Addendum sul trattamento dei dati (Data Processing Addendum, DPA)

Ultima revisione 21/8/2023

Il presente Addendum sul trattamento dei dati (“DPA”) è stipulato e stipulato alla data della sua accettazione e fa parte del Contratto di licenza per l’utente finale o di altro accordo per concedere in licenza i prodotti Claroty in cui è incorporato il presente addendum (il “Contratto”). L’utente riconosce che, per conto della propria entità che è parte del Contratto (collettivamente,  “Lei”   o “Utente” o “Titolare del trattamento”) ha letto, compreso e accettato di rispettare il presente DPA e sta stipulando un accordo legale vincolante con Claroty come definito di seguito (“Claroty” o “Responsabile del trattamento dei dati”) per riflettere l’accordo delle parti in merito al trattamento dei dati personali (come tali termini sono definiti di seguito) di individui protetti dal GDPR. Entrambe le parti saranno indicate come le “Parti” e ciascuna, una “Parte”.

PREMESSO CHE, Claroty fornirà i prodotti e/o i servizi stabiliti nel Contratto (collettivamente, i “Servizi”) per l’Utente, come descritto nel Contratto; e

PREMESSO CHE, nel corso della fornitura dei Servizi ai sensi del Contratto, Claroty può trattare i Dati personali per conto dell’Utente; e le Parti desiderano stabilire gli accordi relativi al trattamento dei Dati personali (definiti di seguito) nel contesto dei Servizi e accettano di rispettare le seguenti disposizioni in relazione a qualsiasi Dato personale, ciascuno che agisca in modo ragionevole e in buona fede.

TUTTO CIÒ PREMESSO, in considerazione delle reciproche promesse quivi contenute e di altri corrispettivi validi e preziosi, la cui ricezione e sufficienza sono qui riconosciute dalle Parti, le Parti, che intendono essere legalmente vincolate, convengono quanto segue:

Il presente DPA si applica al trattamento di qualsiasi Dato personale (come definito di seguito) raccolto, fornito o altrimenti messo a disposizione della Società in relazione alla fornitura del Software e di qualsiasi servizio correlato al Software ai sensi del Contratto, se il Trattamento di tali Dati personali è soggetto al GDPR, solo nella misura in cui il Cliente è un Titolare del trattamento dei Dati personali e la Società è un Responsabile del trattamento. Il DPA è destinato a soddisfare i requisiti della legge sulla protezione dei dati dell’Unione europea, incluso l’articolo 28(3) del GDPR. Il presente DPA sarà efficace per la durata del Contratto o fino alla cancellazione dei Dati personali come indicato dal Cliente ai sensi del presente DPA, a seconda di quale evento si verifichi per primo.

1. INTERPRETAZIONE E DEFINIZIONI

1.1 Le intestazioni contenute nel presente DPA sono solo per comodità e non devono essere interpretate per limitare o altrimenti influenzare le disposizioni del presente DPA.

1.2 I riferimenti a clausole o sezioni sono riferimenti alle clausole o alle sezioni del presente DPA, salvo diversa indicazione.

1.3 Le parole usate   al singolare includono il plurale e viceversa , come il  contesto può richiedere.

1.4 I termini in maiuscolo non  definiti nel presente documento  avranno il significato  assegnato a tali termini nel Contratto.

1.5 Definizioni:

• “Affiliata” indica qualsiasi entità che controlla, è controllata da, o è sotto il controllo comune con l’entità in oggetto. “Controllo”, ai fini della presente definizione, indica la proprietà o il controllo diretto o indiretto di oltre il 50% degli interessi di voto dell’entità in oggetto.

• Per “Affiliata autorizzata” si intende qualsiasi affiliata (o affiliata) dell’Utente che (a) è soggetta alle Leggi e ai Regolamenti sulla protezione dei dati dell’Unione europea, dello Spazio economico europeo e/o dei loro Stati membri, della Svizzera e/o del Regno Unito e (b) è autorizzata a utilizzare i Servizi ai sensi dell’Accordo tra l’Utente e Claroty, ma non ha firmato il proprio accordo con Claroty e non è un “Utente” come definito ai sensi dell’Accordo.

• “Titolare” o “Titolare del trattamento” indica l’entità che determina le finalità e i mezzi del Trattamento dei Dati personali. Ai soli fini del presente DPA, e salvo ove diversamente indicato, il termine “Titolare del trattamento dei dati” includerà l’Utente e/o le Affiliate autorizzate dell’Utente.

• “Leggi e regolamenti sulla protezione dei dati ” indica tutte le leggi e i regolamenti dell’Unione europea, dello Spazio economico europeo e dei loro Stati membri e del Regno Unito applicabili al trattamento dei dati personali ai sensi dell’Accordo.

• “Interessato ” indica la persona identificata o identificabile a cui si riferiscono i Dati personali.

• Per “Stato membro ” si intende un Paese appartenente all’Unione europea e/o allo Spazio economico europeo. “Unione” significa l’Unione Europea.

• “GDPR” indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 27 April 2016 relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

• “Claroty” indica l’entità Claroty pertinente come specificato nel Contratto.

• “Claroty ” indica Claroty e le sue Affiliate impegnate nel trattamento dei Dati personali.

• Per “Dati personali ” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è una persona fisica che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificativo come un nome, un numero di identificazione, dati di localizzazione, un identificativo online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica. A scanso di equivoci, le informazioni di contatto aziendali dell’Utente non sono di per sé considerate Dati personali soggetti al presente DPA.

• “Trattamento(ing)” indica qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza mezzi automatici, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o l’alterazione, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o altrimenti la messa a disposizione, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.

• “Responsabile del trattamento” o “Responsabile del trattamento dei dati” indica l’entità che tratta i Dati personali per conto del Titolare del trattamento.

• “Documentazione di Sicurezza ” indica la Documentazione di Sicurezza applicabile ai Servizi specifici acquistati dall’Utente, come di volta in volta aggiornati, come ragionevolmente resi disponibili da Claroty

• “Sub-responsabile del trattamento” indica qualsiasi Responsabile del trattamento incaricato da Claroty e/o dalla Collegata Claroty di trattare i Dati personali nell’ambito del presente DPA.

• “Autorità di vigilanza ” indica un’autorità pubblica indipendente istituita da uno Stato membro dell’UE ai sensi del GDPR o dell’ICO ai sensi del GDPR del Regno Unito.

2. TRATTAMENTO DEI DATI PERSONALI

2.1 Ruoli delle Parti. Le Parti riconoscono e convengono che, in relazione al Trattamento dei Dati personali, (i) l’Utente è il Titolare del trattamento dei dati, (ii) Claroty è il Responsabile del trattamento dei dati e che (iii) Claroty può ingaggiare Sub-responsabili del trattamento ai sensi dei requisiti stabiliti nella Sezione 5 “Sub-responsabili del trattamento” di seguito. L’Utente, i fornitori dell’Utente e/o i partner commerciali dell’Utente e gli Interessati forniranno i Dati personali a Claroty fornendo i Dati personali al Servizio di Claroty. A scanso di equivoci, i dettagli di accesso alla piattaforma di Claroty sono soggetti all’informativa sulla privacy di Claroty, aggiornata di volta in volta, e non a questo DPA, e pertanto, Claroty è un Titolare del trattamento di questi Dati personali.

