Ultimo aggiornamento: 9 dicembre 2024
Il presente Addendum sul trattamento dei dati (“DPA”), fa parte ed è soggetto ai Termini di servizio di SocialPilot tra di voi (“Cliente”) e SocialPilot Technologies, Inc. (“Fornitore”) che fanno riferimento al presente DPA (il “Termini”). Le parti stipulano il presente DPA in nome e per conto proprio e, nella misura in cui ciò sia richiesto dalle leggi applicabili in materia di protezione dei dati, in nome e per conto delle loro affiliate, e il presente DPA entrerà in vigore alla data di entrata in vigore delle Condizioni (“Data di entrata in vigore”).
Tutti i termini in maiuscolo non definiti nel presente DPA avranno il significato indicato nelle Condizioni.
2.1 Ambito e applicabilità. La presente DPA si applica laddove e solo nella misura in cui il Fornitore tratta i Dati personali del Cliente per conto del Cliente in qualità di Responsabile del trattamento dei dati nel corso della fornitura dei Servizi ai sensi dei Termini. Qualsiasi altro Trattamento dei Dati personali relativi al Cliente e ai suoi utenti condotto dal Fornitore in qualità di Titolare dei dati, compresa l'amministrazione dei rapporti commerciali e la sicurezza del sistema, sarà effettuato in conformità con l'attuale politica sulla privacy del Fornitore. Nonostante la scadenza o la risoluzione dei Termini, il presente DPA e le Clausole modello (se applicabili) rimarranno in vigore fino alla cancellazione di tutti i Dati personali dell'utente trattati dal Fornitore come descritto nel presente DPA e scadranno automaticamente.
3.1 Ruolo delle parti. Se e nella misura in cui i Servizi forniti dal Fornitore ai sensi dei Termini richiedono il trattamento dei Dati personali da parte del Fornitore, tra il Fornitore e il Cliente, il Fornitore tratterà i Dati personali del Cliente solo in qualità di Responsabile del trattamento che agisce per conto del Cliente. Il Cliente è il Titolare del trattamento dei Dati personali del Cliente o, nel caso in cui agisca per conto di un terzo Titolare del trattamento, un Responsabile del trattamento.
3.2 Trattamento dei dati personali da parte del cliente. Il Cliente dichiara e garantisce al Fornitore che: (i) il Cliente rispetterà i propri obblighi ai sensi delle Leggi sulla protezione dei dati in relazione al Trattamento dei Dati personali, compresi gli obblighi specifici del suo ruolo di Titolare del trattamento; (ii) il Cliente ha fornito tutte le notifiche e ottenuto tutti i consensi, le cessioni, le licenze, le autorizzazioni, i permessi e/o i diritti necessari ai sensi delle Leggi sulla protezione dei dati per consentire al Fornitore di trattare legittimamente i Dati personali come previsto dai presenti Termini per lo Scopo; e (iii) dovrà garantire che le sue istruzioni per il Trattamento siano legittime e che il Trattamento dei Dati personali del Cliente da parte del Fornitore in conformità a tali istruzioni non violi o infranga le Leggi sulla protezione dei dati applicabili o i diritti di proprietà intellettuale, pubblicità, privacy o altri diritti che disciplinano tali Dati personali del Cliente. Se il Cliente è esso stesso un Responsabile del trattamento dei dati che agisce per conto di un terzo Titolare del trattamento dei dati, il Cliente dichiara inoltre al Fornitore che le istruzioni e le azioni del Cliente in relazione ai Dati personali del Cliente, compresa la nomina del Fornitore come altro Responsabile del trattamento dei dati, sono state autorizzate dal relativo Titolare del trattamento dei dati. Senza limitare qualsiasi altra cosa contenuta nel presente documento o nei Termini, l'Utente riconosce e accetta di essere l'unico responsabile di tutti i Dati personali dell'Utente che invia ai Servizi e/o che indirizza al Fornitore per l'invio ai Servizi, compresi, a titolo esemplificativo e non esaustivo, tutti i Dati personali dell'Utente che sono attribuiti in modo errato, etichettati in modo errato e/o classificati in modo errato.
