OBBLIGHI IN MATERIA DI PRIVACY A LIVELLO GLOBALE
ULTIMO AGGIORNAMENTO: 12 marzo 2024
- I presenti obblighi in materia privacy a livello globale (i "Obblighi Privacy") stabiliscono alcuni obblighi di protezione dei dati che ci aspettiamo siano rispettati dai nostri fornitori e altri partner (collettivamente, i "Partner") in relazione alla fornitura di prodotti e servizi nei nostri confronti. I presenti Obblighi Privacy sono complementari e costituiscono parte integrante di qualsiasi accordo stipulato con i nostri Partner in cui gli stessi siano stati incorporati (l'"Accordo").
- A seconda del nostro rapporto con il Partner, saranno applicabili sezioni diverse dei presenti Obblighi Privacy. In ogni sezione è indicato quando esse vengono applicate.
- La presente sezione si applica a tutti i Partner.
- Ai fini dei presenti Obblighi Privacy, i termini riportati di seguito hanno i seguenti significati:
- Salvo diversa definizione nell'Accordo, "IA" o "Intelligenza Artificiale" indica e comprende qualsiasi forma di intelligenza artificiale o tecnologia dell’informazione, indipendentemente dalle tecniche o dagli approcci specifici utilizzati, che presenti la capacità di eseguire compiti, simulare capacità cognitive simili a quelle umane o generare output come contenuti, previsioni, raccomandazioni o decisioni. Ciò include, a titolo esemplificativo e non esaustivo, tecnologie e metodologie come il machine learning (apprendimento supervisionato, non supervisionato e per rinforzo, ivi compresi il deep learning e le reti neurali), l'intelligenza artificiale generativa, l'elaborazione del linguaggio naturale, la computer vision, i large language model ("LLM"), approcci logic- e knowledge-based (tra cui rappresentazione della conoscenza, programmazione logica induttiva, basi di conoscenza, motori di inferenza, motori deduttivi, ragionamento e sistemi esperti), nonché tecniche statistiche. L'IA comprende tutti i progressi, le metodologie e le applicazioni attuali e futuri nel campo dell'intelligenza artificiale, nonché qualsiasi altra tecnologia non esplicitamente menzionata nel presente documento che venga sviluppata o emerga in questo ambito;
- Per "Output di IA" si intendono i risultati di output di un'IA generata dall'immissione di prompt;
- Per "Processo decisionale automatizzato" si intende una decisione relativa a un Interessato che utilizza qualsiasi sistema, software o processo (anche attraverso l'uso dell'IA) presa senza alcun coinvolgimento umano o che faciliti il processo decisionale umano;
- con "Titolare del Trattamento" si intende una persona fisica o giuridica che, singolarmente o insieme ad altri, determini le finalità e i mezzi del Trattamento dei Dati personali;
- con "Cliente", "noi", "ci" e "nostro(a)/nostri(e)" si intende: (i) l'entità Warner Bros. Discovery identificata nell'Accordo e parte dello stesso e (ii) qualsiasi affiliata, controllata o società che controlla, è controllata da o è sotto controllo congiunto con l'entità Warner Bros. Discovery indicata nell'Accordo;
- con "Normativa in materia di protezione dei dati" si intende qualsivoglia costituzione, legge, atto avente forza di legge, trattato, norma, regolamento, ordinanza, codice e linea guida federale, statale, provinciale, locale, comunale, straniero/a, internazionale, inerente a soggetti multinazionali o di altro tipo (e le successive modifiche) emessa/o da autorità amministrative competenti a interpretarla/o o farla/o valere e avente ad oggetto il trattamento dei dati personali, il diritto alla riservatezza, la protezione dei dati (ovverosia la protezione dei Dati personali) o la cybersicurezza;
- con "Interessato" si intende l'individuo a cui si riferiscono i Dati personali;
- con "Richiesta dell'Interessato" si intende una richiesta di informazioni, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (ivi compresa quella alla vendita) o cancellazione e qualsiasi altra richiesta analoga, avanzata da un Interessato;
- con "Descrizione del Trattamento" si intende la descrizione dei Dati personali trattati dal Partner ai sensi dell'Accordo;
- con "SEE" si intende lo Spazio economico europeo;
- con "Trasferimento extra-UE" si intende un trasferimento di Dati personali (a) soggetto all'GDPR; (b) indirizzato a un destinatario in un Paese o territorio fuori dall'area SEE; e (c) verso un Paese che non benefici di una decisione di adeguatezza da parte della Commissione europea;
- con "Clausole contrattuali tipo" si intendono le Clausole contrattuali tipo per il trasferimento di Dati personali verso Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, adottate con decisione della Commissione europea del 4 giugno 2021 C(2021) 3972, consultabile online all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= it;
- con "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati);
- con "Obblighi di sicurezza informatica" si intende qualsivoglia obbligo di sicurezza informatica applicabile, allegato o comunque facente parte dell'Accordo;
- con "Altro trasferimento di dati" si intende un trasferimento di Dati personali: (i) soggetto alle leggi di un Paese che impone delle restrizioni al trasferimento di Dati personali (un "Paese che impone restrizioni") a un altro Paese non ritenuto adeguato a riceverli; e (ii) che non sia un Trasferimento extra-UE o un Trasferimento extra-UK;
