Stai usando una versione precedente del browser. Esegui l’aggiornamento all’ultima versione di Google Chrome, Safari, Mozilla Firefox o Microsoft Edge per una migliore esperienza sul sito.

Data di revisione: 5 giugno 2023

Contratto sul trattamento dei dati

ATTENZIONE: A TE (IL “CLIENTE”) CON LA PRESENTE VIENE CHIESTO DI ACCETTARE I TERMINI E LE CONDIZIONI DEL CONTRATTO SUL TRATTAMENTO DEI DATI ("CONTRATTO") CHE DISCIPLINERÀ IL TRATTAMENTO DEI DATI PERSONALI DEL CLIENTE DA PARTE DI ISPRING E DELLE SUE AFFILIATE, QUI DI SEGUITO DEFINITI COME “ISPRING”.

FACENDO CLIC SUL PULSANTE DURANTE LA REGISTRAZIONE DEL TUO ACCOUNT ISPRING, ACCETTI DI ESSERE VINCOLATO AI TERMINI DEL PRESENTE CONTRATTO, DIVENTI PARTE DEL PRESENTE CONTRATTO E ACCETTI CHE TALE CONTRATTO SIA APPLICABILE COME QUALSIASI ALTRO CONTRATTO NEGOZIATO SCRITTO, FIRMATO DA TE. SE STIPULI IL PRESENTE CONTRATTO PER CONTO DI UN’AZIENDA O UN’ALTRA ENTITÀ GIURIDICA, DICHIARI DI AVERE L'AUTORITÀ DI VINCOLARE L'ENTITÀ DICHIARATA E LE SUE AFFILIATE AI PRESENTI TERMINI E CONDIZIONI, NEL QUAL CASO IL TERMINE “CLIENTE” SI RIFERISCE ALLE ENTITÀ GIURIDICHE IN QUESTIONE E ALLE SUE AFFILIATE. SE NON DISPONI DI TALE AUTORITÀ OPPURE SE NON PRESTI IL TUO CONSENSO E NON ACCETTI I TERMINI, NON HAI ALCUN DIRITTO DI UTILIZZARE I SERVIZI WEB ISPRING.

Il presente Contratto sul trattamento dei dati, Data Processing Agreement (“DPA”), fa parte del Contratto di abbonamento ai Servizi Web iSpring o altro contratto scritto o elettronico intercorso tra iSpring e il Cliente per l'acquisto dei prodotti software iSpring (incluso qualsiasi programma software, servizio Web o servizio messo a disposizione per l'acquisto da iSpring) da iSpring (identificati come “Prodotti” o in altro modo dal contratto applicabile e di seguito definiti i “Prodotti”) (“Contratto principale”) per riflettere l'accordo tra le parti relativamente al Trattamento dei Dati personali.

Il Cliente sottoscrive il presente DPA per conto di se stesso e, nella misura richiesta dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili, in nome e per conto delle proprie Affiliate autorizzate. Esclusivamente ai fini del presente DPA, eccetto ove diversamente indicato, il termine “Cliente” includerà il Cliente e le Affiliate autorizzate. Tutti i termini con lettera maiuscola non definiti di seguito avranno il significato riportato nel Contratto principale. Nel corso della fornitura dei Prodotti ai Clienti ai sensi del Contratto principale, iSpring potrebbe Trattare i Dati Personali per conto del Cliente e le Parti si impegnano a conformarsi alle seguenti disposizioni in relazione a qualsiasi Dato Personale, agendo ciascuno ragionevolmente e secondo buona fede.

Il presente DPA è costituito da due parti: il corpo centrale del DPA e gli Allegati 1 e 2.

Se l'entità Cliente che stipula il presente DPA è parte del Contratto principale, il presente DPA è un addendum e fa parte del Contratto principale. In questo caso, il Cliente iSpring che è parte del Contratto principale è parte del presente DPA con decorrenza dalla Data di Efficacia del Contratto principale.

Se l'entità Cliente che stipula il presente DPA non è parte del Contratto principale con iSpring direttamente, bensì indirettamente tramite un rivenditore autorizzato dei prodotti iSpring, il presente DPA non è valido e non è giuridicamente vincolante. Tale entità Cliente dovrà contattare il rivenditore per determinare se potrebbe essere necessario qualche emendamento al contratto con il rivenditore stesso.