3.3 Trattamento dei dati personali da parte del Fornitore. Il Fornitore tratterà i Dati personali del Cliente solo nella misura e con le modalità necessarie per gli Scopi e in conformità alle istruzioni legali documentate del Cliente. Il Fornitore non combinerà, e si assicurerà che i suoi Subprocessori non lo facciano, i Dati personali dell'Utente con i Dati personali provenienti da altre fonti, o che il Fornitore o il suo Subprocessore hanno raccolto per proprio conto, ad eccezione di quanto consentito dalle Leggi sulla protezione dei dati, e non “venderà” alcun Dato personale dell'Utente ai sensi del CCPA o in altro modo. Inoltre, il Fornitore rispetterà gli obblighi applicabili ai sensi del CPRA, compreso il fatto che il Fornitore fornirà lo stesso livello di protezione della privacy richiesto dal CPRA. Le parti concordano che i Termini (compreso il presente DPA) definiscono le istruzioni complete e definitive del Cliente al Fornitore in relazione al Trattamento dei Dati personali del Cliente. Ulteriori trattamenti al di fuori dell'ambito di tali istruzioni richiederanno un preventivo accordo scritto tra le parti.
3.4 Dettagli del trattamento. Di seguito vengono descritti i dettagli del Trattamento che il Fornitore deve fornire al Cliente ai sensi del presente DPA.
(a) Oggetto. L'oggetto del trattamento ai sensi della presente DPA sono i Dati personali del cliente.
(b) Durata. La durata del trattamento ai sensi del presente DPA è la durata dei Termini.
(c) Finalità. Le Finalità del Trattamento ai sensi della presente DPA sono la fornitura dei Servizi al Cliente.
(d) Natura del trattamento. La natura del Trattamento ai sensi della presente DPA è la fornitura di Servizi di gestione dei social media, compresi il calcolo, l'archiviazione e l'elaborazione dei Dati personali e altri servizi concordati dal Fornitore e dal Cliente.
(e) Tipo di dati. Il tipo di Dati del Cliente da trattare ai sensi della presente DPA comprende i Dati personali del Cliente caricati sui Servizi attraverso gli account del Cliente, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, e che possono includere, a titolo esemplificativo ma non esaustivo, i seguenti tipi di Dati personali: (i) informazioni sull'account dei social media e dati di contatto (quali nome, titolo, dettagli di contatto, indirizzo, numero di telefono, identificatori del dispositivo, indirizzo e-mail, nome utente del Cliente o altri identificatori dell'utente e handle dei social media); (ii) informazioni informatiche (indirizzi IP, dati di utilizzo, dati dei cookie e dati di localizzazione); e (iii) informazioni di fatturazione e numeri di carta di credito.
(f) Categorie di soggetti interessati. I soggetti del trattamento ai sensi del presente DPA possono includere, a titolo esemplificativo, clienti, dipendenti, agenti, consulenti, rappresentanti, consulenti, clienti potenziali, partner commerciali, appaltatori indipendenti, venditori e fornitori, nonché utenti finali autorizzati dal Cliente a utilizzare i Servizi.
3.5 Avviso degli obblighi di trattamento. Se, in qualsiasi momento, il Fornitore non è in grado di adempiere ai propri obblighi ai sensi del presente DPA: (i) il Fornitore ne darà comunicazione all'Utente; (ii) l'Utente potrà recuperare tutti i Dati personali dell'Utente forniti ai sensi del presente DPA; e (iii) il Fornitore dovrà smaltire correttamente i Dati personali dell'Utente in conformità ai requisiti di conservazione del presente DPA.
