view in:

OBBLIGHI GLOBALI IN MATERIA DI PRIVACY

ULTIMO AGGIORNAMENTO: 21 novembre 2022
1. INTRODUZIONE
  1. Il presente documento riguardante gli obblighi in materia di privacy a livello globale (gli "Obblighi Globali in materia di privacy") stabilisce alcuni obblighi di protezione dei dati che ci aspettiamo siano rispettati dai nostri fornitori e altri partner (collettivamente, i "Partner") in relazione alla fornitura di prodotti e servizi nei nostri confronti. Il presente documento "Obblighi Globali in materia di privacy" è complementare e costituisce parte integrante di qualsiasi accordo stipulato con i nostri Partner in cui lo stesso sia stato incorporato (l'"Accordo").
  2. Le varie sezioni degli Obblighi Globali in materia di privacy sono applicabili a seconda del nostro rapporto con il Partner. In ogni sezione è indicato quando la stessa trova applicazione.
2. DEFINIZIONI
  1. La presente sezione si applica a tutti i Partner.
  2. Ai fini dei presenti Obblighi Globali in materia di privacy, i termini riportati di seguito hanno i seguenti significati:
    1. con "Titolare del Trattamento" si intende un individuo o un ente che, singolarmente o insieme ad altri, determini le finalità e i mezzi del Trattamento dei Dati Personali;
    2. con "Cliente", "noi", "ci" e "nostro(a)/nostri(e)" si intende: (i) la società Warner Bros. Discovery identificata nell'Accordo e costituente una parte dello stesso e (ii) qualsiasi affiliata o controllata che controlla, è controllata da o è sotto il comune controllo della società Warner Bros. Discovery indicata nell'Accordo;
    3. con "Normativa sulla Protezione dei Dati" si intende qualsivoglia costituzione, legge, atto avente forza di legge, trattato, norma, regolamento, ordinanza, codice e linea guida federale, statale, provinciale, locale, comunale, straniero/a, internazionale, multinazionale o di altro tipo (e le successive modifiche) emessa/o da autorità amministrative competenti a interpretarla/o o farla/o valere e avente ad oggetto il trattamento dei dati personali, il diritto alla riservatezza, la protezione dei dati (ovverosia la protezione dei Dati Personali) o la cybersicurezza;
    4. con "Interessato" si intende l'individuo a cui si riferiscono i Dati Personali;
    5. con "Richiesta dell'Interessato" si intende una richiesta di informazioni, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (ivi compresa quella alla vendita) o eliminazione, o altra richiesta analoga, avanzata da un Interessato;
    6. con "Descrizione del Trattamento" si intende la descrizione dei Dati Personali trattati dal Partner ai sensi dell'Accordo;
    7. con "SEE" si intende lo Spazio Economico Europeo;
    8. con "Trasferimento di Dati dall'area SEE" si intende un trasferimento di Dati Personali soggetto al GDPR in un Paese o territorio fuori dall'area SEE, che non sia stato ritenuto adeguato dalla Commissione UE;
    9. con "Clausole Contrattuali Tipo dell'area SEE" si intendono le clausole contrattuali standard per il trasferimento di dati personali verso Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, adottate con decisione della Commissione Europea del 4 giugno 2021 C(2021) 3972, consultabile online all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=it;
    10. con "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati);
    11. con "Obblighi di Sicurezza delle Informazioni" si intende qualsivoglia obbligo di sicurezza delle informazioni applicabile, allegato o comunque facente parte dell'Accordo;
    12. con "Altro Trasferimento di Dati" si intende un trasferimento di Dati Personali: (i) soggetto alle leggi di un Paese che limita il trasferimento di Dati Personali a un altro Paese non ritenuto adeguato a riceverli (un "Paese Soggetto a Limitazioni"); e (ii) che non sia un Trasferimento di Dati dall'area SEE o un Trasferimento di Dati dal Regno Unito;
    13. con "Dato Personale" si intende qualsivoglia informazione riguardante una persona fisica identificata o identificabile, inclusa qualsiasi informazione indicata come "informazione che consenta l'identificazione personale", "informazione personale", "dato personale" o terminologia analoga e definita nella Normativa sulla Protezione dei Dati, limitata a tali Dati Personali trattati dal Partner per finalità connesse all'Accordo;
    14. con "Trattamento" o “Trattare” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi di elaborazione automatizzati e applicate ai Dati Personali, inclusa la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, la consultazione, l’uso, la comunicazione mediante trasmissione, il trasferimento, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei Dati Personali;
    15. con "Responsabile del Trattamento" si intende un individuo o un ente che effettui il Trattamento dei Dati Personali per conto del Titolare del Trattamento;
