Addendum relativo al trattamento dei dati

Ultimo aggiornamento: 21 marzo 2023

Il presente Addendum relativo al trattamento dei dati ("DPA") intercorso tra l'utente e qualsivoglia altra società o azienda dall'utente rappresentata, se del caso (collettivamente, "Cliente"), e la Parte contraente VistaPrint ("VistaPrint"), secondo quanto applicabile ai sensi dell'Accordo, viene incorporato a titolo di riferimento. Inoltre, il presente Addendum completa e rientra tra le condizioni che disciplinano l'utilizzo dei diversi Servizi VistaPrint, comprese le modifiche periodiche che potrebbero esservi apportate (collettivamente, "Accordo"). Il presente DPA verrà applicato qualora VistaPrint agisca in qualità di Fornitore di servizi o di Responsabile del trattamento dei Dati personali (a seconda del caso) per conto del Cliente e ai sensi dell'Accordo. Il presente DPA entrerà in vigore a partire dalla Data di entrata in vigore dell'Accordo e resterà in vigore fino alla risoluzione di detto Accordo. Inoltre, sostituirà qualsivoglia condizione precedentemente applicabile relativamente alla materia oggetto dell'Accordo.

1. DEFINIZIONI

Per "Nazione idonea" si intende, a seconda del caso: (i) un luogo in cui viene applicato il GDPR dell'Unione Europea, ad esempio una nazione o un'area geografica rientranti nello Spazio Economico Europeo ("SEE") o il cui livello di sicurezza in materia di protezione dei dati è considerato idoneo dalla Commissione Europea; (ii) un luogo in cui viene applicato il GDPR del Regno Unito, il Regno Unito stesso o una nazione o un'area geografica il cui livello di sicurezza in materia di protezione dei dati è considerato idoneo ai sensi della Sezione 17A dello UK Data Protection Act del 2018 (la legge britannica in materia di protezione dei dati personali), delle sue modifiche o di eventuali documenti sostitutivi; infine, (iii) un luogo in cui vengono applicati la FADP (la Legge federale sulla protezione dei dati) svizzera, nonché i relativi documenti sostitutivi e le eventuali modifiche, la Svizzera stessa o una nazione o un'area geografica, al di fuori del territorio svizzero, il cui livello di sicurezza in materia di protezione dei dati è considerato idoneo dall'Incaricato federale della protezione dei dati e della trasparenza.

Per "Scopo commerciale" si intende il solo scopo delineato specificamente nell'Allegato I per il quale VistaPrint deve ricevere o avere accesso ai Dati personali.

Per "Leggi in materia di protezione dei dati" si intendono tutte le leggi e le normative pertinenti in materia di riservatezza e protezione dei dati applicabili a una parte, incluse, a titolo esemplificativo ma non limitativo e a seconda del caso, le Leggi in materia di Protezione dei Dati dell'Unione Europea e le Leggi in materia di Protezione dei Dati degli Stati Uniti nonché qualsivoglia altra legge statale o nazionale, modifica o documento sostitutivo in materia di sicurezza, riservatezza e protezione dei dati applicabile alla fornitura dei Servizi.

Per "Dati personali degli utenti finali" si intendono i Dati personali appartenenti a fruitori e utenti dei servizi del Cliente. Detti dati vengono trattati da VistaPrint per conto del Cliente in relazione alla fornitura dei Servizi.

Per "Leggi in materia di Protezione dei Dati dell'Unione Europea" si intendono: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati o "GDPR dell'Unione Europea"), (ii) il GDPR incorporato e interpretato secondo il diritto del Regno Unito ai sensi della Sezione 3 dello European Union (Withdrawal) Act del 2018 (il "GDPR del Regno Unito"); (iii) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e le relative ordinanze ("FADP"); (iv) la Direttiva 2002/58/CE dell'Unione Europea relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e infine (v) le leggi vigenti negli Stati Membri dell'Unione Europea o del Regno Unito stipulate nel rispetto o ai sensi di quanto indicato nelle voci da (i) a (iii) nonché i relativi documenti sostitutivi e le relative modifiche periodicamente apportate.

Termini quali "Dati personali", "Soggetto interessato", "Trattare" o "Trattamento", "Titolare del trattamento" e "Responsabile del trattamento" avranno il significato stabilito dalle Leggi applicabili in materia di protezione dei dati o, diversamente, dal GDPR, mentre termini quali "Azienda" e "Fornitore di servizi" avranno il significato stabilito dal CCPA.

Il termine "Servizi" indica i diversi servizi che VistaPrint fornisce al Cliente tramite il proprio sito web, nella misura in cui VistaPrint agisce in qualità di Fornitore di servizi di trattamento o Fornitore di servizi (a seconda del caso) per conto del Cliente ai sensi del relativo Accordo e, a titolo esemplificativo ma non limitativo, dell'Accordo relativo all'utilizzo del Programma ProAdvantage e dei Termini e condizioni d'uso del Programma ProShop.

Il termine "Clausole contrattuali standard" o "CCS" indica (i) i casi in cui si applicano il GDPR dell'Unione Europea e/o la FADP svizzera, le clausole contrattuali standard dell'Unione Europea approvate dalla Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 ("CCS dell'Unione Europea") e (ii) i casi in cui si applica il GDPR del Regno Unito, le CCS dell'Unione Europea secondo le modifiche apportate dall'Addendum al Trasferimento Internazionale dei Dati alle Clausole contrattuali standard dell'Unione Europea come rilasciato dall'Ufficio del commissario all'informazione del Regno Unito ("Addendum del Regno Unito"), nonché i relativi documenti sostitutivi e le relative modifiche periodicamente apportate. Le CCS dell'Unione Europea e l'Addendum del Regno Unito sono incorporati al presente DPA, di cui costituiscono una parte integrante, a titolo di riferimento.