2.2  Trattamento dei dati personali da parte dell’utente. L’Utente dovrà, nell’uso dei Servizi, trattare i Dati personali in conformità ai requisiti delle Leggi e dei Regolamenti sulla protezione dei dati e rispettare in ogni momento gli obblighi applicabili ai titolari del trattamento dei dati (incluso, a titolo esemplificativo ma non esaustivo, l’Articolo 24 del GDPR).  A scanso di equivoci, le istruzioni dell’Utente per il trattamento dei Dati personali devono rispettare le Leggi e i Regolamenti sulla protezione dei dati. L’Utente sarà l’unico responsabile dei mezzi con cui l’Utente ha acquisito i Dati personali. Senza limitazioni, l’Utente dovrà rispettare tutti gli obblighi relativi alla trasparenza (inclusa, a titolo esemplificativo ma non esaustivo, la visualizzazione di tutte le informative o politiche sulla privacy pertinenti e richieste) e avrà tutte le basi legali necessarie al fine di raccogliere, elaborare e trasferire a Claroty i Dati personali e autorizzare il trattamento da parte di Claroty dei Dati personali autorizzati nel presente DPA. L’Utente difenderà, manleverà e manleverà Claroty, le sue Affiliate e controllate (inclusi, a titolo esemplificativo ma non esaustivo, i loro direttori, funzionari, agenti, subappaltatori e/o dipendenti) da e contro qualsiasi responsabilità di qualsiasi tipo relativa a qualsiasi violazione, violazione o violazione da parte dell’Utente e/o dei suoi utenti autorizzati di qualsiasi Legge e Regolamento sulla protezione dei dati e/o del presente DPA e/o della presente Sezione.

2.3 Trattamento dei dati personali da parte di Claroty.

2.3.1 Fatte salve le disposizioni dell'Accordo, Claroty tratterà i Dati personali soggetti al presente DPA solo in conformità alle istruzioni documentate dell’Utente e solo se necessario per l’esecuzione dei Servizi e per l’esecuzione del Contratto e del presente DPA, salvo diversa disposizione del diritto dell’Unione o degli Stati membri o (nella misura massima consentita dalla legge) di qualsiasi altra legge applicabile a cui Claroty è soggetta, nel qual caso, Claroty informerà l’Utente del requisito legale prima del trattamento, a meno che tale legge vieti tali informazioni per motivi importanti di interesse pubblico. La durata del Trattamento, la natura e le finalità del Trattamento, nonché i tipi di Dati personali trattati e le categorie di Interessati ai sensi del presente DPA sono ulteriormente specificati nell ’Allegato 1 (Dettagli del Trattamento) al presente DPA.

2.3.2 Nella misura in cui Claroty o le sue Consociate non siano in grado di soddisfare una richiesta (incluso, senza limitazioni, qualsiasi istruzione, direzione, codice di condotta, certificazione, o modifica di qualsiasi tipo) da parte dell’Utente e/o dei suoi utenti autorizzati in relazione al trattamento dei Dati personali o laddove Claroty ritenga che tale richiesta sia illegale, Claroty (i) informerà l’Utente, fornire dettagli pertinenti del problema (ma non consulenza legale), (ii) Claroty può, senza alcun tipo di responsabilità nei confronti dell’Utente, interrompere temporaneamente il trattamento dei Dati personali interessati (diverso dall’archiviazione sicura di tali dati), e (iii) se le Parti non concordano una risoluzione della questione in questione e dei relativi costi, ciascuna Parte può, come suo unico rimedio, risolvere il Contratto e il presente DPA in relazione al Trattamento interessato, e l’Utente pagherà a Claroty tutti gli importi dovuti a Claroty o dovuti prima della data di risoluzione. L’Utente non avrà ulteriori rivendicazioni nei confronti di Claroty (inclusa, a titolo esemplificativo ma non esaustivo, la richiesta di rimborsi per i Servizi) a causa della risoluzione del Contratto e/o del DPA nella situazione descritta nel presente paragrafo (esclusi gli obblighi relativi alla risoluzione del presente DPA di seguito indicati).

2.3.3 Claroty non sarà responsabile in caso di qualsiasi rivendicazione avanzata da una terza parte, incluso, a titolo esemplificativo ma non esaustivo, un Interessato, derivante da qualsiasi atto o omissione di Claroty, nella misura in cui ciò sia il risultato delle istruzioni dell’Utente.

3. DIRITTI DEGLI INTERESSATI

Se Claroty riceve una richiesta da parte di un Interessato di esercitare il proprio diritto di cui al Capitolo III del GDPR (“Richiesta dell’Interessato”), Claroty dovrà, nella misura consentita dalla legge, informare tempestivamente e inoltrare tale Richiesta dell’Interessato all’Utente. Tenendo conto della natura del Trattamento, Claroty compirà ogni sforzo commercialmente ragionevole per assistere l’Utente con misure tecniche e organizzative appropriate, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo dell’Utente di rispondere a una Richiesta dell’Interessato ai sensi delle Leggi e dei Regolamenti sulla protezione dei dati. Nella misura consentita dalla legge, l’Utente sarà responsabile di eventuali costi derivanti dalla fornitura di tale assistenza da parte di Claroty.

4. PERSONALE CHIARRO

4.1 Riservatezza. Claroty Concederà l’accesso ai Dati personali a persone sotto la sua autorità (incluso, a titolo esemplificativo ma non esaustivo, il suo personale) solo in base alla necessità di conoscerli e garantirà che tali persone impegnate nel trattamento dei Dati personali si siano impegnate a garantire la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

4.2 Claroty può divulgare e trattare i Dati personali (a) come consentito ai sensi del presente documento (b) nella misura richiesta da un tribunale di giurisdizione competente o Autorità di vigilanza e/o altrimenti come richiesto dalle leggi applicabili (in tal caso, Claroty informerà l’Utente del requisito legale prima della divulgazione, a meno che tale legge vieti tali informazioni per motivi importanti di interesse pubblico), o (c) su base “necessità di sapere” ai sensi di un obbligo di riservatezza nei confronti del consulente legale (s), consulente(i) per la protezione dei dati, o ragioniere (s).

5. AUTORIZZAZIONE RELATIVA AI SUB-RESPONSABILI DEL TRATTAMENTO

5.1 L’attuale elenco dei Sub-responsabili del trattamento di Claroty è incluso nell’Allegato 2 (“Elenco dei Sub-responsabili del trattamento”) ed è qui approvato dal Titolare del trattamento dei dati. L’Elenco dei Sub-responsabili del trattamento alla data di esecuzione del presente DPA è autorizzato dall’Utente.

5.2 Claroty fornirà notifica di qualsiasi nuovo Sub-responsabile del trattamento (o sub-responsabile del trattamento) prima di autorizzare tale nuovo Sub-responsabile del trattamento a trattare i Dati personali in relazione alla fornitura dei Servizi.

5.3 Diritto di opposizione per i nuovi sub-processori .L’Utente può ragionevolmente opporsi all’uso da parte di Claroty di un nuovo Sub-responsabile del trattamento per motivi correlati al GDPR, notificando tempestivamente a Claroty per iscritto entro tre (3) giorni lavorativi dalla ricezione della notifica di Claroty in conformità con il meccanismo stabilito nella Sezione 5.1 e tale obiezione scritta includerà i motivi relativi al GDPR per opporsi all’uso di tale nuovo Sub-responsabile del trattamento da parte di Claroty. La mancata opposizione a tale nuovo Sub-responsabile del trattamento per iscritto entro tre (3) giorni lavorativi dalla notifica di Claroty sarà considerata come accettazione del nuovo Sub-responsabile del trattamento. Nel caso in cui l’Utente si opponga ragionevolmente a un nuovo Sub-responsabile del trattamento, come consentito nelle frasi precedenti, Claroty compirà ogni ragionevole sforzo per mettere a disposizione dell’Utente una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole all’uso dei Servizi da parte dell’Utente per evitare il Trattamento dei Dati personali da parte del Sub-responsabile del trattamento oggetto di opposizione al nuovo Sub-responsabile del trattamento senza gravare irragionevolmente sull’Utente. Se Claroty non è in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che non deve superare trenta (30) giorni, L’utente può, come unico rimedio, risolvere il Contratto applicabile e il presente DPA solo in relazione a quei Servizi che non possono essere forniti da Claroty senza l’uso del nuovo Sub-responsabile del trattamento oggetto di opposizione fornendo una notifica scritta a Claroty a condizione che tutti gli importi dovuti ai sensi del Contratto prima della data di risoluzione in relazione al Trattamento in questione siano debitamente pagati a Claroty. Fino a quando non viene presa una decisione in merito al nuovo Sub-responsabile del trattamento, Claroty può sospendere temporaneamente il trattamento dei Dati personali interessati. L’Utente non avrà ulteriori rivendicazioni nei confronti di Claroty a causa della risoluzione del Contratto (inclusa, a titolo esemplificativo ma non esaustivo, la richiesta di rimborsi) e/o del DPA nella situazione descritta nel presente paragrafo.

