New

Introducing Ideals MCP. Connect Claude, Copilot, or ChatGPT directly to your data room

Learn more
Get price
Get price

Request sent. We will email your data room access link shortly. Your Account Manager will contact you to discuss your project.

Get price

ACCORDO SUL TRATTAMENTO DEI DATI

Data di revisione: 16 giugno 2026

Il presente Accordo sul Trattamento dei Dati (l'”ATD“) è stipulato tra:

(1) Cliente: il soggetto contrattuale del Cliente espressamente identificato nel relativo Ordine di Fornitura (o in qualsiasi altro modulo d’ordine o documento emesso ai sensi dello stesso e accettato dal Cliente) per la fornitura dei servizi VDR (l'”Ordine di Fornitura“), che agisce in qualità di Titolare del Trattamento (“Cliente” o “Titolare“); e

(2) Ideals: il soggetto contrattuale di Ideals espressamente identificato nel relativo Ordine di Fornitura, che agisce in qualità di Responsabile del Trattamento (“Ideals” o “Responsabile“).

Incorporazione e prevalenza

Il presente ATD integra e costituisce parte integrante dei Termini e Condizioni di Servizio di Ideals (“T&C“) disponibili all’indirizzo https://www.idealsvdr.com/terms-and-conditions/. Il presente ATD si applica laddove e nella misura in cui Ideals tratti Dati Personali per conto del Cliente in qualità di Responsabile del Trattamento in connessione con i Servizi. Con la sottoscrizione dell’Ordine di Fornitura che fa riferimento ai T&C, ovvero accedendo o utilizzando i Servizi, il Cliente accetta di essere vincolato dal presente ATD per sé e per i propri Utenti.

Il termine “Accordo VDR Ideals” indica i T&C unitamente all’eventuale Ordine di Fornitura applicabile. Collettivamente, l’Accordo VDR Ideals e il presente ATD sono di seguito denominati l'”Accordo“.

In caso di conflitto o incompatibilità tra i termini dell’Accordo, limitatamente al conflitto relativo agli obblighi in materia di protezione e trattamento dei dati, prevarranno le disposizioni dei seguenti documenti (in ordine di priorità): (a) il presente ATD; e (b) l’Accordo VDR Ideals. Salvo quanto espressamente modificato dal presente ATD, l’Accordo VDR Ideals rimane invariato e in pieno vigore ed effetto.

1. DEFINIZIONI

Dati Personali del Cliente” indica i Dati Personali (i) che il Cliente carica nella Virtual Data Room (di seguito il “VDR“) e (ii) che sono altrimenti trattati da Ideals per conto del Cliente in connessione con la fornitura dei Servizi ai sensi dell’Accordo VDR Ideals.

Titolare del Trattamento” indica il Cliente.

Responsabile del Trattamento” indica Ideals.

Requisiti di Protezione dei Dati” indica, ove applicabile, il GDPR dell’UE e le relative leggi di attuazione nazionali; il GDPR del Regno Unito e il Data Protection Act 2018 del Regno Unito; la Legge federale svizzera sulla protezione dei dati (LPD, inclusa la LPD rivista); la Lei Geral de Proteção de Dados brasiliana (LGPD); il Digital Personal Data Protection Act indiano (DPDP Act) e le relative norme di attuazione (quando in vigore e nella misura applicabile); le Leggi sulla Privacy degli Stati USA che regolano i contratti con responsabili/fornitori di servizi (incluse la CCPA/CPRA e leggi statali sostanzialmente simili); nonché qualsiasi altra legge applicabile in materia di privacy/protezione dei dati e le linee guida/decisioni vincolanti delle autorità competenti.

Responsabile della Protezione dei Dati (RPD)” indica il responsabile della protezione dei dati nominato da Ideals, contattabile all’indirizzo privacy@idealscorp.com.

Dati Personali UE” indica i Dati Personali disciplinati dal GDPR dell’UE.

Leggi sulla Privacy degli Stati USA” indica, ove applicabile, la CCPA/CPRA della California e le leggi statali USA sulla privacy sostanzialmente simili (ad es., CPA, VCDPA, CTDPA, UCPA) nella misura in cui si applicano ai Servizi.

Dati Personali” indica le informazioni relative a un individuo che (a) possono essere utilizzate per identificare, contattare o localizzare un individuo specifico, inclusi i dati che il Cliente sceglie di caricare nel VDR; (b) possono essere combinate con altre informazioni utilizzabili per identificare, contattare o localizzare un individuo specifico; o (c) sono definite come “dati personali” o “informazioni personali” dalle leggi o dai regolamenti applicabili in materia di raccolta, uso, archiviazione o divulgazione di informazioni relative a un individuo identificabile.

Meccanismi di Trasferimento Applicabili” indica, ove applicabile: (i) le Clausole Contrattuali Standard dell’UE adottate con Decisione (UE) 2021/914 della Commissione (Modulo 2 – da Titolare a Responsabile); (ii) l’Addendum Internazionale al Trasferimento di Dati del Regno Unito (o IDTA, ove applicabile); (iii) l’Addendum IFPDT svizzero; e (iv) ove applicabile, il Quadro UE-USA per la Privacy dei Dati, l’Estensione del Regno Unito al Quadro UE-USA per la Privacy dei Dati e il Quadro Svizzera-USA per la Privacy dei Dati, a condizione che il pertinente importatore di dati mantenga una certificazione valida.

Quadri per la Privacy dei Dati” indica il Quadro UE-USA per la Privacy dei Dati (DPF) e, ove applicabile, l’Estensione del Regno Unito al DPF UE-USA e il DPF Svizzera-USA, gestiti dal Dipartimento del Commercio degli Stati Uniti.

Violazione dei Dati Personali” indica qualsiasi distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato, accidentale o illecito, ai Dati Personali del Cliente.

Trattamento” e i suoi derivati indicano qualsiasi operazione o insieme di operazioni eseguite su Dati Personali o su insiemi di Dati Personali, con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Sub-Responsabile” indica qualsiasi soggetto che fornisce servizi di trattamento a Ideals a supporto del trattamento da parte di Ideals per conto del Cliente.

Autorità di Controllo” indica qualsiasi autorità di controllo UE competente, l’ICO del Regno Unito, l’IFPDT svizzero, l’ANPD brasiliana o altra autorità competente, ove applicabile.

2. NATURA, AMBITO E FINALITÀ DEL TRATTAMENTO DEI DATI

Ciascuna Parte si impegna a trattare i Dati Personali ricevuti ai sensi dell’Accordo, inclusi i Dati Personali relativi a persone fisiche contenuti nella documentazione caricata nel VDR e altri Dati Personali del Titolare del Trattamento, esclusivamente per le finalità stabilite nell’Accordo.

Inoltre, Ideals informerà il Cliente qualora ritenga che un’istruzione ricevuta dal Cliente violi i Requisiti di Protezione dei Dati, consentendo al Cliente di rivedere e, se necessario, modificare tale istruzione.