Il termine "Sub-responsabili di trattamento" indica qualsivoglia affiliato di o ente assunto da VistaPrint che dovrà supportare VistaPrint nell'adempimento dei propri obblighi ai sensi dell'Accordo o del presente DPA.

Il termine "Valutazione del rischio di trasferimento" indica le garanzie aggiuntive atte a integrare le garanzie fornite dalle CCS e dall'Addendum del Regno Unito.

Il termine "Leggi in materia di Protezione dei Dati degli Stati Uniti" indica tutte le leggi e le normative applicabili in materia di riservatezza, protezione e sicurezza dei dati di qualsiasi giurisdizione degli Stati Uniti (nonché i relativi documenti sostitutivi e le relative modifiche periodicamente apportate). Tra dette leggi rientrano, a titolo puramente esemplificativo e a seconda del caso, il California Consumer Privacy Act, modificato dal California Privacy Rights Act, e le normative emanate ai sensi del California Consumer Privacy Act (collettivamente, "CCPA"), nonché il Virginia Consumer Data Protection Act, il Colorado Privacy Rights Act, il Connecticut Data Privacy Act e lo Utah Consumer Privacy Act.

Eventuali altri termini riportati in maiuscolo non definiti nel presente DPA avranno il significato conferito loro all'interno dell'Accordo.

2. RUOLI E AMBITO DEL TRATTAMENTO

2.1. Ruoli delle parti. Le parti accettano, relativamente alle attività di Trattamento dei Dati personali degli utenti finali ai sensi del presente DPA, il ruolo del Cliente in qualità di Titolare del trattamento o Azienda (a seconda del caso) e di VistaPrint in qualità di Responsabile del trattamento dei dati o di Fornitore di servizi (a seconda del caso).

Il Cliente riconosce il ruolo di VistaPrint in qualità di Titolare indipendente del trattamento in relazione ai Dati personali raccolti direttamente dai clienti o dai fruitori tramite le applicazioni e i servizi dedicati atti a stabilire un contatto diretto con i consumatori.

2.2. Ambito del trattamento. Ciascuna parte dovrà agire nel rispetto di tutte le Leggi applicabili in materia di protezione dei dati e adempiere ai propri obblighi ai sensi dell'Accordo e del presente DPA, relativamente al Trattamento dei Dati personali degli utenti finali secondo quanto descritto nell'Allegato I. Fermo restando quanto sopra dichiarato, VistaPrint garantirà gli stessi livelli di tutela della privacy previsti a livello aziendale ai sensi del CCPA.

3. OBBLIGHI DELLE PARTI

3.1. Obblighi del Cliente. Relativamente all'utilizzo dei Servizi forniti da VistaPrint:

(i) il Cliente dichiara e garantisce di aver informato i Soggetti interessati, di aver stabilito le basi giuridiche e di aver ottenuto le autorizzazioni necessarie ai sensi delle Leggi applicabili in materia di protezione dei dati per consentire a VistaPrint, e ai relativi Fornitori secondari di servizi di trattamento, di Trattare i Dati personali degli utenti finali per suo conto e di fornire i Servizi ai sensi dell'Accordo completo del presente DPA.

(ii) Il Cliente sarà l'unico responsabile per quanto riguarda la veridicità e la qualità dei Dati personali degli utenti finali forniti nonché della liceità del canale tramite il quale detti Dati personali degli utenti finali vengono acquisiti, divulgati e trattati. Il Cliente sarà il solo responsabile della propria conformità alle Leggi in materia di protezione dei dati relativamente alla raccolta e al trattamento indipendenti dei Dati personali non direttamente ricollegabili alla fornitura dei Servizi.

(iii) Il Cliente fornirà a VistaPrint le linee guida necessarie per il trattamento dei Dati personali dei clienti finali per suo conto, ai sensi del presente DPA. Inoltre, dovrà assicurarsi che le linee guida fornite a VistaPrint rispettino le Leggi applicabili in materia di protezione dei dati. Il presente DPA e l'Accordo costituiscono le linee guida complete e definitive fornite dal Cliente a VistaPrint. Eventuali linee guida aggiuntive non rientranti nell'ambito dell'Accordo o del presente DPA dovranno essere discusse e analizzate separatamente, in forma scritta. Anche eventuali commissioni aggiuntive esigibili da VistaPrint nei confronti del Cliente relativamente all'adempimento di dette linee guida aggiuntive andranno discusse separatamente.

3.2. Obblighi di VistaPrint. In relazione al Trattamento dei Dati personali degli utenti finali, VistaPrint dovrà:

(i) limitarsi a Trattare i Dati personali dell'utente finale esclusivamente a Scopo commerciale e in ottemperanza alle linee guida del Cliente, nella misura in cui dette linee guida risultino compatibili con l'Accordo e con il presente DPA;

(ii) gestire i Dati personali degli utenti finali come informazioni riservate e Trattarli solo nelle modalità e nella misura necessarie all'adempimento dei propri obblighi ai sensi dell'Accordo e per le finalità specificate nell'Allegato I riportato di seguito. VistaPrint non potrà Trattare i Dati personali degli utenti finali per nessun'altra finalità, salvo diversamente previsto per legge. In tal caso, VistaPrint dovrà informare il Cliente circa detto requisito giuridico per iscritto prima di procedere al Trattamento, salvo qualora detta legge vieti l'utilizzo di tali informazioni per giustificati motivi di pubblico interesse;

