Skip to Content
Go back
BAS-IP / ADDENDUM SULL’ELABORAZIONE DEI DATI

Ultimo aggiornamento: [10.12.2025]

Questo Addendum sull’Elaborazione dei Dati (di seguito ‘DPA‘) è inserito tra te (di seguito il ‘Cliente‘, ‘tu‘, ‘tu‘) e BAS-IP DISTRIBUTION LTD (di seguito ‘Società‘, ‘BAS-IP‘, ‘noi‘, ‘noi‘ o ‘nostro‘), d’ora in poi denominati singolarmente ‘Parte‘ o insieme come ‘Feste. Questa DPA integra i Termini e Condizioni (di seguito l”Accordo‘), stipulati tra le Parti.

Questo DPA regola il trattamento dei dati personali che il Client fornisce a BAS-IP in relazione all’uso dei prodotti e servizi di BAS-IP (insieme i ‘Servizi‘), nonché di qualsiasi dato personale che BAS-IP ottiene durante l’esecuzione dei Servizi per il Client.

Salvo diversa definizione in questa DPA, tutti i termini maiuscoli utilizzati in questa DPA avranno i significati stabiliti nell’Accordo. Questo DPA rimarrà in vigore fino alla risoluzione dell’Accordo tra te e noi che regola il tuo utilizzo dei Servizi. In caso di conflitto tra questa DPA e l’Accordo, prevalgono le disposizioni di questa DPA riguardo al trattamento dei dati personali.

1. Definizioni

Ai fini di questa DPA, si applicano le seguenti definizioni:

Dati Cliente” indica qualsiasi dato personale che il Client carica, trasmetta o fornisce in altro modo a BAS-IP in relazione ai Servizi, così come qualsiasi dato personale che BAS-IP elabora durante l’esecuzione dei Servizi.

Leggi sulla protezione dei dati” indica tutte le leggi e regolamenti applicabili relativi al trattamento dei dati dei clienti, inclusi quelli dell’Unione Europea, dello Spazio Economico Europeo e dei suoi stati membri, il Regno Unito, quali:

  • il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR UE);
  • il Regolamento Generale sulla Protezione dei Dati del Regno Unito (RGPD UK);
  • la Legge sulla Protezione dei Dati del 2018;
  • il Data (Use and Access) Act 2025 (DUAA);
  • qualsiasi altra legge e regolamento applicabile sulla protezione dei dati, nella misura in cui sia applicabile alle Parti e alle attività di trattamento ai sensi di questa DPAqualsiasi altra legge e regolamento applicabile.

Meccanismo di Trasferimento Dati” indica qualsiasi meccanismo, strumento o quadro legalmente riconosciuto che consenta il trasferimento dei dati dei clienti da una giurisdizione all’altra in conformità con le leggi applicabili sulla protezione dei dati, inclusi, senza limitazioni, le clausole contrattuali standard dell’UE e l’Addendum del Regno Unito.

SCC UE” indica le Clausole Contrattuali Standard UE per il trasferimento dei dati dei clienti a paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio approvate dalla Decisione di Esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021, come attualmente stabilito a https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Regolamento generale sulla protezione dei dati (GDPR)” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in materia di trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.

Trasferimento Internazionale dei Dati” significa qualsiasi trasferimento di dati del cliente da un paese in cui i dati sono raccolti a un paese al di fuori di quella giurisdizione, dove le leggi sulla protezione dei dati applicabili richiedono adeguate garanzie per tale trasferimento.

Autorità Pubblica” indica un’agenzia governativa o un’autorità di polizia, comprese le autorità giudiziarie.

Dati Sensibili del Cliente” significa Dati del Cliente che rivelano origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, o appartenenza a sindacali, dati genetici o dati biometrici allo scopo di identificare in modo unico una persona naturale, dati relativi alla salute, alla vita sessuale o orientamento sessuale di una persona, o dati relativi a condanne e reati penali.

Servizi” indica i servizi forniti dalla Società al Cliente.

Autorità di Supervisione” indica un’autorità pubblica indipendente responsabile del monitoraggio dell’applicazione della legislazione sulla protezione dei dati.