- con "Dato personale" si intende qualsivoglia informazione riguardante una persona fisica identificata o identificabile, inclusa qualsiasi informazione indicata con le formule "informazione che consenta l'identificazione personale", "informazione personale", "dato personale" o terminologia analoga e definita nella Normativa in materia di protezione dei dati, limitata ai Dati personali trattati dal Partner per finalità connesse all'Accordo;
- con "Tratta" o "Trattamento" si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate ai Dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei suddetti Dati personali;
- con "Responsabile del Trattamento" si intende una persona fisica o giuridica che effettua il Trattamento dei Dati personali per conto del Titolare del Trattamento;
- con "Incidente di sicurezza" si intende: (i) qualsivoglia acquisizione, perdita, accesso, uso o abuso non autorizzati, perdita di accesso o perdita di utilizzo di Dati personali (ivi compresa la perdita di qualsivoglia supporto di memorizzazione su cui sono conservati i Dati personali); (ii) qualsivoglia violazione di sicurezza che comporta accidentalmente o in modo o illecito la distruzione, perdita o divulgazione non autorizzata o l’accesso ai Dati personali;
- con "Dati sensibili" si intendono quei Dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, la salute fisica o mentale e la vita o l'orientamento sessuale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco un Interessato, i Dati personali relativi a condanne penali e reati o alle connesse misure di sicurezza, i numeri di identificazione nazionali, le credenziali di account, i numeri di conto corrente (ivi inclusi i numeri delle carte di pagamento), i dati di geolocalizzazione accurati, il contenuto di comunicazioni non dirette al Partner o alla Cliente e tutte le sottocategorie di Dati personali considerate "sensibili" o che richiedano una protezione più marcata ai sensi della Normativa in materia di protezione dei dati applicabile;
- il termine "Servizi" ha il significato specificato nell'Accordo oppure, laddove non definito nell'Accordo, indica i prodotti o i servizi resi dal Partner a noi ai sensi dell'Accordo;
- con "Sub-responsabile del Trattamento" si intende una persona fisica o giuridica che effettua il Trattamento dei Dati personali per conto di un Responsabile del Trattamento;
- Per "Dati di addestramento" si intendono le informazioni utilizzate per addestrare o altrimenti migliorare o potenziare le capacità di qualsiasi IA;
- con "Trasferimento di dati dal Regno Unito" si intende un trasferimento di Dati personali (a) soggetto all'applicazione del GDPR del Regno Unito; (b) diretto a un destinatario in un Paese o territorio fuori dal Regno Unito; e (c) verso un territorio che non sia stato oggetto di una decisione di adeguatezza da parte del Segretario di Stato del Regno Unito;
- con "GDPR del Regno Unito" si intendono le disposizioni dell'GDPR efficaci nell'ordinamento di Inghilterra e Galles, Scozia e Irlanda del Nord, ai sensi dell'articolo 3 dell'European Union (Withdrawal) Act 2018; e
- con "Addendum in materia di SCC del Regno Unito" si intende il modello di addendum emesso dall'Information Commissioner's Office del Regno Unito e presentato al Parlamento in conformità all'articolo 119A del Data Protection Act 2018 in data 2 febbraio 2022, aggiornato all'articolo 18, consultabile online su https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- La presente sezione si applica a tutti i Partner.
- Osservanza della normativa. Il Partner dovrà assicurare il rispetto della Normativa in materia di protezione dei dati applicabile e predisporre misure di protezione dei dati idonee ad adempiere ai propri obblighi ai sensi della stessa. Qualora il Partner dovesse ritenere di non essere più in grado di adempiere ai propri obblighi ai sensi della Normativa in materia di protezione dei dati, dovrà darne comunicazione alla Cliente all'indirizzo e-mail wbdprivacy@wbd.com. La Cliente avrà il diritto di adottare le misure appropriate per eliminare e porre rimedio a qualsiasi Trattamento di Dati personali non autorizzato operato dal Partner.
- Sicurezza. Il Partner dovrà implementare e mantenere in essere misure tecniche e organizzative appropriate e adeguate ad assicurare la protezione dei Dati personali. Le misure di sicurezza adottate dal Partner dovranno essere concepite allo scopo di: (i) garantire la riservatezza, la disponibilità e l'integrità dei Dati personali; (ii) garantire la protezione da eventuali minacce o pericoli prevedibili per la sicurezza o l'integrità dei Dati personali; e (iii) prevenire il Trattamento non autorizzato dei Dati personali.
- Comunicazioni di terzi. Nel caso in cui il Partner riceva comunicazioni da parte di un individuo, un organismo di regolamentazione, un ente governativo o altra terza parte in merito:
- al Trattamento dei Dati personali operato dal Partner in relazione all'Accordo; o
- al Trattamento dei Dati personali operato dalla Cliente,
il Partner dovrà (eccetto nei casi vietati dalla legge) fornire tempestivamente alla Cliente (all'indirizzo e-mail wbdprivacy@wbd.com) tutti i dettagli di tale comunicazione e fornire tutta la collaborazione ragionevolmente richiesta dalla Cliente per rispondere alla stessa. Al Partner è fatto divieto di replicare direttamente a tale comunicazione senza previa autorizzazione da parte della Cliente, eccetto laddove diversamente stabilito dalla legge.