(iii) collaborare con il Cliente all'adempimento dei propri obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati. Tra detti obblighi rientrano, a titolo esemplificativo e non limitativo: lo svolgimento di valutazioni obbligatorie dell'impatto sulla privacy o la richiesta di consulenza ad autorità garanti per la protezione dei dati personali, su ragionevole richiesta da parte del Cliente;

(iv) comunicare al Cliente qualsivoglia potenziale violazione delle Leggi applicabili in materia di protezione dei dati riscontrata all'interno delle linee guida fornite relativamente alle attività di Trattamento. In tal caso, VistaPrint si riserverà il diritto di interrompere il Trattamento dei Dati personali degli utenti finali fino a quando il Cliente non avrà fornito nuove linee guida. Inoltre, VistaPrint non sarà responsabile nei confronti del Cliente per quanto riguarda eventuali mancate forniture dei Servizi, secondo quanto definito nell'Accordo, durante tale periodo;

(v) garantire che i propri dipendenti e Fornitori secondari di servizi di trattamento aventi accesso ai Dati personali degli utenti finali siano vincolati da obblighi di riservatezza adeguati;

(vi) avvisare il Cliente qualora non fosse più in grado di adempiere ai propri obblighi ai sensi del presente DPA o delle Leggi in materia di protezione dei dati;

(vii) comunicare al Cliente in modo tempestivo qualsiasi richiesta presentata dai Soggetti interessati o dalle forze dell'ordine in merito al Trattamento dei Dati personali degli utenti finali, in modo tale che il Cliente possa rispondervi in modo puntuale e infine

(viii) fornire in modo tempestivo la propria collaborazione e il proprio supporto, secondo quanto ragionevolmente richiesto dal Cliente, al fine di adempiere agli obblighi riportati ai sensi delle Leggi in materia di protezione dei dati in relazione alle richieste presentate dai Soggetti interessati o a qualsiasi richiesta presentata dalle autorità di supervisione o dagli enti governativi rilevanti.

Nella misura consentita dalle Leggi applicabili in materia di protezione dei dati, VistaPrint potrà avvalersi dell'utilizzo di dati aggregati e resi anonimi ricavati dai Dati personali degli utenti finali ("Dati resi anonimi") per uso interno al fine di impostare e migliorare la qualità dei Servizi forniti, a condizione che tali Dati resi anonimi non siano considerati Dati personali ai sensi delle Leggi applicabili in materia di protezione dei dati.

3.3. Attività di Trattamento vietate per VistaPrint. VistaPrint non potrà:

(i) rivendere o condividere (secondo quanto riportato nel CCPA) i Dati personali degli utenti finali o conservare, utilizzare o divulgare tali dati per diversi Scopi commerciali (secondo quanto riportato nel CCPA) o in un contesto esterno rispetto al diretto rapporto commerciale con il Cliente e rispetto alle autorizzazioni scritte fornite dal Cliente stesso e

(ii) fondere o combinare i Dati personali degli utenti finali con i propri dati o con i dati di eventuali terze parti, se non quando strettamente necessario alla fornitura dei Servizi.

VistaPrint dichiara di aver compreso e di adempiere alle limitazioni relative all'utilizzo dei Dati personali degli utenti finali in relazione ai Servizi indicati nel presente DPA.

4. DIRITTI DEL SOGGETTO INTERESSATO

VistaPrint dovrà, nel limite delle proprie capacità e nel rispetto della legislazione applicabile, tenere conto della natura del Trattamento e fornire il supporto necessario al Cliente per rispondere alle richieste presentate dai Soggetti interessati relativamente all'esercizio dei propri diritti ai sensi delle Leggi applicabili in materia di protezione dei dati. Il Cliente dovrà coprire i costi sostenuti da VistaPrint relativi alla fornitura del proprio supporto. Qualora una richiesta venga inoltrata direttamente a VistaPrint, quest'ultima sarà tenuta a informare il Cliente, salvo qualora detta comunicazione sia vietata per legge. A sua volta, il Cliente sarà l'unico responsabile a dover fornire una risposta a tale richiesta. VistaPrint non si assume alcuna responsabilità relativamente alle informazioni fornite in buona fede al Cliente ai sensi della presente Sezione.

5. SUB-RESPONSABILI DI TRATTAMENTO

5.1. Autorizzazione generale. Con la presente, il Cliente autorizza VistaPrint ad assumere Sub-responsabili di trattamento (inclusi gli Affiliati) ai quali affidare il trattamento dei Dati personali degli utenti finali. Tale trattamento sarà necessario per fornire i Servizi e adempiere agli obblighi indicati ai sensi dell'Accordo e del presente DPA. Nel rispetto delle disposizioni in materia di riservatezza delineate nell'Accordo e su richiesta da parte del Cliente, VistaPrint fornirà al Cliente un elenco completo dei Sub-responsabili di trattamento assunti.

5.2. Obblighi. VistaPrint applicherà ai Fornitori secondari di servizi di trattamento i suoi stessi obblighi contrattuali ai sensi del presente DPA, nella misura applicabile relativamente alla natura dei Servizi forniti da tali Sub-responsabili.

5.3. Diritto di opposizione per i nuovi Sub-responsabili di trattamento. L'assunzione di un nuovo Sub-responsabili di trattamento dovrà essere comunicata al Cliente in modo preventivo, non appena ragionevolmente possibile, nel caso e nella misura in cui tale assunzione sia ricollegabile alla fornitura dei Servizi pertinenti.

