APPENDICE 1 - ACCORDO SUL TRATTAMENTO DEI DATI (“Accordo”)

(versione 3.0, novembre 2019)

                                                                                                         

il Cliente e Trustpilot

(congiuntamente con il Cliente, le “Parti”)

 

1.  Ambito di applicazione dell’Accordo sul trattamento dei dati

1.1  Il presente Accordo sul trattamento dei dati costituisce parte dell’Accordo di abbonamento al servizio (di seguito, “Accordo”) in vigore tra il Cliente e Trustpilot e riflette l’intesa tra le Parti in relazione al trattamento dei dati personali.

1.2  Trustpilot agisce come responsabile del trattamento per il Cliente, in quanto Trustpilot tratta i dati personali del Cliente come indicato nell’Allegato 1.

1.3  I dati personali oggetto del trattamento di Trustpilot si riferiscono alle categorie di dati, alle categorie di interessati e alle finalità del trattamento di cui all’Allegato 1.

1.4  Per “Dati personali” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, come indicato all’articolo 4(1) del Regolamento (EU) 2016/679 del 27 aprile 2016 (il Regolamento generale sulla protezione dei dati “GDPR”).

1.5  Per “Dati sensibili” si intendono le informazioni seguenti: (a) numero di previdenza sociale, numero di passaporto, numero di patente di guida o codici identificativi analoghi (o parte di essi), (b) numero di carta di debito o credito (che non siano le ultime quattro cifre di una carta di credito o debito), (c) dati connessi al lavoro e/o alla situazione finanziaria, dati genetici, dati biometrici o relativi allo stato di salute; (d) dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale; (e) dati relativi alla vita o all'orientamento sessuale; (f) password di account; (g) data di nascita; (h) dati personali relativi alle condanne penali e ai reati; (i) cognome da nubile della madre; a (j) qualsiasi altra informazione che rientri nella definizione delle “categorie speciali di dati personali” ai sensi del GDPR o di qualsiasi altra legge applicabile in relazione alla privacy e alla protezione dei dati.

2.  Trattamento dei Dati personali

2.1  Istruzioni: Trustpilot è incaricata di trattare i Dati personali solamente ai fini della fornitura dei Servizi come stabilito nell’Allegato 1. Trustpilot non può trattare o utilizzare i Dati personali del Cliente per finalità diverse da quanto previsto nelle istruzioni, ivi incluso il trasferimento di Dati personali verso qualsiasi Paese terzo o un’organizzazione internazionale, a meno che Trustpilot non sia tenuta a farlo ai sensi del diritto dell’Unione o di uno Stato membro. In tale circostanza, Trustpilot dovrà informare il Cliente per iscritto di tale obbligo giuridico prima del trattamento, salvo che la legge non vieti tale informazione per rilevanti motivi di interesse pubblico.

2.2  Se il Cliente nelle istruzioni di cui all’Allegato 1 o altrimenti ha acconsentito a un trasferimento di Dati personali verso un Paese terzo o un’organizzazione internazionale, Trustpilot deve garantire che vi sia una base giuridica per il trasferimento, ad es. le Clausole contrattuali tipo della Commissione UE per il trasferimento di Dati personali verso Paesi terzi.

2.3  Se Trustpilot ritiene che un’istruzione del Cliente sia in violazione del GDPR o di altre disposizioni sulla protezione dei dati dell’Unione o di uno Stato membro, Trustpilot dovrà darne immediatamente avviso al Cliente per iscritto.

2.4  Se Trustpilot è soggetta al diritto di un Paese terzo, Trustpilot dichiara di non essere a conoscenza dell’esistenza della legislazione menzionata che impedisce a Trustpilot di adempiere all’Accordo sul trattamento dei dati e si impegna ad informare il Cliente per iscritto senza indebito ritardo qualora venga al corrente che tale impedimento è presente o si verificherà.

2.5  I Dati sensibili non saranno trattati in base al presente Accordo sul trattamento dei dati e il Cliente garantisce e dichiara che non condividerà, divulgherà né trasferirà in altro modo Dati sensibili a Trustpilot.

3.  Obblighi generali di Trustpilot

3.1  Trustpilot deve garantire che le persone autorizzate a trattare Dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

3.2  Trustpilot dovrà attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio e per impedire che i Dati personali trattati siano

(i) accidentalmente o illecitamente distrutti, smarriti o alterati,

(ii) divulgati o resi disponibili senza autorizzazione, o

(iii) trattati altrimenti in violazione delle leggi applicabili ai Servizi, tra cui il GDPR.

3.3  Trustpilot deve inoltre ottemperare a qualsiasi ulteriore obbligo applicabile sulla protezione dei dati che incombe direttamente su di essa, ivi compresi i requisiti sulla sicurezza dei dati nel Paese di costituzione di Trustpilot o nel Paese in cui verrà eseguito il trattamento dei dati.

3.4  Le misure di sicurezza tecniche e organizzative adeguate devono essere determinate tenendo debitamente conto

(i) dello stato attuale dell’arte,

(ii) del costo della loro attuazione, e

(iii) della natura, della portata, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

3.5  Su richiesta del Cliente, Trustpilot fornirà al Cliente sufficienti informazioni per consentire al Cliente di garantire che Trustpilot ottemperi ai propri obblighi ai sensi dell’Accordo sul trattamento dei dati, ivi compreso assicurare che le misure di sicurezza tecniche e organizzative adeguate siano state attuate.

3.6.  Il Cliente è autorizzato a nominare a proprie spese un esperto indipendente che dovrà avere accesso ai locali di Trustpilot e dovrà ricevere le informazioni necessarie al fine di poter verificare se Trustpilot rispetta i propri obblighi ai sensi dell’Accordo sul trattamento dei dati, ivi compreso garantire che le misure di sicurezza tecniche e organizzative adeguate sono state attuate. Il Cliente dovrà fornire a Trustpilot un preavviso scritto di 14 giorni e dovrà garantire che l’esperto sottoscriva un abituale accordo di riservatezza, tratti tutte le informazioni ottenute o ricevute da Trustpilot in maniera confidenziale e sia autorizzato a condividere le informazioni solamente con il Cliente. Qualsiasi risultato o rapporto creato sulla base di tale controllo deve essere condiviso con Trustpilot e dovrà essere trattato come informazioni riservate.

3.7  Trustpilot deve fornire informazioni relative alla fornitura di Servizi ad autorità o a consulenti esterni del Cliente, ivi compresi revisori, se ciò è necessario per l’adempimento dei suoi obblighi ai sensi del diritto dell’Unione o di uno Stato membro.

3.8  Trustpilot deve garantire alle autorità, o ai rappresentanti delle autorità, che ai sensi del diritto dell’Unione o dello Stato membro hanno il diritto di entrare nei locali del Cliente o del fornitore del Cliente, l’accesso alle strutture fisiche di Trustpilot dietro presentazione di un’adeguata prova dell’identità.

3.9  Trustpilot deve senza indebito ritardo, dopo essere venuta a conoscenza dei fatti, informare per iscritto il Cliente riguardo a:

(i) qualsiasi richiesta di divulgazione di Dati personali trattati nell'ambito dell’Accordo sul trattamento dei dati da parte delle autorità, salvo ove espressamente proibito ai sensi del diritto dell’Unione o dello Stato membro,

(ii) qualsiasi sospetto o accertamento di (a) una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso a Dati personali trasmessi, conservati o altrimenti trattati da Trustpilot in connessione con i Servizi, o (b) altro inadempimento significativo alle obbligazioni di Trustpilot ai sensi delle clausole 3.2 e 3.3.

3.10  Trustpilot deve prontamente assistere il Cliente nella gestione di qualsiasi richiesta da parte degli interessati ai sensi del Capitolo III del GDPR, ivi comprese le richieste di accesso, rettifica, blocco o cancellazione che sono relative al trattamento di Dati personali in connessione con i Servizi.

Qualora Trustpilot riceva una richiesta di accesso da parte dell’interessato in relazione al trattamento dei Dati personali per conto del Cliente, Trustpilot non soddisferà tale richiesta e comunicherà all’interessato richiedente se è stata inviata una email di invito alla recensione per conto del Cliente (che il Cliente quivi accetta) e solleciterà l’interessato a inviare la sua richiesta al Cliente, poiché questi avrà la responsabilità di rispondere a eventuali richieste inoltrate dagli interessati incluse, laddove necessario, quelle inoltrate tramite la funzionalità dei Servizi.

3.11  Trustpilot deve assistere il Cliente nel rispettare gli altri obblighi che possono incombere sul Cliente ai sensi del diritto dell’Unione o dello Stato membro in relazione al trattamento dei dati laddove l’assistenza di Trustpilot sia implicita e sia necessaria per consentire al Cliente di adempiere ai propri obblighi. Ciò include, a titolo non esaustivo, fornire al Cliente dietro richiesta tutte le informazioni necessarie riguardo ad un incidente ai sensi della clausola 3.9 (ii) e tutte le informazioni necessarie per una valutazione d’impatto ai sensi degli articoli 35 e 36 del GDPR.

3.12  Nell’Allegato 1, Trustpilot ha specificato i server, uffici, ecc. utilizzati per fornire i Servizi. Il Cliente può in qualsiasi momento richiedere informazioni riguardo ai server e uffici utilizzati da Trustpilot in relazione ai Servizi e Trustpilot dovrà rispondere entro 30 giorni fornendo tali informazioni.

4.  Sub-responsabili del trattamento

4.1  Trustpilot può avvalersi della collaborazione di sub-responsabili del trattamento. Al momento della stipula del presente Accordo sul trattamento dei dati, Trustpilot utilizza i sub-responsabili del trattamento elencati qui per fornire i Servizi. Trustpilot si impegna ad informare il Cliente di qualsiasi eventuale modifica prevista riguardante l’aggiunta o la sostituzione di un sub-responsabile del trattamento fornendo preavviso scritto tramite l’account Business del Cliente. Se il Cliente può documentare validi ed oggettivi motivi per non accettare i nuovi sub-responsabili del trattamento suggeriti, il Cliente può opporsi all’impiego di tali nuovi sub-responsabili del trattamento suggeriti. Se Trustpilot sceglie di non suggerire sub-responsabili del trattamento alternativi o se il Cliente ha motivi validi ed oggettivi per opporsi a tutte le alternative suggerite, il Cliente ha diritto di recedere dal contratto con Trustpilot entro 14 giorni dal ricevimento della notifica a ciò correlata.

4.2  Prima di incaricare un sub-responsabile del trattamento, Trustpilot dovrà concludere un accordo scritto con il sub-responsabile del trattamento che imponga a carico di quest’ultimo almeno gli stessi obblighi di protezione dei dati stabiliti nell’Accordo sul trattamento dei dati, ivi compreso l’obbligo di attuare misure tecniche e organizzative adeguate per garantire che il trattamento soddisferà i requisiti del GDPR.

4.3  Il Cliente ha il diritto di ricevere una copia dell’accordo di Trustpilot con il sub-responsabile del trattamento per quanto riguarda le disposizioni relative agli obblighi di protezione dei dati. Trustpilot resterà pienamente responsabile nei confronti del Cliente per l’adempimento delle obbligazioni del sub-responsabile del trattamento. Il fatto che il Cliente abbia dato il consenso all’impiego da parte di Trustpilot di un sub-responsabile del trattamento lascia impregiudicato l’obbligo di Trustpilot di rispettare l’Accordo sul trattamento dei dati.

5.  Modifiche

5.1  Le Parti possono convenire in qualsiasi momento di modificare il presente Accordo sul trattamento dei dati. Le modifiche devono effettuarsi per iscritto.

6.  Durata e conseguenze della risoluzione dell’Accordo sul trattamento dei dati

6.1  L’Accordo sul trattamento dei dati avrà efficacia dal momento in cui:

(i)  il Cliente accetta l’Accordo conformemente all’articolo 1.1 dell’Accordo; o

(ii)  entrambe le parti sottoscrivono l’Accordo sul trattamento dei dati in forma elettronica o cartacea.

6.2  Il periodo di durata del presente Accordo sul trattamento dei dati corrisponde al periodo di durata dell’Accordo, fatti salvi i casi in cui Trustpilot stia ancora trattando Dati personali per conto del Cliente, caso in cui Trustpilot rimarrà sottoposto alle obbligazioni dell’Accordo sul trattamento dei dati.

6.3  Trustpilot archivia Dati personali trattati per il Cliente per i periodi seguenti:

(i) tutte le email in CCN verranno eliminate automaticamente dopo 30 giorni;

(ii) tutti i dati relativi agli inviti alla recensione verranno eliminati dopo 3 anni.

6.4  Su richiesta del Cliente, Trustpilot dovrà immediatamente trasmettere o eliminare (ivi compreso anonimizzare) i Dati personali che Trustpilot sta trattando per conto del Cliente, a meno che il diritto dell’Unione o dello Stato membro non richieda l’archiviazione dei dati personali. 

7.  Priorità

7.1  In caso di conflitto tra le disposizioni dell’Accordo sul trattamento dei dati e quelle dell’Accordo, quelle dell’Accordo sul trattamento dei dati prevarranno. Tuttavia, i requisiti di cui alla clausola 3 non si applicano nella misura in cui le Parti hanno stabilito in un altro accordo obblighi più rigorosi per Trustpilot. Inoltre, l’Accordo sul trattamento dei dati non si applicherà se e nella misura in cui le Clausole contrattuali della Commissione europea per il trasferimento di Dati personali verso Paesi terzi vengano sottoscritte e tali clausole prevedano obblighi più rigorosi per Trustpilot e/o i sub-responsabili del trattamento.

7.2  Il presente Accordo sul trattamento dei dati non determina la remunerazione da parte del Cliente di Trustpilot per i Servizi in conformità al Contratto.

8.  Responsabile della protezione dei dati di Trustpilot

8.1  Il Cliente può mettersi in contatto con il Responsabile della protezione dei dati di Trustpilot inviando un’email a: privacy@trustpilot.com

 

ALLEGATO 1

Il presente Allegato costituisce le istruzioni fornite dal Cliente a Trustpilot in relazione al trattamento dei dati da parte di Trustpilot per il Cliente e forma parte integrante del Contratto.

1.  Il trattamento dei Dati personali

a) Finalità e natura delle operazioni di trattamento

b) Categorie di interessati

c) Categorie di Dati personali

d) Categorie particolari di dati

e) Ubicazione, incluso il nome del Paese o dei paesi di trattamento

[1]A seconda del servizio di Trustpilot scelto dal Cliente, ciò può essere rispettivamente il Servizio di Feedback Automatico, Business Generated Link, Link Unici, la soluzione Kickstart e/o un Link di invito tramite API.