Appendice sulla Privacy dei Dati
Data di entrata in vigore: 16 febbraio 2025
tra
Cliente secondo le CGC come Titolare del trattamento (d’ora in avanti "Titolare"),
e
Wave Connect Inc., 3 Piazza Ville-Marie Suite 400, H3B 2E3, Montreal, Canada come Responsabile del trattamento Ville-Marie Suite 400, H3B 2E3, Montreal, Canada come Responsabile del trattamento (d'ora in avanti "Responsabile", Titolare e Responsabile congiuntamente le "Parti")
Premessa
Il Titolare ha incaricato il Responsabile nel CGC (d’ora in avanti "Accordo principale") per i servizi specificati. Parte dell’esecuzione del contratto è il trattamento dei dati personali. In particolare, l’Art. 28 del GDPR impone requisiti specifici su tale trattamento commissionato. Per rispettare tali requisiti, le Parti stipulano il presente Accordo di Trattamento dei Dati (d’ora in avanti "Accordo"), il cui adempimento non sarà remunerato separatamente, salvo diverso accordo espresso.
1. Definizioni
(1) Ai sensi dell’Art. 4 (7) del GDPR, il Titolare è l’entità che, da sola o congiuntamente con altri Titolari, determina le finalità e i mezzi del trattamento dei dati personali.
(2) Ai sensi dell’Art. 4 (8) del GDPR, un Responsabile del trattamento è una persona fisica o giuridica, autorità, istituzione o altro organo che tratta dati personali per conto del Titolare.
(3) Ai sensi dell’Art. 4 (1) del GDPR, per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile (d’ora in avanti "Interessato"); una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo, come un nome, un numero identificativo, dati sulla localizzazione, un identificativo online o uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.
(4) I dati personali che richiedono speciale protezione sono i dati personali ai sensi dell’Art. 9 GDPR che rivelano l’origine razziale o etnica, le opinioni politiche, le credenze religiose o filosofiche o l’appartenenza sindacale degli Interessati, dati personali ai sensi dell’Art. 10 del GDPR su condanne penali e reati o misure di sicurezza correlate, così come dati genetici ai sensi dell’Art. 4 (13) del GDPR, dati biometrici ai sensi dell’Art. 4 (14) del GDPR, dati sulla salute ai sensi dell’Art. 4 (15) del GDPR, e dati sulla vita sessuale o sull’orientamento sessuale di una persona.
(5) Secondo l’Articolo 4 (2) del GDPR, il trattamento è qualsiasi operazione o insieme di operazioni effettuate su dati personali, con o senza l’uso di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, l’archiviazione, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, allineamento o combinazione, la restrizione, la cancellazione o la distruzione.
(6) Ai sensi dell’Articolo 4 (21) del GDPR, l’autorità di controllo è un organismo statale indipendente istituito da uno Stato membro ai sensi dell’Articolo 51 del GDPR.
(7) "Leggi europee sulla protezione dei dati" comprende tutte le leggi e i regolamenti sulla protezione dei dati applicabili all’Area Economica Europea e ai suoi Stati membri ("EEE"), alla Svizzera e al Regno Unito ("Regno Unito"), tra cui (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento Generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla protezione della vita privata nel settore delle comunicazioni elettroniche; (iii) le recezioni nazionali applicabili di (i) e (ii); (iv) il GDPR come parte del diritto del Regno Unito in virtù della sezione 3 dello UK European Union (Withdrawal) Act 2018 e il Data Protection Act 2018 del Regno Unito (congiuntamente, "UK Data Protection Laws"); e (v) il Swiss Federal Data Protection Act del 19 giugno 1992 e la sua Ordinanza ("Swiss DPA").