5.3.1. Il Cliente può opporsi alla nomina o alla sostituzione di un Sub-responsabili da parte di VistaPrint per iscritto entro un periodo di dieci (10) giorni lavorativi dal ricevimento della comunicazione, sulla base di ragionevoli motivi relativi alle leggi applicabili sulla protezione dei dati. In tal caso, VistaPrint può, a sua esclusiva discrezione, scegliere di compiere sforzi commerciali ragionevoli (ma non è obbligata a farlo) per mettere a disposizione dell'utente una soluzione alternativa per evitare il trattamento dei Dati personali degli Utenti finali da parte del nuovo o del sostituto Sub-responsabili. Fino a quando VistaPrint non prenderà una decisione in merito all'opposizione dell'Utente, VistaPrint potrebbe essere tenuta a sospendere temporaneamente il trattamento dei relativi Dati Personali dell'Utente finale, incluso, se necessario, sospendere o limitare l'accesso all'Account dell'Utente o sospendere o limitare alcune funzioni dei Servizi offerti all'Utente. Se VistaPrint è ragionevolmente in grado di fornire i Servizi al Cliente in conformità al Contratto senza utilizzare il Sub-responsabili e decide a sua discrezione di farlo, il Cliente non avrà ulteriori diritti ai sensi della presente Sezione in relazione all'uso proposto del Sub-responsabili.

5.3.2. Se VistaPrint, a sua discrezione, richiede l'uso del Sub-responsabili e non è in grado di soddisfare l'obiezione del Cliente in merito all'uso proposto del nuovo o del sostituto Sub-responsabili entro trenta (30) giorni dal ricevimento della valida obiezione motivata, il Cliente può rescindere il Contratto applicabile a partire dalla data in cui VistaPrint inizierà a utilizzare il nuovo o il sostituto Sub-responsabili esclusivamente in relazione ai Servizi che utilizzeranno il nuovo Sub-responsabili proposto per il trattamento dei Dati personali, fornendo una comunicazione scritta a VistaPrint. Tale cessazione non pregiudica eventuali spese sostenute dall'Utente prima della cessazione dei Servizi interessati e l'Utente non avrà ulteriori pretese nei confronti di VistaPrint in relazione alla cessazione dei Servizi interessati.

5.3.3. Se il Cliente non si oppone per iscritto alla nomina di un nuovo Subprocessore da parte di VistaPrint entro dieci (10) giorni lavorativi dal ricevimento della comunicazione, il Cliente accetta di essere considerato come se avesse acconsentito a tale nuovo Sub-responsabili.

5.4. Responsabilità. VistaPrint rimane responsabile per qualsiasi violazione del presente DPA causata da un atto o da un'omissione dei suoi Sub-responsabili, nella stessa misura in cui VistaPrint è responsabile per i propri, salvo quanto diversamente stabilito nell'Accordo.

6. TRASFERIMENTI INTERNAZIONALI DI DATI

6.1. Generale. Nell'ambito della fornitura dei Servizi, il Cliente conferisce a VistaPrint, ai suoi Affiliati e ai Sub-responsabili di servizi di trattamento l'autorizzazione a conservare, Trattare e trasferire i Dati personali degli utenti finali in qualunque parte del mondo in cui VistaPrint, gli Affiliati e i Sub-responsabili di trattamento svolgono operazioni di trattamento dei dati. Qualora i Dati personali provenienti dall'Unione Europea, dal Regno Unito o dalla Svizzera vengano trasferiti in territori al di fuori dello Spazio Economico Europeo (SEE), del Regno Unito o della Svizzera, VistaPrint potrà Trattare o autorizzare il Trattamento di tali Dati personali al di fuori di dette aree solamente qualora venga rispettato uno dei requisiti di seguito elencati:

a) i Dati personali degli utenti finali provenienti dall'Unione Europea, dal Regno Unito o dalla Svizzera verranno trasferiti in una Nazione idonea oppure

b) sono state poste in essere le Clausole contrattuali standard e la Valutazione del rischio di trasferimento tra VistaPrint e il Cliente e/o tra VistaPrint e i Fornitori secondari, a seconda del caso.

6.2. Trasferimenti di Dati personali provenienti dall'Unione Europea. Qualora i Dati personali vengano trasferiti da una qualsivoglia giurisdizione all'interno del SEE in cui la natura internazionale dei trasferimenti è disciplinata dal GDPR, le CCS dell'Unione Europea formeranno parte del presente DPA e saranno ritenute completate come segue:

(i) le condizioni del Modulo due (dal Titolare del trattamento al Responsabile del trattamento) si applicheranno qualora il Cliente fosse il Titolare del trattamento, nonché l'esportatore dei Dati personali, e qualora VistaPrint fosse il Responsabile del trattamento, nonché l'importatore di tali Dati personali.

(ii) le condizioni del Modulo tre (dal Responsabile del trattamento al Responsabile del trattamento) si applicheranno qualora VistaPrint fosse un Responsabile del trattamento, nonché l'esportatore dei Dati personali, che agisce per conto del Titolare del trattamento e qualora il Sub-responsabili di trattamento fosse un Responsabile del trattamento nonché l'importatore di tali Dati personali.

(iii) Verrà applicata la Clausola 7, lettere da (a) a (c);

(iv) Verrà applicata la Clausola 9, Opzione 2 e le tempistiche dedicate alla comunicazione di eventuali cambiamenti relativi ai Fornitori secondari dovranno rispettare i nuovi termini di notifica delineati nelle dichiarazioni relative ai Fornitori secondari riportate nel presente DPA.

