Ultimo aggiornamento 19 marzo 2026
Accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati (il “DPA”) fa parte di, ed è soggetto a, i Termini e condizioni consultabili all’indirizzo https://servicechannel.com/terms-and-conditions (“Accordo”) tra ServiceChannel.com, Inc. (di seguito “ServiceChannel”) e l’Appaltatore (come definito nell’Accordo). L’Appaltatore e ServiceChannel sono indicati come una “parte” e congiuntamente come le “parti”.
PREMESSO CHE
(i) L’Appaltatore e ServiceChannel hanno stipulato l’Accordo Quadro sui Servizi ai sensi del quale ServiceChannel fornirà all’Appaltatore i Servizi.
(ii) ServiceChannel tratterà i Contenuti dell’Appaltatore (che possono contenere Dati personali) nel corso della fornitura dei Servizi;
(iii) Le parti ora desiderano stipulare il presente DPA che disciplina il trattamento da parte di ServiceChannel di tali Dati personali presenti nei Contenuti dell’Appaltatore.
TUTTO CIÒ PREMESSO, le parti convengono quanto segue:
1. Definizioni:
Nel presente Accordo sul trattamento, i termini definiti nell’Accordo hanno lo stesso significato di quando vengono utilizzati qui. Inoltre, i seguenti termini avranno i seguenti significati:
(a) “Dati di amministrazione” indica: (i) i dati di contatto relativi a, e il contenuto di, la corrispondenza con il principale titolare o amministratore dell’account del Cliente; (ii) le richieste di supporto inviate dagli utenti autorizzati del Cliente in relazione al Servizio;
(b) “Affiliate” indica qualsiasi entità controllata da, che controlla o che è in comune controllo con ServiceChannel;
(c) “SCC brasiliani” indica le clausole contrattuali standard allegate alla risoluzione n. 19/2024 dell’Agenzia brasiliana per la protezione dei dati (“ANPD”);
(d) “Dati anonimizzati” indica dati creati utilizzando Dati personali dell’Appaltatore che: (i) non possono essere utilizzati per dedurre informazioni su un individuo o essere altrimenti collegati ad un individuo; (ii) non si riferiscono altrimenti a una persona fisica identificata o identificabile;
(e) “CCPA” indica il California Consumer Privacy Act (Legge sulla privacy dei consumatori della California) del 2018, codice civile della California cpv. 1798.100 e seguenti, comprese le sue normative di attuazione e il California Privacy Rights Act (Legge sui diritti di privacy della California) del 2020;
(f) “Finalità del Titolare del trattamento” indica lo svolgimento di ricerche e sviluppo interni per sviluppare, testare, migliorare e alterare la funzionalità dei prodotti e servizi di ServiceChannel; (b) la creazione di serie di Dati anonimizzati per la formazione o la valutazione di prodotti e servizi di ServiceChannel; (c) la gestione del rapporto di ServiceChannel con l’Appaltatore ai sensi dell’Accordo;
(g) “Appaltatore” indica l’Appaltatore che ha sottoscritto l’Accordo Quadro sui Servizi;
(h) “Dati personali dell’Appaltatore” indica i Dati personali presenti nei Contenuti dell’Appaltatore, come ulteriormente descritto nell’Allegato I al presente DPA;
(i) “Leggi sulla protezione dei dati” indica tutte le leggi, le norme, i regolamenti e i requisiti governativi applicabili in materia di privacy, riservatezza o sicurezza dei Dati personali (come eventualmente modificati o altrimenti aggiornati di volta in volta), inclusi (a titolo non esaustivo) il Regolamento generale sulla protezione dei dati (GDPR), il GDPR del Regno Unito, la Legge Brasiliana n. 13.709/2018 e le Leggi statunitensi sulla protezione dei dati;
(j) “Interessato” indica: (i) una persona fisica a cui si riferiscono i Dati personali; e (ii) un soggetto “Interessato”, un “consumatore” o qualsiasi termine equivalente ai sensi delle Leggi sulla protezione dei dati;
(k) “Clausole contrattuali tipo” o “SCC” indica le clausole contrattuali allegate alla Decisione esecutiva della Commissione europea 2021/914 del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali a Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come di volta in volta aggiornate o sostituite;
(l) “GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR dell’UE”) oppure, ove applicabile, il “GDPR del Regno Unito” come definito nella sezione 3(10) e la sezione 205 del Data Protection Act (Legge sulla protezione dei dati) 2018 del Regno Unito;
(m) “Dati personali” indica le informazioni che: (i) si riferiscono, sono collegate o ragionevolmente riconducibili a una persona fisica identificata o identificabile; o (ii) siano altrimenti considerate “dati personali”, “informazioni personali”, “informazioni di identificazione personale” o dati o informazioni definiti in modo simile ai sensi delle Leggi sulla protezione dei dati;
(n) “Trattamento” indica qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza mezzi automatici, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o altra messa a disposizione, il raffronto o l’interconnessione, il blocco, la cancellazione o la distruzione (“Trattare”, “Tratta” e “Trattato” avranno lo stesso significato);
(o) “Vendita” o “Vendere” ha il significato attribuitogli nel CCPA;
(p) “Azioni” ha il significato attribuitogli nel CCPA;
(q) “Violazione della sicurezza” indica una violazione della sicurezza che comporta l’accidentale o illecita distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati personali dell’Appaltatore;
(r) “Clausole contrattuali standard” indica (a seconda dei casi) le SCC dell’UE, l’Addendum del Regno Unito o le SCC brasiliane;
(s) (p) “Sub-responsabile del trattamento” indica qualsiasi entità esterna incaricata da ServiceChannel di trattare le Informazioni personali per conto dell’Appaltatore o al fine di fornire i servizi specificati nell’Accordo;
(t) “Addendum del Regno Unito” indica il modello di addendum, versione B.1.0, emesso dal Commissario per le informazioni del Regno Unito ai sensi dell’S119A (1) del Data Protection Act del Regno Unito del 2018 e presentato dinanzi al Parlamento del Regno Unito il 2 febbraio 2022, ed eventuali emendamenti ai sensi della Sezione 18 dell’Addendum del Regno Unito;
(u) “Leggi statunitensi in materia di protezione dei dati” indica tutte le leggi, i regolamenti e i requisiti governativi federali e statali applicabili in materia di protezione dei dati, trattamento dei dati personali, privacy e/o protezione dei dati in vigore di volta in volta negli Stati Uniti, tra cui (a titolo esemplificativo ma non esaustivo) il CCPA e altre leggi statunitensi applicabili in materia di privacy dei consumatori;
(v) “Dati di utilizzo” indica le informazioni diagnostiche, di utilizzo e sulle prestazioni raccolte da ServiceChannel in relazione all’uso dei Servizi da parte dell’Appaltatore e dei suoi utenti autorizzati; e
(w) I termini “Titolare del trattamento”, “Responsabile del trattamento”, “Attività” e “Fornitore di servizi” hanno il significato loro attribuito nelle Leggi sulla protezione dei dati.