4.1 Subprocessori autorizzati. Il Cliente accetta che il Fornitore possa incaricare i Subprocessori di trattare i Dati personali del Cliente per conto del Cliente. Il Fornitore dovrà (i) fornire un elenco aggiornato dei Subprocessori che ha nominato su richiesta scritta dell'Utente; e (ii) notificare all'Utente l'aggiunta o la rimozione di Subprocessori almeno quattordici (14) giorni prima di consentire a tali Subprocessori di elaborare i Dati personali dell'Utente. L'Acquirente può opporsi per iscritto alla nomina di un nuovo Subprocessore da parte del Fornitore entro dieci (10) giorni di calendario da tale notifica, a condizione che tale obiezione sia basata su ragionevoli motivi relativi alla protezione dei dati. In tal caso, le parti discuteranno in buona fede di tali obiezioni al fine di trovare una soluzione. Se il Fornitore non è in grado di fornire un Subprocessore alternativo, o se le parti non sono altrimenti in grado di raggiungere una soluzione come previsto nella frase precedente, l'Acquirente, come unico ed esclusivo rimedio, può risolvere i Termini (compreso il presente DPA) con comunicazione scritta al Fornitore, ma non avrà diritto ad alcun rimborso e l'Acquirente dovrà pagare immediatamente tutte le tariffe dovute ai sensi dei Termini.
4.2 Obblighi del subprocessore. Il Fornitore dovrà: (i) stipulare un accordo scritto con ciascun Subprocessore che imponga termini di protezione dei dati che richiedano al Subprocessore di elaborare i Dati personali del Cliente in modo sostanzialmente simile agli standard stabiliti nel presente DPA e, nella misura in cui ciò sia applicabile ai Servizi forniti dal Fornitore, agli standard richiesti dalle Leggi sulla protezione dei dati; e (ii) rimanere responsabile della propria conformità agli obblighi del presente DPA e di qualsiasi atto o omissione di ciascun Subprocessore.
5.1 Misure di sicurezza. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Fornitore implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati personali dell'Utente da incidenti di sicurezza e per preservare la sicurezza e la riservatezza dei Dati personali dell'Utente trattati dal Fornitore per conto dell'Utente (“Misure di sicurezza”). Il Cliente è responsabile di esaminare le informazioni rese disponibili dal Fornitore in merito alla sicurezza dei dati e di determinare in modo indipendente se i Servizi soddisfano i requisiti e gli obblighi legali del Cliente ai sensi delle Leggi sulla protezione dei dati. Il Cliente riconosce che le Misure di sicurezza sono soggette al progresso e allo sviluppo tecnico e che il Fornitore può aggiornare o modificare le Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un degrado sostanziale della sicurezza complessiva dei Servizi o dei Dati del Cliente, compresi i Dati personali del Cliente.
5.2 Misure di sicurezza da parte del Cliente. Il Cliente è responsabile dell'utilizzo e della configurazione dei Servizi in modo tale da consentire al Cliente di rispettare le leggi sulla protezione dei dati, compresa l'implementazione di misure tecniche e organizzative adeguate.
5.3 Riservatezza dell'elaborazione. Il Fornitore dovrà garantire che qualsiasi persona autorizzata dal Fornitore a trattare i Dati personali del cliente (compresi il suo personale, i suoi agenti e i suoi subappaltatori) sia soggetta a un adeguato obbligo di riservatezza.
5.4 Nessuna valutazione dei Dati del cliente da parte del Fornitore. Il Cliente riconosce che il Fornitore non valuterà il contenuto dei Dati del Cliente al fine di identificare le informazioni soggette a specifici requisiti legali. Il Cliente è l'unico responsabile della conformità alle leggi sulla notifica degli incidenti applicabili al Cliente e dell'adempimento di qualsiasi obbligo di notifica da parte di terzi in relazione a qualsiasi Incidente di sicurezza.