2. Oggetto del contratto
(1) Il Responsabile del trattamento fornisce i servizi specificati nel Contratto Principale per il Titolare. In tal modo, il Responsabile del trattamento ottiene l’accesso ai dati personali, che il Responsabile del trattamento elabora per il Titolare esclusivamente per conto e in accordo con le istruzioni del Titolare. Lo scopo e l’obiettivo del trattamento dei dati da parte del Responsabile del trattamento sono stabiliti nel Contratto Principale e in eventuali descrizioni di servizio associate. Il Titolare è responsabile di valutare l’ammissibilità del trattamento dei dati.
(2) Le Parti concludono il presente Accordo per specificare i diritti e gli obblighi reciproci in base alla legge sulla protezione dei dati. In caso di dubbio, le disposizioni del presente Accordo prevarranno sulle disposizioni del Contratto Principale.
(3) Le disposizioni di questo contratto si applicano a tutte le attività relative al Contratto Principale in cui il Responsabile del trattamento e i suoi dipendenti o le persone autorizzate dal Responsabile del trattamento entrano in contatto con dati personali provenienti dal Titolare o raccolti per il Titolare.
(4) La durata di questo Accordo sarà governata dalla durata del Contratto Principale, a meno che le seguenti disposizioni non diano origine a ulteriori obblighi o diritti di risoluzione.
3. Diritto di istruzione
(1) Il Responsabile del trattamento può raccogliere, elaborare o utilizzare i dati solo nell’ambito del Contratto Principale e in conformità con le istruzioni del Titolare. Se il Responsabile del trattamento è obbligato dalla legge dell’Unione Europea o degli Stati membri a cui è soggetto a effettuare ulteriori trattamenti, dovrà notificare al Titolare tali requisiti legali prima del trattamento.
(2) Le istruzioni del Titolare sono inizialmente determinate da questo Accordo. Successivamente, possono essere decretate, integrate o sostituite dal Titolare in forma scritta o in testo mediante istruzioni individuali (Istruzioni Individuali). Il Titolare ha il diritto di emettere tali istruzioni in qualsiasi momento. Ciò include istruzioni riguardanti la correzione, la cancellazione e il blocco dei dati.
(3) Tutte le istruzioni emesse devono essere documentate dal Titolare. Le istruzioni che vanno oltre il servizio concordato nel Contratto Principale devono essere trattate come una richiesta di modifica del servizio.
(4) Se il Responsabile del trattamento ritiene che un’istruzione del Titolare violi le disposizioni sulla protezione dei dati, deve informare immediatamente il Titolare. Il Responsabile del trattamento ha il diritto di sospendere l’attuazione dell’istruzione pertinente fino a quando non viene confermata o modificata dal Titolare. Il Responsabile del trattamento può rifiutarsi di eseguire un’istruzione chiaramente illegale.
4. Tipi di dati trattati, gruppo di soggetti interessati, paese terzo
(1) Nell’ambito dell’attuazione del Contratto Principale, il Responsabile del trattamento avrà accesso ai dati personali specificati in modo più dettagliato nell’Allegato 1.
(2) Il gruppo di soggetti interessati dal trattamento dei dati è elencato nell’Allegato 1.
(3) Un trasferimento di dati personali in un paese terzo può avvenire alle condizioni dell’Art. 44 e ss. GDPR.
5. Misure protettive del Responsabile del trattamento
(1) Il Responsabile del trattamento è tenuto a osservare le disposizioni legislative sulla protezione dei dati e a non divulgare informazioni ottenute dal dominio del Titolare a terzi né a esporle al loro accesso. Documenti e dati devono essere protetti contro la divulgazione a persone non autorizzate, tenendo conto dello stato dell’arte.
(2) Il Responsabile del trattamento deve organizzare l’organizzazione interna nel proprio campo di responsabilità in modo tale da soddisfare i requisiti speciali della protezione dei dati. Deve aver adottato le misure tecniche e organizzative specificate nell’Allegato 2 per proteggere adeguatamente i dati del Titolare ai sensi dell’Art. 32 del GDPR, che il Titolare riconosce come adeguato. Il Responsabile del trattamento si riserva il diritto di modificare le misure di sicurezza adottate a condizione che il livello di protezione contrattualmente concordato non venga compromesso.