(v) Non sarà applicata la Clausola 11;

(vi) verrà applicata la Clausola 17, Opzione 1 e le CCS dell'Unione Europea saranno disciplinate dalla legislazione indicata nell'Accordo, a condizione che detta legislazione appartenga a uno degli Stati membri dell'Unione Europea in cui vengono riconosciuti i diritti del terzo beneficiario. In caso contrario, verrà applicata la legislazione vigente nei Paesi Bassi;

(vii) secondo la Clausola 18, lettera (b), la risoluzione delle controversie avrà luogo presso i tribunali indicati nell'Accordo, a condizione che detti tribunali abbiano sede in uno Stato membro dell'Unione Europea. In caso contrario, contrario, dette risoluzioni avverranno presso un tribunale avente sede nei Paesi Bassi. In ogni caso, le Clausole 17 e 18 lettera (b) dovranno essere coerenti in merito alla scelta del foro e della giurisdizione. Detta scelta dovrà infatti ricadere sullo stato della legislazione vigente selezionata;

(viii) gli Allegati delle CCS dell'Unione Europea andranno completati con le informazioni pertinenti riportate nell'Allegato I, nell'Allegato II e nell'Allegato III del presente DPA e

(ix) qualora e nel caso in cui le CCS dell'Unione Europea entrassero in conflitto con una qualsiasi delle dichiarazioni riportate nel presente DPA, le CCS dell'Unione Europea avranno prevalenza nel contesto di tale conflitto.

6.3. Trasferimenti di Dati personali provenienti dal Regno Unito. Qualora i Dati personali provenienti dal Regno Unito vengano trasferiti e qualora la natura di tale trasferimento internazionale sia disciplinata dal GDPR del Regno Unito, si applicheranno le CCS dell'Unione Europea menzionate nella Sezione 6.2 di cui sopra, insieme all'Addendum del Regno Unito. Dette CCS saranno ritenute completate come segue:

(i) le Tabelle da 1 a 3 della Parte 1 dell'Addendum del Regno Unito saranno considerate completate una volta incluse le informazioni contenute negli Allegati e nel presente DPA;

(ii) la Tabella 4 della Parte 2 dell'Addendum del Regno Unito sarà considerata completata una volta selezionata la voce "importatore" e infine

(iii) qualsivoglia conflitto tra le CCS dell'Unione Europea e l'Addendum del Regno Unito andrà risolto secondo le modalità definite nella Sezione 10 e nella Sezione 11 dell'Addendum del Regno Unito.

6.4. Trasferimenti di Dati personali provenienti dalla Svizzera. Qualora i Dati personali vengano trasferiti dalla Svizzera secondo modalità che comportano determinati obblighi riportati nella Legge federale svizzera sulla protezione dei dati ("FADP"), a detti trasferimenti si applicheranno le CCS dell'Unione Europea, le quali dovranno essere ritenute adeguatamente modificate in modo tale da poter incorporare riferimenti e definizioni pertinenti utili a convertire dette CCS in uno strumento di gestione dei trasferimenti idoneo ai sensi della FADP, tra cui, a titolo esemplificativo e non limitativo:

(i) l'autorità di supervisione competente riportata nell'Allegato I.C delle CCS dell'Unione Europea ai sensi della Clausola 13 sarà l'Incaricato federale svizzero della protezione dei dati e della trasparenza;

(ii) la legislazione applicabile a controversie insorte a livello contrattuale secondo quanto riportato nella Clausola 17 delle CCS dell'Unione Europea sarà la legislazione svizzera o la legislazione di un paese in cui vengono riconosciuti e garantiti i diritti del terzo beneficiario;

(iii) il termine "stato membro" utilizzato nelle CCS dell'Unione Europea non verrà interpretato in modo tale da impedire ai Soggetti interessati residenti in Svizzera di intentare una causa al fine di far valere i propri diritti all'interno del proprio paese di residenza (la Svizzera), conformemente alla Clausola 18, lettera (c) e infine

(iv) le CCS dell'Unione Europea dovranno proteggere i dati appartenenti alle persone giuridiche fino all'entrata in vigore della FADP completa delle modifiche necessarie.

6.5. Misure di sicurezza aggiuntive. Qualora VistaPrint dovesse trattare Dati personali appartenenti a Soggetti interessati residenti nello SEE, nel Regno Unito o in Svizzera o soggetti alle Leggi in materia di protezione dei dati vigenti in detti territori, VistaPrint adotterà una serie di misure di sicurezza aggiuntive in relazione al trasferimento di tali Dati personali dai territori citati. Inoltre, VistaPrint provvederà a effettuare una Valutazione del rischio di trasferimento. Il Cliente potrà ricevere i risultati di tale valutazione mediante richiesta per iscritto all'indirizzo e-mail [email protected].

7. SICUREZZA DEI DATI E NOTIFICHE RELATIVE ALLA VIOLAZIONE DEI DATI

7.1. Misure di sicurezza. VistaPrint ha adottato e si impegnerà a mantenere rigorose misure di sicurezza tecniche e organizzative al fine di proteggere i Dati personali degli utenti finali da Trattamenti di natura illecita o non autorizzati, nonché da perdite o alterazioni accidentali ("Incidente relativo alla sicurezza"). Più precisamente, VistaPrint ha adottato le misure di sicurezza tecniche e organizzative elencate nell'Allegato II.

