Athics Termini di Servizio e SLA
Questi termini di servizio sono un accordo legale tra te e Athics srl per l’uso della piattaforma software Crafter.ai (il “Software”). Utilizzando il Software accetti di essere vincolato dai termini e dalle condizioni di questa licenza. Athics srl si riserva il diritto di modificare questo accordo in qualsiasi momento, per qualsiasi motivo, senza preavviso.
Restrizioni A meno che non ti sia stato concesso il consenso scritto preventivo da Athics srl, non puoi:
Riprodurre, distribuire o trasferire il Software, o parti di esso, a terze parti. Vendere, affittare, dare in leasing, assegnare o subaffittare il Software o parti di esso. Concedere diritti a qualsiasi altra persona. Utilizzare il Software in violazione di qualsiasi legge o regolamento italiano o internazionale. Tutti gli avvisi di copyright e di proprietà e i loghi nei file del Software devono rimanere intatti.
Supporto tecnico Athics srl non fornisce supporto telefonico diretto al momento. Non vengono fornite dichiarazioni o garanzie in merito al tempo di risposta alle domande di supporto via e-mail, ma Athics srl farà del suo meglio per rispondere rapidamente.
Rimborsi Athics srl non offre rimborsi sul Software. Contattare support@athics.ai per qualsiasi assistenza.
Indennità Accetti di indennizzare e tenere indenne Athics srl da qualsiasi reclamo, azione o causa di terze parti, nonché da qualsiasi spesa, responsabilità, danno, transazione o commissione derivante dal tuo utilizzo o uso improprio del Software o da una violazione di qualsiasi termine di questa licenza.
Esclusione di garanzia il software è fornito “così com’è”, senza alcuna garanzia di alcun tipo, espressa o implicita, incluse, ma non limitate a, garanzie di qualità, prestazioni, non violazione, commerciabilità o idoneità per uno scopo particolare. Inoltre, Athics srl non garantisce che il software o qualsiasi servizio correlato saranno sempre disponibili.
Limitazioni di responsabilità ti assumi tutti i rischi associati all’installazione e all’uso del software. in nessun caso gli autori o i titolari dei diritti d’autore del software saranno ritenuti responsabili per reclami, danni o altre responsabilità derivanti da, fuori da o in connessione con il software. I titolari della licenza sono gli unici responsabili della determinazione dell’appropriatezza dell’uso e si assumono tutti i rischi associati al suo utilizzo, inclusi, a titolo esemplificativo ma non esaustivo, i rischi di errori di programma, danni alle apparecchiature, perdita di dati o programmi software o indisponibilità o interruzione delle operazioni.
Addendum sull’elaborazione dei dati
Il presente Addendum sull’elaborazione dei dati (il presente “Addendum”) fa parte dei Termini del prodotto Athics e dell’SLA (il “Contratto principale”) stipulati tra Athics Srl. (“Athics”) e il “Cliente” ed è soggetto al Contratto principale.
Definizioni.
Ai fini del presente Addendum, i termini in maiuscolo avranno i seguenti significati. I termini in maiuscolo non altrimenti definiti avranno il significato loro attribuito nel Contratto principale. (a) “Dati personali del cliente” indica qualsiasi dato personale elaborato da Athics per conto del Cliente per eseguire i Servizi ai sensi del Contratto principale. (b) “Leggi UE sulla protezione dei dati” indica la Direttiva UE 95/46/CE, come recepita nella legislazione nazionale di ogni Stato membro e come modificata, sostituita o sostituita di volta in volta, inclusi (con effetto dal 25 maggio 2018) il GDPR e le leggi che implementano, sostituiscono o integrano il GDPR. (c) “GDPR” indica il Regolamento generale sulla protezione dei dati UE 2016/679. (d) “SEE” indica lo Spazio economico europeo. (e) “Infrastruttura Athics” indica (i) strutture fisiche Athics; (ii) infrastruttura cloud ospitata; (iii) la rete aziendale di Athics e la rete interna non pubblica, il software e l’hardware necessari per fornire i Servizi e che sono controllati da Athics; in ogni caso nella misura in cui vengono utilizzati per fornire i Servizi. (f) “Trasferimento limitato” indica un trasferimento dei Dati personali del Cliente da Athics a un sub-responsabile laddove tale trasferimento sarebbe vietato dalle Leggi sulla protezione dei dati dell’UE (o dai termini degli accordi di trasferimento dati stipulati per affrontare le restrizioni al trasferimento dati delle Leggi sulla protezione dei dati dell’UE) in assenza di adeguate garanzie richieste per tali trasferimenti ai sensi delle Leggi sulla protezione dei dati dell’UE. (g) “Servizi” indica i servizi forniti al Cliente da Athics ai sensi dell’Accordo principale. (h) “Clausole contrattuali standard” indica l’ultima versione delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della Direttiva 95/46/CE del Parlamento europeo e del Consiglio (la versione corrente alla data del presente Addendum è allegata alla Decisione 2010/87/UE della Commissione europea). (i) I termini “titolare del trattamento”, “interessato”, “Stato membro”, “dati personali”, “violazione dei dati personali”, “responsabile del trattamento”, “sub-responsabile del trattamento”, “trattamento” e “autorità di controllo” hanno il significato loro attribuito nel GDPR e i termini correlati devono essere interpretati di conseguenza.
