Questo Allegato sul Trattamento dei Dati ("DPA") modifica e fa parte dell'Accordo (come definito di seguito) tra il Fornitore e te come utente dei Servizi del Fornitore ("Cliente"). 

Ai fini del presente DPA, i seguenti termini avranno il seguente significato:

• "Accordoto" significa qualsiasi accordo tra il Fornitore e il Cliente per i Servizi, indipendentemente dal titolo, come "Modulo d'Ordine", "Ordine di Vendita", "Termini di Utilizzo", "Termini di Servizio", "Accordo SaaS" o "Accordo sui Servizi".
• "Controllore" ha il significato definito nel GDPR.
• "Dati dell'Account Cliente e Dati di Utilizzo" significa informazioni sul Cliente che il Cliente fornisce al Fornitore in relazione alla creazione e amministrazione di un account, come i nomi e cognomi, nome utente, indirizzo email e informazioni di fatturazione e pagamento delle persone associate a un account. Ciò include anche informazioni statistiche o analitiche relative all'uso del Servizio da parte del Cliente e qualsiasi dato derivato. 
• "Dati del Cliente" significa i dati elaborati dal Fornitore in relazione alla fornitura dei Servizi, come descritto nell'Accordo, escludendo i Dati dell'Account Cliente e i Dati di Utilizzo.
• "Dati Personali del Cliente" significa Dati del Cliente, che consistono in Dati Personali.
• "Legge(e) sulla Protezione dei Dati" significa qualsiasi legislazione o regolamento applicabile relativo all'elaborazione dei dati personali, inclusi (a) il California Consumer Privacy Act e i suoi regolamenti attuativi; (b) il GDPR (come definito di seguito) e le relative leggi sulla protezione dei dati e sulla privacy degli stati membri dello Spazio Economico Europeo; (c) il Data Protection Act 2018 del Regno Unito ("UK GDPR"); e (d) la Legge Federale Svizzera sulla Protezione dei Dati ("Swiss DPA"), ciascuna come applicabile e come modificata, abrogata, consolidata o sostituita di volta in volta.
• "Area Europea" significa l'Unione Europea, lo Spazio Economico Europeo, la Svizzera e il Regno Unito di Gran Bretagna e Irlanda del Nord ("Regno Unito"). 
• "GDPR" significa il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche rispetto al trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati).
• "Dati Personali" significa qualsiasi informazione relativa a una persona fisica identificata o identificabile che il Fornitore elabora per conto del Cliente ai sensi dell'Accordo. 
• "Violazione dei Dati Personali" significa una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati Personali. La Violazione dei Dati Personali non include tentativi o attività non riusciti che non compromettono la riservatezza, disponibilità o integrità dei Dati del Cliente o delle informazioni riservate, inclusi tentativi di accesso non riusciti, ping, scansioni di porte, attacchi di negazione di servizio e altri incidenti simili.
• "Trattare" o "Trattamento" significa qualsiasi operazione o insieme di operazioni che viene eseguita su dati personali o su insiemi di dati personali, indipendentemente dal fatto che sia effettuata con mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione tramite trasmissione, diffusione o altro modo di messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
• "Trasferimento Riservato" significa (a) dove si applica il GDPR, un trasferimento di Dati Personali del Cliente o Dati dell'Account Cliente e Dati di Utilizzo dall'EEA a un paese al di fuori dell'EEA che non è soggetto a una determinazione di adeguatezza da parte della Commissione Europea; (b) dove si applica la Swiss DPA, un trasferimento di Dati Personali del Cliente o Dati dell'Account Cliente e Dati di Utilizzo dalla Svizzera a un paese che non è soggetto a una determinazione di adeguatezza da parte del Commissario Federale Svizzero per la Protezione dei Dati e le Informazioni; e (c) dove si applica il UK GDPR, un trasferimento di Dati Personali del Cliente o Dati dell'Account Cliente e Dati di Utilizzo dal Regno Unito a un paese che non è oggetto di regolamenti di adeguatezza ai sensi della sezione 17A del Data Protection Act del Regno Unito del 2018.
• "Clausole Contrattuali Standard" significa (a) dove si applica il GDPR, le clausole contrattuali standard allegate alla Decisione di Esecuzione 2021/914 della Commissione Europea del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso Paesi Terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio ("EU SCCs"); (b) dove si applica il UK GDPR, l'Addendum per il Trasferimento Internazionale dei Dati alle Clausole Contrattuali Standard della Commissione UE emesso dal Commissario per le Informazioni del Regno Unito, Versione B1.0, in vigore dal 21 marzo 2022 ("UK SCCs"); e (c) dove si applica la Swiss DPA, le clausole standard di protezione dei dati applicabili emesse, approvate o riconosciute dal Commissario Federale Svizzero per la Protezione dei Dati e le Informazioni (le "Swiss SCCs"), ciascuna come può essere aggiornata di volta in volta.
• "Paese Terzo" significa paesi che, come può essere richiesto dalle Leggi sulla Protezione dei Dati applicabili, non hanno ricevuto una decisione di adeguatezza da un'autorità competente relativa ai trasferimenti di dati personali transfrontalieri, inclusi i regolatori come la Commissione Europea, l'ICO del Regno Unito o il FDPIC svizzero.

