Clausole contrattuali standard
SEZIONE I
Clausola 1 Scopo e ambito di applicazione
(a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1) in caso di trasferimento di dati personali verso un paese terzo.
(b) Le parti:
(i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le «entità») che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito «esportatore»), e
(ii) la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito «importatore»)
hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»).
(c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
(d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2 Effetto e invariabilità delle clausole
(a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
(b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.
Clausola 3 Terzo beneficiario
(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
(i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;
clausola 8 - modulo uno: clausola 8.5, lettera e), e clausola 8.9, lettera b); modulo due: clausola 8.1, lettera b), clausola 8.9, lettere a), c), d) ed e); modulo tre clausola 8.1, lettere a), c) e d), e clausola 8.9, lettere a), c), d), e), f) e g); modulo quattro: clausola 8.1, lettera b), e clausola 8.3, lettera b);
(iii) clausola 9 - modulo due: clausola 9, lettere a), c), d) ed e); modulo tre: clausola 9, lettere a), c), d) ed e);
(iv) clausola 12 - modulo uno: clausola 12, lettere a) e d); moduli due e tre: clausola 12, lettere a), d) e f);
(v) clausola 13;
(v) clausola 15.1, lettere c), d) ed e);
(vii) clausola 16, lettera e);
clausola 18 - moduli uno, due e tre: clausola 18, lettere a) e b); modulo quattro: clausola 18.
(b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4 Interpretazione
(a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
(b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
(c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5 Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6 Descrizione dei trasferimenti
I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.
Clausola 7 — Facoltativa Clausola di adesione successiva
(a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A.
(b) Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A.
(c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.
SEZIONE II — OBBLIGHI DELLE PARTI
Clausola 8 Garanzie in materia di protezione dei dati
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
8.1 Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B. Può trattare i dati personali per un’altra finalità soltanto:
(i) se ha ottenuto il consenso preliminare dell’interessato;
(ii) se il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
(iii) se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
8.2 Trasparenza
(a) Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l’importatore li informa, direttamente o tramite l’esportatore, circa:
(i) la sua identità e i suoi dati di contatto;
(ii) le categorie di dati personali trattati;
(iii) il diritto di ottenere una copia delle presenti clausole;
(iv) qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento successivo e il motivo dello stesso in conformità della clausola 8.7.
(b) La lettera a) non si applica se l’interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall’esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore. In quest’ultimo caso l’importatore, per quanto possibile, rende pubbliche le informazioni.
(c) Su richiesta, le parti mettono gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
(d) Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.3 Esattezza e minimizzazione dei dati
(a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
(b) Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’altra parte.
(c) L’importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
8.4 Limitazione della conservazione
L’importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o l’anonimizzazione (2) dei dati e di tutti i backup alla fine del periodo di conservazione.
8.5 Sicurezza del trattamento
(a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
(b) Le parti concordano le misure tecniche e organizzative di cui all’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
(c) Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
(d) In caso di una violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
(e) In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l’importatore informa l’esportatore e l’autorità di controllo competente in conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), ii) le sue probabili conseguenze, iii) le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni contestualmente, l’importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo.
(f) In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua natura, se necessario in cooperazione con l’esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l’importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest’ultimo caso, l’importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali.
(g) L’importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro.
8.6 Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all’ulteriore divulgazione.
8.7 Trasferimenti successivi
L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (3) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. Altrimenti, il trasferimento successivo da parte dell’importatore può aver luogo solo se:
(i) è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
(iii) il terzo stipula uno strumento vincolante con l’importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l’importatore fornisce una copia di tali garanzie all’esportatore;
(iv) il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari;
(v) il trasferimento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, o
(vi) qualora non ricorra nessuna delle altre condizioni, l’importatore ha ottenuto il consenso esplicito dell’interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell’identità del destinatario e dei possibili rischi di siffatto trasferimento per l’interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l’importatore informa l’esportatore e, su richiesta di quest’ultimo, gli trasmette copia delle informazioni fornite all’interessato.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.8 Trattamento sotto l’autorità dell’importatore
L’importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione.
8.9 Documentazione e rispetto
(a) Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità.
(b) Su richiesta, l’importatore mette tale documentazione a disposizione dell’autorità di controllo competente.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
8.1 Istruzioni
(a) L’importatore tratta i dati personali soltanto su istruzione documentata dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.
(b) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.
8.2 Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni dell’esportatore.