7.2. Notifiche relative alla violazione dei dati. Qualora VistaPrint dovesse venire a conoscenza di un Incidente relativo alla sicurezza ricollegabile ai Dati personali degli utenti finali, prenderà i provvedimenti necessari atti a comunicare detto incidente al Cliente, in modo tempestivo e senza ulteriore ritardo. Inoltre, VistaPrint dovrà:

(i) fornire al Cliente tutte le informazioni necessarie disponibili circa detto Incidente, tenendo conto della natura dei Servizi forniti, delle informazioni a disposizione di VistaPrint e delle limitazioni relative alla divulgazione delle informazioni, come ad esempio il principio di riservatezza;

(ii) su richiesta da parte del Cliente, fornirgli il supporto necessario per poter avvisare le autorità competenti o i Soggetti interessati circa l'avvenuto Incidente, secondo quanto previsto dalle Leggi applicabili in materia di protezione dei dati.

Tra gli Incidenti relativi alla sicurezza non rientrano eventuali violazioni infruttuose o mancate della sicurezza dei Dati personali degli utenti finali. La comunicazione di un Incidente relativo alla sicurezza da parte di VistaPrint o una sua reazione a detto Incidente non costituiscono un riconoscimento di colpa o di responsabilità relativamente a detto Incidente.

8. ATTIVITÀ DI ISPEZIONE E CONTROLLO

8.1. Resoconti delle attività di ispezione e controllo. Su richiesta scritta da parte del Cliente, a intervalli ragionevoli (non più di una volta all'anno) e nel rispetto degli obblighi di riservatezza, VistaPrint potrà fornire una copia dei documenti di riepilogo più recenti relativi alle attività di ispezione e controllo da parte di terzi, inclusi eventuali resoconti o certificazioni, a seconda del caso. Le parti convengono che i diritti del Cliente in relazione a ispezione e controllo descritti nelle Leggi applicabili in materia di protezione dei dati verranno soddisfatti mediante la fornitura, da parte di VistaPrint, dei documenti di riepilogo e/o resoconti sopra indicati.

8.2. Attività di ispezione e controllo da parte delle autorità di supervisione. Qualora un ente governativo o un'autorità di supervisione richiedessero una verifica della conformità alle Leggi applicabili in materia di protezione dei dati, VistaPrint dovrà fornire al Cliente un accesso adeguato alla propria documentazione e ai propri sistemi.

8.3. Informazioni riservate. Qualsiasi informazione fornita da VistaPrint ai sensi della presente Sezione 8 sarà da considerare di natura riservata. Non sarà possibile richiedere a VistaPrint di divulgare segreti aziendali, tra cui algoritmi, codici sorgente, segreti commerciali e informazioni simili.

9. ELIMINAZIONE DEI DATI

Le parti convengono che, in seguito alla risoluzione del presente DPA su richiesta per iscritto da parte del Cliente, VistaPrint dovrà eliminare tutti i Dati personali degli utenti finali ed eventuali copie di tali dati il prima possibile, in modo sicuro e in conformità alle condizioni dell'Accordo e alle leggi applicabili. Inoltre, dovrà assicurarsi che anche i Sub-respinsabili assunti compiano la medesima procedura. Fermo restando quanto sopra, VistaPrint avrà la facoltà di conservare una parte di o tutti i Dati personali degli utenti finali divulgati qualora previsto dall'Accordo o dalla legge o dalla normativa applicabile (incluse le Leggi applicabili in materia di protezione dei dati), a condizione che tali Dati personali degli utenti finali siano conservati in modo sicuro ai sensi del presente DPA e delle Leggi applicabili in materia di protezione dei dati.

10. VARIE

10.1. Gerarchia. Qualora dovessero insorgere incongruenze o conflitti tra le dichiarazioni riportate nel presente DPA e le dichiarazioni presenti nell'Accordo, le dichiarazioni del DPA avranno prevalenza laddove detto conflitto abbia come oggetto il Trattamento dei Dati personali degli utenti finali. Qualora insorgesse un conflitto tra le Clausole contrattuali standard (laddove applicabili), il presente DPA o l'Accordo, avranno prevalenza le Clausole contrattuali standard.

10.2. Aggiornamenti del DPA. VistaPrint avrà la facoltà di modificare il presente DPA periodicamente e secondo necessità e dovrà pubblicare la versione più recente e aggiornata sul sito. Le modifiche e i cambiamenti apportati avranno validità a partire dalla loro pubblicazione. Continuando a utilizzare o ad accedere ai Servizi in seguito all'entrata in vigore di determinate modifiche, il Cliente accetta di essere vincolato dal DPA modificato completo di tali modifiche.

10.3. Diritto applicabile. Il presente DPA sarà disciplinato da e interpretato secondo quanto definito all'interno delle dichiarazioni relative a diritto applicabile e giurisdizione riportate nell'Accordo, salvo quanto diversamente indicato dalle Leggi applicabili in materia di protezione dei dati.

10.4. Limitazione di responsabilità. Qualsivoglia attività prevista dal presente DPA (incluso, a titolo puramente esemplificativo, il Trattamento dei Dati personali degli utenti finali) sarà soggetta alla limitazione di responsabilità applicabile indicata all'interno dell'Accordo.

10.5 Contatti. Qualora vi fossero dubbi o domande in relazione al presente DPA, occorrerà contattare il Responsabile della protezione dei dati all'indirizzo [email protected]. VistaPrint si adopererà per risolvere eventuali reclami ricollegabili all'utilizzo dei Dati personali degli utenti finali relativamente al presente DPA e all'Accordo.