5.5 Responsabilità del Cliente. Il Cliente conviene che, fatti salvi gli obblighi del Fornitore ai sensi della Sezione 5.1 (Misure di sicurezza) e della Sezione 8.3 (Risposta agli incidenti di sicurezza):
6.1 Rapporti. Il Fornitore riconosce che il Fornitore viene regolarmente sottoposto a verifiche da parte di revisori indipendenti di terze parti e/o revisori interni in relazione alle Misure di sicurezza del Fornitore. Su richiesta, il Fornitore fornirà (su base confidenziale) un riassunto dei suoi rapporti di revisione aggiornati e qualsiasi altro materiale pubblicato reso disponibile dal Fornitore, che descriva ulteriormente i principi, i programmi e le pratiche del Fornitore in materia di sicurezza delle informazioni e privacy (collettivamente, “Rapporto”) al Cliente, in modo che quest'ultimo possa verificare la conformità del Fornitore al presente DPA. Fermo restando quanto sopra, l'Acquirente può divulgare un Rapporto come consentito dalla sezione dei Termini relativa alla riservatezza, anche su richiesta o richiesta delle autorità preposte alla protezione dei dati che hanno giurisdizione sull'Acquirente, anche se non richiesto dalla legge (“Richiesta dell'autorità preposta alla protezione dei dati”), a condizione, tuttavia, che l'Acquirente, come consentito dalla legge, comunichi preventivamente per iscritto al Fornitore la richiesta dell'autorità preposta alla protezione dei dati, in modo che il Fornitore possa tentare di ottenere un trattamento riservato per il Rapporto. Se il Cliente non è legalmente autorizzato a dare al Fornitore una notifica preventiva, il Cliente accetta di compiere sforzi ragionevoli per garantire il trattamento riservato del Rapporto e accetta inoltre di non rimuovere o oscurare alcun contrassegno “riservato”, “proprietario” o simile dal Rapporto.
6.2 Richieste di informazioni. Il Fornitore dovrà inoltre fornire risposte scritte (su base confidenziale) a tutte le ragionevoli richieste di informazioni avanzate dall'Acquirente in relazione al suo Trattamento dei Dati personali dell'Acquirente, comprese le risposte a questionari sulla sicurezza delle informazioni e di audit necessari per confermare la conformità del Fornitore al presente DPA, a condizione che l'Acquirente non eserciti tale diritto più di una volta all'anno, salvo che tale diritto possa essere esercitato anche nel caso in cui l'Acquirente sia espressamente richiesto o obbligato a fornire tali informazioni a un'autorità per la protezione dei dati, o il Fornitore abbia subito un Incidente di sicurezza, o altre basi ragionevolmente simili.
7.1 Trattamento internazionale. Il Fornitore può elaborare i Dati del cliente in qualsiasi parte del mondo in cui il Fornitore, le sue affiliate o i suoi Subprocessori effettuano operazioni di elaborazione dei dati. Il Fornitore fornirà in ogni momento garanzie adeguate per i Dati personali dell'utente, ovunque essi vengano elaborati, in conformità con i requisiti delle leggi sulla protezione dei dati.
7.2 Trasferimenti dal SEE. Nella misura in cui il Fornitore elabora i Dati personali del Cliente protetti dalle Leggi sulla protezione dei dati del SEE (“Dati del SEE”), le parti concordano che il Fornitore metta a disposizione i meccanismi di trasferimento elencati di seguito, per qualsiasi trasferimento di Dati del SEE dal SEE al Fornitore situato in un paese che non garantisce un livello di protezione adeguato (ai sensi della Legge sulla protezione dei dati applicabile) e nella misura in cui tali trasferimenti sono soggetti a tali Leggi sulla protezione dei dati del SEE, Il Fornitore accetta di rispettare e trattare i Dati SEE in conformità alle Clausole Modello e a tal fine il Fornitore accetta di essere un “importatore di dati” e il Cliente un “esportatore di dati” ai sensi delle Clausole Modello (nonostante il Cliente possa essere un'entità situata al di fuori del SEE).