2. Rapporto tra le parti; Conformità alla legge
2.1 L’Appaltatore:
(a) nomina ServiceChannel per il Trattamento dei Dati personali dell’Appaltatore in qualità di Responsabile del trattamento o Fornitore di servizi;
(b) riconosce e accetta che ServiceChannel può:
(i) utilizzare i Dati di amministrazione e i Dati di utilizzo per le Finalità del Titolare del trattamento e che, ai fini del GDPR, lo fa in qualità di Titolare del trattamento;
(ii) utilizzare i Dati personali dell’Appaltatore per creare Dati anonimizzati e che, ai fini del GDPR, lo fa in qualità di Titolare del trattamento.
2.2 Ciascuna parte dovrà rispettare gli obblighi ad essa applicabili ai sensi delle Leggi sulla protezione dei dati e fornire lo stesso livello di protezione della privacy richiesto dalle stesse.
2.3 L’Appaltatore dovrà garantire che le sue istruzioni per il Trattamento dei Dati personali dell’Appaltatore siano conformi alle Leggi sulla protezione dei dati. L’Appaltatore avrà la responsabilità esclusiva dell’accuratezza, della qualità e della legittimità dei Dati personali dell’Appaltatore e dei mezzi con cui li ha ottenuto.
2.4 ServiceChannel informerà tempestivamente l’Appaltatore se stabilisce di non essere più in grado di adempiere ai propri obblighi ai sensi delle Leggi sulla protezione dei dati.
2.5 L’Appaltatore può adottare misure ragionevoli e appropriate per:
(a) garantire che ServiceChannel utilizzi i Dati personali dell’Appaltatore in modo coerente con gli obblighi di quest’ultimo ai sensi delle Leggi sulla protezione dei dati; e
(b) con ragionevole preavviso, interrompere e ovviare all’uso non autorizzato dei Dati personali dell’Appaltatore.
3. Trattamento dei Dati personali dell’Appaltatore
3.1 ServiceChannel tratterà i Dati personali dell’Appaltatore solo per conto di e in conformità con l’Accordo, il presente DPA e le istruzioni documentate dell’Appaltatore (diverse da qualsiasi Trattamento per le Finalità del Titolare del trattamento). L’Appaltatore dà istruzioni a ServiceChannel di trattare i Dati personali dell’Appaltatore per le seguenti finalità: (i) Trattamento in conformità con l’Accordo e qualsiasi ordine applicabile; e (ii) Trattamento per conformarsi ad altre istruzioni ragionevoli fornite dall’Appaltatore laddove tali istruzioni siano coerenti con i termini dell’Accordo. ServiceChannel informerà immediatamente l’Appaltatore se non è in grado di seguire tali istruzioni o se, a suo parere, un’istruzione dell’Appaltatore viola le Leggi sulla protezione dei dati.
3.2 ServiceChannel non dovrà:
(a) vendere o condividere i Dati personali dell’Appaltatore;
(b) conservare, utilizzare o divulgare i Dati personali dell’Appaltatore per alcuna finalità che non sia quella aziendale specifica di erogare i Servizi specificati nell’Accordo o come altrimenti consentito dalle Leggi sulla protezione dei dati;
(c) conservare, utilizzare o divulgare i Dati personali dell’Appaltatore al di fuori del rapporto commerciale diretto tra le parti; e
(d) combinare i Dati personali dell’Appaltatore con i Dati personali che riceve da, o per conto di, un’altra persona o persone, o che raccoglie dalla propria interazione con l’Interessato, a meno che non sia espressamente consentito da, e condotto in conformità con, le Leggi sulla protezione dei dati.
3.3 L’Appaltatore garantisce e si impegna a far sì che i Dati personali dell’Appaltatore non contengano alcuno dei seguenti elementi:
(a) Dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacati, le condanne penali e qualsiasi altra categoria speciale di Dati personali identificati negli articoli 9 del GDPR o Dati personali altrimenti sensibili ai sensi delle Leggi applicabili in materia di protezione dei dati;
(b) identificatori o modelli biometrici;
(c) informazioni finanziarie (comprese, a titolo non esaustivo, le informazioni di fatturazione e i dati di autenticazione sensibili o dei titolari di carta, come tali termini sono definiti ai sensi dello Standard di sicurezza dei dati del settore delle carte di pagamento);
(d) informazioni finanziarie di identificazione personale, come definite e soggette al Gramm-Leach-Bliley Financial Modernization Act (Legge sulla modernizzazione finanziaria di Gramm-Leach-Biley) del 1999;
(e) numeri di identificazione nazionale (inclusi, a titolo non esaustivo, numeri di previdenza sociale, patente di guida o passaporto o altri numeri di identificazione emessi dal governo);
(f) informazioni relative a persone di età inferiore ai 13 anni;
(g) registri didattici, come definiti ai sensi del Family Educational Rights and Privacy Act (Legge sulla privacy e sui diritti delle famiglie alla tutela dei dati scolastici) del 1974;
(h) informazioni sanitarie protette come definite e soggette all’Health Insurance Portability and Accountability Act (Legge sulla portabilità e responsabilità dell’assicurazione sanitaria).
