La presente Appendice sul trattamento dei dati del Fornitore integra ed è inclusa per riferimento nei Termini e condizioni del servizio, insieme a qualsivoglia termine applicabile a qualsivoglia servizio aggiuntivo del Fornitore che hai scelto di utilizzare (i “Termini”) da e tra Te (o “Cliente”) e il Soggetto contraente BreedOS come stabilito nei Termini (“BreedOS”), che chiariscono gli obiettivi commerciali specifici e i servizi relativi all’Appendice sul trattamento dei dati. In caso di conflitto tra i Termini e la presente Appendice sul trattamento dei dati, l’Appendice sul trattamento dei dati prevale in relazione al trattamento dei tuoi Dati personali.

Nel caso in cui il trattamento dei Dati personali ai sensi dell’Appendice sul trattamento dei dati sia soggetta ai requisiti in materia di protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (“UK”) o in Svizzera, l’Appendice C integra la presente Appendice sul trattamento dei dati. In caso di conflitto tra l’Appendice C e altre sezioni della presente Appendice sul trattamento dei dati, l’Appendice C prevale in relazione al trattamento dei tuoi Dati personali soggetti ai requisiti di privacy vigenti nel SEE, nel Regno Unito e in Svizzera.

Tu e il Fornitore (singolarmente una “Parte”, insieme le “Parti”), accettate che la presente Appendice sul trattamento dei dati stabilisca gli obblighi delle Parti che regolano il trattamento dei tuoi Dati personali in relazione ai Termini e al Tuo utilizzo dei Servizi. Per fugare eventuali dubbi, la presente Appendice sul trattamento dei dati non si applica al trattamento da parte del Fornitore di qualsivoglia Dato personale in qualità di Titolare del trattamento dei dati, inclusi i Dati personali relativi ai Clienti che riceve come risultato della relazione diretta o dell’interazione intenzionale del Cliente con il Fornitore, così come mediante i servizi del Fornitore rivolti al consumatore.

I termini in maiuscolo utilizzati ma non definiti nella presente Appendice sul trattamento dei dati hanno lo stesso significato a loro attribuito nei Termini:

A. Legge/i applicabile/i sulla protezione dei dati: qualsivoglia legge sulla protezione dei dati o sulla privacy applicabile al trattamento dei tuoi Dati personali da parte del Fornitore ai sensi dei Termini, dei relativi regolamenti di attuazione e delle legislazioni secondarie, ciascuno dei quali può essere modificato, aggiornato o sostituito di volta in volta, inclusi (se applicabile, in base alla sede o alla residenza del Cliente e/o dei tuoi Clienti):

1. la Legge sulla protezione delle informazioni personali e dei documenti elettronici 2000 del Canada;

2. la (a) Legge sulla privacy dei consumatori della California, modificata dalla Legge sui diritti alla privacy della California, la (b) Legge sulla protezione dei dati dei consumatori della Virginia, la (c) Legge sulla privacy del Colorado, la (d) Legge sulla privacy dei dati del Connecticut, la (e) Legge sulla privacy dei consumatori dello Utah, la (f) Legge sulla privacy dei consumatori dell’Oregon, la (g) Legge sulla privacy e sulla sicurezza dei dati del Texas, la (h) Legge sulla privacy dei dati dei consumatori del Montana e (i) una volta in vigore, leggi simili sulla privacy in altri stati americani (insieme, “Leggi statunitensi sulla protezione dei dati”);

3. il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (“GDPR”) e qualsivoglia legge nazionale di attuazione applicabile;

4. la Direttiva e-Privacy dell’UE (Direttiva 2002/58/CE), come modificata (“Legge e-Privacy”);

5. il Regolamento generale sulla protezione dei dati del Regno Unito (“UK GDPR”) e la Legge sulla protezione dei dati del Regno Unito del 2018;

6. la Legge sulla protezione dei dati personali di Singapore del 2012; e

7. la Legge federale sulla protezione dei dati della Svizzera

B. Cliente: un individuo o un’entità che visita, si interessa a e/o acquista un prodotto, una merce o un servizio dal/dai tuo/tuoi Sito/i.

