GoDaddy - CLAUSOLE INTEGRATIVE SUL TRATTAMENTO DEI DATI
Data ultima revisione: 13.09.2024
La presente appendice sull'elaborazione dei dati (l'"Appendice") viene stipulata da e tra il Cliente ("Cliente") e l'entità GoDaddy che aderisce ai Termini di utilizzo universali e a qualsiasi altro accordo tra il Cliente e GoDaddy (collettivamente, il "Contratto"). GoDaddy e il Cliente sono qui indicati individualmente come "Parte" e collettivamente come "Parti". Le presenti Clausole integrative per il trattamento dei dati decorrono dalla data di decorrenza del Contratto ("Data di decorrenza") e disciplinano tutti i trattamenti dei dati personali del Cliente ai sensi del Contratto.
1. Definizioni. Se non diversamente definito dalle leggi sulla protezione dei dati applicabili (come definite di seguito), i termini in maiuscolo elencati nella presente Sezione hanno il seguente significato:
1.1 Per "Affiliata" si intende qualsiasi entità che controlla o è sotto controllo comune con una Parte. Per "controllo" si intende la proprietà o il controllo diretto o indiretto del cinquanta percento (50%) o più degli interessi di voto di un'entità.
2. Ambito del Trattamento dei Dati e delle Relazioni tra le Parti
1.2. "Titolare del trattamento" indica la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei Dati personali del Cliente ai sensi del Contratto.
1.3 Per "Dati personali del Cliente" si intendono i Dati personali (come definiti di seguito) elaborati da GoDaddy per conto del Cliente in relazione all'uso dei Servizi da parte del Cliente. I Dati personali del Cliente non includono Dati di GoDaddy.
1.4 Per "Legge sulla protezione dei dati" si intende qualsiasi legge o regolamento applicabile al trattamento dei Dati personali del Cliente ai sensi del Contratto.
1.5 Per "Soggetto interessato" si intende una persona fisica identificata o identificabile a cui si riferiscono specifici Dati personali.
1.6 Per "Dati anonimizzati" si intendono i dati che non possono ragionevolmente essere identificati, riferiti, descritti, associati o collegati, direttamente o indirettamente, a uno specifico Soggetto interessato.
1.7 Per "Dati GoDaddy" si intendono (a) tutte le informazioni relative all'attività di GoDaddy e alla fornitura dei Servizi, inclusi, a titolo esemplificativo, i Dati personali relativi al Cliente e ai suoi dipendenti o rappresentanti, (b) altri dati relativi all'account del Cliente, alla cronologia delle transazioni, all'utilizzo dei Servizi e alla verifica dell'identità e (c), fatte salve le limitazioni previste da eventuali leggi applicabili in materia di protezione dei dati, i Dati anonimizzati.
1.8 Per "Dati personali" si intendono le informazioni relative a una persona fisica identificata o identificabile, comprese le informazioni definite come Dati personali, Informazioni personali o Informazioni di identificazione personale ("PII") in qualsiasi legge applicabile sulla protezione dei dati. I dati personali non comprendono i dati anonimizzati.
1.10 Per "Responsabile del trattamento" si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un organismo che tratta i Dati personali del Cliente per conto di un Titolare del trattamento ai sensi del Contratto.
1.9 "Trattamento" indica qualsiasi operazione eseguita sui Dati personali del Cliente, come la raccolta, l'uso, la conservazione, la divulgazione, l'analisi, l'eliminazione o la modifica, sia con mezzi manuali che automatizzati.
1.11 Per "Dati personali sensibili" si intendono (a) il numero di previdenza sociale, il numero di passaporto, il numero di patente di guida o un identificatore simile; (b) i dati di carta di credito o debito, le informazioni finanziarie, numeri di conti bancari o password di conti; (c) le informazioni finanziarie, genetiche, biometriche o su impiego e salute; (d) l'affiliazione razziale, etnica, politica o religiosa, l'appartenenza sindacale, o informazioni sulla vita o l'orientamento; (e) password di account, il nome da nubile della madre, la data di nascita e altre informazioni analoghe utilizzate per identificare l'identità di un utente; (f) precedenti penali; (g) dati biometrici utilizzati per identificare una determinata persona (ad es. impronte digitali); o (h) qualsiasi altra informazione o combinazione di informazioni che rientrano nella definizione di "categorie speciali di dati" in base a qualsiasi normativa applicabile in materia di protezione dei dati.
1.12 Per "Servizi" si intendono i prodotti o i servizi che GoDaddy ha accettato di fornire ai sensi del Contratto e che comportano il trattamento dei Dati personali del Cliente.
1.13 Per "Sub-responsabile" si intende qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o ente con cui GoDaddy stipula un contratto per il trattamento dei Dati personali del Cliente.
1.14 Per "Trasferimento" si intende (a) il trasferimento di Dati personali del Cliente dal Titolare del trattamento al Responsabile del trattamento, sia mediante trasferimento fisico che mediante la concessione dell'accesso ai Dati personali del Cliente detenuti o altrimenti controllati dal Titolare del trattamento o (b) il successivo trasferimento dei Dati personali del Cliente da un Responsabile del trattamento a un Sub-responsabile (e qualsiasi successivo trasferimento da un Sub-responsabile a un altro Sub-responsabile).
2.1 Il Cliente come Titolare o Responsabile del trattamento
2.1.1 Nel caso in cui il Cliente sia un Titolare del trattamento, questi (a) è l'unico responsabile della determinazione delle finalità e dei mezzi del trattamento dei Dati personali del Cliente, (b) dispone di tutte le autorità, i motivi, i diritti e i permessi necessari per fornire i Dati personali del Cliente a GoDaddy e (c) rispetterà i propri obblighi in qualità di Titolare del trattamento ai sensi delle leggi sulla protezione dei dati applicabili.
2.1.2 Nel caso in cui il Cliente sia un Responsabile del trattamento, questi (a) sarà l'unico responsabile del rispetto dei propri accordi con i Titolari del trattamento dei dati per conto dei quali tratta Dati personali del Cliente; (b) dispone di tutte le autorizzazioni necessarie da parte del Titolare del trattamento per fornire i Dati personali del Cliente a GoDaddy, e (c) rispetterà i propri obblighi in qualità di Responsabile del trattamento ai sensi delle Leggi sul trattamento dei dati applicabili.
2.1.2 Nel caso in cui il Cliente sia un Responsabile del trattamento, questi (a) sarà l'unico responsabile del rispetto dei propri accordi con i Titolari del trattamento dei dati per conto dei quali tratta Dati personali del Cliente; (b) dispone di tutte le autorizzazioni necessarie da parte del Titolare del trattamento per fornire i Dati personali del Cliente a GoDaddy, e (c) rispetterà i propri obblighi in qualità di Responsabile del trattamento ai sensi delle Leggi sul trattamento dei dati applicabili.
2.2 GoDaddy in qualità di Responsabile o Sub-responsabile del trattamento.
2.2.1 GoDaddy adotterà tutte le misure ragionevolmente necessarie per consentire al Cliente di adempiere ai propri obblighi in qualità di Titolare e/o Responsabile del trattamento ai sensi delle Leggi sulla protezione dei dati, coerentemente con il carattere, la natura, l'ambito e lo scopo dei Servizi forniti da GoDaddy. A scanso di equivoci, GoDaddy non è tenuta a intraprendere alcuna azione per modificare o rendere i Servizi GoDaddy conformi all'uso specifico del Cliente. L'unico rimedio a disposizione del Cliente nel caso in cui i Servizi siano ritenuti non conformi per l'uso specifico del Cliente è la risoluzione di qualsiasi parte del Contratto che riguardi l'elaborazione dei Dati personali del Cliente.