Conformità alle leggi sulla protezione dei dati dell’UE
(a) Athics e il Cliente dovranno rispettare le disposizioni e gli obblighi imposti loro dalle leggi sulla protezione dei dati dell’UE e dovranno assicurarsi che i loro dipendenti, agenti e appaltatori rispettino le disposizioni delle leggi sulla protezione dei dati dell’UE.
Titolare del trattamento e Responsabile del trattamento
(a) Ai fini del presente Addendum, il Cliente è il titolare del trattamento dei Dati personali del Cliente e Athics è il responsabile del trattamento di tali dati, eccetto quando il Cliente agisce come responsabile del trattamento dei Dati personali del Cliente, nel qual caso Athics è un sub-responsabile del trattamento. (b) Il Cliente garantisce che: (i) il trattamento dei Dati personali del Cliente si basa su basi legali per il trattamento, come può essere richiesto dalle Leggi sulla protezione dei dati dell’UE e che ha effettuato e manterrà per tutta la durata del Contratto principale tutti i diritti, le autorizzazioni, le registrazioni e i consensi necessari in conformità con e come richiesto dalle Leggi sulla protezione dei dati dell’UE in relazione al trattamento da parte di Athics dei Dati personali del Cliente ai sensi del presente Addendum e del Contratto principale; e (ii) ha il diritto e possiede tutti i diritti, i permessi e i consensi necessari per trasferire i Dati personali del Cliente ad Athics e altrimenti consentire ad Athics di elaborare i Dati personali del Cliente per suo conto, in modo che Athics possa legalmente utilizzare, elaborare e trasferire i Dati personali del Cliente al fine di fornire i Servizi e adempiere agli altri diritti e obblighi di Athics ai sensi del presente Addendum e del Contratto principale.
Ambito di elaborazione
(a) Affinché Athics possa fornire i Servizi ai sensi del Contratto principale, Athics elaborerà i Dati personali del Cliente. L’Allegato 1 al presente Addendum stabilisce alcune informazioni relative all’elaborazione dei Dati personali del Cliente come richiesto dall’Articolo 28(3) del GDPR. Le parti possono modificare l’Allegato 1 di volta in volta, come le parti possono ragionevolmente ritenere necessario per soddisfare tali requisiti. (b) Athics elaborerà i Dati personali del Cliente solo (i) allo scopo di adempiere ai propri obblighi ai sensi del Contratto principale e (i) in conformità con le istruzioni documentate descritte nel presente Addendum o come altrimenti indicato dal Cliente di volta in volta. Tali istruzioni del Cliente devono essere documentate nell’ordine applicabile, nella descrizione dei servizi, nel ticket di supporto, in altre comunicazioni scritte o come indicato dal Cliente utilizzando i Servizi (ad esempio tramite un’API o un portale di servizi). (c) Qualora Athics ritenga ragionevolmente che un’istruzione del Cliente sia contraria a: (i) leggi e regolamenti applicabili o (ii) le disposizioni del Contratto principale o dell’Addendum, Athics può informare il Cliente ed è autorizzata a differire l’esecuzione dell’istruzione pertinente fino a quando non sia stata modificata dal Cliente o non sia stata concordata reciprocamente tra Cliente e Athics. (d) Il Cliente è l’unico responsabile dell’utilizzo e della gestione dei Dati personali inseriti o trasmessi dai Servizi, inclusi: (i) la verifica degli indirizzi dei destinatari e che siano correttamente inseriti nei Servizi, (ii) la notifica ragionevole a qualsiasi destinatario della natura non sicura della posta elettronica come mezzo di trasmissione dei Dati personali (ove applicabile), (iii) la limitazione ragionevole della quantità o del tipo di informazioni divulgate tramite i Servizi, (iv) la crittografia dei Dati personali trasmessi tramite i Servizi ove appropriato o richiesto dalla legge applicabile (ad esempio tramite l’uso di allegati crittografati, set di strumenti PGP o S/MIME). Quando il Cliente decide di non configurare la crittografia obbligatoria, il Cliente riconosce che i Servizi possono includere la trasmissione di e-mail non crittografate in testo normale su Internet pubblico e reti aperte. Le informazioni caricate sui Servizi, incluso il contenuto del messaggio, vengono archiviate in un formato crittografato quando elaborate dall’infrastruttura Athics.