4. Riservatezza del trattamento/personale di ServiceChannel
4.1 ServiceChannel garantirà che qualsiasi persona autorizzata a trattare i Dati personali dell’Appaltatore (una “Persona autorizzata”) protegga i Dati personali dell’Appaltatore in conformità agli obblighi di riservatezza di ServiceChannel ai sensi del presente Accordo.
4.2 ServiceChannel garantirà che il proprio personale impegnato nel Trattamento dei Dati personali dell’Appaltatore sia informato della natura riservata dei Dati personali dell’Appaltatore e sia soggetto a obblighi di riservatezza.
4.3 ServiceChannel garantirà che l’accesso ai Dati personali dell’Appaltatore sia limitato al personale che richiede tale accesso per erogare i Servizi.
5. Gestione e notifica di sicurezza/violazione
5.1 ServiceChannel implementerà adeguate misure tecniche e organizzative per la protezione della sicurezza, riservatezza e integrità dei Dati personali dell’Appaltatore come stabilito nell’Allegato II.
5.2 Se ServiceChannel viene a conoscenza di qualsiasi Violazione della sicurezza, dovrà: (i) informare tempestivamente l’Appaltatore di tale Violazione della sicurezza; (ii) indagare sulla Violazione della sicurezza e fornire all’Appaltatore informazioni al riguardo; e (iii) adottare misure ragionevoli per mitigarne gli effetti e ridurre al minimo eventuali danni derivanti dalla Violazione della sicurezza.
5.3 ServiceChannel, su richiesta dell’Appaltatore, fornirà a quest’ultimo ragionevole assistenza nell’adempimento da parte dell’Appaltatore dei propri obblighi ai sensi delle Leggi sulla protezione dei dati in relazione a una Violazione della sicurezza notificata all’Appaltatore da ServiceChannel.
5.4 ServiceChannel non avrà alcun obbligo di notificare all’Appaltatore eventuali tentativi non riusciti di ottenere un accesso non autorizzato ai Dati personali dell’Appaltatore o a qualsiasi apparecchiatura o struttura di ServiceChannel che archivia i Dati personali dell’Appaltatore, inclusi, a titolo non esaustivo, ping e altri attacchi di trasmissione su firewall o server periferici, scansioni delle porte, tentativi di accesso non riusciti, attacchi di negazione del servizio o incidenti simili.
5.5 La o le notifiche delle eventuali Violazioni della sicurezza saranno consegnate a uno o più contatti aziendali, tecnici o amministrativi dell’Appaltatore con qualsiasi mezzo selezionato da ServiceChannel, anche via e-mail. È esclusiva responsabilità dell’Appaltatore assicurare che sui sistemi di supporto di ServiceChannel siano presenti informazioni accurate in qualsiasi momento.
5.6 La notifica o la risposta di ServiceChannel a una Violazione della sicurezza ai sensi della presente Sezione 5 non sarà interpretata come un riconoscimento da parte di ServiceChannel di qualsiasi colpa o responsabilità in relazione alla violazione stessa.
6. Attività di sub-trattamento
6.1 L’Appaltatore riconosce e accetta che (i) ServiceChannel può nominare Affiliate come suoi Sub-responsabili del trattamento; e (ii) ServiceChannel può incaricare Sub-responsabili del trattamento terzi in relazione alla fornitura dei Servizi. A tali Sub-responsabili del trattamento sarà consentito ottenere i Dati personali dell’Appaltatore solo per fornire i servizi che ServiceChannel ha affidato loro e non è loro consentito utilizzare i Dati personali dell’Appaltatore per alcuna altra finalità. ServiceChannel stipulerà un accordo scritto che imponga ai Sub-responsabili del trattamento obblighi che siano sostanzialmente simili a quelli imposti a ServiceChannel ai sensi del presente Accordo. ServiceChannel rimarrà pienamente responsabile nei confronti dell’Appaltatore per l’adempimento degli obblighi del Sub-responsabile del trattamento ai sensi del suo contratto con ServiceChannel.
6.2 ServiceChannel potrà continuare ad avvalersi di tali Sub-responsabili del trattamento, già incaricati da ServiceChannel o da qualsiasi Affiliata di ServiceChannel alla data del presente Accordo, elencati all’indirizzo https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel darà all’Appaltatore un preavviso scritto che comunichi la nomina di un eventuale nuovo Sub-responsabile del trattamento, compresi tutti i dettagli del Trattamento che lo stesso dovrà svolgere. Se, entro 10 giorni dalla ricezione di tale notifica, l’Appaltatore notifica per iscritto a ServiceChannel qualsiasi obiezione (per motivi ragionevoli) alla nomina proposta, ServiceChannel non nominerà tale Sub-responsabile del trattamento proposto fino a quando non siano state adottate misure ragionevoli per rispondere alle obiezioni sollevate dall’Appaltatore e all’Appaltatore sia stata fornita una ragionevole spiegazione scritta delle misure adottate.