ALLEGATO I - DESCRIZIONE DEL TRATTAMENTO/TRASFERIMENTO

A. ELENCO DELLE PARTI

Esportatore/i di dati:

  • Nome: il soggetto identificato come "Cliente" o con il nome indicato nell'account del Cliente.
  • Indirizzo: l'Indirizzo di fatturazione del Cliente indicato nell'account del Cliente.
  • Nome, posizione e dati di contatto del referente: le informazioni di contatto indicate nell'account del Cliente.
  • Attività relative ai dati trasferiti ai sensi delle presenti Clausole: qualsiasi attività rilevante ai fini della ricezione dei Servizi forniti da VistaPrint in relazione all'Accordo.
  • Firma e data: sottoscrivendo il presente DPA, il soggetto esportatore di dati sarà considerato firmatario anche delle Clausole contrattuali standard e degli Allegati incorporati al presente documento a partire dalla Data di entrata in vigore del DPA.
  • Ruolo ricoperto (Titolare del trattamento/Responsabile del trattamento): Titolare del trattamento.

Importatore/i di dati:

  • Nome: la Parte contraente VistaPrint secondo quanto applicabile ai sensi dell'Accordo.
  • Indirizzo: l'indirizzo della Parte contraente VistaPrint secondo quanto applicabile ai sensi dell'Accordo.
  • Nome, posizione e dati di contatto del referente: [email protected].
  • Attività relative ai dati trasferiti ai sensi delle presenti Clausole: trattamento dei Dati personali in relazione all'utilizzo dei Servizi di VistaPrint da parte del Cliente.
  • Firma e data: sottoscrivendo il presente DPA, il soggetto importatore di dati sarà considerato firmatario anche delle Clausole contrattuali standard e degli Allegati incorporati al presente documento a partire dalla Data di entrata in vigore del DPA.
  • Ruolo ricoperto (Titolare del trattamento/Responsabile del trattamento): Responsabile del trattamento.

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie dei Soggetti interessati: Tra i Soggetti interessati rientrano, a titolo puramente esemplificativo:

  • Utenti finali (persone fisiche), quali potenziali clienti o clienti già acquisiti, consumatori o fruitori, tutti considerabili utenti dei servizi del Cliente.
  • Rappresentanti, dipendenti, candidati, agenti, consulenti, lavoratori autonomi, partner commerciali, ditte in subappalto e/o collaboratori (persone fisiche) del Cliente, siano essi attuali, potenziali o precedenti.
  • Terze parti con cui il Cliente decide di instaurare un rapporto grazie ai propri Servizi.

Categorie di dati personali: dati personali inviati nel rispetto del campo di applicazione e della natura determinati dal Titolare del trattamento, a sua esclusiva discrezione.

Dati sensibili trasferiti (a seconda del caso) e limitazioni o misure di sicurezza applicate: le parti non potranno anticipare il trasferimento di dati sensibili.

Frequenza dei trasferimenti: in modo continuativo, a seconda dell'utilizzo dei Servizi da parte del Cliente.

Natura del trattamento: svolgimento e fornitura dei Servizi ai sensi dell'Accordo.

Finalità del trasferimento dei dati e ulteriore trattamento: avremo la facoltà di utilizzare i Dati personali forniti per le finalità di seguito elencate (nonché per le attività a esse correlate), ai sensi dell'Accordo e nel rispetto dei Dati personali degli utenti finali:

  • Fornitura dei Servizi;
  • Esecuzione delle istruzioni;
  • Esecuzione e applicazione dell'Accordo e del presente DPA;
  • Tutela dei nostri diritti;
  • Prevenzione, indagine e contenimento di attività fraudolente, di potenziali errori, di rischi e incidenti correlati alla sicurezza dei dati nonché di attività illecite o vietate per legge;
  • Adempimento alle leggi e alle normative applicabili

Periodo di tempo durante il quale verranno conservati i dati personali o, qualora ciò non fosse possibile, criteri utilizzati per determinare detto periodo: VistaPrint potrà conservare i Dati personali fino alla risoluzione dell'Accordo e secondo quanto riportato nella Sezione 9 del DPA, salvo quanto diversamente stabilito dall'Accordo.

Per quanto riguarda i Responsabile del trattamento e i Sub-responsabili, sarà necessario specificare il motivo, la natura e la durata del trattamento: i Sub-responsabili tratteranno i Dati personali secondo necessità per poter fornire i Servizi secondo quanto definito all'interno dell'Accordo e per l'intera durata dell'Accordo, salvo diverso accordo per iscritto.

C. AUTORITÀ DI SUPERVISIONE COMPETENTE

Identificare l'una o più autorità di supervisione competenti secondo quanto indicato nella Clausola 13: il Garante olandese per la privacy (Dutch Data Protection Authority), salvo diversamente previsto dalla Sezione 6 del DPA.

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE INCLUSE LE MISURE TECNICHE E ORGANIZZATIVE ATTE A GARANTIRE LA SICUREZZA DEI DATI

Attualmente, VistaPrint adotta le misure di sicurezza tecniche e organizzative di seguito elencate al fine di proteggere i Dati personali e per mantenerli intatti e riservati. VistaPrint potrà modificare dette misure a sua esclusiva discrezione. Qualsivoglia modifica apportata non comporterà un abbassamento dei livelli di sicurezza e protezione dei Dati personali.