- Risposta a richieste e incidenti di sicurezza. Al Partner è fatto divieto, senza la preventiva approvazione scritta della Cliente, di citare la Cliente (incluse tutte le relative controllate o affiliate) in alcuna: (i) risposta a un Interessato; (ii) comunicazione pubblica relativa al Trattamento; (iii) dare comunicazione di un Incidente di sicurezza; o (iv) informare un'autorità di controllo per la protezione dei dati o a un’altra entità giuridica in relazione al Trattamento.
- Durata e ultrattività.
- Le disposizioni contenute nei presenti Obblighi Privacy cesseranno di essere efficaci nel momento in cui il Partner cesserà di Trattare i Dati personali in relazione all'Accordo.
- Fatte salve le eventuali disposizioni contrarie contenute nella presente Sezione 3 (Condizioni per tutti i Partner), le Sezioni 3.4, 3.5, 3.8 e 7 sopravvivranno alla risoluzione o alla scadenza dell'Accordo e dei presenti Obblighi Privacy.
- Traduzioni. In caso di conflitto tra la versione in lingua inglese dei presenti Obblighi Privacy e un'altra versione in qualsiasi altra lingua, prevarrà la versione in lingua inglese.
- Nessuna limitazione di responsabilità. A scanso di equivoci, le responsabilità delle parti derivanti dai presenti Obblighi Privacy non saranno soggette ad alcuna delle limitazioni o esclusioni di responsabilità contenute nell'Accordo.
- Assenza di partnership. Nessuna disposizione dei presenti Obblighi Privacy potrà essere considerata tale da creare un rapporto di lavoro, joint venture, agenzia o partnership tra le parti, e nessuna delle parti è autorizzata né agirà nei confronti di terzi o del pubblico in alcun modo che possa far ritenere sussistente un tale rapporto con l'altra parte.
- La presente sezione si applica nella misura in cui:
- il Partner tratti i Dati personali in qualità di Responsabile del Trattamento per conto della Cliente; oppure
- l'Accordo preveda espressamente l'applicazione della presente sezione.
- Istruzioni. Il Partner dovrà Trattare i Dati personali esclusivamente in conformità alle istruzioni documentate della Cliente (a meno che non sia necessario Trattare tali Dati personali in conformità a un obbligo giuridico a cui il Partner è soggetto, nel qual caso il Partner dovrà informare la Cliente di tale obbligo giuridico prima di avviare tale Trattamento, purché il suddetto obbligo giuridico non lo vieti). Le istruzioni documentate della Cliente sono di Trattare i Dati personali: (i) nella misura necessaria al Partner per fornire i Servizi e adempiere a qualsiasi altro obbligo previsto dall'Accordo; e (ii) come altrimenti indicato di volta in volta per iscritto dalla Cliente. Il Partner è tenuto a informare immediatamente la Cliente laddove a proprio avviso una direttiva o un'istruzione di quest'ultima violi la Normativa in materia di protezione dei dati applicabile.
- Descrizione del Trattamento. Nella Descrizione del Trattamento è riportata una descrizione dell'oggetto, della durata, della natura e delle finalità del Trattamento, del tipo di Dati personali Trattati e delle categorie di Interessati.
- Limitazioni all'uso. Al Partner è fatto divieto di: (i) vendere Dati personali o comunque comunicarli in cambio di corrispettivo economico o comunque a titolo oneroso; (ii) Trattare i Dati personali per qualsiasi finalità diversa da quella specifica di prestare i Servizi o seguire le istruzioni della Cliente; (iii) Trattare Dati personali al di fuori del rapporto commerciale diretto fra Partner e Cliente; ovvero (iv) combinare i Dati personali con dati personali ricevuti o raccolti da o per conto di altre persone fisiche o giuridiche, ivi inclusi consumatori. Il Partner dichiara di comprendere e si impegna a rispettare le limitazioni di cui alla presente sezione.
- Richieste degli Interessati. Il Partner è tenuto a informare tempestivamente la Cliente di tutte le Richieste degli Interessati o di comunicazioni provenienti da o presentate per conto degli Interessati ricevute e concernenti i Dati personali che Tratta per finalità connesse ai Servizi, astenendosi dal rispondere agli Interessati, eccetto per confermare la ricezione do tali Richieste o comunicazioni (fatto salvo laddove diversamente previsto dalla Normativa in materia di protezione dei dati o laddove la Cliente abbia dato istruzioni diverse). Il Partner è tenuto ad assistere la Cliente al fine di consentire a quest'ultima di rispondere alle Richieste degli Interessati, anche attraverso la fornitura di misure tecniche e organizzative adeguate o di qualsivoglia funzionalità e caratteristica del prodotto. Il Partner dovrà fornire tale assistenza tempestivamente e comunque entro cinque (5) giorni dalla Richiesta dell'Interessato o dalla richiesta di assistenza della Cliente. Nelle circostanze appropriate e dietro ragionevole richiesta della Cliente, il Partner è tenuto ad assistere quest'ultima nell'informare i singoli individui in merito al Trattamento dei Dati personali, anche fornendo agli Interessati in questione un'informativa sul Trattamento dei Dati personali conforme alla Normativa in materia di protezione dei dati ovvero fornendo istruzioni per il reperimento della stessa. Il Partner è tenuto a mantenere registri completi e accurati delle Richieste degli Interessati gestite nell’ambito del rapporto con la Cliente e a dare alla Cliente adeguato accesso agli stessi.