7. Trasferimenti limitati
7.1 Le Clausole contrattuali standard, come ulteriormente stabilito nella presente Sezione 7, saranno incorporate nel presente DPA per riferimento e si applicheranno a qualsiasi trasferimento di Dati personali dell’Appaltatore da parte dell’Appaltatore (in qualità di esportatore dei dati) a ServiceChannel (in qualità di importatore dei dati) nella misura in cui:
(a) il GDPR si applica al Trattamento da parte dell’Appaltatore di tali Dati personali dell’Appaltatore in fase di trasferimento;
(b) le Leggi sulla protezione dei dati che si applicano al Trattamento dei Dati personali dell’Appaltatore da parte dell’Appaltatore in fase di trasferimento (le “Leggi sulla protezione dei dati dell’Esportatore”) vietano il trasferimento dei Dati personali dell’Appaltatore a ServiceChannel ai sensi del presente DPA in assenza di un meccanismo di trasferimento che implementi tutele adeguate in relazione al Trattamento di tali Dati personali dell’Appaltatore, e si applica una o più delle seguenti condizioni:
(i) l’autorità competente con giurisdizione sul trasferimento da parte dell’Appaltatore dei Dati personali dell’Appaltatore ai sensi del presente DPA non ha formalmente adottato clausole standard di protezione dei dati o altro meccanismo di trasferimento ai sensi delle Leggi sulla protezione dei dati dell’Esportatore e la prassi di mercato consolidata in relazione ai trasferimenti soggetti alle Leggi sulla protezione dei dati dell’Esportatore è quella di stipulare clausole contrattuali standard approvate dalla Commissione europea per soddisfare qualsiasi requisito sancito dalle Leggi sulla protezione dei dati dell’Esportatore di implementare tutele adeguate in relazione a tale trasferimento; o
(ii) stipulare clausole contrattuali standard approvate dalla Commissione europea soddisferebbe in maniera comunque ragionevole qualsiasi requisito sancito dalle Leggi sulla protezione dei dati dell’Esportatore di implementare tutele adeguate in relazione a tale trasferimento; o
(c) in relazione ai Dati personali dell’Appaltatore che sono protetti dalla LGPD brasiliana, si applicheranno le SCC brasiliane come descritto in dettaglio nell’Allegato I, dato che il Meccanismo internazionale di trasferimento dei dati applicabile a tutti i casi in cui il Paese di destinazione sia privo di un livello di protezione adeguato o simile a quello previsto dalla LGPD.
(d) il trasferimento è un “trasferimento successivo” (come definito nel modulo applicabile delle Clausole contrattuali standard).
7.2 Per quanto riguarda qualsiasi trasferimento di cui alla Sezione 7.1, le Clausole contrattuali standard si considerano compilate come segue:
(a) si applicherà il Modulo Due;
(b) nella Clausola 7, la clausola di adesione postuma si applica;
(c) nella Clausola 9, si applicherà l’Opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al sub-responsabile del trattamento sarà quello stabilito nella Sezione 0 del presente Accordo;
(d) nella Clausola 11, la dicitura facoltativa non si applicherà;
(e) nella Clausola 17, si applicherà l’Opzione 1 e le CCS dell’UE saranno disciplinate dalla legge irlandese;
(f) nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
(g) l’Allegato I sarà considerato compilato con le informazioni di cui all’Allegato I al presente Accordo;
(h) l’Allegato II sarà considerato compilato con le informazioni di cui all’Allegato II al presente Accordo.
7.3 Nella misura in cui il GDPR del Regno Unito si applica all’Appaltatore quando effettua un trasferimento di cui alla Sezione 7.1, o tale trasferimento è un “trasferimento successivo” come definito nell’Addendum del Regno Unito, l’Addendum del Regno Unito farà parte del presente DPA e si applicherà a tali trasferimenti e sarà considerato compilato come segue:
(a) le “CCS dell’Addendum UE” si riferiscono alle Clausole contrattuali standard in quanto incorporate nel presente DPA in conformità alle Sezioni 7.1 e 7.2;
(b) le “Informazioni dell’Appendice” si riferiscono alle informazioni di cui all’Allegato I e all’Allegato II al presente DPA; e
(c) le Tabelle da 1 a 3 dell’Addendum del Regno Unito saranno considerate compilate come stabilito nella Sezione 7.2 di cui sopra e l’opzione “nessuna delle parti” sarà considerata selezionata nella Tabella 4.
7.4 In caso di conflitto tra il presente DPA e le Clausole contrattuali standard, prevarranno le Clausole contrattuali standard.
7.5 Le parti convengono che l’esecuzione del presente DPA avrà lo stesso effetto della firma delle Clausole contrattuali standard e dell’Addendum del Regno Unito.
8. Collaborazione e diritti degli Interessati
8.1 ServiceChannel dovrà, nella misura consentita dalla legge, informare tempestivamente l’Appaltatore se riceve una richiesta da parte di un Interessato di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati. ServiceChannel non risponderà a tali richieste dell’Interessato senza il previo consenso scritto dell’Appaltatore, salvo per confermare che la richiesta si riferisce all’Appaltatore.
8.2 Nella misura in cui l’Appaltatore, nel suo utilizzo o nella ricezione dei Servizi, non abbia la capacità di correggere, modificare, limitare, bloccare o eliminare i Dati personali dell’Appaltatore, come richiesto dalle Leggi sulla protezione dei dati, ServiceChannel compirà ogni sforzo commercialmente ragionevole per soddisfare le ragionevoli richieste dell’Appaltatore di facilitare tali azioni nella misura in cui sia legalmente autorizzata a farlo.
8.3 ServiceChannel fornirà ragionevole collaborazione all’Appaltatore (a spese dell’Appaltatore) in relazione a qualsiasi valutazione d’impatto sulla protezione dei dati eventualmente prevista dalla Legge sulla protezione dei dati.