Misure di Sicurezza Tecnica e Organizzativa” intendono le misure volte a proteggere i dati personali contro la distruzione involontaria o la perdita, alterazione, divulgazione o accesso non autorizzato, in particolare quando il trattamento comporta la trasmissione di dati tramite una rete, e contro tutte le altre forme illecite di trattamento.

Regno Unito GDPR” indica la versione conservata del Regolamento Generale sulla Protezione dei Dati dell’UE in quanto fa parte della legge britannica, insieme a eventuali modifiche apportate dal Data Protection Act 2018 e da qualsiasi altra normativa britannica applicabile che regola il trattamento dei dati personali.

Addendum del Regno Unito” indica l’Addendum sul Trasferimento Internazionale dei Dati alle Clausole Contrattuali Standard dell’UE evocato dal Commissario per l’Informazione per le Parti che effettuano Trasferimenti Limitati ai sensi delle leggi sulla protezione dei dati del Regno Unito, come attualmente previsto al https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

Intrattere”,Trattatore“, “Sotto-Trattatore“, “Soggetto Dati“, “Dati Personali” e “Trattamento” hanno i significati dati nelle Leggi sulla Protezione dei Dati.

2. Ruoli e responsabilità

Quando BAS-IP elabora i Dati del Cliente per tuo conto in relazione ai Servizi, riconosci e accetti che, per quanto riguarda il trattamento dei Dati del Cliente, tu sei un responsabile o un incaricato, e noi siamo un processore o sotto-responsabile (come definito dalle Leggi sulla Protezione dei Dati) che agisce per tuo conto. Una descrizione di tale trattamento è indicata nell’Allegato 1 di questa DPA. Questa DPA si applica di conseguenza ai ruoli consolidati e non si applica a situazioni in cui agiamo come controller in conformità con l’Informativa sulla Privacy di BAS-IP.

Se il Client è un processore, il Client garantisce a BAS-IP che le istruzioni e le azioni del Client riguardo ai dati personali, inclusa la nomina di BAS-IP come sotto-processore e, dove applicabile, la conclusione degli EU SCC o di qualsiasi altro Addenda ai sensi della Sezione 9 di questa DPA (inclusi i quali potranno essere modificati nella Sezione 9 sotto), sono state (e saranno,  per la durata di questa DPA, continuano a essere) autorizzati dal responsabile terzo competente.

3. Istruzioni

Le Parti concordano che questa DPA e l’Accordo applicabile costituiscono le istruzioni complete e finali documentate del Cliente riguardo al trattamento dei Dati del Cliente (di seguito le ‘Istruzioni‘), dove il Cliente agisce come responsabile o processore e BAS-IP agisce come processore o sotto-responsabile ai sensi delle Leggi sulla Protezione dei Dati.

Qualsiasi istruzione aggiuntiva o alternativa deve essere concordata per iscritto dalle Parti e deve essere coerente con questa DPA e con l’Accordo.

4. Descrizione dell’elaborazione

Il trattamento dei dati del cliente per conto del cliente in relazione ai Servizi è descritto nell’Allegato 1 di questa DPA. Ci riserviamo il diritto di aggiornare periodicamente la descrizione dell’elaborazione per riflettere le nuove funzionalità che fanno parte dei Servizi.

5. Obblighi del cliente

5.1. Obblighi del Controller

Nell’ambito della DPA, quando il Cliente agisce come controllore, è responsabile di rispettare tutti i requisiti che si applicano al Cliente come responsabile dei diritti ai sensi delle Leggi sulla Protezione dei Dati.

Quando agisci come controller, devi:

(a) mantenere l’accuratezza, la qualità, la riservatezza e la sicurezza dei Dati del Cliente;

(b) rispettare e adempiere ai propri obblighi previsti dalle Leggi sulla Protezione dei Dati, inclusi i diritti dei soggetti interessati, la sicurezza dei dati e la riservatezza dei dati, e assicurarsi di avere una base legale adeguata per il trattamento dei dati personali;

(c) fornire BAS-IP solo i dati del cliente ottenuti legalmente e garantire che tali dati siano adeguati, rilevanti e proporzionati agli scopi previsti;

(d) assicurarsi che le vostre Istruzioni a BAS-IP riguardanti il trattamento dei dati dei clienti rispettino le leggi sulla protezione dei dati, inclusi i principi di minimizzazione dei dati, limitazione dello scopo e limitazione della conservazione.

5.2. Obblighi del processore

Nell’ambito della DPA, quando il Cliente agisce come incaricato di trattare, il Cliente è responsabile di rispettare tutti i requisiti che si applicano al Cliente come intrattente ai sensi delle Leggi sulla Protezione dei Dati.

Quando agisci come Processore, devi:

(a) fornire solo BAS-IP istruzioni di elaborazione che riflettano accuratamente le istruzioni documentate del rispettivo controller;

(b) fornire BAS-IP solo i dati client ottenuti legalmente dal rispettivo responsabile e adeguati, rilevanti e limitati a quanto necessario per gli scopi consentiti;

(c) mantenere trasparenza con il rispettivo responsabile riguardo all’impegno di BAS-IP e di eventuali sub-processori;

(d) rispettare tutti gli obblighi previsti dalle leggi sulla protezione dei dati applicabili in qualità di intrattenziatore;

(e) assicurarsi che il tuo personale o qualsiasi terza parte che acceda ai Dati del Cliente rispetti questa DPA e l’Accordo.

6. Obblighi BAS-IP

6.1. Obblighi Generali

Quando BAS-IP agisce come processore/sottoprocessore, dobbiamo:

(a) elaborare i dati del cliente secondo le tue Istruzioni e esclusivamente per gli scopi specificati;

(b) vi informa se, secondo la ragionevole opinione di BAS-IP:

(i) le tue Istruzioni violano o possono violare le leggi sulla protezione dei dati applicabili; oppure

(ii) BAS-IP non è in grado di rispettare le tue Istruzioni;

(c) implementare e mantenere misure tecniche e organizzative appropriate per garantire la riservatezza dei dati dei clienti;

(d) rispettare tutte le leggi applicabili sulla protezione dei dati, inclusi gli obblighi relativi ai diritti dei beneficiari, alla sicurezza dei dati e alla riservatezza;

(e) garantire, tramite contratti scritti o altri mezzi giuridicamente vincolanti, che qualsiasi sub-processore incaricato di elaborare i Dati Client per conto di BAS-IP sia soggetto a obblighi equivalenti di protezione dei dati come stabilito in questa DPA e nell’Accordo;

(f) mantenere registri accurati di tutte le attività di elaborazione svolte per tuo conto ai sensi di questa DPA e fornirti tali documenti su richiesta;

(g) senza indebito ritardo ti notifica se BAS-IP viene a conoscenza che qualsiasi Dati Client forniti da te è inaccurato, incompleto o obsoleto;

(g) applicare le tutele o restrizioni appropriate e necessarie durante il trattamento di dati sensibili dei clienti, come richiesto dalle Leggi sulla Protezione dei Dati o dalle Istruzioni;

(h) fornirvi tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di BAS-IP ai suoi obblighi ai sensi delle leggi sulla protezione dei dati applicabili.

6.2. Avvisi a un Cliente

Al momento della saperne, vi informeremo di qualsiasi richiesta legalmente vincolante di divulgazione dei dati del cliente da parte di un’Autorità Pubblica, salvo che la legge non ci vieti altrimenti informare il Cliente, ad esempio per preservare la riservatezza di un’indagine condotta da un’Autorità Pubblica. Vi informeremo se BAS-IP viene a conoscenza di qualsiasi avviso, indagine o indagine da parte di un’Autorità di Supervisione riguardo al trattamento dei dati dei clienti ai sensi di questa DPA condotta tra voi e noi.

6.3. Riservatezza

Non accederemo, utilizzeremo né divulgheremo a terzi alcun Dati del Cliente, tranne, in ogni caso, se necessario per mantenere o fornire i Servizi o se necessario per rispettare obblighi contrattuali e legali o un ordine vincolante di un ente pubblico (come un mandato in giudizio o un ordine del tribunale).

Garantiremo che qualsiasi dipendente/collaboratore autorizzato ad accedere ai Dati dei Clienti per nostro conto sia soggetto a obblighi di riservatezza, contrattuali o di dovere statutario appropriati riguardo ai Dati dei Clienti.

6.4. Misure di sicurezza

Implementeremo e manterremo le misure tecniche e organizzative appropriate per proteggere i dati dei Clienti da eventuali violazioni dei dati, come la distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati dei Clienti trasmessi, conservati o in altro modo trattati (di seguito gli ‘Incidenti di Sicurezza‘) in conformità con i nostri standard di sicurezza stabiliti nell’Allegato 2 di questa DPA.

Riconosci che le misure di sicurezza sono soggette a progressi tecnici, affinché possiamo modificare o aggiornare l’Allegato 2 di questa DPA a nostra esclusiva discrezione, a condizione che tale modifica o aggiornamento non comporti un degrado significativo delle misure di sicurezza offerte dall’Allegato 2 di questa DPA.

6.5. Incidente di sicurezza

Al momento di aver preso conoscenza di un Incidente di Sicurezza, dovremmo:

  • vi notificiamo senza ritardo dopo che saremo a conoscenza dell’incidente di sicurezza;
  • fornire informazioni tempestive relative all’Incidente di Sicurezza (tipo di dati personali, categorie e numero potenziale di individui o registri interessati) man mano che diventano noti o ragionevolmente richiesti; e
  • prendete prontamente misure ragionevoli per contenere e indagare su qualsiasi Incidente di Sicurezza, così da poter notificare le autorità competenti e/o i Soggetti Dati interessati dell’Incidente di Sicurezza.

La nostra notifica o risposta a un Incidente di Sicurezza non deve essere interpretata come un riconoscimento da parte nostra di alcuna colpa o responsabilità relativa all’Incidente di Sicurezza.

6.6. Restituzione o cancellazione dei dati client

Alla risoluzione o scadenza dell’Accordo tra te e noi, elimineremo o restituiremo tutti i dati dei clienti in nostro possesso o sotto il nostro controllo. Questo requisito non si applica nella misura in cui la legge applicabile o i rispettivi obblighi contrattuali ci richiedono a conservare parte o tutti i Dati del Cliente.

6.7. Assistenza ragionevole

Accettiamo di fornire un supporto ragionevole al Cliente riguardo:

(a) qualsiasi richiesta da parte di un soggetto dati riguardante l’accesso o la rettifica, cancellazione, restrizione, portabilità, blocco o cancellazione dei Dati del Cliente che elaboriamo per conto del Cliente. Nel caso in cui un soggetto invii tale richiesta direttamente a noi, si applica la Sezione 7 di questa DPA;

(b) l’indagine sull’Incidente di Sicurezza e la comunicazione delle notifiche necessarie riguardo a tali Incidenti di Sicurezza, soggette alla Sezione 6.5 di questa DPA;

(c) preparazione di valutazioni d’impatto sulla protezione dei dati (le ‘DPIA‘) e, ove necessario, consultazione del Cliente con l’Autorità di Supervisione ai sensi degli articoli 35 e 36 del GDPR.

6.8 Audit e certificazione

6.8.1 Audit dell’Autorità di Supervisione

Se un’Autorità di Supervisione richiede un audit delle nostre strutture di elaborazione dati, che utilizziamo per elaborare i dati del cliente al fine di accertare o monitorare la conformità del cliente alle leggi sulla protezione dei dati, collaboreremo con l’audit. Il Cliente è responsabile di tutti i costi e le spese relative a tale audit, inclusi tutti i costi ragionevoli e le tariffe per qualsiasi tempo che impiegiamo per tale audit, oltre alle tariffe per i servizi svolti da noi.

6.8.2 Audit

Il Cliente può, prima dell’inizio delle procedure e a intervalli regolari successivamente, verificare le misure tecniche e organizzative da noi adottate. Se il Cliente è il responsabile dei dati personali trattati per suo conto, su ragionevole e tempestivo accordo anticipato, durante l’orario di lavoro ordinario e senza interruzioni delle nostre operazioni commerciali, possiamo fornire al Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall’Articolo 28 del GDPR e consentire e contribuire agli audit,  incluse ispezioni, condotte dal Cliente o da un altro revisore imposto dal Cliente riguardo a tale trattamento.

Forniremo, su richiesta scritta del Cliente e entro un periodo ragionevole, tutte le informazioni necessarie per tale audit, nella misura in cui tali informazioni siano sotto nostro controllo e non siamo esclusi dal divulgarle dalla legge applicabile, da un dovere di riservatezza o da qualsiasi altro obbligo dovuto a terzi.

7. Richieste di soggetti dati

Nel caso in cui un soggetto interessato ci contatti riguardo all’esercizio dei suoi diritti previsti dalle Leggi sulla Protezione dei Dati (in particolare, richieste di accesso, rettifica o cancellazione dei Dati del Cliente), faremo ogni ragionevole sforzo per inoltrarti tali richieste. Se siamo legalmente obbligati a rispondere a tale richiesta, ti notificheremo immediatamente e ti forniremo una copia della richiesta, a meno che non ci sia legalmente vietato farlo.

8. Sottoprocessori

BAS-IP ha l’autorizzazione scritta generale dal Client per l’ingaggio dei sub-processori da una lista concordata. BAS-IP si impegna a informare il Client di qualsiasi modifica prevista a tale elenco riguardante l’aggiunta o la sostituzione dei subprocessori almeno 10 giorni prima dell’impiego del sub-processore in questione, dando così al Client la possibilità di opporsi a tali cambiamenti. BAS-IP fornirà al Cliente le informazioni necessarie affinché il Cliente possa esercitare il diritto di opporsi.

Se si applica la Sezione 9 di questa DPA, la procedura per l’ingaggio dei sub-processori sarà regolata dalle disposizioni pertinenti della Sezione 9 della presente DPA. In tal caso, prevalgono le disposizioni della Sezione 9.

L’elenco concordato dei sub-processori è stabilito nell’Allegato 3 di questa DPA.

9. Trasferimenti dei dati dei clienti

9.1. Generale

Riconosci e accetti che l’utilizzo dei Servizi BAS-IP può comportare il trasferimento dei dati dei clienti ad altre giurisdizioni, in conformità con le leggi sulla protezione dei dati applicabili.

Quando tali trasferimenti richiedono adeguate garanzie, saranno utilizzati i Meccanismi di Trasferimento Dati applicabili, come i SCC UE e l’Addendum del Regno Unito. Questi Meccanismi di Trasferimento Dati sono incorporati e ne costituiscono una parte integrante di questa DPA, come ulteriormente descritto nelle Sezioni 9.2. e 9.3.

In caso di conflitto tra le disposizioni di questa DPA e i Meccanismi di Trasferimento Dati applicabili, le disposizioni del Meccanismo di Trasferimento Dati pertinenti prevalgono esclusivamente nella misura del conflitto.

9.2. Trasferimenti ai sensi del GDPR

Quando il trattamento dei dati dei clienti per tuo conto in relazione ai Servizi costituisce un “trasferimento” ai sensi del GDPR, si applicano le Clausole Contrattuali Standard.

Quando lei è un controllore e noi un processore, si applica il Modulo Due degli SCC UE, e quando lei è un processore e noi un subprocessore, si applica il Modulo Tre degli SCC UE.

Ai fini degli SCC dell’UE, BAS-IP è un “Data Importer” e tu sei un “Data Exporter”.

Le disposizioni rilevanti contenute nei CSC dell’UE sono incorporate per riferimento e costituiscono parte integrante di questa DPA. Le clausole e gli allegati dei CSC dell’UE sono considerati completi come segue:

(i) nella clausola 7, la clausola opzionale di attracco non si applica;

(ii) in Clausola 9, Opzione 2 (Autorizzazione scritta generale) si applica. Ai fini della clausola 9(a), il termine per informare l’Esportatore dei Dati sarà di 10 giorni;

(iii) al punto 11, la disposizione opzionale non si applica;

(iv) nella clausola 13, si applica un’opzione particolare a seconda del caso specifico;

(v) nella clausola 17, si applica l’Opzione 1. I SCC dell’UE sono regolati dalla legge della Repubblica Federale di Germania;

(vi) al punto 18(b), le controversie saranno risolte dai tribunali della Repubblica Federale di Germania;

(vii) L’Allegato I dei CSC UE è considerato completato con le informazioni relative all’Allegato 1 di questa DPA;

(viii) L’Allegato II dei SCC UE è considerato completato con le informazioni contenute nell’Allegato 2 di questa DPA.

9.3. Trasferimenti nell’ambito del Quadro di Protezione dei Dati del Regno Unito

Quando il trattamento dei dati dei clienti per tuo conto in relazione ai Servizi costituisce un “trasferimento limitato” ai sensi delle leggi sulla protezione dei dati del Regno Unito, si applica l’Addendum del Regno Unito.

Quando sei un controller e BAS-IP è un processore, si applicherà il Modulo Due degli SCC UE, e quando sarai un processore e noi un sub-processore, si applicherà il Modulo Tre degli SCC UE, come completato nel comma 9.2. di questo DPA.

Ai fini dell’Addendum del Regno Unito, BAS-IP è un “Importatore” e tu sei un “Esportatore”.

Le disposizioni rilevanti contenute nell’Addendum del Regno Unito sono incorporate per riferimento e costituiscono parte integrante di questa DPA. Le tabelle nell’Addendum del Regno Unito sono considerate completate come segue:

(i) La Tabella 1 della Parte 1 è considerata completa con le informazioni indicate nell’Allegato 1 di questa DPA, il numero ufficiale di registrazione dell’Importatore è 328138502, e il numero ufficiale di registrazione dell’Esportatore è contenuto nel conto del Cliente, se presente;

(ii) La Tabella 2 della Parte 1 è considerata completata di conseguenza con le informazioni indicate nel comma 9.2. di questo DPA;

(iii) La Tabella 3 della Parte 1 è considerata completata con le informazioni relative agli Allegati 1, 2 e 3 di questa DPA;

(iv) nella Tabella 4 della Parte 1, nessuna delle parti può terminare questo Addendum come stabilito nella Sezione 19 dell’Addendum del Regno Unito.

ALLEGATO 1 – DESCRIZIONE DEL TRATTAMENTO

ELENCO DEI PARTITI

Client (Data Exporter)

Nome: Tu, ‘Cliente’

Indirizzo: le informazioni rilevanti sono contenute nel conto del Cliente.

Nome, posizione e dati di contatto della persona di riferimento: le informazioni rilevanti sono contenute nell’account del Cliente.

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: fornitura dei Servizi.

Firma e data: le Parti concordano che l’esecuzione dell’Accordo da parte dell’Esportatore dei Dati costituirà l’esecuzione di questa DPA sia dall’Importatore dei Dati che dall’Esportatore dei Dati. La data di registrazione dell’account sulla Piattaforma sarà considerata data di esecuzione di questa DPA.

Ruolo: controllore o processore

BAS-IP DISTRIBUTION LTD (Importatore dati)

Nome: BAS-IP DISTRIBUTION LTD

Indirizzo: Crown House 27 Old Gloucester Street, Londra, Inghilterra

Nome, posizione e dati di contatto della persona di riferimento: [inserire nome, posizione e dati di contatto, ad esempio email]

Attività rilevanti per i dati trasferiti ai sensi di queste Clausole: fornitura dei Servizi.

Firma e data: le Parti concordano che l’esecuzione dell’Accordo da parte dell’Esportatore dei Dati costituirà l’esecuzione di questa DPA sia dall’Importatore dei Dati che dall’Esportatore dei Dati. La data di registrazione dell’account sulla Piattaforma sarà considerata data di esecuzione di questa DPA.

Ruolo: processore o sottoprocessore

DESCRIZIONE DEL TRASFERIMENTO

  1. Categorie di soggetti dati i cui dati personali vengono trasferiti:
  • Clienti del cliente;
  • altri soggetti dati i cui dati personali vengono trasferiti durante i servizi forniti dalla Società al Cliente.
  • Categorie di dati personali trasferiti:
  • dati personali relativi ai clienti del cliente;
  • altri dati personali che possono essere trasferiti durante i servizi forniti dalla Società al Cliente.
  • Dati sensibili trasferiti (se applicabile) e applicate restrizioni o salvaguardie che tengano pienamente conto della natura dei dati e dei rischi coinvolti:

L’Importatore di Dati può ottenere l’accesso a dati sensibili solo quando tali dati sensibili sono forniti dal Client e esclusivamente nella misura necessaria per l’esecuzione dei Servizi. In tali casi, l’Importatore di Dati implementa le misure tecniche e organizzative previste nell’Allegato 2, insieme a qualsiasi altra salvaguardia o restrizione appropriata e necessaria, tenendo conto della natura dei dati sensibili e dei rischi associati al loro trattamento, in conformità con le leggi e i regolamenti applicabili.

  • La frequenza del trasferimento:

I dati personali vengono trasferiti in modo continuo.

  • Natura dell’elaborazione:

Il trattamento dei dati personali comprende quanto segue: raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, allineamento o combinazione, restrizione, cancellazione o distruzione.

  • Scopo/i del trasferimento dei dati e del trattamento successivo:

Lo scopo dell’elaborazione dei dati ai sensi di queste Clausole è l’esecuzione dei servizi per l’Esportatore di Dati da parte dell’Importatore di Dati ai sensi dell’Accordo stipulato tra l’Importatore di Dati e l’Esportatore di Dati.

  • Il periodo per cui i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

I dati personali saranno conservati per tutta la durata di questo DPA concluso tra l’Importatore e l’Esportatore di Dati, salvo diversa concordanza scritta o l’Importatore di Dati sia tenuto dalla legge applicabile a conservare parte o tutti i dati personali trasferiti.

  • Per i trasferimenti a (sotto-)processori, specificare anche l’oggetto, la natura e la durata dell’elaborazione:

Argomento: L’esecuzione dei servizi

Natura: Raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, allineamento o combinazione, restrizione, cancellazione o distruzione.

durata: l’esecuzione dei servizi per l’Importatore Dati da parte del (sub-)processore ai sensi dell’accordo di servizio concluso tra l’Importatore Dati e il (sub-)processore.

AUTORITÀ DI SUPERVISIONE COMPETENTE

In conformità con la Clausola 13, l’autorità di supervisione competente ai sensi di queste Clausole è determinata in base a quale versione della Clausola 13(a) si applica all’Esportatore di Dati.

ALLEGATO 2 – MISURE TECNICHE E ORGANIZZATIVE

MISURE TECNICHE E ORGANIZZATIVE, INCLUSE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Descrizione delle misure tecniche e organizzative attuate dall’Importatore di Dati per garantire un livello adeguato di sicurezza, tenendo conto della natura, dell’ambito, del contesto e dello scopo del trattamento e dei rischi per i diritti e le libertà delle persone fisiche:

  • Data Importer si impegna a preservare la riservatezza, integrità, disponibilità e resilienza di tutti i dati personali in questione durante tutte le sue attività di elaborazione e a garantire che i dati personali siano protetti da perdite e distruzione attraverso l’implementazione di politiche interne di sicurezza informatica, procedure e altre misure appropriate.
  • Data Importer concede l’accesso ai dati personali esclusivamente in base al bisogno di conoscere, e tali dati sono accessibili solo al personale autorizzato.
  • Data Importer ha implementato il controllo degli accessi basati sui ruoli e le liste di controllo degli accessi per imporre una rigida separazione dei diritti di accesso degli utenti.
  • Le procedure di sicurezza delle informazioni di Data Importer sono soggette a revisioni regolari.
  • Data Importer utilizza fornitori di servizi affidabili e monitora quali misure tecniche e organizzative hanno in atto per garantire che i dati personali siano sempre protetti.
  • Data Importer ha implementato misure volte a proteggere la riservatezza e l’integrità dei dati personali durante i trasferimenti dei dati.
  • Data Importer ha implementato misure tecniche e organizzative progettate per contenere gli incidenti di sicurezza e prevenire ulteriori perdite e danni ai dati.

SCHEDULE 3 – SOTTOPROCESSORI

Il controller ha autorizzato l’uso dei seguenti sub-processori:

Subprocessore 1

Nome: Hetzner Online GmbH / Hetzner Finlandia Oy

Indirizzo: Industriestr. 25, 91710 Gunzenhausen, Germania / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finlandia

Nome, posizione e dati di contatto della persona di riferimento: [email protected] 

Descrizione del trattamento: hosting dei dati sui server di Hetzner Online GmbH / Hetzner Finlandia Oy

Subprocessore 2

Nome: DigitalOcean, LLC

Indirizzo: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Stati Uniti

Nome, posizione e dati di contatto della persona di riferimento: [email protected] 

Descrizione dell’elaborazione: hosting dei dati sui server di DigitalOcean, LLC