GoDaddy - CLAUSOLE INTEGRATIVE SUL TRATTAMENTO DEI DATI

Le presenti Clausole integrative sul trattamento dei dati ("Clausole integrative") sono stipulate da e tra GoDaddy.com, LLC, a Delaware limited liability company e le sue società affiliate ("GoDaddy") e l'Utente ("Cliente") e si aggiungono e si affiancano a Termini di utilizzo universali, Politica sulla privacy e a qualsiasi altro accordo che regolamenti i Servizi previsti (collettivamente, "Termini di utilizzo").

1.1 Salvo ove diversamente specificato nelle presenti Clausole integrative, tutti i termini in maiuscolo non definiti nelle presenti Clausole integrative faranno riferimento a quanto illustrato nei Termini di utilizzo

Per "Società affiliate" si intende qualsiasi entità controllata da, controllante o compartecipata con GoDaddy.

Con "Servizi previsti" si intendono i servizi di hosting che potrebbero comportare il Trattamento dei Dati personali e sono soggetti a termini e condizioni dei seguenti Accordi: (1) Servizi di Marketing via email, (2) Hosting, (3) Negozio online/Carrello rapido, (4) Servizi per siti web, (5) Servizio Workspace.

Per "Dati del cliente" si intendono i dati personali di qualsiasi Soggetto interessato trattati da GoDaddy nelle Reti di GoDaddy per conto del Cliente conformemente o in relazione ai Termini di utilizzo.

Per "Normative sulla protezione dei dati" si intendono tutte le normative e i regolamenti di privacy o protezione dei dati applicabili al Trattamento dei Dati personali in base al presente Accordo, inclusi (ma non limitati a) (i) gli Australian Privacy Principles e l'Australian Privacy Act (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) del Brasile, (iii) il California Consumer Privacy Act (CCPA), (iv) il Federal Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada, (v) il Regolamento generale sulla protezione dei dati (GDPR UE) dell'Unione Europea, (vi) qualsiasi normativa nazionale in materia di protezione dei dati in base al GDPR, (vii) l'EU e-Privacy Directive, (viii) il Personal Data Protection Act del 2012 (PDPA) di Singapore, (ix) il Swiss Federal Data Protection Act del 19 giugno 1992 e l'omonima ordinanza, (x) e l'UK GDPR o Data Protection Act del 2018; da modificarsi o sostituirsi in base al caso.

"SEE" indica lo Spazio Economico Europeo.

Per "GDPR UE" si intende il regolamento (UE) n. 2016/679 del Parlamento e del Consiglio Europeo del 27 Aprile 2016 sulla protezione delle persone fisiche in relazione al trattamento e alla libera circolazione dei dati personali, che abroga la Direttiva 95/46/CE.

Per "Clausole contrattuali standard UE" si intendono le clausole contrattuali standard per la protezione dei dati approvate dalla decisione della Commissione Europea 2021/914 del 4 giugno 2021, inclusa nel presente documento come riferimento. Modulo due (da Titolare del trattamento a Responsabile del trattamento) Clausole contrattuali standard UE e Modulo tre (Da Responsabile del trattamento a Responsabile del trattamento) Clausole contrattuali standard UE sono disponibili per il download sul sito web EUR-Lex.

Con il termine "Rete di GoDaddy" si fa riferimento a strutture, server, attrezzature di rete e sistemi di hosting dei software (ad esempio, firewall virtuali) di GoDaddy che sono sotto il controllo di GoDaddy e vengono utilizzati per fornire i Servizi previsti.

Con "Incidente di sicurezza" si intende una violazione della sicurezza degli Standard di sicurezza GoDaddy che risultano nella distruzione, perdita, alterazione, condivisione non autorizzata o nell'accesso accidentali o illegali di qualsiasi Dato del cliente su sistemi gestiti o controllati da GoDaddy.

Per "Standard di sicurezza" si intendono gli standard di sicurezza acclusi alle presenti Clausole integrative come Appendice 2.

Per "Dati sensibili" si intendono (a) il numero di previdenza sociale, il numero di passaporto, il numero di patente di guida o un identificatore simile (o una parte di esso); (b) il numero di carta di credito o debito (diverso dalla parte troncata (le ultime quattro cifre) di una carta di credito o debito), le informazioni finanziarie, numeri o password di conti bancari; (c) le informazioni finanziarie, genetiche, biometriche o su impiego e salute; (d) l'affiliazione razziale, etnica, politica o religiosa, l'appartenenza sindacale, o informazioni sulla vita o l'orientamento sessuale; (e) password di account, la data di nascita o il nome da nubile della madre; (f) precedenti penali; o (g) qualsiasi altra informazione o combinazione di informazioni che rientrano nella definizione di "categorie speciali di dati" in base al GDPR o a qualsiasi altro regolamento o normativa applicabile in materia di privacy e protezione dei dati.