C. Dati personali: informazioni o dati definiti come “dati personali”, “informazioni personali” o “informazioni personali identificabili” (o termini analoghi) ai sensi delle Leggi sulla protezione dei dati applicabili dei o relative ai Tuoi Clienti che sono state rese disponibili al Fornitore (o terze parti che agiscono per conto del Fornitore) da Te (o da terze parti che agiscono per Tuo conto) per l’utilizzo dei Servizi, nonché altri dati personali sui Tuoi Clienti che hai scelto di condividere con il Fornitore per l’utilizzo dei Servizi. Per chiarezza, i Dati personali non includono dati personali relativi ai Clienti che il Fornitore tratta in qualità di Titolare del trattamento dei dati e/o riceve come risultato della relazione diretta o interazione intenzionale del Cliente con il Fornitore o con i clienti il Fornitore.

D. Richiesta di diritti sui dati: una richiesta valida e legale da parte di un individuo di esercitare i diritti disponibili relativi ai Dati personali ai sensi della Legge sulla protezione dei dati applicabile.

E. Titolare del trattamento dei dati: la Parte che determina le finalità e i mezzi del trattamento dei Dati personali o come altrimenti definito ai sensi di qualsivoglia Legge sulla protezione dei dati applicabile.

F. Responsabile del trattamento dei dati o Fornitore del servizio: la Parte o altra entità o attività che fornisce i servizi per conto del e tratta i Dati personali sotto la direzione e per conto del Titolare del trattamento dei dati, e deve essere interpretato conformemente alle Leggi sulla protezione dei dati applicabili.

G. Violazione dei dati personali: in relazione ai Tuoi Dati personali, da interpretarsi conformemente alla Legge sulla protezione dei dati personali applicabile.

H. “Trattare,” “tratta,” o “trattamento”: (a) qualsivoglia operazione o serie di operazioni effettuata sui Dati personali o su un gruppo di Dati personali, tramite mezzi automatizzati o meno, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il recupero, la consultazione, l’utilizzo, la divulgazione mediante trasmissione, diffusione o altrimenti il rendere disponibile, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione; o (b) la definizione data a tale/i termine/i ai sensi della Legge sulla protezione dei dati applicabile.

I. “Subincaricato/i”: aziende affiliate o Responsabili del trattamento dei dati di terze parti o Fornitori dei servizi che possono trattare i Dati personali sotto la direzione del Fornitore al fine di fornire i Servizi.

J. “Tu/Te,” “Tuo/Tuoi” o “Cliente”: significa l’attività che utilizza i Servizi e che è una Parte dei Termini con il Fornitore.

Il Fornitore riceve e tratta i Tuoi Dati personali al fine di fornirti i Servizi e come altrimenti stabilito di seguito. In base ai Servizi da Te richiesti o utilizzati, il Fornitore tratterà le categorie dei Dati personali indicati nell’Appendice A, secondo le modalità e le basi in essa contenute.

Il Fornitore tratta solamente i Tuoi Dati personali in qualità di Responsabile del trattamento dei dati o Fornitore del servizio per fornire e migliorare i propri Servizi o come diversamente consentito dalle Leggi in materia di protezione dei dati applicabili. Come parte della sua fornitura e continuo miglioramento dei Servizi, il Fornitore può aggregare, anonimizzare o deidentificare i Tuoi Dati personali.

Nella misura in cui il Fornitore riceve da Te Dati personali deidentificati, il Fornitore manterrà e utilizzerà i dati solo in modo deidentificato.

La seguente sezione descrive i rispettivi obblighi delle Parti in relazione al trattamento dei Dati personali coperti dalla presente Appendice sul trattamento dei dati.

A. Conformità generale

1. Le Parti si impegnano a rispettare i rispettivi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati.

2. Il Fornitore non ha l’obbligo di interpretare o avvisarti relativamente ai Tuoi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati, incluse quelle relative ai Dati personali coperti dalla presente Appendice sul trattamento dei dati. Tu hai la responsabilità di determinare i Tuoi obblighi legali e normativi, inclusa la valutazione della coerenza delle misure tecniche e organizzative dei Servizi con i Tuoi obblighi legali e normativi indipendenti.

B. Obblighi del Fornitore

1. Sicurezza dei dati
Il Fornitore implementerà e manterrà misure tecniche e organizzative appropriate per proteggere i Tuoi Dati personali da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali, come indicato nell’Appendice B.

2. Notifica e investigazione della violazione dei dati personali
a) Come richiesto dalle Leggi applicabili in materia di protezione dei dati, il Fornitore ti notificherà eventuali Violazioni dei Dati personali confermate dal Fornitore.

b) Tale notifica deve includere le informazioni richieste ai sensi delle Leggi applicabili in materia di protezione dei dati nella misura in cui tali informazioni siano ragionevolmente disponibili al Fornitore. La risposta del Fornitore a, o alla notifica di, una Violazione dei Dati personali non è un riconoscimento da parte del Fornitore di un errore o di una responsabilità.

c) Il Fornitore accetta di investigare eventuali Violazioni dei dati personali e di adoperarsi in modo ragionevole per identificare, prevenire, mitigare e rimediare agli effetti.