2.2.2 GoDaddy tratterà i Dati personali del Cliente solo su istruzioni documentate per gli scopi limitati e specifici descritti nel Contratto, nelle presenti Clausole integrative per il trattamento dei dati o come richiesto dalla legge.
2.2.3 GoDaddy non venderà, conserverà, utilizzerà né divulgherà i Dati personali del Cliente per scopi commerciali diversi dalla fornitura dei Servizi.
2.2.4 GoDaddy non tratterà i Dati personali del Cliente al di fuori del rapporto commerciale diretto tra le Parti descritto nel Contratto e nelle presenti Clausole integrative per il trattamento dei dati.
2.2.5 GoDaddy non combinerà i Dati personali del Cliente con altri dati raccolti da GoDaddy (direttamente o tramite terzi) se non come espressamente consentito dal Contratto.
2.2.6 GoDaddy interromperà tutti i trattamenti e informerà il Cliente entro tre (3) giorni lavorativi qualora GoDaddy: (a) ritenga che un'istruzione del Cliente violi una legge applicabile in materia di trattamento dei dati o (b) ritenga che GoDaddy non sia in grado di rispettare una legge applicabile in materia di trattamento dei dati o i suoi obblighi ai sensi delle presenti Clausole integrative per il trattamento dei dati.
2.2.2 GoDaddy tratterà i Dati personali del Cliente solo su istruzioni documentate per gli scopi limitati e specifici descritti nel Contratto, nelle presenti Clausole integrative per il trattamento dei dati o come richiesto dalla legge.
2.2.3 GoDaddy non venderà, conserverà, utilizzerà né divulgherà i Dati personali del Cliente per scopi commerciali diversi dalla fornitura dei Servizi.
2.2.4 GoDaddy non tratterà i Dati personali del Cliente al di fuori del rapporto commerciale diretto tra le Parti descritto nel Contratto e nelle presenti Clausole integrative per il trattamento dei dati.
2.2.5 GoDaddy non combinerà i Dati personali del Cliente con altri dati raccolti da GoDaddy (direttamente o tramite terzi) se non come espressamente consentito dal Contratto.
2.2.6 GoDaddy interromperà tutti i trattamenti e informerà il Cliente entro tre (3) giorni lavorativi qualora GoDaddy: (a) ritenga che un'istruzione del Cliente violi una legge applicabile in materia di trattamento dei dati o (b) ritenga che GoDaddy non sia in grado di rispettare una legge applicabile in materia di trattamento dei dati o i suoi obblighi ai sensi delle presenti Clausole integrative per il trattamento dei dati.
2.3 Affiliate.
3. Sub-trattamento
2.3.1 Affiliate del Cliente. Ai fini delle presenti Clausole integrative per il trattamento dei dati, qualsiasi Dato personale fornito a GoDaddy o alle Affiliate di GoDaddy da un'Affiliata del Cliente per il trattamento dei dati per conto del Cliente e/o dell'Affiliata del Cliente sarà considerato come un Dato personale del Cliente e sarà stato fornito dal Cliente. Il Cliente dichiara che adotterà tutte le misure ragionevolmente necessarie per garantire che le sue Affiliate rispettino tutti gli obblighi del Cliente in relazione alle presenti Clausole integrative per il trattamento dei dati. Il Cliente è tenuto a garantire l'osservanza, da parte delle sue Affiliate, di tutte le Condizioni del presente Clausole integrative per il trattamento dei dati.
2.3.2 Affiliate di GoDaddy. Ai fini delle presenti Clausole integrative per il trattamento dei dati, qualsiasi Dato personale del Cliente ricevuto dalle Affiliate di GoDaddy sarà considerato come ricevuto da GoDaddy. GoDaddy dichiara che adotterà tutte le misure ragionevolmente necessarie per garantire che le sue Affiliate rispettino gli obblighi di GoDaddy in relazione al trattamento dei Dati personali del Cliente ai sensi del presente Clausole integrative per il trattamento dei dati. GoDaddy è responsabile dell'osservanza, da parte delle Affiliate di GoDaddy, di tutti i termini delle presenti Clausole integrative per il trattamento dei dati.
2.3.2 Affiliate di GoDaddy. Ai fini delle presenti Clausole integrative per il trattamento dei dati, qualsiasi Dato personale del Cliente ricevuto dalle Affiliate di GoDaddy sarà considerato come ricevuto da GoDaddy. GoDaddy dichiara che adotterà tutte le misure ragionevolmente necessarie per garantire che le sue Affiliate rispettino gli obblighi di GoDaddy in relazione al trattamento dei Dati personali del Cliente ai sensi del presente Clausole integrative per il trattamento dei dati. GoDaddy è responsabile dell'osservanza, da parte delle Affiliate di GoDaddy, di tutti i termini delle presenti Clausole integrative per il trattamento dei dati.
3.1 Il Cliente fornisce un'autorizzazione generale a
per l'assunzione di sub-responsabili.GoDaddy
3.2 L'utente è invitato a consultare l'elenco dei nostri Sub-responsabili
3.3 Prima di trasferire i Dati personali del Cliente a un Sub-responsabile, GoDaddy dovrà: (a) stipulare con il Sub-responsabile un accordo scritto che tuteli i Dati del Cliente almeno quanto le presenti Clausole integrative per il trattamento dei dati; (b) condurre una due diligence per confermare che il Sub-responsabile sia in grado di rispettare i termini materiali delle presenti Clausole integrative per il trattamento dei dati e delle Leggi sulla protezione dei dati in relazione al trattamento dei Dati del Cliente da parte di
, compresi i requisiti di sicurezza delle informazioni di cui alle Sezioni 5, 6 e 8 e all'Allegato 2 delle presenti Clausole integrative per il trattamento dei dati.GoDaddy
3.4 GoDaddy è responsabile degli atti e delle omissioni dei propri Sub-responsabili, compresi gli atti o le omissioni dei sub-responsabili dei propri Sub-responsabili. 3.5 Nuovi Sub-responsabili; diritto di opposizione.
4. Elaborazione a fini legali e altre richieste di terzi per i dati personali dei Clienti
per l'assunzione di sub-responsabili.GoDaddy
3.2 L'utente è invitato a consultare l'elenco dei nostri Sub-responsabili
3.3 Prima di trasferire i Dati personali del Cliente a un Sub-responsabile, GoDaddy dovrà: (a) stipulare con il Sub-responsabile un accordo scritto che tuteli i Dati del Cliente almeno quanto le presenti Clausole integrative per il trattamento dei dati; (b) condurre una due diligence per confermare che il Sub-responsabile sia in grado di rispettare i termini materiali delle presenti Clausole integrative per il trattamento dei dati e delle Leggi sulla protezione dei dati in relazione al trattamento dei Dati del Cliente da parte di
, compresi i requisiti di sicurezza delle informazioni di cui alle Sezioni 5, 6 e 8 e all'Allegato 2 delle presenti Clausole integrative per il trattamento dei dati.GoDaddy
3.4 GoDaddy è responsabile degli atti e delle omissioni dei propri Sub-responsabili, compresi gli atti o le omissioni dei sub-responsabili dei propri Sub-responsabili. 3.5 Nuovi Sub-responsabili; diritto di opposizione.
3.5.1 GoDaddy compirà ogni ragionevole sforzo per comunicare per iscritto al Cliente, con almeno sessanta (60) giorni di anticipo, l'intenzione di GoDaddy di nominare un nuovo Sub-responsabile; a condizione, tuttavia, che non sia necessario un preavviso di sessanta (60) giorni e che GoDaddy comunichi al Cliente, senza indebito ritardo, la nomina di un nuovo Sub-responsabile nel caso in cui la nomina immediata sia necessaria per mantenere la sicurezza dei Dati personali del Cliente o per conformarsi alla legge applicabile.