Per "Sub-responsabile" si intende qualsiasi Responsabile del trattamento incaricato dal Responsabile del trattamento di gestire il trattamento dei dati per conto del titolare del trattamento.

Con "GDPR UK" si intende il GDPR UE come modificato e integrato nella legge UK nell'atto "UK European Union (Withdrawal) Act 2018" e del diritto derivato applicabile eseguito ai sensi di tale Atto.

Con "Clausole integrative sul trasferimento internazionale dei dati UK" si intendono le Clausole integrative sul trasferimento internazionale dei dati alle Clausole contrattuali standard UE emesse dal Commissario per le informazioni UK, Versione B1.0, in vigore dal 21 marzo 2022, incorporato nelle presenti Clausole integrative come riferimento. Le Clausole integrative sul trasferimento internazionale dei dati UK è disponibile per il download sul sito web del Commissario delle informazioni UK

1.2 I termini "dati personali", "soggetti interessati", "trattamento", "titolare del trattamento" e "responsabile del trattamento" come usati in queste Clausole integrative assumono i significati assegnati nel GDPR UE senza tenere conto di quali leggi sulla Protezione dei dati si applicano.

2.1 GoDaddy in qualità di Responsabile del trattamento. Le parti riconoscono e accettano quanto segue: (i) che GoDaddy sia un responsabile del Trattamento dei Dati del cliente ai sensi delle Leggi sulla protezione dei dati; (ii) che il Cliente è titolare o responsabile del trattamento, come applicabile, dei Dati del Cliente ai sensi delle Leggi sulla protezione dei dati; e (iii) che ciascuna delle parti aderirà a questi obblighi ai sensi delle Leggi sulla protezione dei dati applicabili rispettando il trattamento dei Dati del cliente.

2.2 Dettagli sul trattamento dati. L'oggetto del trattamento dei Dati del cliente da parte di GoDaddy è la fornitura dei Servizi previsti in base ai Termini di utilizzo. GoDaddy tratterà i Dati del cliente solo per conto del Cliente e conformemente alle sue istruzioni documentate, per le seguenti finalità: (i) trattamento dei dati in conformità ai Termini di utilizzo; (ii) trattamento avviato dagli utenti finali durante l'utilizzo dei Servizi previsti; (iii) trattamento finalizzato al rispetto di altre istruzioni, ragionevoli e documentate, fornite dal Cliente (ad esempio tramite email), laddove tali istruzioni siano coerenti con i Termini di utilizzo. GoDaddy non potrà: (a) trattare, conservare, usare, vendere o divulgare i Dati del cliente, salvo se necessario per fornire i Servizi previsti come stabilito nei Termini di utilizzo, o se richiesto per legge; (b) vendere i Dati del cliente a terze parti; (c) conservare, usare o divulgare i Dati del cliente al di fuori del rapporto commerciale diretto tra GoDaddy e il Cliente.

Per evitare ambiguità, le istruzioni del Cliente relativamente al Trattamento dei dati del cliente dovranno rispettare le Leggi sulla protezione dei dati. Il Cliente ha la sola responsabilità di garantire accuratezza, qualità e legalità dei Dati del cliente e i mezzi tramite i quali il Cliente ha acquisito i Dati del cliente. Se il Cliente è un titolare del trattamento dei Dati del cliente, riconosce e accetta le seguenti dichiarazioni: (i) deve mettere in atto sforzi commercialmente ragionevoli per condividere chiaramente, e ottenere il consenso per, qualsiasi raccolta di dati, condivisione e utilizzo che abbia luogo in uno qualsiasi dei Servizi previsti; e (ii) deve essere chiaro che come conseguenza dell'uso dei Servizi previsti i dati dell'Utente finale potrebbero essere elaborati al di fuori del Paese di origine. Se il Cliente è responsabile del trattamento dei Dati del cliente, il Cliente garantisce che le istruzioni e le azioni del Cliente in merito ai Dati del cliente, come la nomina di GoDaddy come altro responsabile, siano state autorizzate dal relativo titolare del trattamento. A GoDaddy non deve essere richiesto di rispettare o osservare le istruzioni del Cliente se tali istruzioni violano le leggi sulla Protezione dei dati. La durata, la natura e la finalità del Trattamento, le tipologie di Dati Personali e le categorie di Soggetti interessati sottoposti a trattamento secondo le presenti Clausole integrative sono illustrate in dettaglio nell'Appendice 1 ("Dettagli sul trattamento") delle presenti Clausole integrative.

GoDaddy non divulgherà i Dati del cliente ad alcun ente pubblico o parte terza, salvo se necessario per ottemperare alle leggi vigenti o a un'ordinanza valida e vincolante di un'autorità preposta al rispetto della legge (ad esempio, un mandato di comparizione o un ordine di tribunale). Nel caso in cui GoDaddy riceva un valido mandato di comparizione in sede civile, e nella misura consentita dalla legge, GoDaddy si impegnerà a informare il Cliente dell'istanza con ragionevole preavviso, tramite e-mail o servizio postale, in modo da consentire allo stesso di richiedere un'ordinanza cautelare o altro opportuno rimedio.