    16. con "Incidente di Sicurezza" si intende: (i) qualsivoglia grave interruzione delle operazioni di Trattamento del Partner; (ii) qualsivoglia acquisizione, perdita, accesso, uso o abuso non autorizzati, perdita di accesso o perdita di utilizzo di Dati Personali (ivi compresa la perdita di qualsivoglia supporto di memorizzazione su cui sono conservati i Dati Personali); (iii) qualsivoglia violazione di sicurezza da cui derivino la fortuita o illecita distruzione, perdita, alterazione, uso o abuso, o la divulgazione o l’accesso non autorizzato ai Dati Personali;
    17. con "Dati Personali Sensibili" si intendono quei Dati Personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, la salute fisica o mentale e la vita o l'orientamento sessuale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco un Interessato, i Dati Personali relativi a condanne penali e reati o alle connesse misure di sicurezza, i numeri di identificazione nazionali, le credenziali di account, i numeri di conto corrente (ivi inclusi i numeri delle carte di pagamento), i dati di geolocalizzazione accurati, il contenuto di comunicazioni non dirette al Partner o alla Cliente e tutte le sottocategorie di Dati Personali considerate "sensibili" o che richiedano una maggiore protezione ai sensi della Normativa sulla Protezione dei Dati applicabile;
    18. il termine "Servizi" ha il significato specificato nell'Accordo oppure, laddove non definito nell'Accordo, indica i prodotti o i servizi resi dal Partner a noi ai sensi dell'Accordo;
    19. con "Sub-Responsabile del Trattamento" si intende un individuo o un'entità giuridica che effettui il Trattamento dei Dati Personali per conto di un Responsabile del Trattamento;
    20. con "Trasferimento di Dati dal Regno Unito" si intende un trasferimento di Dati Personali soggetti al GDPR del Regno Unito in un Paese o territorio fuori dal Regno Unito che non sia stato ritenuto adeguato dal Segretario di Stato del Regno Unito;
    21. con "GDPR del Regno Unito" si intendono le disposizioni del GDPR efficaci nell'ordinamento di Inghilterra e Galles, Scozia e Irlanda del Nord, ai sensi dell'articolo 3 dell'European Union (Withdrawal) Act 2018; e
    22. con "Addendum SCC del Regno Unito" si intende il modello di addendum emesso dall'Information Commissioner's Office del Regno Unito e presentato al Parlamento in conformità all'articolo 119A del Data Protection Act 2018 in data 2 febbraio 2022, come rivisto ai sensi dell'articolo 18, consultabile online su https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. CONDIZIONI PER TUTTI I PARTNER
  1. La presente sezione si applica a tutti i Partner.
  2. Conformità alle normative. Il Partner dovrà rispettare tutte le Normative sulla Protezione dei Dati applicabili e predisporre misure di protezione dei dati idonee ad adempiere ai propri obblighi ai sensi delle stesse. Qualora il Partner dovesse ritenere di non essere più in grado di adempiere ai propri obblighi ai sensi della Normativa sulla Protezione dei Dati, dovrà darne comunicazione alla Cliente all'indirizzo e-mail wmprivacy@warnermedia.com. La Cliente avrà il diritto di adottare le misure appropriate per eliminare e porre rimedio a qualsiasi Trattamento di Dati Personali non autorizzato da parte del Partner.
  3. Sicurezza. Il Partner dovrà implementare e mantenere in essere misure tecniche e organizzative corrette e adeguate alla protezione dei Dati Personali. Le misure di sicurezza adottate dal Partner dovranno essere concepite allo scopo di: (i) garantire la riservatezza, la disponibilità e l'integrità dei Dati Personali; (ii) garantire la protezione da eventuali minacce o pericoli prevedibili per la sicurezza o l'integrità dei Dati Personali; e (iii) prevenire il Trattamento non autorizzato dei Dati Personali.
  4. Comunicazioni di terzi. Nel caso in cui il Partner riceva comunicazioni da parte di un individuo, un organismo di regolamentazione, un ente governativo o altri terzi in merito:
    1. al Trattamento dei Dati Personali da parte del Partner in relazione all'Accordo; o
    2. al Trattamento dei Dati Personali da parte della Cliente,

    il Partner dovrà (eccetto nei casi vietati dalla legge) notificare tempestivamente alla Cliente (all'indirizzo e-mail wmprivacy@warnermedia.com) tutti i dettagli di tale comunicazione e fornire tutta la collaborazione ragionevolmente richiesta dalla Cliente per rispondere alla stessa. Al Partner è fatto divieto di rispondere direttamente a tale comunicazione senza previa autorizzazione da parte della Cliente, eccetto qualora sia legalmente obbligato a farlo.
  5. Risposta a richieste e incidenti. Al Partner è fatto divieto, senza la preventiva approvazione scritta della Cliente, di citare la Cliente (incluse tutte le relative controllate o affiliate) in alcuna: (i) risposta a un Interessato; (ii) divulgazione pubblica relativa al Trattamento; (iii) notifica di un Incidente di Sicurezza; o (iv) divulgazione a un'autorità di controllo per la protezione dei dati o a un altro ente giuridico in relazione al Trattamento.
  6. Durata e ultrattività.
    1. Fatta salva la Sezione 3.6(b), le disposizioni contenute nei presenti Obblighi Globali in materia di privacy cesseranno di avere efficacia nel momento in cui il Partner cesserà di trattare i Dati Personali in relazione all'Accordo.