1- VistaPrint vieta, ai soggetti non autorizzati, l'accesso ai sistemi mediante i quali vengono trattati o utilizzati i Dati personali (controllo relativo all'accesso fisico); nello specifico, tale divieto viene messo in atto adottando le misure e i dispositivi seguenti:

  • Controllo degli accessi a settori sensibili o critici
  • Registrazione degli incidenti
  • Sistemi automatizzati di controllo degli accessi
  • Lettori ID o di carte dotate di chip
  • Formazione del personale riguardo la consapevolezza dei rischi informatici

2- VistaPrint vieta, ai soggetti non autorizzati, l'utilizzo dei sistemi di trattamento dei dati (controllo relativo all'accesso logico); nello specifico, tale divieto viene messo in atto adottando le misure e i dispositivi seguenti:

  • Dispositivi di rete, come ad esempio sistemi anti-intrusione, router e firewall.
  • Modalità di accesso sicure tramite credenziali quali nome utente/password e, ove necessario, autenticazione a più fattori e password conformi a determinati criteri di complessità.
  • Blocco obbligatorio delle postazioni di lavoro incustodite. Verranno implementate password salvaschermo atte a garantire un blocco automatico della postazione qualora l'utente si dimenticasse di bloccarla.
  • Registrazione e analisi dell'utilizzo dei sistemi.
  • Autorizzazione di accesso ai sistemi critici contenenti Dati personali concessa in base al ruolo ricoperto.
  • Svolgimento di regolari procedure di aggiornamento dei sistemi, soprattutto relativamente a vulnerabilità note.
  • Cifratura dei dischi rigidi portatili.
  • Monitoraggio di eventuali vulnerabilità relative alla sicurezza presenti all'interno di sistemi critici.
  • Utilizzo e regolare aggiornamento dei software antivirus.
  • Dispositivi di rete, come ad esempio sistemi anti-intrusione, router e firewall.
  • Conformità allo Standard di sicurezza dei dati PCI (Payment Card Industry, relativo al Settore dei pagamenti tramite carta).

3- VistaPrint garantisce che i soggetti autorizzati a utilizzare un determinato sistema accedano unicamente ai dati a cui hanno il diritto di accedere e che durante il Trattamento, l'utilizzo o la conservazione, i Dati personali non possano essere letti, copiati, modificati o eliminati senza autorizzazione (controllo di accesso ai dati); quanto appena descritto viene garantito mediante l'adozione e l'utilizzo delle misure e dei dispositivi seguenti:

  • Dispositivi di rete, come ad esempio sistemi anti-intrusione, router e firewall.
  • Modalità di accesso sicure tramite credenziali quali nome utente/password e, ove necessario, autenticazione a più fattori e password conformi a determinati criteri di complessità.
  • Registrazione e analisi dell'utilizzo dei sistemi.
  • Accesso ai sistemi critici contenenti Dati personali consentito in base al ruolo ricoperto.
  • Cifratura dei dischi rigidi portatili.
  • Utilizzo e regolare aggiornamento dei software antivirus.
  • Conformità allo Standard di sicurezza dei dati PCI (Payment Card Industry, relativo al Settore dei pagamenti tramite carta).

4- VistaPrint garantisce che i Dati personali non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante il trasporto, la trasmissione o la conservazione di tali dati in formato elettronico. Quanto appena descritto viene garantito mediante l'adozione e l'utilizzo delle misure e dei dispositivi seguenti:

  • Modalità di accesso sicure tramite credenziali quali nome utente/password e, ove necessario, autenticazione a più fattori e password conformi a determinati criteri di complessità.
  • Protocolli di trasmissione sicuri.
  • Registrazione e analisi dell'utilizzo dei sistemi.
  • Accesso ai sistemi critici contenenti Dati personali consentito in base al ruolo ricoperto.
  • Dispositivi di rete, come ad esempio sistemi anti-intrusione, router e firewall.
  • Utilizzo di una VPN.

5- VistaPrint garantisce che i dati personali vengano trattati unicamente nel rispetto delle politiche aziendali, mediante l'adozione e l'utilizzo delle misure e dei dispositivi seguenti:

  • Formazione obbligatoria per tutto il personale in materia di sicurezza e privacy.
  • Procedure di assunzione del personale in cui, ove consentito dalla legislazione locale, ai candidati che andranno a ricoprire ruoli per cui è previsto l'accesso a dati personali di fondamentale importanza verrà richiesto di compilare un modulo di candidatura estremamente dettagliato.
  • Selezione scrupolosa di personale e fornitori di servizi idonei.
  • Sottoscrizione di contratti appropriati di nomina a responsabile del trattamento per quanto riguarda i fornitori secondari. Tali contratti dovranno prevedere adeguate misure tecniche e organizzative in materia di sicurezza.

6- VistaPrint garantisce che i Dati personali vengano protetti da perdita o distruzione accidentali (controllo della disponibilità); quanto appena descritto viene garantito mediante l'adozione e l'utilizzo delle misure e dei dispositivi seguenti:

  • Frequenti prove relative all'efficacia delle misure di sicurezza implementate.
  • Procedure di backup e sistemi di recupero.
  • Server ridondanti in luoghi separati.
  • Gruppo di continuità e unità di alimentazione ausiliaria.
  • Archivio remoto.
  • Monitoraggio e controllo delle temperature negli ambienti server.
  • Utilizzo e regolare aggiornamento dei software antivirus.
  • Piano di emergenza e di ripristino in caso di disastro.

7- VistaPrint garantisce che i dati raccolti per finalità o motivi diversi possano essere trattati separatamente (controllo della separazione); quanto appena descritto viene garantito mediante l'adozione e l'utilizzo delle misure e dei dispositivi seguenti:

  • Accesso ai sistemi critici contenenti Dati personali consentito in base al ruolo ricoperto.
  • Separazione dei dati relativi ai test e dei dati in tempo reale.
  • Conformità allo Standard di sicurezza dei dati PCI (Payment Card Industry, relativo al Settore dei pagamenti tramite carta).

ALLEGATO III - ELENCO DEI SUB-RESPONSABILI

Qualora il Cliente lo richiedesse, sarà possibile fornire un elenco dei Sub-responsabili assunti completo della ragione relativa a tale assunzione.