9. Dati deidentificati
9.1 Per quanto riguarda i Dati anonimizzati creati da ServiceChannel, ServiceChannel dovrà:
(a) adottare misure ragionevoli per garantire che le informazioni non possano essere associate a un Interessato;
(b) impegnarsi pubblicamente a trattare tali Dati anonimizzati esclusivamente in forma deidentificata e a non tentare di reidentificare le informazioni; e
(c) obbligare contrattualmente i destinatari dei Dati anonimizzati a rispettare i requisiti di cui sopra ai sensi delle Leggi sulla protezione dei dati.
10. Risoluzione; cancellazione o restituzione dei Dati
10.1 Il presente Accordo si risolverà automaticamente alla cancellazione o all’anonimizzazione da parte di ServiceChannel di tutti i Dati personali dell’Appaltatore.
10.2 Alla risoluzione o scadenza dell’Accordo, ServiceChannel dovrà
(a) se richiesto dall’Appaltatore entro trenta (30) giorni dalla scadenza dell’Accordo (il “Periodo di conservazione”) fornire una copia di tutti i Dati personali dell’Appaltatore in un formato di uso comune richiesto dall’Appaltatore oppure un’opzione self-service che consenta all’Appaltatore di scaricarli;
(b) alla scadenza del Periodo di conservazione, eliminare tutte le copie dei Dati personali dell’Appaltatore trattati da ServiceChannel o da uno qualsiasi dei suoi Sub-responsabili del trattamento, diversi da:
(i) i Dati di amministrazione o i Dati di utilizzo trattati per le Finalità del Titolare del trattamento o i Dati personali dell’Appaltatore che ServiceChannel è tenuta a conservare ai sensi della legge applicabile; o
(ii) i Dati personali dell’Appaltatore archiviati su sistemi di backup, che ServiceChannel isolerà e proteggerà in modo sicuro da qualsiasi ulteriore Trattamento, salvo nella misura richiesta da tale legge fino a quando non sarà possibile eliminarli.
11. Revisione
11.1 L’Appaltatore può, nella misura in cui ServiceChannel agisce in qualità di Responsabile del trattamento, verificare la conformità di ServiceChannel al presente DPA. Le parti convengono che tali revisioni saranno condotte:
(a) non più di una volta all’anno, a meno che non ne siano richieste di più frequenti per rispettare le Leggi sulla protezione dei dati o richieste da un’autorità di controllo con giurisdizione sul Trattamento dei Dati personali dell’Appaltatore;
(b) con preavviso scritto di due settimane a ServiceChannel;
(c) solo durante il normale orario di lavoro di ServiceChannel; e
(d) in maniera da non interrompere materialmente l’attività o le operazioni di ServiceChannel.
11.2 In relazione a qualsiasi revisione condotta ai sensi della Sezione 10.1:
(a) l’Appaltatore può incaricare un revisore terzo di condurre la revisione per suo conto, salvo che ServiceChannel possa ragionevolmente opporsi all’incarico del revisore terzo se tale revisore terzo è un concorrente di ServiceChannel;
(b) ServiceChannel non sarà tenuta a facilitare o assistere in alcuna revisione a meno che e fino a quando le parti non abbiano concordato per iscritto l’ambito e la tempistica di tale revisione e le tariffe di rimborso ai sensi della Sezione0.
11.3 L’Appaltatore rimborserà ServiceChannel per il tempo eventualmente dedicato a tale revisione alle tariffe concordate dalle parti. Prima dell’inizio di tale revisione, l’Appaltatore e ServiceChannel fisseranno di comune accordo l’ambito, la tempistica e la durata della revisione in aggiunta alla tariffa di rimborso di cui l’Appaltatore sarà responsabile. Tutte le tariffe di rimborso saranno ragionevoli e terranno conto delle risorse impiegate da ServiceChannel. L’Appaltatore dovrà informare tempestivamente ServiceChannel di qualsiasi difformità rilevata nel corso di una revisione.
11.4 L’Appaltatore riconosce che ServiceChannel viene regolarmente sottoposta a revisioni rispetto allo standard SSAE 18 SOC 1 da parte di revisori terzi indipendenti. Su richiesta, ServiceChannel fornirà o potrà fornire all’Appaltatore, in risposta a una richiesta di revisione, una copia riepilogativa della/e propria/e relazione/i di revisione all’Appaltatore, che sarà/saranno oggetto delle disposizioni di riservatezza dell’Accordo. Se una revisione richiesta dall’Appaltatore viene trattata nella relazione della revisione fornita da ServiceChannel, l’Appaltatore accetta tale relazione in luogo di una revisione fisica dei controlli contemplati nella relazione pertinente.
12. Limitazione di responsabilità
Il presente DPA è soggetto alle limitazioni di responsabilità e alle esclusioni di responsabilità contenute nell’Accordo.
13. Parti del presente Accordo
Fatto salvo quanto stabilito nelle Clausole contrattuali standard, nulla nel presente DPA conferirà alcun beneficio o diritto a persone o entità che non siano le parti del presente DPA.
14. Effetto giuridico
Il presente DPA integra l’Accordo e fa parte dello stesso.
15. Disposizioni generali
15.1 Il presente DPA sarà disciplinato e interpretato sotto tutti gli aspetti in conformità con le disposizioni di legge e giurisdizione vigenti nell’Accordo, a condizione che, in caso di conflitto tra l’Accordo e il presente DPA in relazione al trattamento dei Dati personali, prevarrà il presente DPA.
15.2 Il presente Accordo può essere perfezionato in un numero qualsiasi di copie, ciascuna delle quali è un originale e tutte attestano lo stesso accordo tra le parti.