5.4 Accordi con i Sub-responsabili del trattamento. Nel caso in cui i Sub-responsabili del trattamento siano incaricati da Claroty, Claroty stipulerà accordi contrattuali con i Sub-responsabili del trattamento che sono redatti in modo da riflettere gli obblighi di protezione dei dati stabiliti nel presente DPA. In conformità agli articoli 28.7 e 28.8 del GDPR, se e quando la Commissione europea stabilisce le clausole contrattuali tipo di cui a tale articolo, le Parti possono rivedere il presente DPA in buona fede per adeguarlo a tali clausole contrattuali standard.

6. SICUREZZA

6.1 Controlli per la protezione dei dati personali. Tenendo conto dello stato dell’arte, i costi di attuazione, l’ambito, il contesto, le finalità del Trattamento nonché il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Claroty manterranno le misure tecniche e organizzative standard di settore richieste ai sensi dell’Articolo 32 del GDPR per la protezione della sicurezza (compresa la protezione contro il trattamento non autorizzato o illegale e contro la distruzione accidentale o illecita, perdita o alterazione o danno, divulgazione non autorizzata di, o accesso a, Dati personali), riservatezza e integrità dei Dati personali, come stabilito nella Documentazione sulla sicurezza che sono quivi approvate dall’Utente. Su richiesta dell’Utente, Claroty compirà ogni sforzo commercialmente ragionevole per assistere l’Utente, a spese dell’Utente, nel garantire il rispetto degli obblighi ai sensi degli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento, dello stato dell’arte e delle informazioni a disposizione di Claroty.

6.2 Certificazioni e verifiche di terze parti. Su richiesta scritta dell’Utente a intervalli ragionevoli, e fatti salvi gli obblighi di riservatezza stabiliti nel Contratto e nel presente DPA, Claroty metterà a disposizione dell’Utente che non sia un concorrente di Claroty (o indipendente dell’Utente, un revisore terzo che non sia un concorrente di Claroty) una copia o un riepilogo degli audit o delle certificazioni di Claroty di terze parti più recenti, a seconda dei casi (fornito, tuttavia, che tali verifiche, certificazioni e i risultati da esse derivanti, compresi i documenti che riflettono l’esito dell’audit e/o le certificazioni, sarà utilizzato solo dall’Utente per valutare la conformità al presente DPA, e non saranno utilizzati per altri scopi o divulgati a terzi senza la previa approvazione scritta di Claroty e, su richiesta di Claroty, L’Utente dovrà restituire tutti i registri o la documentazione in possesso o sotto il controllo dell’Utente forniti da Claroty nell’ambito dell’audit e/o della certificazione). A spese dell’Utente, Claroty consentirà e contribuirà alle verifiche, comprese le ispezioni di Claroty, condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento (che non è un concorrente diretto o indiretto di Claroty), a condizione che le parti concordino l’ambito, la metodologia, i tempi e le condizioni di tali verifiche e ispezioni. Nonostante qualsiasi disposizione contraria, tali verifiche e/o ispezioni non conterranno alcuna informazione, inclusi, a titolo esemplificativo ma non esaustivo, i dati personali che non appartengono all’Utente.

7. GESTIONE E NOTIFICA DEGLI INCIDENTI RELATIVI AI DATI PERSONALI

Nella misura richiesta dalle leggi e dai regolamenti applicabili in materia di protezione dei dati, Claroty informerà l’Utente senza indebito ritardo dopo essere venuto a conoscenza della distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali, inclusi i Dati personali, trasmessi, archiviati o altrimenti trattati da Claroty o dai suoi Sub-responsabili del trattamento di cui Claroty viene a conoscenza (un “Incidente di dati personali”).

Claroty compirà ogni ragionevole sforzo per identificare la causa di tale Incidente relativo ai Dati personali e adotterà le misure che Claroty ritiene necessarie, possibili e ragionevoli al fine di porre rimedio alla causa di tale Incidente relativo ai Dati personali nella misura in cui la remediation nel ragionevole controllo di Claroty. Gli obblighi di cui al presente documento non si applicano agli incidenti causati dall’Utente o dagli utenti dell’Utente o altrimenti non correlati alla fornitura dei Servizi. In ogni caso, l’Utente sarà responsabile della notifica alle autorità di vigilanza e/o agli interessati (ove richiesto dalle leggi e dai regolamenti sulla protezione dei dati).

8. RESTITUZIONE E CANCELLAZIONE DEI DATI PERSONALI

Fatto salvo il Contratto, Claroty , a scelta dell’Utente, cancellerà o restituirà i Dati personali all’Utente dopo la fine della fornitura dei Servizi relativi al Trattamento e cancellerà le copie esistenti, a meno che la legge applicabile non richieda la conservazione dei Dati personali. In ogni caso, nella misura richiesta o consentita dalla legge applicabile, Claroty può conservare una copia dei Dati personali per scopi di prova e/o per l’istituzione, l’esercizio o la difesa di rivendicazioni legali e/o per rispettare le leggi e i regolamenti applicabili. Se l’Utente richiede la restituzione dei Dati personali, i Dati personali saranno restituiti nel formato generalmente disponibile per i clienti di Claroty.

9  .AFFILIATI AUTORIZZATI

9.1 Rapporto contrattuale. Le Parti riconoscono e convengono che, eseguendo il DPA, l’Utente entra nel DPA per conto proprio e, a seconda dei casi, a nome e per conto delle sue Collegate Autorizzate, stabilendo così un DPA separato tra Claroty. Ciascuna Affiliata Autorizzata accetta di essere vincolata dagli obblighi ai sensi del presente DPA. Tutti gli accessi e l’utilizzo dei Servizi da parte delle Consociate autorizzate devono essere conformi ai termini e alle condizioni del Contratto e del presente DPA e qualsiasi violazione dei termini e delle condizioni ivi contenuti da parte di un’Affiliata autorizzata sarà considerata una violazione da parte dell’Utente.

9.2 Comunicazione. L’Utente rimarrà responsabile del coordinamento di tutte le comunicazioni con Claroty ai sensi del Contratto e del presente DPA e avrà il diritto di effettuare e ricevere qualsiasi comunicazione in relazione al presente DPA per conto delle sue Affiliate autorizzate.

10. TRASFERIMENTO DEI DATI

10.1 Trasferimenti verso Paesi che offrono un livello adeguato di protezione dei dati. I Dati personali possono essere trasferiti dagli Stati membri dell’UE e dai tre Paesi membri del SEE (Norvegia, Liechtenstein e Islanda; collettivamente, “SEE”) a Paesi che offrono un livello adeguato di protezione dei dati ai sensi o in conformità alle decisioni di adeguatezza pubblicate dalle autorità competenti in materia di protezione dei dati del SEE, dell’Unione, degli Stati membri o della Commissione europea (“Decisioni di adeguatezza”), senza che sia necessaria alcuna ulteriore salvaguardia.

