Appendice sul trattamento dei dati

  1. Definizioni
    All'interno della presente Appendice sul trattamento dei dati, "GDPR" indica il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) e "Titolare del trattamento dei dati", "Responsabile del trattamento dei dati", "Interessato", "Dati personali", "Violazione dei dati personali" e "Trattamento" hanno gli stessi significati indicati nel GDPR. I termini "Trattati" e "Trattare" devono essere interpretati in conformità con la definizione di "Trattamento". I riferimenti al GDPR e alle relative disposizioni includono il GDPR così come modificato e integrato nelle leggi del Regno Unito. Tutti gli altri termini ivi definiti dovranno avere lo stesso significato indicato altrove nel presente Contratto.
  2. Trattamento dei dati
    1. Conducendo le sue attività in qualità di Responsabile del trattamento dei dati ai sensi del presente Contratto in relazione ai Dati personali contenuti nei Dati dell'entità ("Dati personali dell'entità"), Meta conferma quanto segue:
      1. La durata, l'oggetto, la natura e lo scopo del Trattamento dovranno essere quelli specificati nel Contratto.
      2. I tipi di Dati personali trattati dovranno comprendere quelli specificati nella definizione dei Dati dell'entità.
      3. Le categorie di Interessati comprendono rappresentanti, Utenti e altre persone identificate o identificabili tramite i Dati personali dell'entità.
      4. Gli obblighi e i diritti in qualità di Titolare del trattamento dei dati in relazione ai Dati personali dell'entità, come previsto dal presente Contratto.
    2. Nella misura in cui tratta i Dati personali dell'utente ai sensi del presente Contratto o in relazione a esso, Meta dovrà:
      1. trattare solo i Dati personali dell'entità in conformità con le istruzioni dell'entità stessa, come previsto dal presente Contratto, anche in relazione al trasferimento dei Dati personali dell'entità, nel rispetto di eventuali eccezioni consentite dall'articolo 28(3)(a) del GDPR;
      2. garantire che i dipendenti autorizzati al Trattamento dei Dati personali dell'entità ai sensi del presente Contratto si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza in relazione ai Dati personali dell'entità;
      3. implementare le misure tecniche e organizzative previste nell'Appendice sulla sicurezza dei dati;
      4. rispettare le condizioni a cui si fa riferimento di seguito nelle Sezioni 2.c e 2.d della presente Appendice sulla sicurezza dei dati quando nomina subincaricati;
      5. assistere l'entità con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile tramite Workplace, al fine di soddisfare l'obbligo dell'entità di dare seguito alle richieste per l'esercizio dei diritti da parte di un Interessato ai sensi del capo III del GDPR;
      6. assistere l'entità nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del Trattamento e delle informazioni a disposizione di Meta;
      7. al termine del Contratto, cancellare i Dati personali in conformità con il Contratto, fatti salvi i casi in cui il diritto dell'Unione europea o di uno Stato membro ne richiedano la conservazione;
      8. mettere a disposizione dell'entità le informazioni indicate nel presente Contratto e tramite Workplace in conformità all'obbligo di Meta di rendere disponibili tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di Meta previsti dall'articolo 28 del GDPR;
      9. su base annuale, assicurarsi che un revisore terzo selezionato da Meta e autorizzato dall'entità in virtù del presente Contratto conduca un controllo SOC 2 Type II o un altro controllo standard del settore sui controlli di Meta relativi a Workplace. Meta fornirà all'entità, su richiesta di quest'ultima, una copia del rapporto di revisione più recente, che sarà considerata un'Informazione riservata di Meta.
    3. L'entità autorizza Meta a subappaltare i suoi obblighi relativi al Trattamento dei dati ai sensi del presente Contratto alle società affiliate di Meta e ad altri terzi e Meta si impegna a fornire all'entità l'elenco di tali terzi previa richiesta per iscritto da parte di quest'ultima. Meta dovrà provvedere a stipulare con tali subincaricati un accordo scritto che imponga a questi ultimi gli stessi obblighi di protezione dei dati applicati a Meta ai sensi del presente Contratto. In caso di mancato adempimento di tali obblighi da parte del subincaricato, Meta rimarrà pienamente responsabile nei confronti dell'entità per il rispetto degli obblighi di protezione dei dati da parte di tale subincaricato.
    4. Qualora Meta si avvalga di subincaricati aggiuntivi o sostitutivi a partire dal (i) 25 maggio 2018 o (ii) dalla Data di entrata in vigore (a seconda di quale delle due sia la più recente), Meta dovrà informare l'entità di tali subincaricati aggiuntivi o sostitutivi con almeno quattordici (14) giorni di anticipo rispetto alla nomina di tali subincaricati aggiuntivi o sostitutivi. L'entità può opporsi alla nomina di tali subincaricati aggiuntivi o sostitutivi entro quattordici (14) giorni dalla ricezione della relativa notifica da parte di Meta risolvendo immediatamente il Contratto mediante comunicazione scritta a Meta.
    5. Non appena viene a conoscenza di una Violazione dei dati personali relativa ai Dati personali dell'utente, Meta deve informarne tempestivamente l'utente. Tale comunicazione deve includere, al momento della notifica o il prima possibile dopo la notifica, dettagli pertinenti sulla Violazione dei dati personali ove possibile, compreso il numero di record interessati, la categoria e il numero approssimativo di Utenti interessati, le conseguenze previste della violazione ed eventuali soluzioni effettive o proposte, ove appropriato, per attenuarne i possibili effetti negativi.
    6. Nella misura in cui il GDPR o le leggi sulla protezione dei dati nello SEE, in Svizzera o nel Regno Unito si applicano al Trattamento dei dati dell'entità ai sensi della presente Appendice sul trattamento dei dati, l'Appendice sul trasferimento di dati europei risulta applicabile ai trasferimenti di dati da parte di Meta Platforms Ireland Ltd e fa parte e viene inserita a mezzo di riferimento nella presente Appendice sul trattamento dei dati.
  3. Condizioni per il responsabile del trattamento dei dati negli Stati Uniti
    1. Nella misura in cui le Condizioni per il responsabile del trattamento dei dati Meta negli Stati Uniti sono applicabili, fanno parte integrante e sono incorporate come riferimento nel presente Contratto, fatta salva la Sezione 3 (Obblighi dell'Azienda) che ne è espressamente esclusa.