    2. In deroga alla Sezione 3.6(a), le Sezioni 3.4, 3.5 e 3.7 sopravvivranno alla risoluzione o alla scadenza dell'Accordo e dei presenti Obblighi Globali in materia di privacy.
  7. Traduzioni. In caso di conflitto tra la versione in lingua inglese dei presenti Obblighi Globali in materia di privacy e un'altra versione in qualsiasi altra lingua, prevarrà la versione in lingua inglese.
  8. Nessuna limitazione di responsabilità. A scanso di equivoci, le responsabilità delle parti derivanti dai presenti Obblighi Globali in materia di privacy non saranno soggette ad alcuna delle limitazioni o esclusioni di responsabilità contenute nell'Accordo.
4. CONDIZIONI PER I RESPONSABILI DEL TRATTAMENTO
  1. La presente sezione si applica nella misura in cui:
    1. il Partner Tratti i Dati Personali in qualità di Responsabile del Trattamento per conto della Cliente; oppure
    2. l'Accordo preveda espressamente l'applicazione della presente sezione.
  2. Istruzioni. Il Partner dovrà Trattare i Dati Personali esclusivamente in conformità alle istruzioni documentate della Cliente (a meno che non sia necessario Trattare tali Dati Personali in conformità a un requisito legale a cui il Partner è soggetto, nel qual caso il Partner dovrà informare la Cliente di tale obbligo giuridico prima di avviare tale Trattamento, purché il suddetto obbligo giuridico non lo vieti). Le istruzioni documentate della Cliente prevedono il Trattamento dei Dati Personali: (i) nella misura necessaria al Partner per fornire i Servizi e adempiere a qualsiasi altro obbligo previsto dall'Accordo; e (ii) come diversamente indicato di volta in volta per iscritto dalla Cliente. Il Partner è tenuto a informare immediatamente la Cliente laddove a proprio avviso una direttiva o un'istruzione di quest'ultima violi la Normativa sulla Protezione dei Dati applicabile.
  3. Descrizione del Trattamento. Nella Descrizione del Trattamento è riportata una descrizione dell'oggetto, della durata, della natura e delle finalità del Trattamento, del tipo di Dati Personali trattati e delle categorie di Interessati.
  4. Limitazioni all'uso. Al Partner è fatto divieto di: (i) vendere Dati Personali o comunque divulgarli in cambio di corrispettivo economico o altra valida controprestazione; (ii) Trattare i Dati Personali per qualsiasi finalità diversa dalla specifica finalità di prestazione dei Servizi o dalle istruzioni della Cliente; (iii) Trattare i Dati Personali al di fuori del rapporto commerciale diretto fra Partner e Cliente; ovvero (iv) combinare i Dati Personali con dati personali ricevuti da o per conto di altri soggetti o raccolti dai consumatori. Il Partner dichiara di comprendere e si impegna a rispettare le limitazioni di cui alla presente sezione.
  5. Richieste degli Interessati. Il Partner è tenuto a informare tempestivamente la Cliente di tutte le Richieste degli Interessati o di comunicazioni provenienti da o presentate per conto degli Interessati, concernenti i Dati Personali trattati per finalità connesse ai Servizi, astenendosi dal rispondere agli Interessati, eccetto per confermare la ricezione delle succitate Richieste degli Interessati o comunicazioni (fatto salvo laddove diversamente previsto dalla Normativa sulla Protezione dei Dati o laddove richiesto dalla Cliente). Il Partner è tenuto ad assistere la Cliente nella misura necessaria al fine di consentire a quest'ultima di rispondere alle Richieste degli Interessati, anche attraverso misure tecniche e organizzative adeguate o qualsivoglia funzionalità e caratteristica del prodotto. Il Partner dovrà fornire tale assistenza tempestivamente e comunque entro cinque (5) giorni dalla Richiesta dell'Interessato o dalla richiesta di assistenza della Cliente. Nelle circostanze appropriate e dietro ragionevole richiesta della Cliente, il Partner è tenuto ad assistere quest'ultima nell'informare i singoli individui in merito al Trattamento dei Dati Personali, anche fornendo agli Interessati in questione un'informativa o una politica sulla privacy conforme alla Normativa sulla Protezione dei Dati ovvero istruzioni per il reperimento della stessa. Il Partner è tenuto a tenere e fornire alla Cliente registri esaustivi e accurati delle Richieste degli Interessati in relazione alle quali il Partner abbia fornito assistenza e procurare ragionevole accesso agli stessi alla Cliente.
  6. Obblighi di riservatezza del personale. Il Partner si impegna ad assicurare che ciascun membro del proprio personale sia vincolato a obblighi di riservatezza aventi ad oggetto i Dati Personali.
  7. Sicurezza. Il Partner è tenuto a implementare e mantenere in essere procedure e pratiche per garantire la sicurezza delle informazioni stabilite negli Obblighi di Sicurezza delle Informazioni.