15.3 Oltre a quanto stabilito nel presente DPA, l’Accordo rimarrà pienamente valido ed efficace.
ALLEGATO I
A. ELENCO DELLE PARTI
| Nome | Indirizzo | Nome, posizione e dettagli di contatto del referente | Attività pertinenti ai dati trasferiti | Ruolo | |
| Esportatore dei dati | Appaltatore (indicato in fase di registrazione per i Servizi) | Indicato in fase di registrazione per i Servizi | Indicato in fase di registrazione per i Servizi | Ricezione dei Servizi | Titolare del trattamento |
| Importatore dei dati | ServiceChannel.com, Inc. | 30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, Stati Uniti | Brian Chase, Responsabile degli Affari legali, [email protected] | Fornitura dei Servizi | Responsabile del trattamento |
B. DESCRIZIONE DEL TRASFERIMENTO
| Interessati | Categorie di dati personali | Dati personali sensibili | Frequenza di trasferimento | Natura e finalità del trattamento |
| Utenti Finali dell’Appaltatore | Nome, indirizzo e-mail, ruolo presso l’Appaltatore, credenziali. | Nessuno | Continua | Concedere l’accesso ai Servizi agli Utenti Finali. |
| Utenti Finali dell’Appaltatore | Nome, numero di telefono, servizi di gestione della struttura da indicare. | Nessuno | Continua | Facilitare il contatto tra gli Utenti Finali e i Clienti per l’adempimento dei Contratti di acquisto. |
| Utenti Finali dell’Appaltatore | Nome, geolocalizzazione precisa, orario di check-in, orario di check-out. | Nessuno | Continua | Fornire informazioni al Cliente in merito alla fornitura di servizi di gestione delle strutture ai sensi di un Contratto di acquisto. |
| Utenti Finali dell’Appaltatore | Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. | Nessuno | Continua | Facilitare il calcolo degli importi dovuti ai sensi dell’Accordo di acquisto. |
| Utenti Finali dell’Appaltatore Utenti autorizzati dei Clienti che richiedono servizi di gestione delle strutture | Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. | Nessuno | Continua | Invio di fatture ai sensi dei Contratti di acquisto al Cliente. |
| Utenti Finali dell’Appaltatore Utenti autorizzati dei Clienti che richiedono servizi di gestione delle strutture | Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. | Nessuno | Continua | Mantenere registri delle transazioni dei servizi forniti dall’Appaltatore ai sensi dei Contratti di acquisto. |
| Utenti Finali dell’Appaltatore | Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e posizione dei servizi forniti, geolocalizzazione precisa. | Nessuno | Continua | Facilitare la gestione degli Utenti Finali dell’Appaltatore, tra cui la pianificazione e il personale. |
| Punti di contatto chiave presso l’Appaltatore | Nome, indirizzo e-mail, numero di telefono. | Nessuno | Continua | Promozione dei servizi dell’Appaltatore attraverso il Catalogo. |
| Utenti Finali dell’Appaltatore | Domande di assistenza presentate dall’utente finale. | Nessuno | Continua | Fornire supporto tecnico. |
| Utenti Finali dell’Appaltatore | Dati di log relativi all’utilizzo dei Servizi da parte dell’Utente finale. | Nessuno | Continua | Fornire l’accesso ai Servizi. |
Conservazione
La durata del trattamento sarà la stessa della durata della fornitura di servizi ai sensi dell’MSA.
Sub-responsabili del trattamento
Come descritto all’indirizzo https://bit.ly/SC_Subprocessors
C. AUTORITÀ DI CONTROLLO COMPETENTE
Commissario irlandese per la protezione dei dati
ALLEGATO II
Misure di sicurezza
ServiceChannel rimarrà sempre responsabile per le seguenti misure di sicurezza di trasferimento commercialmente ragionevoli:
| MISURE DI SICUREZZA DEL TRASFERIMENTO | MISURE INTRODOTTE |
| Misure di pseudonimizzazione e crittografia dei dati personali | Pseudonimizzazione · mascheramento dei caratteri · scambio · k-anonimato Crittografia · Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) su ogni interfaccia di accesso, utilizzando algoritmi e certificati conformi agli standard di settore. · Crittografia dei dati a riposo utilizzando l’algoritmo AES-256 conforme agli standard di settore |
| Misure per garantire riservatezza, integrità, disponibilità e resilienza continue dei sistemi e dei servizi di trattamento | Riservatezza · Rete privata virtuale (VPN) · Autenticazione a più fattori (MFA) · Sistema di diritti differenziati basato su gruppi di sicurezza ed elenchi di controllo degli accessi. · Trasmissione sicura delle credenziali utilizzando TLS 1.2 (o superiore) · Per le password è prevista una complessità minima definita. Le password iniziali devono essere modificate dopo il primo accesso. · Blocco automatico dell’account · Linee guida per la gestione delle password · Controlli degli accessi all’infrastruttura ospitata dal fornitore di servizi cloud · Gestione dei diritti di accesso, comprensiva di concetto di autorizzazione, implementazione delle restrizioni di accesso, implementazione del principio della “necessità di sapere”, gestione di diritti di accesso individuali. · Accordi su formazione e riservatezza per il personale interno e esterno · Separazione della rete · Separazione delle responsabilità e dei doveri · Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Integrità · Interconnessioni di rete sicure garantite da firewall, ecc. · Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali · Registrazione dell’autenticazione e dell’accesso logico monitorato al sistema · Registrazione dell’accesso ai dati, inclusi, a titolo non esaustivo, accesso, modifica, inserimento ed eliminazione dei dati · Documentazione dei diritti di immissione dei dati e registrazione delle voci relative alla sicurezza · Firewall per applicazioni web (WAF) Disponibilità e resilienza · I dati degli appaltatori vengono sottoposti a backup in più archivi di dati durevoli e replicati in più zone di disponibilità. · Protezione dei supporti di backup archiviati |
| Misure per garantire la capacità di ripristinare la disponibilità e l’accesso ai Dati personali in modo tempestivo in caso di incidente fisico o tecnico | · Pianificazione della continuità e piano di recupero in caso di emergenza · Processi di recupero in caso di emergenza per ripristinare dati e processi · Obiettivo del tempo di recupero (RTO) · Obiettivo del punto di recupero (RPO) · Tempo di inattività massimo tollerabile (MTD) · Misure di gestione della capacità per monitorare il consumo di risorse dei sistemi e la pianificazione di esigenze future in termini di risorse. · Procedure per la gestione e la segnalazione degli incidenti (gestione degli incidenti), tra cui rilevamento e reazione a possibili incidenti di sicurezza. · I dati produttivi vengono sottoposti a backup incrementale ogni ora e a back-up completo ogni giorno. Tutti i backup sono ridondanti e in forma crittografata (AES-256). |