I termini in maiuscolo utilizzati ma non definiti sopra avranno i significati delineati nell'Accordo. Salvo quanto diversamente previsto nel presente DPA, i termini "Attività", "scopo commerciale", "scopo commerciale", "Appaltatore", "Controllore", "Trattare", "Elaboratore", "Subelaboratore", "Soggetti dei Dati", "deidentificare", "Vendere", "Fornitore di Servizi", "Condividere" e "Terza Parte" hanno lo stesso significato delle Leggi sulla Protezione dei Dati applicabili, e i loro termini affini saranno interpretati di conseguenza. Tutti gli altri termini in maiuscolo hanno lo stesso significato dell'Accordo.

2.1. Dati Personali del Cliente. Le parti concordano che il Fornitore è un Responsabile del Trattamento in relazione al Trattamento dei Dati Personali del Cliente. 

2.2. Dati dell'Account e di Utilizzo. Le Parti concordano che il Cliente e il Fornitore sono Titolari del Trattamento indipendenti in relazione al Trattamento dei Dati dell'Account e di Utilizzo del Cliente, e ciascuna Parte si impegna a rispettare i propri obblighi come Titolare del Trattamento e concorda di fornire assistenza ragionevole all'altra Parte quando richiesto dalle Leggi sulla 2.3. Protezione dei Dati. In relazione ai Dati dell'Account e di Utilizzo del Cliente, questo DPA non si applica tranne che per la Sezione 7.

Lo scopo del Trattamento ai sensi di questo DPA è fornire i Servizi ai sensi dell'Accordo(i) applicabile(i). L'Allegato A (Descrizione del Trattamento e Dettagli del Trasferimento) descrive l'oggetto e i dettagli del Trattamento dei Dati Personali.

3.1. Il Cliente accetta che (a) deve rispettare i propri obblighi come Titolare ai sensi del GDPR e di altre Leggi sulla Protezione dei Dati dove tale concetto è riconosciuto in relazione al suo trattamento dei dati personali e a qualsiasi istruzione di trattamento che fornisce al Fornitore come indicato nella Sezione 4.1; (b) ha fornito notifica e ottenuto tutti i consensi e diritti richiesti dalle Leggi sulla Protezione dei Dati affinché il Fornitore possa trattare i Dati Personali del Cliente ai sensi del Contratto e di questo DPA; e (c) il trattamento dei Dati Personali del Cliente da parte del Fornitore in conformità con le istruzioni documentate del Cliente ai sensi della Sezione 4.1 avrà una base giuridica di trattamento ai sensi dell'Articolo 6 del GDPR e di altre Leggi sulla Protezione dei Dati che richiedono una base giuridica di trattamento. 

3.2. Se il Cliente è un Responsabile, il Cliente dichiara e garantisce al Fornitore che le istruzioni e le azioni del Cliente relative ai Dati Personali del Cliente, inclusa la sua nomina del Fornitore come altro responsabile, sono state debitamente autorizzate dal Titolare pertinente. Il Cliente deve indennizzare, difendere e tenere indenne il Fornitore da qualsiasi reclamo, azione, procedimento, spesa, danno e responsabilità (inclusi, senza limitazione, eventuali indagini governative, reclami e azioni) e ragionevoli spese legali derivanti dalla violazione da parte del Cliente di questa Sezione. Nonostante qualsiasi disposizione contraria nel Contratto, gli obblighi di indennizzo del Cliente ai sensi di questa Sezione non saranno soggetti a limitazioni di responsabilità nel Contratto.