4.1 GoDaddy ha implementato e gestirà le misure tecniche e organizzative per la Rete di GoDaddy, secondo quanto descritto in questa Sezione e quanto ulteriormente illustrato nell'Allegato 2 delle presenti Clausole integrative, Standard di sicurezza. In particolare, GoDaddy ha implementato e gestirà le seguenti misure tecniche e organizzative che riguardano (i) sicurezza della Rete di GoDaddy; (ii) sicurezza fisica delle strutture; (iii) controlli sull'accesso di dipendenti e collaboratori a (i) e/o (ii); e (iv) procedure per testare, valutare e verificare l'efficacia delle misure tecniche e organizzative implementate da GoDaddy. Qualora l'Azienda non fosse in grado di rispettare uno qualunque dei nostri obblighi descritti in questa sede, fornirà un avviso scritto (tramite sito web o email) non appena possibile.

4.2 GoDaddy rende disponibile una serie di funzioni e funzionalità di sicurezza che il Cliente può scegliere in relazione ai Servizi previsti. Il Cliente è responsabile di: (a) configurare opportunamente i Servizi previsti, (b) utilizzare i controlli disponibili in relazione ai Servizi previsti (inclusi i controlli di sicurezza) per garantire riservatezza, integrità, disponibilità e resilienza continue di servizi e sistemi di trattamento dei dati, (c) utilizzare i controlli disponibili in relazione ai Servizi previsti (inclusi i controlli di sicurezza) per consentire il ripristino tempestivo della disponibilità e dell'accesso ai Dati del cliente in caso di incidente tecnico o fisico (ad esempio, backup e archiviazione standard dei Dati del Cliente), (d) prendere le misure ritenute necessarie dal Cliente per garantire sicurezza, protezione ed eliminazione adeguati dei Dati del cliente, incluso l'uso di tecnologie di crittografia per proteggere tali dati dall'accesso non autorizzato e di misure atte a controllare i diritti di accesso ai Dati del cliente.

Tenendo conto della natura dei Servizi previsti, GoDaddy offriamo al Cliente determinati controlli, utilizzabili dal Cliente per recuperare, correggere, eliminare o limitare l'uso e condividere i Dati del cliente, secondo quanto descritto nei Servizi previsti. Il Cliente può utilizzare tali controlli come misure tecniche e organizzative per l'assistenza in connessione ai suoi obblighi previsti dalle leggi sulla Protezione dei dati, inclusi gli obblighi circa la necessità di rispondere alle richieste dei soggetti interessati. Secondo quanto commercialmente ragionevole e nella misura necessaria o consentita dalle leggi, GoDaddy notificherà tempestivamente il Cliente se GoDaddy dovesse ricevere una richiesta da un Soggetto interessato a esercitare tali diritti in base alle leggi sulla privacy dei dati applicabili ("Richiesta dei soggetti interessati"). Inoltre, laddove l'uso dei Servizi previsti da parte del Cliente limiti la possibilità di soddisfare una Richiesta dei soggetti interessati, GoDaddy può, ove legalmente consentito, applicabile e su specifica richiesta del Cliente, fornire assistenza commercialmente ragionevole nel rispondere alla richiesta, di cui il Cliente sosterrà (se applicabile) i costi.

6.1 Sub-responsabili autorizzati. Il Cliente accetta che GoDaddypossa avvalersi di sub-responsabili per rispettare i suoi obblighi contrattuali in base ai presenti Termini di utilizzo e alle Clausole integrative per somministrare determinati servizi per suo conto, ad esempio servizi di assistenza. Il Cliente in questa sede acconsente all'impiego di sub-responsabili da parte di GoDaddy, secondo quanto descritto in questa Sezione.

6.2 Obblighi del sub-responsabile. Laddove GoDaddy si avvalga di qualsiasi Sub-responsabile autorizzato, secondo quanto descritto alla Sezione 6.1:

(i)GoDaddy limiterà l'accesso del Sub-responsabile ai Dati del cliente a quanto necessario per gestire i Servizi previsti o per somministrare i Servizi previsti al Cliente e a qualsiasi utente finale in conformità ai Termini di utilizzo. GoDaddy impedirà al Sub-responsabile di accedere ai Dati del cliente per qualsiasi altro scopo;

(ii)GoDaddy sottoscriverà un accordo scritto con il Sub-responsabile e, nella misura in cui il Sub-responsabile somministri i medesimi servizi di trattamento dei dati forniti da GoDaddy in base alle presenti Clausole integrative, GoDaddy imporrà al Sub-responsabile obblighi sostanzialmente simili di GoDaddy in base alle Clausole integrative;

(iii)GoDaddyrimarrà responsabile della sua conformità agli obblighi delle presenti Clausole integrative e per eventuali azioni od omissioni del Sub-responsabile a causa del quale GoDaddy viola uno qualsiasi degli obblighi di GoDaddy in base alle presenti Clausole integrative.