| Processi per testare, valutare ed esaminare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | · Test delle apparecchiature di emergenza · Documentazione delle interfacce e dei campi di dati personali · Revisioni interne ed esterne · Controlli di sicurezza (ad es. test di penetrazione) condotti da parti esterne · Revisioni SOC 1 e 2 · Benchmarking e test regolari con standard di settore, ad es. Controlli SANS Top 20 per la sicurezza di internet, linee guida del National Institute of Standards and Technology (NIST), ecc. |
| Misure per l’identificazione e l’autorizzazione dell’utente | · Interconnessioni di rete sicure garantite da VPN, MFA, firewall, ecc. · Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali · Registrazione dell’autenticazione e accesso monitorato al sistema · L’accesso ai dati necessari per l’esecuzione di una particolare mansione è garantito all’interno dei sistemi e delle applicazioni dalla corrispondenza del ruolo e da un concetto di autorizzazione basato sul principio della “necessità di sapere”. · Firewall per applicazioni web (WAF) |
| Misure per la protezione dei Dati durante la trasmissione | · Accesso remoto alla rete tramite tunnel VPN e crittografia end-to-end · Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) |
| Misure per la protezione dei Dati durante la conservazione | · Input di sistema registrati tramite file di registro · Elenchi di controllo degli accessi (ACL) · Autenticazione a più fattori (MFA) |
| Misure per garantire la sicurezza fisica delle sedi in cui vengono trattati i Dati personali | · Suddivisione della struttura in singole zone con autorizzazioni di accesso diverse; · Protezione dell’accesso fisico (ad es. porte in acciaio, stanze prive di finestre o finestre protette); · Sistema elettronico di controllo degli accessi per proteggere le aree di sicurezza; · Monitoraggio della struttura mediante servizi di sicurezza e registrazione degli accessi alla stessa; · Videosorveglianza di tutte le aree di sicurezza rilevanti per la sicurezza, come ingressi, uscite di emergenza e sale server; · Assegnazione e revoca centrali delle autorizzazioni all’accesso; · Identificazione di tutti i visitatori mediante verifica della loro carta d’identità e registrazione (si conserva un registro dei visitatori); · Identificazione obbligatoria all’interno delle aree di sicurezza per tutti i dipendenti e visitatori; · I visitatori devono essere sempre accompagnati dai dipendenti. |
| Misure per garantire la registrazione degli eventi | · Registrazione remota · Hash con concatenazione · Replicazione · Sistema SIEM (Central Security Event and Information Management [Gestione centrale delle informazioni e degli eventi relativi alla sicurezza]) |
| Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita | · Politica e procedure sul controllo degli accessi · Indicazione della configurazione di base · Pianificazione e gestione della configurazione · Gestione delle modifiche alla configurazione · Registrazione dello stato di configurazione · Verifica e revisioni della configurazione · Gestione dei dispositivi mobili |
| Misure per la gestione e la governance interne della sicurezza IT e del reparto IT | · Persona dedicata e indicata per sovrintendere al programma di sicurezza e conformità delle informazioni della società · Revisione SOC 1 e 2 |
| Misure per la certificazione/verifica di processi e prodotti | · Certificazioni di sicurezza delle informazioni o gestione della qualità, come SSAE 18 Tipo 2 SOC 1 e SSAE18 Tipo 2 SOC2 |
| Misure per garantire la minimizzazione dei dati | · Barriere tecnologiche al collegamento non autorizzato di fonti indipendenti di dati. · Limitazione al livello di dettaglio utilizzato nel trattamento dei dati personali: ad esempio, attraverso tecniche come k-anonimato e offuscamento. · Eliminazione dei metadati generati durante determinati processi che non sono necessari per l’obiettivo perseguito. |
| Misure per garantire la qualità dei dati | · Trattamento per l’esercizio dei diritti di protezione dei dati (diritto di modificare e aggiornare le informazioni) · Documentazione chiara dei requisiti per tutte le condizioni e gli scenari di dati · Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Rigorosa profilazione dei dati e controllo dei dati in entrata · Progettazione della pipeline di dati per evitare dati duplicati · Team per la garanzia di qualità · Applicazione dell’integrità dei dati |
| Misure per garantire una conservazione limitata dei dati | · Esistenza di programmi e politiche di conservazione chiari · Test di efficacia |
| Misure per garantire la responsabilità | · Assegnare la responsabilità di garantire la privacy dell’Utente Finale per tutto il ciclo di vita del prodotto e attraverso processi aziendali applicabili. · Le valutazioni d’impatto sulla protezione dei dati come parte integrante di qualsiasi nuova iniziativa di trattamento. · Documentare tutte le decisioni adottate all’interno dell’organizzazione dal punto di vista di un “pensiero progettuale della privacy”. |
| Misure per consentire la portabilità dei dati e garantirne la cancellazione | · Processi documentati in relazione all’esercizio da parte degli utenti dei loro diritti alla privacy (ad es. diritto di cancellazione o diritto alla portabilità dei dati) · Utilizzo di formati aperti come CSV, XML o JSON. |
| Restrizioni o misure di salvaguardia applicate per i dati sensibili (se applicabile) | · La crittografia o l’hashing di dati di categorie speciali, sebbene non sia un requisito legale esplicito, dovrebbe essere la normalità |
EXHIBIT I – STANDARD CONTRACTUAL CLAUSES
(La formulazione delle Clausole Contrattuali Tipo incluse nel presente allegato è quella stabilita dall’ANPD ai sensi della Risoluzione n. 19/2024 e pertanto non può essere adattata, modificata o negoziata dalle parti. ServiceChannel fornisce le Clausole Contrattuali Tipo solo nelle versioni ufficiali pubblicate dall’ANPD, ovvero il testo originale in portoghese e la traduzione in inglese pubblicata dall’ANPD, e, in linea con la prassi del settore, offriamo un link alla versione ufficiale in portoghese, basandoci esclusivamente sulla traduzione in inglese dell’ANPD. Non traduciamo le Clausole Contrattuali Tipo in altre lingue al fine di preservarne il significato giuridico e l’intento legislativo adottati dall’ANPD.)