4.1. Il Cliente istruisce il Fornitore a trattare i Dati Personali del Cliente per fornire i Servizi come documentato nell'Accordo, salvo diversa richiesta della legge applicabile. Per evitare dubbi, questo DPA costituirà le istruzioni documentate del Cliente al Fornitore per trattare i Dati Personali del Cliente in relazione alla fornitura del Servizio da parte del Fornitore al Cliente. Il Fornitore deve informare prontamente il Cliente se, a parere esclusivo del Fornitore, un'istruzione viola la legge applicabile.

4.2. Quando il Fornitore tratta i Dati Personali del Cliente nella sua qualità di Responsabile, il Fornitore utilizzerà, conserverà, divulgherà o altrimenti tratterà i Dati Personali solo nella misura necessaria per eseguire per conto del Cliente e per lo specifico scopo commerciale di fornire i Servizi. Il Fornitore non "venderà" i Dati Personali del Cliente in conformità con le istruzioni del Cliente, inclusi quelli descritti nell'Accordo. Il Fornitore non venderà o condividerà i Dati Personali, né utilizzerà, conserverà, divulgherà o altrimenti tratterà i Dati Personali al di fuori della sua relazione commerciale con il Cliente o per qualsiasi altro scopo (incluso lo scopo commerciale del Fornitore) salvo quanto richiesto o consentito dalla legge. Il Fornitore informerà il Cliente se determina di non essere più in grado di soddisfare i propri obblighi ai sensi delle Leggi sulla Protezione dei Dati. Il Fornitore o dove, a ragionevole parere del Fornitore, una qualsiasi delle istruzioni del Cliente violi le Leggi sulla Protezione dei Dati. Il Cliente si riserva il diritto di adottare misure ragionevoli e appropriate per (i) garantire che il trattamento dei Dati Personali da parte del Fornitore sia coerente con gli obblighi del Cliente ai sensi della Legge sulla Protezione dei Dati e (ii) interrompere e rimediare all'uso non autorizzato dei Dati Personali. Il Fornitore certifica di comprendere le restrizioni di questa Sezione 4.2.

4.3. Il Fornitore ha il diritto di utilizzare i Dati Personali esclusivamente (i) nella misura necessaria per (a) adempiere ai propri obblighi ai sensi dell'Accordo e di questo DPA; (b) per gestire, testare, mantenere e migliorare i Servizi, inclusi come parte delle proprie operazioni commerciali; (c) per divulgare statistiche aggregate sui Servizi in un modo che impedisca l'identificazione o la reidentificazione individuale del Cliente, dei Dati del Cliente, dei Dati Personali, inclusi senza limitazione alcuna dispositivo individuale o persona individuale; e/o (d) proteggere i Servizi da una minaccia ai Servizi o ai Dati Personali; o (ii) se richiesto da un'ordinanza di un tribunale o da un'agenzia governativa autorizzata, a condizione che venga data prima comunicazione al Cliente; (iii) come altrimenti espressamente autorizzato dall'Accordo, da questo DPA, o dal Cliente.

4.4. Il Fornitore non combinerà i Dati Personali che tratta per conto del Cliente, con i Dati Personali che riceve da o per conto di un'altra persona o persone, o raccoglie dalla propria interazione con l'individuo, a condizione che il Fornitore possa combinare i Dati Personali per svolgere qualsiasi scopo commerciale consentito o richiesto ai sensi dell'Accordo per fornire i Servizi.

4.5. Il Fornitore utilizzerà sforzi commercialmente ragionevoli per garantire che le persone autorizzate dal Fornitore a trattare i Dati Personali del Cliente siano soggette a obblighi di riservatezza appropriati. 

4.6. Il Fornitore, tenendo conto della natura del trattamento, utilizzerà sforzi commercialmente ragionevoli per assistere il Cliente, a spese del Cliente, mediante misure tecniche e organizzative appropriate, nella misura possibile, nel soddisfare l'obbligo del Cliente di rispondere alle richieste per esercitare i diritti degli interessati riguardo ai loro Dati Personali ai sensi delle Leggi sulla Protezione dei Dati.