3.5.2 Qualora il Cliente si opponga ragionevolmente a un nuovo Sub-responsabile, dovrà comunicarlo per iscritto a GoDaddy entro trenta (30) giorni dalla nomina del Sub-responsabile. A esclusiva discrezione di GoDaddy, GoDaddy potrà compiere sforzi commercialmente ragionevoli per risolvere l'obiezione del Cliente. Qualora le Parti non riescano a risolvere l'obiezione del Cliente entro trenta (30) giorni, il Cliente potrà risolvere le presenti Clausole integrative per il trattamento dei Dati e qualsiasi parte del Contratto relativa al trattamento di Dati personali del Cliente.
3.5.3 Qualora il Cliente non si opponga a un nuovo Sub-responsabile entro trenta (30) giorni dalla notifica della nomina, sarà ritenuto aver accettato il nuovo Sub-responsabile.
3.5.4 La notifica di un nuovo Sub-responsabile può essere fornita aggiornando l'elenco dei Sub-responsabili di cui alla Sezione 3.2.
4.1 GoDaddy non risponderà a nessuna richiesta informale di Dati personali del Cliente da parte di un ente governativo, di un'agenzia esecutiva o di altri soggetti, se non in risposta a una citazione in giudizio, a un mandato di perquisizione, a un ordine del tribunale o a un'altra procedura legale simile (collettivamente, "Procedimento legale"), a meno che tale divulgazione non sia ritenuta da GoDaddy, a sua ragionevole discrezione, come (a) richiesta dalla legge, (b) necessaria per proteggere i sistemi di GoDaddy o i dati del Cliente da danni o usi impropri, o (c) necessaria per proteggere GoDaddy o qualsiasi altra persona da danni o lesioni fisiche.
5. Sicurezza dei dati
4.2 A meno che non sia vietato dalla legge, GoDaddy comunicherà tempestivamente al Cliente l'eventuale ricezione di procedimenti legali che richiedano a GoDaddy di fornire l'accesso o divulgare Dati personali del Cliente.
4.3 Se non diversamente richiesto dalla legge, GoDaddy collaborerà con il Cliente (a spese ragionevoli del Cliente) in qualsiasi tentativo del Cliente di impedire la divulgazione dei Dati personali del Cliente in risposta a Procedimenti legali.
5.1 GoDaddy adotta un programma di sicurezza delle informazioni che include misure tecniche e organizzative appropriate e documentate per garantire un livello di sicurezza adeguato al rischio del trattamento dei Dati personali del Cliente ai sensi del Contratto, comprese le misure specifiche richieste dalle leggi applicabili in materia di protezione dei dati.
6. Incidenti di sicurezza dei dati
5.2 Il Cliente riconosce espressamente che GoDaddy fornisce caratteristiche e funzionalità di sicurezza che il Cliente può utilizzare per proteggere i propri Dati personali. Il Cliente è l'unico responsabile dell'adozione di misure appropriate basate sul rischio per proteggere la sicurezza del proprio account e dei propri dati personali sotto il suo controllo, anche utilizzando le caratteristiche e le funzionalità di sicurezza fornite da GoDaddy. Il Cliente è inoltre tenuto in via esclusiva a garantire che tutti i contenuti che inserisce o fa inserire nei Servizi siano privi di vulnerabilità che potrebbero compromettere i propri Dati personali e i sistemi di GoDaddy, inclusi, a titolo esemplificativo, eventuali software dannosi. GoDaddy non è responsabile del backup dei Dati personali del Cliente.
5.3 Il Cliente è tenuto a rispettare tutti i requisiti dei Payment Card Industry Data Security Standard Requirement ("PCI-DSS") e può fornire a GoDaddy Dati personali del Cliente contenenti informazioni sui titolari di carte di credito, di debito o di altri pagamenti ("Dati PCI-DSS") solo in relazione ai Servizi di GoDaddy specificamente progettati per elaborare tali Dati PCI-DSS. Il Cliente è responsabile in via esclusiva di eventuali violazioni dei requisiti PCI-DSS nel caso in cui utilizzi i Servizi GoDaddy per elaborare o archiviare Dati PCI-DSS al di fuori delle offerte di Servizi GoDaddy conformi agli standard PCI-DSS.
5.4 Oltre a tutte le misure necessarie a GoDaddy per ottemperare agli obblighi previsti dalle leggi sulla protezione dei dati e dai requisiti PCI-DSS per i servizi di reclamo PCI-DSS di GoDaddy, GoDaddy implementerà le misure tecniche e organizzative specifiche identificate nell'Allegato 2 delle presenti Clausole integrative per il trattamento dei dati.
6.1 GoDaddy offre al Cliente ampie possibilità di accesso e controllo dei propri Dati personali trattati per suo conto. GoDaddy non è responsabile in caso di distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali del Cliente che non derivino da una compromissione dei sistemi di GoDaddy. Esempi di incidenti di sicurezza per i quali GoDaddy non è responsabile includono il mancato mantenimento della segretezza delle password da parte del Cliente, il download di contenuti dannosi o qualsiasi altra vulnerabilità di sicurezza causata da, o introdotta ne, i Servizi e l'ambiente ospitato dal Cliente.
7. Diritti dei soggetti interessati
6.2 GoDaddy si impegnerà in modo commercialmente ragionevole a notificare al Cliente una violazione della sicurezza dei sistemi di GoDaddy che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali del Cliente ("Incidente di sicurezza") entro il periodo di tempo richiesto dalla legge applicabile.
6.3 GoDaddy adotterà le misure appropriate e basate sul rischio ragionevolmente necessarie per contenere, attenuare e risolvere eventuali incidenti di sicurezza senza ritardi irragionevoli.
6.4 GoDaddy fornirà le informazioni ragionevolmente richieste dal Cliente per valutare l'impatto di un Incidente di sicurezza sui Dati personali del Cliente e per consentire al Cliente di comunicare l'Incidente di sicurezza alle autorità governative, ai Soggetti interessati o a qualsiasi altra persona.
6.5 La presa d'atto di un Incidente di sicurezza o la decisione di notificare al Cliente un Incidente di sicurezza da parte di GoDaddy non costituisce un'ammissione di colpa o di responsabilità.
7.1 Il Cliente è tenuto a rispondere in via esclusiva a qualsiasi richiesta di esercizio dei diritti dell'Interessato ai sensi delle Condizioni di protezione dei dati, delle politiche sulla privacy del Cliente o dei termini di servizio del Cliente, incluse, a titolo esemplificativo, le richieste di conoscere, accedere, correggere o eliminare i Dati personali del Cliente ("Richieste dell'Interessato").
8. Valutazioni d'impatto sulla protezione dei dati, consultazioni preventive e indagini sulla conformità
7.2 GoDaddy non risponderà ad alcuna richiesta dell'interessato se non su istruzioni documentate del Cliente o come altrimenti richiesto dalla legge applicabile.
7.3 GoDaddy comunicherà al Cliente ogni richiesta dell'Interessato. Il Cliente è tenuto a rispondere in via esclusiva a qualsiasi richiesta dell'Interessato. Qualora il Cliente abbia esaurito tutti i mezzi a sua disposizione per rispondere a una Richiesta dell'Interessato, previo suo accordo a pagare in anticipo a GoDaddy le ragionevoli spese sostenute, GoDaddy fornirà al Cliente l'assistenza ragionevolmente necessaria per consentirgli di rispondere a una Richiesta dell'Interessato.