3. CONFORMITÀ ALLE LEGGI

Le Parti adempiono ciascuna ai propri obblighi derivanti da tutti i Requisiti di Protezione dei Dati applicabili.

4. OBBLIGHI DEL CLIENTE

Il Cliente si impegna a:

4.1 Fornire istruzioni a Ideals e determinare le finalità e i mezzi generali del trattamento dei Dati Personali del Cliente da parte di Ideals in conformità con l’Accordo; e

4.2 Adempiere agli obblighi di protezione, sicurezza e altri obblighi relativi ai Dati Personali del Cliente prescritti dai Requisiti di Protezione dei Dati per i titolari del trattamento:

A. istituendo e mantenendo una procedura per l’esercizio dei diritti delle persone fisiche i cui Dati Personali del Cliente vengono trattati per conto del Cliente;

B. caricando e trattando solo dati che il Cliente è autorizzato a caricare nel VDR; e

C. garantendo la conformità alle disposizioni del presente Accordo da parte del proprio personale o di terzi che accedono o utilizzano i Dati Personali del Cliente per suo conto.

5. OBBLIGHI DI IDEALS

5.1 Requisiti di Trattamento. Ideals si impegna a:

A. Trattare i Dati Personali del Cliente (i) esclusivamente al fine di fornire, supportare e migliorare i servizi di Ideals (inclusa la fornitura di analisi e altri report), applicando le misure di sicurezza tecniche e organizzative appropriate elencate nel presente ATD e nell’Allegato II; e (ii) in conformità con le istruzioni ricevute dal Cliente. Ideals non utilizzerà né tratterà i Dati Personali del Cliente per qualsiasi altra finalità. Qualsiasi attività relativa al miglioramento dei servizi, alla generazione di analisi o ad altri report sarà svolta esclusivamente su dati anonimizzati che non costituiscono più Dati Personali ai sensi del GDPR, del GDPR del Regno Unito o della LPD (e concetti equivalenti ai sensi di altre leggi applicabili).

B. Adottare misure commercialmente ragionevoli per garantire che le persone incaricate di operare per conto di Ideals rispettino i termini dell’Accordo e siano tenute a rispettare e riconoscere la riservatezza dei Dati Personali del Cliente;

C. Qualora intenda coinvolgere Sub-Responsabili per adempiere ai propri obblighi ai sensi dell’Accordo o delegare tutte o parte delle attività di trattamento a tali Sub-Responsabili, rimanere responsabile nei confronti del Cliente per le azioni e le omissioni di tali Sub-Responsabili in materia di protezione dei dati, laddove tali Sub-Responsabili agiscano su istruzioni di Ideals;

D. Su richiesta scritta, fornire al Cliente una sintesi delle politiche sulla privacy e sulla sicurezza di Ideals;

E. Qualora Ideals raccolga Dati Personali da persone fisiche in qualità di titolare autonomo del trattamento (ad es., per l’amministrazione dell’account, la fatturazione, la sicurezza, la conformità, la prevenzione delle frodi e/o altre operazioni aziendali non svolte per conto del Cliente), agire come Titolare del Trattamento (o ruolo equivalente) per tale trattamento e il presente ATD non si applica a tale trattamento;

F. RPD. Ideals mantiene un Responsabile della Protezione dei Dati nominato e fornirà i dati di contatto al Cliente e alle autorità competenti su richiesta.

5.2 Assistenza al Cliente. Ideals fornirà ragionevole assistenza al Cliente in merito a:

A. Qualsiasi richiesta degli interessati del Cliente relativa all’accesso, alla rettifica, alla cancellazione, alla limitazione, alla portabilità, al blocco o alla distruzione dei Dati Personali del Cliente che Ideals tratta per il Cliente. Qualora un interessato invii tale richiesta direttamente a Ideals, Ideals la trasmetterà tempestivamente al Cliente;

B. L’indagine sulle Violazioni dei Dati Personali e la notifica all’Autorità di Controllo e agli interessati del Cliente in merito a tali Violazioni; Ideals notificherà in ogni caso al Cliente qualsiasi Violazione dei Dati Personali senza ingiustificato ritardo dopo esserne venuta a conoscenza, fornendo informazioni e assistenza sufficienti per consentire al Cliente di adempiere ai propri obblighi legali;

C. Ove opportuno, la preparazione di valutazioni d’impatto sulla protezione dei dati e, ove necessario, lo svolgimento di consultazioni con qualsiasi Autorità di Controllo.

5.3 Trattamento Obbligatorio.

Qualora Ideals sia tenuta dai Requisiti di Protezione dei Dati o da altra legge applicabile a trattare Dati Personali del Cliente per una ragione diversa dalla fornitura dei servizi descritti nell’Accordo, Ideals ne informerà il Cliente in anticipo rispetto a qualsiasi trattamento, salvo che Ideals sia legalmente impedita di informare il Cliente di tale trattamento (ad es., a causa di obblighi di riservatezza ai sensi della legge applicabile).

6. SICUREZZA

6.1 Ideals ha implementato ragionevoli misure di sicurezza amministrative, tecniche e fisiche (anche in relazione al personale, agli impianti, all’hardware e software, allo stoccaggio e alle reti, ai controlli di accesso, al monitoraggio e alla registrazione, al rilevamento di vulnerabilità e violazioni, alla risposta agli incidenti e alla cifratura dei Dati Personali del Cliente in transito e a riposo) per proteggere da accesso non autorizzato o accidentale, perdita, alterazione, divulgazione o distruzione dei Dati Personali del Cliente;

6.2 Ideals è responsabile dell’adeguatezza delle garanzie di sicurezza, privacy e riservatezza di tutto il personale di Ideals in relazione ai Dati Personali del Cliente ed è responsabile per qualsiasi inadempimento di tale personale rispetto ai termini del presente ATD;

6.3 Ideals ha adottato misure ragionevoli per verificare che tutto il personale di Ideals protegga la sicurezza, la privacy e la riservatezza dei Dati Personali del Cliente in conformità con i requisiti del presente ATD; e

6.4 L’elenco delle misure tecniche e organizzative implementate da Ideals è indicato nel presente ATD e nell’Allegato II.

6.5 Ideals dichiara che le persone autorizzate da Ideals a trattare Dati Personali si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo legale di riservatezza.

7. AUDIT

7.1 Audit e Garanzia del Cliente. Non più di una volta in qualsiasi periodo di 12 mesi (o per giusta causa a seguito di una Violazione dei Dati Personali verificata), il Cliente può verificare la conformità di Ideals al presente ATD. Ideals metterà prima a disposizione i propri report di garanzia di terze parti aggiornati (ad es., certificato ISO/IEC 27001, SOC 2 Tipo II), le sintesi dei test di penetrazione e la relativa documentazione. Qualora tali materiali non dimostrino ragionevolmente la conformità, il Cliente potrà condurre un audit mirato in regime di NDA, con un preavviso scritto di 30 giorni, durante il normale orario lavorativo, senza accesso ai dati di altri clienti o agli strumenti di test proprietari di Ideals.

7.2 Audit delle Autorità di Controllo. Ideals collaborerà con audit o indagini condotti da Autorità di Controllo competenti.

7.3 Costi. Il Cliente rimborserà a Ideals i costi ragionevoli e vivi direttamente attribuibili a un audit in loco avviato dal Cliente.

8. TRASFERIMENTI DI DATI

8.1 Le Parti si avvarranno dei Meccanismi di Trasferimento Applicabili per qualsiasi trasferimento di Dati Personali del Cliente verso un paese che non garantisce un livello adeguato di protezione. Laddove Ideals mantenga una valida certificazione del Quadro per la Privacy dei Dati, le Parti concordano che tale Quadro costituirà il meccanismo di trasferimento lecito per i dati personali in questione. Qualora, in qualsiasi momento, la certificazione di Ideals scada, venga revocata o il relativo Quadro venga invalidato o altrimenti non sia disponibile, le CCS/Addendum UK/Addendum Svizzero incorporati nel presente ATD si applicheranno automaticamente come meccanismo alternativo senza ulteriore azione da parte delle Parti.

8.2 Trasferimenti UE/SEE (CCS UE). Per i trasferimenti di Dati Personali UE a Ideals per il trattamento da parte di Ideals in una giurisdizione diversa dall’UE/SEE o da un paese con decisione di adeguatezza, le Parti incorporano per riferimento le CCS UE (da Titolare a Responsabile, Modulo 2) adottate con Decisione (UE) 2021/914, completate utilizzando gli Allegati I–III del presente ATD. Il testo delle CCS UE è allegato come Allegato I (o incorporato per riferimento se allegato al pacchetto contrattuale).

8.3 Trasferimenti UK (UK Addendum / IDTA). Per i trasferimenti limitati ai sensi del GDPR del Regno Unito, le Parti incorporano per riferimento l’Addendum Internazionale al Trasferimento di Dati del Regno Unito alle CCS UE (o l’IDTA se concordato nel documento d’ordine), completato utilizzando le tabelle nell’Allegato II.

8.4 Trasferimenti Svizzeri (Addendum Svizzero). Per i trasferimenti soggetti alla LPD svizzera verso una giurisdizione non adeguata, le Parti incorporano per riferimento l’Addendum IFPDT, indicato nell’Allegato III, completato utilizzando i relativi allegati del presente ATD.

8.5 Misure Supplementari. Ideals implementa e manterrà appropriate misure tecniche e organizzative (inclusa una forte cifratura in transito e a riposo, controlli di accesso e rigorosa registrazione degli accessi) per soddisfare i requisiti delle valutazioni d’impatto sul trasferimento dei dati applicabili.

8.6 Accesso al Supporto Avviato dal Cliente come Istruzione. Laddove il Cliente abiliti l’Accesso al Supporto o lo richieda per iscritto/ticket, tale azione costituisce istruzione documentata per (i) il limitato accesso remoto da parte del personale di supporto di Ideals e (ii) qualsiasi trasferimento transfrontaliero intrinsecamente necessario per fornire tale supporto. L’ambito e la durata sono limitati allo specifico ticket/sessione e vengono registrati nei log di audit.

9. RESTITUZIONE E CANCELLAZIONE DEI DATI

Su ragionevole richiesta scritta del Cliente a privacy@idealscorp.com (o come definito nell’Accordo VDR Ideals), Ideals, a scelta del Cliente, restituirà tutti i Dati Personali del Cliente e le relative copie al Cliente ovvero li distruggerà in modo sicuro e, su richiesta, certificherà il completamento, salvo che i Requisiti di Protezione dei Dati impediscano a Ideals di restituire o distruggere tutti o parte dei Dati Personali del Cliente. Laddove la conservazione sia richiesta per legge, Ideals limiterà il trattamento alla finalità e alla durata minima necessaria.

10. RESPONSABILI DEL TRATTAMENTO DI TERZE PARTI

10.1 Il Cliente prende atto che, nella fornitura dei Servizi, Ideals può trasferire Dati Personali del Cliente a Sub-Responsabili e interagire altrimenti con essi.

10.2 L’elenco dei Sub-Responsabili è riportato nell’Allegato III al presente ATD.

11. LEGGE APPLICABILE, GIURISDIZIONE E FORO COMPETENTE

Il presente ATD è disciplinato dalla legge e dalle disposizioni sulla risoluzione delle controversie stabilite nell’Accordo VDR Ideals ed è interpretato in conformità con esse, fatta eccezione per il fatto che:

(a) la presente Sezione non modifica le scelte di legge applicabile/foro ai sensi della Clausola 17/18 delle CCS UE; e

(b) per i trasferimenti UK, si applica l’UK Addendum/IDTA, ove applicabile; e

(c) per i trasferimenti svizzeri, si applica l’Addendum Svizzero, ove applicabile.

12. DURATA

Il presente ATD rimane in vigore per tutto il tempo in cui l’Accordo VDR Ideals è valido.

ALLEGATO 0

A. Riferimenti alle autorità di controllo competenti (a titolo informativo)

UE/SEE: autorità di controllo competente ai sensi del GDPR (sede del Cliente / sede principale).

Regno Unito: ICO (laddove si applica il GDPR del Regno Unito).

Svizzera: IFPDT (laddove si applica la LPD svizzera).

Brasile: ANPD (laddove si applica la LGPD).

California: CPPA (laddove si applica la CCPA della California).

India: autorità/organo competente (ai sensi della legge in vigore).

Il presente Allegato è fornito a solo titolo informativo e non modifica né sostituisce l’autorità di controllo competente identificata ai sensi delle CCS UE. Ai fini delle CCS UE (Clausola 13), l’autorità di controllo competente è determinata esclusivamente ai sensi del GDPR e identificata nell’Allegato I(C).

ALLEGATO I

CLAUSOLE CONTRATTUALI STANDARD

SEZIONE I

Clausola 1 – Finalità e ambito di applicazione

(a) Lo scopo delle presenti clausole contrattuali standard è garantire il rispetto dei requisiti del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati) in caso di trasferimento di dati personali verso un paese terzo.

(b) Le Parti: (i) la/le persona/e fisica/e o giuridica/e, autorità pubblica/he, agenzia/e o altro/i organismo/i che trasferisce/transferiscono i dati personali, come elencato/i nell’Allegato I.A (di seguito ciascuno “esportatore di dati”), e (ii) il/i soggetto/i in un paese terzo che riceve/ricevono i dati personali dall’esportatore di dati, direttamente o indirettamente tramite un altro soggetto che è anch’esso Parte delle presenti Clausole, come elencato nell’Allegato I.A (di seguito ciascuno “importatore di dati”), hanno concordato le presenti clausole contrattuali standard (di seguito “Clausole”).

(c) Le presenti Clausole si applicano con riguardo al trasferimento di dati personali come specificato nell’Allegato I.B.

(d) L’Appendice alle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle presenti Clausole.

Clausola 2 – Effetto e invariabilità delle Clausole

(a) Le presenti Clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e rimedi legali effettivi, ai sensi dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, con riguardo ai trasferimenti di dati da titolari a responsabili del trattamento e/o da responsabili a responsabili, clausole contrattuali standard ai sensi dell’articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non siano modificate, salvo per aggiungere o aggiornare informazioni nell’Appendice.

(b) Le presenti Clausole non pregiudicano gli obblighi ai quali l’esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679 (GDPR).

Clausola 3 – Terzi beneficiari

(a) Gli interessati possono invocare e far valere le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore di dati, con le seguenti eccezioni: (i) Clausola 1, 2, 3, 6, 7; (ii) Clausola 8 – 8.1(b), 8.9(a), (c), (d) e (e); (iii) Clausola 9 – 9(a), (c), (d) e (e); (iv) Clausola 12 – 12(a), (d) e (f); (v) Clausola 13; (vi) Clausola 15.1(c), (d) e (e); (vii) Clausola 16(e); (viii) Clausola 18 – 18(a) e (b).

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4 – Interpretazione

(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini hanno lo stesso significato di detto Regolamento.

(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti Clausole non devono essere interpretate in modo da contrastare i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5 – Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento dell’accordo delle Clausole o stipulati in seguito, le presenti Clausole prevalgono.

Clausola 6 – Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, e in particolare le categorie di dati personali trasferiti e le finalità per cui vengono trasferiti, sono specificati nell’Allegato I.B.

Clausola 7 – Clausola di adesione

(a) Un soggetto che non è Parte delle presenti Clausole può, con il consenso delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore che come importatore di dati, completando l’Appendice e sottoscrivendo l’Allegato I.A.

(b) Una volta completata l’Appendice e sottoscritto l’Allegato I.A, il soggetto aderente diventa Parte delle presenti Clausole e ha i diritti e gli obblighi di un esportatore o di un importatore di dati in conformità con la sua designazione nell’Allegato I.A.

(c) Il soggetto aderente non ha diritti né obblighi derivanti dalle presenti Clausole per il periodo anteriore alla sua adesione in qualità di Parte.

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8 – Garanzie di protezione dei dati

L’esportatore di dati garantisce di aver compiuto ragionevoli sforzi per accertare che l’importatore di dati sia in grado, mediante l’attuazione di misure tecniche e organizzative adeguate, di adempiere ai propri obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni
(a) L’importatore di dati tratta i dati personali solo sulla base di istruzioni documentate dell’esportatore di dati. L’esportatore di dati può impartire tali istruzioni per tutta la durata del contratto.
(b) L’importatore di dati informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.

8.2 Limitazione della finalità
L’importatore di dati tratta i dati personali esclusivamente per la/le specifica/e finalità del trasferimento, come indicato nell’Allegato I.B, salvo ulteriori istruzioni dell’esportatore di dati.

8.3 Trasparenza
Su richiesta, l’esportatore di dati mette a disposizione dell’interessato, a titolo gratuito, una copia delle presenti Clausole, inclusa l’Appendice completata dalle Parti. Nella misura necessaria a tutelare segreti commerciali o altre informazioni riservate, incluse le misure descritte nell’Allegato II e i dati personali, l’esportatore di dati può oscurare parte del testo dell’Appendice prima di condividerne una copia, ma deve fornire un riassunto significativo laddove l’interessato non possa altrimenti comprenderne il contenuto o esercitare i propri diritti.

8.4 Esattezza
Qualora l’importatore di dati venga a conoscenza che i dati personali ricevuti sono inesatti o sono diventati obsoleti, ne informa l’esportatore di dati senza ingiustificato ritardo. In tal caso, l’importatore coopera con l’esportatore per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati
Il trattamento da parte dell’importatore di dati avviene solo per la durata specificata nell’Allegato I.B. Al termine della prestazione dei servizi di trattamento, l’importatore di dati, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica la cancellazione, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto ed elimina le copie esistenti.

8.6 Sicurezza del trattamento
(a) L’importatore di dati e, durante la trasmissione, anche l’esportatore di dati attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, inclusa la protezione da una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non autorizzato a tali dati. L’importatore di dati attua almeno le misure tecniche e organizzative specificate nell’Allegato II.
(b) L’importatore di dati concede l’accesso ai dati personali ai membri del proprio personale solo nella misura strettamente necessaria. Garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza.
(c) In caso di violazione dei dati personali relativi ai dati trattati dall’importatore ai sensi delle presenti Clausole, l’importatore adotta misure adeguate per far fronte alla violazione e ne dà notifica all’esportatore senza ingiustificato ritardo dopo esserne venuto a conoscenza.
(d) L’importatore di dati coopera con l’esportatore e lo assiste per consentirgli di adempiere ai propri obblighi ai sensi del Regolamento (UE) 2016/679, in particolare per quanto riguarda la notifica all’autorità di controllo competente e agli interessati.

8.7 Dati sensibili
Laddove il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona fisica, o dati relativi a condanne penali e reati (di seguito “dati sensibili”), l’importatore di dati applica le specifiche restrizioni e/o le garanzie aggiuntive descritte nell’Allegato I.B.

8.8 Trasferimenti successivi
L’importatore di dati comunica i dati personali a terzi solo sulla base di istruzioni documentate dell’esportatore di dati. I dati possono essere comunicati a un terzo ubicato al di fuori dell’Unione Europea solo se il terzo è o accetta di essere vincolato dalle presenti Clausole, o se ricorre una delle eccezioni previste dalla presente clausola.

8.9 Documentazione e conformità
(a) L’importatore di dati risponde tempestivamente e adeguatamente alle richieste dell’esportatore relative al trattamento ai sensi delle presenti Clausole.
(b) Le Parti devono essere in grado di dimostrare la conformità alle presenti Clausole.
(c) L’importatore di dati mette a disposizione dell’esportatore tutte le informazioni necessarie a dimostrare la conformità agli obblighi stabiliti nelle presenti Clausole e, su richiesta dell’esportatore, consente e contribuisce ad audit delle attività di trattamento coperte dalle presenti Clausole.
(d) L’esportatore di dati può scegliere di condurre l’audit da solo o di affidarlo a un revisore indipendente.
(e) Le Parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9 – Ricorso a sub-responsabili del trattamento

(a) AUTORIZZAZIONE SCRITTA GENERALE: L’importatore di dati ha l’autorizzazione generale dell’esportatore per il coinvolgimento di sub-responsabili da un elenco concordato. L’importatore informa specificamente l’esportatore per iscritto di qualsiasi modifica prevista a tale elenco tramite l’aggiunta o la sostituzione di sub-responsabili con almeno 30 giorni di anticipo.

(b) Laddove l’importatore di dati coinvolga un sub-responsabile per svolgere specifiche attività di trattamento, lo fa mediante un contratto scritto che prevede, nella sostanza, gli stessi obblighi di protezione dei dati di quelli vincolanti per l’importatore ai sensi delle presenti Clausole.

(c) L’importatore di dati fornisce, su richiesta dell’esportatore, una copia di tale contratto con il sub-responsabile.

(d) L’importatore di dati rimane pienamente responsabile nei confronti dell’esportatore per l’adempimento degli obblighi del sub-responsabile ai sensi del contratto con l’importatore.

(e) L’importatore di dati concorda con il sub-responsabile una clausola a favore di terzi in base alla quale, in caso di scomparsa di fatto o insolvenza dell’importatore, l’esportatore ha il diritto di risolvere il contratto con il sub-responsabile e di dare istruzioni a quest’ultimo di cancellare o restituire i dati personali.

Clausola 10 – Diritti degli interessati

(a) L’importatore di dati notifica tempestivamente all’esportatore qualsiasi richiesta ricevuta da un interessato. Non risponde a tale richiesta da solo, a meno che non sia stato autorizzato a farlo dall’esportatore.

(b) L’importatore di dati assiste l’esportatore nell’adempimento dei suoi obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679.

(c) Nell’adempimento dei suoi obblighi ai sensi dei paragrafi (a) e (b), l’importatore di dati si attiene alle istruzioni dell’esportatore.

Clausola 11 – Tutela

(a) L’importatore di dati informa gli interessati, in modo trasparente e facilmente accessibile, attraverso notifica individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami.

(b) In caso di controversia tra un interessato e una delle Parti riguardo alla conformità alle presenti Clausole, tale Parte compie il massimo sforzo per risolvere la questione in via amichevole.

(c) Laddove l’interessato faccia valere un diritto di terzo beneficiario ai sensi della Clausola 3, l’importatore di dati accetta la decisione dell’interessato.

(d) Le Parti accettano che l’interessato possa essere rappresentato da un ente, organizzazione o associazione senza scopo di lucro alle condizioni previste dall’articolo 80, paragrafo 1, del Regolamento (UE) 2016/679.

(e) L’importatore di dati si attiene a una decisione vincolante ai sensi del diritto UE o del diritto di uno Stato membro applicabile.

(f) L’importatore di dati accetta che la scelta dell’interessato non pregiudichi i suoi diritti sostanziali e procedurali di cercare tutela ai sensi delle leggi applicabili.

Clausola 12 – Responsabilità

(a) Ciascuna Parte è responsabile nei confronti dell’altra/delle altre Parti per i danni causati all’altra/alle altre Parti da qualsiasi violazione delle presenti Clausole.

(b) L’importatore di dati è responsabile nei confronti dell’interessato, e l’interessato ha diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l’importatore di dati o il suo sub-responsabile cagiona all’interessato violando i diritti di terzo beneficiario ai sensi delle presenti Clausole.

(c) Fatto salvo il paragrafo (b), l’esportatore di dati è responsabile nei confronti dell’interessato per qualsiasi danno materiale o immateriale causato all’interessato da una violazione dei diritti di terzo beneficiario.

(d) Le Parti concordano che, qualora l’esportatore sia ritenuto responsabile ai sensi del paragrafo (c) per danni causati dall’importatore (o dal suo sub-responsabile), abbia diritto a rivalersi sull’importatore per la parte di risarcimento corrispondente alla responsabilità dell’importatore.

(e) Laddove più di una Parte sia responsabile di danni causati all’interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili sono solidalmente responsabili.

(f) Le Parti concordano che, qualora una Parte sia ritenuta responsabile ai sensi del paragrafo (e), essa abbia diritto a rivalersi sull’altra/sulle altre Parti per la parte di risarcimento corrispondente alla loro responsabilità.

(g) L’importatore di dati non può invocare il comportamento di un sub-responsabile per evitare la propria responsabilità.

Clausola 13 – Vigilanza

(a) L’autorità di controllo responsabile di garantire la conformità da parte dell’esportatore di dati al Regolamento (UE) 2016/679 riguardo al trasferimento dei dati, come indicato nell’Allegato I.C, agisce quale autorità di controllo competente.

(b) L’importatore di dati accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con essa in qualsiasi procedimento volto a garantire il rispetto delle presenti Clausole.

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE

Clausola 14 – Leggi e prassi locali che incidono sulla conformità alle Clausole

(a) Le Parti dichiarano di non avere motivo di ritenere che le leggi e le prassi nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, comprese le eventuali prescrizioni di divulgazione di dati personali o le misure che autorizzano l’accesso da parte di autorità pubbliche, impediscano all’importatore di adempiere agli obblighi derivanti dalle presenti Clausole.

(b) Le Parti dichiarano di aver tenuto debitamente conto, in particolare, di: (i) le specifiche circostanze del trasferimento; (ii) le leggi e le prassi del paese terzo di destinazione; (iii) le garanzie contrattuali, tecniche o organizzative pertinenti adottate per integrare le garanzie previste dalle presenti Clausole.

(c) L’importatore di dati dichiara di aver compiuto i migliori sforzi per fornire all’esportatore informazioni pertinenti e si impegna a continuare a cooperare per garantire la conformità alle presenti Clausole.

(d) Le Parti concordano di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.

(e) L’importatore di dati si impegna a notificare tempestivamente all’esportatore qualora, dopo aver concordato le presenti Clausole e per la durata del contratto, abbia motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non conformi ai requisiti di cui al paragrafo (a).

(f) A seguito di una notifica ai sensi del paragrafo (e), o qualora l’esportatore abbia altrimenti motivo di ritenere che l’importatore non possa più adempiere agli obblighi derivanti dalle presenti Clausole, l’esportatore individua tempestivamente misure adeguate. L’esportatore sospende il trasferimento dei dati qualora ritenga che non possano essere garantite adeguate garanzie per il trasferimento.

Clausola 15 – Obblighi dell’importatore di dati in caso di accesso da parte di autorità pubbliche

15.1 Notifica
(a) L’importatore di dati si impegna a notificare tempestivamente all’esportatore e, ove possibile, all’interessato, qualora: (i) riceva una richiesta giuridicamente vincolante da un’autorità pubblica, comprese le autorità giudiziarie, in base alle leggi del paese di destinazione, per la divulgazione di dati personali trasferiti ai sensi delle presenti Clausole; oppure (ii) venga a conoscenza di qualsiasi accesso diretto da parte di autorità pubbliche ai dati personali trasferiti.
(b) Qualora l’importatore sia vietato dalla legge del paese di destinazione dal notificare l’esportatore e/o l’interessato, si impegna a compiere i migliori sforzi per ottenere la revoca del divieto.
(c) Ove consentito dalla legge del paese di destinazione, l’importatore si impegna a fornire all’esportatore, a intervalli regolari per la durata del contratto, il maggior numero di informazioni pertinenti possibili sulle richieste ricevute.
(d) L’importatore si impegna a conservare le informazioni di cui ai paragrafi (a)-(c) per la durata del contratto e a metterle a disposizione dell’autorità di controllo competente su richiesta.

15.2 Verifica della liceità e minimizzazione dei dati
(a) L’importatore si impegna a verificare la liceità della richiesta di divulgazione e a contestarla qualora, a seguito di un’attenta valutazione, concluda che vi siano ragionevoli motivi per ritenere che la richiesta sia illecita ai sensi delle leggi del paese di destinazione.
(b) L’importatore si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione della richiesta di divulgazione.
(c) L’importatore si impegna a fornire il minimo quantitativo di informazioni consentito quando risponde a una richiesta di divulgazione.

SEZIONE IV – DISPOSIZIONI FINALI

Clausola 16 – Inosservanza delle Clausole e risoluzione

(a) L’importatore di dati informa tempestivamente l’esportatore qualora non sia in grado di rispettare le presenti Clausole, per qualsiasi motivo.

(b) In caso di violazione delle presenti Clausole o di impossibilità per l’importatore di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino al ripristino della conformità o alla risoluzione del contratto.

(c) L’esportatore ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, qualora: (i) l’esportatore abbia sospeso il trasferimento ai sensi del paragrafo (b) e la conformità non venga ripristinata entro un termine ragionevole e in ogni caso entro un mese dalla sospensione; (ii) l’importatore violi in modo sostanziale o persistente le presenti Clausole; o (iii) l’importatore non ottemperi a una decisione vincolante di un tribunale competente o di un’autorità di controllo riguardo ai propri obblighi ai sensi delle presenti Clausole.

(d) I dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) vengono, a scelta dell’esportatore, immediatamente restituiti all’esportatore o cancellati nella loro totalità. Lo stesso vale per qualsiasi copia dei dati. L’importatore certifica la cancellazione dei dati all’esportatore.

(e) Ciascuna Parte può revocare il proprio consenso ad essere vincolata dalle presenti Clausole qualora: (i) la Commissione Europea adotti una decisione ai sensi dell’articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 che copre il trasferimento dei dati personali a cui si applicano le presenti Clausole; o (ii) il Regolamento (UE) 2016/679 diventi parte dell’ordinamento giuridico del paese verso cui i dati personali vengono trasferiti.

Clausola 17 – Legge applicabile

Le presenti Clausole sono disciplinate dalla legge dello Stato in cui l’esportatore di dati è stabilito. Laddove tale legge non preveda diritti di terzi beneficiari, le presenti Clausole sono disciplinate dalla legge dello Stato membro dell’UE che li prevede. Le Parti concordano che tale legge sarà la legge di Malta.

Clausola 18 – Scelta del foro e giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole è risolta dai tribunali di uno Stato membro dell’UE.

(b) Le Parti concordano che tali tribunali saranno i tribunali di Malta.

(c) Un interessato può anche proporre un’azione legale nei confronti dell’esportatore e/o dell’importatore di dati dinanzi ai tribunali dello Stato membro in cui risiede abitualmente.

(d) Le Parti accettano di sottoporsi alla giurisdizione di tali tribunali.

ALLEGATO II

ADDENDUM INTERNAZIONALE AL TRASFERIMENTO DI DATI DEL REGNO UNITO ALLE CLAUSOLE CONTRATTUALI STANDARD DELL’UE

Il presente Addendum UK (“Addendum”) costituisce parte delle Clausole Contrattuali Standard (“CCS”) allegate come Allegato 1 all’Accordo sul Trattamento dei Dati (“ATD”).

Il presente Addendum è destinato ad applicarsi al trasferimento di Dati Personali dal Regno Unito verso un paese esterno al Regno Unito che non è soggetto a una decisione di adeguatezza da parte del governo britannico.

Parte 1: Tabelle

Tabella 1: Parti

Data di inizioLa data in cui avviene il primo Trasferimento Limitato di Dati Personali del Cliente ai sensi del presente Addendum.
Le PartiEsportatore: Come indicato nell’Allegato I.A delle CCS incorporate nel presente Accordo.
Importatore: Come indicato nell’Allegato I.A delle CCS incorporate nel presente Accordo.

Tabella 2: CCS UE selezionate, Moduli e Clausole selezionate

ModuloIn vigoreClausola 7Clausola 11Clausola 9aPeriodo 9aCombinazione dati
1
2XInclusaInclusaAutorizzazione generale30 giorniNo
3
4

Tabella 3: Informazioni sull’Appendice

Allegato 1A – Elenco delle PartiCome indicato nell’Allegato I.A delle CCS.
Allegato 1B – Descrizione del TrasferimentoCome indicato nell’Allegato I.B delle CCS.
Allegato II – MOTCome indicato nell’Allegato II delle CCS.
Allegato III – Sub-ResponsabiliCome indicato nell’Allegato III delle CCS.

Tabella 4: Cessazione del presente Addendum in caso di modifica dell’Addendum approvato

Quali Parti possono porre fine al presente Addendum ai sensi della Sezione 19?X nessuna Parte

Parte 2: Clausole obbligatorie

Parte 2: Clausole obbligatorie dell’Addendum approvato, ovvero il modello Addendum B.1.0 emesso dall’ICO e presentato al Parlamento ai sensi dell’articolo 119A del Data Protection Act 2018 il 2 febbraio 2022, come revisionato ai sensi della Sezione 18 di tali Clausole obbligatorie.

ALLEGATO III

ADDENDUM SVIZZERO (LPD) ALLE CLAUSOLE CONTRATTUALI STANDARD DELL’UE

Parti: Il presente Addendum Svizzero (l'”Addendum Svizzero”) è stipulato tra le Parti delle Clausole Contrattuali Standard dell’UE adottate con Decisione (EU) 2021/914 (“CCS UE”) incorporate nell’Accordo tra:

  • Esportatore di dati (Svizzera): Titolare del Trattamento
  • Importatore di dati: Responsabile del Trattamento

1) Finalità e ambito di applicazione

1.1 Il presente Addendum Svizzero adatta le CCS UE ai trasferimenti di dati personali soggetti alla Legge federale svizzera sulla protezione dei dati (LPD, inclusa la LPD rivista) dalla Svizzera verso un paese privo di un livello adeguato di protezione.

2) Adeguamenti interpretativi

2.1 I riferimenti al “GDPR” devono essere letti, ove opportuno, come comprensivi della LPD e delle sue disposizioni attuative.

2.2 I riferimenti a uno “Stato membro dell’UE” e “Stato membro” devono essere interpretati come comprensivi della Svizzera, ove necessario affinché gli interessati svizzeri possano beneficiare di diritti di terzi.

2.3 I riferimenti a un'”autorità di controllo” devono, per i trasferimenti esclusivamente svizzeri, essere interpretati come comprensivi dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

2.4 “Dati personali”, “interessato”, “trattamento” e altri termini GDPR devono essere interpretati in modo coerente con i concetti equivalenti della LPD quando la LPD si applica.

2.5 Il presente Addendum Svizzero non modifica il testo delle CCS UE salvo quanto espressamente indicato nel presente documento.

3) Autorità competente (Allegato I(C) alle CCS UE)

3.1 I riferimenti all'”autorità di controllo competente” e all'”autorità di controllo” devono essere considerati come riferiti all’IFPDT quando i dati sono soggetti esclusivamente alla LPD; e sia all’IFPDT che all’autorità di controllo UE competente nella misura in cui il trasferimento di dati è disciplinato sia dalla LPD che dal GDPR.

4) Legge applicabile e foro competente (Clausole 17 e 18 delle CCS UE)

4.1 Trasferimenti esclusivamente svizzeri: Clausola 17 (Legge applicabile): le Parti scelgono la legge svizzera. Clausola 18 (Foro e giurisdizione): le Parti scelgono i tribunali di Lucerna, Svizzera.

4.2 Trasferimenti paralleli UE+Svizzeri: Le Clausole 17 e 18 rimangono come selezionate per il GDPR ai sensi delle CCS UE. Ciò non preclude agli interessati svizzeri di proporre azioni in Svizzera ove consentito dalla LPD.

5) Trasferimenti successivi e diritti di terzi beneficiari

5.1 Laddove le CCS UE facciano riferimento ai diritti degli interessati di far valere le clausole, tali diritti si intendono comprensivi degli interessati svizzeri ai sensi della LPD.

5.2 Eventuali riferimenti nelle CCS UE che potrebbero altrimenti escludere gli interessati svizzeri non devono essere interpretati in tal senso.

6) Leggi locali e accesso da parte di autorità pubbliche (Clausole 14–15)

6.1 Laddove le CCS UE richiedano una valutazione delle leggi/prassi locali e degli obblighi riguardanti l’accesso da parte di autorità pubbliche, le Parti effettuano tale valutazione con riferimento alla LPD per i trasferimenti esclusivamente svizzeri, e alla LPD e al GDPR per i trasferimenti paralleli UE+svizzeri.

6.2 L’importatore di dati fornirà all’esportatore le informazioni ragionevolmente necessarie per completare la valutazione nel contesto della LPD.

7) Allegati e meccanismi di completamento

7.1 Gli Allegati I–III alle CCS UE (nella versione completata tra le Parti) sono incorporati per riferimento nel presente Addendum Svizzero e si applicano mutatis mutandis ai trasferimenti soggetti alla LPD.

7.2 Laddove il presente Addendum Svizzero richieda una modifica dell’Allegato I(C) o delle selezioni ai sensi delle Clausole 17–18 per i trasferimenti esclusivamente svizzeri, tali selezioni si intendono modificate come indicato nelle Sezioni 3.1 e 4.1.

8) Prevalenza

8.1 In caso di incoerenza tra il presente Addendum Svizzero e le CCS UE, il presente Addendum Svizzero prevale nella misura necessaria per conformarsi alla LPD.

8.2 In caso di incoerenza tra il presente Addendum Svizzero e l’Accordo/ATD, il presente Addendum Svizzero prevale per i trasferimenti soggetti alla LPD.

APPENDICE

ALLEGATO I ALLE CLAUSOLE CONTRATTUALI STANDARD

A. ELENCO DELLE PARTI

Importatore di dati – RESPONSABILE DEL TRATTAMENTO
Il soggetto contrattuale di Ideals applicabile identificato nell’Accordo VDR.
Contatto: privacy@idealscorp.com
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Fornitura dei servizi ai sensi dell’Accordo VDR Ideals

Esportatore di dati – TITOLARE DEL TRATTAMENTO
Il soggetto contrattuale del Cliente applicabile e i dati di contatto identificati nell’Accordo VDR.
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Fornitura dei servizi ai sensi dell’Accordo VDR Ideals

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di interessati i cui dati personali vengono trasferiti: Tutte le persone fisiche le cui informazioni sono contenute nella documentazione caricata nel VDR.

Categorie di dati personali trasferiti: Tutte le categorie di dati personali caricati nel VDR.

Dati sensibili trasferiti (se applicabile) e restrizioni/garanzie applicate: Determinati dal Cliente sulla base del contenuto caricato. Ideals applica le garanzie descritte nell’Allegato II.

Frequenza del trasferimento: Su base continuativa.

Natura del trattamento: Fornitura dei servizi ai sensi dell’Accordo VDR Ideals.

Finalità del trasferimento dei dati e dell’ulteriore trattamento: Fornitura dei servizi ai sensi dell’Accordo VDR Ideals.

Periodo di conservazione dei dati personali: Come specificato nell’Accordo VDR Ideals.

Per i trasferimenti a (sub-)responsabili: Fornitura dei servizi ai sensi dell’Accordo VDR Ideals.

C. AUTORITÀ DI CONTROLLO COMPETENTE

L’autorità di controllo competente ai sensi della Clausola 13 è l’autorità di controllo competente per l’esportatore di dati ai sensi del Regolamento (UE) 2016/679 (GDPR), determinata sulla base della sede, della sede principale o di altri criteri applicabili ai sensi del GDPR.

ALLEGATO II

Misure Tecniche e Organizzative (MTO)

Il gruppo di società Ideals implementa le seguenti misure tecniche e organizzative per garantire la protezione dei dati personali trattati in conformità con il Regolamento Generale sulla Protezione dei Dati, le Leggi Locali sulla Protezione dei Dati, qualsiasi legislazione e regolamentazione subordinata che attua il Regolamento Generale sulla Protezione dei Dati e tutte le Leggi sulla Privacy.

Il gruppo di società Ideals crea e mantiene la seguente documentazione in materia di sicurezza e privacy:

  • Accordo sul Trattamento dei Dati (ATD)
  • Misure Tecniche e Organizzative (MTO)
  • Accordo di Riservatezza (NDA)
  • Contratto con Sub-Responsabile (ove richiesto)
  • Clausole Contrattuali Standard UE (Decisione della Commissione (UE) 2021/914) (Modulo 2)

1. Riservatezza

Misure TecnicheMisure Organizzative
Applicazione di identità e accesso. SSO + MFA adattivo per tutti gli accessi del personale/amministratori; forza minima della passphrase ≥ 12 caratteri o equivalente; blocco dell’account dopo tentativi falliti consecutivi; protezione delle sessioni.

Controllo degli accessi basato sui ruoli (RBAC) e privilegio minimo. Ruoli granulari; accessi privilegiati a tempo limitato e registrati.

Isolamento dei tenant e segregazione logica. Spazi dei dati per tenant; ACL lato servizio per prevenire accessi tra tenant.

Sicurezza della rete. Segmentazione (VPC/sottoreti/gruppi di sicurezza), WAF, IDS/IPS, monitoraggio della rete, limitazione della velocità e controlli in uscita.

Sicurezza degli endpoint. Cifratura completa del disco, EDR/anti-malware, firewall host, politiche di controllo USB/porte.

Crittografia. Cifratura dei dati a riposo; TLS 1.3 per tutte le connessioni esterne e interne; pseudonimizzazione/tokenizzazione ove possibile.

Gestione delle chiavi. Chiavi archiviate in KMS/Key Vault dedicati; rotazione e log degli accessi.

DLP. Regole DLP su endpoint e strumenti di collaborazione.

Firme digitali. Meccanismi di firma elettronica approvati; registrazione della validazione.		Governance degli accessi. Politiche documentate di accesso e ruoli; processo di ingresso-trasferimento-uscita; revisioni periodiche degli accessi.

Obblighi di riservatezza. NDA per dipendenti e appaltatori; verifiche dei precedenti.

Due diligence su terze parti/fornitori. Verifica basata sul rischio di appaltatori/sub-responsabili.

Gestione delle informazioni. Politica di classificazione e gestione dei dati; procedure di gestione sicura e smaltimento dei supporti.

2. Integrità

Misure TecnicheMisure Organizzative
Trasporto sicuro e interfacce. TLS 1.2+; HSTS; suite di cifratura robuste; autenticazione API con token firmati.

Verificabilità. Log immutabili/verificabili; sincronizzazione dell’orario (NTP).

Controlli applicativi e sui dati. Validazione lato server; integrità referenziale; checksum/hash; versioning.

Controlli di sessione. Timeout forzati e ri-autenticazione per operazioni sensibili.

Gestione delle vulnerabilità e delle patch. Scansione continua delle vulnerabilità; patching basato su SLA; baseline di configurazione CIS.		Gestione delle modifiche e dei rilasci. Controllo formale delle modifiche; approvazioni; separazione dei compiti; test di rollback.

SDLC sicuro. Modellazione delle minacce; revisioni del codice; gestione delle dipendenze; gestione dei segreti.

Politiche e procedure. Politica sulla sicurezza delle informazioni; Politica sulla protezione dei dati.

3. Disponibilità e resilienza

Misure TecnicheMisure Organizzative
Ridondanza e tolleranza ai guasti. Deployment multi-AZ; load balancing; auto-scaling.

Backup e ripristino. Backup automatici e regolari; immutabilità; test di ripristino.

Monitoraggio e alerting. Logging centralizzato/SIEM; health check; monitoraggio della capacità.

Protezione contro le interruzioni. Protezione DDoS; limitazione della velocità; circuit breaker.		BCP/DRP. Piani documentati di continuità operativa e disaster recovery con RTO/RPO.

Governance dei backup. Politica di schedulazione dei backup; conservazione; cifratura.

Risposta agli incidenti. Piano IR definito; playbook; revisioni post-incidente.

4. Procedura di verifica, accesso e valutazione periodici

Misure TecnicheMisure Organizzative
Test di sicurezza. Penetration test indipendenti annuali; bug bounty/responsible disclosure continuativi; scansione automatizzata SAST/DAST/Cloud.

Telemetria dei controlli. Metriche di sicurezza; dashboard dello stato dei controlli; verifiche automatizzate della conformità alle politiche.		Sistema di gestione e garanzia. ISMS ISO/IEC 27001 in vigore; audit SOC 2 Tipo II.

Governance e documentazione. Repository centrale per politiche/MTO; assegnazione formale delle responsabilità.

Formazione e sensibilizzazione. Formazione regolare sulla protezione dei dati e sulla sicurezza (basata sui ruoli); simulazioni di phishing.

Revisione periodica. Revisione annuale dell’efficacia delle MTO.

5. Governance della privacy e controlli del ciclo di vita dei dati

Misure TecnicheMisure Organizzative
Minimizzazione dei dati e mascheramento. Minimizzazione a livello di campo; mascheramento/pseudonimizzazione per ambienti non di produzione.

Automatizzazione della conservazione e della cancellazione. Conservazione guidata da politiche con processi automatizzati di cancellazione.		DPIA/TIA. DPIA basate sul rischio per trattamenti nuovi/modificati; registro delle attività di trattamento (RoPA).

Gestione dei sub-responsabili. ATD/CCS contrattuali; valutazioni d’impatto sul trasferimento; monitoraggio continuativo.

Richieste degli interessati. Procedure e SLA definiti per le richieste di esercizio dei diritti; fasi di verifica dell’identità.

ALLEGATO III

Ideals si avvale delle società Amazon Web Services (“AWS”) come sub-responsabili del trattamento per i servizi di cloud hosting e infrastruttura. Tutti i trattamenti di dati vengono effettuati dall’entità AWS corrispondente alla posizione selezionata dal Cliente durante la configurazione della Data Room.

Le posizioni server attualmente disponibili includono Germania, Francia, Spagna, Regno Unito, Stati Uniti, Brasile, Cina, Singapore, India, Giappone e Australia e sono soggette a modifiche con l’aggiornamento dell’offerta regionale da parte di Ideals.

La posizione del trattamento dei dati non verrà modificata senza il preventivo consenso scritto del Cliente.

Funzionalità opzionale di traduzione integrale avanzata – DeepL

Qualora il Cliente abiliti la funzionalità opzionale di traduzione integrale avanzata di Ideals, Ideals può avvalersi di DeepL SE come sub-responsabile del trattamento per la finalità limitata di tradurre il contenuto dei documenti inviati tramite tale funzionalità.

Questa funzionalità è opzionale e non è abilitata per impostazione predefinita. Il trattamento da parte di DeepL può avvenire nell’Unione Europea, negli Stati Uniti o in Giappone e può pertanto differire dalla posizione di hosting principale della Data Room.

Ideals non abiliterà questa funzionalità laddove ciò sia in conflitto con gli impegni contrattuali applicabili del Cliente, con le restrizioni regionali abilitate o con altri requisiti legali documentati noti a Ideals. DeepL è incaricata esclusivamente per l’esecuzione della traduzione richiesta e non per l’hosting generale dei servizi. Il Cliente resta responsabile della decisione se utilizzare la funzionalità opzionale di traduzione integrale avanzata.

Addendum I

Termini relativi alla CCPA/CPRA e alle Leggi sulla Privacy degli Stati USA

1. Ruolo. Ideals agisce come “fornitore di servizi” e/o “responsabile del trattamento” in relazione ai Dati Personali del Cliente.

2. Restrizioni. Ideals non potrà:

(a) vendere o condividere i Dati Personali del Cliente;

(b) conservarli, utilizzarli o divulgarli per qualsiasi finalità diversa dalle finalità aziendali specificate nell’Accordo;

(c) combinare i Dati Personali del Cliente con dati personali ricevuti da un’altra fonte, tranne ove consentito dalla legge per fornire i Servizi; o

(d) utilizzare i Dati Personali del Cliente al di fuori del rapporto commerciale diretto con il Cliente.