3. Richieste di diritti sui dati
a) Nella misura richiesta ai sensi delle Leggi applicabili in materia di protezione dei dati, il Fornitore faciliterà la Tua possibilità di trattare e rispondere alle Richieste di diritti sui dati da parte dei Tuoi Clienti in relazione al Tuo utilizzo dei Servizi.

b) Per ottenere assistenza relativamente a qualsivoglia tale Richiesta di diritti sui dati, inoltra la Richiesta al Fornitore tramite la pagina Contatti, salvo che il Fornitore non Ti indichi una modalità differente.

C. Tuoi obblighi in relazione ai Dati personali

1. Avvisi sulla privacy e trasparenza : dichiari e garantisci di rispettare tutti gli obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati richiesti per fornire avvisi e trasparenza in relazione al Tuo trattamento dei Dati personali ai sensi dei Termini e in relazione al Tuo utilizzo dei Servizi. Nella misura richiesta ai sensi delle Leggi applicabili in materia di protezione dei dati, devi comunicare agli individui interessati tutte le divulgazioni necessarie per il Fornitore al fine di trattare in modo lecito ed equo i Dati personali in relazione alla presente Appendice sul trattamento dei dati, tra cui fornire un collegamento all’Informativa sulla Privacy del Fornitore o alla Tua Informativa sulla Privacy.

2. Diritti e autorizzazioni del Cliente: dichiari e garantisci di disporre di tutti i diritti, le autorizzazioni e i consensi necessari per rendere disponibili i Dati personali al Fornitore conformemente ai Termini, al Tuo utilizzo dei Servizi che ricevi e alle Leggi applicabili in materia di protezione dei dati.

3. Richieste di diritti di dati: dichiari e garantisci di fornire la possibilità ai Tuoi Clienti di esercitare Richieste di diritti di dati, come richiesto ai sensi delle Leggi applicabili in materia di protezione dei dati, in relazione a tutti i Dati personali trattati dal Fornitore per cui Tu sei il Titolare del trattamento dei dati.

4. Richieste di informazioni sulla regolamentazione: salvo proibito dalla legge applicabile, ci notificherai prontamente in conformità con la Clausola di notifica contenuta nei Termini di qualsiasi disputa o reclamo governativo, normativo o di terze parti riguardante il Tuo utilizzo dei Servizi.

La presente sezione si applica solo nella misura in cui: (i) le Leggi statunitensi in materia di protezione dei dati si applichino a Te in relazione al Tuo utilizzo dei Servizi; e (ii) le disposizioni seguenti siano richieste dalle Leggi statunitensi in materia di protezione dei dati e Tu sia un’”Azienda” o un “titolare del trattamento” ai sensi di tali leggi.

A. Il Fornitore non: (i) conserverà, utilizzerà o divulgherà tali Dati personali al di fuori della sua relazione commerciale diretta con Te o per qualsiasi altro scopo diverso dagli scopi limitati e specificati nella presente Appendice sul trattamento dei dati e/o nei Termini, inclusa la conservazione, l’utilizzo o la divulgazione di tali Dati personali per uno scopo commerciale diverso dagli scopi limitati e specificati nella presente Appendice sul trattamento dei dati e/o nei Termini, (ii) “venderà” o “condividerà” tali Dati personali ai sensi della Legge della California sulla privacy dei consumatori; o (iii) combinerà tali Dati personali con i Dati personali che riceve da altre fonti, in ciascun caso a eccezione di quanto consentito ai sensi delle Leggi statunitensi in materia di protezione dei dati.

B. Il Fornitore (i) fornirà lo stesso livello di protezione della privacy richiesto alle attività o ai Titolari del trattamento dei dati da tali leggi, e Ti informerà nel caso in cui ritenesse di non poter più rispettare tali obblighi, nel qual caso puoi intraprendere le misure ragionevoli e appropriate per interrompere o porre rimedio a eventuali trattamenti non autorizzati di tali Dati personali, (ii) garantirà che il personale autorizzato al trattamento dei Dati Personali stipuli accordi scritti di riservatezza o sia soggetto agli obblighi di riservatezza previsti dalla legge, (iii) previa ragionevole richiesta scritta, e per consentirti di intraprendere le misure ragionevoli e appropriate per garantire che il Fornitore utilizzi tali Dati personali in maniera coerente alle Leggi statunitensi in materia di protezione dei dati, fornirà il report SOC2 contenente una valutazione ragionevole del programma di sicurezza delle informazioni del Fornitore; e (iv) alla risoluzione dei suoi Servizi con Te, il Fornitore avvierà il proprio processo di eliminazione per cancellare o deidentificare i Dati personali.

C. Dichiari e garantisci che non condividerai con il Fornitore alcun Dato personale di individui che hanno esercitato il diritto di non partecipazione che ti sei impegnato a rispettare o qualsivoglia Dato personale sensibile di un individuo che non ha fornito il consenso al trattamento di tali dati sensibili.

A. Trasferimenti globali di dati
Accetti che i Dati personali possano essere trasferiti e trattati in qualsivoglia paese in cui sia presente la sede del Fornitore, delle sue affiliate o dei fornitori di servizi di terze parti (inclusi Singapore e Canada). Qualsivoglia trasferimento dei Dati personali a tali destinatari verrà effettuato in conformità alle Leggi applicabili in materia di protezione dei dati. Per ulteriori informazioni sui trasferimenti internazionali di dati, per cui il Fornitore è soggetto ai requisiti in materia di privacy nel SEE, nel Regno Unito o in Svizzera, consulta la sezione II(B)(8) dell’Appendice C.

B. Risposta alle richieste legali

1. Riconosci che, quando ti fornisce i Servizi, il Fornitore può condividere i Tuoi Dati personali (i) per essere conforme ai requisiti legali o per rispondere a ordini del tribunale o ad altre richieste governative o normative simili; o (ii) per prevenire o investigare frodi, minacce alla sicurezza fisica, attività illegali o violazioni sospette di un contratto (come i Termini) o le nostre politiche (come i nostri Termini d'uso).

2. Prima di fornire tali Dati personali, il Fornitore sosterrà gli sforzi ragionevoli per garantire che tale divulgazione sia consentita ai sensi delle Leggi applicabili in materia di protezione dei dati e che tali dati verranno trattate come informazioni riservate ai sensi del quadro giuridico applicabile.

C. Divulgazione nelle transazioni aziendali
Accetti che, quando ti fornisce i Servizi, al Fornitore possa essere richiesto di condividere Dati personali con controparti potenziali in transazioni aziendali o di ristrutturazione.

D. Utilizzo da parte del Fornitore di Subincaricati/Fornitori di servizi

1. Accetti che, quando ti fornisce i Servizi, il Fornitore possa utilizzare Subincaricati per il trattamento dei Dati personali. Il Fornitore mantiene un elenco aggiornato di tutti i Subincaricati utilizzati. Se le Leggi applicabili in materia di protezione dei dati Ti garantiscono tali diritti, puoi obiettare all’Utilizzo da parte del Fornitore di un Subincaricato, e se il Fornitore non è in grado o non vuole accogliere tali richieste, puoi, conformemente a tali leggi, terminare il Tuo utilizzo dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

2. L’utilizzo di Subincaricati da parte del Fornitore per il trattamento dei Dati personali che fornisci sarà conforme alle Leggi applicabili in materia di protezione dei dati. Nel caso in cui il Fornitore coinvolga un Subincaricato, il Fornitore stipulerà un accordo scritto con il Subincaricato che impone obblighi contrattuali sostanzialmente identici a quelli stabiliti nella presente Appendice sul trattamento dei dati.

E. Modifiche dell’Appendice sul trattamento dei dati
Riconosci e accetti che il Fornitore possa modificare la presente Appendice sul trattamento dei dati di tanto in tanto con la pubblicazione dell’Appendice sul trattamento dei dati aggiornata e riformulata sul sito web del Fornitore e che tali modifiche all’Appendice sul trattamento dei dati entrino in vigore a decorrere dalla data di pubblicazione. La prosecuzione nell’utilizzo dei Servizi da parte Tua dopo la pubblicazione sul sito web del Fornitore dell’Appendice sul trattamento dei dati modificata equivale alla Tua accettazione dell’Appendice sul trattamento dei dati modificata. Se non accetti le modifiche all’Appendice sul trattamento dei dati, non dovrai continuare a utilizzare il Servizio.