8.1 Valutazioni d'impatto sulla protezione dei dati; consultazioni preventive. A spese del Cliente, GoDaddy fornirà al Cliente ragionevole assistenza nella conduzione di qualsiasi valutazione d'impatto sulla protezione dei dati e nelle consultazioni con le autorità governative o le autorità di regolamentazione in merito al trattamento dei Dati personali del Cliente.
9. Requisiti specifici delle giurisdizioni e trasferimenti internazionali di dati personali
8.2 Richieste relative alla conformità. Il Cliente può richiedere periodicamente informazioni ragionevolmente necessarie per confermare la conformità di GoDaddy agli obblighi previsti dalle leggi applicabili in materia di protezione dei dati. Se GoDaddy non risponde alla richiesta del Cliente entro quarantacinque (45) giorni, il Cliente può risolvere il Contratto. A scanso di equivoci, nessuna disposizione delle presenti Clausole integrative per il trattamento dei dati conferisce al Cliente il diritto di condurre verifiche delle attività, dei sistemi o dei servizi di GoDaddy. L'obbligo di GoDaddy ai sensi della presente sezione si limita a fornire al Cliente le informazioni ragionevolmente necessarie per dimostrare la conformità di GoDaddy agli obblighi previsti dalle leggi applicabili in materia di protezione dei dati.
9.1 Il trattamento dei Dati personali del Cliente ai sensi delle presenti Clausole integrative per il trattamento dei dati può comportare un trattamento regolato da una o più leggi sulla protezione dei dati e/o il trasferimento internazionale di Dati personali del Cliente.
10. Generale
9.2 Se i Dati personali del Cliente provengono dagli Stati Uniti, si applicano le condizioni relative alle Leggi sulla protezione dei dati degli Stati Uniti specificate nell'Allegato 3 (Sezione 1) delle presenti Clausole integrative per il trattamento dei dati.
9.3 Se i Dati personali del Cliente provengono dall'Unione Europea/dallo Spazio Economico Europeo ("UE/SEE"), dal Regno Unito ("UK") o dalla Svizzera, o se il Cliente ha sede in una o più di queste giurisdizioni, si applicano le Clausole integrative per il trattamento dei dati applicabili dell'UE/del SEE, del Regno Unito e/o della Svizzera, specificate nell'Allegato 9.3 (Sezione 3) delle presenti Clausole integrative per il trattamento dei dati.
9.4 Qualora sia necessario un valido meccanismo internazionale di trasferimento dei dati ("Meccanismo di trasferimento obbligatorio") per trasferire legalmente i Dati personali del Cliente, si applicheranno i termini specificati nell'Allegato 4 alle presenti Clausole integrative per il trattamento dei dati.
10.1 Intero accordo; Interpretazione. Le presenti Clausole integrative per il trattamento dei dati costituiscono l'intero accordo tra le Parti in merito all'oggetto delle stesse e sostituiscono ogni dichiarazione, intesa, accordo e comunicazione precedenti o contemporanei tra le Parti, sia scritti che verbali, in merito all'oggetto delle Clausole integrative. In caso di conflitto tra le presenti Clausole integrative per il trattamento dei dati e il Contratto (o qualsiasi altro accordo tra le Parti), le presenti Clausole integrative per il trattamento dei dati prevarranno e controlleranno le questioni oggetto delle stesse. In caso di conflitto tra qualunque termine delle presenti Clausole integrative per il trattamento dei dati e le Disposizioni di Trasferimento obbligatorio descritte nell'Allegato 4, queste ultime prevarranno.
Allegato 1: Dettagli sul trattamento dei dati personali del Cliente
10.2 Modifiche. Le presenti Clausole integrative per il trattamento dei dati possono essere modificate o emendate da GoDaddy a sua esclusiva discrezione secondo le procedure stabilite nel Contratto. Se il Cliente non è d'accordo con tali modifiche, l'unico rimedio a sua disposizione consiste nel rescindere la parte del Contratto relativa al trattamento dei Dati personali del Cliente con un preavviso di trenta (30) giorni. Se non espressamente concordato dalle Parti per iscritto, qualsiasi modifica del presente Contratto è efficace solo per quanto riguarda l'Elaborazione che si verifica dopo la data di tale modifica.
10.3 Rinuncia. La rinuncia a far valere i propri diritti in caso di violazione delle presenti Clausole integrative per il trattamento dei dati è efficace solo se formulata per iscritto da un rappresentante autorizzato della Parte che rinuncia e nessuna di tali rinunce sarà interpretata come una rinuncia a far valere i propri diritti in caso di violazioni successive.
10.4 Divisibilità. Se una qualsiasi disposizione delle presenti Clausole integrative per il trattamento dei dati dovesse risultare inapplicabile, tale disposizione sarà modificata nella misura necessaria a renderla applicabile e il resto del presente Clausole integrative per il trattamento dei dati rimarrà in vigore così come scritto. Tuttavia, ove la modifica di una disposizione inapplicabile comportasse il venir meno dello scopo essenziale delle presenti Clausole integrative per il trattamento dei dati, tutte le Clausole saranno considerate nulle, a meno che non vengano emendate ai sensi della Sezione 10.2.
10.5 Notifiche. Salvo quanto espressamente indicato nel presente documento, le comunicazioni richieste ai sensi delle presenti Clausole integrative per il trattamento dei dati saranno fornite in conformità ai requisiti di notifica stabiliti nel Contratto.
10.6 Responsabilità. Le presenti Clausole integrative per il trattamento dei dati non forniscono alcuna base alle Parti né ad altri soggetti per il risarcimento di danni di qualsiasi tipo diversi da quelli stabiliti nel Contratto e soggetti a tutte le limitazioni ivi previste.
10.7 Applicazione. Le Condizioni delle presenti Clausole integrative per il trattamento dei dati possono essere applicate solo dalle Parti per conto proprio e delle rispettive Affiliate in conformità alle disposizioni sulla risoluzione delle controversie stabilite nel Contratto. Questa limitazione dell'applicazione non ha tuttavia alcun effetto sulla capacità di un singolo Interessato di far valere i propri diritti ai sensi delle Leggi sulla protezione dei dati.
10.8 Risoluzione. Salvo risoluzione anticipata ai sensi del Contratto o di qualsiasi altra disposizione applicabile delle presenti Clausole integrative per il trattamento dei dati o di qualsiasi legge applicabile in materia di protezione dei dati, le presenti Clausole integrative per il trattamento dei dati termineranno con il completamento del Trattamento o con la risoluzione del Contratto, a seconda di quale dei due eventi si verifichi per ultimo. In seguito alla cessazione delle presenti Clausole integrative per il trattamento dei dati, GoDaddy restituirà, eliminerà o renderà anonimi i Dati personali del Cliente in conformità alle condizioni contrattuali e alle presenti Clausole integrative per il trattamento dei dati, a meno che la legge applicabile non imponga a GoDaddy la conservazione dei Dati personali del Cliente. Se GoDaddy è tenuta a conservare i Dati personali del Cliente in seguito alla risoluzione del Contratto, GoDaddy continuerà a rispettare i propri obblighi relativi al Trattamento dei Dati personali del Cliente ai sensi delle presenti Clausole integrative per il Trattamento dei dati e restituirà o eliminerà prontamente tali Dati personali del Cliente non appena la conservazione non sarà più legalmente richiesta.