8.3 Trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può espungere informazioni dall’appendice delle presenti clausole prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. Questa clausola lascia impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.4 Esattezza
Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per cancellarli o rettificarli.
8.5 Durata del trattamento e cancellazione o restituzione dei dati
L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. Al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6 Sicurezza del trattamento
(a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
(b) L’importatore concede l’accesso ai dati personali ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
(c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, se del caso anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
(d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7 Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8 Trasferimenti successivi
L’importatore comunica i dati personali a terzi soltanto su istruzione documentata dell’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (4) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato:
(i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
(iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
(iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9 Documentazione e rispetto
(a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore relative al trattamento a norma delle presenti clausole.
Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto dell’esportatore.
(c) L’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e, su richiesta dell’esportatore, consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
(d) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
(e) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
8.1 Istruzioni
(a) L’esportatore informa l’importatore del fatto che agisce in qualità di responsabile del trattamento seguendo le istruzioni del o dei titolari del trattamento, che mette a disposizione dell’importatore prima del trattamento.
(b) L’importatore tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, quale comunicatagli dall’esportatore, e su qualunque istruzione documentata aggiuntiva dell’esportatore. Tali istruzioni aggiuntive non devono essere in contrasto con le istruzioni del titolare del trattamento. Il titolare del trattamento o l’esportatore può impartire ulteriori istruzioni documentate in merito al trattamento dei dati per tutta la durata del contratto.
(c) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni. Qualora l’importatore non sia in grado di seguire le istruzioni del titolare del trattamento, l’esportatore ne dà immediatamente notifica al titolare del trattamento.
(d) L’esportatore garantisce di aver imposto all’importatore gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico a norma del diritto dell’Unione o degli Stati membri tra il titolare del trattamento e l’esportatore(5).
8.2 Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni del titolare del trattamento, quali comunicategli dall’esportatore, o dell’esportatore.
8.3 Trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
8.4 Esattezza
Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per rettificarli o cancellarli.
8.5 Durata del trattamento e cancellazione o restituzione dei dati
L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. Al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica all’esportatore di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6 Sicurezza del trattamento
(a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore o del titolare del trattamento. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
(b) L’importatore concede l’accesso ai dati ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
(c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore e, ove opportuno e fattibile, il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
(d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7 Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8 Trasferimenti successivi
L’importatore comunica i dati personali a terzi soltanto su istruzione documentata del titolare del trattamento, quale comunicatagli dall’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (6) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato:
(i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679;
(iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
(iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9 Documentazione e rispetto
(a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore o del titolare del trattamento relative al trattamento a norma delle presenti clausole.
Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto del titolare del trattamento.
(c) L’importatore mette tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole a disposizione dell’esportatore, che le fornisce al titolare del trattamento.
(d) L’importatore consente e contribuisce alle attività di revisione dell’esportatore delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Lo stesso vale qualora l’esportatore richieda che sia effettuata un’attività di revisione su istruzione del titolare del trattamento. Nel decidere in merito a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
(e) Qualora l’attività di revisione sia effettuata su istruzione del titolare del trattamento, l’esportatore ne mette i risultati a disposizione del titolare del trattamento.
(f) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
(g) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
8.1 Istruzioni
(a) L’esportatore tratta i dati personali soltanto su istruzione documentata dell’importatore, che agisce in qualità di titolare del trattamento.
(b) L’esportatore informa immediatamente l’importatore qualora non sia in grado di seguire tali istruzioni, compreso qualora tali istruzioni violino il regolamento (UE) 2016/679 o altra legislazione dell’Unione o degli Stati membri in materia di protezione dei dati.
(c) L’importatore si astiene da qualunque azione che impedisca all’esportatore di adempiere ai propri obblighi a norma del regolamento (UE) 2016/679, anche nel contesto di un sub-trattamento o per quanto riguarda la cooperazione con le autorità di controllo competenti.
(d) Al termine della prestazione dei servizi di trattamento l’esportatore, a scelta dell’importatore, cancella tutti i dati personali trattati per conto dell’importatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’importatore tutti i dati personali trattati per suo conto e cancella le copie esistenti.