10.2 Trasferimenti verso altri paesi. Se il trattamento dei dati personali include trasferimenti dal SEE a Paesi al di fuori del SEE che non sono soggetti a una decisione di adeguatezza (“Altri Paesi”), le Parti rispetteranno il Capitolo V del GDPR, tra cui, se necessario, esecuzione delle clausole standard di protezione dei dati adottate dalle autorità competenti in materia di protezione dei dati del SEE, l'Unione, gli Stati membri o la Commissione europea o conformarsi a uno qualsiasi degli altri meccanismi previsti nel GDPR per il trasferimento di dati personali in tali altri paesi. Nella misura in cui l’Utente e Claroty utilizzeranno le Clausole Contrattuali Tipo come meccanismo per trasferire i Dati personali dell’Utente, i diritti e gli obblighi delle parti saranno eseguiti in conformità e subordinatamente alle Clausole Contrattuali Tipo e al presente DPA. In caso di contraddizioni tra le Clausole Contrattuali Tipo e il presente DPA, prevarranno le Clausole Contrattuali Tipo.

11. TERMINAZIONE

Il presente DPA si risolverà automaticamente alla risoluzione o alla scadenza del Contratto in base al quale vengono forniti i Servizi. Le Sezioni 2.2, 2.3.3, 8 e 12 sopravvivranno alla risoluzione o alla scadenza del presente DPA per qualsiasi motivo. Il presente DPA non può, in linea di principio, essere risolto separatamente rispetto al Contratto, salvo laddove il Trattamento termini prima della risoluzione del Contratto, nel qual caso, il presente DPA terminerà automaticamente.

12. RAPPORTO CON L’ACCORDO

In caso di conflitto tra le disposizioni del presente DPA e le disposizioni del Contratto, le disposizioni del presente DPA prevarranno sulle disposizioni contrastanti del Contratto. Claroty sarà responsabile in conformità alle limitazioni stabilite nel Contratto.

13. EMENDAMENTI

Il presente DPA può essere modificato in qualsiasi momento da uno strumento scritto debitamente firmato da ciascuna delle Parti.

14. EFFETTO LEGALE

Claroty può cedere il presente DPA o i suoi diritti o obblighi ai sensi del presente documento a qualsiasi sua Affiliata, o a un suo successore o a qualsiasi sua Affiliata, in relazione a una fusione, consolidamento o acquisizione di tutte o sostanzialmente tutte le sue azioni, attività o attività relative al presente DPA o al Contratto. Qualsiasi obbligo di Claroty ai sensi del presente documento può essere eseguito (in tutto o in parte) e qualsiasi diritto di Claroty (inclusi i diritti di fatturazione e pagamento) o rimedio può essere esercitato (in tutto o in parte), da un Affiliato di Claroty.

Elenco dei programmi

• PROGRAMMA 1 - DETTAGLI DEL TRATTAMENTO

• PIANIFICAZIONE 2 - ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO

• PROGRAMMA 3 – CLAUSOLE CONTRATTUALI STANDARD

PROGRAMMA 1 - DETTAGLI DEL TRATTAMENTO

Claroty Tratterà i Dati personali come necessario per eseguire i Servizi ai sensi del Contratto, come ulteriormente indicato dall’Utente nel suo utilizzo dei Servizi.

Natura e finalità del trattamento

1. Fornire il Servizio(i) all'Utente

2. Configurazione profilo(i) per gli utenti autorizzati dall'utente

3. Per abilitare l'utilizzo dei Servizi da parte dell'Utente

4. Affinché Claroty rispetti le ragionevoli istruzioni documentate fornite dall’Utente laddove tali istruzioni siano coerenti con i termini del Contratto.

5. Esecuzione di obblighi relativi al Contratto, al presente DPA e/o ad altri contratti stipulati dalle Parti.

6. Fornire supporto e manutenzione tecnica, se concordato nel Contratto.

7. Qualsiasi altra attività ragionevolmente correlata a quanto sopra.

Durata del trattamento

Fatte salve eventuali Sezioni del DPA e/o dell’Accordo che riguardano la durata del Trattamento e le conseguenze della sua scadenza o risoluzione, Claroty tratterà i Dati personali per la durata dell’Accordo, salvo diversamente concordato per iscritto.

Tipo di dati personali

L’Utente può inviare Dati personali ai Servizi, la cui entità è determinata e controllata dall’Utente a sua esclusiva discrezione, e che può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie di Dati personali:

• Indirizzo IP, indirizzi MAC, utenti e nomi host di dispositivi personali (come laptop, tablet, smartphone) connessi alla rete dell’Utente.

• Indirizzi IP dei servizi Web accessibili dagli utenti che sono stati collegati alla rete dell'utente tramite i loro dispositivi personali.

• Numero di accesso delle scansioni eseguite dai dispositivi di imaging dell'utente.

• Qualsiasi altro dato o informazione personale che l’Utente decide di fornire o fornire a Claroty o ai Servizi.

L’Utente e gli Interessati forniranno i Dati personali a Claroty fornendo i Dati personali al Servizio di Claroty.

Categorie di interessati

L’Utente può inviare Dati personali ai Servizi, la cui entità è determinata e controllata dall’Utente a sua esclusiva discrezione, e che possono includere Dati personali relativi alle seguenti categorie di interessati:

• Pazienti, ospiti, visitatori e/o clienti dell’utente

• Utenti dell’utente autorizzati dall’utente a utilizzare i Servizi.

• Dipendenti, agenti, consulenti, liberi professionisti dell’Utente (persone fisiche)

• Prospettive, clienti, partner commerciali e fornitori di utenti (persone fisiche)

• Dipendenti o persone di contatto di potenziali clienti, partner commerciali e fornitori dell’Utente

PIANIFICAZIONE 2 - ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO

PROGRAMMA 3 - CLAUSOLE CONTRATTUALI STANDARD

Da controllore a processore

SEZIONE I

Clausola 1 - Scopo e ambito di applicazione

a) Lo scopo di queste clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 27 April 2016 relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali e alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (^[i]) per il trasferimento di dati in un paese terzo.

b) Le Parti:

(i) la persona fisica o giuridica (o le persone giuridiche), l’autorità pubblica/i, l’agenzia/i o altri organismi/i (di seguito “entità/i”) che trasferiscono i dati personali, come elencati nell’Allegato I.A (di seguito ciascun “esportatore di dati”), e

(ii) l’entità/i in un paese terzo che riceve i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anche Parte delle presenti Clausole, come elencato nell’Allegato I.A (di seguito ciascun “importatore di dati”

c) Le presenti Clausole si applicano in relazione al trasferimento dei dati personali come specificato nell’Allegato I.B.

d) L’Appendice alle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle presenti Clausole.