(3) Le persone impiegate nel trattamento dei dati dal Responsabile del trattamento sono debitamente vietate di raccogliere, elaborare o utilizzare dati personali senza autorizzazione. Il Responsabile del trattamento deve obbligare tutte le persone a essa affidate con il trattamento e l’esecuzione di questo contratto (d’ora in avanti "Dipendenti") di conseguenza (obbligo di confidenzialità, Art. 28 (3) lit. b del GDPR) e Assicurarsi della conformità con questo obbligo con la dovuta attenzione.
(4) Il Responsabile del trattamento ha nominato un responsabile della protezione dei dati. Il responsabile della protezione dei dati del Responsabile del trattamento è Rickert Rechtsanwaltsgesellschaft m.b.H, Colmantstraße 15, 53115 Bonn, Germania. Email: info@rickert.law, telefono: +49 (0)228 74 898 0
6. Obblighi informativi del Responsabile del trattamento
(1) In caso di disfunzioni, sospette violazioni della protezione dei dati o violazioni degli obblighi contrattuali del Responsabile del trattamento, sospetti incidenti legati alla sicurezza o altre irregolarità nel trattamento dei dati personali da parte del Responsabile del trattamento, di persone da lui impiegate nell'ambito del contratto o di terzi, il Responsabile del trattamento dovrà informare immediatamente il Titolare. Lo stesso vale per le verifiche del Responsabile del trattamento da parte dell’autorità di vigilanza per la protezione dei dati. La notifica di una violazione dei dati personali deve contenere almeno le seguenti informazioni:
(a) una descrizione della natura della violazione dei dati personali, compresi, per quanto possibile, le categorie e il numero di interessati coinvolti, le categorie coinvolte e il numero di registrazioni dei dati personali coinvolte;
(b) una descrizione delle misure adottate o proposte dal Responsabile del trattamento per affrontare la violazione e, ove applicabile, misure per mitigarne i possibili effetti negativi;
(c) una descrizione delle probabilità delle conseguenze della violazione dei dati personali.
(2) Il Responsabile del trattamento deve immediatamente adottare le misure necessarie per garantire i dati e per mitigare qualsiasi possibile conseguenza negativa per gli Interessati, informarne il Titolare e richiedere ulteriori istruzioni.
(3) Inoltre, il Responsabile del trattamento è obbligato a fornire al Titolare in qualsiasi momento le informazioni necessarie sulla situazione qualora i dati del Titolare siano interessati da una violazione ai sensi del paragrafo 1.
(4) Il Responsabile del trattamento informa il Titolare di eventuali modifiche significative alle misure di sicurezza ai sensi della Sezione 5 (2).
7. Diritti di controllo del Titolare
(1) Il Titolare può verificare le misure tecniche e organizzative del Responsabile del trattamento prima dell’inizio del trattamento dei dati e successivamente regolarmente su base annua. A tal fine, il Titolare può, ad esempio, ottenere informazioni dal Responsabile del trattamento, ottenere certificazioni esistenti da esperti, certificazioni o audit interni o, previa tempestiva coordinazione, ispezionare personalmente le misure tecniche e organizzative del Responsabile del trattamento durante l’orario di lavoro normale o farle ispezionare da una terza parte competente, a condizione che la terza parte non abbia un rapporto competitivo con il Responsabile del trattamento. Il Titolare effettuerà verifiche solo nella misura necessaria e non disturberà in modo sproporzionato le operazioni del Responsabile del trattamento durante il processo.
(2) Il Responsabile del trattamento si impegna a fornire al Titolare, su richiesta verbale o scritta di quest’ultimo e entro un periodo di tempo ragionevole, tutte le informazioni e i dati necessari per effettuare una verifica delle misure tecniche e organizzative del Responsabile del trattamento.