8.2 Sicurezza del trattamento
(a) Le parti mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, anche durante la trasmissione, e la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, tengono debitamente conto dello stato dell’arte, dei costi di attuazione, della natura dei dati personali (7), nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati e, in particolare, prendono in considerazione la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
(b) L’esportatore assiste l’importatore nel garantire un’adeguata sicurezza dei dati conformemente alla lettera a). In caso di violazione dei dati personali trattati dall’esportatore a norma delle presenti clausole, l’esportatore informa l’importatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione e assiste l’importatore nel porvi rimedio.
(c) L’esportatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
8.3 Documentazione e rispetto
(a) Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole.
(b) L’esportatore mette a disposizione dell’importatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole, e consente e contribuisce alle attività di revisione.
Clausola 9 Ricorso a sub-responsabili del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
(a) L’importatore ha l’autorizzazione generale dell’esportatore per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così all’esportatore tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce all’esportatore le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
(b) Qualora l’importatore ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto dell’esportatore), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati. (8) Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
(c) Su richiesta dell’esportatore, l’importatore gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
(d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
(e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(a) L’importatore ha l’autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione. L’importatore informa l’esportatore del ricorso al o ai sub-responsabili del trattamento.
(b) Qualora l’importatore ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati. (9) Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
(c) Su richiesta dell’esportatore o del titolare del trattamento, l’importatore fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
(d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
(e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.
Clausola 10 Diritti dell’interessato
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
(a) L’importatore, se del caso con l’assistenza dell’esportatore, tratta qualunque richiesta di informazioni e richiesta ricevute da un interessato in relazione al trattamento dei suoi dati personali e all’esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta di informazioni o richiesta. (10) L’importatore adotta misure adeguate per agevolare tali richieste di informazioni, richieste e l’esercizio dei diritti dell’interessato. Tutte le informazioni fornite all’interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
(b) In particolare, su richiesta dell’interessato, e gratuitamente, l’importatore:
(i) conferma all’interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all’allegato I; se i dati personali sono stati o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre reclamo a un’autorità di controllo conformemente alla clausola 12, lettera c), punto i);
(ii) rettifica i dati inesatti o incompleti dell’interessato;
(iii) cancella i dati personali dell’interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o se l’interessato revoca il consenso su cui si basa il trattamento.
(c) Qualora l’importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.
(d) L’importatore non prende alcuna decisione basata unicamente sul trattamento automatizzato dei dati personali trasferiti (di seguito «decisione automatizzata»), che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell’interessato o se autorizzato in tal senso dalla legislazione del paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell’interessato. In tal caso l’importatore, se necessario in cooperazione con l’esportatore:
(i) informa l’interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e
(ii) attua garanzie adeguate, consentendo almeno all’interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano.
(e) Qualora le richieste dell’interessato siano eccessive, in particolare per il carattere ripetitivo, l’importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell’accoglimento della richiesta o rifiutarsi di soddisfare la richiesta.
(f) L’importatore può rifiutare la richiesta dell’interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679.
(g) Se l’importatore intende rifiutare la richiesta dell’interessato, informa quest’ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all’autorità di controllo competente e/o di proporre ricorso giurisdizionale.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
(a) L’importatore notifica prontamente all’esportatore qualunque richiesta ricevuta da un interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dall’esportatore.
(b) L’importatore assiste l’esportatore nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
(c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni dell’esportatore.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(a) L’importatore notifica prontamente all’esportatore e, se del caso, al titolare del trattamento qualunque richiesta ricevuta da un interessato, senza rispondere a tale richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
(b) L’importatore assiste, se del caso in cooperazione con l’esportatore, il titolare del trattamento nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso. A tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
(c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni del titolare del trattamento comunicate dall’esportatore.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Le parti dovrebbero prestarsi reciproca assistenza nel rispondere alle richieste di informazioni e alle richieste presentate dagli interessati a norma della legislazione locale applicabile all’importatore o, per il trattamento dei dati da parte dell’esportatore nell’UE, a norma del regolamento (UE) 2016/679.
Clausola 11 Ricorso
(a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
(c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
(i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
(ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
(d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
(e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
(f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12 Responsabilità
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
(a) Ciascuna parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
(b) Ciascuna parte è responsabile nei confronti dell’interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore a norma del regolamento (UE) 2016/679.
(c) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
(d) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
(e) L’importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(a) Ciascuna parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
(c) L’importatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o il suo sub-responsabile del trattamento ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento.
(c) Nonostante la lettera b), l’esportatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o l’importatore (o il suo sub-responsabile del trattamento) ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore e, qualora l’esportatore sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.