Clausola 2 - Effetto e invariabilità delle Clausole

a) Le presenti Clausole stabiliscono misure di salvaguardia appropriate, compresi i diritti applicabili degli interessati e i rimedi legali efficaci, ai sensi dell’Articolo 46(1) e dell’Articolo 46(2)(c) del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai titolari ai responsabili del trattamento e/o ai responsabili del trattamento ai responsabili del trattamento, clausole contrattuali standard ai sensi dell’Articolo 28(7) del Regolamento (UE) 2016/679, a condizione che non siano modificate, tranne che per selezionare il Modulo(i) appropriato o per aggiungere o aggiornare informazioni nell’Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicono, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

b) Le presenti Clausole non pregiudicano gli obblighi a cui l’esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3 - Beneficiari terzi

a) Gli interessati possono invocare e far rispettare le presenti Clausole, in qualità di beneficiari terzi, contro l’esportatore e/o l’importatore dei dati, con le seguenti eccezioni:

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

(ii) Clausola 8 – Modulo 1: Clausola 8.5 (e) e Clausola 8.9(b); Modulo 2: Clausola 8.1(b), 8.9(a), (c), (d) ed (e); Modulo 3: Clausola 8.1(a), (c) e (d) e Clausola 8.9(a), (c), (d), (e), (f) e (g); Modulo 4: Clausola 8.1 (b) e Clausola 8.3(b);

(iii) Clausola 9 – Modulo 2: Clausola 9(a), (c), (d) ed (e); Modulo 3: Clausola 9(a), (c), (d) ed (e);

(iv) Clausola 12 – Modulo 1: Clausola 12(a) e (d); Moduli 2 e 3: Clausola 12(a), (d) e (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) e (e);

(vii) Clausola 16(e);

(viii) Clausola 18 – Moduli Uno, Due e Tre: Clausola 18(a) e (b); Modulo Quattro: Clausola 18.

b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

Clausola 4 - Interpretazione

a) Qualora le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato di tale Regolamento.

b) Le presenti Clausole saranno lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

c) Le presenti Clausole non devono essere interpretate in modo da essere in conflitto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5 - Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui le presenti Clausole sono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 6 - Descrizione del trasferimento(i)

I dettagli del trasferimento(i), e in particolare le categorie di dati personali che vengono trasferiti e lo scopo(i) per cui sono trasferiti, sono specificati nell'allegato I.B.

Clausola 7 (Facoltativa ) - Clausola di aggancio

a) Un’entità che non sia Parte delle presenti Clausole può, con l’accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia in qualità di esportatore di dati sia in qualità di importatore di dati, completando l’Appendice e firmando l’Allegato I.A.

b) Una volta completata l’Appendice e firmato l’Allegato I.A, l’entità aderente diventerà Parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore o importatore di dati in conformità con la sua designazione nell’Allegato I.A.

c) L’entità aderente non avrà diritti o obblighi derivanti dalle presenti Clausole dal periodo precedente alla divenuta Parte.

SEZIONE II - OBBLIGHI DELLE PARTI

Clausola 8 - Tutele della protezione dei dati

L’esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per determinare che l’importatore di dati è in grado, attraverso l’implementazione di misure tecniche e organizzative appropriate, di soddisfare i propri obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni

a) L’importatore di dati deve trattare i dati personali solo su istruzioni documentate dell’esportatore di dati. L'esportatore di dati può fornire tali istruzioni per tutta la durata del contratto.

b) L'importatore di dati informa immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni.

8.2 Limitazione dello scopo

L'importatore di dati tratta i dati personali solo per lo scopo (o le finalità) specifico del trasferimento, come stabilito nell'allegato I.B, salvo ulteriori istruzioni dell'esportatore di dati.

8.3 Trasparenza

Su richiesta, l’esportatore di dati dovrà rendere gratuitamente disponibile all’interessato una copia delle presenti Clausole, compresa l’Appendice come compilata dalle Parti. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’Allegato II e i dati personali, l’esportatore di dati può redigere parte del testo dell’Appendice alle presenti Clausole prima di condividerne una copia, ma deve fornire un riepilogo significativo in cui l’interessato non sarebbe altrimenti in grado di comprenderne il contenuto o esercitare i propri diritti. Su richiesta, le Parti forniscono all’interessato i motivi delle modifiche, per quanto possibile, senza rivelare le informazioni oscurate. La presente Clausola non pregiudica gli obblighi dell’esportatore di dati ai sensi degli articoli 13 e  14 del Regolamento (UE) 2016/679.

8.4 Accuratezza

Se l’importatore di dati viene a conoscenza che i dati personali che ha ricevuto sono inesatti o sono diventati obsoleti, deve informare l’esportatore di dati senza indebito ritardo. In questo caso, l'importatore di dati deve cooperare con l'esportatore di dati per cancellare o rettificare i dati.

8.5  Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati avviene solo per la durata specificata nell'allegato I.B. Dopo la fine della fornitura dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore di dati, elimina tutti i dati personali trattati per conto dell'esportatore di dati e certifica all'esportatore di dati che lo ha fatto, o restituisce all'esportatore di dati tutti i dati personali trattati per suo conto e cancella le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l’importatore di dati continuerà a garantire il rispetto delle presenti Clausole. In caso di leggi locali applicabili all’importatore di dati che vietano la restituzione o la cancellazione dei dati personali, l’importatore di dati garantisce che continuerà a garantire la conformità alle presenti Clausole e li tratterà solo nella misura e per il tempo richiesto ai sensi di tale legge locale. Ciò non pregiudica la Clausola 14, in particolare l’obbligo per l’importatore di dati ai sensi della Clausola 14(e) di informare l’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia diventato soggetto a leggi o pratiche non in linea con i requisiti ai sensi della Clausola 14(a).

8.6 Sicurezza del trattamento

a) L’importatore e, durante la trasmissione, anche l’esportatore di dati adottano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che porta a distruzione, perdita, alterazione accidentale o illecita, divulgazione o accesso non autorizzati a tali dati (di seguito “violazione dei dati personali”). Nel valutare il livello appropriato di sicurezza, le Parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito, del contesto e della finalità (o delle finalità) del trattamento e dei rischi connessi al trattamento per gli interessati. In particolare, le Parti prendono in considerazione il ricorso alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, laddove lo scopo del trattamento possa essere soddisfatto in tale modo. In caso di pseudonimizzazione, le informazioni supplementari per l'attribuzione dei dati personali a un interessato specifico rimangono, ove possibile, sotto il controllo esclusivo dell'esportatore di dati. Nell'adempimento dei suoi obblighi di cui al presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative di cui all'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

b) L’importatore di dati concede l’accesso ai dati personali ai membri del proprio personale solo nella misura strettamente necessaria per l’esecuzione, la gestione e monitoraggio del contratto. Deve garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate a garantire la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

c) In caso di violazione dei dati personali riguardanti i dati personali trattati dall’importatore di dati ai sensi delle presenti Clausole, l’importatore di dati adotterà le misure appropriate per affrontare la violazione, comprese le misure per mitigarne gli effetti negativi. L’importatore di dati deve inoltre informare l’esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto in cui è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e i registri dei dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, le misure per mitigarne i possibili effetti negativi. Qualora, e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni allora disponibili e ulteriori informazioni, non appena diventano disponibili, sono successivamente fornite senza indebito ritardo.

d) L’importatore di dati coopera con l’esportatore di dati e lo assiste per consentirgli di adempiere ai suoi obblighi ai sensi del regolamento (UE) 2016/679, in particolare per informare l’autorità di controllo competente e gli interessati interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’importatore di dati.

8.7Dati   sensibili

Laddove il trasferimento riguardi dati personali che rivelano l’origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, o appartenenza sindacale, dati genetici, dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito «dati sensibili»), l'importatore di dati applica le restrizioni specifiche e/o le garanzie supplementari di cui all'allegato I.B.