6.3 Nuovi sub-responsabili.  Di volta in volta, possiamo coinvolgere nuovi sub-responsabili e soggetti in base ai termini delle presenti Clausole integrative sul trattamento dei dati.  In tal caso, forniremo un preavviso di 30 giorni (tramite il nostro sito web o via email) prima che qualsiasi nuovo Sub-responsabile ottenga l'accesso ai Dati del cliente. Se il Cliente non approva un nuovo Sub-responsabile, il Cliente può recedere da qualsiasi Servizio da noi coperto senza alcuna penalità fornendo, entro 10 giorni dalla ricezione del nostro avviso, una comunicazione scritta della sua intenzione di risolvere il contratto che includa una spiegazione dei motivi della mancata approvazione da parte del Cliente. Se i Servizi coperti fanno parte di un pacchetto o di un acquisto in pacchetto, la risoluzione si applicherà a tutto il pacchetto nel suo complesso.

7.1 Incidenti di sicurezza. Qualora GoDaddy venisse a conoscenza di un Incidente di sicurezza, GoDaddy procederà senza indugio a: (a) informare il Cliente dell'Incidente di sicurezza; (b) adottare ragionevoli misure per ridurre gli effetti e i danni risultanti dall'Incidente di sicurezza.

7.2 GoDaddy Assistenza. Per assistere il Cliente con le notifiche di eventuali violazioni dei dati personali che lo stesso è tenuto a inviare in base alle vigenti leggi sulla Protezione dei dati, GoDaddy includerà nella notifica le informazioni sull'Incidente di sicurezza che GoDaddy è ragionevolmente in grado di divulgare al Cliente, tenendo conto della natura dei Servizi previsti, delle informazioni di cui GoDaddy dispone e di eventuali limitazioni previste per la divulgazione delle informazioni, ad esempio la riservatezza.

7.3 Mancati incidenti di sicurezza. Il Cliente accetta che un mancato Incidente di sicurezza non sarà soggetto ai termini delle presenti Clausole integrative. Per mancato Incidente di sicurezza si intende un incidente che non comporta alcun accesso non autorizzato ai Dati del cliente o alle attrezzature di rete o strutture in cui sono conservati i Dati del cliente di GoDaddy e può includere, a titolo esemplificativo, ping e altri attacchi broadcast su firewall o server edge, scansione delle porte, tentativi di accesso non riusciti, attacchi DDoS, sniffing di pacchetti (o altro tipo di accesso non autorizzato ai dati sul traffico che non vada oltre alle intestazioni) o incidenti simili.

7.4 Notifica. Eventuali Notifiche di Incidenti di sicurezza saranno inviate a uno o più amministratori del Cliente, tramite qualsiasi mezzo scelto da GoDaddy, anche tramite email. È esclusiva responsabilità del Cliente garantire che gli amministratori mantengano aggiornati e accurati i recapiti nella console di gestione di GoDaddy in modo da consentire la trasmissione sicura in qualsiasi momento.

7.5 Nessuna accettazione di errore da parte di GoDaddy: L'obbligo di GoDaddy di segnalare o rispondere a un Incidente di sicurezza in base a quanto illustrato in questa Sezione non rappresenta e non sarà interpretato come l'accettazione da parte di GoDaddy di alcuna colpa o responsabilità di GoDaddy in merito all'Incidente di sicurezza.

8.1 Determinazione indipendente. Il Cliente è responsabile di revisionare le informazioni rese disponibili da GoDaddy in merito alla sicurezza dei dati e agli Standard di sicurezza e di determinare in modo indipendente se i Servizi previsti rispondano ai requisiti e agli obblighi di legge del Cliente nonché agli obblighi del Cliente in base alle presenti Clausole integrative. Le informazioni rese disponibili sono mirate ad aiutare il Cliente a rispettare i suoi obblighi ai sensi delle leggi sulla Protezione dei dati applicabili. Il Cliente accetta che i Servizi forniti e gli Standard di sicurezza implementati e mantenuti da GoDaddy garantiscano un livello di sicurezza appropriato al rischio dei dati personali (tenendo conto dello stato di avanguardia, dei costi di implementazione e della natura, dell'ambito, del contesto e degli scopi del trattamento dei dati personali così come dei rischi alle singole persone).

8.2 Diritti di verifica del cliente. Il Cliente ha il diritto di verificare la conformità di GoDaddy alle presenti Clausole integrative, secondo quanto applicabile ai Servizi previsti, inviando un'esplicita richiesta per iscritto, a intervalli ragionevoli, all'indirizzo indicato nei Termini di utilizzo. Qualora GoDaddy rifiutasse di seguire qualsiasi istruzione fornita dal Cliente circa una verifica o un'ispezione richiesta tramite mezzi idonei, il Cliente ha il diritto di risolvere le presenti Clausole integrative e i Termini di utilizzo.