(d) Le parti convengono che, se l’esportatore è ritenuto responsabile a norma della lettera c) per i danni causati dall’importatore (o dal suo sub-responsabile del trattamento), egli ha il diritto di reclamare dall’importatore la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
(e) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
(f) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
(g) L’importatore non può invocare il comportamento di un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13 Controllo
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(a) [Qualora l’esportatore sia stabilito in uno Stato membro dell’UE:] L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e abbia nominato un rappresentante in conformità dell’articolo 27, paragrafo 1, del medesimo regolamento:] L’autorità di controllo dello Stato membro in cui il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679 è stabilito, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e non abbia tuttavia nominato un rappresentante in conformità dell’articolo 27, paragrafo 2, del medesimo regolamento:] L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti a norma delle presenti clausole in relazione all’offerta di beni o alla prestazione di servizi, o il cui comportamento è oggetto di monitoraggio, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
(b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.
SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14 Legislazione e prassi locali che incidono sul rispetto delle clausole
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento (qualora il responsabile del trattamento stabilito nell’UE combini i dati personali ricevuti dal titolare del trattamento stabilito nel paese terzo con dati personali che ha raccolto nell’UE)
(a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
(i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
(ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (12);
(iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
(c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
(d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
(e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a). [Per il modulo tre: L’esportatore trasmette la notifica al titolare del trattamento.]
(f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione [per il modulo tre:, se del caso in consultazione con il titolare del trattamento]. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione [per il modulo tre: del titolare del trattamento o] dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
Clausola 15 Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento (qualora il responsabile del trattamento stabilito nell’UE combini i dati personali ricevuti dal titolare del trattamento stabilito nel paese terzo con dati personali che ha raccolto nell’UE)
15.1 Notifica
(a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
(i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
(ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
[Per il modulo tre: L’esportatore trasmette la notifica al titolare del trattamento.]
(b) Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
(c) Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.). [Per il modulo tre: L’esportatore trasmette le informazioni al titolare del trattamento.]
(d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
(e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2 Riesame della legittimità e minimizzazione dei dati
(a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).
(b) L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente. [Per il modulo tre: L’esportatore mette la valutazione a disposizione del titolare del trattamento.]
(c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.
SEZIONE IV — DISPOSIZIONI FINALI
Clausola 16 Inosservanza delle clausole e risoluzione
(a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
(b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
(c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
(i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
(ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o
(iii) l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l’autorità di controllo competente [per il modulo tre: e il titolare del trattamento] di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
[Per i moduli uno, due e tre: I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati.] [Per il modulo quattro: I dati personali raccolti dall’esportatore nell’UE che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono cancellati immediatamente e integralmente, compresa qualunque loro copia. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
(e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17 Legislazione vigente
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le Parti convengono che tale legge è quella definita nei Termini.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Le presenti clausole sono disciplinate dalla legge di un paese che riconosce i diritti del terzo beneficiario. Le Parti convengono che tale legge è quella definita nei Termini.
Clausola 18 Scelta del foro e giurisdizione
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
(a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
(b) Le parti convengono che tali organi giurisdizionali sono quelli definiti nei Termini.
(c) L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
(d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali definiti nei Termini.
APPENDICE
NOTA ESPLICATIVA: Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o a ciascuna categoria di trasferimenti e, a tale riguardo, determinare i ruoli rispettivi delle parti quali esportatori e/o importatori. Non occorre per forza compilare e firmare appendici distinte per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale laddove tale trasparenza possa essere garantita con un’unica appendice. Tuttavia, ove necessario per assicurare una sufficiente chiarezza, dovrebbero essere utilizzate appendici distinte.
ALLEGATO I
A. ELENCO DELLE PARTI
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Esportatore/i: [Identità e dati di contatto del o degli esportatori e, se del caso, del suo/loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]
1. Titolare del trattamento come definito nell’Accordo sul trattamento dei dati
2. Responsabile del trattamento come definito nell’Accordo sul trattamento dei dati
(in base al flusso di dati)
Importatore/i: [Identità e dati di contatto del o degli importatori, compreso qualsiasi referente con responsabilità in materia di protezione dei dati]
1. Titolare del trattamento come definito nell’Accordo sul trattamento dei dati
2. Responsabile del trattamento come definito nell’Accordo sul trattamento dei dati
(in base al flusso di dati)
B. DESCRIZIONE DEL TRASFERIMENTO
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Categorie di interessati i cui dati personali sono trasferiti: Come definito nell’Accordo sul trattamento dei dati.