  1. Definizioni
    1. Nel presente DPA, i termini seguenti avranno il significato riportato di seguito e i termini correlati saranno interpretati di conseguenza:
      1. “Affiliata” indica qualsiasi persona o entità che, direttamente o indirettamente, controlli o sia controllata, oppure sia sottoposta a comune controllo con l'entità principale; “controllo” (inclusi i significati correlati di “controllato da” e “sottoposto a comune controllo con”) indica il possesso, diretto o indiretto, del potere di dirigere o determinare la direzione della gestione o delle politiche (che sia tramite la proprietà di titoli, il partenariato o altri interessi di proprietà, per contratto o altro).
      2. “CCPA” indica il California Consumer Privacy Act, Cal. Civ. Code § 1798.100 e seguenti, e i suoi regolamenti attuativi.
      3. “Titolare del trattamento” indica l'entità che determina le finalità e gli strumenti del Trattamento dei Dati Personali.
      4. “Cliente” indica un singolo cliente o un'entità giuridica che attiva i Prodotti forniti da iSpring e si assume la responsabilità del pagamento per iSpring.
      5. “Dati del Cliente” indica i dati e le informazioni elettroniche (inclusi i Dati Personali) inviati da o per il Cliente ai Prodotti in seguito o in relazione al contratto relativo alla fornitura dei Prodotti da parte di iSpring al Cliente secondo i termini del Contratto principale.
      6. “Leggi e Regolamenti sulla Protezione dei Dati” indica tutte le leggi e tutti i regolamenti, tra cui le leggi e i regolamenti dell'Unione europea (UE), dello Spazio economico europeo (SEE) e dei loro Stati membri, della Svizzera, del Regno Unito (collettivamente “Europa”) e degli Stati Uniti e dei suoi Stati, applicabili al Trattamento dei Dati Personali secondo il Contratto principale come modificato di volta in volta.
      7. “Interessato al trattamento” indica la persona identificata o identificabile a cui si riferiscono i Dati Personali.
      8. “GDPR” indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riferimento al trattamento dei dati personali e sulla libera circolazione di tali dati, in sostituzione della Direttiva 95/46/EC (Regolamento generale per la protezione dei dati), incluse le modalità di implementazione o adozione secondo le leggi del Regno Unito.
      9. “Dati Personali” indica qualsiasi informazione relativa a (i) una persona fisica identificata e identificabile, (ii) un'entità giuridica identificata o identificabile (in cui tali informazioni sono protette similmente ai Dati Personali o informazioni personalmente identificabili ai sensi delle Leggi e dei Regolamenti sulla Protezione dei Dati applicabili), laddove per ciascuna (i) o (ii), tali dati siano Dati del Cliente.
      10. “Trattamento” o “Trattare” indica qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, con modalità automatizzate o meno, come la raccolta, registrazione, organizzazione, strutturazione, archiviazione, l'adattamento o alterazione, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, la disseminazione o la messa a disposizione in altri modi, l'allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.
      11. “Responsabile del trattamento” indica l'entità che Tratta i Dati Personali per conto del Titolare, incluso qualsiasi “fornitore di servizi”, se applicabile, in base alla definizione di questo termine nel CCPA.
      12. “Autorità Pubblica” indica un ente governativo o un'autorità incaricata dell'applicazione della legge, incluse le autorità giudiziarie.
      13. “Servizi” indica i servizi e le altre attività che devono essere fornite o realizzate per il Cliente da parte o per conto di iSpring o delle sue Affiliate autorizzate.
      14. “Clausole Contrattuali Standard” indica le Clausole Contrattuali Standard per il trasferimento dei dati personali a Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio approvate dalla Decisione di esecuzione della Commissione europea (UE) 2021/914 del 4 giugno 2021, come stabilito attualmente su https://eur-lex.europa.eu/legal-content/IT/TXT/PDF.
      15. “Sub-responsabile” indica qualsiasi Responsabile del trattamento (includendo terze parti e Affiliate iSpring, ma escludendo i dipendenti di iSpring e tutti i suoi eventuali subappaltatori) incaricato da o per conto di iSpring o qualsiasi Affiliata iSpring del Trattamento dei Dati Personali per conto del Cliente; e
    2. La parola “include” dovrà essere interpretata nel senso di includere senza limitazioni e i termini affini dovranno essere interpretati di conseguenza.
  2. Autorità