8.1 Cancellazione da parte del Cliente. Il Fornitore consentirà all'Utente di eliminare i Dati dell'Utente durante il Periodo di validità in modo coerente con la funzionalità del Servizio.
8.2 Cancellazione in caso di risoluzione. Per trenta (30) giorni dopo la risoluzione o la scadenza dei Termini, il Cliente avrà la possibilità di recuperare tutti i Dati personali del Cliente rimanenti in conformità ai Termini. Successivamente, l'Utente incarica il Fornitore di cancellare automaticamente tutti i rimanenti (se esistenti) Dati personali dell'Utente (comprese le copie). Il Fornitore non è tenuto a cancellare i Dati personali dell'utente nella misura in cui (i) il Fornitore è tenuto, in base alla legge applicabile o a un ordine di un ente governativo o normativo, a conservare alcuni o tutti i Dati personali dell'utente; e/o (ii), i Dati personali dell'utente sono stati archiviati su sistemi di back-up, i quali Dati personali dell'utente il Fornitore isolerà e proteggerà in modo sicuro da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile.
8.3 Risposta agli incidenti di sicurezza. Alla conferma di un Incidente di sicurezza, il Fornitore dovrà: (i) informare l'Utente senza ritardi ingiustificati, e in ogni caso tale notifica dovrà avvenire entro settantadue (72) ore dal momento in cui il Fornitore è venuto a conoscenza dell'Incidente di sicurezza; (ii) fornire tempestivamente informazioni relative all'Incidente di sicurezza non appena ne viene a conoscenza o come ragionevolmente richiesto dall'Utente; e (iii) il Fornitore adotterà prontamente misure ragionevoli per contenere, indagare e mitigare qualsiasi Incidente di sicurezza. La notifica o la risposta del Fornitore a un Incidente di sicurezza ai sensi della presente Sezione 8.3 (Risposta agli incidenti di sicurezza) non sarà interpretata come un riconoscimento da parte del Fornitore di qualsiasi colpa o responsabilità in relazione all'Incidente di sicurezza.
9.1 Cooperazione. In nessun caso il presente DPA o qualsiasi altra parte limiterà o limiterà i diritti di qualsiasi soggetto interessato o di qualsiasi autorità di vigilanza competente. Se un ente preposto all'applicazione della legge invia al Fornitore una richiesta di Dati personali del Cliente (ad esempio, una citazione in giudizio o un ordine del tribunale), il Fornitore cercherà di reindirizzare l'ente preposto all'applicazione della legge a richiedere tali dati direttamente al Cliente. Come parte di questo sforzo, il Fornitore può fornire le informazioni di contatto dell'Utente all'agenzia di polizia. Se costretto a divulgare i Dati personali dell'utente a un'agenzia di applicazione della legge, il Fornitore fornirà all'utente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o un altro rimedio appropriato, nella misura in cui il Fornitore è legalmente autorizzato a farlo.
9.2 Richieste di accesso dei consumatori. Tenendo conto della natura del Trattamento, il Fornitore dovrà (su richiesta e a spese del Cliente) fornire una ragionevole cooperazione per consentire al Cliente di rispondere a qualsiasi richiesta da parte delle autorità di protezione dei dati applicabili o a una Richiesta verificabile dei consumatori di esercitare i diritti (nella misura in cui sono disponibili ai sensi delle Leggi sulla protezione dei dati) di: accesso, rettifica, limitazione del Trattamento, cancellazione (“diritto all'oblio”), portabilità dei dati, opposizione al Trattamento, non essere soggetti a processi decisionali individuali automatizzati, opt-out dalla vendita di Dati personali, o diritto a non essere discriminati, in ciascun caso esclusivamente nella misura in cui ciò riguarda il Trattamento dei Dati personali del Cliente attraverso i Servizi ai sensi dei Termini. Nel caso in cui una Richiesta verificabile del consumatore venga fatta direttamente al Fornitore e tale richiesta identifichi il Cliente, il Fornitore non risponderà direttamente a tale comunicazione senza la preventiva autorizzazione del Cliente, a meno che non sia obbligato per legge a farlo, e invece, dopo essere stato informato dal Fornitore, il Cliente dovrà rispondere alla Richiesta verificabile del consumatore. Se il Fornitore è tenuto a rispondere a tale Richiesta verificabile del consumatore, il Fornitore lo comunicherà tempestivamente al Cliente e gli fornirà una copia della Richiesta verificabile del consumatore, a meno che ciò non sia legalmente vietato.
