà responsabile nei confronti dell'altra/e Parte/i per qualsiasi danno causato all'altra/e Parte/i da qualsiasi violazione delle presenti Clausole.

(b) L'importatore di dati è responsabile nei confronti dell'interessato, e l'interessato ha diritto a ricevere un risarcimento, per eventuali danni materiali o immateriali che l'importatore di dati o il suo sub-responsabile del trattamento causa all'interessato violando i diritti del terzo beneficiario previsti dalle presenti clausole.

(C)  Fatto salvo il paragrafo (b), l'esportatore di dati sarà responsabile nei confronti dell'interessato, e quest'ultimo avrà diritto al risarcimento, per qualsiasi danno materiale o immateriale che l'esportatore di dati o l'importatore di dati (o il suo sub-responsabile) cagioni all'interessato violando i diritti del terzo beneficiario previsti dalle presenti Clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti convengono che, se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per danni causati dall'importatore di dati (o dal suo sub-responsabile), avrà diritto a reclamare dall'importatore di dati la parte del risarcimento corrispondente alla responsabilità dell'importatore di dati per il danno.

(e)  Qualora più Parti siano responsabili di qualsiasi danno causato all'interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno solidalmente responsabili e l'interessato ha il diritto di intentare un'azione legale contro una qualsiasi di tali Parti.

(F)  Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà diritto a richiedere all'altra Parte/alle altre Parti la parte del risarcimento corrispondente alla propria/loro responsabilità per il danno.

(g) L'importatore di dati non può invocare la condotta di un sub-responsabile per sottrarsi alla propria responsabilità.

Clausola 13

Supervisione

(UN)  Le parti convengono che l'autorità di controllo responsabile di garantire il rispetto da parte dell'esportatore di dati del regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati sarà l'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens), che agirà in qualità di autorità di controllo competente.

(b) L'importatore di dati si impegna a sottoporsi alla giurisdizione dell'autorità di controllo competente e a collaborare con essa in tutte le procedure volte a garantire il rispetto delle presenti Clausole. In particolare, l'importatore di dati si impegna a rispondere alle richieste di informazioni, a sottoporsi a verifiche e a conformarsi alle misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. L'importatore dovrà fornire all'autorità di controllo conferma scritta dell'adozione delle misure necessarie.

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Leggi e pratiche locali che influenzano la conformità alle Clausole

(UN)  Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione siano applicabili al trattamento dei dati personali da parte dell'importatore di dati, compresi eventuali obblighi di divulgazione dei dati personali o misure che ne autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sulla consapevolezza che le leggi e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'articolo 23, paragrafo 1, del Regolamento (UE) 2016/679 non sono in contraddizione con le presenti Clausole.

(b) Le Parti dichiarano che nel fornire la garanzia di cui al paragrafo (a), hanno tenuto in debita considerazione in particolare i seguenti elementi:

(i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di archiviazione dei dati trasferiti;

(ii) le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o autorizzano l’accesso da parte di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (12);

(iii) tutte le pertinenti garanzie contrattuali, tecniche o organizzative messe in atto per integrare le garanzie previste dalle presenti Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

(C)  L'importatore di dati garantisce che, nell'effettuare la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'esportatore di dati le informazioni pertinenti e accetta che continuerà a collaborare con l'esportatore di dati per garantire il rispetto delle presenti clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di renderla disponibile all'autorità di vigilanza competente su richiesta.

(e)  L'importatore di dati accetta di informare tempestivamente l'esportatore di dati se, dopo aver accettato le presenti Clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indica un'applicazione pratica di tali leggi non in linea con i requisiti di cui al paragrafo (a).

(F)  A seguito di una notifica ai sensi del paragrafo (e), o qualora l'esportatore di dati abbia altrimenti motivo di ritenere che l'importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti Clausole, l'esportatore di dati individua tempestivamente le misure appropriate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l'esportatore di dati e/o l'importatore di dati dovranno adottare per affrontare la situazione. L'esportatore di dati sospende il trasferimento dei dati qualora ritenga che non possano essere fornite garanzie adeguate per tale trasferimento, o qualora riceva istruzioni in tal senso dall'autorità di controllo competente. In tal caso, l'esportatore di dati avrà il diritto di recedere dal contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Qualora il contratto coinvolga più di due Parti, l'esportatore di dati può esercitare tale diritto di recedere solo nei confronti della Parte interessata, salvo diverso accordo tra le Parti. Qualora il contratto venga risolto ai sensi della presente Clausola, si applicano le Clausole 16, lettere d) ed e).

Clausola 15

Obblighi dell'importatore dei dati in caso di accesso da parte delle autorità pubbliche

15.1 Notifica

(UN)  L'importatore di dati si impegna a notificare tempestivamente all'esportatore di dati e, ove possibile, all'interessato (se necessario con l'aiuto dell'esportatore di dati) se:

(i) riceve una richiesta giuridicamente vincolante da un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica deve includere informazioni sui dati personali richiesti, l'autorità richiedente, la base giuridica della richiesta e la risposta fornita; oppure

(ii) venga a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica deve includere tutte le informazioni a disposizione dell'importatore.

(b) Qualora all'importatore di dati sia vietato notificare all'esportatore di dati e/o all'interessato ai sensi delle leggi del paese di destinazione, l'importatore di dati si impegna a fare del suo meglio per ottenere una deroga a tale divieto, al fine di comunicare quante più informazioni possibili, il più presto possibile. L'importatore di dati si impegna a documentare i suoi sforzi al fine di poterli dimostrare su richiesta dell'esportatore di dati.

(C)  Laddove consentito dalle leggi del paese di destinazione, l'importatore dei dati accetta di fornire all'esportatore dei dati, a intervalli regolari per tutta la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedenti, eventuali contestazioni delle richieste e esito di tali contestazioni, ecc.).

(d) L'importatore dei dati accetta di conservare le informazioni di cui ai paragrafi (a) a (c) per tutta la durata del contratto e di renderle disponibili all'autorità di controllo competente su richiesta.

(e)  I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della clausola 14(e) e della clausola 16 di informare tempestivamente l'esportatore di dati qualora non sia in grado di conformarsi a tali clausole.

 

15.2 Revisione della legalità e minimizzazione dei dati

(UN)  L'importatore di dati si impegna a verificare la legittimità della richiesta di divulgazione, in particolare se essa rientra nei poteri conferiti all'autorità pubblica richiedente, e a contestare la richiesta qualora, dopo un'attenta valutazione, concluda che sussistono fondati motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del Paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di cortesia internazionale. L'importatore di dati, alle stesse condizioni, potrà presentare ricorso. In caso di contestazione della richiesta, l'importatore di dati dovrà richiedere misure provvisorie volte a sospenderne gli effetti fino a quando l'autorità giudiziaria competente non avrà deciso nel merito. Non dovrà divulgare i dati personali richiesti fino a quando non gli verrà richiesto dalle norme procedurali applicabili. Tali obblighi non pregiudicano gli obblighi dell'importatore di dati ai sensi della Clausola 14, lettera e).

(b) L'importatore di dati si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore di dati. Su richiesta, la metterà inoltre a disposizione dell'autorità di controllo competente.

(C)  L'importatore di dati accetta di fornire la quantità minima di informazioni consentita quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

SEZIONE IV – DISPOSIZIONI FINALI

Clausola 16

Inosservanza delle Clausole e risoluzione

(UN)  L'importatore di dati è tenuto a informare tempestivamente l'esportatore di dati qualora, per qualsiasi motivo, non sia in grado di rispettare le presenti clausole.

(b) Nel caso in cui l'importatore di dati violi le presenti Clausole o non sia in grado di rispettarle, l'esportatore di dati sospenderà il trasferimento dei dati personali all'importatore di dati fino a quando non sia nuovamente garantita la conformità o il contratto non sia risolto. Ciò non pregiudica la Clausola 14(f).

(C)  L'esportatore di dati ha il diritto di recedere dal contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, nei casi seguenti:

(i) l'esportatore di dati ha sospeso il trasferimento dei dati personali all'importatore di dati ai sensi del paragrafo (b) e la conformità alle presenti clausole non viene ripristinata entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l’importatore dei dati viola in modo sostanziale o persistente le presenti Clausole; o

(iii) l’importatore dei dati non rispetta una decisione vincolante di un tribunale competente o di un’autorità di vigilanza in merito ai propri obblighi ai sensi delle presenti clausole.

In tali casi, l'esportatore informa l'autorità di controllo competente di tale inadempimento. Qualora il contratto coinvolga più di due Parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, salvo diverso accordo tra le Parti.

(d) I dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) dovranno, a scelta dell'esportatore, essergli immediatamente restituiti o cancellati integralmente. Lo stesso vale per eventuali copie dei dati. L'importatore dei dati dovrà certificare l'avvenuta cancellazione dei dati all'esportatore stesso. Fino alla cancellazione o alla restituzione dei dati, l'importatore dei dati dovrà continuare a garantire il rispetto delle presenti Clausole. Qualora siano applicabili leggi locali all'importatore dei dati che vietino la restituzione o la cancellazione dei dati personali trasferiti, l'importatore dei dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e tratterà i dati solo nella misura e per il periodo richiesto da tali leggi locali.

(e)  Entrambe le Parti possono revocare il proprio consenso a essere vincolate dalle presenti Clausole qualora (i) la Commissione Europea adotti una decisione ai sensi dell'Articolo 45(3) del Regolamento (UE) 2016/679 che riguardi il trasferimento di dati personali a cui si applicano le presenti Clausole; o (ii) il Regolamento (UE) 2016/679 diventi parte integrante del quadro giuridico del Paese in cui i dati personali vengono trasferiti. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

 

Clausola 17

Legge applicabile

Le presenti Clausole sono disciplinate dalla legge dello Stato membro dell'UE in cui è stabilito l'esportatore di dati. Qualora tale legge non preveda diritti di terzi beneficiari, le stesse saranno disciplinate dalla legge di un altro Stato membro dell'UE che preveda tali diritti.

 

Clausola 18

Scelta del foro e della giurisdizione

(UN)  Ogni controversia derivante dalle presenti Clausole sarà risolta dai tribunali italiani.

(b) Le Parti convengono che la competenza territoriale sarà quella di Milano.

(C)  L'interessato può inoltre proporre ricorso contro l'esportatore e/o l'importatore di dati dinanzi ai tribunali dello Stato membro in cui risiede abitualmente.

(d) Le Parti concordano di sottoporsi alla giurisdizione di tali tribunali.

 

Appendice 1 alle clausole contrattuali standard di Bendata

 

La presente Appendice fa parte delle Clausole

 

Esportatore di dati L'esportatore di dati è l'entità giuridica non Bendata che è parte delle Clausole.

 

Importatore di dati. L'importatore dei dati è: Bendata 

se l'esportatore di dati trasferisce dati personali a Bendata  ai sensi del Contratto di elaborazione dati; o

 

Interessati. I dati personali trasferiti riguardano le seguenti categorie di interessati: gli interessati includono le persone i cui dati, originati nello SEE, vengono forniti a Bendata tramite i Servizi aziendali dall'esportatore di dati (o su sua indicazione).

 

Categorie di dati. I dati personali trasferiti riguardano le seguenti categorie di dati: Dati relativi a persone fisiche forniti a  Bendata tramite i Servizi aziendali da parte (o su indicazione di) dell'esportatore di dati, come specificato nell'Allegato 1: Dettagli sull'elaborazione dei dati del Contratto di elaborazione dei dati.

 

Categorie particolari di dati (se del caso) I dati personali trasferiti riguardano le seguenti categorie particolari di dati: Nessuna

 

Operazioni di trattamento Bendata tratterà i dati personali allo scopo di fornire i Servizi aziendali all'esportatore di dati in conformità e come descritto nel Contratto di elaborazione dei dati e nelle presenti Clausole.

 

 

Appendice 2 alle clausole contrattuali standard di Bendata

 

La presente Appendice costituisce parte integrante delle Clausole.

 

Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità alle Clausole 4(c) e 5(c). L'importatore di dati si attiene attualmente agli standard di sicurezza di cui all'Allegato 2 - Misure di sicurezza Bendata del Contratto di elaborazione dati. L'importatore di dati può aggiornare o modificare periodicamente tali standard di sicurezza.