(3) Il Titolare documenterà i risultati dell’ispezione e ne informerà il Responsabile del trattamento. In caso di errori o irregolarità riscontrate dal Titolare, in particolare durante l’ispezione dei risultati dell’ispezione, il Titolare informerà immediatamente il Responsabile del trattamento. Se durante il controllo vengono rilevati fatti la cui futura prevenzione richiede modifiche alla procedura ordinata, il Titolare notificherà al Responsabile del trattamento le modifiche procedurali necessarie senza ritardo.
8. Utilizzo di fornitori di servizi
(1) I servizi contrattualmente concordati saranno eseguiti con il coinvolgimento dei fornitori di servizi elencati nell’Allegato 3 (d’ora in avanti "Sub-responsabili"). Il Titolare concede al Responsabile del trattamento l’autorizzazione generale ai sensi dell’Articolo 28 (2) lett. 1 GDPR per impegnare ulteriori Sub-responsabili nell’ambito dei propri obblighi contrattuali o per sostituire i Sub-responsabili già impegnati.
(2) Il Responsabile del trattamento informa il Titolare prima di qualsiasi cambiamento previsto in relazione al coinvolgimento o alla sostituzione di un Sub-responsabile. Il Titolare può opporsi al coinvolgimento o alla sostituzione prevista di un Sub-responsabile per un motivo importante ai sensi della legge sulla protezione dei dati.
(3) L’opposizione al coinvolgimento o alla sostituzione prevista di un Sub-responsabile deve essere sollevata entro 2 settimane dal ricevimento delle informazioni sul cambiamento. Se non viene sollevata alcuna opposizione, il coinvolgimento o la sostituzione sarà considerata approvata. Se esiste un motivo importante ai sensi della legge sulla protezione dei dati e non è possibile una soluzione amichevole tra il Titolare ed il Responsabile, il Titolare ha un diritto speciale di recesso entro la fine del mese successivo all’obiezione.
(4) Quando si coinvolgono Sub-responsabili, il Responsabile del trattamento deve obbligarli in conformità con le disposizioni del presente Accordo.
(5) Un rapporto di Sub-responsabile ai sensi di queste disposizioni non esiste se il Responsabile del trattamento incarica terze parti con servizi considerati puri servizi accessori. Questi includono, ad esempio, servizi postali, di trasporto e spedizione, servizi di pulizia, servizi di telecomunicazione senza alcun riferimento specifico ai servizi forniti dal Responsabile del trattamento al Titolare e servizi di guardia. I servizi di manutenzione e testing costituiscono rapporti di Sub-responsabile che richiedono il consenso, qualora vengano forniti per sistemi informatici che sono anche utilizzati in connessione con la fornitura di servizi per il Titolare.
9. Richieste e diritti degli Interessati
(1) Il Responsabile del trattamento deve supportare il Titolare con misure tecniche e organizzative adeguate nell’adempimento degli obblighi del Titolare ai sensi degli Articoli 12-22 e 32-36 GDPR.
(2) Se un Interessato esercita direttamente i diritti, come il diritto di accesso, correzione o cancellazione in merito ai propri dati, nei confronti del Responsabile del trattamento, quest’ultimo non dovrà reagire autonomamente, ma dovrà rinviare l’Interessato al Titolare e attendere le istruzioni del Titolare.
Nell’ambito del nostro impegno per la privacy e la conformità dei dati, puoi richiedere l’accesso, la correzione o la cancellazione dei tuoi dati personali elaborati secondo il nostro Accordo di Trattamento Dati (DPA). Per favore compila il modulo per inviare la tua richiesta.
10. Responsabilità
(1) Nella relazione interna con il Responsabile del trattamento, il Titolare è l’unico responsabile verso l’Interessato per il risarcimento del danno subito da un Interessato a causa di un trattamento dei dati contrario o non corretto in base alle leggi sulla protezione dei dati o per l’uso nell’ambito del trattamento commissionato.