4.7. Il Fornitore fornirà al Cliente le prove riguardanti la conformità del Fornitore ai propri obblighi ai sensi di questo DPA e delle Leggi sulla Protezione dei Dati applicabili, come rapporti riepilogativi relativi agli audit di sicurezza SOC II Tipo 2 o ISO27001, o equivalenti, su richiesta del Cliente e non più di una volta all'anno a meno che la richiesta non sia relativa a una Violazione dei Dati Personali o a un'inchiesta normativa relativa all'uso dei Servizi da parte del Cliente.

4.8. Su scelta del Cliente, il Fornitore, su richiesta, cancellerà o restituirà al Cliente tutti i Dati Personali del Cliente entro trenta (30) giorni dalla fine della fornitura dei Servizi al Cliente e cancellerà le copie esistenti a meno che la legge applicabile non richieda la conservazione dei Dati Personali.

4.9. Il Fornitore notificherà prontamente il Cliente se il Fornitore diventa effettivamente a conoscenza di una Violazione dei Dati Personali, a condizione che la fornitura di tale avviso o qualsiasi risposta da parte del Fornitore non sarà interpretata come un riconoscimento di colpa o responsabilità in relazione a tale Violazione dei Dati Personali.

4.10. Il Fornitore utilizzerà misure tecniche e organizzative appropriate per proteggere i Dati Personali del Cliente che soddisferanno o supereranno i requisiti contenuti (a) ai sensi della Legge sulla Protezione dei Dati, e (b) nell'Allegato B di questo DPA. Il Cliente riconosce che le misure di sicurezza descritte nell'Allegato B sono soggette a progressi e sviluppi tecnici e che il Fornitore può aggiornare o modificare le misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non degradino o diminuiscano la sicurezza complessiva dei Servizi.

5.1. Fatto salvo quanto previsto nella Sezione 4, nel trattamento dei Dati Personali relativi ai soggetti interessati situati nello Spazio Economico Europeo ("Dati Personali dell'UE"), si applicheranno i seguenti termini aggiuntivi:

a) Il Fornitore deve, tenendo conto della natura del trattamento e delle informazioni disponibili al Fornitore, fare sforzi commercialmente ragionevoli per assistere il Cliente, a spese del Cliente, nel garantire il rispetto degli obblighi del Cliente descritti negli Articoli 32-36 del GDPR; e

b) Il Fornitore deve mettere a disposizione, su richiesta ragionevole del Cliente, informazioni ragionevolmente necessarie per dimostrare la conformità sostanziale agli obblighi contenuti nel presente DPA e consentire e contribuire a verifiche (ciascuna, un "Audit"), a spese del Cliente, comprese le ispezioni delle strutture di trattamento sotto il controllo del Fornitore, condotte dal Cliente o da un altro revisore scelto dal Cliente (un "Revisore"), durante l'orario lavorativo normale e dopo un ragionevole preavviso, a condizione che nessun Revisore sia un concorrente del Fornitore, e a condizione ulteriore che in nessun caso il Cliente avrà accesso alle informazioni di qualsiasi altro cliente del Fornitore e le divulgazioni effettuate ai sensi di questa Sezione 5.1(b) ("Informazioni di Audit") saranno mantenute riservate come informazioni riservate del Fornitore e soggette a qualsiasi obbligo di riservatezza nel Contratto, e a condizione ulteriore che nessun Audit sarà intrapreso a meno che o fino a quando il Cliente non abbia richiesto, e il Fornitore non abbia fornito, documentazione ai sensi di questa Sezione e il Cliente determini ragionevolmente che un Audit rimane necessario per dimostrare la conformità sostanziale agli obblighi contenuti nel presente DPA. Senza limitare la generalità di alcuna disposizione nel Contratto, il Cliente deve impiegare lo stesso grado di cura per proteggere le Informazioni di Audit che utilizza per proteggere le proprie informazioni riservate e proprietarie e in ogni caso, non meno di un ragionevole grado di cura in base alle circostanze, e il Cliente sarà responsabile per qualsiasi divulgazione o uso improprio delle Informazioni di Audit da parte del Cliente o dei suoi agenti.

6.1. I sub-processori assistono il Fornitore nel trattamento dei Dati Personali come stabilito in questo DPA. Il Fornitore stipulerà accordi contrattuali con i sub-processori che richiedono lo stesso livello di conformità alla protezione dei dati e sicurezza delle informazioni previsto in questo DPA. Accettando l'Accordo e questo DPA, il Cliente acconsente al trattamento dei Dati Personali mediante la divulgazione e il trasferimento dei Dati Personali ai sub-processori elencati in https://www.pdffiller.com/en/subprocessors.htm ("Elenco dei Sub-processori"). Il Fornitore informerà il Cliente di eventuali modifiche previste per aggiungere o sostituire sub-processori nel suo Elenco dei Sub-processori pubblicando un elenco aggiornato di sub-processori almeno dieci (10) giorni di calendario prima che il nuovo sub-processore tratti Dati Personali dell'UE. 

6.2. Il Cliente può opporsi a tali modifiche per iscritto entro cinque (5) giorni di calendario dalla suddetta comunicazione, a condizione che tale opposizione sia basata su motivi ragionevoli relativi alla protezione dei dati (un "Opposizione") presentando Modulo di Azione per Sub-processori di pdfFiller. In caso di Opposizione, le parti discuteranno tali preoccupazioni in buona fede con l'intento di raggiungere una risoluzione. Se le parti non riescono a raggiungere una risoluzione come descritto nella frase precedente, il Cliente, come unico e esclusivo rimedio, può risolvere l'Accordo per comodità, a condizione che il Cliente fornisca un preavviso scritto al Fornitore entro cinque (5) giorni di calendario dall'essere informato dell'impegno del sub-processore. Il Cliente non avrà diritto a alcun rimborso delle spese pagate prima della data di qualsiasi risoluzione ai sensi di questa Sezione.

7.1. Il Cliente acconsente al trasferimento e al trattamento dei Dati Personali dell'UE negli Stati Uniti d'America.

7.2. Trasferimenti dall'EEA. Quando un Trasferimento Riservato viene effettuato dall'EEA, le SCC dell'UE sono incorporate in questo DPA e si applicano al trasferimento come segue:

         a) Per quanto riguarda i Trasferimenti Riservati dal Cliente al Fornitore, si applica il Modulo Uno quando sia il Cliente che il Fornitore sono Titolari, si applica il Modulo Due quando il Cliente è un Titolare e il Fornitore è un Responsabile, e si applica il Modulo Tre quando sia il Cliente che il Fornitore sono Responsabili.

         b) Nella Clausola 7, la clausola di docking opzionale non si applica;

         c) Nella Clausola 9 dei Moduli Due e Tre, si applica l'Opzione 2, e il periodo di preavviso per le modifiche ai sub-responsabili è specificato nella Sezione 6 di questo DPA.

         d) Nella Clausola 11, il linguaggio opzionale non si applica

         e) Nella Clausola 17, si applica l'Opzione 1 con la legge applicabile designata nella sezione Scelta della Legge; Foro dell'Accordo. Se l'Accordo non è regolato dalla legge di uno Stato Membro dell'UE, le Clausole Contrattuali Standard saranno regolate da (i) le leggi dell'Irlanda, o (ii) dove l'Accordo è regolato dalle leggi del Regno Unito, le leggi dell'Inghilterra e del Galles.

         f) nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali nel foro applicabile dell'Accordo. Se l'Accordo non designa un tribunale di uno Stato Membro dell'UE come avente giurisdizione esclusiva per risolvere qualsiasi controversia o causa legale derivante da o in connessione con questo Accordo, le parti concordano che i tribunali di (i) Irlanda; o (ii) dove l'Accordo designa il Regno Unito come avente giurisdizione esclusiva, i tribunali dell'Inghilterra e del Galles avranno giurisdizione esclusiva per risolvere qualsiasi controversia derivante dalle Clausole Contrattuali Standard. Per i Soggetti Interessati residenti abitualmente in Svizzera, i tribunali della Svizzera sono un luogo alternativo di giurisdizione in relazione alle controversie.

         g) L'Allegato I delle SCC è completato con le informazioni nel Programma A di questo DPA; e

         h) L'Allegato II delle SCC è completato con le informazioni nel Programma B di questo DPA, e l'Allegato III delle SCC è completato con le informazioni nell'elenco dei Sub-responsabili.

7.3. Trasferimenti dalla Svizzera. In caso di trasferimenti di Dati dalla Svizzera, (a) i riferimenti generali e specifici nelle SCC dell'UE al GDPR o alla legge dell'UE o degli Stati Membri hanno lo stesso significato del riferimento equivalente nel DPA svizzero, se applicabile; e (b) qualsiasi altro obbligo nelle SCC dell'UE determinato dallo Stato Membro in cui l'esportatore di dati o il Soggetto Interessato è stabilito si riferisce a un obbligo ai sensi del DPA svizzero, se applicabile.

7.4. Trasferimenti dal Regno Unito. Quando un Trasferimento Riservato viene effettuato dal Regno Unito, l'Addendum al Trasferimento del Regno Unito è incorporato in questo DPA e si applica al trasferimento. L'Addendum al Trasferimento del Regno Unito è completato con le informazioni nella Sezione 7.2, l'elenco dei Sub-responsabili e i Programmi A e B di questo DPA; e sia "Importatore" che "Esportatore" sono selezionati nella Tabella 4.

7.5. Se il Fornitore adotta un meccanismo alternativo di esportazione dei dati (inclusa qualsiasi nuova versione o successore delle Clausole Contrattuali Standard o del Privacy Shield adottato ai sensi della Legge sulla Protezione dei Dati) per il trasferimento di dati personali non descritti in questo DPA ("Meccanismo di Trasferimento Alternativo"), il Meccanismo di Trasferimento Alternativo si applicherà invece di qualsiasi meccanismo di trasferimento applicabile descritto in questo DPA (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo sia conforme alla Legge sulla Protezione dei Dati e si estenda ai territori ai quali i Dati Personali sono trasferiti).

8.1. I termini di questo DPA prevarranno nella misura in cui ci sia un conflitto tra i termini di questo DPA e i termini dell'Accordo. Se c'è un conflitto tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno rispetto ai Dati Personali dell'UE, della Svizzera o del Regno Unito. Salvo quanto specificamente modificato e modificato da questo DPA, i termini e le disposizioni dell'Accordo rimangono invariati e in pieno vigore ed effetto. Salvo quanto delineato nella Sezione 3 di questo DPA, gli obblighi contenuti in questo DPA sono (a) soggetti a eventuali limitazioni di responsabilità delineate nell'Accordo e (b) in aggiunta agli altri obblighi contenuti nell'Accordo. Questo DPA può essere eseguito elettronicamente, inclusa l'utilizzazione dei Servizi di firma elettronica del Fornitore.

Questa sezione del documento conterrà le informazioni di contatto delle Parti per le comunicazioni ai sensi di questo DPA.

• Categorie di Soggetti i cui dati personali vengono trasferiti

Rappresentanti del Cliente; rappresentanti dei partner; utenti e visitatori dei Servizi, inclusi, senza limitazione, i destinatari dei file caricati nei Servizi; e individui menzionati nei file caricati nei Servizi.

• Categorie di Dati Personali Trasferiti

Dati Personali dell'UE relativi alla categoria di soggetti descritta sopra. I Dati Personali dell'UE dipendono dai Servizi particolari ma potrebbero includere: Nome, indirizzo email, dati demografici, indirizzo IP, datore di lavoro, indirizzo, geolocalizzazione, numero di telefono, occupazione e posizione, e qualsiasi Dato Personale dell'UE fornito dal Cliente e dagli utenti dei Servizi e dai visitatori dei Servizi (inclusi, senza limitazione, i destinatari dei file caricati nei Servizi) in connessione con i Servizi, inclusi i Dati Personali del Cliente contenuti nei file caricati nei Servizi.

• Dati Sensibili Trasferiti (se applicabile) e restrizioni o misure di protezione applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio una rigorosa limitazione di scopo, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.

Il contenuto dei Dati Personali è vario e sotto il controllo dell'esportatore di dati, ma può, di tanto in tanto, a seconda dei Servizi particolari, includere dati sensibili ai sensi delle pertinenti Leggi sulla Protezione dei Dati. 

• Frequenza di Trasferimento

I trasferimenti saranno continui per la durata necessaria per l'esecuzione dei Servizi, per qualsiasi altro scopo stabilito nell'Accordo e in conformità con le leggi e i regolamenti applicabili.

• Tipo di Trattamento

I Dati Personali dell'UE saranno soggetti a un trattamento di base, inclusi, ma non limitati a, raccolta, registrazione, organizzazione, archiviazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione tramite trasmissione, diffusione o altro modo di messa a disposizione, allineamento o combinazione, blocco, cancellazione o distruzione al fine di fornire Servizi dal Fornitore al Cliente in conformità con i termini dell'Accordo.

• Scopo(i) del Trasferimento

I Dati Personali dell'UE saranno soggetti a quelle operazioni di Trattamento descritte nell'Accordo. 

• Periodo di Conservazione o i Suoi Criteri

Durante la fornitura di tali Servizi al Cliente, il Fornitore tratterà i Dati Personali dell'UE come istruito dal Cliente per la durata dell'Accordo.

• Trasferimenti a Subprocessori

Tutti i subprocessori autorizzati sono tenuti a implementare e mantenere le stesse o sostanzialmente simili misure tecniche e organizzative, responsabilità e obblighi come quelli richiesti al Fornitore ai sensi di questo DPA.

• Scopo(i) Commerciale(i) per il Trattamento delle Informazioni Personali dei Consumatori della California

Per il trattamento che coinvolge i consumatori della California, si applicano solo i seguenti scopi commerciali per il trattamento dei dati personali:

     Aiutare a garantire la sicurezza e l'integrità nella misura in cui l'uso delle informazioni personali del consumatore è ragionevolmente necessario e proporzionato per questi scopi 

     Debugging per identificare e riparare errori che compromettono la funzionalità prevista esistente. 

     Eseguire servizi per conto dell'azienda, inclusa la manutenzione o il servizio di conti, fornire assistenza clienti, elaborare o soddisfare ordini e transazioni, verificare le informazioni del cliente, elaborare pagamenti, fornire finanziamenti, fornire servizi analitici, fornire archiviazione o fornire servizi simili per conto dell'azienda. 

     Condurre ricerche interne per lo sviluppo e la dimostrazione tecnologica. 

     Svolgere attività per verificare o mantenere la qualità o la sicurezza di un servizio o dispositivo di proprietà, fabbricato, realizzato per, o controllato dall'azienda, e per migliorare, aggiornare o potenziare il servizio o dispositivo di proprietà, fabbricato, realizzato per, o controllato dall'azienda. 

     Per mantenere e impiegare un altro fornitore di servizi o appaltatore come subappaltatore dove il subappaltatore soddisfa i requisiti per un fornitore di servizi o appaltatore ai sensi del CCPA. 

     Per costruire o migliorare la qualità dei servizi che sta fornendo all'azienda, anche se questo Scopo Commerciale non è specificato nel contratto scritto richiesto dal CCPA, a condizione che il Fornitore di Servizi non utilizzi i Dati Personali per eseguire servizi per conto di un'altra persona. 

Per prevenire, rilevare o indagare incidenti di sicurezza dei dati o proteggere contro attività malevole, ingannevoli, fraudolente o illegali, anche se questo Scopo Commerciale non è specificato nel contratto scritto.

〇 Audit relativi al conteggio delle impressioni pubblicitarie per visitatori unici, verificare il posizionamento e la qualità delle impressioni pubblicitarie, e audit della conformità a questa specifica e ad altri standard.

〇 Fornire servizi pubblicitari e di marketing, ad eccezione della pubblicità comportamentale cross-context, al consumatore a condizione che, ai fini della pubblicità e del marketing, un fornitore di servizi o appaltatore non combini le informazioni personali dei consumatori che hanno scelto di non ricevere con le informazioni personali che il fornitore di servizi o appaltatore riceve da, o per conto, dell'azienda con informazioni personali che il fornitore di servizi o appaltatore riceve da, o per conto, di un'altra persona o persone o raccoglie dalla propria interazione con i consumatori. 

〇 Utilizzo a breve termine e transitorio, inclusi, ma non limitati a, pubblicità non personalizzata mostrata come parte dell'interazione attuale di un consumatore con l'azienda, a condizione che le informazioni personali del consumatore non siano divulgate a un'altra terza parte e non siano utilizzate per costruire un profilo sul consumatore o alterare in altro modo l'esperienza del consumatore al di fuori dell'interazione attuale con l'azienda.

• Dove l'esportatore di dati è stabilito in uno Stato membro dell'UE, l'autorità di vigilanza responsabile per garantire la conformità dell'esportatore di dati al Regolamento (UE) 2016/679 riguardo al trasferimento dei dati agirà come autorità di vigilanza competente.
• Dove l'esportatore di dati non è stabilito in uno Stato membro dell'UE ma rientra nell'ambito di applicazione territoriale del Regolamento (UE) 2016/679 ai sensi del suo articolo 3(2) e ha nominato un rappresentante ai sensi dell'articolo 27(1) del Regolamento (UE) 2016/679: L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27(1) del Regolamento (UE) 2016/679 agirà come autorità di vigilanza competente.
• Dove l'esportatore di dati non è stabilito in uno Stato membro dell'UE ma rientra nell'ambito di applicazione territoriale del Regolamento (UE) 2016/679 ai sensi del suo articolo 3(2) senza, tuttavia, dover nominare un rappresentante ai sensi dell'articolo 27(2) del Regolamento (UE) 2016/679: La Commissione per la protezione dei dati (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Irlanda agirà come autorità di vigilanza competente.
• Dove l'esportatore di dati è stabilito nel Regno Unito o rientra nell'ambito di applicazione territoriale delle leggi e dei regolamenti sulla protezione dei dati del Regno Unito, l'Ufficio del Commissario per le informazioni agirà come autorità di vigilanza competente.
• Dove l'esportatore di dati è stabilito in Svizzera o rientra nell'ambito di applicazione territoriale delle leggi e dei regolamenti sulla protezione dei dati svizzeri, il Commissario federale svizzero per la protezione dei dati e l'informazione agirà come autorità di vigilanza competente nella misura in cui il trasferimento di dati pertinente è regolato dalle leggi e dai regolamenti sulla protezione dei dati svizzeri.

• Programma. Il Fornitore implementerà e manterrà un programma di sicurezza delle informazioni scritto ("Programma di Sicurezza delle Informazioni"), che contiene salvaguardie amministrative, tecniche e organizzative ragionevolmente appropriate che rispettano questo Allegato. 
• Controlli di Accesso. Il Fornitore implementerà misure per: (a) rispettare il "principio del minimo privilegio", in base al quale l'accesso ai Dati Personali da parte del personale del Fornitore sarà limitato sulla base del bisogno di conoscere; e (b) terminare prontamente l'accesso del proprio personale ai Dati Personali quando tale accesso non è più necessario per l'esecuzione del Contratto.
• Gestione degli Account. Il Fornitore gestirà la creazione, l'uso e la cancellazione di tutte le credenziali degli account utilizzati per accedere all'infrastruttura chiave del Fornitore, inclusa la richiesta di autenticazione a più fattori in tutti i sistemi critici. 
• Gestione delle Vulnerabilità. Il Fornitore (a) utilizzerà periodicamente strumenti di scansione automatizzati per rilevare vulnerabilità nel sistema di produzione del Fornitore, inclusi ma non limitati a test di penetrazione, e (b) implementerà strumenti di gestione delle patch e degli aggiornamenti software come notificato dai fornitori di tali strumenti. 
• Segmentazione della Sicurezza. Il Fornitore monitorerà, rileverà e limiterà il flusso di informazioni su base multilivello utilizzando strumenti come firewall, proxy e sistemi di rilevamento delle intrusioni basati su rete. 
• Prevenzione della Perdita di Dati. Il Fornitore utilizzerà misure di prevenzione della perdita per identificare, monitorare e proteggere i Dati Personali in uso, in transito e a riposo. Tali processi e strumenti di prevenzione della perdita di dati includeranno: (a) strumenti automatizzati progettati per identificare tentativi di esfiltrazione dei dati; e (b) l'uso di sicurezza basata su certificati di crittografia.
• Crittografia. Il Fornitore crittograferà, utilizzando strumenti di crittografia standard del settore, tutti i Dati Personali che il Fornitore trasmette attraverso reti pubbliche. 
• Pseudonimizzazione. Il Fornitore utilizzerà tecniche di pseudonimizzazione standard del settore per proteggere i Dati Personali dove possibile e coerente con i Servizi. 
• Salvaguardie Fisiche. Il Fornitore manterrà controlli di accesso fisici per garantire l'accesso sicuro ai locali fisici di proprietà del Fornitore dove si trova l'ambiente informatico del Fornitore utilizzato per elaborare qualsiasi Dato Personale, inclusi un sistema di controllo degli accessi che consente al Fornitore di controllare l'accesso fisico a ciascuna struttura del Fornitore. 
• Salvaguardie Amministrative. Prima di fornire accesso ai Dati Personali del Cliente a qualsiasi suo personale, il Fornitore utilizzerà misure commercialmente ragionevoli: (a) verificare l'affidabilità di tale personale; e (b) fornire una formazione alla sicurezza appropriata a tale personale.