APPENDICE A: CATEGORIE DEI DATI PERSONALI

Come parte del Tuo utilizzo dei Servizi, e in base ai Servizi da Te utilizzati, possiamo ricevere e sottoporre al trattamento le seguenti categorie di Dati personali per fornire i Servizi:

• Nome, email, contatto, informazioni di fatturazione e spedizione del Cliente.
• Informazioni sull’acquisto e su altre transazioni dal/i Tuo/Tuoi Sito/Siti.
• Aggiornamenti sullo stato della/e transazione/i con Te o il Tuo/Tuoi Siti/i Siti
• Attività del Cliente nel/i Tuo/Tuoi Sito/i, inclusi i prodotti visualizzati e/o inclusi nei carrelli.
• Segnali di preferenza del Cliente, incluso il Controllo globale della privacy, segnali di non partecipazione e di partecipazione.
• Informazioni sui dispositivi del Cliente per i dispositivi utilizzati durante la visualizzazione del/i Tuo/Tuoi Sito/Siti, inclusi indirizzo IP, browser e attività di rete.
• Altre informazioni sulle interazioni dei Clienti con Te.
• Qualsivoglia altro Dato personale che hai deciso di rendere disponibile al Fornitore.

APPENDICE B: SICUREZZA DEI DATI

Il Fornitore manterrà un programma di sicurezza delle informazioni volto a (a) consentirti di proteggere i Tuoi Dati personali da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali; (b) identificare rischi ragionevolmente prevedibili alla sicurezza e la disponibilità dei Servizi da Te ricevuti; e (c) ridurre al minimo i rischi di sicurezza relativi ai Servizi.

I. Il programma di sicurezza della informazioni del Fornitore includerà le seguenti misure di salvaguardia:

A. Logical Security

1. Controlli degli accessi il Fornitore renderà i propri sistemi accessibili solo al personale autorizzato e solo nella misura necessaria per mantenere e fornire i Servizi. Il Fornitore manterrà controlli degli accessi e politiche volte a gestire le autorizzazioni per l’accesso ai propri sistemi, incluso mediante l’utilizzo di firewall e/o altri tipi di tecnologie e controlli dell’autenticazione.

2. Accesso limitato degli utenti il Fornitore (i) fornirà e limiterà l’accesso ai propri sistemi in conformità ai principi di privilegio più recenti in base alle funzioni lavorative del personale e (ii) consiglierà l’autenticazione a due fattori (2FA) per l’accesso ai propri sistemi.

3. Valutazioni delle vulnerabilità il Fornitore manterrà un programma di valutazione delle vulnerabilità e di test di penetrazione, che ha la responsabilità di investigare e monitorare i problemi rilevati relativamente ai Servizi fino alla risoluzione, se necessario.

4. Sicurezza dell’applicazione il Fornitore mantiene un programma di sicurezza dell’applicazione responsabile della protezione dei Servizi da minacce alla sicurezza dell’applicazione.

5. Gestione delle modifiche il Fornitore manterrà i controlli preposti ad accedere, autorizzare, testare, approvare e documentare le modifiche alle risorse dei Servizi esistenti e documenterà i dettagli delle modifiche all’interno degli strumenti di gestione delle modifiche o di distribuzione. Il Fornitore testerà le modifiche in base ai suoi standard di gestione delle modifiche prima della migrazione alla produzione.

6. Integrità dei dati A seconda dei casi, il Fornitore manterrà dei controlli volti a fornire l’integrità dei dati durante la trasmissione, l’archiviazione e il trattamento all’interno dei Servizi.

7. Disponibilità il Fornitore (i) implementerà la ridondanza dove necessario affinché i Servizi riducano al minimo l’effetto di un malfunzionamento dei Servizi, (ii) progetterà i Servizi per anticipare e tollerare errori e (iii) implementerà i processi appropriati per spostare il traffico dei Dati personali dalle aree interessate quando necessario per eseguire ripristini dopo un guasto.

8. Continuità operativa e ripristino in caso di disastro il Fornitore manterrà un programma di gestione dei rischi volto a supportare la continuità delle proprie funzioni operative critiche, inclusi i processi e le procedure per l’identificazione di, la risposta a, e il ripristino in caso di eventi che potrebbero impedire o materialmente compromettere la fornitura da parte del Fornitore dei Servizi da Te ricevuti.

9. Gestione degli incidenti il Fornitore fornisce la documentazione necessaria affinché Tu possa segnalare incidenti relativi alla sicurezza o alla disponibilità, porre domande relative alla sicurezza o alla disponibilità e inviare informazioni su problemi potenziali relativi alla sicurezza o alla disponibilità. Il Fornitore manterrà piani di azioni correttive e piani di risposta agli incidenti volti a rilevare, mitigare, investigare e rispondere alle potenziali minacce alla sicurezza dei Servizi.

B. Sicurezza fisica Se necessario per proteggere i Servizi, il Fornitore (i) implementerà misure ragionevoli volte a impedire accessi fisici, danni, o interferenze non autorizzati ai Servizi, (ii) utilizzerà dispositivi di controllo appropriati volti a limitare l’accesso fisico ai Servizi solamente al personale autorizzato che dispone di una necessità aziendale legittima per tale accesso e (iii) effettuerà verifiche periodiche per convalidare l’adesione a tali standard.

C. Dipendenti del Fornitore I dipendenti del Fornitore che dispongono dell’autorizzazione per accedere ai Dati personali sono vincolati da obblighi di riservatezza come parte dei relativi termini di assunzione. Il Fornitore implementerà e manterrà programmi di formazione sulla sicurezza relativamente ai requisiti di sicurezza delle informazioni del Fornitore. I programmi di formazione sulla consapevolezza relativa alla sicurezza verranno sottoposti a verifica e aggiornati periodicamente.

II. Modifiche alla presente Appendice

Il Fornitore revisiona, di tanto in tanto, le proprie misure di sicurezza e può aggiornare la presente Appendice a sua sola discrezione. Eventuali aggiornamenti sostituiranno le versioni precedenti della presente Appendice a partire dalla data di pubblicazione della versione aggiornata da parte del Fornitore.

APPENDICE C: NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI, NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI DEL REGNO UNITO E APPENDICE SUL TRATTAMENTO DEI DATI IN SVIZZERA

Nel caso in cui il trattamento dei Dati personali ai sensi dell’Appendice sul trattamento dei dati sia soggetto ai requisiti in materia di protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (UK) o nella Svizzera (collettivamente, “Leggi europee in materia di protezione dei dati”), l’Appendice C integra la presente Appendice sul trattamento dei dati.

I. Natura del trattamento e ruolo delle Parti

A. Dati personali

1. Ai sensi della presente Appendice agisci in qualità di Titolare del trattamento dei dati e il Fornitore agisce in qualità di Responsabile del trattamento dei dati relativamente al trattamento dei Tuoi Dati personali come descritto nell’Allegato 1, se necessario per soddisfare gli obiettivi aziendali indicati nei Termini e fornirti i Servizi che hai scelto di utilizzare.
2. A scanso di equivoci, il Fornitore agisce in qualità di Titolare del trattamento dei dati indipendente relativamente ai Dati personali dei Clienti che il Fornitore riceve come risultato della relazione diretta o da interazioni intenzionali del Cliente con il Fornitore, come descritto nell’Informativa sulla privacy del Fornitore.

II. Obblighi delle Parti

A. Tuoi obblighi

Devi essere conforme:

• alle Leggi europee in materia di protezione dei dati che ti vincolano nell’esecuzione della presente Appendice: e
• ai Tuoi obblighi indicati nell’Appendice sul trattamento dei dati, inclusi i Tuoi obblighi indicati nella presente Appendice.

Dichiari e garantisci di disporre di una base legale valida per il trattamento dei Dati personali (incluso il rendere tali dati disponibili al Fornitore) e di aver ottenuto i consensi, i diritti e le autorizzazioni necessari e di aver fornito gli avvisi necessari agli individui relativamente alla divulgazione da parte Tua dei Dati personali al Fornitore per consentire il trattamento da parte del Fornitore dei Dati personali al fine di fornire i Servizi, come richiesto dalle Leggi europee in materia di protezione dei dati.

B. Obblighi del Fornitore

1. Istruzioni del Titolare del trattamento e violazione delle Leggi europee in materia di protezione dei dati

a) Le Parti accettano che i Termini e la presente Appendice sul trattamento dei dati costituiscano le Tue istruzioni documentate relativamente al trattamento da parte del Fornitore dei Tuoi Dati personali (“Istruzioni documentate”).

b) Il Fornitore tratterà i Dati personali in qualità di Responsabile del trattamento solamente: (i) in conformità alle Tue Istruzioni documentate o (ii) al fine di essere conforme agli obblighi del Fornitore ai sensi delle leggi applicabili, soggette a qualsivoglia requisito di avviso ai sensi dell’Unione europea o della legge degli stati membri dell’Unione europea a cui il Fornitore è soggetto.

c) Il Fornitore ti avviserà nel caso in cui riceva un’istruzione che ritenga ragionevolmente violare le Leggi europee in materia di protezione dei dati (mal Fornitore non ha l’obbligo di monitorare attivamente la Tua conformità alle Leggi europee in materia di protezione dei dati).