Riservatezza
(a) Athics deve garantire che ogni suo dipendente e il personale dei sub-responsabili autorizzato a elaborare i Dati personali del Cliente siano soggetti a impegni di riservatezza o obblighi professionali o statutari di riservatezza.
Misure tecniche e organizzative
(a) Athics, in relazione ai Dati personali del Cliente, (a) adotterà, ove opportuno, le misure richieste ai sensi dell’Articolo 32 del GDPR in relazione alla sicurezza dell’Infrastruttura Athics e delle piattaforme utilizzate per fornire i Servizi come descritto nell’Accordo principale e (b) su richiesta ragionevole a spese del Cliente, assisterà il Cliente nel garantire la conformità agli obblighi del Cliente ai sensi dell’Articolo 32 del GDPR.
Revisioni
(a) Fatto salvo quanto previsto dal Paragrafo 7(b), Athics metterà a disposizione del Cliente, su richiesta ragionevole, le informazioni ragionevolmente necessarie per dimostrare la conformità del Cliente al presente Addendum e consentirà e contribuirà alle revisioni, comprese le ispezioni, da parte del Cliente o di un revisore incaricato dal Cliente in relazione all’elaborazione dei Dati personali del Cliente da parte di Athics. Il Cliente sarà responsabile di tutti i costi e le spese di Athics derivanti dalla fornitura di tali informazioni e diritti di revisione. (b) Le informazioni e i diritti di revisione del Cliente derivano solo dal Paragrafo 7(a) di cui sopra nella misura in cui il Contratto principale e/o qualsiasi altra informazione disponibile al Cliente in relazione ai Servizi non fornisca altrimenti al Cliente informazioni e diritti di revisione che soddisfano i requisiti del Paragrafo 7(a) di cui sopra.
Richieste degli interessati
(a) Athics fornisce strumenti specifici per assistere i clienti nel rispondere alle richieste ricevute dagli interessati. Questi includono le nostre API e interfacce per cercare dati di eventi, soppressioni e recuperare il contenuto dei messaggi. Quando Athics riceve un reclamo, una richiesta o una richiesta (incluse le richieste presentate dagli interessati per esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati dell’UE) relative ai Dati personali del Cliente direttamente dagli interessati, Athics avviserà il Cliente entro 7 giorni dal ricevimento del reclamo, della richiesta o della richiesta. Tenendo conto della natura del trattamento, Athics assisterà il Cliente a spese del Cliente, mediante misure tecniche e organizzative appropriate, nella misura in cui ciò sia ragionevolmente possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti di tali interessati.
Violazione dei dati
(a) Athics dovrà notificare al Cliente senza indebito ritardo una volta che Athics verrà a conoscenza di una violazione dei dati personali che riguarda i Dati personali del Cliente. Athics, tenendo conto della natura del trattamento e delle informazioni a disposizione di Athics, dovrà fare sforzi commercialmente ragionevoli per fornire al Cliente informazioni sufficienti per consentire al Cliente, a spese del Cliente, di soddisfare qualsiasi obbligo di segnalare o informare le autorità di regolamentazione, gli interessati e altre entità di tale violazione dei dati personali nella misura richiesta dalle Leggi UE sulla protezione dei dati.
Valutazioni di impatto sulla protezione dei dati
(a) Athics, tenendo conto della natura del trattamento e delle informazioni a disposizione di Athics, fornirà ragionevole assistenza al Cliente a spese del Cliente, con qualsiasi valutazione di impatto sulla protezione dei dati e consultazioni preventive con le autorità di vigilanza o altre autorità di regolamentazione competenti, come richiesto al Cliente per adempiere ai propri obblighi ai sensi delle Leggi sulla protezione dei dati dell’UE.
Restituzione o distruzione dei dati personali del cliente
(a) Il cliente può, a proprie spese, tramite comunicazione scritta ad Athics, richiedere ad Athics, entro novanta (90) giorni dalla data di cessazione di qualsiasi servizio che implichi l’elaborazione dei dati personali del cliente di (i) restituire tutte le copie dei dati personali del cliente sotto il controllo o in possesso di Athics e dei sub-responsabili; o (ii) nella misura ragionevolmente praticabile eliminare e ottenere l’eliminazione di tutte le copie dei dati personali del cliente elaborate da Athics e dai sub-responsabili. Nonostante quanto sopra, Athics può conservare i dati personali del cliente nella misura richiesta dalle leggi dell’UE. Athics può conservare copie elettroniche di file contenenti i dati personali del cliente creati in base a procedure di archiviazione o backup automatiche che non possono essere ragionevolmente eliminate In questi casi, Athics assicurerà che i dati personali del cliente non vengano ulteriormente elaborati attivamente
Trasferimenti di dati
(a) Il Cliente riconosce e accetta che Athics e i suoi sub-responsabili possano fornire i Servizi e il Supporto da qualsiasi stato, provincia, paese o altra giurisdizione. Dopo l’esecuzione del presente Addendum, Athics dovrà, se richiesto dal Cliente e se richiesto dalle Leggi sulla protezione dei dati dell’UE, stipulare le Clausole contrattuali standard in qualità di importatore di dati con il Cliente che agisce come esportatore di dati. Se l’accordo di Athics con un sub-responsabile comporta un Trasferimento limitato, Athics dovrà garantire che le disposizioni sul trasferimento successivo delle Clausole contrattuali standard siano incorporate nell’Accordo principale, o altrimenti stipulate, tra Athics e il sub-responsabile. Il Cliente accetta di esercitare il proprio diritto di audit nelle Clausole contrattuali standard incaricando Athics di condurre l’audit stabilito nel Paragrafo 7.