    iSpring garantisce e dichiara che, prima che qualsiasi Affiliata iSpring tratti qualsiasi Dato del Cliente per conto del Cliente, l'ingresso di iSpring in questo DPA come agente per e per conto di tale Affiliata iSpring sarà stato opportunamente autorizzato (o successivamente ratificato) da quell'Affiliata iSpring.

  3. Trattamento dei Dati del Cliente
    1. Le Parti si impegnano a conformarsi alle Leggi e ai Regolamenti sulla Protezione dei Dati applicabili.
      1. Il Cliente, in qualità di Titolare, nomina iSpring Responsabile del trattamento dei Dati del Cliente per conto del Cliente.
      2. Il Cliente rimane l'unico responsabile per tutte le dichiarazioni, notifiche e autorizzazioni che potrebbero essere richieste per il Trattamento dei Dati del Cliente.
      3. In qualità di Responsabile del trattamento, iSpring tratterà solo i Dati del Cliente per conto del Cliente e in conformità alle istruzioni del Cliente.
    2. iSpring e ogni Affiliata iSpring dovrà:
      1. rispettare tutte le Leggi e i Regolamenti sulla Protezione dei Dati applicabili nel Trattamento dei Dati del Cliente; e
      2. non Trattare i Dati del Cliente se non dietro istruzioni documentate da parte del Cliente, a meno che il Trattamento non sia richiesto da Leggi e Regolamenti sulla Protezione dei Dati applicabili ai quali il Responsabile del trattamento è soggetto, nel qual caso iSpring o l'Affiliata iSpring interessata dovrà, nei limiti consentiti da Leggi e Regolamenti sulla Protezione dei Dati applicabili, informare il Cliente del requisito giuridico prima del relativo Trattamento di tali Dati Personali.
    3. Il Cliente:
      1. istruisce iSpring e ogni Affiliata iSpring (e autorizza iSpring e ogni Affiliata iSpring a istruire ogni Sub-responsabile indicato nell'Allegato 2 “Elenco dei Sub- responsabili” e ogni altro Sub-titolare che verrà commissionato da iSpring secondo i requisiti riportati nella Sezione 6.4 di questo DPA) a:
        1. Trattare i Dati del Cliente; e
        2. in particolare, trasferire i Dati del Cliente a qualsiasi Stato o territorio, secondo quanto ragionevolmente necessario per la fornitura dei Prodotti. Il trasferimento dei dati personali a Paesi terzi potrà avere luogo solo se i requisiti di Leggi e Regolamenti sulla Protezione dei Dati sono soddisfatti di conseguenza; e
      2. dichiara e garantisce che è e rimarrà, per tutto il periodo necessario, debitamente ed effettivamente autorizzato a fornire le istruzioni riportate nella sezione 3.3.1.
    4. Dettagli del Trattamento. L'oggetto del Trattamento dei Dati Personali da parte di iSpring è la fornitura di Prodotti ai sensi del Contratto principale. La durata del Trattamento, la natura e le finalità del Trattamento, i tipi di Dati Personali e le categorie dell'Interessato al trattamento trattate ai sensi di questo DPA sono ulteriormente specificate nell'Allegato 1 di questo DPA. I Clienti possono apportare modifiche ragionevoli all'Allegato 1 dandone comunicazione scritta ad iSpring di volta in volta nella misura che il Cliente ritiene ragionevolmente necessaria per soddisfare quei requisiti. Nessuna disposizione dell'Allegato 1 (anche se modificata ai sensi della presente sezione 4) conferisce alcun diritto o impone alcun obbligo a qualsiasi parte di questo Contratto.
  4. iSpring e il Personale delle Affiliate iSpring