9.1 Trattamento dei dati effettuato negli Stati Uniti. Ad eccezione di quanto specificamente indicato nei presenti Termini di utilizzo, i Dati del cliente saranno trasferiti al di fuori del Regno Unito e del SEE e trattati negli Stati Uniti.

9.2 Applicazione delle Clausole contrattuali standard UE. Il Modulo due (da Titolare del trattamento a Responsabile del trattamento) delle Clausole contrattuali standard UE o il Modulo tre (da Responsabile del trattamento a Responsabile del trattamento) delle Clausole contrattuali standard UE si applicano ai Dati del cliente trasferiti all'esterno del SEE, sia direttamente sia tramite trasferimento successivo, in Paesi che la Commissione europea non giudica in grado di fornire un livello adeguato di protezione dei Dati del cliente. Queste Clausole contrattuali standard UE non si applicano ai Dati del cliente che non vengono trasferiti, né direttamente né tramite trasferimento successivo, al di fuori del SEE. In deroga a quanto sopra esposto, queste Clausole contrattuali UE standard non si applicano laddove i dati vengano trasferiti secondo uno standard di conformità riconosciuto inerente al trasferimento lecito dei Dati personali al di fuori del SEE, ad esempio se necessario ai fini dell'esecuzione dei Servizi previsti in base ai Termini di utilizzo o con il consenso dell'utente.

1. Per ciascun modulo, se applicabile:
   1. nella Clausola 7 delle Clausole contrattuali standard UE la clausola facoltativa di docking non si applica;
   2. nella Clausola 9 delle Clausole contrattuali UE standard, l'Opzione 2 sarà applicata e il periodo di tempo per il preavviso scritto delle modifiche del Sub-responsabile sarà come stabilito nella Sezione 6.3 (Nuovi Sub-responsabili) di queste Clausole integrative;
   3. nella Clausola 11 delle Clausole contrattuali standard UE, non si applica la lingua opzionale;
   4. nella Clausola 17 (Opzione 1), le Clausole contrattuali standard UE saranno disciplinate dalle leggi tedesche;
   5. nella Clausola 18(b) delle Clausole contrattuali standard UE, le dispute saranno risolte dinanzi alle autorità giurisdizionali della Repubblica federale di Germania;
   6. nell'allegato I, Parte A delle Clausole contrattuali standard UE:
      • Elenco delle parti
        
        Esportatori di dati: l'esportatore dei dati rappresenta l'entità identificata come "Cliente" nelle Clausole integrative
        Data e firma: A decorrere dalla data dell'accettazione elettronica da parte dell'Esportatore dei dati dei Termini di utilizzo dell'Importatore dei dati, le presenti clausole contrattuali standard UE si intenderanno firmate dall'Importatore dei dati.
        Ruolo: Titolare del trattamento (nel Modulo due) o Responsabile del trattamento (nel Modulo tre)
        
        Importatori di dati: GoDaddy.com, LLC
        Dettagli di contatto: Office of the Data Protection Officer – privacy@godaddy.com
        Firma e data: A decorrere dalla data dell'accettazione elettronica da parte dell'Esportatore dei dati dei Termini di utilizzo dell'Importatore dei dati, le presenti clausole contrattuali standard UE si intenderanno firmate dall'Importatore dei dati.
        Ruolo: Responsabile del trattamento
   7. nell'Allegato I, Parte B delle Clausole contrattuali standard UE:
      • Descrizione di trasferimento
        
        Le categorie di soggetti interessati i cui dati personali sono trasferiti sono descritte nell'Appendice 1 delle Clausole integrative.
        Le categorie di dati personali trasferiti sono descritti nell'Appendice 1 delle Clausole integrative. I dati sensibili trasferiti sono descritti nell'Appendice 1 di queste Clausole integrative.
        La Frequenza di trasferimento è su base continua per la durata dei Termini di utilizzo.
        La Natura del trattamento è descritta nella Sezione 2.2 e nell'Appendice 1 delle Clausole integrative.
        Gli Scopi del trasferimento di dati e di elaborazioni ulteriori sono descritti nella Sezione 2.2 e nell'Appendice 1 di queste Clausole integrative.
        Il periodo in cui i dati personali saranno conservati è descritto nell'Appendice 1 di queste Clausole integrative
        Per i trasferimenti a (sub-) responsabili, i soggetti interessati, la natura e la durata del trattamento dei dati è stabilito nell'Allegato II delle Clausole contrattuali standard.
   8. Nell'Allegato I, Parte C delle Clausole contrattuali standard:
      • l'Autorità competente
        Commissione per la protezione dei dati e per la libertà di informazione del Nord Reno Westfalia ('LDI NRW') è l'autorità di supervisione competente.
   9. Nell'allegato II delle Clausole contrattuali standard UE:
      