  8. Attività di audit e assistenza. Fatte salve le disposizioni in materia di audit contenute negli Obblighi di Sicurezza delle Informazioni, il Partner è tenuto a:
    1. fornire alla Cliente le informazioni e l'assistenza ragionevolmente necessarie per confermare il rispetto da parte del Partner dei presenti Obblighi Globali in materia di privacy, ivi compresa l'assistenza nel completamento delle valutazioni d'impatto sulla protezione dei dati e la consultazione delle autorità preposte alla protezione dei dati. Il Partner è tenuto altresì a fornire alla Cliente tutta l'assistenza ragionevolmente necessaria a ottemperare alla Normativa sulla Protezione dei Dati; e
    2. a sottoporre ad attività di audit, dietro istruzioni della Cliente, il proprio programma di protezione dei dati e le proprie infrastrutture per il Trattamento dei Dati Personali onde verificarne la conformità ai presenti Obblighi Globali in materia di privacy e/o alla Normativa sulla Protezione dei Dati applicabile. L'attività di audit potrà essere svolta dalla Cliente o da un soggetto incaricato dalla stessa, purché tale soggetto incaricato sottoscriva un accordo di riservatezza ritenuto accettabile dal Partner. La Cliente concederà al Partner ragionevole preavviso e condurrà tale attività di audit durante il normale orario di lavoro, astenendosi dal creare irragionevole intralcio all'attività del Partner stesso. Al fine di evitare ambiguità, la presente disposizione non comporta l'obbligo in capo al Partner di dare accesso alla Cliente a dati riservati dei propri altri clienti.
  9. Incidenti di Sicurezza. In caso di Incidente di Sicurezza effettivo o ragionevolmente sospettato, il Partner, tempestivamente e mai oltre quarantotto (48) ore dal momento in cui ne sia venuto a conoscenza, informerà la Cliente e contatterà il servizio di emergenza del WarnerMedia Security Operations Center telefonicamente al numero (001) 404-827-1900, e tramite e-mail all'indirizzo cybersecurity@WarnerMedia.com. Dietro istruzioni della Cliente, il Partner fornirà tutte le informazioni e l'assistenza ragionevolmente richieste dalla Cliente al fine di procedere alle indagini, alla mitigazione e all'intervento a fronte dell'Incidente di Sicurezza, e comunque almeno le informazioni o l'assistenza che sia tenuto a fornire in virtù della Normativa sulla Protezione dei Dati applicabile ovvero necessarie affinché la Cliente sia in grado di notificare l'Incidente di Sicurezza. Il Partner si impegna a consultare la Cliente prima di rilasciare qualsivoglia dichiarazione pubblica in merito a un Incidente di Sicurezza ovvero di inviare notifiche aventi ad oggetto un Incidente di Sicurezza all'autorità di controllo per la protezione dei dati o comunicazioni a un Interessato. Il Partner sarà da ritenersi responsabile e corrisponderà alla Cliente, su richiesta, tutti i costi, gli oneri, le perdite, i danni e le spese (incluse le spese legali) sostenuti dalla Cliente, derivanti da o in relazione a un Incidente di Sicurezza che interessi i Dati Personali Trattati dal Partner, dalle sue affiliate, dagli aventi causa o dai Sub-Responsabili del Trattamento dello stesso.
  10. Trattamento da parte di un Sub-Responsabile. Il Partner potrà incaricare o altrimenti consentire a un Sub-Responsabile del Trattamento di Trattare Dati Personali per suo conto, a condizione che il Partner:
    1. abbia stipulato un impegno scritto con ciascun Sub-Responsabile del Trattamento che imponga obblighi non meno restrittivi di quelli inclusi nelle disposizioni contenute nei presenti Obblighi Globali in materia di privacy applicabili al Partner;
    2. effettui un'adeguata due diligence per garantire che ciascun Sub-Responsabile del Trattamento sia in grado di svolgere le attività necessarie affinché il Partner possa adempiere ai propri obblighi ai sensi delle disposizioni contenute nei presenti Obblighi Globali in materia di privacy applicabili al Partner;
    3. informi la Cliente in anticipo e per iscritto di qualsiasi nuovo Sub-Responsabile del Trattamento che il Partner si proponga di incaricare. La Cliente avrà trenta (30) giorni di tempo dalla ricezione di tale comunicazione per opporsi al ricorso al nuovo Sub-Responsabile del Trattamento da parte del Partner. Qualora tale periodo decorra senza opposizione da parte della Cliente, il Partner avrà la facoltà di consentire al suddetto Sub-Responsabile del Trattamento di procedere al Trattamento dei Dati Personali. Qualora la Cliente si opponga alla designazione di un Sub-Responsabile del Trattamento, il Partner sarà tenuto a replicare tempestivamente all'opposizione entro dieci (10) giorni dalla ricezione della stessa. Qualora il Partner non sia in grado di risolvere l’opposizione della Cliente in modo soddisfacente per quest'ultima entro tale periodo di dieci (10) giorni, la Cliente avrà facoltà di risolvere con effetti immediati l'Accordo, senza penali e in qualsiasi momento, mediante comunicazione scritta al Partner. Il Partner non consentirà al nuovo Sub-Responsabile del Trattamento di procedere al Trattamento dei Dati Personali: durante (i) i trenta (30) giorni decorrenti dalla comunicazione della propria intenzione di fare ricorso a un nuovo Sub-Responsabile del Trattamento ovvero (ii) l’intervallo di tempo in cui l'opposizione della Cliente circa l’uso del Sub-Responsabile del Trattamento non sia stata risolta con soddisfazione di quest'ultima; e
    4. si assumerà la piena responsabilità per tutte le attività di Trattamento di Dati Personali svolte da ciascun Sub-Responsabile del Trattamento.
  11. Eliminazione o restituzione. Allo scioglimento o alla scadenza dell'Accordo, ovvero laddove altrimenti indicato dalla Cliente, il Partner sarà tenuto, in conformità alle istruzioni della Cliente: (i) a restituire alla Cliente una copia completa dei Dati Personali sottoposti a Trattamento in virtù dell'Accordo, in una forma e in un formato ragionevolmente concordati dalle parti, e (ii) a provvedere all'eliminazione sicura dei Dati Personali in proprio possesso o controllo (incluse tutte le copie degli stessi) soggetti a Trattamento in virtù dell'Accordo.
5. CONDIZIONI PER I TITOLARI DEL TRATTAMENTO
  1. La presente sezione si applica nella misura in cui:
    1. il Partner determini autonomamente le finalità e i mezzi per il Trattamento dei Dati Personali che Tratta in relazione all'Accordo; oppure
    2. l'Accordo preveda espressamente l'applicazione della presente sezione.
  2. Comunicazione e trasparenza. Il Partner si impegna a predisporre e mantenere una politica sulla privacy chiara e accessibile, volta a informare gli Interessati (i cui Dati Personali sono Trattati dal Partner in relazione all'Accordo) sulle modalità di Trattamento dei loro Dati Personali da parte del Partner, e conforme a tutte le norme di legge applicabili.
  3. Incidenti di Sicurezza. Il Partner provvederà a informare tempestivamente la relativa Cliente di qualsivoglia Incidente di Sicurezza effettivo o ragionevolmente sospetto che interessi i Dati Personali Trattati in relazione all'Accordo, e a fornire tempestivamente alla Cliente informazioni circa la natura dell'Incidente di sicurezza, i Dati Personali interessati così come la risposta del Partner e le misure di contenimento adottate a seguito dell'Incidente di Sicurezza.
6. TRASFERIMENTI TRANSFRONTALIERI
  1. La presente sezione è applicabile ai Partner quando si verifica un Trasferimento di Dati dall'area SEE, un Trasferimento di Dati dal Regno Unito o un Altro Trasferimento di Dati.
  2. Trasferimenti di Dati (Responsabili del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 4 (Condizioni per i Responsabili del trattamento).
    1. Trasferimenti di Dati dall'area SEE. Se e nella misura in cui i Dati Personali Trattati dal Partner sono oggetto di un Trasferimento di Dati dall'area SEE, le Clausole Contrattuali Tipo dell'area SEE sono incorporate nel presente documento mediante riferimento e si applicano come di seguito stabilito:
      1. Applicazione. Il Partner sarà il soggetto importatore dei dati e la Cliente sarà il soggetto esportatore dei dati.
      2. Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
      3. Moduli. Viene applicato il MODULO DUE (Trasferimento dal Titolare del Trattamento al Responsabile del Trattamento).
      4. Istruzioni. Agli effetti della Sezione II, Clausola 8.1 (Modulo Due), le istruzioni impartite all'importatore di dati dovranno essere istruzioni per il Trattamento dei Dati Personali nelle modalità necessarie all'esecuzione dei Servizi e/o alla fornitura dei prodotti forniti dal Partner e secondo quanto specificato ai sensi dell'Accordo;
      5. Sub-Responsabili del Trattamento. Agli effetti della Sezione II, Clausola 9 (Modulo Due), si applica l'Opzione 2 (e l'importatore dei dati dovrà informare l'esportatore dei dati di eventuali modifiche previste con trenta (30) giorni di anticipo);
      6. Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
      7. Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa sulla Protezione dei Dati applicabile, che i rispettivi obblighi previsti nelle Clausole Contrattuali Tipo dell'area SEE saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali;
      8. Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A - List of parties (Elenco delle parti) - si intende compilato con: (i) i dati della Cliente (in qualità di soggetto esportatore di dati); e (ii) i dati del Partner (in qualità di soggetto importatore dei dati), in tutti i casi applicabili ai sensi dell'Accordo;
      9. Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B - Description of the transfer (Descrizione del trasferimento) - delle Clausole Contrattuali Tipo dell'area SEE sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento;
      10. Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C - Competent Supervisory Authority (Autorità di controllo competente) - delle Clausole Contrattuali Tipo dell'area SEE, nella misura consentita dalla Normativa sulla Protezione dei Dati applicabile, le parti eleggono l'autorità di controllo per la protezione dei dati della Repubblica d'Irlanda;
      11. Compilazione dell'Allegato II. L'Allegato II delle Clausole Contrattuali Tipo dell'area SEE - The Technical and organisational measures including technical and organisational measures to ensure the security of the data (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) - sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di Sicurezza delle Informazioni; e
      12. Conflitto di condizioni. In caso di discordanza o conflitto fra le Clausole Contrattuali Tipo dell'area SEE e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire la massima protezione agli Interessati.
    2. Interpretazione delle Clausole Contrattuali Tipo dell'area SEE per i Paesi Soggetti a Limitazioni. Se e nella misura in cui la divulgazione di Dati Personali da parte della Cliente al Partner equivale a un Altro Trasferimento di Dati, le Clausole Contrattuali Tipo dell'area SEE sono ivi incorporate mediante riferimento e si applicheranno come sopra indicato nel presente paragrafo della Sezione 6, salvo che: (i) ogni riferimento a "UE", "Unione", "Stato Membro dell'UE" o "Stato Membro" contenuto nelle Clausole Contrattuali Tipo dell'area SEE sarà da interpretarsi invece come un rimando al succitato Paese Soggetto a Limitazioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa sulla Protezione dei Dati del succitato Paese Soggetto a Limitazioni e ogni riferimento a specifici articoli o disposizioni dell'GDPR sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa sulla Protezione dei Dati del Paese Soggetto a Limitazioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese Soggetto a Limitazioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando al presente paragrafo, nel quale tali Clausole sono integrate e modificate.
    3. Trasferimenti di Dati dal Regno Unito. Se e nella misura in cui i Dati Personali Trattati dal Partner sono oggetto di un Trasferimento di Dati dal Regno Unito, l'Addendum SCC del Regno Unito è incorporato nel presente documento mediante riferimento e sarà applicato come di seguito stabilito:
      1. Compilazione della Tabella 1. La Tabella 1 dell'Addendum SCC del Regno Unito è compilata con le informazioni relative alla Cliente (in qualità di soggetto esportatore dei dati) e quelle relative al Partner (in qualità di soggetto importatore dei dati), come previste nell'Accordo. Il campo "start date" (ovverosia: "data di inizio") conterrà la data di decorrenza o di efficacia (o equivalente) dell'Accordo. Il campo "key contact" (ovverosia: "contatto principale") relativo alla Cliente conterrà il nominativo del "Chief Privacy Officer" ovvero del relativo incaricato contattabile all'indirizzo e-mail wmprivacy@warnermedia.com e il campo "key contact" relativo al Partner conterrà un nominativo comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
      2. Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum SCC del Regno Unito è compilata con la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le SCC dell'Unione Europea Approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle SCC dell'Unione Europea Approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum SCC del Regno Unito, le "Approved EU SCCs" (ovverosia: le SCC dell'Unione Europea Approvate) sono compilate come indicato nel presente paragrafo della Sezione 6.
      3. Compilazione della Tabella 4. La Tabella 4 dell'Addendum SCC del Regno Unito è compilata con la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
      4. Conflitto di condizioni. In caso di discordanza o conflitto fra l'Addendum SCC del Regno Unito e i presenti Obblighi Globali in materia di privacy, prevarrà l'Addendum SCC del Regno Unito.
  3. Trasferimenti di Dati (Titolari del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 5 (Condizioni per i Titolari del Trattamento).
    1. Trasferimenti di Dati dall'area SEE. Se e nella misura in cui i Dati Personali Trattati dal Partner sono oggetto di un Trasferimento di Dati dall'area SEE, le Clausole Contrattuali Tipo dell'area SEE sono incorporate nel presente documento mediante riferimento e si applicano come di seguito stabilito:
      1. Applicazione. Il Partner sarà il soggetto importatore dei dati e la Cliente sarà il soggetto esportatore dei dati.
      2. Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
      3. Moduli. Viene applicato il MODULO UNO (Trasferimento da Titolare del Trattamento a Titolare del Trattamento);
      4. Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
      5. Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa sulla Protezione dei Dati applicabile, che i rispettivi obblighi previsti nelle Clausole Contrattuali Tipo dell'area SEE saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali;
      6. Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A - List of parties (Elenco delle parti) - si intende compilato con: (i) i dati della Cliente (in qualità di soggetto esportatore di dati); e (ii) i dati del Partner (in qualità di soggetto importatore dei dati), in tutti i casi applicabili ai sensi dell'Accordo;
      7. Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B - Description of the transfer (Descrizione del trasferimento) - delle Clausole Contrattuali Tipo dell'area SEE sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento;
      8. Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C - Competent Supervisory Authority (Autorità di controllo competente) - delle Clausole Contrattuali Tipo dell'area SEE, nella misura consentita dalla Normativa sulla Protezione dei Dati applicabile, le parti eleggono l'autorità di controllo per la protezione dei dati della Repubblica d'Irlanda;
      9. Compilazione dell'Allegato II. L'Allegato II delle Clausole Contrattuali Tipo dell'area SEE - The Technical and organisational measures including technical and organisational measures to ensure the security of the data (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) - sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di Sicurezza delle Informazioni; e
      10. Conflitto di condizioni. In caso di discordanza o conflitto fra le Clausole Contrattuali Tipo dell'area SEE e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire la massima protezione agli Interessati.