(2) Il Responsabile del trattamento sarà responsabile illimitatamente per danni nella misura in cui la causa del danno sia legata a una violazione intenzionale o gravemente negligente del dovere da parte del Responsabile del trattamento, del suo rappresentante legale o agente ausiliario.
(3) Il Responsabile del trattamento sarà responsabile solo per negligenza in caso di violazione di un obbligo, l’adempimento del quale è un requisito per la corretta esecuzione del contratto e l’osservanza del quale il Titolare fa regolarmente affidamento e può fare affidamento, ma limitatamente al danno medio tipico per il contratto. In tutti gli altri aspetti, la responsabilità del Responsabile - inclusa quella dei suoi agenti ausiliari - sarà esclusa.
(4) La limitazione di responsabilità ai sensi del § 10.3 non si applica alle richieste di risarcimento per danni derivanti da lesioni alla vita, al corpo, alla salute o dall’assunzione di una garanzia.
11. Cessazione del Contratto Principale
(1) Dopo la cessazione del Contratto Principale, il Responsabile del trattamento dovrà restituire al Titolare tutti i documenti, dati e supporti dati forniti o - su richiesta del Titolare, a meno che non vi sia un obbligo di conservazione dei dati personali ai sensi delle leggi dell’Unione o della Repubblica Federale di Germania - cancellarli. Questo vale anche per eventuali backup dei dati presso il Responsabile del trattamento. Il Responsabile del trattamento su richiesta fornirà prova documentata della corretta cancellazione di eventuali dati.
(2) Il Titolare avrà il diritto di controllare la restituzione o la cancellazione completa e contrattuale dei dati presso il Responsabile del trattamento in un modo appropriato.
(3) Il Responsabile del trattamento è obbligato a mantenere riservati i dati di cui è venuto a conoscenza in connessione con il Contratto Principale anche oltre la fine del Contratto Principale. Il presente Accordo rimarrà valido oltre la fine del Contratto Principale finché il Responsabile del trattamento avrà a disposizione dati personali che gli sono stati trasmessi dal Titolare o che ha raccolto per il Titolare.
12. Disposizioni finali
(1) Nella misura in cui il Responsabile del trattamento non svolge espressamente azioni di supporto nel presente Accordo gratuitamente, può addebitare al Titolare una tassa ragionevole per questo, a meno che le azioni o le omissioni del Responsabile del trattamento stesso non abbiano reso tale supporto direttamente necessario.
(2) Le modifiche e gli aggiustamenti al presente Accordo devono essere apportati per iscritto. Questo vale anche per qualsiasi rinuncia a questo requisito formale. La priorità degli accordi contrattuali individuali rimarrà inalterata.
(3) Se singole disposizioni del presente Accordo sono o diventano completamente o parzialmente invalide o inapplicabili, ciò non influirà sulla validità delle restanti disposizioni.
(4) Il presente accordo è soggetto alla legge tedesca.
Allegato 1 - Descrizione dei dati/categorie di dati e gruppi/soggetti interessati
|
Tipo di cliente |
Categorie di soggetti interessati |
Categorie di dati |
|
Conti aziendali |
Dipendenti |
Nome, dettagli di contatto, posizione, dipartimento, foto, dettagli aziendali, collegamenti ai social media |
|
Conti aziendali & utenti individuali |
Parti interessate |
dettagli di contatto, nome, azienda |
Allegato 2 - Misure tecniche e organizzative del Responsabile del trattamento
1. Introduzione
Questo documento riassume le misure tecniche e organizzative adottate dal Responsabile del trattamento ai sensi dell'Art. 32 comma. 1 GDPR. Queste sono misure adottate dal Responsabile per proteggere i dati personali. Lo scopo del documento è sostenere il Titolare nel perseguire i suoi obblighi di responsabilità ai sensi dell'Art. 5 comma. 2 GDPR.
