Proton

Accordo sul trattamento dei dati

Ultima modifica: 23 settembre 2024

Il presente Accordo sul trattamento dei dati ("Accordo") fa parte dell'Accordo per i servizi ai sensi dei Termini e condizioni di Proton AG (il "Accordo principale") tra Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Svizzera, numero di iscrizione al registro delle imprese CHE-354.686.492 (denominata "Responsabile del trattamento") e la società che utilizza i servizi di Proton (denominata "Società").

Questo Accordo disciplina i requisiti specifici delle normative sulla protezione dei dati nella misura in cui l'uso dei servizi di Proton da parte della Società implica il trattamento di dati personali soggetti alle normative sulla protezione dei dati.

Questo Accordo è complementare alla nostra Informativa sulla privacy, che funge da riferimento principale per le nostre pratiche e misure di protezione dei dati.

La durata di questo Accordo seguirà la durata del Accordo principale. I termini non definiti nel presente documento avranno il significato stabilito nell'Accordo principale.


PREMESSO CHE

A) La Società agisce come Titolare dei dati (il "Titolare").

B) La Società desidera subappaltare determinati Servizi (come definito di seguito), che implicano il trattamento di dati personali, a Proton AG, che agisce come Responsabile del trattamento (il "Responsabile").

C) Le Parti cercano di attuare un accordo sul trattamento dei dati che sia conforme ai requisiti dell'attuale quadro normativo in materia di trattamento dei dati, nonché al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e della libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, GDPR) e altre normative sulla protezione dei dati applicabili.

D) Le Parti desiderano stabilire i propri diritti e obblighi.


SI CONVIENE QUANTO SEGUE:

1. Definizioni e interpretazione

Salvo diversa definizione nel presente documento, i termini e le espressioni in maiuscolo utilizzate in questo DPA avranno il seguente significato:

1.1) "Accordo" si riferisce al presente Accordo sul trattamento dei dati e tutti gli allegati;

1.2) "Dati personali della società" si riferisce a qualsiasi dato personale relativo alla Società, ai clienti o ai dipendenti della stessa trattati in relazione all'Accordo principale;

1.3) "Responsabile del trattamento a contratto" si riferisce a un sub-responsabile;

1.4) "Normative sulla protezione dei dati" si riferisce alle normative sulla protezione dei dati dell'UE e, nella misura in cui sono applicabili, le normative o leggi sulla privacy di qualsiasi altro Paese;

1.5) "SEE" si riferisce allo Spazio Economico Europeo;

1.6) "Normative sulla protezione dei dati dell'UE" significa la Direttiva UE 95/46/CE, così come trasposta nella legislazione interna di ciascun Stato membro e come emendata, sostituita o superata di volta in volta, inclusi il GDPR e le leggi che attuano o integrano il GDPR;

1.7) "GDPR" si riferisce al Regolamento generale sulla protezione dei dati dell'UE 2016/679;

1.8) "Trasferimento di dati" si riferisce a:

  • 1.8.1) un trasferimento di Dati personali della Società dal Titolare al Responsabile o a un Responsabile del trattamento a contratto; oppure
  • 1.8.2) un trasferimento successivo di Dati personali della Società dal Responsabile a un Sub-responsabile, o tra due stabilimenti di un Sub-responsabile;

1.9) "Servizi" si riferisce ai servizi sicuri online forniti dal Responsabile, come email, calendario, drive e altri servizi sviluppati dal Responsabile. I dettagli e i prezzi dei Servizi possono essere trovati sul sito web del Responsabile.

1.10) "Sub-responsabile" si riferisce a qualsiasi persona nominata da o per conto del Responsabile per trattare dati personali per conto del Titolare in relazione all'Accordo.

I termini "Commissione", "Titolare", "Soggetto dei dati", "Stato membro", "Dati personali", "Violazione dei dati personali", "Trattamento" e "Autorità di vigilanza" avranno lo stesso significato di quelli utilizzati nel GDPR o in altre normative sulla protezione dei dati applicabili, e i termini a loro affini saranno interpretati di conseguenza.

2. Trattamento dei dati personali della società

Il Responsabile è tenuto a:

2.1) rispettare tutte le normative sulla protezione dei dati applicabili nel trattamento dei Dati personali della società;

2.2) e non trattare i Dati personali della società se non secondo le istruzioni documentate dal Titolare di cui al paragrafo 2.

Il Titolare istruisce il Responsabile a trattare i Dati personali della società per:

2.3) fornire i Servizi e il supporto tecnico correlato;

2.4) adempiere a obblighi legali o risolvere controversie;

2.5) esercitare qualsiasi compito interno volto a ottimizzare la sicurezza, la privacy, la riservatezza e le funzionalità dei Servizi;

2.6) esercitare reportistica interna, reportistica finanziaria e altri simili compiti interni.

3. Personale del responsabile

Il Responsabile deve adottare misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente, agente o appaltatore di qualsiasi Sub-responsabile che possa avere accesso ai Dati personali della società, assicurando in ciascun caso che l'accesso sia rigorosamente limitato alle persone che hanno bisogno di conoscere / accedere ai Dati personali della società pertinenti, come strettamente necessario per le finalità dell'Accordo principale e/o per adempiere alle normative sulla protezione dei dati e ad altre leggi pertinenti nel contesto dei doveri di quella persona nei confronti del Sub-responsabile, assicurando che tutte queste persone siano soggette a obblighi di riservatezza o obblighi professionali o legali di riservatezza.

4. Sicurezza

In conformità all'articolo 32 (1) del GDPR, il Responsabile deve implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e degli scopi del trattamento. Queste misure devono essere progettate per proteggere i diritti e le libertà delle persone fisiche, considerando i rischi di probabilità e gravità variabile, incluso il rischio di una violazione dei dati personali.

Il Responsabile deve altresì valutare i rischi associati alle attività di trattamento e applicare misure coerenti con i requisiti stabiliti all'articolo 32 (1) del GDPR, garantendo la sicurezza dei Dati personali della società in ogni momento.

5. Subappalto

Subordinatamente al presente Accordo, la Società concede l'autorizzazione generale al Responsabile di coinvolgere Sub-responsabili e divulgare o trasferire i Dati personali della società a questi ultimi. La Società riconosce e approva l'elenco dei Sub-responsabili delineato nell'Informativa sulla privacy del Responsabile, comprendendo che questo elenco può essere aggiornato regolarmente dal Responsabile, nel qual caso la Società sarà informata dal Responsabile secondo il processo di notifica dell'Informativa sulla privacy. Inoltre, l'Azienda autorizza il Responsabile a divulgare e trasferire Dati personali a qualsiasi società all'interno del suo gruppo aziendale.

Il Responsabile garantisce che i Sub-responsabili siano soggetti a un accordo con il Responsabile non meno restrittivo e protettivo del presente Accordo per quanto riguarda la protezione dei Dati personali della società nella misura applicabile alla natura dei servizi forniti dal Sub-responsabile.

6. Diritti del soggetto dei dati

Tenendo conto della natura del trattamento, il Responsabile deve ragionevolmente assistere la Società nell'adempimento dei suoi obblighi per rispondere alle richieste di esercitare i diritti del Soggetto dei dati ai sensi delle normative sulla protezione dei dati.

Il Responsabile è tenuto a:

6.1) notificare prontamente alla Società se riceve una richiesta da un Soggetto dei dati ai sensi di qualsiasi normativa sulla protezione dei dati in relazione ai Dati personali della società; e

6.2) garantire che non risponda a tale richiesta se non su istruzione documentata del Titolare o come richiesto dalle Normative applicabili a cui il Responsabile è soggetto; nel qual caso il Responsabile, nella misura consentita dalle Normative applicabili, informerà il Titolare di tale obbligo legale prima che il Sub-responsabile risponda alla richiesta.

7. Violazione dei dati personali

Il Responsabile deve gestire qualsiasi Violazione dei dati personali in conformità alle Normative sulla protezione dei dati applicabili e alle sue procedure interne in materia di Violazioni dei dati personali. In caso di una Violazione dei dati personali che influisce sui Dati personali della Società, il Responsabile deve notificare alla Società senza indugi, fornendo informazioni sufficienti per consentire a quest'ultima di adempiere ai propri obblighi ai sensi delle Normative sulla protezione dei dati, incluso informare i Soggetti dei dati secondo necessità. In tali casi, il Responsabile deve fornire alla Società informazioni sufficienti per consentire alla stessa di soddisfare eventuali obblighi di segnalazione o informazione ai Soggetti dei dati in merito alla Violazione dei dati personali ai sensi delle Normative sulla protezione dei dati.

Il Responsabile deve cooperare con la Società e adottare misure commerciali ragionevoli come deciso da quest'ultima per assisterla nelle operazioni di indagine, mitigazione e rimedio di ciascuna di tali Violazioni dei dati personali.

Ciascuna parte deve sostenere i costi dell'indagine, del rimedio, della mitigazione e di altri costi correlati nella misura in cui una Violazione dei dati sia causata da tale parte.

Ciascuna parte deve sostenere i costi di eventuali multe, sanzioni, danni o altri importi correlati imposti da un'autorità di regolamentazione autorizzata, agenzia governativa o foro della giurisdizione competente nella misura derivante dalla violazione di tale parte delle proprie obbligazioni ai sensi del presente Accordo.

8. Valutazione d'impatto sulla protezione dei dati e consultazione preliminare

Il Responsabile deve fornire assistenza ragionevole alla Società con le valutazioni d'impatto sulla protezione dei dati, e con le consultazioni preliminari con le Autorità di supervisione o altre autorità competenti per la privacy dei dati, che il Titolare ritiene ragionevolmente necessarie ai sensi dell'articolo 35 o 36 del GDPR o disposizioni equivalenti di qualsiasi altra normativa sulla protezione dei dati, in ciascun caso esclusivamente per quanto riguarda il Trattamento dei dati personali della Società e tenendo conto della natura del Trattamento e delle informazioni disponibili ai Responsabili del trattamento a contratto.

9. Cancellazione o restituzione dei dati personali della società

In caso di cessazione di qualsiasi Servizio che comporta il Trattamento dei dati personali della società, il Responsabile deve eliminare tutti i Dati personali della società nella misura consentita dalle leggi applicabili e in conformità ai termini e condizioni e all'Informativa sulla privacy del Responsabile. Se la Società richiede una copia dei propri dati, deve inoltrare tale richiesta prima dell'eliminazione del proprio account; le richieste inviate dopo che l'account è stato eliminato non possono più essere considerate.

10. Diritti di audit

Subordinatamente al presente paragrafo 10, il Responsabile deve rendere disponibili alla Società su richiesta tutte le informazioni necessarie per dimostrare la conformità al presente Accordo e deve consentire e contribuire a verifiche, incluso ispezioni, da parte della Società o di un revisore delegato dalla stessa in relazione al Trattamento dei dati personali della società da parte dei Responsabili del trattamento a contratto. La Società non deve esercitare i propri diritti di audit più di una volta nel corso dell'anno solare, salvo in caso di violazione dei Dati personali o di istruzioni da parte di un'autorità di regolamentazione. La Società deve fornire al Responsabile un preavviso scritto di almeno sessanta (60) giorni della propria intenzione di sottoporre il Responsabile ad audit ai sensi del presente Accordo. L'audit deve essere condotto durante l'orario lavorativo del Responsabile, non deve interrompere le operazioni del Responsabile e deve garantire la protezione dei Dati personali della Società, del Responsabile e di altri Soggetti dei dati. Il Responsabile e la Società devono concordare preventivamente la data, l'ambito, la durata e i controlli di sicurezza e riservatezza applicabili all'audit. La Società riconosce che, prima della conduzione dell'audit, il Titolare potrebbe richiedere la sottoscrizione di un accordo di riservatezza.

I diritti di informazione e di audit della Società derivano unicamente ai sensi del paragrafo 10, nella misura in cui l'Accordo non conferisca loro altrimenti diritti di informazione e di audit che soddisfino i requisiti pertinenti della Normativa sulla protezione dei dati.

11. Trasferimento dei dati

Per quanto possibile, il Responsabile deve trasferire o autorizzare il trasferimento dei Dati solamente verso Paesi all'interno della Svizzera, dell'UE e/o Paesi soggetti a una decisione di adeguatezza, come previsto dall'articolo 45 del GDPR e dall'articolo 16 del FADP svizzero. Se i Dati personali trattati ai sensi di questo Accordo vengono trasferiti dalla Svizzera o da qualsiasi Paese dell'UE oppure da qualsiasi Paese soggetto a una decisione di adeguatezza verso un Paese al di fuori di questo ambito, le Parti devono garantire che i Dati personali siano adeguatamente protetti. Per raggiungere questo obiettivo, le Parti devono, salvo altrimenti accordato, fare affidamento su clausole contrattuali standard approvate dalla Svizzera e/o dall'UE e/o dal Regno Unito e vigenti per il trasferimento dei Dati personali o su altri meccanismi di trasferimento previsti dalle normative sulla protezione dei dati. Il Responsabile sarà autorizzato a effettuare tali trasferimenti ai Sub-responsabili a condizione che siano implementate adeguate garanzie in relazione alla natura del trasferimento.

12. Condizioni generali

Conformità alle normative applicabili. Il Responsabile del trattamento tratterà i Dati personali della Società in conformità con il presente Accordo e con le normative sulla protezione dei dati applicabili al suo ruolo ai sensi del presente Accordo. Il Responsabile non è tenuto a rispettare le leggi sulla protezione dei dati personali applicabili esclusivamente alla Società in virtù della sua attività o del suo settore.

Riservatezza. Riservatezza. Ciascuna parte deve mantenere la riservatezza di qualsiasi informazione che riceve dall'altra parte e dalla sua attività in relazione al presente Accordo ("Informazioni riservate") e non deve utilizzare o divulgare tali Informazioni riservate senza il preventivo consenso scritto dell'altra parte, salvo nella misura in cui:

(a) la divulgazione è richiesta dalla legge;

(b) le informazioni pertinenti sono già di dominio pubblico senza colpa delle Parti.

Comunicazioni. Tutte le comunicazioni previste dal presente Accordo devono essere redatte per iscritto e inviate via email. Il Titolare sarà notificato tramite email inviata all'indirizzo relativo al suo utilizzo dei Servizi ai sensi dell'Accordo principale. Il Responsabile sarà notificato tramite email inviata all'indirizzo: legal@proton.me.

Normativa applicabile e giurisdizione. Il presente Accordo è disciplinato dalla legge svizzera, senza tener conto delle disposizioni in materia di scelta o conflitto di leggi di qualsiasi giurisdizione, e le controversie, le azioni, i reclami o le cause derivanti da o in relazione al presente Accordo, a un modulo d'ordine, a qualsiasi documento incorporato per riferimento, alla tecnologia Proton o ai Servizi saranno soggetti alla giurisdizione esclusiva di Ginevra, Svizzera.


In caso di discrepanza tra la versione inglese dei presenti Termini e qualsiasi versione tradotta, prevarrà la versione inglese.