Sub-elaborazione
(a) Con la presente, il Cliente autorizza Athics a nominare sub-responsabili in conformità al presente Paragrafo 13, fatte salve eventuali restrizioni nel Contratto principale. Athics garantirà che i sub-responsabili siano vincolati da accordi scritti che impongono loro di fornire almeno il livello di protezione dei dati richiesto ad Athics dal presente Addendum. Athics può continuare a utilizzare i sub-responsabili già ingaggiati alla data del presente Addendum. Athics dovrà dare al Cliente un preavviso scritto della nomina di qualsiasi nuovo sub-responsabile. Se, entro cinque (5) giorni lavorativi dal ricevimento di tale avviso, il Cliente notifica ad Athics per iscritto eventuali obiezioni (per motivi ragionevoli) alla nomina proposta, Athics non nominerà tale sub-responsabile finché non saranno state adottate misure ragionevoli per affrontare le obiezioni sollevate dal Cliente e al Cliente non sarà stata fornita una spiegazione scritta ragionevole delle misure adottate. Se Athics e il Cliente non riescono a risolvere la nomina di un sub-responsabile entro un periodo di tempo ragionevole, Athics avrà il diritto di recedere dal Contratto principale per giusta causa. (b) Athics sarà responsabile per gli atti e le omissioni di eventuali sub-responsabili così come lo è nei confronti del Cliente per i propri atti e omissioni in relazione alle questioni previste nel presente Addendum.
Legge applicabile e giurisdizione
(a) Le parti di questo Addendum si sottopongono alla scelta della giurisdizione stipulata nell’Accordo principale in relazione a qualsiasi controversia o reclamo in qualsiasi modo derivante da questo Addendum, comprese le controversie relative alla sua esistenza, validità o risoluzione o alle conseguenze della sua nullità. (b) Questo Addendum e tutti gli obblighi non contrattuali o di altro tipo derivanti da o in connessione con esso sono disciplinati dalle leggi del paese o territorio stipulato a tale scopo nell’Accordo principale.
Ordine di precedenza
(a) Per quanto riguarda l’oggetto del presente Addendum, in caso di incongruenze tra le disposizioni del presente Addendum e qualsiasi altro accordo tra le parti, incluso l’Accordo principale e inclusi (salvo diversamente concordato esplicitamente per iscritto, firmato per conto delle parti) accordi stipulati o presumibilmente stipulati dopo la data del presente Addendum, le disposizioni del presente Addendum prevarranno.
Modifiche alle leggi sulla protezione dei dati, ecc.
(a) Athics può modificare o integrare il presente Addendum, con ragionevole preavviso al Cliente: i. Se richiesto da un’autorità di vigilanza o da un altro ente governativo o normativo; ii. Se necessario per conformarsi alla legge applicabile; iii. Per implementare nuove o aggiornate Clausole contrattuali standard approvate dalla Commissione europea; o iv. Per aderire a un codice di condotta approvato o meccanismo di certificazione approvato o certificato ai sensi degli articoli 40, 42 e 43 GDPR.
Separazione
(a) Qualora una qualsiasi disposizione del presente Addendum dovesse risultare invalida o inapplicabile, il resto del presente Addendum rimarrà valido e in vigore. La disposizione invalida o inapplicabile sarà (i) modificata secondo necessità per garantirne la validità e l’applicabilità, preservando il più possibile le intenzioni delle parti o, se ciò non fosse possibile, (ii) interpretata in modo tale che la parte invalida o inapplicabile non fosse mai stata in essa contenuta.
Risoluzione
(a) Il presente Addendum e le Clausole contrattuali standard cesseranno contemporaneamente e automaticamente con la risoluzione del Contratto principale. (b) Athics può risolvere il presente Addendum e le Clausole contrattuali standard se Athics offre meccanismi alternativi al Cliente che rispettino gli obblighi delle leggi sulla privacy dell’Unione Europea per il trasferimento di Dati personali al di fuori dello SEE.
ALLEGATO 1
DETTAGLI SUL TRATTAMENTO DEI DATI PERSONALI
Il presente Allegato include alcuni dettagli sul trattamento dei Dati personali:
Oggetto e durata del trattamento dei Dati personali L’oggetto e la durata del trattamento dei Dati personali sono stabiliti nell’Accordo principale.
Natura e scopo del trattamento dei Dati personali Ai sensi dell’Accordo principale, Athics fornisce al Cliente determinati servizi di elaborazione dati. Athics può pertanto elaborare dati personali. Tali attività di elaborazione includono (a) la fornitura dei Servizi; (b) il rilevamento, la prevenzione e la risoluzione di problemi tecnici e di sicurezza; e (c) la risposta alle richieste di supporto del Cliente.
Tipi di Dati personali da elaborare I dati personali trasferiti includono nome, e-mail, indirizzo IP e dati personali inclusi nel contenuto dei messaggi.
Categorie di interessati a cui si riferiscono i Dati personali Mittenti e destinatari di messaggi e-mail e chatbot.
ALLEGATO 2
SICUREZZA DELLE INFORMAZIONI
Allo scopo di proteggere i dati personali trattati, Athics utilizza le migliori pratiche del settore, tra cui: • autenticazione avanzata; • crittografia dei dati a riposo/in volo; • firewall; • rilevamento delle intrusioni; e • strumenti di scansione delle vulnerabilità. I dettagli sulle misure di sicurezza delle informazioni di Athics sono ulteriormente descritti sul sito Web di Athics [https://athics.eu/privacy] che Athics aggiornerà di volta in volta. Inoltre, Athics ha nominato una società terza per eseguire una vulnerabilità dell’applicazione, un test di penetrazione e una scansione di rete su base annuale.
Appendice 1
Clausole contrattuali standard (responsabili del trattamento)
Ai fini dell’articolo 26(2) della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
L’entità Cliente che è parte dell’Addendum a cui sono allegate le presenti Clausole contrattuali standard.
E
Athics Srl. via Emilia all’Angelo, 44B 42124 – Reggio Emilia (RE) E-mail: gdpr@athics.eu
(l’importatore di dati o il sub-responsabile del trattamento dei dati (a seconda dei casi))
ciascuno una “parte”; insieme “le parti”,
HANNO CONCORDATO le seguenti Clausole contrattuali (le Clausole) al fine di fornire adeguate garanzie in relazione alla protezione della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell’esportatore di dati all’importatore di dati dei dati personali specificati nell’Appendice 1.
Clausola 1
Definizioni
Ai fini delle Clausole: (a) “dati personali”, “categorie particolari di dati”, “trattamento/elaborazione”, “titolare del trattamento”, “responsabile del trattamento”, “interessato” e “autorità di controllo” hanno lo stesso significato di quelli di cui alla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1; (b) “esportatore di dati”: il titolare del trattamento che trasferisce i dati personali; (c) “importatore di dati”: il responsabile del trattamento che accetta di ricevere dall’esportatore di dati dati personali destinati al trattamento per suo conto dopo il trasferimento conformemente alle sue istruzioni e ai termini delle Clausole e che non è soggetto al sistema di un paese terzo che garantisca una protezione adeguata ai sensi dell’articolo 25(1) della Direttiva 95/46/CE; d) «sub-responsabile»: qualsiasi responsabile del trattamento incaricato dall’importatore dei dati o da qualsiasi altro sub-responsabile dell’importatore dei dati che accetti di ricevere dall’importatore dei dati o da qualsiasi altro sub-responsabile dell’importatore dei dati dati personali destinati esclusivamente ad attività di trattamento da svolgere per conto dell’esportatore dei dati dopo il trasferimento conformemente alle sue istruzioni, ai termini delle clausole e ai termini del subcontratto scritto; e) «normativa applicabile in materia di protezione dei dati»: la normativa a tutela dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare, del diritto alla riservatezza con riguardo al trattamento dei dati personali applicabile a un titolare del trattamento nello Stato membro in cui è stabilito l’esportatore dei dati; f) «misure di sicurezza tecniche e organizzative»: le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dalla divulgazione o dall’accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati tramite una rete, e da qualsiasi altra forma illecita di trattamento.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabili, sono specificati nell’Appendice 1 che costituisce parte integrante delle Clausole.
Clausola 3
Clausola del beneficiario terzo
L’interessato può far valere nei confronti dell’esportatore di dati la presente Clausola, la Clausola 4(b) a (i), la Clausola 5(a) a (e) e (g) a (j), la Clausola 6(1) e (2), la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12 in qualità di beneficiario terzo. L’interessato può far valere nei confronti dell’importatore di dati la presente Clausola, la Clausola 5(a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12, nei casi in cui l’esportatore di dati sia di fatto scomparso o abbia cessato di esistere di diritto, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge, in conseguenza del quale assume i diritti e gli obblighi dell’esportatore di dati, nel qual caso l’interessato può farli valere nei confronti di tale entità. L’interessato può far valere nei confronti del sub-responsabile la presente clausola, la clausola 5(a) a (e) e (g), la clausola 6, la clausola 7, la clausola 8(2) e le clausole da 9 a 12, nei casi in cui sia l’esportatore di dati che l’importatore di dati siano di fatto scomparsi o abbiano cessato di esistere di diritto o siano diventati insolventi, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge in conseguenza dei quali assume i diritti e gli obblighi dell’esportatore di dati, nel qual caso l’interessato può farli valere nei confronti di tale entità. Tale responsabilità verso terzi del sub-responsabile sarà limitata alle proprie operazioni di trattamento ai sensi delle clausole. Le parti non si oppongono al fatto che un interessato sia rappresentato da un’associazione o altro organismo se l’interessato lo desidera espressamente e se consentito dalla legislazione nazionale.
Clausola 4
Obblighi dell’esportatore di dati
L’esportatore di dati accetta e garantisce: (a) che il trattamento, incluso il trasferimento stesso, dei dati personali è stato e continuerà a essere effettuato in conformità alle disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l’esportatore di dati) e non viola le disposizioni pertinenti di tale Stato; (b) che ha incaricato e per tutta la durata dei servizi di trattamento dei dati personali istruirà l’importatore di dati a trattare i dati personali trasferiti solo per conto dell’esportatore di dati e in conformità alla legge sulla protezione dei dati applicabile e alle Clausole; (c) che l’importatore di dati fornirà sufficienti garanzie in merito alle misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 del presente contratto; d) che, dopo la valutazione dei requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza sono appropriate per proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall’alterazione, dalla divulgazione o dall’accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati tramite una rete, e da tutte le altre forme illecite di trattamento, e che tali misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere, tenendo conto dello stato dell’arte e dei costi della loro attuazione; e) che garantirà il rispetto delle misure di sicurezza; f) che, se il trasferimento riguarda categorie particolari di dati, l’interessato è stato informato o sarà informato prima del trasferimento, o il prima possibile dopo, che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata ai sensi della direttiva 95/46/CE; (g) inoltrare all’autorità di controllo della protezione dei dati qualsiasi notifica ricevuta dall’importatore di dati o da qualsiasi sub-responsabile ai sensi della clausola 5(b) e della clausola 8(3) se l’esportatore di dati decide di continuare il trasferimento o di revocare la sospensione; (h) mettere a disposizione degli interessati, su richiesta, una copia delle clausole, ad eccezione dell’appendice 2, e una descrizione sommaria delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di sub-elaborazione che deve essere stipulato in conformità alle clausole, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali; (i) che, in caso di sub-elaborazione, l’attività di elaborazione sia svolta in conformità alla clausola 11 da un sub-responsabile che fornisca almeno lo stesso livello di protezione dei dati personali e dei diritti dell’interessato dell’importatore di dati ai sensi delle clausole; e (j) che garantirà la conformità alla clausola 4(a) a (i).
Clausola 5
Obblighi dell’importatore di dati2
L’importatore di dati accetta e garantisce: (a) di elaborare i dati personali solo per conto dell’esportatore di dati e in conformità alle sue istruzioni e alle Clausole; se non può fornire tale conformità per qualsiasi motivo, accetta di informare tempestivamente l’esportatore di dati della sua incapacità di ottemperare, nel qual caso l’esportatore di dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto; (b) di non avere motivo di ritenere che la legislazione applicabile gli impedisca di adempiere alle istruzioni ricevute dall’esportatore di dati e ai suoi obblighi ai sensi del contratto e che in caso di modifica di tale legislazione che possa avere un effetto negativo sostanziale sulle garanzie e sugli obblighi previsti dalle Clausole, notificherà tempestivamente la modifica all’esportatore di dati non appena ne verrà a conoscenza, nel qual caso l’esportatore di dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto; (c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 prima di elaborare i dati personali trasferiti; (d) che notificherà tempestivamente all’esportatore di dati: (i) qualsiasi richiesta giuridicamente vincolante di divulgazione dei dati personali da parte di un’autorità di contrasto, salvo diversamente vietato, come un divieto ai sensi del diritto penale di preservare la riservatezza di un’indagine di contrasto, (ii) qualsiasi accesso accidentale o non autorizzato e (iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, salvo diversa autorizzazione; (e) di gestire tempestivamente e correttamente tutte le richieste dell’esportatore di dati relative al trattamento dei dati personali soggetti al trasferimento e di attenersi al parere dell’autorità di controllo in merito al trattamento dei dati trasferiti; (f) su richiesta dell’esportatore di dati di sottoporre i propri impianti di trattamento dati a verifica delle attività di trattamento contemplate dalle clausole, che sarà svolta dall’esportatore di dati o da un organismo di ispezione composto da membri indipendenti e in possesso delle qualifiche professionali richieste, vincolati da un obbligo di riservatezza, selezionati dall’esportatore di dati, ove applicabile, in accordo con l’autorità di controllo; (g) di mettere a disposizione dell’interessato, su richiesta, una copia delle Clausole o di qualsiasi contratto di sub-trattamento esistente, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell’Appendice 2 che sarà sostituita da una descrizione sommaria delle misure di sicurezza nei casi in cui l’interessato non sia in grado di ottenere una copia dall’esportatore di dati; (h) che, in caso di sub-trattamento, ha precedentemente informato l’esportatore di dati e ha ottenuto il suo previo consenso scritto; (i) che i servizi di trattamento da parte del sub-responsabile saranno eseguiti in conformità alla Clausola 11; (j) di inviare tempestivamente all’esportatore di dati una copia di qualsiasi accordo di sub-responsabile concluso ai sensi delle Clausole.
Clausola 6
Responsabilità
Le parti concordano che qualsiasi interessato, che abbia subito un danno a seguito di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da parte di qualsiasi parte o sub-responsabile, ha diritto a ricevere un risarcimento dall’esportatore di dati per il danno subito. Se un interessato non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 contro l’esportatore di dati, derivante da una violazione da parte dell’importatore di dati o del suo sub-responsabile di uno qualsiasi dei loro obblighi di cui alla Clausola 3 o alla Clausola 11, perché l’esportatore di dati è di fatto scomparso o ha cessato di esistere di diritto o è diventato insolvente, l’importatore di dati accetta che l’interessato possa presentare una richiesta nei confronti dell’importatore di dati come se fosse l’esportatore di dati, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge, nel qual caso l’interessato può far valere i propri diritti nei confronti di tale entità. L’importatore di dati non può invocare una violazione da parte di un sub-responsabile dei propri obblighi al fine di evitare le proprie responsabilità. Se un interessato non è in grado di presentare un reclamo contro l’esportatore di dati o l’importatore di dati di cui ai paragrafi 1 e 2, derivante da una violazione da parte del sub-responsabile di uno qualsiasi dei loro obblighi di cui alla Clausola 3 o alla Clausola 11 perché sia l’esportatore di dati che l’importatore di dati sono di fatto scomparsi o hanno cessato di esistere di diritto o sono diventati insolventi, il sub-responsabile accetta che l’interessato possa presentare un reclamo contro il sub-responsabile dei dati in merito alle proprie operazioni di trattamento ai sensi delle Clausole come se fosse l’esportatore di dati o l’importatore di dati, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati o dell’importatore di dati per contratto o per effetto di legge, nel qual caso l’interessato può far valere i propri diritti nei confronti di tale entità. La responsabilità del sub-responsabile è limitata alle proprie operazioni di trattamento ai sensi delle Clausole.
Clausola 7
Mediazione e giurisdizione
L’importatore di dati accetta che se l’interessato invoca contro di sé i diritti di terzo beneficiario e/o chiede un risarcimento danni ai sensi delle Clausole, l’importatore di dati accetterà la decisione dell’interessato: (a) di sottoporre la controversia alla mediazione, da parte di una persona indipendente o, ove applicabile, dall’autorità di controllo; (b) di sottoporre la controversia ai tribunali dello Stato membro in cui è stabilito l’esportatore di dati. Le parti concordano che la scelta fatta dall’interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità ad altre disposizioni di diritto nazionale o internazionale. Clausola 8
Cooperazione con le autorità di controllo
L’esportatore di dati accetta di depositare una copia del presente contratto presso l’autorità di controllo se questa lo richiede o se tale deposito è richiesto ai sensi della legge sulla protezione dei dati applicabile. Le parti concordano che l’autorità di controllo ha il diritto di condurre un audit dell’importatore di dati e di qualsiasi sub-responsabile, che ha lo stesso ambito ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell’esportatore di dati ai sensi della legge sulla protezione dei dati applicabile. L’importatore di dati informerà tempestivamente l’esportatore di dati dell’esistenza di una legislazione applicabile a lui o a qualsiasi sub-responsabile che impedisca lo svolgimento di un audit dell’importatore di dati o di qualsiasi sub-responsabile, ai sensi del paragrafo 2. In tal caso, l’esportatore di dati avrà il diritto di adottare le misure previste nella clausola 5 (b). Clausola 9
Legge applicabile
Le Clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore di dati.
Clausola 10
Variazione del contratto
Le parti si impegnano a non variare o modificare le Clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni commerciali ove necessario, purché non contraddicano la Clausola.