    2. Interpretazione delle Clausole Contrattuali Tipo dell'area SEE per i Paesi soggetti a limitazioni. Se e nella misura in cui la divulgazione di Dati Personali da parte della Cliente al Partner equivale a un Altro Trasferimento di Dati, le Clausole Contrattuali Tipo dell'area SEE sono ivi incorporate mediante riferimento e si applicheranno come sopra indicato nel presente paragrafo della Sezione 6, salvo che: (i) ogni riferimento a "UE", "Unione", "Stato Membro dell'UE" o "Stato Membro" contenuto nelle Clausole Contrattuali Tipo dell'area SEE sarà da interpretarsi invece come un rimando al succitato Paese Soggetto a Limitazioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa sulla Protezione dei Dati del succitato Paese Soggetto a Limitazioni e ogni riferimento a specifici articoli o disposizioni dell'GDPR sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa sulla Protezione dei Dati del Paese Soggetto a Limitazioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese Soggetto a Limitazioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando alla presente sezione, nella quale tali Clausole sono integrate e modificate.
    3. Trasferimenti di Dati dal Regno Unito. Se e nella misura in cui i Dati Personali Trattati dal Partner sono oggetto di un Trasferimento di Dati dal Regno Unito, l'Addendum SCC del Regno Unito è incorporato nel presente documento mediante riferimento e sarà applicato come di seguito stabilito:
      1. Compilazione della Tabella 1. La Tabella 1 dell'Addendum SCC del Regno Unito è compilata con le informazioni relative alla Cliente (in qualità di soggetto esportatore dei dati) e quelle relative al Partner (in qualità di soggetto importatore dei dati), come previste nell'Accordo. Il campo "start date" (ovverosia: "data di inizio") conterrà la data di decorrenza o di efficacia (o equivalente) dell'Accordo. Il campo "key contact" (ovverosia: "contatto principale") relativo alla Cliente conterrà il nominativo del "Chief Privacy Officer" ovvero del relativo incaricato contattabile all'indirizzo e-mail wmprivacy@warnermedia.com e il campo "key contact" relativo al Partner conterrà un nominativo comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
      2. Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum SCC del Regno Unito è compilata con la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le SCC dell'Unione Europea Approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle SCC dell'Unione Europea Approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum SCC del Regno Unito, le "Approved EU SCCs" (ovverosia: le SCC dell'Unione Europea Approvate) sono compilate come indicato nel presente paragrafo della Sezione 6.
      3. Compilazione della Tabella 4. La Tabella 4 dell'Addendum SCC del Regno Unito è compilata con la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
      4. Conflitto di condizioni. In caso di discordanza o conflitto fra l'Addendum SCC del Regno Unito e la presente sezione, prevarrà l'Addendum SCC del Regno Unito.
  4. Disposizioni aggiuntive riguardanti i trasferimenti transfrontalieri. Il presente paragrafo si applica se e nella misura in cui i Dati Personali Trattati dal Partner sono oggetto di un Trasferimento di Dati dall'area SEE, di un Trasferimento di Dati dal Regno Unito o di un Altro Trasferimento di Dati.
    Misure supplementari
    1. Le parti riconoscono e convengono che la sentenza della Corte di Giustizia dell'Unione Europea nella Causa C-311/18 chiarisce che potrebbero essere necessarie misure supplementari al fine di garantire che ai Dati Personali oggetto di un Trasferimento di Dati dall'area SEE o di un Trasferimento di Dati dal Regno Unito sia fornito un livello di protezione sostanzialmente equivalente alle tutele che ricevono quando gli stessi sono Trattati nel loro territorio di origine (oltre alle garanzie contenute nelle Clausole Contrattuali Tipo dell'area SEE). Di conseguenza, le parti hanno concordato le misure di cui alle seguenti Sezioni 6.4(b) - (g) come misure supplementari per contribuire a garantire tale equivalenza essenziale.
    2. Qualora venga a conoscenza di una richiesta o di una sollecitazione da parte di un'autorità preposta all'applicazione della legge, della normativa, giudiziaria o governativa (un'"Autorità") finalizzata a ottenere l'accesso o una copia di alcuni o di tutti i Dati Personali Trattati in relazione all'Accordo, sia su base volontaria che obbligatoria, il Partner è tenuto a:
      1. informare immediatamente la Cliente di tale richiesta dell'Autorità;
      2. laddove si applichi la Sezione 4 (Condizioni per i Responsabili del Trattamento), informare l'Autorità di essere un Responsabile del Trattamento dei Dati Personali e di non essere autorizzato dalla Cliente a divulgare tali Dati Personali all'Autorità;
      3. informare l'Autorità che tutte le eventuali richieste o domande di accesso a tali Dati Personali devono essere notificate o comunicate alla Cliente (in quanto Titolare del Trattamento) per iscritto; e
      4. fatta salva la Sezione 6.4(c), non fornire all'Autorità l'accesso a tali Dati Personali a meno che e fino a quando non sarà stato autorizzato per iscritto dalla Cliente.