- Obblighi Privacy del personale. Il Partner si impegna ad assicurare che ciascun membro del proprio personale sia vincolato a Obblighi Privacy che si applicano ai Dati personali.
- Sicurezza. Il Partner è tenuto a implementare e mantenere in essere procedure e pratiche per garantire la sicurezza delle informazioni stabilite negli Obblighi di sicurezza informatica.
- Audit e assistenza. Fatte salve le disposizioni in materia di audit contenute negli Obblighi di sicurezza informatica, il Partner è tenuto a:
- fornire alla Cliente le informazioni e l'assistenza ragionevolmente necessarie per assicurare il rispetto da parte del Partner dei presenti Obblighi Privacy, ivi compresa l'assistenza nel completamento delle valutazioni d'impatto sulla protezione dei dati e la consultazione delle autorità garanti per la protezione dei dati. Il Partner è tenuto altresì a fornire alla Cliente tutta l'assistenza ragionevolmente necessaria a ottemperare alla Normativa in materia di protezione dei dati; e
- a sottoporre ad attività di audit, dietro istruzioni della Cliente, il proprio programma di protezione dei dati e le proprie infrastrutture per il Trattamento dei Dati personali onde verificarne la conformità ai presenti Obblighi Privacy e/o alla Normativa in materia di protezione dei dati applicabile. L'attività di audit potrà essere svolta dalla Cliente o da un soggetto incaricato dalla stessa, purché tale soggetto incaricato sottoscriva un accordo di riservatezza ritenuto accettabile dal Partner. La Cliente concederà al Partner ragionevole preavviso e condurrà la succitata revisione durante il normale orario di lavoro, astenendosi dal creare irragionevole intralcio all'attività dello stesso. Al fine di evitare ambiguità, la presente disposizione non comporta l'obbligo in capo al Partner di dare accesso alla Cliente a dati riservati di altri clienti.
- Incidenti di sicurezza. In caso di Incidente di sicurezza effettivamente verificatosi o ragionevolmente presunto, il Partner, tempestivamente e mai oltre quarantotto (48) ore dal momento in cui ne sia venuto a conoscenza, informerà la Cliente tramite e-mail all'indirizzo cybersecurity@wbd.com. Dietro istruzioni della Cliente, il Partner fornirà tutte le informazioni e l'assistenza ragionevolmente richieste dalla Cliente al fine di a investigare, mitigare gli effetti e reagire all'Incidente di sicurezza, e comunque almeno le informazioni o l'assistenza che sia tenuto a fornire in virtù della Normativa in materia di protezione dei dati applicabile ovvero quelle necessarie affinché la Cliente sia in grado di dare comunicazione dell'Incidente di sicurezza. Il Partner si impegna a consultare la Cliente prima di rilasciare qualsivoglia dichiarazione pubblica in merito a un Incidente di sicurezza ovvero di inviare comunicazioni aventi ad oggetto un Incidente di sicurezza a un’autorità di controllo per la protezione dei dati o a un Interessato. Il Partner sarà da ritenersi responsabile e corrisponderà alla Cliente su richiesta di quest’ultima, tutti i costi, gli oneri, le perdite, i danni e le spese (incluse le spese legali) sostenuti dalla Cliente, derivanti da o in relazione a un Incidente di sicurezza che interessi i Dati personali Trattati dal Partner, dalle sue affiliate, dagli aventi causa o dai Sub-responsabili del Trattamento dello stesso.
- Trattamento da parte di un Sub-responsabile del Trattamento. Il Partner potrà incaricare o altrimenti consentire a un Sub-responsabile del Trattamento di Trattare Dati personali per suo conto, a condizione che il Partner:
- abbia stipulato un accordo scritto con ciascun Sub-responsabile del Trattamento che imponga obblighi non meno restrittivi di quelli inclusi nelle disposizioni contenute nei presenti Obblighi Privacy applicabili al Partner;
- conduca un'adeguata azione di due diligence per garantire che ciascun Sub-responsabile del Trattamento abbia le capacità per svolgere le attività necessarie affinché il Partner possa adempiere ai propri obblighi ai sensi delle disposizioni contenute nei presenti Obblighi Privacy applicabili;
- comunichi preventivamente alla Cliente e per iscritto la nomina di qualsiasi nuovo Sub-responsabile del Trattamento di cui il Partner intenda avvalersi. La Cliente avrà trenta (30) giorni di tempo dalla ricezione di tale avviso per opporsi alla nomina del nuovo Sub-responsabile del Trattamento da parte del Partner. Qualora tale periodo decorra senza opposizione da parte della Cliente, il Partner avrà la facoltà di consentire al suddetto Sub-responsabile del Trattamento di procedere al Trattamento dei Dati personali. Qualora la Cliente si opponga alla nomina di un Sub-responsabile del Trattamento, il Partner sarà tenuto a rispondere in maniera tempestiva all’opposizione e comunque entro dieci (10) giorni dalla ricezione della stessa. Qualora, a fronte dell'opposizione, il Partner e la Cliente non riescano ad addivenire a una soluzione soddisfacente per quest'ultima entro tale periodo di dieci (10) giorni, la Cliente avrà immediatamente facoltà di risolvere l'Accordo senza il pagamento di alcuna penale e in qualsiasi momento mediante comunicazione scritta al Partner. Il Partner non consentirà al nuovo Sub-responsabile del Trattamento di procedere al Trattamento dei Dati personali: durante (i) i trenta (30) giorni decorrenti dalla comunicazione della propria intenzione di avvalersi di un nuovo Sub-responsabile del Trattamento ovvero (ii) durante qualsivoglia intervallo di tempo successivo all'opposizione qualora non sia addivenuto con la Cliente a una soluzione soddisfacente per quest'ultima; e
- si assumerà la piena responsabilità per tutte le attività di Trattamento di Dati personali svolte da ciascun Sub-responsabile del Trattamento.
- Cancellazione o restituzione. Al momento della risoluzione o scadenza dell'Accordo, ovvero laddove altrimenti indicato dalla Cliente, il Partner sarà tenuto, in conformità alle istruzioni della Cliente: (i) a restituire alla Cliente (o a un soggetto terzo indicato dalla Cliente) una copia completa dei Dati personali sottoposti a Trattamento in virtù dell'Accordo, in una forma e in un formato ragionevolmente concordati dalle parti, e (ii) a provvedere all'eliminazione sicura dei Dati personali in proprio possesso o sotto il proprio controllo (incluse tutte le copie degli stessi) sottoposti a Trattamento in virtù dell'Accordo.
- La presente sezione si applica nella misura in cui:
- il Partner determini autonomamente le finalità e i mezzi per il Trattamento dei Dati personali che Tratta in relazione all'Accordo; oppure
- l'Accordo preveda espressamente l'applicazione della presente sezione.
- Informativa e trasparenza. Il Partner si impegna a predisporre e mantenere una informativa sul trattamento dei Dati personali chiara e accessibile, volta a informare gli Interessati (i cui Dati personali sono trattati dal Partner in relazione all'Accordo) sulle modalità di Trattamento dei loro Dati personali da parte del Partner, e conforme a tutte le norme di legge applicabili.
- Incidenti di sicurezza. Il Partner provvederà a comunicare tempestivamente alla Cliente qualsivoglia Incidente di sicurezza effettivamente verificatosi o ragionevolmente presunto che interessi i Dati personali Trattati in relazione all'Accordo, e a fornire tempestivamente alla Cliente informazioni circa la natura dell'Incidente di sicurezza, i Dati personali coinvolti e la reazione del Partner all’Incidente di sicurezza e le misure di contenimento adottate dal Partner a seguito dello stesso.
- Riservatezza. Il Partner si impegna ad assicurare che ciascun membro del proprio personale sia vincolato a Obblighi Privacy in relazione ai Dati personali.
- La presente sezione è applicabile ai Partner quando si verifica un Trasferimento extra-UE, un Trasferimento di dati dal Regno Unito o un Altro trasferimento di dati.
- Trasferimenti di dati (Responsabili del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 4 (Condizioni per i Responsabili del Trattamento).
- Trasferimenti extra-UE. Se e nella misura in cui i Dati personali Trattati dal Partner sono oggetto di un Trasferimento extra-UE, le Clausole contrattuali tipo sono incluse per riferimento nei Obblighi Privacy e si applicano come di seguito indicato:
- Applicazione. Il Partner sarà l’importatore dei dati e la Cliente sarà l’esportatore dei dati.
- Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
- Moduli. Si applica il MODULO DUE (Trasferimento da titolare del trattamento a responsabile del trattamento).
- Istruzioni. Agli effetti della Sezione II, Clausola 8.1 (Modulo Due), le istruzioni impartite all'importatore di dati dovranno essere intese come istruzioni per il Trattamento dei Dati personali necessarie all'esecuzione dei Servizi e/o alla fornitura dei prodotti forniti dal Partner e secondo quanto specificato ai sensi dell'Accordo.
- Sub-responsabili del Trattamento. Agli effetti della Sezione II, Clausola 9 (Modulo Due), si applica l'Opzione 2 (e l'importatore dei dati dovrà informare l'esportatore dei dati di eventuali modifiche previste con trenta (30) giorni di anticipo).
- Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
- Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa in materia di protezione dei dati applicabile, che i rispettivi obblighi previsti nelle Clausole contrattuali tipo saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali.
- Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A (Elenco delle parti) si intende compilato con: (i) i dati della Cliente (in qualità di esportatore di dati); e (ii) i dati del Partner (in qualità di importatore dei dati), come previsto dall'Accordo.
- Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B (Descrizione del trasferimento) delle Clausole contrattuali tipo sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento.
- Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C (Autorità di controllo competente) delle Clausole contrattuali tipo, nella misura consentita dalla Normativa in materia di protezione dei dati applicabile, le Parti eleggono l'autorità garante per la protezione dei dati della Repubblica d'Irlanda.
- Compilazione dell'Allegato II. L'Allegato II delle Clausole contrattuali tipo (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di sicurezza.
- Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra le Clausole contrattuali tipo e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire il massimo livello di protezione agli Interessati.
- Interpretazione delle Clausole contrattuali tipo per i Paesi che impongono restrizioni. Se e nella misura in cui la comunicazione di Dati personali da parte della Cliente al Partner equivale a un Altro trasferimento di dati, le Clausole contrattuali tipo sono incluse per riferimento nei Obblighi Privacy e si applicano come indicato nel presente paragrafo della Sezione 6, restando inteso che: (i) ogni riferimento a "UE", "Unione", "Stato membro dell'UE" o "Stato membro" contenuto nelle Clausole contrattuali tipo sarà da interpretarsi invece come un rimando al Paese che impone restrizioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa in materia di protezione dei dati del succitato Paese che impone restrizioni e ogni riferimento a specifici articoli o disposizioni dell'GDPR sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa in materia di protezione dei dati del Paese che impone restrizioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese che impone restrizioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando al presente paragrafo, nel quale tali Clausole sono integrate e modificate.
- Trasferimenti di dati dal Regno Unito. Se e nella misura in cui i Dati personali Trattati dal Partner sono oggetto di un Trasferimento di dati dal Regno Unito, l'Addendum in materia di SCC del Regno Unito è incorporato nei Obblighi Privacy dal presente riferimento e si applica come di seguito indicato:
- Compilazione della Tabella 1. La Tabella 1 dell'Addendum in materia di SCC del Regno Unito conterrà le informazioni relative alla Cliente (in qualità di esportatore dei dati) e quelle relative al Partner (in qualità di importatore dei dati) previste nell'Accordo. La "start date" (ovverosia: "data di inizio") sarà la data di entrata in vigore dell’Accordo o data equivalente. Il "key contact" (ovverosia: "referente") della Cliente sarà il "Responsabile della Privacy" ovvero il relativo incaricato contattabile all'indirizzo e-mail wbdprivacy@wbd.com e il "key contact" del Partner sarà comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
- Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum in materia di SCC del Regno Unito conterrà la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le SCC dell'Unione Europea approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle SCC dell'Unione Europea approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum in materia di SCC del Regno Unito, le "Approved EU SCCs" (ovverosia: le “SCC dell'Unione Europea approvate”) conterranno quanto indicato nel presente paragrafo della Sezione 6.
- Compilazione della Tabella 4. La Tabella 4 dell'Addendum in materia di SCC del Regno Unito conterrà la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
- Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra l'Addendum in materia di SCC del Regno Unito e i presenti Obblighi Privacy, farà fede quanto indicato nell'Addendum in materia di SCC del Regno Unito.
- Trasferimenti di dati (Titolari del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 5 (Condizioni per i Titolari del Trattamento).
- Trasferimenti extra-UE. Se e nella misura in cui i Dati personali Trattati dal Partner sono oggetto di un Trasferimento extra-UE, le Clausole contrattuali tipo sono incorporate nei Obblighi Privacy dal presente riferimento e si applicano come di seguito indicato:
- Applicazione. Il Partner sarà l’importatore dei dati e la Cliente sarà l’esportatore dei dati.
- Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
- Moduli. Viene applicato il MODULO UNO (Trasferimento da titolare del trattamento a titolare del trattamento).
- Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
- Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa in materia di protezione dei dati applicabile, che i rispettivi obblighi previsti nelle Clausole contrattuali tipo saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali.
- Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A (Elenco delle parti) si intende compilato con: (i) i dati della Cliente (in qualità di soggetto esportatore di dati); e (ii) i dati del Partner (in qualità di importatore dei dati), come previsto dall'Accordo.
- Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B (Descrizione del trasferimento) delle Clausole contrattuali tipo sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento.
- Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C (Autorità di controllo competente) delle Clausole contrattuali tipo, nella misura consentita dalla Normativa in materia di protezione dei dati applicabile, le Parti eleggono l'autorità di controllo per la protezione dei dati della Repubblica d'Irlanda.
- Compilazione dell'Allegato II. L'Allegato II delle Clausole contrattuali tipo (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di sicurezza informatica.
- Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra le Clausole contrattuali tipo e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire il massimo livello di protezione agli Interessati.
- Interpretazione delle Clausole contrattuali tipo per i Paesi che impongono restrizioni. Se e nella misura in cui la comunicazione di Dati personali da parte della Cliente al Partner equivale a un Altro trasferimento di dati, le Clausole contrattuali tipo sono incorporate nei Obblighi Privacy dal presente riferimento e si applicano come indicato nel presente paragrafo della Sezione 6, restando inteso che: (i) ogni riferimento a "UE", "Unione", "Stato membro dell'UE" o "Stato membro" contenuto nelle Clausole contrattuali tipo sarà da interpretarsi invece come un rimando al succitato Paese che impone restrizioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa in materia di protezione dei dati del succitato Paese che impone restrizioni e ogni riferimento a specifici articoli o disposizioni dell'GDPR sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa in materia di protezione dei dati del Paese che impone restrizioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese che impone restrizioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando alla presente sezione, nella quale tali Clausole sono integrate e modificate.
- Trasferimenti di dati dal Regno Unito. Se e nella misura in cui i Dati personali Trattati dal Partner sono oggetto di un Trasferimento di dati dal Regno Unito, l'Addendum in materia di SCC del Regno Unito è incorporato nei Obblighi Privacy dal presente riferimento e si applica come di seguito indicato:
- Compilazione della Tabella 1. La Tabella 1 dell'Addendum in materia di SCC del Regno Unito conterrà le informazioni relative alla Cliente (in qualità di esportatore dei dati) e quelle relative al Partner (in qualità di importatore dei dati) previste nell'Accordo. La "start date" (ovverosia: "data di inizio") sarà la data di entrata in vigore dell’Accordo o data equivalente. Il "key contact" (ovverosia: "referente") della Cliente sarà il "Responsabile della Privacy" ovvero il relativo incaricato contattabile all'indirizzo e-mail wbdprivacy@wbd.com e il "key contact" del Partner sarà comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
- Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum in materia di SCC del Regno Unito conterrà la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le SCC dell'Unione Europea approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle SCC dell'Unione Europea approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum in materia di SCC del Regno Unito, le "Approved EU SCCs" (ovverosia: le “SCC dell'Unione Europea approvate”) conterranno quanto indicato nel presente paragrafo della Sezione 6.
- Compilazione della Tabella 4. La Tabella 4 dell'Addendum in materia di SCC del Regno Unito conterrà la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
- Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra l'Addendum in materia di SCC del Regno Unito e i presenti Obblighi Privacy, farà fede quanto indicato nell'Addendum in materia di SCC del Regno Unito.
- Disposizioni aggiuntive riguardanti i trasferimenti transfrontalieri. Il presente paragrafo si applica se e nella misura in cui i Dati personali Trattati dal Partner sono oggetto di un Trasferimento extra-UE, di un Trasferimento di dati dal Regno Unito o di un Altro trasferimento.
Misure supplementari
- Le parti riconoscono e convengono che la sentenza della Corte di giustizia dell'Unione europea nella Causa C-311/18 chiarisce che potrebbero essere necessarie misure supplementari onde garantire che per i Dati personali oggetto di un Trasferimento extra-UE o di un Trasferimento dal Regno Unito sia concesso un livello di protezione sostanzialmente equivalente alle tutele che ricevono quando gli stessi sono Trattati nel loro territorio di origine (oltre alle garanzie contenute nelle Clausole contrattuali tipo). Di conseguenza, le parti hanno concordato le misure di cui alle seguenti Sezioni 6.4(b) - (g) come misure supplementari per contribuire a garantire tale equivalenza essenziale.
- Qualora venga a conoscenza di una richiesta o di una domanda da parte di un'autorità preposta all'applicazione della legge, di un’autorità regolamentare, di un’autorità giudiziaria o di un’autorità governativa (un'"Autorità") finalizzata a ottenere l'accesso o una copia di alcuni o di tutti i Dati personali Trattati in relazione all'Accordo, sia su base volontaria che obbligatoria, il Partner è tenuto a:
- informare immediatamente la Cliente di tale richiesta dell'Autorità;
- laddove si applichi la Sezione 4 (Condizioni per i Responsabili del Trattamento), informare l'Autorità di essere un Responsabile del Trattamento dei Dati personali e di non essere autorizzato dalla Cliente a comunicare tali Dati personali all'Autorità;
- informare l'Autorità che tutte le eventuali richieste o domande di accesso a tali Dati personali devono essere notificate o comunicate alla Cliente (in quanto Titolare del Trattamento) per iscritto; e
- fatta salva la Sezione 6.4(c), non fornire all'Autorità l'accesso a tali Dati personali a meno che e fino a quando non sarà stato autorizzato per iscritto dalla Cliente.
- In deroga alla Sezione 6.4(b)(iv), il Partner ha la facoltà, senza la previa autorizzazione scritta della Cliente, di comunicare a un'Autorità Dati personali a seguito del ricevimento di una richiesta o domanda da parte di tale Autorità, a condizione che (e salvo che ciò non sia vietato dalla legge):
- il Partner abbia comunicato tale richiesta o domanda alla Cliente con un ragionevole preavviso in modo da offrirle un’adeguata opportunità di opporsi o di richiedere un'ordinanza cautelare o un qualsiasi altro opportuno rimedio;
- il Partner collabori ragionevolmente con la Cliente, a spese della stessa, affinché essa possa opporsi o richiedere un'ordinanza cautelare o un altro opportuno rimedio; e
- il Partner, in ogni caso, renda nota solo la porzione dei Dati personali che è tenuto a comunicare per legge.
- Nel caso in cui il Partner comunichi Dati personali a un'Autorità, il Partner si impegna a comunicare tali Dati personali solo nella misura in cui sia legalmente tenuto a farlo e solo in conformità con le procedure giuridiche applicabili.
- Il Partner non dovrà comunicare intenzionalmente Dati personali in maniera massiccia o indiscriminata che vada oltre quanto necessario e proporzionato in una società democratica.
- Il Partner deve disporre, mantenere e rispettare una policy scritta che disciplini le richieste di Dati personali da parte delle Autorità e che vieti quantomeno:
- la comunicazione massiva o indiscriminata di Dati personali relativi agli Interessati in Europa; e
- la comunicazione di Dati personali relativi agli Interessati in Europa a un’Autorità in mancanza di una citazione, un mandato, un’ingiunzione, un decreto, una convocazione o un altro ordine giuridicamente vincolante che imponga la comunicazione di tali Dati personali.
- Al Partner è richiesto di adottare e mantenere in essere, in conformità con le buone prassi del settore, misure per proteggere i Dati personali dall’intercettazione (anche durante il loro transito dalla Cliente al Partner e tra sistemi e servizi diversi). Tra queste misure rientrano la protezione e la manutenzione della rete per prevenire l’intercettazione dei dati da parte di eventuali malintenzionati e la crittografia dei dati in transito per impedirne la lettura.
Ulteriori disposizioni sul trasferimento di dati
- Il Partner si impegna a collaborare in buona fede per sottoscrivere ulteriori documenti e applicare ulteriori tutele, o per limitare il Trattamento a determinati territori, secondo quanto la Cliente possa ritenere necessario al fine di effettuare Trasferimenti extra-UE, Trasferimenti dal Regno Unito o Altri trasferimenti (ove applicabile).
- Laddove il Partner si trovi in qualsiasi momento a Trattare Dati personali provenienti da un Paese in cui vigono restrizioni al trasferimento dei Dati personali verso un'altra giurisdizione non ritenuta adeguata a riceverli, il Partner, su istruzione della Cliente, dovrà:
- intraprendere tutte le azioni necessarie e sottoscrivere gli accordi richiesti ai sensi della Normativa in materia di protezione dei dati personali applicabile in tale Paese al fine di legittimare qualsiasi Trattamento; e
- garantire un livello adeguato di protezione dei Dati personali della Cliente.
- Qualora un'autorità preposta alla protezione dei dati competente dichiari non valido un meccanismo di trasferimento dei dati adoperato dalle parti, ovvero qualora qualsivoglia legge applicabile o autorità preposta alla protezione dei dati competente stabilisca che i trasferimenti di Dati personali debbano essere sospesi o limitati a una specifica giurisdizione, la Cliente avrà, a propria discrezione, la facoltà di richiedere al Partner di cessare il Trattamento dei Dati personali e il Partner collaborerà con la Cliente in buona fede al fine di facilitare l'uso di un metodo alternativo per il trasferimento dei dati, stipulare ulteriori accordi, applicare tutele aggiuntive o limitare il Trattamento a specifiche giurisdizioni.
- La presente sezione si applica a tutti i Partner.
- Oltre a tutti gli obblighi di indennizzo del Partner previsti dall'Accordo, il Partner è tenuto a difendere, manlevare e tenere indenne la Cliente da qualsivoglia rivendicazione o azione di terzi, costo, responsabilità, perdita, danno e spesa (comprese le spese legali) a carico della Cliente, derivanti da o in connessione con: (i) un Incidente di sicurezza; o (ii) una violazione dei presenti Obblighi Privacy da parte del Partner o delle relative società affiliate, dei Sub-responsabili del Trattamento (compresi quelli nominati dalle società affiliate del Partner) e degli aventi causa, ivi comprese, a titolo esemplificativo e non esaustivo, qualsivoglia rivendicazione o azione legale promossa da un'autorità garante per la protezione dei dati o da un Interessato.
- La presente sezione si applica nella misura in cui il Partner:
- fornisce al Cliente l'accesso all'IA ai sensi dell'Accordo; oppure
- utilizza l'IA per fornire i Servizi previsti dall'Accordo in tutto o in parte.
- Il Partner fornirà le informazioni ragionevolmente richieste dal Cliente in merito all'utilizzo dell'IA da parte del Partner in relazione all'adempimento degli obblighi del Partner ai sensi dell'Accordo, ivi compreso quanto richiesto dal Cliente per eseguire valutazioni dell'impatto sulla protezione dei dati e valutazioni dei bias dell'IA.
- Il Partner dichiara e garantisce che: (i) tutti i Dati di addestramento per qualsiasi IA fornita al Cliente in relazione all'Accordo o utilizzati dal Partner in adempimento degli obblighi del Partner ai sensi dell'Accordo: (A) sono stati ottenuti nel pieno rispetto della legge applicabile e senza violazione dei diritti di terzi; (B) non contenevano e non contengono Dati personali; (ii) il Partner non utilizzerà Output dell'IA da qualsiasi IA; e (iii) il Partner non svolge, né facilita lo svolgimento da parte del Cliente, di alcun Processo decisionale automatizzato in adempimento dei propri obblighi ai sensi dell'Accordo.
VISUALIZZA LE VERSIONI PRECEDENTI