SECTION I – GENERAL INFORMATION
CLAUSE 1. PARTIES’ IDENTIFICATION
1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.
CLAUSE 2. SUBJECT
2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.
CLAUSE 3. SUBSEQUENT TRANSFERS
3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.
CLAUSE 4. PARTIES’ RESPONSIBILITIES
4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:
a) Party responsible for publishing the document referenced in CLAUSE 14;
(X) Exporter ( ) Importer
b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:
(X) Exporter ( ) Importer
c) Party responsible for communicating a security incident as described in CLAUSE 16:
(X) Exporter ( ) Importer
4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:
a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;
b) for the compliance with all ANPD requirements; and
c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.
4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.
4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.
4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.
4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.
4.7. If a request is received from a Data Subject, the applicable Party shall:
a) respond to the request, when it possesses the information needed to do so;
b) inform the Data Subject of the service channel provided by the Third-Party Controller; or
c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.
4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.
SECTION II – MANDATORY CLAUSES
CLAUSE 5. Purpose
5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.
CLAUSE 6. Definitions
6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:
a) Processing agents: the controller and the processor;
b) ANPD: National Data Protection Authority;
c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;
d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;
e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;
f) Personal Data: information related to an identified or identifiable natural person;
g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;
h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;
i) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;
j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;
k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;
l) Arbitration Law: Law No. 9,307, of September 23, 1996;
m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;
n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;
o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;
p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;
q) Parties: Exporter and Importer;
r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;
s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;
t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);
u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;
v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;
w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and
x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.
CLAUSE 7. Applicable legislation and ANPD supervision
7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.
CLAUSE 8. Interpretation
8.1. Any application of these Clauses shall occur in accordance with the following terms:
a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;
b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;
c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and
d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.
CLAUSE 9. Docking Clause
9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.
9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.
CLAUSE 10. General obligations of the Parties
10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:
a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;
b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;
c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;
d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:
(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;
(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and
(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;
e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;
f) not to process Personal Data for abusive or unlawful discriminatory purposes;
g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;
h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.
CLAUSE 11. Sensitive personal data
11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.
CLAUSE 12. Personal data of children and adolescents
12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.
CLAUSE 13. Legal use of data
13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.
CLAUSE 14. Transparency
14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:
a) the form, duration and specific purpose of the international transfer;
b) the destination country of the transferred data;
c) the Designated Party’s identification and contact details;
d) the shared use of data by the Parties and its purpose;
e) the responsibilities of the agents who shall conduct the processing;
f) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and
g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.
14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.
14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.
14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.
CLAUSE 15. Rights of the data subject
15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:
a) confirmation of the existence of processing;
b) access to data;
c) correction of incomplete, inaccurate or outdated data;
d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;
e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;
f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;
g) information on public and private entities with which the Parties have shared data;
h) information on the possibility of denying consent and on the consequences of the denial;
i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;
j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and
k) information on the criteria and procedures adopted for the automated decision.
15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.
15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3 is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.
15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.
15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.
15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.
CLAUSE 16. Security Incident Reporting
16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.
16.2. The Importer must keep a record of security incidents in accordance with National Legislation.
CLAUSE 17. Liability and compensation for damages
17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.
17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.
17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.
17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.
17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.
17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.
17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.
17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.
17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.
CLAUSE 18. Safeguards for Onward Transfers
18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.
18.2. In any case, the Importer:
a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;
b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and
c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.
18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.
CLAUSE 19. Access Request Notification
19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.
19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.
19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.
CLAUSE 20. Termination of processing and erasure of data
20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:
a) compliance with a legal or regulatory obligation by the Controller;
b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;
c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and
d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.
20.2. For the purposes of this Clause, processing of personal data shall cease when:
a) the purpose set forth in these Clauses has been achieved;
b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;
c) at the termination of the treatment period;
d) Data Subject’s request is met; and
e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.
CLAUSE 21. Data processing security
21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.
21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents.
21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.
CLAUSE 22. Legislation of country of destination
22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.
22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.
CLAUSE 23. Non-compliance with the Clauses by the Importer
23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.
23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:
a) suspend the International Data Transfer;
b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and
c) terminate the contract.
CLAUSE 24. Choice of forum and jurisdiction
24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.
24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.
24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.
SECTION III – Security Measures
The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar