view in:

TERMINI E CONDIZIONI IN MATERIA PRIVACY A LIVELLO GLOBALE

ULTIMO AGGIORNAMENTO: 24 agosto 2023
1. INTRODUZIONE
  1. I presenti termini e condizioni in materia privacy a livello globale (i "Termini e Condizioni Privacy") stabiliscono alcuni obblighi di protezione dei dati che ci aspettiamo siano rispettati dai nostri fornitori e altri partner (collettivamente, i "Partner") in relazione alla fornitura di prodotti e servizi nei nostri confronti. I presenti Termini e Condizioni Privacy sono complementari e costituiscono parte integrante di qualsiasi accordo stipulato con i nostri Partner in cui gli stessi siano stati incorporati (l'"Accordo").
  2. A seconda del nostro rapporto con il Partner, saranno applicabili sezioni diverse dei presenti Termini e Condizioni Privacy. In ogni sezione è indicato quando esse vengono applicate.
2. DEFINIZIONI
  1. La presente sezione si applica a tutti i Partner.
  2. Ai fini dei presenti Termini e Condizioni Privacy, i termini riportati di seguito hanno i seguenti significati:
    1. con "Titolare del Trattamento" si intende una persona fisica o giuridica che, singolarmente o insieme ad altri, determini le finalità e i mezzi del Trattamento dei Dati personali;
    2. con "Cliente", "noi", "ci" e "nostro(a)/nostri(e)" si intende: (i) l'entità giuridica Warner Bros. Discovery identificata nell'Accordo e parte dello stesso e (ii) qualsiasi affiliata o società che controlla, è controllata da o è sotto controllo congiunto con l'entità Warner Bros. Discovery indicata nell'Accordo;
    3. con "Normativa in materia di protezione dei dati" si intende qualsivoglia costituzione, legge, atto avente forza di legge, trattato, norma, regolamento, ordinanza, codice e linea guida federale, statale, provinciale, locale, comunale, straniero/a, internazionale, inerente a soggetti multinazionali o di altro tipo (e le successive modifiche) emessa/o da autorità amministrative competenti a interpretarla/o o farla/o valere e avente ad oggetto il trattamento dei dati personali, il diritto alla riservatezza, la protezione dei dati (ovverosia la protezione dei Dati personali) o la cybersicurezza;
    4. con "Interessato" si intende l'individuo a cui si riferiscono i Dati personali;
    5. con "Richiesta dell'Interessato" si intende una richiesta di informazioni, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (ivi compresa quella alla vendita) o cancellazione e qualsiasi altra richiesta analoga, avanzata da un Interessato;
    6. con "Descrizione del Trattamento" si intende la descrizione dei Dati personali trattati dal Partner ai sensi dell'Accordo;
    7. con "SEE" si intende lo Spazio economico europeo;
    8. con "Trasferimento di dati dall'area SEE" si intende un trasferimento di Dati personali (a) soggetto all'RGPD; (b) a un destinatario in un Paese o territorio fuori dall'area SEE; e (c) che non sia stato sottoposto a una decisione di adeguatezza da parte della Commissione UE;
    9. con "Clausole contrattuali tipo dell'area SEE" si intendono le Clausole contrattuali tipo per il trasferimento di Dati personali verso Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, adottate con decisione della Commissione europea del 4 giugno 2021 C(2021) 3972, consultabile online all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale=it;
    10. con "RGPD" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati);
    11. con "Obblighi di sicurezza informatica" si intende qualsivoglia obbligo di sicurezza informatica applicabile, allegato o comunque facente parte dell'Accordo;
    12. con "Altro trasferimento di dati" si intende un trasferimento di Dati personali: (i) soggetto alle leggi di un Paese che limita il trasferimento di Dati personali a un altro Paese non ritenuto adeguato a riceverli (un "Paese che impone restrizioni"); e (ii) che non sia un Trasferimento di dati dall'area SEE o un Trasferimento di dati dal Regno Unito;
    13. con "Dato personale" si intende qualsivoglia informazione riguardante una persona fisica identificata o identificabile, inclusa qualsiasi informazione indicata con le formule "informazione che consenta l'identificazione personale", "informazione personale", "dato personale" o terminologia analoga e definita nella Normativa in materia di protezione dei dati, limitata ai Dati personali trattati dal Partner per finalità connesse all'Accordo;
    14. con "Trattamento" si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate ai Dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei suddetti;
    15. con "Responsabile del Trattamento" si intende una persona fisica o giuridica che effettui il Trattamento dei Dati personali per conto del Titolare del Trattamento;
    16. con "Incidente di sicurezza informatica" si intende: (i) qualsivoglia grave interruzione delle operazioni di Trattamento del Partner; (ii) qualsivoglia acquisizione, perdita, accesso, uso o abuso non autorizzati, perdita di accesso o perdita di utilizzo di Dati personali (ivi compresa la perdita di qualsivoglia supporto di memorizzazione su cui sono conservati i Dati personali); (iii) qualsivoglia violazione di sicurezza che comporta accidentalmente o in modo o illecito la distruzione, perdita o divulgazione non autorizzata o l’accesso ai Dati personali;
    17. con "Dati personali sensibili" si intendono quei Dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, la salute fisica o mentale e la vita o l'orientamento sessuale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco un Interessato, i Dati personali relativi a condanne penali e reati o alle connesse misure di sicurezza, i numeri di identificazione nazionali, le credenziali di account, i numeri di conto corrente (ivi inclusi i numeri delle carte di pagamento), i dati di geolocalizzazione accurati, il contenuto di comunicazioni non dirette al Partner o alla Cliente e tutte le sottocategorie di Dati personali considerate "sensibili" o che richiedano una protezione più marcata ai sensi della Normativa in materia di protezione dei dati applicabile;
    18. il termine "Servizi" ha il significato specificato nell'Accordo oppure, laddove non definito nell'Accordo, indica i prodotti o i servizi resi dal Partner a noi ai sensi dell'Accordo;
    19. con "Sub-responsabile del Trattamento" si intende una persona fisica o giuridica che effettui il Trattamento dei Dati personali per conto di un Responsabile del Trattamento;
    20. con "Trasferimento di dati dal Regno Unito" si intende un trasferimento di Dati personali (a) soggetto all'RGPD del Regno Unito; (b) a un destinatario in un Paese o territorio fuori dal Regno Unito; e (c) che non sia stato sottoposto a una decisione di adeguatezza da parte del Segretario di Stato del Regno Unito;
    21. con "RGPD del Regno Unito" si intendono le disposizioni dell'RGPD efficaci nell'ordinamento di Inghilterra e Galles, Scozia e Irlanda del Nord, ai sensi dell'articolo 3 dell'European Union (Withdrawal) Act 2018; e
    22. con "Addendum in materia di CCT del Regno Unito" si intende il modello di addendum emesso dall'Information Commissioner's Office del Regno Unito e presentato al Parlamento in conformità all'articolo 119A del Data Protection Act 2018 in data 2 febbraio 2022, aggiornato all'articolo 18, consultabile online su https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. CONDIZIONI PER TUTTI I PARTNER
  1. La presente sezione si applica a tutti i Partner.
  2. Osservanza della normativa. Il Partner dovrà rispettare tutta la Normativa in materia di protezione dei dati applicabile e predisporre misure di protezione della riservatezza idonee ad adempiere ai propri obblighi ai sensi della stessa. Qualora il Partner dovesse ritenere di non essere più in grado di adempiere ai propri obblighi ai sensi della Normativa in materia di protezione dei dati, dovrà darne comunicazione alla Cliente all'indirizzo e-mail wbdprivacy@wbd.com. La Cliente avrà il diritto di adottare le misure appropriate per eliminare e porre rimedio a qualsiasi Trattamento di Dati personali non autorizzato da parte del Partner.
  3. Sicurezza. Il Partner dovrà implementare e mantenere in essere misure tecniche e organizzative corrette e adeguate per la protezione dei Dati personali. Le misure di sicurezza adottate dal Partner dovranno essere concepite allo scopo di: (i) garantire la riservatezza, la disponibilità e l'integrità dei Dati personali; (ii) garantire la protezione da eventuali minacce o pericoli prevedibili per la sicurezza o l'integrità dei Dati personali; e (iii) prevenire il Trattamento non autorizzato dei Dati personali.
  4. Comunicazioni di terzi. Nel caso in cui il Partner riceva comunicazioni da parte di un individuo, un organismo di regolamentazione, un ente governativo o altri terzi in merito:
    1. al Trattamento dei Dati personali da parte del Partner in relazione all'Accordo; o
    2. al Trattamento dei Dati personali da parte della Cliente,

    il Partner dovrà (eccetto nei casi vietati dalla legge) notificare tempestivamente alla Cliente (all'indirizzo e-mail wbdprivacy@wbd.com) tutti i dettagli di tale comunicazione e fornire tutta la collaborazione ragionevolmente richiesta dalla Cliente per rispondere alla stessa. Al Partner è fatto divieto di replicare direttamente a tale comunicazione senza previa autorizzazione da parte della Cliente, eccetto laddove diversamente stabilito dalla legge.
  5. Risposta a richieste e incidenti. Al Partner è fatto divieto, senza la preventiva approvazione scritta della Cliente, di citare la Cliente (incluse tutte le relative controllate o affiliate) in alcuna: (i) risposta a un Interessato; (ii) comunicazione pubblica relativa al Trattamento; (iii) notifica di un Incidente di sicurezza informatica; o (iv) comunicazione a un'autorità di controllo per la protezione dei dati o a un altro ente giuridico in relazione al Trattamento.
  6. Durata e ultrattività.
    1. Le disposizioni contenute nei presenti Termini e Condizioni Privacy cesseranno di essere efficaci nel momento in cui il Partner cesserà di trattare i Dati personali in relazione all'Accordo.
    2. Fatte salve le eventuali disposizioni contrarie contenute nella presente Sezione 3 (Condizioni per tutti i Partner), le Sezioni 3.4, 3.5, 3.8 e 7 sopravvivranno allo scioglimento o alla scadenza dell'Accordo e dei presenti Termini e Condizioni Privacy.
  7. Traduzioni. In caso di conflitto tra la versione in lingua inglese dei presenti Termini e Condizioni Privacy e un'altra versione in qualsiasi altra lingua, prevarrà la versione in lingua inglese.
  8. Nessuna limitazione di responsabilità. A scanso di equivoci, le responsabilità delle parti derivanti dai presenti Termini e Condizioni Privacy non saranno soggette ad alcuna delle limitazioni o esclusioni di responsabilità contenute nell'Accordo.
  9. Assenza di partnership. Nessuna disposizione dei presenti Termini e Condizioni Privacy potrà essere considerata tale da creare un rapporto di lavoro, joint venture, agenzia o partnership tra le parti, e nessuna delle parti è autorizzata né agirà nei confronti di terzi o del pubblico in alcun modo che possa far ritenere sussistente un tale rapporto con l'altra parte.
4. CONDIZIONI PER I RESPONSABILI DEL TRATTAMENTO
  1. La presente sezione si applica nella misura in cui:
    1. il Partner tratti i Dati personali in qualità di Responsabile del Trattamento per conto della Cliente; oppure
    2. l'Accordo preveda espressamente l'applicazione della presente sezione.
  2. Istruzioni. Il Partner dovrà trattare i Dati personali esclusivamente in conformità alle istruzioni documentate della Cliente (a meno che non sia necessario trattare tali Dati personali in conformità a un obbligo giuridico a cui il Partner è soggetto, nel qual caso il Partner dovrà informare la Cliente di tale obbligo giuridico prima di avviare tale Trattamento, purché il suddetto obbligo giuridico non lo vieti). Le istruzioni documentate della Cliente prevedono il Trattamento dei Dati personali: (i) nella misura necessaria al Partner per fornire i Servizi e adempiere a qualsiasi altro obbligo previsto dall'Accordo; e (ii) come diversamente indicato di volta in volta per iscritto dalla Cliente. Il Partner è tenuto a informare immediatamente la Cliente laddove a proprio avviso una direttiva o un'istruzione di quest'ultima violi la Normativa in materia di protezione dei dati applicabile.
  3. Descrizione del Trattamento. Nella Descrizione del Trattamento è riportata una descrizione dell'oggetto, della durata, della natura e delle finalità del Trattamento, del tipo di Dati personali trattati e delle categorie di Interessati.
  4. Limitazioni all'uso. Al Partner è fatto divieto di: (i) vendere Dati personali o comunque comunicarli in cambio di corrispettivo economico o comunque a titolo oneroso; (ii) trattare Dati personali per qualsiasi finalità diversa dalla specifica finalità di prestare i Servizi o seguire le istruzioni della Cliente; (iii) trattare Dati personali al di fuori del rapporto commerciale diretto fra Partner e Cliente; ovvero (iv) combinare i Dati personali con dati personali ricevuti o raccolti da o per conto di altre persone fisiche o giuridiche, ivi inclusi consumatori. Il Partner dichiara di comprendere e si impegna a rispettare le limitazioni di cui alla presente sezione.
  5. Richieste degli Interessati. Il Partner è tenuto a informare tempestivamente la Cliente di tutte le Richieste degli Interessati o di comunicazioni provenienti da o presentate per conto degli Interessati, concernenti i Dati personali che tratta per finalità connesse ai Servizi, astenendosi dal rispondere agli Interessati, eccetto per confermare la ricezione delle succitate Richieste o comunicazioni (fatto salvo laddove diversamente previsto dalla Normativa in materia di protezione dei dati o laddove la Cliente abbia dato istruzioni diverse). Il Partner è tenuto ad assistere la Cliente al fine di consentire a quest'ultima di rispondere alle Richieste degli Interessati, anche attraverso misure tecniche e organizzative adeguate o qualsivoglia funzionalità e caratteristica del prodotto. Il Partner dovrà fornire tale assistenza tempestivamente e comunque entro cinque (5) giorni dalla Richiesta dell'Interessato o dalla richiesta di assistenza della Cliente. Nelle circostanze appropriate e dietro ragionevole richiesta della Cliente, il Partner è tenuto ad assistere quest'ultima nell'informare i singoli individui in merito al Trattamento dei Dati personali, anche fornendo agli Interessati in questione un'informativa o una politica sulla privacy conforme alla Normativa in materia di protezione dei dati ovvero istruzioni per il reperimento della stessa. Il Partner è tenuto a mantenere registri completi e accurati delle Richieste degli Interessati cui abbia dato seguito e a dare alla Cliente adeguato accesso agli stessi.
  6. Obblighi di riservatezza del personale. Il Partner si impegna ad assicurare che ciascun membro del proprio personale sia vincolato a obblighi di riservatezza che si applicano ai Dati personali.
  7. Sicurezza. Il Partner è tenuto a implementare e mantenere in essere procedure e pratiche per garantire la sicurezza delle informazioni stabilite negli Obblighi di sicurezza informatica.
  8. Attività di revisione e assistenza. Fatte salve le disposizioni in materia di revisione contenute negli Obblighi di sicurezza informatica, il Partner è tenuto a:
    1. fornire alla Cliente le informazioni e l'assistenza ragionevolmente necessarie per confermare il rispetto da parte del Partner dei presenti Termini e Condizioni Privacy, ivi compresa l'assistenza nel completamento delle valutazioni d'impatto sulla protezione dei dati e la consultazione delle autorità preposte alla protezione dei dati. Il Partner è tenuto altresì a fornire alla Cliente tutta l'assistenza ragionevolmente necessaria a ottemperare alla Normativa in materia di protezione dei dati; e
    2. a sottoporre ad attività di revisione, dietro istruzioni della Cliente, il proprio programma di protezione dei dati e le proprie infrastrutture per il Trattamento dei Dati personali onde verificarne la conformità ai presenti Termini e Condizioni Privacy e/o alla Normativa in materia di protezione dei dati applicabile. L'attività di revisione potrà essere svolta dalla Cliente o da un soggetto incaricato dalla stessa, purché tale soggetto incaricato sottoscriva un accordo di riservatezza ritenuto accettabile dal Partner. La Cliente concederà al Partner ragionevole preavviso e condurrà la succitata revisione durante il normale orario di lavoro, astenendosi dal creare irragionevole intralcio all'attività dello stesso. Al fine di evitare ambiguità, la presente disposizione non comporta l'obbligo in capo al Partner di dare accesso alla Cliente a dati riservati dei propri altri clienti.
  9. Incidenti di sicurezza informatica. In caso di Incidente di sicurezza informatica effettivamente verificatosi o ragionevolmente presunto, il Partner, tempestivamente e mai oltre quarantotto (48) ore dal momento in cui ne sia venuto a conoscenza, informerà la Cliente tramite e-mail all'indirizzo cybersecurity@wbd.com. Dietro istruzioni della Cliente, il Partner procurerà tutte le informazioni e l'assistenza ragionevolmente richieste dalla Cliente al fine di procedere alle indagini, alla mitigazione e all'intervento a fronte dell'Incidente di sicurezza informatica, e comunque almeno le informazioni o l'assistenza che sia tenuto a fornire in virtù della Normativa in materia di protezione dei dati applicabile ovvero necessarie affinché la Cliente sia in grado di dare comunicazione dell'Incidente di sicurezza informatica. Il Partner si impegna a consultare la Cliente prima di rilasciare qualsivoglia dichiarazione pubblica in merito a un Incidente di sicurezza informatica ovvero di inviare comunicazioni aventi ad oggetto un Incidente di sicurezza informatica all'autorità di controllo per la protezione dei dati o a un Interessato. Il Partner sarà da ritenersi responsabile e corrisponderà alla Cliente su richiesta di quest’ultima, tutti i costi, gli oneri, le perdite, i danni e le spese (incluse le spese legali) sostenuti dalla Cliente, derivanti da o in relazione a un Incidente di sicurezza informatica che interessi i Dati personali trattati dal Partner, dalle sue affiliate, dagli aventi causa o dai Sub-responsabili del Trattamento dello stesso.
  10. Trattamento da parte di un Sub-responsabile. Il Partner potrà incaricare o altrimenti consentire a un Sub-responsabile del Trattamento di trattare Dati personali per suo conto, a condizione che il Partner:
    1. abbia stipulato un impegno scritto con ciascun Sub-responsabile del Trattamento che imponga obblighi non meno restrittivi di quelli inclusi nelle disposizioni contenute nei presenti Termini e Condizioni Privacy applicabili al Partner;
    2. eserciti un'adeguata azione di due diligence per garantire che ciascun Sub-responsabile del Trattamento sia in grado di svolgere le attività necessarie affinché il Partner possa adempiere ai propri obblighi ai sensi delle disposizioni contenute nei presenti Termini e Condizioni Privacy applicabili al Partner;
    3. informi la Cliente in anticipo e per iscritto di qualsiasi nuovo Sub-responsabile del Trattamento di cui il Partner intenda avvalersi. La Cliente avrà trenta (30) giorni di tempo dalla ricezione di tale comunicazione per opporsi alla nomina del nuovo Sub-responsabile del Trattamento da parte del Partner. Qualora tale periodo decorra senza opposizione da parte della Cliente, il Partner avrà la facoltà di consentire al suddetto Sub-responsabile del Trattamento di procedere al Trattamento dei Dati personali. Qualora la Cliente si opponga alla nomina di un Sub-responsabile del Trattamento, il Partner sarà tenuto a replicare tempestivamente all'opposizione entro dieci (10) giorni dalla ricezione della stessa. Qualora, a fronte dell'opposizione, il Partner e la Cliente non riescano ad addivenire a una soluzione soddisfacente per quest'ultima entro tale periodo di dieci (10) giorni, la Cliente avrà immediatamente facoltà di estinguere l'Accordo senza penali e in qualsiasi momento mediante comunicazione scritta al Partner. Il Partner non consentirà al nuovo Sub-responsabile del Trattamento di procedere al Trattamento dei Dati personali: durante (i) i trenta (30) giorni decorrenti dalla comunicazione della propria intenzione di avvalersi di un nuovo Sub-responsabile del Trattamento ovvero (ii) durante qualsivoglia intervallo di tempo successivo all'opposizione qualora non sia addivenuto con la Cliente a una soluzione soddisfacente per quest'ultima; e
    4. si assumerà la piena responsabilità per tutte le attività di Trattamento di Dati personali svolte da ciascun Sub-responsabile del Trattamento.
  11. Eliminazione o restituzione. All'estinzione o alla scadenza dell'Accordo, ovvero laddove altrimenti indicato dalla Cliente, il Partner sarà tenuto, in conformità alle istruzioni della Cliente: (i) a restituire alla Cliente (o a un soggetto terzo designato dalla Cliente) una copia completa dei Dati personali sottoposti a Trattamento in virtù dell'Accordo, in una forma e in un formato ragionevolmente concordati dalle parti, e (ii) a provvedere all'eliminazione sicura dei Dati personali in proprio possesso o controllo (incluse tutte le copie degli stessi) sottoposti a Trattamento in virtù dell'Accordo.
5. CONDIZIONI PER I TITOLARI DEL TRATTAMENTO
  1. La presente sezione si applica nella misura in cui:
    1. il Partner determini autonomamente le finalità e i mezzi per il Trattamento dei Dati personali che tratta in relazione all'Accordo; oppure
    2. l'Accordo preveda espressamente l'applicazione della presente sezione.
  2. Comunicazione e trasparenza. Il Partner si impegna a predisporre e mantenere una informativa privacy chiara e accessibile, volta a informare gli Interessati (i cui Dati personali sono trattati dal Partner in relazione all'Accordo) sulle modalità di trattamento dei loro Dati personali da parte del Partner, e conforme a tutte le norme di legge applicabili.
  3. Incidenti di sicurezza informatica. Il Partner provvederà a informare tempestivamente la Cliente pertinente di qualsivoglia Incidente di sicurezza informatica effettivamente verificatosi o ragionevolmente presunto che interessi i Dati personali trattati in relazione all'Accordo, e a fornire tempestivamente alla Cliente informazioni circa la natura dell'Incidente di sicurezza, i Dati personali interessati e la reazione del Partner e le misure di contenimento adottate dal Partner a seguito dell'Incidente di sicurezza.
  4. Riservatezza. Il Partner si impegna ad assicurare che ciascun membro del proprio personale sia vincolato a obblighi di riservatezza aventi che si applicano ai Dati personali.
6. TRASFERIMENTI TRANSFRONTALIERI
  1. La presente sezione è applicabile ai Partner quando si verifica un Trasferimento di dati dall'area SEE, un Trasferimento di dati dal Regno Unito o un Altro trasferimento di dati.
  2. Trasferimenti di dati (Responsabili del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 4 (Condizioni per i Responsabili del trattamento). .
    1. Trasferimenti di dati dall'area SEE. Se e nella misura in cui i Dati personali trattati dal Partner sono oggetto di un Trasferimento di dati dall'area SEE, le Clausole contrattuali tipo dell'area SEE sono incorporate nei Termini e Condizioni Privacy dal presente riferimento e si applicano come di seguito indicato:
      1. Applicazione. Il Partner sarà l’importatore dei dati e la Cliente sarà l’esportatore dei dati.
      2. Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
      3. Moduli. Si applica il MODULO DUE (Trasferimento da titolare del trattamento a responsabile del trattamento).
      4. Istruzioni. Agli effetti della Sezione II, Clausola 8.1 (Modulo Due), le istruzioni impartite all'importatore di dati dovranno essere istruzioni per il Trattamento dei Dati personali nelle modalità necessarie all'esecuzione dei Servizi e/o alla fornitura dei prodotti forniti dal Partner e secondo quanto specificato ai sensi dell'Accordo.
      5. Sub-responsabili del Trattamento. Agli effetti della Sezione II, Clausola 9 (Modulo Due), si applica l'Opzione 2 (e l'importatore dei dati dovrà informare l'esportatore dei dati di eventuali modifiche previste con trenta (30) giorni di anticipo).
      6. Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
      7. Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa in materia di protezione dei dati applicabile, che i rispettivi obblighi previsti nelle Clausole contrattuali tipo dell'area SEE saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali.
      8. Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A (Elenco delle parti) si intende compilato con: (i) i dati della Cliente (in qualità di esportatore di dati); e (ii) i dati del Partner (in qualità di importatore dei dati), come previsto dall'Accordo.
      9. Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B (Descrizione del trasferimento) delle Clausole contrattuali tipo dell'area SEE sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento.
      10. Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C (Autorità di controllo competente) delle Clausole contrattuali tipo dell'area SEE, nella misura consentita dalla Normativa in materia di protezione dei dati applicabile, le Parti eleggono l'autorità di controllo per la protezione dei dati della Repubblica d'Irlanda.
      11. Compilazione dell'Allegato II. L'Allegato II delle Clausole contrattuali tipo dell'area SEE (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di sicurezza informatica.
      12. Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra le Clausole contrattuali tipo dell'area SEE e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire la massima protezione agli Interessati.
    2. Interpretazione delle Clausole contrattuali tipo dell'area SEE per i Paesi che impongono restrizioni. Se e nella misura in cui la comunicazione di Dati personali da parte della Cliente al Partner equivale a un Altro trasferimento di dati, le Clausole contrattuali tipo dell'area SEE sono incorporate nei Termini e Condizioni Privacy dal presente riferimento e si applicano come indicato nel presente paragrafo della Sezione 6, restando inteso che: (i) ogni riferimento a "UE", "Unione", "Stato membro dell'UE" o "Stato membro" contenuto nelle Clausole contrattuali tipo dell'area SEE sarà da interpretarsi invece come un rimando al succitato Paese che impone restrizioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa in materia di protezione dei dati del succitato Paese che impone restrizioni e ogni riferimento a specifici articoli o disposizioni dell'RGPD sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa in materia di protezione dei dati del Paese che impone restrizioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese che impone restrizioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando al presente paragrafo, nel quale tali Clausole sono integrate e modificate.
    3. Trasferimenti di dati dal Regno Unito. Se e nella misura in cui i Dati personali trattati dal Partner sono oggetto di un Trasferimento di dati dal Regno Unito, l'Addendum in materia di CCT del Regno Unito è incorporato nei Termini e Condizioni Privacy dal presente riferimento e si applica come di seguito indicato:
      1. Compilazione della Tabella 1. La Tabella 1 dell'Addendum in materia di CCT del Regno Unito conterrà le informazioni relative alla Cliente (in qualità di esportatore dei dati) e quelle relative al Partner (in qualità di importatore dei dati) previste nell'Accordo. La "start date" (ovverosia: "data di inizio") sarà la data di decorrenza o di entrata in vigore dell’Accordo (o data equivalente). Il "key contact" (ovverosia: "referente") della Cliente sarà il "Responsabile della Privacy" ovvero il relativo incaricato contattabile all'indirizzo e-mail wbdprivacy@wbd.com e il "key contact" del Partner sarà comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
      2. Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum in materia di CCT del Regno Unito conterrà la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le CCT dell'Unione Europea approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle CCT dell'Unione Europea approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum in materia di CCT del Regno Unito, le "Approved EU SCCs" (ovverosia: le “CCT dell'Unione Europea approvate”) conterranno quanto indicato nel presente paragrafo della Sezione 6.
      3. Compilazione della Tabella 4. La Tabella 4 dell'Addendum in materia di CCT del Regno Unito conterrà la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
      4. Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra l'Addendum in materia di CCT del Regno Unito e i presenti Termini e Condizioni Privacy, farà fede quanto indicato nell'Addendum in materia di CCT del Regno Unito.
  3. Trasferimenti di dati (Titolari del Trattamento). Il presente paragrafo si applica quando è applicabile la Sezione 5 (Condizioni per i Titolari del Trattamento).
    1. Trasferimenti di dati dall'area SEE. Se e nella misura in cui i Dati personali trattati dal Partner sono oggetto di un Trasferimento di dati dall'area SEE, le Clausole contrattuali tipo dell'area SEE sono incorporate nei Termini e Condizioni Privacy dal presente riferimento e si applicano come di seguito indicato:
      1. Applicazione. Il Partner sarà l’importatore dei dati e la Cliente sarà l’esportatore dei dati.
      2. Adesione successiva. Agli effetti della Sezione I, Clausola 7, si applica la clausola di adesione successiva opzionale.
      3. Moduli. Viene applicato il MODULO UNO (Trasferimento da titolare del trattamento a titolare del trattamento).
      4. Ricorso. Agli effetti della Sezione II, Clausola 11, non si applica la lingua opzionale.
      5. Diritto applicabile. Agli effetti della Sezione IV, Clausole 17 e 18, le parti convengono, nei limiti concessi dalla Normativa in materia di protezione dei dati applicabile, che i rispettivi obblighi previsti nelle Clausole contrattuali tipo dell'area SEE saranno disciplinati a norma del diritto della Repubblica d'Irlanda e soggette alla giurisdizione dei relativi tribunali.
      6. Compilazione dell'Allegato I, Parte A. L'Allegato I, Parte A (Elenco delle parti) si intende compilato con: (i) i dati della Cliente (in qualità di soggetto esportatore di dati); e (ii) i dati del Partner (in qualità di importatore dei dati), come previsto dall'Accordo.
      7. Compilazione dell'Allegato I, Parte B. L'Allegato I, Parte B (Descrizione del trasferimento) delle Clausole contrattuali tipo dell'area SEE sarà da intendersi compilato con le informazioni fornite nella Descrizione del Trattamento.
      8. Compilazione dell'Allegato I, Parte C. Agli effetti dell'Allegato I, Parte C (Autorità di controllo competente) delle Clausole contrattuali tipo dell'area SEE, nella misura consentita dalla Normativa in materia di protezione dei dati applicabile, le Parti eleggono l'autorità di controllo per la protezione dei dati della Repubblica d'Irlanda.
      9. Compilazione dell'Allegato II. L'Allegato II delle Clausole contrattuali tipo dell'area SEE (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) sarà da ritenersi compilato con le disposizioni di cui agli Obblighi di sicurezza informatica.
      10. Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra le Clausole contrattuali tipo dell'area SEE e la presente sezione, le disposizioni saranno da interpretarsi in modo tale da attribuire la massima protezione agli Interessati.
    2. Interpretazione delle Clausole contrattuali tipo dell'area SEE per i Paesi che impongono restrizioni. Se e nella misura in cui la comunicazione di Dati personali da parte della Cliente al Partner equivale a un Altro trasferimento di dati, le Clausole contrattuali tipo dell'area SEE sono incorporate nei Termini e Condizioni Privacy dal presente riferimento e si applicano come indicato nel presente paragrafo della Sezione 6, restando inteso che: (i) ogni riferimento a "UE", "Unione", "Stato membro dell'UE" o "Stato membro" contenuto nelle Clausole contrattuali tipo dell'area SEE sarà da interpretarsi invece come un rimando al succitato Paese che impone restrizioni; (ii) ogni riferimento al "Regolamento (UE) 2016/679" o a "tale Regolamento" sarà da interpretarsi invece come un rimando alla Normativa in materia di protezione dei dati del succitato Paese che impone restrizioni e ogni riferimento a specifici articoli o disposizioni dell'RGPD sarà da sostituirsi con la disposizione o con l'articolo equivalenti di cui alla Normativa in materia di protezione dei dati del Paese che impone restrizioni; (iii) con "autorità di controllo" si intenderà l'autorità di controllo per la protezione dei dati del succitato Paese che impone restrizioni; (iv) ogni riferimento alle "Clausole" sarà da interpretarsi come un rimando alla presente sezione, nella quale tali Clausole sono integrate e modificate.
    3. Trasferimenti di dati dal Regno Unito. Se e nella misura in cui i Dati personali trattati dal Partner sono oggetto di un Trasferimento di dati dal Regno Unito, l'Addendum in materia di CCT del Regno Unito è incorporato nei Termini e Condizioni Privacy dal presente riferimento e si applica come di seguito indicato:
      1. Compilazione della Tabella 1. La Tabella 1 dell'Addendum in materia di CCT del Regno Unito conterrà le informazioni relative alla Cliente (in qualità di esportatore dei dati) e quelle relative al Partner (in qualità di importatore dei dati) previste nell'Accordo. La "start date" (ovverosia: "data di inizio") sarà la data di decorrenza o di entrata in vigore dell’Accordo (o data equivalente). Il "key contact" (ovverosia: "referente") della Cliente sarà il "Responsabile della Privacy" ovvero il relativo incaricato contattabile all'indirizzo e-mail wbdprivacy@wbd.com e il "key contact" del Partner sarà comunicato di volta in volta alla Cliente insieme alla posizione rivestita dallo stesso e al relativo indirizzo e-mail.
      2. Compilazione delle Tabelle 2 e 3. La Tabella 2 dell'Addendum in materia di CCT del Regno Unito conterrà la selezione della dicitura "the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum" (ovverosia: "le CCT dell'Unione Europea approvate, ivi incluse le informazioni di cui all'Appendice e con l'esclusiva aggiunta dei seguenti moduli, delle seguenti clausole e delle seguenti previsioni facoltative delle CCT dell'Unione Europea approvate cui sia stata attribuita efficacia ai fini del presente Addendum"). Agli effetti della Tabella 2 e della Tabella 3 dell'Addendum in materia di CCT del Regno Unito, le "Approved EU SCCs" (ovverosia: le “CCT dell'Unione Europea approvate”) conterranno quanto indicato nel presente paragrafo della Sezione 6.
      3. Compilazione della Tabella 4. La Tabella 4 dell'Addendum in materia di CCT del Regno Unito conterrà la selezione della dicitura "neither party" (ovverosia: "nessuna delle parti").
      4. Conflitto di condizioni. In caso di discordanza, contrasto o ambiguità fra l'Addendum in materia di CCT del Regno Unito e la presente sezione, farà fede quanto indicato nell'Addendum in materia di CCT del Regno Unito.
  4. Disposizioni aggiuntive riguardanti i trasferimenti transfrontalieri. Il presente paragrafo si applica se e nella misura in cui i Dati personali trattati dal Partner sono oggetto di un Trasferimento di dati dall'area SEE, di un Trasferimento di dati dal Regno Unito o di un Altro trasferimento.
    Misure supplementari
    1. Le parti riconoscono e convengono che la sentenza della Corte di giustizia dell'Unione europea nella Causa C-311/18 chiarisce che potrebbero essere necessarie misure supplementari onde garantire che per i Dati personali oggetto di un Trasferimento dall'area SEE o di un Trasferimento dal Regno Unito sia concesso un livello di protezione sostanzialmente equivalente alle tutele che ricevono quando gli stessi sono trattati nel loro territorio di origine (oltre alle garanzie contenute nelle Clausole contrattuali tipo dell'area SEE). Di conseguenza, le parti hanno concordato le misure di cui alle seguenti Sezioni 6.4(b) - (g) come misure supplementari per contribuire a garantire tale equivalenza essenziale.
    2. Qualora venga a conoscenza di una richiesta o di una domanda da parte di un'autorità preposta all'applicazione della legge, di un’autorità regolamentare, di un’autorità giudiziaria o di un’autorità governativa (un'"Autorità") finalizzata a ottenere l'accesso o una copia di alcuni o di tutti i Dati personali trattati in relazione all'Accordo, sia su base volontaria che obbligatoria, il Partner è tenuto a:
      1. informare immediatamente la Cliente di tale richiesta dell'Autorità;
      2. laddove si applichi la Sezione 4 (Condizioni per i Responsabili del Trattamento), informare l'Autorità di essere un Responsabile del trattamento dei Dati personali e di non essere autorizzato dalla Cliente a comunicare tali Dati personali all'Autorità;
      3. informare l'Autorità che tutte le eventuali richieste o domande di accesso a tali Dati personali devono essere notificate o comunicate alla Cliente (in quanto Titolare del Trattamento) per iscritto; e
      4. fatta salva la Sezione 6.4(c), non fornire all'Autorità l'accesso a tali Dati personali a meno che e fino a quando non sarà stato autorizzato per iscritto dalla Cliente.
    3. In deroga alla Sezione 6.4(b)(iv), il Partner ha la facoltà, senza la previa autorizzazione scritta della Cliente, di comunicare a un'Autorità Dati personali a seguito del ricevimento di una richiesta o domanda da parte di tale Autorità, a condizione che (e salvo che ciò non sia vietato dalla legge):
      1. il Partner abbia comunicato tale richiesta o domanda alla Cliente con un ragionevole preavviso in modo da offrirle un’adeguata opportunità di opporsi o di richiedere un'ordinanza cautelare o un qualsiasi altro opportuno rimedio;
      2. il Partner collabori ragionevolmente con la Cliente, a spese della stessa, affinché essa possa opporsi o richiedere un'ordinanza cautelare o un altro opportuno rimedio; e
      3. il Partner, in ogni caso, renda nota solo la porzione dei Dati personali che è tenuto a comunicare per legge.
    4. Nel caso in cui il Partner comunichi Dati personali a un'Autorità, il Partner si impegna a comunicare tali Dati personali solo nella misura in cui sia legalmente tenuto a farlo e solo in conformità con le procedure giuridiche applicabili.
    5. Il Partner non dovrà comunicare intenzionalmente Dati personali in maniera massiccia o indiscriminata che vada oltre quanto necessario e proporzionato in una società democratica.
    6. Il Partner deve disporre, mantenere e rispettare una politica scritta che disciplini le richieste di Dati personali da parte delle Autorità e che vieti quantomeno:
      1. la comunicazione massiva o indiscriminata di Dati personali relativi agli Interessati in Europa; e
      2. la comunicazione di Dati personali relativi agli Interessati in Europa a un'Autorità in mancanza di una citazione, un mandato, un'ingiunzione, un decreto, una convocazione o un altro ordine giuridicamente vincolante che imponga la comunicazione di tali Dati personali.
    7. Al Partner è richiesto di adottare e mantenere in essere, in conformità con le buone prassi del settore, misure per proteggere i Dati personali dall'intercettazione (anche durante il loro transito dalla Cliente al Partner e tra sistemi e servizi diversi). Tra queste misure rientrano la protezione e la manutenzione della rete per prevenire l'intercettazione dei dati da parte di eventuali malintenzionati e la crittografia dei dati in transito per impedirne la lettura.
      Ulteriori disposizioni sul trasferimento di dati
    8. Il Partner si impegna a collaborare in buona fede per sottoscrivere ulteriori documenti e applicare ulteriori tutele, o per limitare il Trattamento a determinati territori, secondo quanto la Cliente possa ritenere necessario al fine di effettuare Trasferimenti dall'area SEE, Trasferimenti dal Regno Unito o Altri trasferimenti (ove applicabile).
    9. Laddove il Partner si trovi in qualsiasi momento a trattare Dati personali provenienti da un Paese in cui vigono restrizioni al trasferimento dei Dati personali verso un'altra giurisdizione non ritenuta adeguata a riceverli, il Partner, su istruzione della Cliente, dovrà:
      1. intraprendere tutte le azioni necessarie e sottoscrivere gli accordi richiesti ai sensi della Normativa in materia di protezione dei dati personali applicabile in tale Paese al fine di legittimare qualsiasi Trattamento; e
      2. garantire un livello adeguato di protezione dei Dati personali della Cliente.
    10. Qualora un'autorità preposta alla protezione dei dati competente dichiari non valido un meccanismo di trasferimento dei dati adoperato dalle parti, ovvero qualora qualsivoglia legge applicabile o autorità preposta alla protezione dei dati competente stabilisca che i trasferimenti di Dati personali debbano essere sospesi o limitati a una specifica giurisdizione, la Cliente avrà, a propria discrezione, la facoltà di richiedere al Partner di cessare il Trattamento dei Dati personali e il Partner collaborerà con la Cliente in buona fede al fine di facilitare l'uso di un metodo alternativo per il trasferimento dei dati, sottoscrivere ulteriori accordi, applicare tutele aggiuntive o limitare il Trattamento a specifiche giurisdizioni.
7. INDENNIZZO
  1. La presente sezione si applica a tutti i Partner.
  2. Oltre a tutti gli obblighi di indennizzo del Partner previsti dall'Accordo, il Partner è tenuto a difendere, manlevare e tenere indenne la Cliente da qualsivoglia rivendicazione o azione di terzi, costo, responsabilità, perdita, danno e spesa (comprese le spese legali) a carico della Cliente, derivanti da o in connessione con: (i) un Incidente di sicurezza informatica; o (ii) una violazione dei presenti Termini e Condizioni Privacy da parte del Partner o delle relative società affiliate, dei Sub-responsabili del Trattamento (compresi quelli nominati dalle società affiliate del Partner) e degli aventi causa, ivi comprese, a titolo esemplificativo e non esaustivo, qualsivoglia rivendicazione o azione legale promossa da un'autorità preposta alla protezione dei dati o da un Interessato.
INDIETRO