8.8Trasferimenti   successivi

L’importatore di dati deve divulgare i dati personali a terzi solo su istruzioni documentate dell’esportatore di dati. Inoltre, i dati possono essere divulgati a una terza parte situata al di fuori dell’Unione Europea( ^[i])( nello stesso Paese dell’importatore dei dati o in un altro Paese terzo, di seguito “trasferimento successivo”) solo se la terza parte è o accetta di essere vincolata dalle presenti Clausole, ai sensi del Modulo appropriato, o se

(i) il trasferimento successivo avviene in un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo  45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;

(ii) la terza parte garantisce in altro modo garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;

(iii) il trasferimento successivo è necessario per l'istituzione, l'esercizio o la difesa di rivendicazioni legali nell'ambito di procedimenti amministrativi, regolamentari o giudiziari specifici; o

(iv) il trasferimento successivo è necessario al fine di proteggere gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell’importatore di dati di tutte le altre misure di salvaguardia ai sensi delle presenti Clausole, in particolare la limitazione dello scopo.

8.9  Documentazione e conformità

a) L’importatore di dati dovrà trattare tempestivamente e adeguatamente le richieste dell’esportatore di dati relative al trattamento ai sensi delle presenti Clausole.

b) Le Parti saranno in grado di dimostrare la conformità alle presenti Clausole. In particolare, l'importatore di dati conserva un'adeguata documentazione sulle attività di trattamento svolte per conto dell'esportatore di dati.

c) L’importatore di dati metterà a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nelle presenti Clausole e su richiesta dell’esportatore di dati, consentire e contribuire alle verifiche delle attività di trattamento coperte dalle presenti Clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere una revisione o un audit, l’esportatore di dati può prendere in considerazione le certificazioni pertinenti detenute dall’importatore di dati.

d) L’esportatore di dati può scegliere di condurre l’audit da solo o affidare un revisore indipendente. Gli audit possono includere ispezioni presso i locali o le strutture fisiche dell’importatore di dati e, se del caso, devono essere effettuati con ragionevole preavviso.

e) Le Parti mettono a disposizione dell’autorità di controllo competente su richiesta le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9 - Uso dei sub-responsabili del trattamento

a) AUTORIZZAZIONE PRECEDENTE SPECIFICA L’importatore di dati non subappalta alcuna delle sue attività di trattamento eseguite per conto dell’esportatore di dati ai sensi delle presenti Clausole a un sub-responsabile del trattamento senza la previa autorizzazione scritta specifica dell’esportatore di dati. L'importatore di dati presenta la richiesta di autorizzazione specifica almeno 3 giorni prima dell'ingaggio del sub-responsabile del trattamento, insieme alle informazioni necessarie per consentire all'esportatore di dati di decidere in merito all'autorizzazione. L'elenco dei sub-responsabili del trattamento già autorizzati dall'esportatore di dati è disponibile nell'allegato III. Le Parti tengono aggiornato l’Allegato III.

b) Laddove l’importatore di dati incarica un sub-responsabile del trattamento di svolgere specifiche attività di trattamento (per conto dell’esportatore di dati), lo farà mediante un contratto scritto che prevede, in sostanza, gli stessi obblighi di protezione dei dati di quelli che vincolano l’importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti del beneficiario terzo per gli interessati.( ^[i]) Le Parti convengono che, rispettando la presente Clausola, l’importatore di dati adempie ai propri obblighi ai sensi della Clausola 8.8. L’importatore di dati dovrà garantire che il sub-responsabile del trattamento rispetti gli obblighi a cui l’importatore di dati è soggetto ai sensi delle presenti Clausole.

c) L’importatore di dati fornirà, su richiesta dell’esportatore di dati, una copia di tale accordo di sub-responsabile del trattamento e di eventuali modifiche successive all’esportatore di dati. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore dei dati può redigere il testo dell’accordo prima di condividerne una copia.

d) L’importatore di dati rimarrà pienamente responsabile nei confronti dell’esportatore di dati per l’adempimento degli obblighi del sub-responsabile del trattamento ai sensi del suo contratto con l’importatore di dati. L’importatore di dati deve notificare all’esportatore di dati qualsiasi inadempimento da parte del sub-responsabile del trattamento degli obblighi derivanti da tale contratto.

e) L’importatore di dati deve concordare una clausola del beneficiario terzo con il sub-responsabile del trattamento in base alla quale – nel caso in cui l’importatore di dati sia effettivamente scomparso, abbia cessato di esistere per legge o sia diventato insolvente – l’esportatore di dati avrà il diritto di risolvere il contratto del sub-responsabile del trattamento e di istruire il sub-responsabile del trattamento a cancellare o restituire i dati personali.

Clausola 10 - Diritti dell’interessato

a) L’importatore di dati deve informare tempestivamente l’esportatore di dati di qualsiasi richiesta ricevuta da un interessato. Esso non risponde a tale richiesta se non è stato autorizzato dall'esportatore dei dati.

b) L’importatore assiste l’esportatore di dati nell’adempimento dei suoi obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti ai sensi del regolamento (UE) 2016/679. A tale riguardo, le Parti stabiliscono nell'allegato II le misure tecniche e organizzative appropriate, tenendo conto della natura del trattamento, mediante il quale deve essere fornita l'assistenza, nonché dell'ambito e dell'entità dell'assistenza richiesta.

c) Nell'adempimento dei propri obblighi ai sensi dei paragrafi (a) e (b), l'importatore di dati deve rispettare le istruzioni dell'esportatore di dati.

Clausola 11 - Risarcimento

a) L’importatore di dati deve informare gli interessati in un formato trasparente e facilmente accessibile, tramite un avviso individuale o sul suo sito web, di un punto di contatto autorizzato a gestire i reclami. Si occuperà tempestivamente di eventuali reclami ricevuti da un interessato.

b) In caso di controversia tra un interessato e una delle Parti in merito al rispetto delle presenti Clausole, tale Parte farà del suo meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate su tali controversie e, se del caso, cooperano per risolverle.

c) Se l’interessato invoca un diritto di beneficiario terzo ai sensi della Clausola 3, l’importatore di dati accetta la decisione dell’interessato di:

(i) presentare un reclamo all’autorità di controllo dello Stato membro in cui risiede abitualmente o nel luogo di lavoro, o all’autorità di vigilanza competente ai sensi della Clausola 13;

(ii) deferire la controversia ai tribunali competenti ai sensi della Clausola 18.

d) Le Parti accettano che l'interessato possa essere rappresentato da un organismo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80(1) del regolamento (UE) 2016/679.

e) L'importatore di dati deve rispettare una decisione vincolante ai sensi della legislazione dell'UE o degli Stati membri applicabili.

f) L’importatore accetta che la scelta fatta dall’interessato non pregiudicherà i suoi diritti sostanziali e procedurali di chiedere rimedi in conformità con le leggi applicabili.

Clausola 12 - Responsabilità

a) Ciascuna Parte sarà responsabile nei confronti dell’altra Parte per eventuali danni causati all’altra Parte da qualsiasi violazione delle presenti Clausole.

b) L’importatore di dati sarà responsabile nei confronti dell’interessato e l’interessato avrà diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale che l’importatore di dati o il suo sub-responsabile del trattamento causi all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti Clausole.

c) In deroga al paragrafo (b), l’esportatore di dati sarà responsabile nei confronti dell’interessato e l’interessato avrà diritto a ricevere un risarcimento per qualsiasi danno materiale o non materiale che l’esportatore di dati o l’importatore di dati (o il suo sub-responsabile del trattamento) causi all’interessato violando i diritti del terzo beneficiario ai sensi delle presenti Clausole. Ciò non pregiudica la responsabilità dell’esportatore di dati e, qualora l’esportatore di dati sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.

d) Le Parti convengono che se l’esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall’importatore di dati (o dal suo sub-responsabile del trattamento), avrà il diritto di richiedere all’importatore di dati quella parte del risarcimento corrispondente alla responsabilità dell’importatore di dati per il danno.

e) Qualora più di una Parte sia responsabile di qualsiasi danno causato all’Interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili congiuntamente e in solido e l’Interessato avrà il diritto di intentare un’azione legale contro una qualsiasi di queste Parti.

f) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all’altra Parte/i una parte del risarcimento corrispondente alla propria responsabilità per il danno.

g) L’importatore di dati non può invocare la condotta di un sub-responsabile del trattamento per evitare la propria responsabilità.

Clausola 13 - Supervisione

a) [Laddove l’esportatore di dati sia stabilito in uno Stato membro dell’UE:] L’autorità di controllo responsabile di garantire l’osservanza da parte dell’esportatore di dati del regolamento (UE) 2016/679 per quanto riguarda il trasferimento di dati, come indicato nell’allegato I.C, funge da autorità di controllo competente.

[Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito di applicazione territoriale del regolamento (UE) 2016/679 in conformità del suo articolo  3(2) e ha nominato un rappresentante ai sensi dell'articolo  27(1) del regolamento (UE) 2016/679:] L'autorità di controllo dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo  27(1) del regolamento (UE) 2016/679 , come indicato nell'allegato I.C, funge da autorità di controllo competente.

[Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 in conformità al suo articolo  3(2) senza tuttavia dover nominare un rappresentante ai sensi dell’articolo  27(2) del regolamento (UE) 2016/679:] L’autorità di controllo di uno degli Stati membri in cui gli interessati i cui dati personali sono trasferiti ai sensi delle presenti clausole in relazione all’offerta di beni o servizi ad essi, o il cui comportamento è monitorato, si trovano, come indicato nell’Allegato I.C, agisce in qualità di autorità di controllo competente.

b) L’importatore di dati accetta di sottomettersi alla giurisdizione e di cooperare con l’autorità di controllo competente in tutte le procedure volte a garantire il rispetto delle presenti Clausole. In particolare, l’importatore di dati accetta di rispondere alle richieste, sottoporsi a audit e rispettare le misure adottate dall’autorità di controllo, comprese le misure correttive e compensative. Esso fornisce all'autorità di controllo la conferma scritta dell'adozione delle misure necessarie.

SEZIONE III - LEGGI E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14 - Leggi e pratiche locali che incidono sulla conformità alle Clausole

a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le pratiche vigenti nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, compresi eventuali requisiti per divulgare dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sulla comprensione che le leggi e le pratiche che rispettano l’essenza dei diritti e delle libertà fondamentali e non superano ciò che è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell’Articolo 23(1) del Regolamento (UE) 2016/679, non sono in contraddizione con queste Clausole.

b) Le Parti dichiarano che nel fornire la garanzia di cui al paragrafo (a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; la posizione di archiviazione dei dati trasferiti;

(ii) autorità o autorità che autorizzano l'accesso da parte di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento e delle limitazioni e garanzie applicabili (^[i]);

(iii) tutte le garanzie contrattuali, tecniche o organizzative pertinenti messe in atto per integrare le garanzie ai sensi delle presenti Clausole, comprese le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.

c) L’importatore di dati garantisce che, nell’effettuare la valutazione di cui al paragrafo (b), si è adoperato al meglio per fornire all’esportatore di dati le informazioni pertinenti e accetta di continuare a cooperare con l’esportatore di dati per garantire il rispetto delle presenti Clausole.

d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.

e) L’importatore di dati accetta di informare tempestivamente l’esportatore di dati se, dopo aver accettato le presenti Clausole e per la durata del contratto, ha motivo di ritenere che sia o sia diventato soggetto a leggi o pratiche non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un’applicazione di tali leggi in pratica non in linea con i requisiti di cui al paragrafo (a).

f) A seguito di una notifica ai sensi del paragrafo (e), o se l’esportatore di dati ha altrimenti motivo di ritenere che l’importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti Clausole, l’esportatore di dati deve identificare tempestivamente le misure appropriate (ad es. misure tecniche o organizzative per garantire la sicurezza e la riservatezza) da adottare da parte dell’esportatore di dati e/o dell’importatore di dati per affrontare la situazione. L'esportatore di dati sospende il trasferimento di dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento o se incaricato dall'autorità di controllo competente di farlo. In questo caso, l’esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l’esportatore di dati può esercitare questo diritto di risoluzione solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente. Laddove il contratto venga risolto ai sensi della presente Clausola, si applicheranno la Clausola 16(d) e (e).

Clausola 15 - Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

15.1 Notifica

a) L’importatore di dati accetta di informare tempestivamente l’esportatore di dati e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore di dati) se:

(i) riceve una richiesta giuridicamente vincolante da parte di un’autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica includerà informazioni sui dati personali richiesti, l’autorità richiedente, la base giuridica per la richiesta e la risposta fornita; o

(ii) venga a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità con le leggi del Paese di destinazione; tale notifica includerà tutte le informazioni disponibili per l’importatore.

b) Se all’importatore di dati è vietato informare l’esportatore di dati e/o l’interessato ai sensi delle leggi del paese di destinazione, l’importatore di dati si impegna a fare del suo meglio per ottenere una rinuncia al divieto, al fine di comunicare il maggior numero possibile di informazioni, il prima possibile. L’importatore di dati accetta di documentare i suoi migliori sforzi per poterli dimostrare su richiesta dell’esportatore di dati.

c) Ove consentito dalle leggi del paese di destinazione, l'importatore di dati si impegna a fornire all'esportatore di dati, a intervalli regolari per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità/i richiedente, se le richieste sono state contestate e l'esito di tali sfide, ecc.).

d) L’importatore di dati si impegna a conservare le informazioni ai sensi dei paragrafi da (a) a (c) per la durata del contratto e a metterle a disposizione dell’autorità di controllo competente su richiesta.

e) I paragrafi da (a) a (c) non pregiudicano l’obbligo dell’importatore di dati ai sensi della Clausola 14(e) e della Clausola 16 di informare tempestivamente l’esportatore di dati laddove non sia in grado di rispettare le presenti Clausole.

15.2 Revisione della legalità e minimizzazione dei dati

a) L’importatore di dati accetta di rivedere la legittimità della richiesta di divulgazione, in particolare se rimane all’interno dei poteri concessi all’autorità pubblica richiedente, e di contestare la richiesta se, dopo un’attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illecita ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi della comicità internazionale. L'importatore di dati deve, alle stesse condizioni, perseguire possibilità di ricorso. Nel contestare una richiesta, l'importatore di dati chiede misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso in merito. Essa non divulgherà i dati personali richiesti fino a quando non sarà tenuta a farlo in base alle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell’importatore di dati ai sensi della Clausola 14(e).

b) L’importatore di dati accetta di documentare la propria valutazione legale e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, di rendere la documentazione disponibile all’esportatore di dati. Essa la mette inoltre a disposizione dell'autorità di controllo competente su richiesta.

c) L’importatore di dati si impegna a fornire la quantità minima di informazioni ammissibile quando risponde a una richiesta di divulgazione, sulla base di una ragionevole interpretazione della richiesta.