10.9 Legge applicabile e foro competente. Le presenti Clausole integrative per il trattamento dei dati sono disciplinate dalle leggi stipulate nel Contratto, salvo quanto diversamente previsto dalle Leggi sulla protezione dei dati, nel qual caso si applicheranno le leggi della giurisdizione prescritta dalle Leggi sulla protezione dei dati. Nessuna disposizione delle presenti Clausole integrative per il trattamento dei dati potrà essere considerata come una limitazione dei diritti o degli obblighi di alcuna persona ai sensi delle leggi applicabili in materia di protezione dei dati.
Il presente Allegato 1 contiene i dettagli relativi all'elaborazione dei dati personali del Cliente richiesti dalle leggi sulla protezione dei dati.
Oggetto e durata del trattamento dei dati personali del Cliente:
L'oggetto e la durata del trattamento dei dati personali del Cliente sono descritti nel Contratto.
Natura e finalità del trattamento dei dati personali del Cliente:
Il trattamento dei Dati personali del Cliente da parte di GoDaddy è ragionevolmente necessario per fornire i Servizi descritti nel Contratto.
Tipologia di dati personali e categorie di interessati:
Le tipologie di Dati personali del Cliente e le categorie di Interessati sono controllate dal Cliente e/o dal Titolare del Trattamento che ha fornito i Dati personali del Cliente al Cliente a sua esclusiva discrezione.
Dati sensibili o Categorie speciali di dati:
I Dati sensibili possono essere trattati di volta in volta ai sensi del Contratto. Le tipologia di Dati Sensibili trattati nell'ambito del Contratto sono determinate dal Cliente e/o dal Titolare del trattamento che ha fornito i Dati Sensibili al Cliente a propria esclusiva discrezione.
Obblighi e diritti del Titolare del trattamento:
Gli obblighi e i diritti del Cliente sono descritti nel Contratto e nelle presenti Clausole integrative per il trattamento dei dati.
Allegato 2: Misure di sicurezza tecniche e organizzative1. Applicabilità
1.1 I requisiti del presente Allegato 2 si applicano a GoDaddy e a qualsiasi Sub-responsabile (incluso, a titolo esemplificativo e non esaustivo, qualsiasi service provider cloud) impiegato da GoDaddy per fornire i Servizi e/o trattare i Dati personali del Cliente.
1.2 Se GoDaddy si avvale di un Sub-responsabile per fornire i Servizi e/o trattare i Dati personali del Cliente, GoDaddy si assicurerà che tale Sub-responsabile rispetti tutti i requisiti del presente Allegato.
2. Gestione della privacy e della sicurezza dei dati
2.1 Processo di gestione del rischio. GoDaddy manterrà un adeguato processo di gestione del rischio per inquadrare, valutare, rispondere e monitorare il rischio per i Dati personali del Cliente, in conformità agli obblighi di GoDaddy ai sensi del Contratto, delle Clausole integrative per il trattamento dei dati e della legge applicabile.
2.2 Ambito del programma di sicurezza delle informazioni. Come minimo, il programma di sicurezza delle informazioni di GoDaddy, comprese tutte le Policy applicabili in materia di privacy e protezione dei dati, deve essere progettato per:
2.2.1 Proteggere la riservatezza, l'integrità e la disponibilità dei Dati personali del Cliente in possesso o sotto il controllo di GoDaddy o a cui GoDaddy ha accesso; e
2.2.2 Proteggere da minacce o pericoli ragionevolmente previsti per la riservatezza, l'integrità e la disponibilità dei Dati personali del Cliente.
2.3 Aggiornamenti del programma di sicurezza delle informazioni. GoDaddy rivedrà e aggiornerà regolarmente il proprio programma di sicurezza delle informazioni in conformità con le pratiche e i quadri standard del settore adeguati al tipo, al volume e alla sensibilità delle Informazioni personali del Cliente trattate da GoDaddy.
2.4 Valutazioni del rischio e test. GoDaddy effettuerà regolarmente valutazioni del rischio per tutti i sistemi che elaborano i Dati personali del Cliente e condurrà periodicamente test di penetrazione di terze parti sulle applicazioni e sull'infrastruttura utilizzate per fornire i Servizi, come ragionevolmente ritenuto necessario da GoDaddy.
2.5 Continuità e resilienza. GoDaddy implementerà misure appropriate per proteggere l'integrità e la disponibilità dei propri sistemi che trattano i Dati personali del Cliente, comprese misure quali il monitoraggio delle prestazioni e della disponibilità, la progettazione di sistemi ridondanti e resilienti, l'uso di gruppi di continuità, protezioni DDoS, test di carico e di stress e altre misure simili.3. Sicurezza organizzativa
3.1 Responsabilità. GoDaddy svilupperà e implementerà policy e procedure scritte per la sicurezza delle informazioni che definiscano con chiarezza la responsabilità della protezione dei Dati personali del Cliente all'interno di GoDaddy, compresa la designazione di una o più figure specifiche responsabili dell'amministrazione del programma di sicurezza delle informazioni di GoDaddy e della protezione dei Dati personali del Cliente.
3.2 Gestione e controllo delle risorse. GoDaddy adotterà una Policy di gestione e controllo delle risorse, compresa la classificazione delle risorse e l'inventario dei dispositivi e dei sistemi utilizzati per fornire i Servizi e/o elaborare i Dati personali del Cliente.
3.3 Sicurezza fisica. GoDaddy dovrà inoltre implementare controlli basati sul rischio per garantire la sicurezza fisica delle proprie strutture, compresa l'implementazione di misure ragionevoli per garantire che solo gli utenti autorizzati abbiano accesso ai dispositivi elettronici, al network, ai sistemi critici, alle applicazioni, alla sala server, alle sale di comunicazione e agli ambienti di lavoro di GoDaddy. Le misure che GoDaddy può impiegare, ove opportuno, comprendono, a titolo esemplificativo, allarmi, monitoraggio con telecamere a circuito chiuso, gestione degli accessi dei visitatori e distruzione dei dati personali sui dispositivi fisici prima dello smaltimento/riciclaggio.
4. Operazioni di sicurezza
4.1 Configurazione sicura del sistema. GoDaddy effettuerà controlli per garantire che i sistemi utilizzati per fornire i Servizi e/o elaborare i Dati personali del Cliente siano configurati in modo sicuro.
4.2 Gestione delle vulnerabilità e delle patch. GoDaddy stabilirà e attiverà un sistema di gestione delle vulnerabilità e delle patch che garantisca che tutti i sistemi utilizzati per fornire i Servizi e/o trattare i Dati personali del Cliente siano sottoposti a patch contro le vulnerabilità di sicurezza note in un periodo di tempo ragionevole in base alla criticità della patch e alla sensibilità dei Dati personali del Cliente.
4.3 Prevenzione delle minacce informatiche. GoDaddy attuerà controlli di rilevamento, prevenzione e correzione per proteggere da software dannosi (compresi programmi di sensibilizzazione per gli utenti).
4.4 Registrazione e audit. GoDaddy adotterà un programma di gestione dei log che definisca l'ambito, la creazione, l'archiviazione, l'analisi e lo smaltimento dei log utilizzando standard di settore basati sul rischio.
4.5 Rilevamento e risposta agli incidenti di sicurezza. GoDaddy adotterà sistemi basati sul rischio per il rilevamento degli incidenti di sicurezza, come richiesto dalla Sezione 6 del Contratto, compreso l'uso di sistemi di rilevamento e prevenzione delle intrusioni.
5. Formazione
GoDaddy garantirà che il proprio personale riceva una formazione regolare in merito ai propri obblighi di riservatezza e protezione dei Dati personali dei Clienti.
6. Controllo degli accessi
6.1 Identificazione univoca. GoDaddy assegnerà credenziali utente univoche al personale che ha accesso ai Dati personali del Cliente, compreso, a titolo esemplificativo e non esaustivo, il personale con accesso amministrativo.
6.2 Gestione delle password. GoDaddy attuerà politiche e procedure per la gestione delle password, compresa la gestione centralizzata delle password e Politiche sulle password.
6.3 Autenticazione a più fattori. GoDaddy adotterà l'autenticazione a più fattori per l'accesso remoto a reti, sistemi o applicazioni utilizzati per elaborare e/o memorizzare i Dati personali del Cliente.
6.4 Privilegio minimo. GoDaddy limiterà l'accesso ai Dati personali del Cliente al personale vincolato da adeguati obblighi di riservatezza e che abbia la "necessità di sapere" o "necessità di accedere" ai fini della fornitura dei Servizi.
7. Controlli sulla sicurezza dei dati
7.1 Segregazione dei dati. GoDaddy manterrà i Dati personali del Cliente in ambienti logicamente separati e sicuri.
7.2 Crittografia e altre misure. GoDaddy adotterà misure appropriate basate sul rischio per proteggere i Dati personali del Cliente, tra cui la crittografia, la pseudonimizzazione e altre misure appropriate come l'impiego di algoritmi per l'hashing dei segreti, inclusi password e token API utilizzati per accedere ai sistemi contenenti i Dati personali del Cliente.
Allegato 3: Condizioni specifiche della giurisdizione
1. Stati Uniti
1.1 California.
1.1.1 Definizioni.
1.1.1.1 I seguenti termini sono specificamente definiti in base alle definizioni stabilite nelle Leggi sulla protezione dei dati della California: "Azienda", "Scopo commerciale", "Service provider", "Vendere", "Condividere" e "Terze parti".
1.1.1.2 Il termine "Dati personali del Cliente" comprende le Informazioni personali di una persona fisica o di un nucleo familiare identificato o identificabile.
1.1.2 Ruoli delle parti.
1.1.2.1 Se il Cliente è considerato un'azienda ai sensi delle leggi californiane sulla protezione dei dati, tutti i riferimenti ai diritti e agli obblighi del Cliente in qualità di titolare ai sensi delle presenti Clausole integrative per il trattamento dei dati si intendono riferiti anche ai diritti e agli obblighi del Cliente in qualità di azienda. Se il Cliente è considerato un service provider ai sensi delle leggi californiane sulla protezione dei dati, tutti i riferimenti ai diritti e agli obblighi del Cliente in qualità di Responsabile del trattamento ai sensi delle presenti Clausole integrative per il trattamento dei dati si intendono riferiti anche ai diritti e agli obblighi del Cliente in qualità di service provider.
1.1.2.2 Se GoDaddy è considerato un service provider o una terza parte ai sensi delle leggi sulla protezione dei dati della California, tutti i riferimenti ai diritti e agli obblighi di GoDaddy in qualità di Responsabile o Sub-responsabile del trattamento ai sensi delle presenti Clausole integrative per il trattamento dei dati si intendono riferiti anche ai diritti e agli obblighi di GoDaddy in qualità di service provider o terza parte, a seconda dei casi.
1.2 Tutti gli Stati Uniti (inclusa la California).
1.2.1 GoDaddy non può (a) vendere o condividere i Dati personali del Cliente, (b) conservare, utilizzare o divulgare i Dati personali del Cliente per scopi diversi da quelli commerciali specificati nel Contratto, o (c) conservare, utilizzare o divulgare i Dati personali del Cliente al di fuori del rapporto commerciale diretto tra GoDaddy e il Cliente.
1.2.2 L'accesso di GoDaddy ai Dati personali del Cliente non rientra nel corrispettivo oggetto di scambio tra le Parti ai sensi del Contratto.
1.2.3 Il Cliente avrà il diritto di adottare misure ragionevoli per: (a) verificare che GoDaddy elabori i Dati personali del Cliente in modo coerente con le presenti Clausole integrative per il trattamento dei dati, compreso l'esercizio dei diritti di cui alla Sezione 8 delle stesse; (b) richiedere l'interruzione e la correzione delle attività di trattamento condotte da GoDaddy in violazione dei termini delle Clausole integrative per il trattamento dei dati e (c) adottare qualsiasi altra ragionevole misura (determinata a esclusiva discrezione del Cliente) per garantire la conformità di GoDaddy alle presenti Clausole integrative per il trattamento dei dati. Se GoDaddy non è in grado o non è disposta a soddisfare le ragionevoli richieste del Cliente ai sensi della presente Sezione 1.2.3, l'unico rimedio a disposizione del Cliente consiste nella risoluzione delle presenti Clausole integrative per il trattamento dei dati e di quella parte del Contratto che si riferisce al trattamento dei dati personali del Cliente.
1.2.4 GoDaddy certifica di aver compreso e di rispettare gli obblighi previsti dalle leggi sulla protezione dei dati e dalle presenti Clausole integrative per il trattamento dei dati, comprese tutte le restrizioni al trattamento dei dati personali del Cliente.
2. Unione Europea/Spazio Economico Europeo
2.1 Sub-responsabili
2.1.1 Laddove richieda l'intervento di un Sub-responsabile, GoDaddy:
2.2 Responsabilità per sanzioni regolamentari. In deroga a eventuali altre condizioni stabilite nelle presenti Clausole integrative per il trattamento dei dati o nel Contratto (compresi gli obblighi di indennizzo di una delle Parti ai sensi del Contratto), nessuna delle Parti sarà responsabile di eventuali sanzioni pecuniarie emesse o riscosse da un'autorità di regolamentazione o da un ente governativo nei confronti dell'altra Parte, comprese le sanzioni pecuniarie ai sensi dell'articolo 83 del GDPR dell'UE.2.1.1.1 Richiederà al Sub-responsabile di rispettare le misure tecniche e organizzative di cui alle Sezioni 5, 6 e 8 delle Clausole integrative per il trattamento dei dati e all'Allegato 2 delle stesse ritenute adeguate alla natura del trattamento effettuato dal Sub-responsabile, incluse, a titolo esemplificativo, tutte le misure tecniche e organizzative richieste dall'Articolo 28 del Regolamento generale sulla protezione dei dati ("GDPR") dell'UE; inoltre
2.1.1.2 Richiederà al Sub-responsabile di acconsentire per iscritto a trattare i Dati personali del Cliente solo (a) nell'UE/nel SEE, (b) in un Paese che la Commissione Europea consideri dotato di un livello "adeguato" di protezione dei dati, o (c) alle Condizioni stabilite nell'Allegato 4 relativo ai Trasferimenti internazionali dei Dati personali del Cliente.
3. Svizzera
3.1 Laddove richieda l'intervento di un Sub-responsabile, GoDaddy:
3.1.1 Richiederà al Sub-responsabile di rispettare le misure tecniche e organizzative di cui alle Sezioni 5, 6 e 8 e all'Allegato 2 delle Clausole integrative per il trattamento dei dati ritenute adeguate alla natura del trattamento effettuato dal Sub-responsabile, incluse, a titolo esemplificativo, tutte le misure tecniche e organizzative richieste dall'Articolo 28 del GDPR; inoltre
3.1.2 Richiederà al Sub-responsabile di acconsentire per iscritto a trattare i Dati personali del Cliente solo (a) in Svizzera, (b) nell'UE/nel SEE, (c) in un altro Paese che la Commissione Europea consideri dotato di un livello "adeguato" di protezione dei dati, o (d) alle Condizioni stabilite nell'Allegato 4 relativo ai Trasferimenti internazionali dei Dati personali del Cliente.
3.2 Nella misura in cui i Trasferimenti di dati personali del Cliente dalla Svizzera siano soggetti alle Clausole contrattuali standard dell'UE (come definite nell'Allegato 4), si applicheranno le seguenti modifiche:
3.2.1 I riferimenti a uno "Stato membro" saranno interpretati in modo da includere la Svizzera; inoltre
3.2.2 Nella misura in cui i Trasferimenti siano soggetti al Federal Act on Data Protection ("FADP"), i riferimenti al "Regolamento (UE) 2016/679" saranno considerati come riferimenti all'FADP.
3.3 Nella misura richiesta dall'FADP, si riterrà che le Clausole Contrattuali Standard dell'UE includano i dati relativi alle persone giuridiche come Dati personali del Cliente.4. Regno Unito
4.1 I riferimenti al "GDPR" saranno considerati come riferimenti alle leggi e ai regolamenti corrispondenti del Regno Unito, inclusi, senza limitazioni, il GDPR del Regno Unito e il Data Protection Act del Regno Unito del 2018.
4.2 Quando la Società ingaggia un Sub-responsabile, dovrà:
Allegato 4: Meccanismi internazionali obbligatori di trasferimento transfrontaliero
4.2.1 Richiedere al Sub-responsabile di rispettare le misure tecniche e organizzative di cui alle Sezioni 5, 6 e 8 e all'Allegato 2 delle Clausole integrative per il trattamento dei dati ritenute adeguate alla natura del trattamento effettuato dal Sub-responsabile, incluse, a titolo esemplificativo, tutte le misure tecniche e organizzative richieste dall'Articolo 28 del GDPR del Regno Unito; e
4.2.2 Richiedere al Sub-responsabile di acconsentire per iscritto a trattare i Dati personali del Cliente solo (a) nel Regno Unito, (b) nell'UE/nel SEE, (c) in un altro Paese che il Regno Unito consideri dotato di un livello "adeguato" di protezione dei dati, o (d) alle Condizioni stabilite nell'Allegato 4 relativo ai Trasferimenti internazionali dei Dati personali del Cliente.
1. Definizioni
1.1 Per "Data Privacy Framework ('DPF')" si intendono i programmi di certificazione Data Privacy Framework UE-USA, Svizzera-USA o Regno Unito-USA gestiti dal Dipartimento del Commercio degli Stati Uniti [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Per " Data Bridge UK-USA" si intende l'estensione del Regno Unito al Data Privacy Framework UE-USA.
1.3 Per "clausole contrattuali standard dell'UE" si intendono le clausole contrattuali standard approvate dalla Commissione europea e allegate alla decisione 2021/914 del giugno 2021.
1.4 L'International Data Transfer Agreement del Regno Unito ("UK IDTA") emesso dall'Information Commissioner del Regno Unito, versione B1.0, è considerato eseguito dalle Parti alla Data di decorrenza del Contratto e le Clausole contrattuali standard dell'UE sono considerate modificate come specificato dall'UK IDTA in relazione ai trasferimenti di dati dal Regno Unito.
2. Ordine di precedenza
2.1 Non viene utilizzato alcun Meccanismo di trasferimento obbligatorio se il trasferimento viene effettuato verso un Paese ritenuto in grado di offrire un livello adeguato di protezione dei dati dalle leggi sulla protezione dei dati del Paese da cui i Dati personali del Cliente vengono trasferiti.
2.2 Se è necessario un Trasferimento e tale Trasferimento è coperto da più Meccanismi di trasferimento obbligatorio, il Trasferimento sarà soggetto a un unico Meccanismo di trasferimento obbligatorio secondo il seguente ordine di precedenza: (a) il DPF applicabile dell'UE o della Svizzera; (b) il Data Bridge UK-USA; (c) le Clausole contrattuali standard dell'UE; (d) l'IDTA del Regno Unito, oppure (e) eventuali altri Meccanismi di trasferimento obbligatorio applicabili consentiti dalla Legge sulla protezione dei dati applicabile.
2.3 Se un Meccanismo di trasferimento obbligatorio è ritenuto non valido dopo l'esecuzione del presente Contratto, tutti i Trasferimenti futuri saranno considerati effettuati mediante il successivo Meccanismo di trasferimento obbligatorio valido.
3. Data Privacy Framework
3.1 Autocertificazione.
3.1.1 Certificazione di GoDaddy. GoDaddy dichiara di essere autocertificata ai sensi del DPF. GoDaddy si impegna (a) a fornire almeno lo stesso livello di protezione ai Dati personali del Cliente come richiesto dai Principi sulla privacy dei dati del DPF; (b) a notificare per iscritto al Cliente, senza indebito ritardo, se la certificazione di GoDaddy al DPF viene ritirata, risolta, revocata o altrimenti invalidata; e (c) su comunicazione scritta del Cliente, ad adottare misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato dei Dati personali del Cliente.
3.1.2 Certificazione della Società. Nella misura in cui è certificata ai sensi del DPF, la Società si impegna (a) a fornire almeno lo stesso livello di protezione dei Dati personali richiesto dai Principi sulla privacy dei dati del DPF; (b) a notificare per iscritto a GoDaddy, senza indebito ritardo, se la certificazione della Società ai sensi del DPF viene ritirata, risolta, revocata o altrimenti invalidata; e (c) su notifica scritta a GoDaddy, ad adottare misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato dei Dati personali del Cliente.
3.2 Stato
3.2.1 DPF UE-USA. Il DPF UE-USA è stato ritenuto dalla Commissione europea idoneo a garantire un livello adeguato di protezione dei dati in base a una decisione di adeguatezza del 10 luglio 2023 ed è in vigore dal 10 ottobre 2023.
3.2.2 Data Bridge UK-USA. Il Data Bridge UK-USA è stato ritenuto in grado di fornire un livello adeguato di protezione dei dati dal Segretario di Stato britannico per la Scienza, l'Innovazione e la Tecnologia, che ha presentato in Parlamento le norme di adeguatezza a partire dal 21 settembre 2023. I regolamenti del Data Bridge UK-USA entrano in vigore a partire dal 12 ottobre 2023 e i Trasferimenti applicabili saranno effettuati ai sensi del Data Bridge UK-USA a partire da tale data.
3.2.3 DPF Svizzera-USA. Il DPF Svizzera-USA non è ancora in vigore.
3.3 La Società e i Sub-responsabili della Società adotteranno tutte le misure necessarie per consentire a GoDaddy di adempiere ai propri obblighi in qualità di Titolare e/o Responsabile del trattamento ai sensi del DPF, ivi compreso, a titolo esemplificativo e non esaustivo, assistendo GoDaddy e/o il Titolare del trattamento nel rispondere alle richieste di esercizio dei diritti dell'interessato da parte di persone fisiche.3.2.3.1 Le Parti convengono che, nella misura in cui le Clausole integrative per il trattamento dei dati sono coerenti con il DPF svizzero o con il suo ragionevole analogo al momento della sua entrata in vigore, i Trasferimenti applicabili di Dati personali del Cliente dalla Svizzera saranno trattati come se fossero effettuati ai sensi del DPF svizzero.
3.2.3.2 Nella misura in cui ulteriori termini richiedano l'aggiunta di ulteriori termini alle presenti Clausole integrative per il trattamento dei dati da parte del DPF svizzero, le Parti convengono che tali termini saranno incorporati automaticamente senza ulteriori azioni dalle Parti, a condizione che tali termini aggiuntivi non impongano obblighi materiali aggiuntivi a nessuna delle Parti o compromettano materialmente i termini e le condizioni originali del Contratto.
3.2.3.3 Nella misura in cui non sia possibile aggiungere automaticamente ulteriori termini al presente DPF, le presenti Clausole integrative per il trattamento dei dati potranno essere modificate per consentire i Trasferimenti ai sensi del DPF svizzero.
3.2.3.4 In deroga a qualsiasi altro termine delle presenti Clausole integrative per il trattamento dei dati, nessuna disposizione delle presenti Clausole limita, restringe o pregiudica in altro modo la capacità delle Condizioni di trasferire i dati personali in base a un altro meccanismo legittimo di trasferimento dei dati.
4. Clausole contrattuali standard dell'UE
4.1 Per i trasferimenti di dati personali dall'UE/dal SEE e dalla Svizzera disciplinati dalle Clausole contrattuali standard dell'UE, si applica il Modulo Due (Trasferimento da titolare del trattamento a responsabile del trattamento) o il Modulo Tre (Trasferimento da responsabile del trattamento a responsabile del trattamento), a seconda che GoDaddy sia un Titolare o un Responsabile del trattamento in relazione ai dati personali del Cliente da trasferire.
4.2 Per quanto riguarda i Moduli 2 e 3 delle CCS dell'UE:
4.2.1 Nella clausola 7, la clausola di adesione successiva non si applica.
4.2.2 Nella Clausola 9, si applicherà l'Opzione 2, mentre il processo di notifica e il periodo di tempo utile per presentare eventuali obiezioni alle modifiche del Sub-responsabile saranno quelli stabiliti nella Sezione 3 delle Clausole integrative per il trattamento dei dati.
4.2.3 Nella clausola 11, la lingua facoltativa non si applica.
4.2.4 Nella clausola 17 (Opzione 1), le Clausole contrattuali standard dell'UE saranno disciplinate dalle leggi interne della Germania.
4.2.5 Nella clausola 18(b), le controversie relative alla Clausole integrative per il trattamento dei dati saranno risolte nella Repubblica Federale di Germania.
4.3 Ai fini dell'Allegato I, Parte A:
4.3.1 Esportatore dei dati
4.3.1.1 L'esportatore dei dati sarà la Società.
4.3.1.2 La Società può essere contattata agli indirizzi indicati nella clausola contrattuale relativa alle notifiche.
4.3.1.3 Con la stipula delle presenti Clausole integrative per il trattamento dei dati, si ritiene che la Società abbia sottoscritto le presenti Clausole Contrattuali Standard dell'UE, inclusi i relativi Allegati, alla Data di decorrenza del Contratto.
4.3.2 Importatore dei dati
4.3.2.1 L'Importatore dei dati sarà GoDaddy e/o le affiliate autorizzate di GoDaddy.
4.3.2.2 GoDaddy può essere contattata agli indirizzi indicati nella clausola contrattuale relativa alle notifiche o all'indirizzo privacy@GoDaddy.com.
4.3.2.3 Con la stipula delle presenti Clausole integrative per il trattamento dei dati, si ritiene che GoDaddy abbia sottoscritto le presenti Clausole Contrattuali Standard dell'UE, inclusi i relativi Allegati, alla Data di decorrenza del Contratto.
4.4 Ai fini dell'Allegato I, Parte B:
4.4.1 Le categorie di Soggetti interessati sono descritte nell'Allegato 1.
4.4.2 I dati sensibili (se presenti) trasferiti sono descritti nell'Allegato 1.
4.4.3 La frequenza del Trasferimento rappresenta la durata del Contratto e della Clausole integrative per il trattamento dei dati.
4.4.4 La natura del Trattamento è descritta nell'Allegato 1.
4.4.5 Le finalità del Trattamento sono descritte nell'Allegato 1.
4.4.6 Il periodo di Trattamento è descritto nell'Allegato 1.
4.5 Ai fini dell'Allegato I, Parte C, in conformità alla clausola 13, l'autorità di vigilanza competente è definita come segue:
4.5.1 Per i trasferimenti di Dati personali dall'UE/dal SEE, l'Autorità di controllo è il Commissario di Stato per la protezione dei dati e la libertà di informazione della Renania Settentrionale-Vestfalia.
4.5.2 L'Incaricato federale svizzero per la protezione dei dati e l'informazione agirà in qualità di autorità di vigilanza competente nella misura in cui il Trasferimento o il Trasferimento successivo in questione sia disciplinato dalle leggi e dai regolamenti svizzeri in materia di protezione dei dati.
4.6 Nell'Allegato II delle Clausole contrattuali standard dell'UE, l'Allegato 2 contiene le misure tecniche e organizzative implementate dalla Società in qualità di Importatore di dati ai sensi delle Clausole integrative per il trattamento dei dati.
4.7 Nell'Allegato III delle Clausole contrattuali standard dell'UE, è possibile consultare l'elenco dei Sub-responsabili della Società.5. Accordo internazionale di trasferimento dati [International Data Transfer Agreement, IDTA] del Regno Unito
5.1 L'IDTA del Regno Unito si applica ai Trasferimenti di Dati personali del Cliente trasferiti dal Regno Unito a qualsiasi Paese al di fuori del Regno Unito che non sia riconosciuto dall'autorità di regolamentazione o dall'ente governativo competente del Regno Unito come in grado di garantire un livello adeguato di protezione dei Dati personali.
5.2 Per i Trasferimenti soggetti all'IDTA del Regno Unito, l'IDTA del Regno Unito si considera stipulato dalle Parti e completato come segue:
5.2.1 Nella Tabella 1 dell'IDTA, i dati e le informazioni chiave di contatto delle Parti si trovano nella Sezione 4.3 del presente Allegato 4.
5.2.2 Nella Tabella 2 dell'IDTA, le informazioni sulla versione delle Clausole contrattuali standard dell'UE, sui moduli e sulle clausole selezionate a cui è allegato l'IDTA del Regno Unito si trovano nella Sezione 4 del presente Allegato.
5.2.3 Nella tabella 3 dell'IDTA del Regno Unito:
5.2.3.1 L'elenco delle Parti si trova nella Sezione 4.3 del presente Allegato 4.
5.2.3.2 La descrizione del trasferimento è riportata nella Tabella 1.
5.2.3.3 L'Allegato II si trova nell'Allegato 2.
5.2.3.4 L'elenco dei Sub-responsabili della Società è riportato nell'Allegato 5.
5.2.3.5 Nella Tabella 4 dell'IDTA del Regno Unito, sia GoDaddy che la Società possono recedere dall'IDTA del Regno Unito in conformità alle relative condizioni.
5.3 L'Information Commissioner del Regno Unito agirà in qualità di autorità di vigilanza competente nella misura in cui il Trasferimento in questione sia disciplinato dalle leggi e dai regolamenti britannici in materia di protezione dei dati.
5.4 Conflitti. In caso di conflitto o incoerenza tra le Clausole contrattuali standard dell'UE o l'IDTA del Regno Unito e qualsiasi altra condizione contenuta nella presente Appendice sull'elaborazione dei dati, prevarranno le disposizioni delle Clausole contrattuali standard dell'UE o dell'IDTA del Regno Unito, a seconda dei casi.
Le versioni tradotte di accordi e informative legali vengono fornite solo al fine di facilitare la lettura e la comprensione delle versioni in inglese. La fornitura delle traduzioni di accordi e informative legali non ha come obbiettivo quello di creare un contratto legalmente vincolante, né quello di sostituire la validità legale delle versioni in inglese. In caso di controversie o conflitti, le versioni in inglese di accordi e informative legali regolano il nostro rapporto e prevarranno sui termini tradotti in altre lingue.