      le misure di sicurezza tecniche e aziendali implementate dall'Importatore di dati sono quelle elencate nell'Appendice 2 delle Clausole integrative.
   10. nell'Allegato III delle Clausole contrattuali standard UE:
       
       l'Elenco dei Sub-responsabili è nell'Appendice 3 di queste Clausole integrative.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Per i trasferimenti di dati dal Regno Unito che sono soggetti alle Clausole integrative sul trasferimento internazionale dei dati UK, le Clausole integrative sul trasferimento internazionale dei dati UK saranno considerate incluse (e incorporate in queste Clausole integrative attraverso questo riferimento) e completate come segue:
   1. Nella Tabella 1 Clausole integrative sul trasferimento internazionale dei dati UK, i dettagli delle parti e le informazioni principali di contatto si trovano nella Sezione 9.2 (i)(f) di queste Clausole integrative.
   2. Nella Tabella 2 delle Clausole integrative sul trasferimento internazionale dei dati UK, i moduli e le versioni delle Clausole contrattuali standard UE, i moduli e le clausole selezionate a cui queste Clausole integrative sul trasferimento internazionale dei dati UK sono aggiunte si trovano nella Sezione 9.2 (Clausole contrattuali standard UE) di queste Clausole integrative.
   3. Nella Tabella 3 delle Clausole integrative sul trasferimento internazionale dei dati UK:
      1. L'elenco delle parti si trova nella Sezione 9.2 (i)(f) di queste clausole integrative.
      2. La descrizione del trasferimento è descritta nell'Appendice 1 (Natura e scopo del Trattamento dei dati) dell'Appendice 1 (Dettagli del trattamento dei dati) di queste Clausole integrative.
      3. L'Allegato II si trova nell'Appendice 2 (Standard di sicurezza) di queste Clausole integrative
      4. L'elenco dei Sub-responsabili è nell'Appendice 3 di queste Clausole integrative.
   4. Nella Tabella 4 delle Clausole integrative sul trasferimento internazionale dei dati UK ,sia l'Importatore che l'Esportatore possono concludere le Clausole integrative sul trasferimento internazionale dei dati UK ai sensi dei termini delle Clausole integrative sul trasferimento internazionale dei dati UK.

Le presenti Clausole integrative resteranno in vigore fino alla terminazione del trattamento, in base ai Termini di utilizzo ("Data di risoluzione").   

Secondo quanto descritto nei Servizi previsti, al Cliente possono essere messi a disposizione i controlli utilizzabili per recuperare o eliminare i Dati del cliente. L'eliminazione dei Dati del cliente avverrà trenta (30) giorni dopo la Data di risoluzione, soggetta ai termini dei particolari Servizi previsti. Il Cliente accetta che è responsabilità del Cliente esportare, prima della Data di risoluzione, qualsiasi tipo di Dati del cliente che desidera trattenere dopo la Data di risoluzione.

La responsabilità di ciascuna parte in base alle presenti Clausole integrative sarà soggetta alle esclusioni e limitazioni stabilite nei Termini di utilizzo. Il Cliente accetta che qualsiasi sanzione dovuta alle normative vigenti imposta a GoDaddy in relazione ai Dati del cliente risultante da o correlata al mancato adempimento degli obblighi previsti per il Cliente descritti nelle presenti Clausole integrative e in qualsiasi legge in materia di Protezione dei dati conterà ai fini di e ridurrà la responsabilità di GoDaddy, in base ai Termini di utilizzo come se fosse responsabilità del Cliente in base ai Termini di utilizzo.

Le presenti Clausole integrative annullano e sostituiscono tutti i precedenti o contemporanei intendimenti, dichiarazioni, accordi o comunicazioni tra il Cliente e GoDaddy, sia scritte sia verbali, in merito all'oggetto delle presenti Clausole integrative, incluse eventuali aggiunte circa il trattamento dei dati sottoscritte da GoDaddy e dal Cliente in merito al trattamento dei dati personali e alla libera circolazione di tali dati.  Nei limiti in cui ci siano conflitti o incoerenze tra le Clausole contrattuali standard UE o le Clausole aggiuntive sul trasferimento internazionale di dati UK e altri termini in queste Clausole integrative o nei Termini di utilizzo, prevalgono le disposizioni delle Clausole contrattuali standard UE o le Clausole aggiuntive sul trasferimento internazionale di dati UK, come applicabile. Fatto salvo quanto specificamente previsto dalle presenti Clausole integrative, i Termini di utilizzo rimarranno in pieno vigore.  In caso di conflitti tra i Termini di utilizzo e le presenti Clausole integrative, prevalgono i termini delle presenti Clausole integrative.

 DETTAGLI SUL TRATTAMENTO

 1. Natura e scopo del trattamento. GoDaddy tratterà i Dati del cliente secondo quanto necessario per la fornitura dei Servizi previsti in conformità ai Termini di utilizzo e secondo quanto richiesto dal Cliente nell'ambito dell'utilizzo dei Servizi previsti.

 2. Durata del trattamento. Ai sensi della Sezione 10 e 11 delle presenti Clausole integrative, GoDaddy tratterà i Dati del cliente durante il periodo di validità dei Termini di utilizzo. Ciò nonostante, GoDaddy può conservare i Dati del cliente, integralmente o in parte, se richiesto dalle normative o dal regolamento applicabili, comprese le Normative sulla protezione dei dati applicabili, purché tali Dati del cliente rimangano tutelati in conformità ai termini delle presenti Clausole integrative e delle Normative sulla protezione dei dati applicabili.

3. Categorie di Soggetti interessati. Il Cliente può caricare Dati personali durante l'utilizzo dei Servizi previsti, la cui entità viene determinata e controllata dal Cliente stesso a sua esclusiva discrezione e potrebbe includere, ma non si limita a, Dati personali circa le seguenti categorie di Soggetti interessati:

• Potenziali clienti, clienti, partner commerciali e fornitori del Cliente (persone fisiche)
• Dipendenti o referenti di potenziali clienti, clienti, partner commerciali e fornitori del Cliente
• Dipendenti, operatori, consulenti, collaboratori freelance del Cliente (considerate come persone fisiche)
• Utenti del Cliente autorizzati dal Cliente stesso a utilizzare i Servizi previsti

4. Categorie di dati personali. Il Cliente può caricare dati personali durante il suo utilizzo dei Servizi previsti, la tipologia e le finalità dei quali vengono determinate e controllate dal Cliente stesso a sua esclusiva discrezione e potrebbero includere, a titolo esemplificativo, le seguenti categorie di Dati personali dei Soggetti interessati: 

• Nome
• Indirizzo
• Numero di telefono
• Data di nascita
• Indirizzo email
• Altri dati raccolti che potrebbero direttamente o indirettamente identificare i soggetti interessati.

5. Dati sensibili o Categorie speciali di dati. Il Cliente può caricare dati personali durante il suo utilizzo dei Servizi previsti, la tipologia e le finalità dei quali vengono determinate e controllate dal Cliente stesso a sua esclusiva discrezione. Il Cliente è responsabile per l'applicazione di limitazioni e salvaguardie che prendono pienamente in considerazione la natura dei dati e i rischi coinvolti prima della trasmissione o del trattamento di qualsiasi Dato sensibile tramite i Servizi previsti.

Standard di sicurezza

I.  Misure tecniche e organizzative  

Ci impegniamo a proteggere i dati dei clienti.  Tenendo conto delle best practice, dei costi di implementazione e della natura, della finalità, delle circostanze e degli obiettivi del trattamento oltre alla diversa probabilità di ricorrenza e alla gravità dei rischi per i diritti e le libertà delle persone fisiche, prendiamo le seguenti misure tecniche e organizzative.  Al momento di decidere le azioni da mettere in atto, prendiamo in considerazione riservatezza, integrità, disponibilità e resilienza dei sistemi.

II.  Programma sulla privacy dei dati  

Il nostro Programma sulla privacy dei dati è stato redatto per gestire una struttura globale per la governance dei dati e proteggere le informazioni durante il loro intero ciclo di vita. Il programma è condotto dall'ufficio del Data Protection Officer che sovrintende l'implementazione delle prassi per la privacy e delle misure di sicurezza. Testiamo, valutiamo e verifichiamo con regolarità l'efficacia del Programma sulla privacy dei dati e degli Standard di sicurezza.

1. Riservatezza. "Riservatezza indica che i dati personali sono protetti contro la divulgazione non autorizzata".  

Impieghiamo una serie di misure fisiche e logiche per proteggere la riservatezza dei dati personali dei clienti. Tali misure includono:   

  Sicurezza fisica  

• Sistemi fisici per il controllo degli accessi (controllo degli accessi tramite badge, monitoraggio degli eventi di sicurezza e altro) 
• Sistemi di sorveglianza, inclusi allarmi e, ove appropriato, monitoraggio mediante monitor a circuito chiuso
• Politiche e controlli per tenere le scrivanie sgombre (blocco dei computer lasciati incustoditi, armadi bloccati e altro)  
•  Controllo degli accessi dei visitatori
• Distruzione dei dati su supporti fisici e documenti (tramite tritura documenti, demagnetizzazione e così via)

  Controllo degli accessi e prevenzione degli accessi non autorizzati 

• Limitazioni per l'accesso utente applicate e autorizzazioni di accesso basate sul ruolo fornite/revisionate in base al principio di separazione delle funzioni
• Metodi efficaci di autorizzazione e autenticazione (autenticazione a più fattori, autorizzazione basata su certificato, disattivazione/disconnessione automatica e così via) 
• Gestione centralizzata delle password e politiche severe/complesse per le password (numero minimo di caratteri, complessità dei caratteri, scadenza delle password e così via)   
• Accesso controllato a email e Internet
• Gestione degli antivirus
• Gestione del sistema di prevenzione delle intrusioni

Crittografia   

• Crittografia delle comunicazioni esterne e interne tramite severi protocolli di crittografia
• Crittografia dei dati personali e sensibili a riposo (database, directory condivise e così via.)   
• Crittografia completa del disco per PC e laptop aziendali
• Crittografia dei supporti multimediali per l'archiviazione dei dati
• Le connessioni remote alle reti aziendali sono crittografate tramite VPN
• Protezione del ciclo di vita delle chiavi di crittografia

 Minimizzazione dei dati    

• Minimizzazione dei dati PII/SPI nei registri di applicazioni, debug e sicurezza
• Pseudononimizzazione dei dati personali per impedire l'identificazione diretta di un individuo
• Segregazione dei dati archiviati per funzione (test, staging, live)
• Segregazione logica dei dati tramite diritti di accesso basati sui dati
• Periodi definiti per la conservazione dei dati personali

Test per la sicurezza     

• Test di penetrazione per reti e piattaforme aziendali critiche su cui sono ospitati i dati personali
• Scansioni regolari di rete e vulnerabilità

2. Integrità. “Integrità significa garantire la correttezza (completezza) dei dati e il corretto funzionamento dei sistemi. Laddove il termine integrità sia usato in connessione con il termine "dati", indica che i dati sono completi e inalterati."  

Sono stati implementati gli opportuni controlli per la gestione di registri e modifiche, oltre ai controlli di accesso per poter garantire l'integrità dei dati personali quali:    

Change management e release management    

• Procedure di change e release management, inclusi analisi dell'impatto, approvazioni, test, revisioni di sicurezza, staging, monitoraggio e così via.  
• Provisioning degli accessi basato su ruoli e funzioni (separazione delle funzioni) negli ambienti di produzione

Registrazione e monitoraggio

• Registrazione di accesso e modifiche ai dati
• Registri di controllo e sicurezza centralizzati
• Monitoraggio della completezza e correttezza del trasferimento dei dati (controllo end-to-end)

3. Disponibilità. "La disponibilità dei servizi e dei sistemi IT, delle funzioni di applicazioni e reti IT e delle informazioni è garantita se l'utente è in grado di utilizzare questi strumenti in qualsiasi momento, secondo quanto previsto".    

Implementiamo opportune misure di sicurezza e continuità per garantire la disponibilità dei servizi e dei dati che risiedono nei servizi:    

• Verifiche di failover regolari applicate ai servizi critici
• Monitoraggio e reportistica completi di prestazioni/disponibilità per i sistemi critici
• Programma di risposta agli incidenti
• Dati critici replicati o sottoposti a backup (backup su cloud/replica di hard disk/database e così via.) 
• Manutenzione programmata di software, infrastruttura e sicurezza (aggiornamenti software, applicazione di patch per la sicurezza e così via)   
• Sistemi ridondanti e resilienti (cluster di server, database replicati, configurazioni ad alta disponibilità e così via) situati esternamente o in località geograficamente separate
• Uso di fonti di alimentazione senza interruzioni, hardware e sistemi di rete ridondanti in caso di guasti
• Sistemi di allarme e di sicurezza implementati
• Misure di protezione fisica implementate per i siti critici (protezione da sbalzi di tensione, pavimenti sopraelevati, sistemi di raffreddamento, rilevatori di incendi e/o fumo, sistemi di eliminazione degli incendi e così via) 
• Protezione da attacchi DDoS per garantire la disponibilità
• Prove di carico e di sforzo

4. Istruzioni per il trattamento dei dati. Con il termine "Istruzioni per il trattamento dei dati" si intendono le misure atte a garantire che i dati personali siano trattati esclusivamente nel rispetto delle istruzioni del Titolare del trattamento e delle misure della relativa azienda".  

Abbiamo implementato politiche interne e accordi sulla privacy e somministriamo regolarmente formazione sulla privacy ai nostri dipendenti per garantire che i dati personali siano trattati in conformità alle preferenze e alle istruzioni dei clienti.   

• Termini relativi a privacy e riservatezza previsti all'interno dei contratti dei dipendenti
• Sessioni di formazione regolari in materia di privacy e sicurezza dei dati per i dipendenti
• Disposizioni contrattuali adeguate per gli accordi con i sub-collaboratori per conservare diritti di controllo regolativo
• Regolari verifiche sulla privacy per service provider esterni
• Concessione del controllo completo ai clienti sulle preferenze circa il trattamento dei loro dati
• Controlli regolari sulla sicurezza