Clausola 11
Sub-elaborazione
L’importatore di dati non deve subappaltare alcuna delle sue operazioni di elaborazione eseguite per conto dell’esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell’esportatore di dati. Qualora l’importatore di dati subappalti i suoi obblighi ai sensi delle Clausole, con il consenso dell’esportatore di dati, deve farlo solo tramite un accordo scritto con il sub-responsabile che impone al sub-responsabile gli stessi obblighi imposti all’importatore di dati ai sensi delle Clausole3. Qualora il sub-responsabile non adempia ai suoi obblighi di protezione dei dati ai sensi di tale accordo scritto, l’importatore di dati rimane pienamente responsabile nei confronti dell’esportatore di dati per l’adempimento degli obblighi del sub-responsabile ai sensi di tale accordo. Il contratto scritto precedente tra l’importatore di dati e il sub-responsabile deve inoltre prevedere una clausola di terzo beneficiario come stabilito nella clausola 3 per i casi in cui l’interessato non è in grado di presentare la richiesta di risarcimento di cui al paragrafo 1 della clausola 6 contro l’esportatore di dati o l’importatore di dati perché sono di fatto scomparsi o hanno cessato di esistere di diritto o sono diventati insolventi e nessun’entità successore ha assunto tutti gli obblighi legali dell’esportatore di dati o dell’importatore di dati per contratto o per effetto di legge. Tale responsabilità di terzi del sub-responsabile deve essere limitata alle proprie operazioni di trattamento ai sensi delle clausole. Le disposizioni relative agli aspetti di protezione dei dati per il sub-trattamento del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore di dati. L’esportatore di dati deve tenere un elenco degli accordi di sub-trattamento conclusi ai sensi delle clausole e notificati dall’importatore di dati ai sensi della clausola 5 (j), che deve essere aggiornato una volta all’anno. L’elenco deve essere messo a disposizione dell’autorità di controllo della protezione dei dati dell’esportatore di dati.
Clausola 12
Obbligo dopo la cessazione dei servizi di elaborazione dei dati personali
Le parti concordano che alla cessazione della fornitura dei servizi di elaborazione dei dati, l’importatore dei dati e il sub-responsabile, a scelta dell’esportatore dei dati, restituiranno tutti i dati personali trasferiti e le relative copie all’esportatore dei dati o distruggeranno tutti i dati personali e certificheranno all’esportatore dei dati di averlo fatto, a meno che la legislazione imposta all’importatore dei dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l’importatore dei dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti. L’importatore dei dati e il sub-responsabile garantiscono che, su richiesta dell’esportatore dei dati e/o dell’autorità di controllo, sottoporranno le proprie strutture di elaborazione dei dati a un audit delle misure di cui al paragrafo 1.
APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD
ESPORTATORE DI DATI
L’esportatore di dati è l’entità non Athics che trasferisce i Dati personali al di fuori dello SEE e utilizza i servizi Athics come Cliente diretto di Athics o come utente finale tramite il Cliente di Athics.
IMPORTATORE DI DATI
L’importatore di dati è Athics Srl.
SOGGETTI DATI
I dati personali trasferiti possono riguardare individui i cui dati personali vengono trasmessi o archiviati dall’esportatore di dati tramite il sistema e/o i servizi ospitati da Athics.
CATEGORIE DI DATI
I dati personali trasferiti includono nome, e-mail, indirizzo IP e dati personali inclusi nel contenuto del messaggio.
OPERAZIONI DI ELABORAZIONE
Ai sensi dell’Accordo, Athics fornisce determinati servizi di posta elettronica all’esportatore di dati o all’importatore di dati, a seconda dei casi. Athics può pertanto elaborare dati personali. Tali attività di elaborazione includono (a) la fornitura dei Servizi; (b) il rilevamento, la prevenzione e la risoluzione di problemi di sicurezza e tecnici; e (c) rispondere alle richieste di supporto del Cliente.
APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD
La presente Appendice fa parte delle Clausole e deve essere compilata e firmata dalle parti Descrizione delle misure di sicurezza tecniche e organizzative implementate dall’importatore di dati in conformità alle Clausole 4(d) e 5(c) (o documento/legislazione allegato): l’importatore di dati deve implementare misure di sicurezza equivalenti a quelle richieste ai sensi dell’Accordo, dell’Addendum e di qualsiasi documento accessorio sottoscritto ai sensi dell’Accordo. Al fine di proteggere i dati personali elaborati, Athics utilizza le migliori pratiche del settore, tra cui: • autenticazione avanzata; • crittografia dei dati a riposo/in volo; • firewall; • rilevamento delle intrusioni; e • strumenti di scansione delle vulnerabilità. I dettagli sulle misure di sicurezza delle informazioni di Athics sono ulteriormente descritti sul sito Web di Athics [https://athics.ai/privacy] che Athics aggiornerà di volta in volta. Inoltre, Athics ha nominato una società terza per eseguire una vulnerabilità dell’applicazione, un test di penetrazione e una scansione di rete su base annuale.