2. Riservatezza (Art. 32 comma. 1 lett. b GDPR)
2.1 Controllo d'ingresso
Le seguenti misure attuate impediscono a persone non autorizzate di accedere ai sistemi di elaborazione dei dati:
- Lavoro da casa: le persone non autorizzate non hanno accesso alle case dei dipendenti
- Lavoro in ufficio a casa: istruzioni ai dipendenti di lavorare in un ufficio separato dalle loro sale, se possibile
2.2 Controllo di ammissione
Le seguenti misure attuate impediscono a persone non autorizzate di accedere ai sistemi di elaborazione dei dati:
- Autenticazione con utente e password
- Uso di firewall
- Uso della gestione dei dispositivi mobili
- Crittografia dei supporti di dati
- Blocco automatico del desktop
- Gestione delle autorizzazioni degli utenti
- Creazione di profili utente
- Regole centrali delle password
- Uso di autenticazione a 2 fattori
- Politica aziendale per password sicure
- Istruzione generale per bloccare manualmente il desktop quando si lascia la postazione di lavoro
2.3 Controllo d'accesso
Le seguenti misure attuate assicurano che persone non autorizzate non abbiano accesso ai dati personali:
- Registrazione degli accessi alle applicazioni (in particolare quando si inseriscono, modificano e cancellano dati)
- Il numero di amministratori è mantenuto il più piccolo possibile
- Gestione dei diritti degli utenti da parte degli amministratori di sistema
- Istruzione ai dipendenti che i dati verranno cancellati solo dopo consultazione
2.4 Controllo di separazione
Le seguenti misure assicurano che i dati personali raccolti per scopi diversi siano elaborati separatamente:
- Archiviazione fisica separata su sistemi o supporti di dati separati
- Separazione del sistema di produzione e test
- Separazione logica del cliente (lato software)
- Definizione dei diritti del database
- Istruzione interna di anonimizzare/pseudonimizzare i dati personali in caso di divulgazione o dopo la scadenza del periodo di cancellazione legale, se possibile.
3. Integrità (Art. 32 comma. 1 lett. b GDPR)
3.1 Controllo di trasmissione
È garantito che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o la memorizzazione su supporti di dati, ed è possibile verificare quali persone o enti hanno ricevuto i dati personali. Le seguenti misure sono state implementate per garantire questo:
- Registrazione degli accessi e dei recuperi
- Fornitura di dati tramite connessioni crittografate come SFTP o HTTPS
- Divieto di caricare dati aziendali su server esterni
3.2 Controllo di input
Le seguenti misure assicurano che sia possibile verificare chi ha elaborato i dati personali nei sistemi di trattamento dati e a che ora:
- Registrazione dell'inserimento, modifica e cancellazione dei dati
- Controllo manuale o automatico dei log
- Tracciabilità dell'inserimento, modifica e cancellazione dei dati tramite nomi utente individuali (non gruppi di utenti)
- Responsabilità chiare per le cancellazioni
4. Disponibilità e resilienza (Art. 32 comma. 1 lett. b GDPR)
I Servizi operano su Google Cloud Platform (“GCP”) e sono protetti dai controlli di sicurezza e ambientali di Google. Wave Connect esegue backup regolari dei dati dei clienti, che sono ospitati nei data center di GCP. I backup sono replicati globalmente per la resilienza contro i disastri regionali e periodicamente testati dal team di ingegneri di Wave Connect.
I dipendenti completano ogni anno una formazione obbligatoria, che copre la privacy e la protezione dei dati, la riservatezza, l'ingegneria sociale, le politiche delle password e la sicurezza delle informazioni.