    iSpring e ogni Affiliata iSpring dovrà prendere le misure necessarie per garantire l'affidabilità di qualsiasi dipendente, agente o appaltatore di qualsiasi Responsabile del trattamento che potrebbe avere accesso ai Dati del Cliente, garantendo in ciascun caso che l'accesso sia strettamente limitato alle persone che hanno bisogno di conoscere o accedere ai relativi Dati del Cliente, nella misura strettamente necessaria a fornire i Prodotti e a conformarsi a Leggi e Regolamenti sulla Protezione dei Dati applicabili nell'ambito dei doveri di tale individuo nei confronti del Responsabile del trattamento, garantendo che tali persone siano soggette a impegni di riservatezza o obblighi di riservatezza professionali o legali.

  5. Sicurezza
    1. Tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, della portata, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, iSpring e ogni Affiliata iSpring dovrà, in relazione ai Dati del Cliente, implementare e mantenere le misure tecniche e organizzative adeguate per la protezione della sicurezza (inclusa la protezione da Trattamento non autorizzato e illegale e da distruzione, perdita o alterazione o danneggiamento accidentali o illeciti, da divulgazione o accesso non autorizzati ai Dati del Cliente), la riservatezza e l'integrità dei Dati del Cliente, come stabilito nei Servizi Web iSpring. Panoramica dei processi di sicurezza. iSpring monitora regolarmente la conformità a queste misure. iSpring non ridurrà sostanzialmente la sicurezza generale dei Prodotti durante il periodo di abbonamento.
  6. Sub-trattamento
    1. Il Cliente autorizza iSpring e ogni Affiliata iSpring a nominare (e consente a ciascun Sub- responsabile nominato conformemente a questa sezione 6 di nominare) Sub-responsabili conformemente a questa sezione 6.
    2. iSpring e ogni Affiliata iSpring potrà usare tali Sub-responsabili già incaricati da iSpring o da qualsiasi Affiliata iSpring alla data del presente DPA e nominare nuovi Sub-responsabili, soggetti ad iSpring e a ogni Affiliata iSpring in ogni caso, quanto prima possibile per adempiere agli obblighi previsti dalla sezione 3.
    3. iSpring o un’Affiliata iSpring ha stipulato un accordo scritto con ciascun Sub-responsabile contenente, in sostanza, obblighi di protezione dei dati non meno protettivi di quelli del DPA rispetto alla protezione dei Dati del Cliente nella misura applicabile alla natura dei Servizi forniti da tale Sub-responsabile.
    4. iSpring può incaricare i Sub-responsabili solo previo consenso espresso scritto o documentato del Cliente. iSpring è tenuto a selezionare con cura i Sub-responsabili in base alla loro idoneità e affidabilità. iSpring deve incaricare i Sub-responsabili in conformità con le disposizioni del presente DPA e garantire che il Cliente possa esercitare i propri diritti ai sensi del presente DPA (in particolare i propri diritti di audit e controllo) direttamente nei confronti dei Sub-responsabili.
    5. A tal proposito, il Cliente ha finora accettato di incaricare i Sub-responsabili indicati nell'Allegato 2 “Elenco dei Sub-responsabili” a condizione di un accordo contrattuale come previsto dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili.
    6. Se il Sub-responsabile fornisce la prestazione concordata al di fuori di UE/SEE, iSpring è tenuta a garantire che il rispettivo Sub-responsabile fornisca un adeguato livello di protezione dei dati nell'accezione degli Artt. 44 e seg. del GDPR.
  7. Diritti dell'Interessato al trattamento
    1. Tenendo conto della natura del Trattamento, iSpring e ogni Affiliata iSpring dovrà assistere il Cliente attuando le misure tecniche e organizzative adeguate, per quanto possibile, per l'adempimento degli obblighi del Cliente, come ragionevolmente inteso dal Cliente, di rispondere alle richieste di esercitare i diritti dell'Interessato al trattamento ai sensi delle Leggi e dei Regolamenti sulla Protezione dei Dati applicabili.
    2. iSpring dovrà:
      1. avvisare tempestivamente il Cliente se un Responsabile del trattamento riceve una richiesta da parte di un Interessato al trattamento ai sensi di qualsiasi Legge e Regolamento sulla Protezione dei Dati rispetto ai Dati del Cliente; e
      2. assicurarsi che il Responsabile del trattamento non risponda a tale richiesta se non su istruzioni documentate del Cliente o come richiesto dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili a cui è soggetto il Responsabile del trattamento, nel qual caso iSpring dovrà, nella misura consentita dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili, informare il Cliente di tale requisito legale prima che il Responsabile del trattamento risponda alla richiesta.
  8. Incidente sui Dati del Cliente
    1. iSpring deve notificare al Cliente, entro 24 (ventiquattro) ore dal momento in cui iSpring o qualsiasi Sub-responsabile del trattamento venga a conoscenza di situazioni di distruzione, perdita, alterazione, diffusione non autorizzata o accesso accidentali o illeciti ai Dati del Cliente, inclusi i Dati Personali trasmessi, archiviati o altrimenti trattati da iSpring o dai suoi Sub- responsabili di cui iSpring viene a conoscenza (“Incidente sui Dati del Cliente”) e che riguardano i Dati del Cliente, fornendo al Cliente le informazioni sufficienti per consentire al Cliente di rispettare eventuali obblighi di comunicare con gli Interessati o informarli del trattamento riguardo all'Incidente sui Dati del Cliente ai sensi delle Leggi e dei Regolamenti sulla Protezione dei Dati applicabili.
    2. iSpring dovrà collaborare con il Cliente e adottare le misure commerciali ragionevoli indicate dal Cliente per offrire assistenza nell'indagine, mitigazione e riparazione di ciascuna di tali Violazioni dei Dati Personali.
  9. Valutazione d'impatto sulla protezione dei dati e Consultazione preventiva
    1. iSpring e ogni Affiliata iSpring dovrà fornire ragionevole assistenza al Cliente con qualsiasi valutazione d'impatto sulla protezione dei dati e consultazione preventiva con le Autorità Pubbliche o altre autorità competenti in materia di privacy dei dati, che il Cliente ritiene ragionevolmente richiesto al Cliente dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili, in ogni caso esclusivamente in relazione al Trattamento dei Dati del Cliente da parte di, e, tenendo conto della natura del Trattamento e delle informazioni a disposizione dei Responsabili del trattamento.
    2. Richieste di accesso dei Governi