SEZIONE IV - DISPOSIZIONI FINALI

Clausola 16 - Inosservanza delle Clausole e risoluzione

a) L’importatore di dati informerà tempestivamente l’esportatore di dati se non è in grado di rispettare le presenti Clausole, per qualsiasi motivo.

b) Nel caso in cui l’importatore di dati violi le presenti Clausole o non sia in grado di rispettare le presenti Clausole, l’esportatore di dati sospenderà il trasferimento di dati personali all’importatore di dati fino a quando la conformità non sarà nuovamente assicurata o il contratto non sarà risolto. Ciò non pregiudica la Clausola 14(f).

c) L’esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, laddove:

(i) l’esportatore di dati ha sospeso il trasferimento di dati personali all’importatore di dati ai sensi del paragrafo (b) e il rispetto delle presenti Clausole non viene ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l’importatore dei dati è in violazione sostanziale o persistente delle presenti Clausole; o

(iii) l’importatore di dati non rispetta una decisione vincolante di un tribunale o di un’autorità di controllo competente in merito ai propri obblighi ai sensi delle presenti Clausole.

d) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) saranno immediatamente restituiti all'esportatore o cancellati nella sua interezza. Lo stesso vale per qualsiasi copia dei dati. L’importatore di dati deve certificare la cancellazione dei dati all’esportatore di dati. Fino a quando i dati non saranno cancellati o restituiti, l’importatore di dati continuerà a garantire la conformità alle presenti Clausole. In caso di leggi locali applicabili all’importatore di dati che vietano la restituzione o la cancellazione dei dati personali trasferiti, l’importatore di dati garantisce che continuerà a garantire la conformità alle presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesto ai sensi di tale legge locale.

e) Ciascuna Parte può revocare il proprio consenso a essere vincolata dalle presenti Clausole laddove (i) la Commissione europea adotti una decisione ai sensi dell’Articolo 45(3) del Regolamento (UE) 2016/679 che copre il trasferimento di dati personali a cui si applicano le presenti Clausole; o (ii) il Regolamento (UE) 2016/679 entri a far parte del quadro giuridico del Paese in cui vengono trasferiti i dati personali. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione ai sensi del regolamento (UE) 2016/679.

Clausola 17 - Legge applicabile

Le presenti Clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, a condizione che tale legge consenta i diritti dei beneficiari terzi. Le Parti convengono che questa sarà la legge della Repubblica d'Irlanda.

Clausola 18 - Scelta del foro e della giurisdizione

a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di uno Stato membro dell’UE.

b) Le Parti convengono che questi saranno i tribunali di Dublino, Irlanda.

c) L’interessato può anche intentare procedimenti legali nei confronti dell’esportatore e/o dell’importatore di dati dinanzi ai tribunali dello Stato membro in cui ha la sua residenza abituale.

d) Le Parti convengono di sottomettersi alla giurisdizione di tali tribunali.

APPENDICE

NOTA SPIEGATORIA:

Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o categoria di trasferimenti e, a questo proposito, determinare il rispettivo ruolo (o i rispettivi ruoli) delle Parti come esportatore (o importatore) di dati. Ciò non richiede necessariamente il completamento e la firma di appendici separate per ogni trasferimento/categoria di trasferimenti e/o rapporto contrattuale, laddove tale trasparenza possa essere raggiunta attraverso un’unica appendice. Tuttavia, ove necessario per garantire una chiarezza sufficiente, è opportuno utilizzare appendici separate.

ALLEGATO I

A. ELENCO DELLE PARTI

Esportatore(i) di dati:

Nome: L'entità indicata in un Ordine applicabile.

Indirizzo: l'indirizzo dell'entità indicato in un Ordine applicabile.

Nome, posizione e recapiti della persona di contatto: come stabilito in un Ordine applicabile.

Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Vedi Allegato 1.

Importatore(i) di dati: 

Nome: Claroty Ltd. per conto proprio e delle sue affiliate

Indirizzo: 82 Yigal Alon St, Tel Aviv-Yafo, Israele

Nome, posizione e recapiti della persona di contatto: Seth Gerson, Responsabile dell’Ufficio legale, legal@claroty.com

Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Attività di trattamento descritte nell’Allegato 1.

Ruolo (titolare del trattamento/responsabile del trattamento): Responsabile del trattamento dei dati

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di interessati i cui dati personali vengono trasferiti

Fare riferimento all’Allegato 1

Categorie di dati personali trasferiti

Fare riferimento all’Allegato 1

Dati sensibili trasferiti (se applicabile) e restrizioni o misure di salvaguardia applicate che tengano pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio limitazioni di scopo rigorose, restrizioni di accesso (incluso l’accesso solo per il personale che ha seguito una formazione specializzata), tenere un registro di accesso ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

Fare riferimento all’Allegato 1

La frequenza del trasferimento (ad es. se i dati vengono trasferiti su base una tantum o continua).

Fare riferimento all’Allegato 1

Natura del trattamento

Fare riferimento all’Allegato 1

Scopo(i) del trasferimento dei dati e dell’ulteriore trattamento

Fare riferimento all’Allegato 1

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Fare riferimento all’Allegato 1

Per i trasferimenti a (sotto) responsabili del trattamento, specificare anche l’oggetto, la natura e la durata del trattamento

Fare riferimento all’Allegato 2 e al DPA.

C. AUTORITÀ DI SUPERVISORIA
COMPETENTE Identificare l’autorità di controllo competente in conformità alla Clausola 13.

ALLEGATO II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

NOTA SPIEGATORIA:

Le misure tecniche e organizzative devono essere descritte in termini specifici (e non generici). Vedere anche il commento generale alla prima pagina dell’Appendice, in particolare sulla necessità di indicare chiaramente quali misure si applicano a ciascun trasferimento/insieme di trasferimenti.

 Fare riferimento alla documentazione sulla sicurezza.

ALLEGATO III

ELENCO DEI SUB-PROCESSORI

NOTA SPIEGATORIA:

Il presente Allegato deve essere compilato in caso di specifica autorizzazione dei sub-responsabili del trattamento (Clausola 9(a), Opzione 1).

Il titolare del trattamento ha autorizzato l’uso dei seguenti sub-responsabili del trattamento : fare riferimento all’Allegato 2.

[i] Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 ottobre 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. Ciò avverrà in particolare nel caso in cui il titolare del trattamento e il responsabile del trattamento si basino sulle clausole contrattuali tipo incluse nella decisione 2021/915.

[i] L'accordo sullo Spazio economico europeo (accordo SEE) prevede l'estensione del mercato interno dell'Unione europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La legislazione dell'Unione in materia di protezione dei dati, compreso il regolamento (UE) 2016/679, è disciplinata dall'accordo SEE ed è stata incorporata nell'allegato XI dello stesso. Pertanto, qualsiasi divulgazione da parte dell’importatore di dati a una terza parte situata nel SEE non si qualifica come trasferimento successivo ai fini delle presenti Clausole.

[i] Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti Clausole ai sensi del Modulo appropriato, in conformità alla Clausola 7.

[i] Per quanto riguarda l’impatto di tali leggi e pratiche sulla conformità alle presenti Clausole, possono essere considerati elementi diversi come parte di una valutazione complessiva. Tali elementi possono includere un’esperienza pratica pertinente e documentata con precedenti istanze di richieste di divulgazione da parte delle autorità pubbliche o l’assenza di tali richieste, che coprono un lasso di tempo sufficientemente rappresentativo. Ciò si riferisce in particolare ai registri interni o ad altra documentazione, redatta su base continuativa in conformità con la due diligence e certificata a livello di dirigenza senior, a condizione che tali informazioni possano essere legalmente condivise con terze parti. Laddove si faccia affidamento su questa esperienza pratica per concludere che all’importatore di dati non sarà impedito di rispettare le presenti Clausole, deve essere supportato da altri elementi pertinenti e oggettivi, ed è compito delle Parti valutare attentamente se questi elementi insieme abbiano un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di questa conclusione. In particolare, le Parti devono tener conto del fatto che la loro esperienza pratica sia corroborata e non contraddetta da informazioni accessibili al pubblico o altrimenti accessibili, affidabili sull’esistenza o assenza di richieste all’interno dello stesso settore e/o sull’applicazione della legge nella pratica, come la giurisprudenza e le relazioni di organismi di vigilanza indipendenti.