5. Procedure per la revisione, valutazione e valutazione regolare (Art. 32 comma. 1 lett. d GDPR; Art. 25 comma. 1 GDPR)
5.1 Gestione della protezione dei dati
Le seguenti misure sono intese a garantire che l'organizzazione soddisfi i requisiti fondamentali della legge sulla protezione dei dati:
- Nomina del responsabile della protezione dei dati Rickert Rechtsanwaltsgesellschaft
- Obbligo per i dipendenti di mantenere la segretezza dei dati
- Formazione regolare sulla protezione dei dati per i dipendenti
- Mantenere una panoramica delle attività di trattamento (Art. 30 GDPR)
5.2 Gestione della risposta agli incidenti
Le seguenti misure sono intese a garantire che i processi di segnalazione siano attivati in caso di violazione della protezione dei dati:
- Processo di segnalazione delle violazioni della protezione dei dati ai sensi dell'Art. 4 N. 12 GDPR alle autorità competenti (Art. 33 GDPR)
- Processo di notifica delle violazioni dei dati ai sensi dell'Art. 4 N. 12 GDPR ai soggetti interessati (Art. 34 GDPR)
- Coinvolgimento del responsabile della protezione dei dati in incidenti di sicurezza e violazioni dei dati
- Uso di firewall
5.3 Impostazioni predefinite favorevoli alla protezione dei dati (Art. 25 comma. 2 GDPR)
Le seguenti misure sono intese a garantire che i processi di segnalazione siano attivati in caso di violazione della protezione dei dati:
- Processo di segnalazione delle violazioni della protezione dei dati ai sensi dell'Art. 4 N. 12 GDPR alle autorità competenti (Art. 33 GDPR)
- Processo di notifica delle violazioni dei dati ai sensi dell'Art. 4 N. 12 GDPR ai soggetti interessati (Art. 34 GDPR)
5.4 Controllo dell'ordine
Le seguenti misure assicurano che i dati personali possano essere trattati solo secondo le istruzioni:
- Istruzioni scritte al contraente o istruzioni in forma scritta (es. tramite un accordo di trattamento dei dati)
- Garanzia della distruzione dei dati dopo il completamento dell'ordine, es. richiedendo conferme corrispondenti
- Conferma da parte dei contraenti che si impegnano i propri dipendenti alla segretezza dei dati (tipicamente nell'accordo sul trattamento dei dati)
- Selezione attenta dei contraenti (in particolare in merito alla sicurezza dei dati)
- Revisione continua dei contraenti e delle loro attività
- Garanzia della distruzione dei dati dopo il completamento dell'ordine, es. richiedendo conferme corrispondenti
Allegato 3 – Sub-processori attuali
|
Nome |
Funzione |
Località |
Informativa sulla Privacy di terze parti |
|
Google LLC |
Analitica, Fornitore di servizi cloud |
Stati Uniti |
https://google.com/policies/privacy/partners/. È possibile rinunciare a Google Analytics visitando: https://tools.google.com/dlpage/gaoptout. |
|
Microsoft |
Fornitore di servizi cloud |
Stati Uniti |
https://privacy.microsoft.com/en-us/privacystatement/ |
|
Stripe |
Elaborazione Pagamenti |
Stati Uniti |
https://stripe.com/en-ca/privacy |
|
Twilio Sengrid |
Consegna SMS & Email |
Stati Uniti |
https://www.twilio.com/en-us/legal/privacy |
|
PlanetScale |
Hosting del database |
Stati Uniti |
https://planetscale.com/legal/privacy |
|
Vercel |
Servizio di Hosting |
Stati Uniti |
https://vercel.com/legal/privacy-policy |
|
Intercom |
Servizio Clienti & Comunicazione |
Stati Uniti |
https://www.intercom.com/legal/privacy |
|
MaxMind |
Servizio IP |
Stati Uniti |
https://www.maxmind.com/en/privacy-policy |
|
Shopify |
Piattaforma di e-commerce |
Canada |
https://www.shopify.com/ca/legal/privacy |
|
Hubspot |
Servizio Clienti & Comunicazione |
Stati Uniti |
https://legal.hubspot.com/privacy-policy |
|
PostHog, Inc. |
Analisi di prodotto |
Stati Uniti |
https://posthog.com/privacy |