Appendice sul trattamento dei dati

  1. Definizioni
    All'interno della presente Appendice sul trattamento dei dati, "GDPR" indica il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) e "Titolare del trattamento dei dati", "Responsabile del trattamento dei dati", "Interessato", "Dati personali", "Violazione dei dati personali" e "Trattamento" hanno gli stessi significati indicati nel GDPR. I termini "trattati" e "trattare" devono essere interpretati in conformità con la definizione di "Trattamento". Tutti gli altri termini ivi definiti dovranno avere lo stesso significato indicato altrove nel presente Contratto.
  2. Trattamento dei dati
    1. Conducendo le sue attività in qualità di Responsabile del trattamento dei dati ai sensi del presente Contratto in relazione ai Dati personali contenuti nei Dati dell'entità ("Dati personali dell'entità"), Facebook conferma quanto segue:
      1. La durata, l'oggetto, la natura e lo scopo del Trattamento dovranno essere quelli specificati nel Contratto.
      2. I tipi di Dati personali trattati dovranno comprendere quelli specificati nella definizione dei Dati dell'entità.
      3. Le categorie di Interessati comprendono rappresentanti, Utenti e altre persone identificate o identificabili tramite i Dati personali dell'entità.
      4. Gli obblighi e i diritti in qualità di Titolare del trattamento dei dati in relazione ai Dati personali dell'entità, come previsto dal presente Contratto.
    2. Nella misura in cui Facebook tratta i Dati personali dell'entità ai sensi del presente Contratto o in relazione a esso, dovrà:
      1. trattare solo i Dati personali dell'entità in conformità con le istruzioni dell'entità stessa, come previsto dal presente Contratto, anche in relazione al trasferimento dei Dati personali dell'entità, nel rispetto di eventuali eccezioni consentite dall'articolo 28(3)(a) del GDPR;
      2. garantire che i dipendenti autorizzati al Trattamento dei Dati personali dell'entità ai sensi del presente Contratto si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza in relazione ai Dati personali dell'entità;
      3. implementare le misure tecniche e organizzative previste nell'Appendice sulla sicurezza dei dati;
      4. rispettare le condizioni a cui si fa riferimento di seguito nelle Sezioni 2.c e 2.d della presente Appendice sulla sicurezza dei dati quando nomina subincaricati;
      5. assistere l'entità con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile tramite Workplace, al fine di soddisfare l'obbligo dell'entità di dare seguito alle richieste per l'esercizio dei diritti da parte di un Interessato ai sensi del capo III del GDPR;
      6. assistere l'entità nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del Trattamento e delle informazioni a disposizione di Facebook;
      7. al termine del Contratto, cancellare i Dati personali in conformità con il Contratto, fatti salvi i casi in cui il diritto dell'Unione o di uno Stato membro ne richiedano la conservazione;
      8. mettere a disposizione dell'entità le informazioni indicate nel presente Contratto e tramite Workplace per rispettare gli obblighi di Facebook di rendere disponibili tutte le informazioni necessarie per dimostrare la conformità con gli obblighi di Facebook pervisti dall'articolo 28 del GDPR;
      9. su base annuale, fare in modo che un revisore terzo a scelta di Facebook conduca un controllo SOC 2 Type II o un altro controllo standard del settore sui controlli di Facebook relativi a Workplace; tale revisore terzo dovrà essere autorizzato dall'entità. Su richiesta dell'entità, Facebook fornirà all'entità stessa una copia della relazione sulla revisione più recente; tale relazione sarà considerata un'Informazione riservata di Facebook.
    3. L'entità autorizza Facebook a subappaltare i suoi obblighi relativi al Trattamento dei dati ai sensi del presente Contratto alle Società affiliate di Facebook e ad altri terzi; Facebook fornirà all'entità il relativo elenco previa richiesta per iscritto. Facebook dovrà fornire queste informazioni solamente dietro accordo scritto con tale subincaricato che imponga a quest'ultimo gli stessi obblighi in merito alla protezione dei dati che deve rispettare Facebook ai sensi del presente Contratto. In caso di inadempimento di tali obblighi da parte del subincaricato, Facebook conserva nei confronti dell'entità l'intera responsabilità dell'adempimento degli obblighi in merito alla protezione dei dati del subincaricato.
    4. Nei casi in cui Facebook incarichi subincaricati ulteriori o sostitutivi a partire dal (i) 25 maggio 2018 o (ii) dalla Data di entrata in vigore (in base alla data posteriore), Facebook dovrà informare l'entità di tali subincaricati ulteriori o sostitutivi al più tardi entro quattordici (14) giorni prima della nomina di tali subincaricati ulteriori o sostitutivi. L'entità può opporsi alla nomina di tali subincaricati ulteriori o sostitutivi entro quattordici (14) giorni dalla ricezione di questa informazione da Facebook risolvendo immediatamente il Contratto mediante comunicazione scritta a Facebook.
    5. Non appena viene a conoscenza di una Violazione dei dati personali relativa ai Dati personali dell'entità, Facebook deve informarne tempestivamente l'entità. Tale comunicazione deve includere, al momento della notifica o il prima possibile dopo la notifica, dettagli pertinenti sulla Violazione dei dati personali ove possibile, compreso il numero di record interessati, la categoria e il numero approssimativo di Utenti interessati, le conseguenze previste della violazione ed eventuali soluzioni effettive o proposte, ove appropriato, per attenuarne i possibili effetti negativi.