      Requisiti iSpring. Nel suo ruolo di Responsabile del trattamento, iSpring dovrà mantenere le misure adeguate per proteggere i Dati Personali in conformità con i requisiti di Leggi e Regolamenti sulla Protezione dei Dati applicabili, anche tramite l'implementazione di appropriate misure di salvaguardia tecniche e organizzative per proteggere i Dati Personali da qualsiasi interferenza che vada oltre quanto sia necessario in una società democratica per salvaguardare la sicurezza nazionale, la difesa e la sicurezza pubblica. Qualora iSpring ricevesse una richiesta legalmente vincolante per l'accesso ai Dati Personali da parte di un'Autorità Pubblica, iSpring dovrà, a meno che non sia vietato dalla legge, inviare tempestivamente una notifica al Cliente includendo un riepilogo della natura della richiesta. iSpring, nella misura in cui la fornitura di tale notifica sia vietata per legge ad iSpring, dovrà effettuare tutti gli sforzi commercialmente ragionevoli per ottenere una dispensa dal divieto per consentire ad iSpring di comunicare più informazioni possibili, nel più breve tempo possibile. Inoltre, iSpring dovrà contestare la richiesta se, dopo un'attenta valutazione, concluderà che vi siano fondati motivi per considerare la richiesta illegale. iSpring dovrà perseguire le possibilità di ricorso. Nell'impugnare una richiesta, iSpring adotterà dei provvedimenti cautelari tesi a sospendere gli effetti della richiesta fino a che l'autorità giudiziaria competente non abbia deciso nel merito. Non dovrà divulgare i Dati Personali richiesti fino a quando non sarà tenuta a farlo ai sensi delle regole procedurali applicabili. iSpring concorda di fornire la quantità minima di informazioni consentita in risposta a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta. iSpring dovrà informare tempestivamente il Cliente quando sarà a conoscenza di qualsiasi accesso diretto ai Dati Personali da parte di un'Autorità Pubblica e fornire le informazioni a disposizione di iSpring a questo riguardo, nella misura consentita dalla legge. A scanso di equivoci, il presente DPA non richiede ad iSpring di perseguire azioni o omissioni che possano comportare sanzioni civili o penali per iSpring, come l'oltraggio alla corte.

      Requisiti per i Sub-responsabili. iSpring dovrà assicurarsi che i Sub-responsabili coinvolti nel Trattamento dei Dati Personali siano soggetti ai relativi impegni in merito alle Richieste di accesso dei Governi nelle Clausole Contrattuali Standard.

  10. Cancellazione o restituzione dei Dati del Cliente
    1. Fatte salve le sezioni 10.2 e 10.3 iSpring e ogni Affiliata iSpring dovrà tempestivamente e in ogni caso entro trenta (30) giorni dalla data di cessazione di qualsiasi Prodotto che coinvolga il Trattamento dei Dati del Cliente (la “Data di Cessazione”), eliminare e ottenere l'eliminazione di tutte le copie di tali Dati del Cliente.
    2. Fatta salva la sezione 10.3, il Cliente può, a sua assoluta discrezione, mediante notifica scritta ad iSpring entro trenta (30) giorni dalla Data di Cessazione, richiedere ad iSpring e a ogni Affiliata iSpring di (a) restituire una copia completa di tutti i Dati del Cliente al Cliente mediante trasferimento di file sicuro nel formato ragionevolmente notificato dal Cliente ad iSpring; e (b) eliminare e ottenere l'eliminazione di tutte le altre copie dei Dati del Cliente trattati da qualsiasi Responsabile del trattamento. iSpring e ogni Affiliata iSpring dovrà conformarsi a tale richiesta scritta entro trenta (30) giorni dalla Data di Cessazione.
    3. Ogni Responsabile del trattamento può conservare i Dati del Cliente nella misura richiesta dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili e solo nella misura e per il periodo richiesto dalle Leggi e dai Regolamenti sulla Protezione dei Dati applicabili e sempre a condizione che iSpring e ciascuna Affiliata iSpring assicuri la riservatezza di tutti i Dati del Cliente e dovrà assicurarsi che tali Dati del Cliente siano trattati solo se necessario per le finalità specificate nelle Leggi e nei Regolamenti sulla Protezione dei Dati applicabili che ne richiedono l'archiviazione e per nessun altro scopo.
  11. Diritti di audit
    1. Fatta salva la sezione 11.2, iSpring e ogni Affiliata iSpring metterà a disposizione del Cliente, su richiesta scritta, tutte le informazioni necessarie per dimostrare la conformità al presente DPA e consentirà e contribuirà a un (1) audit a distanza durante un anno solare in corso da parte del Cliente o di un revisore incaricato dal Cliente in relazione al Trattamento dei Dati del Cliente da parte dei Responsabili.
    2. I diritti di informazione e audit del Cliente sorgono solo ai sensi della sezione 11.1 nella misura in cui il Contratto principale non fornisce al Cliente informazioni e diritti di audit che soddisfano i requisiti pertinenti delle Leggi e dei Regolamenti sulla Protezione dei Dati applicabili (incluso, ove applicabile, l'articolo 28, paragrafo 3, lettera h), del GDPR).
  12. Trasferimenti internazionali
    1. Il Cliente autorizza iSpring a trasferire i Dati del Cliente quando strettamente necessario per la fornitura di Prodotti al Cliente. A partire dalla Data di Efficacia del Contratto principale, iSpring non ha motivo di credere che le leggi e le pratiche di qualsiasi Paese terzo di destinazione applicabili al proprio Trattamento dei Dati Personali impediscano ad iSpring di adempiere agli obblighi previsti dal presente DPA. Se iSpring ritiene ragionevolmente che qualsiasi legge e prassi esistente o futura emanata o applicabile nel Paese terzo di destinazione applicabile al proprio Trattamento dei Dati Personali (“Leggi Locali”) impedisca di adempiere ai propri obblighi ai sensi del presente DPA, ne informerà tempestivamente il Cliente. In tal caso, iSpring farà ogni ragionevole sforzo per raccomandare una modifica commercialmente ragionevole alla configurazione o all'uso dei Prodotti da parte del Cliente per facilitare il rispetto delle Leggi Locali senza gravare irragionevolmente sul Cliente.
    2. Disposizioni specifiche per l'Europa

      GDPR. iSpring tratterà i Dati Personali in conformità con i requisiti del GDPR direttamente applicabili alla fornitura di iSpring dei propri Prodotti.

      Istruzioni del Cliente. iSpring informerà immediatamente il Cliente (i) se, a suo parere, un'istruzione del Cliente costituisce una violazione del GDPR e/o (ii) se iSpring non è in grado di seguire le istruzioni del Cliente per il Trattamento dei Dati Personali.

      Meccanismi di trasferimento per i trasferimenti di dati. Se, nelle prestazioni dei Prodotti, i Dati Personali che sono soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui applicati in Europa vengono trasferiti fuori dall'Europa in Paesi che non assicurano un adeguato livello di protezione dei dati ai sensi delle Leggi e dei Regolamenti sulla Protezione dei Dati in Europa, i meccanismi di trasferimento elencati nelle Clausole Contrattuali Standard dovranno applicarsi a tali trasferimenti e possono essere direttamente applicati dalle Parti nella misura in cui tali trasferimenti siano soggetti alle Leggi e ai Regolamenti sulla Protezione dei Dati in Europa.

  13. Termini generali

    Legge applicabile e giurisdizione

    1. Ferme restando le clausole 7 (Mediazione e giurisdizione) e 9 (Legge applicabile) delle Clausole Contrattuali Standard:
      1. le parti del presente DPA si sottopongono alla scelta della giurisdizione stipulata nel Contratto principale in relazione a qualsiasi controversia o reclamo in qualche modo derivante dal presente DPA, incluse le controversie relative alla sua esistenza, validità o risoluzione o le conseguenze della sua nullità; e
      2. il presente DPA e tutti gli obblighi extracontrattuali o di altro tipo derivanti da esso o connessi ad esso sono disciplinati dalle leggi del Paese o del territorio stipulate a tal fine nel Contratto principale.
      3. se il Contratto principale non è disciplinato dalla legge di uno Stato membro dell'UE, le Clausole Contrattuali Standard saranno disciplinate (i) dalle leggi della Germania; o (ii) se il Contratto è disciplinato dalle leggi del Regno Unito, dalle leggi del Regno Unito.

      Ordine di precedenza

    2. Nessuna disposizione del presente DPA riduce gli obblighi di iSpring o di qualsiasi Affiliata iSpring ai sensi del Contratto principale in relazione alla protezione dei Dati Personali o autorizza iSpring o qualsiasi Affiliata iSpring a Trattare i Dati Personali (o autorizzarne il Trattamento) in una modalità che sia vietata dal Contratto principale. Nell'eventualità di qualsiasi conflitto o incoerenza tra il presente DPA e le Clausole Contrattuali Standard, prevarranno le Clausole Contrattuali Standard.
    3. Fatta salva la sezione 13.2, in relazione all'oggetto del presente DPA, in caso di incongruenze tra le disposizioni del presente DPA e qualsiasi accordo tra le parti, incluso il Contratto principale e inclusi (salvo esplicito accordo contrario scritto, firmato per conto delle Parti) gli accordi stipulati o che si presume siano stati stipulati dopo la data del presente DPA, prevarranno le disposizioni del presente DPA.

      Nullità

    4. Se una qualsiasi disposizione del presente DPA dovesse risultare non valida o inapplicabile, la parte restante del presente DPA rimarrà valida e in vigore. La disposizione non valida o inapplicabile dovrà essere (i) modificata come necessario per garantirne la validità e l'applicabilità, preservando il più possibile le intenzioni delle parti o, se ciò non fosse possibile, (ii) interpretata come se la parte non valida o inapplicabile non fosse mai stata contenuta.

Elenco degli Allegati

Allegato 1: Dettagli sul Trattamento dei Dati del Cliente

Allegato 2: Elenco dei Sub-responsabili

ALLEGATO 1: DETTAGLI SUL TRATTAMENTO DEI DATI DEL CLIENTE

Il presente Allegato 1 contiene alcuni dettagli sul Trattamento dei Dati del Cliente.

Oggetto e durata del Trattamento dei Dati del Cliente

L'oggetto e la durata del Trattamento dei Dati Personali del Cliente sono definiti nel Contratto principale e nel presente DPA.

Natura e finalità del Trattamento dei Dati del Cliente

Hosting, memorizzazione nella cache, routing, trasmissione, archiviazione, copia, esecuzione, visualizzazione, cancellazione dei Dati Personali del Cliente per la fornitura dei Servizi per il Cliente ai sensi del Contratto principale.

Le categorie di Interessati ai quali si riferiscono i Dati del Cliente

Il Cliente può inviare ai Prodotti i Dati Personali, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione e che possono includere, a titolo esemplificativo ma non esaustivo, i Dati Personali relativi alle seguenti categorie di Interessati:

  • Potenziali clienti, clienti, partner aziendali e fornitori del Cliente (che sono persone fisiche);
  • Potenziali clienti, clienti, partner aziendali e fornitori del Cliente (che sono persone fisiche);
  • Dipendenti, agenti, consulenti, lavoratori autonomi del Cliente (che sono persone fisiche);
  • Utenti del Cliente autorizzati dal Cliente a usare i prodotti.

Le categorie di Dati Personali trasmessi

Il Cliente può inviare ai Prodotti i Dati Personali, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, e che possono includere, a titolo esemplificativo ma non esaustivo, i Dati Personali relativi alle seguenti categorie di Dati Personali:

  • Nome e cognome
  • Titolo
  • Posizione
  • Contatti (azienda, e-mail, telefono)

Dati sensibili trasferiti (non applicabile)

Trasferimenti dei Sub-responsabili

I Sub-responsabili Tratteranno i Dati Personali nella misura necessaria a fornire i Prodotti ai sensi del Contratto principale per la sua durata, salvo diverso accordo scritto.

Obblighi e diritti del Cliente e delle Affiliate del Cliente

Gli obblighi e i diritti del Cliente e delle Affiliate del Cliente sono definiti nel Contratto principale e nel presente DPA.

Misure tecniche e organizzative

iSpring manterrà salvaguardie amministrative, fisiche e tecniche per la protezione della sicurezza, riservatezza e integrità dei Dati Personali caricati sui Prodotti iSpring, come descritto nei Servizi Web iSpring Servizi Web iSpring: panoramica dei processi di sicurezza applicabili acquistati dal Cliente. Le richieste dell'Interessato saranno gestite in conformità alla sezione 7 del presente DPA.

ALLEGATO 2: ELENCO DEI SUB-RESPONSABILI

NOTA ESPLICATIVA:

Il presente Allegato deve essere compilato per i Moduli due e tre delle Clausole Contrattuali Standard, in caso di specifica autorizzazione dei Sub-responsabili (clausola 9(a), opzione 1).

Il titolare del trattamento ha autorizzato l'uso dei seguenti Sub-responsabili:

  1. Il titolare del trattamento ha autorizzato l'uso dei seguenti Sub-responsabili:

    Indirizzo: 889 Winslow St, Redwood City, CA 94063, USA

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): servizi e-mail

  2. Amazon Web Services, Inc.

    Indirizzo: Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): Centro dati

  3. Ringcentral, Inc.

    Indirizzo: 20 Davis Dr, Belmont, CA 94002, USA

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): servizi di comunicazione

  4. First Colo GmBH

    Indirizzo: Kruppstraße 105, 60388 Francoforte sul Meno, Germania

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): Centro dati

  5. Avoxi, Inc.

    Indirizzo: 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, USA

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): servizi di comunicazione

  6. Telephonic Solutions OU

    Indirizzo: Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estonia

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): servizi di comunicazione

  7. Liquid Web, LLC

    Indirizzo: 2703 Ena Dr. Lansing, MI 48917, US

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): Centro dati

  8. Leaseweb USA, Inc.

    Indirizzo: 9301 Innovation Drive / Suite 100 Manassas, VA 20110

    Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati diversi Sub-responsabili): Centro dati