2. Obbligo di riservatezza

Il Fornitore garantirà che le persone autorizzate al trattamento dei Dati personali abbiano stipulato accordi di riservatezza scritti o che siano soggette a obblighi legali di riservatezza.

3. Misure di sicurezza

a) Il Fornitore implementa e mantiene misure tecniche e organizzative appropriate per proteggere i Tuoi Dati personali da trattamenti non autorizzate o illegali e da perdite accidentali, distruzioni, danni, furti, accessi non autorizzati, alterazioni o divulgazioni, come indicato nell’Allegato 2.

b) Tenendo conto della natura dei Dati personali e del relativo trattamento, il Fornitore fornisce l’assistenza da Te ragionevolmente richiesta per aiutarti ad adempiere ai Tuoi obblighi di sicurezza previsti dalle Leggi europee in materia di protezione dei dati.

c) Il Fornitore ti avvisa, senza ritardo immotivato, di una violazione della sicurezza che porta all’accidentale o illegale distruzione, perdita, alterazione, divulgazione non autorizzata di, o l’accesso ai, Tuoi Dati personali trasmessi, archiviati o altrimenti trattati.

d) Il Fornitore accetta di investigare tale violazione della sicurezza e di adoperarsi in modo ragionevole per mitigare gli effetti.

4. Subincaricati

a) Autorizzi genericamente il Fornitore ad assumere Subincaricati per il trattamento dei Dati personali. Accetti anche che il Fornitore possa assumere i propri affiliati come Subincaricati.

b) L’uso da parte del Fornitore di Subincaricati per il trattamento dei Tuoi Dati personali sarà in conformità alle Leggi europee in materia di protezioni dei dati.

c) Il Fornitore mantiene un elenco aggiornato di tutti i Subincaricati come indicato nell’Allegato 3. Il Fornitore aggiornerà l’elenco dei Subincaricati in modo appropriato e ti consentirà di ricevere avvisi in caso dell’aggiunta o della sostituzione di un Subincaricato. Puoi obiettare all’uso da parte del Fornitore di un Subincaricato.

d) Nella misura in cui obietti all’uso da parte del Fornitore di un Subincaricato, e il Fornitore non sia in grado di o non voglia accogliere tali richieste, puoi terminare il Tuo utilizzo da parte dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

e) Nel caso in cui il Fornitore assuma un nuovo Subincaricato, il Fornitore stipulerà un contratto scritto con tale Subincaricato e il Fornitore imporrà, al Subincaricato, obblighi contrattuali sostanzialmente uguali a quelli indicati nella presente Appendice sul trattamento dei dati. Il Fornitore è completamente responsabile per gli atti e le omissioni dei suoi Subincaricati nella stessa misura in cui il Fornitore sarebbe responsabile se eseguisse i servizi di ciascun Subincaricato direttamente ai sensi dei termini della presente Appendice sul trattamento dei dati. La responsabilità del Fornitore sarà comunque soggetta alle condizioni e alla limitazione di responsabilità indicata nei presenti Termini.

5. Assistenza al Titolare del trattamento
Tenendo conto della natura dei Tuoi Dati personali e del relativo trattamento, il Fornitore fornisce l’assistenza da Te ragionevolmente richiesta per aiutarti ad adempiere ai Tuoi obblighi:

• per rispondere alle Richieste di diritti sui dati ai sensi delle Leggi europee in materia di protezione dei dati;
• per notificare alle autorità competenti e/o i soggetti dei dati un’eventuale Violazione dei dati;
• per condurre valutazioni sull’impatto della protezione dei dati e consultazioni preliminari;
• per garantire la sicurezza del trattamento in conformità alla sezione 3.

6. Valutazione della conformità

a) Il Fornitore può adempiere al diritto di controllo da parte Tua ai sensi delle Leggi europee in materia di protezione dei dati relativamente al trattamento dei dati personali fornendoti, previa richiesta scritta da parte tua e soggetta alla riservatezza:

(i) i risultati del report di audit più recente del Fornitore, sia dai controlli del Fornitore stesso sia preparati da un revisore di terze parti indipendente;
(ii) informazioni aggiuntive in controllo del Fornitore nel caso in cui un’autorità nell’ambito della protezione dei dati o governativa lo richieda.