    3. In deroga alla Sezione 6.4(b)(iv), il Partner ha la facoltà, senza la previa autorizzazione scritta della Cliente, di divulgare a un'Autorità Dati Personali a seguito del ricevimento di una richiesta o domanda da parte di tale Autorità, a condizione che (salvo che ciò non sia vietato dalla legge):
      1. il Partner abbia dato alla Cliente un ragionevole preavviso di tale richiesta o domanda in modo da offrirle una ragionevole opportunità di opporsi o di richiedere un'ordinanza cautelare o un qualsiasi altro rimedio appropriato;
      2. il Partner collabori ragionevolmente con la Cliente, a spese della stessa, affinché essa possa opporsi o richiedere un'ordinanza cautelare o un altro rimedio appropriato; e
      3. il Partner, in ogni caso, renda nota solo la porzione dei Dati Personali che è tenuto a divulgare per legge.
    4. Nel caso in cui il Partner divulghi Dati Personali a un'Autorità, il Partner si impegna a divulgare tali Dati Personali solo nella misura in cui sia legalmente tenuto a farlo e solo in conformità con le procedure giuridiche applicabili.
    5. Il Partner non dovrà divulgare consapevolmente Dati Personali in maniera massiccia o indiscriminata in modo da andare oltre ai principi di necessità e proporzionalità applicabili a una società democratica.
    6. Il Partner deve disporre, mantenere e rispettare una politica scritta che disciplini le richieste di Dati Personali da parte delle Autorità e che vieti quantomeno:
      1. la divulgazione massiva o indiscriminata di Dati Personali relativi agli Interessati in Europa; e
      2. la divulgazione di Dati Personali relativi agli Interessati in Europa a un'Autorità in mancanza di una citazione, un mandato, un'ingiunzione, un decreto, una convocazione o un altro ordine giuridicamente vincolante che imponga la divulgazione di tali Dati Personali.
    7. Al Partner è richiesto di adottare e mantenere in essere, in conformità con le buone prassi del settore, misure per proteggere i Dati Personali dall'intercettazione (anche durante il loro transito dalla Cliente al Partner e tra sistemi e servizi diversi). Tra queste misure rientrano l'adozione e il mantenimento di una protezione della rete per impedire l'intercettazione dei dati da parte di eventuali malintenzionati e la crittografia dei dati in transito per impedirne la lettura.
      Ulteriori disposizioni sul trasferimento di dati
    8. Il Partner si impegna a collaborare in buona fede per sottoscrivere ulteriori documenti e applicare ulteriori tutele, o per limitare il Trattamento a determinati territori, secondo quanto la Cliente possa ritenere necessario al fine di effettuare Trasferimenti di Dati dall'area SEE, Trasferimenti di Dati dal Regno Unito o Altri Trasferimenti di Dati (ove applicabile).
    9. Laddove il Partner si trovi in qualsiasi momento a Trattare Dati Personali provenienti da un Paese in cui vigono restrizioni al trasferimento dei Dati Personali verso un'altra giurisdizione non ritenuta adeguata a riceverli, il Partner, su istruzione della Cliente, dovrà:
      1. intraprendere tutte le azioni necessarie e sottoscrivere gli accordi richiesti ai sensi della Normativa sulla Protezione dei Dati personali applicabile in tale Paese al fine di legittimare qualsiasi Trattamento; e
      2. garantire un livello adeguato di protezione dei Dati Personali della Cliente.
    10. Qualora un'autorità competente preposta alla protezione dei dati ritenga non valido un meccanismo di trasferimento dei dati utilizzato dalle parti, ovvero qualora qualsivoglia autorità competente preposta alla protezione dei dati o legge applicabile richieda la sospensione o la limitazione di trasferimenti di Dati Personali verso una specifica giurisdizione, la Cliente avrà, a propria discrezione, la facoltà di richiedere al Partner di cessare il Trattamento dei Dati Personali e il Partner collaborerà con la Cliente in buona fede al fine di facilitare l'uso di un meccanismo alternativo per il trasferimento dei dati, di sottoscrivere ulteriori documenti, di applicare tutele aggiuntive o di limitare il Trattamento a specifiche giurisdizioni.
7. INDENNIZZO
  1. La presente sezione si applica a tutti i Partner.
  2. In aggiunta a tutti gli obblighi di indennizzo del Partner previsti dall'Accordo, il Partner è tenuto a difendere, manlevare e tenere indenne la Cliente da qualsivoglia rivendicazione di terzi, azione, costo, responsabilità, perdita, danno e spesa (comprese le spese legali) sostenute della Cliente, derivanti da o in connessione con: (i) un Incidente di Sicurezza; o (ii) una violazione del presente Addendum da parte del Partner o delle relative società affiliate, dei Sub-Responsabili del Trattamento (compresi quelli nominati dalle società affiliate del Partner) e degli aventi causa, ivi comprese, a titolo esemplificativo e non esaustivo, qualsivoglia rivendicazione o azione legale promossa da un'autorità preposta alla protezione dei dati o da un Interessato.
INDIETRO