9.3 Registrazioni. Il Cliente riconosce che il Fornitore potrebbe essere tenuto, ai sensi del GDPR o del GDPR del Regno Unito, a seconda dei casi, a: (a) raccogliere e conservare i registri di determinate informazioni, tra cui il nome e i dettagli di contatto di ciascun Responsabile del trattamento dei dati e/o Titolare del trattamento dei dati per conto del quale il Fornitore agisce e, se del caso, del rappresentante locale di tale Responsabile del trattamento dei dati o Titolare del trattamento dei dati e del responsabile della protezione dei dati; e (b) rendere tali informazioni disponibili alle autorità di vigilanza. Di conseguenza, se il GDPR o il GDPR del Regno Unito si applica al trattamento dei Dati personali del Cliente, quest'ultimo, ove richiesto, fornirà tali informazioni al Fornitore tramite i Servizi o altri mezzi forniti dal Fornitore e garantirà che tutte le informazioni fornite siano accurate e aggiornate.
9.4 DIPA. Nella misura in cui il Fornitore è tenuto a farlo ai sensi della legge sulla protezione dei dati, il Fornitore (su richiesta e a spese del Cliente) fornirà le informazioni ragionevolmente richieste in merito ai Servizi per consentire al Cliente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preventive con le autorità preposte alla protezione dei dati, come richiesto dalla legge.
10.1 Interezza dei termini. Le parti convengono che il presente DPA sostituisce e sostituisce qualsiasi addendum, allegato o documento esistente relativo all'elaborazione dei dati che le parti abbiano precedentemente stipulato in relazione ai Servizi. Fatta eccezione per le modifiche apportate dal presente DPA, i Termini rimangono invariati e in pieno vigore. In caso di conflitto tra il presente DPA e i Termini, il presente DPA prevarrà nella misura di tale conflitto in relazione al Trattamento dei Dati Personali del Cliente.
10.2 Responsabilità. Nonostante qualsiasi disposizione contraria contenuta nei Termini o nel presente DPA, la responsabilità di ciascuna parte e delle sue affiliate ai sensi del presente DPA sarà soggetta alle limitazioni di responsabilità stabilite nei Termini. Senza limitare gli obblighi di entrambe le parti ai sensi dei Termini, il Cliente accetta che qualsiasi sanzione normativa sostenuta dal Fornitore in relazione ai Dati personali del Cliente che derivi da, o in connessione con, il mancato rispetto da parte del Cliente dei suoi obblighi ai sensi del presente DPA o di qualsiasi legge applicabile in materia di protezione dei dati, sarà conteggiata e ridurrà la responsabilità del Fornitore ai sensi dei Termini come se si trattasse di una responsabilità nei confronti del Cliente ai sensi dei Termini.
10.3 Legge applicabile e giurisdizione. Il presente DPA sarà disciplinato e interpretato in conformità alle disposizioni in materia di legge applicabile e giurisdizione contenute nei Termini, a meno che non sia richiesto diversamente dalle leggi applicabili in materia di protezione dei dati.
10.4 Certificazione. Il Fornitore certifica di aver compreso i propri obblighi ai sensi del presente DPA e di rispettarli.