b) A condizione che, e solo nella misura in cui le Leggi europee in materia di protezione dei dati Ti concedano questo diritto, puoi esercitare il Tuo diritto di Verifica: (i) nella misura in cui un revisore indipendente riconosciuto a livello internazionale attesti che l’audit del Fornitore non fornisca informazioni sufficienti affinché Tu sia in grado di verificare la conformità del Fornitore con la presente Appendice sul trattamento dei dati e con le Leggi europee in materia di protezione dei dati o (ii) nella misura necessaria affinché Tu possa rispondere a un audit di un’autorità governativa. Ciascun audit deve essere conforme ai parametri seguenti: (i) essere condotto da una terza parte indipendente che stipulerà un accordo di riservatezza con il Fornitore; (ii) essere limitato alle questioni ragionevolmente richieste, e a quanto concordato reciprocamente, affinché Tu possa verificare la conformità del Fornitore alla presente Appendice sul trattamento dei dati e la conformità delle parti con le Leggi europee in materia di protezione dei dati; (iii) essere condotto in una data e in un orario concordati di comune accordo e solo durante il regolare orario di lavoro del Fornitore; (iv) non deve svolgersi più di una volta all’anno (salvo diversamente richiesto ai sensi delle Leggi europee in materia di protezione dei dati); (v) deve riguardare solo le strutture controllate dal Fornitore; (vi) deve limitare le conclusioni solamente ai Dati personali; e (vii) deve trattare i risultati come informazioni riservate nella misura massima consentita dalle Leggi europee in materia di protezione dei dati. Per chiarimenti, il Fornitore sarà conforme a qualsivoglia Tuo diritto ai sensi della presente sezione 6 conformemente ai suoi obblighi di riservatezza con terze parti.

7. Termine del trattamento

a) Durante l’utilizzo dei Servizi da parte Tua, puoi utilizzare gli strumenti dell’account per accedere, restituire o eliminare Dati personali.

b) Successivamente alla risoluzione. Il Fornitore, a Tua scelta, eliminerà o restituirà i Tuoi Dati personali. Nonostante quanto sopra, il Fornitore può conservare i Dati personali: (i) come richiesto dalla legge, incluse le Leggi europee in materia di protezione dei dati; e (ii) conformemente alle sue politiche standard di backup dei dati o conservazione dei record, a condizione che, in ciascun caso, il Fornitore mantenga la riservatezza di, e altrimenti rispetti le disposizioni applicabili della presente Appendice sul trattamento dei dati in relazione a, Dati personali conservati, e non Tratti ulteriormente Dati personali fatto salvo per gli scopi e per la durata permessi ai sensi di tali leggi applicabili.

8. Trasferimenti internazionali

a) Soggetto al rispetto delle Leggi europee in materia di protezione dei dati, il Fornitore può trasferire i Dati personali trattati ai sensi della presente Appendice al di fuori del SEE, del Regno Unito e della Svizzera se necessario per fornire i suoi Servizi (“Trasferimenti internazionali”).

b) Tali trasferimenti consistono principalmente nel trasferimento di Dati personali a Christian Toffolo, con sede legale in Italia che beneficia di una decisione della Commissione europea 2002/2/EC del 20 dicembre 2001 sulla protezione adeguata dei dati personali prevista dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici.

c) Qualsivoglia Trasferimento internazionale verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi europee in materia di protezione dei dati sarà soggetto a misure di salvaguardia appropriate inclusi i seguenti meccanismi di trasferimento:

• i moduli rilevanti ai sensi delle Clausole contrattuali tipo approvate del 2021 dalla Commissione europea nella decisione 2021/914/EC in data 4 giugno 2021;
• l’Addendum al trasferimento internazionale dei dati alle clausole contrattuali tipo della Commissione europea per i trasferimenti dei dati internazionali emesso dall’ufficio del commissario all'informazione del Regno Unito ai sensi dell’S119A(1) della Legge sulla protezione dei dati del Regno Unito del 2018;
• le Clausole contrattuali tipo del 2021 modificate per soddisfare i requisiti della Legge federale sulla protezione dei dati della Svizzera (come modificata di volta in volta) del 19 giugno 1992 e revisionata il 25 settembre 2001; e
• qualsivoglia clausola contrattuale tipo, addendum internazionale sul trasferimento dei dati o altra clausola, addenda o meccanismi di trasferimento che potrebbero sostituire le clausole e l’addendum correnti.

d) Il Fornitore può, a sua sola discrezione, sostituire qualsivoglia meccanismo di trasferimento al fine di garantire che i trasferimenti dei dati siano conformi alle leggi applicabili. Se un trasferimento si basa su clausole contrattuali tipo e tali clausole sono aggiornate da autorità competenti, tali clausole aggiornate o accordi similari verranno incorporati nella presente Appendice sul trattamento dei dati come se fossero qui pienamente dichiarati.