Categorie di dati personali trasferiti: Come definito nell’Accordo sul trattamento dei dati e nell’Informativa sulla privacy.
Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all’accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari: Come definito nell’Accordo sul trattamento dei dati e nell’Informativa sulla privacy.
La frequenza del trasferimento (ad esempio se i dati sono trasferiti come evento singolo o su base continua): Su base continua
Natura del trattamento: Automatizzato.
Finalità del trasferimento dei dati e dell’ulteriore trattamento: Fornitura del servizio come definito nei Termini, nei relativi Allegati, nell’Informativa sulla privacy e nella documentazione del servizio.
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo: Come definito nell’Accordo sul trattamento dei dati.
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento: Come definito nell’Accordo sul trattamento dei dati.
C. AUTORITÀ DI CONTROLLO COMPETENTE
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
Identificare la o le autorità di controllo competenti conformemente alla clausola 13: Come definito nell’Informativa sulla privacy
ALLEGATO II MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
NOTA ESPLICATIVA: Le misure tecniche e organizzative devono essere descritte in termini specifici (e non generici). Si veda anche la nota esplicativa nella prima pagina dell’appendice, in particolare riguardo alla necessità di indicare chiaramente quali misure si applicano a ciascun trasferimento/insieme di trasferimenti.
Descrizione delle misure tecniche e organizzative messe in atto dal o dagli importatori (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche: Come definito nella politica di sicurezza
Per i trasferimenti a (sub-)responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-)responsabile del trattamento deve prendere per essere in grado di fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile del trattamento a un sub-responsabile del trattamento, all’esportatore
ALLEGATO III ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
NOTA ESPLICATIVA: Il presente allegato deve essere compilato per i moduli due e tre, in caso di autorizzazione specifica di sub-responsabili del trattamento (clausola 9, lettera a), opzione 1).
Il titolare del trattamento ha autorizzato il ricorso ai seguenti sub-responsabili del trattamento: Come definito nell’Accordo sul trattamento dei dati
Riferimenti:
(1) Qualora l’esportatore sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un’istituzione o di un organo dell’Unione in qualità di titolare del trattamento, l’utilizzo delle presenti clausole quando è fatto ricorso a un altro responsabile del trattamento (sub-responsabile del trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n.45/2001 e la decisione n.1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Si tratta, in particolare, del caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella decisione 2021/915.
(2) Questo richiede di rendere anonimi i dati in modo tale che la persona non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679, e che tale processo sia irreversibile.
(3) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
(4) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
(5) Cfr. l’articolo 28, paragrafo 4, del regolamento (UE) 2016/679 e, qualora il titolare del trattamento sia un’istituzione o un organo dell’UE, l’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725.
(6) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
(7) Compreso il fatto che il trasferimento e l’ulteriore trattamento riguardino o meno dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati.
(8) Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti clausole secondo il modulo appropriato, conformemente alla clausola 7.
(9) Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti clausole secondo il modulo appropriato, conformemente alla clausola 7.
(10) Tale termine può essere prorogato al massimo di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. L’importatore informa debitamente e prontamente l’interessato di tale proroga.
(11) L’importatore può offrire una risoluzione indipendente delle controversie tramite un organo arbitrale solo se è stabilito in un paese che ha ratificato la convenzione di New York sull’esecuzione dei lodi arbitrali.
(12) Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle presenti clausole, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale. Tali elementi possono includere un’esperienza pratica pertinente e documentata in casi precedenti di richieste di comunicazione da parte di autorità pubbliche, o l’assenza di tali richieste, per un periodo di tempo sufficientemente rappresentativo. Si tratta in particolare di registri interni o altra documentazione, elaborati su base continuativa conformemente alla dovuta diligenza e certificati a livello di alta dirigenza, sempre che tali informazioni possano essere lecitamente condivise con terzi. Qualora per concludere che all’importatore non sarà impedito di rispettare le presenti clausole si faccia affidamento su questa esperienza pratica, essa deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se tali elementi, congiuntamente, abbiano un peso sufficiente in termini di affidabilità e rappresentatività per sostenere tale conclusione. In particolare, le parti devono considerare se la loro esperienza pratica è corroborata e non contraddetta da informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti.