Termini & Politiche

Addendum al trattamento dei dati GDPR del Regno Unito

IL PRESENTE ADDENDUM SUL TRATTAMENTO DEI DATI SI APPLICA SE L'UTENTE HA SOTTOSCRITTO I SERVIZI NITRO IN QUALITÀ DI CLIENTE BUSINESS AI SENSI DEI TERMINI DI SERVIZIO NITRO E IL GDPR DEL REGNO UNITO SI APPLICA AL TRATTAMENTO DEI DATI PERSONALI NEL CONTESTO DELL'ACCORDO. NEL CASO IN CUI L'UTENTE SI SIA REGISTRATO COME PERSONA FISICA, SI PREGA DI VISITARE L'INFORMATIVA SULLA PRIVACY DI NITRO PER ULTERIORI INFORMAZIONI SU COME NITRO TRATTA I SUOI DATI PERSONALI.

1. Ambito di applicazione; ruoli delle parti

Nitro riceverà e tratterà i Dati Personali a beneficio e per conto del Cliente nell'ambito della fornitura del Servizio, secondo le istruzioni e le finalità definite dal Cliente nei Dettagli del Trattamento dei Dati. Con il presente Addendum sul trattamento dei dati, le Parti intendono definire i propri accordi specifici in merito al trattamento dei Dati personali nell'ambito dell'Accordo.

Per impostazione predefinita, Nitro agirà in qualità di Responsabile del trattamento e il Cliente agirà in qualità di Titolare del trattamento in relazione ai Servizi forniti da Nitro al Cliente ai sensi dei Termini di servizio di Nitro. Il presente Addendum sul trattamento dei dati sostituisce e sostituisce tutti i precedenti accordi stipulati (se presenti) in relazione al trattamento dei Dati personali e alla protezione dei dati tra le Parti in relazione ai Servizi offerti da Nitro.

Il presente Addendum sul trattamento dei dati integra e fa parte dei Termini di servizio, e insieme i Termini di servizio e il presente Addendum sul trattamento dei dati costituiscono un unico accordo legale tra le Parti. In caso di discrepanze o contraddizioni tra il presente Addendum sul trattamento dei dati e i Termini di servizio, prevarrà l'Addendum sul trattamento dei dati.

2. Definizioni

"Allegato" indica qualsiasi allegato al presente Addendum sul trattamento dei dati;

"Titolare" si riferisce al Cliente come identificato nei Termini di servizio e nel Modulo d'ordine applicabile;

"Dettagli sul trattamento dei dati" indica l'Allegato 1 al presente Addendum sul trattamento dei dati, che include maggiori dettagli sulle istruzioni del Cliente in merito al trattamento dei Dati Personali, quali lo scopo, l'oggetto e la natura del trattamento e il tipo di Dati Personali trattati;

"EU GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

"Dati personali" indica i dati personali, come definiti ai sensi del GDPR del Regno Unito, che Nitro tratta a beneficio e per conto del Cliente nell'ambito della fornitura dei Servizi secondo le istruzioni e le finalità definite dal Cliente nei Dettagli sul trattamento dei dati;

"Elaboratore" si riferisce a Nitro Software Inc. fornitore dei Servizi al Cliente e come identificato nei Termini di servizio;

Per "Elenco dei Subprocessori" si intende l'elenco dei Subprocessori reso disponibile online da Nitro, che include i Subprocessori incaricati da Nitro per la fornitura dei Servizi e l'adempimento degli obblighi di Nitro ai sensi dell'Accordo in generale. Nitro potrà aggiornare di volta in volta l'elenco dei Subprocessori secondo la procedura stabilita nel presente Addendum sul trattamento dei dati;

"Subprocessore" indica qualsiasi terzo elaboratore incaricato da Nitro per il trattamento dei Dati personali relativi alla fornitura dei Servizi al Cliente;

"GDPR del Regno Unito" indica il GDPR dell'UE come recepito nel diritto nazionale del Regno Unito in virtù della sezione 3 dell'European Union Withdrawal Act 2018 e come modificato dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (come modificato);

"Dati personali del Regno Unito" indica i Dati personali a cui è applicabile il GDPR del Regno Unito;

"Clausole contrattuali standard del Regno Unito" indica l'Addendum internazionale per il trasferimento dei dati alle Clausole contrattuali standard della Commissione UE emesso dal Commissario per l'Informazione ai sensi della Sezione 119A(1) del Data Protection Act 2018, nella forma e nelle modalità indicate nell'Allegato 2 al presente Addendum per il trattamento dei dati.

Tutti gli altri termini e definizioni scritti con lettere maiuscole e che non sono definiti espressamente nel presente Addendum sul trattamento dei dati, sono definiti come indicato nella legislazione applicabile in materia di protezione dei dati o nei Termini di servizio di Nitro.

3. Oggetto del presente Addendum sul trattamento dei dati

3.1 Il presente Addendum al Trattamento dei Dati determina le condizioni del trattamento da parte di Nitro dei Dati Personali comunicati da o su iniziativa del Cliente nel contesto del Contratto. La natura e lo scopo del trattamento, l'elenco e il tipo di Dati Personali nonché le categorie di Soggetti interessati sono elencati nei Dettagli del Trattamento dei Dati (Allegato 1).  

3.2 Il trattamento avverrà esclusivamente a beneficio del Cliente e per lo scopo definito dal Cliente nei Dettagli sul trattamento dei dati. Nitro informerà immediatamente il Cliente se, a suo parere, un'istruzione viola la legislazione applicabile in materia di protezione dei dati. Nitro elaborerà i Dati personali solo in base alle istruzioni documentate del Cliente e non utilizzerà tali Dati personali per scopi propri, a meno che non sia esplicitamente consentito nei Termini di servizio. Se Nitro è obbligata per legge a procedere a qualsiasi trattamento dei Dati personali, Nitro informerà il Cliente di tale obbligo, a meno che ciò non violi le norme obbligatorie applicabili.  

4. Termine

4.1 Il presente Addendum sul trattamento dei dati è applicabile a tutti i trattamenti di Dati personali effettuati nel contesto della fornitura dei Servizi al Cliente da parte di Nitro e si applica fintanto che Nitro tratta i Dati personali per conto del Cliente nel contesto del Contratto. Il presente Addendum sul trattamento dei dati integra i Termini di servizio di Nitro e ha lo scopo di garantire la conformità delle Parti ai requisiti imposti dalle leggi e dai regolamenti applicabili in materia di protezione dei dati per l'utilizzo dei Servizi da parte del Cliente. 

4.2 Il presente Addendum sul trattamento dei dati termina automaticamente con la risoluzione dell'Accordo (o nel momento in cui viene terminato il trattamento da parte di Nitro). Le disposizioni del presente Addendum sul trattamento dei dati che sono espressamente o implicitamente (data la loro natura) destinate ad avere effetto dopo la cessazione dell'Addendum sul trattamento dei dati sopravviveranno alla cessazione dell'Accordo con riferimento ai Dati personali comunicati da o su iniziativa del Cliente nel contesto dell'Accordo.  

5. Misure tecniche e organizzative

5.1 Nitro offre garanzie adeguate per quanto riguarda l'implementazione di misure tecniche e organizzative appropriate ("TOM") per assicurare un trattamento sicuro dei dati personali e quindi la protezione dei diritti dell'interessato. Le misure tecniche e organizzative implementate da Nitro sono indicate nei Dettagli sul trattamento dei dati. I TOM possono essere aggiornati da Nitro di volta in volta, tuttavia Nitro farà in modo di non ridurre la sicurezza complessiva che ha implementato al momento dell'esecuzione dell'Addendum al Trattamento dei Dati. Il Cliente riconosce che i TOM sono adeguati per il trattamento dei suoi Dati Personali al momento della firma o dell'accettazione del presente Addendum al Trattamento dei Dati.   

5.2 Nitro adotterà tutte le misure tecniche e organizzative appropriate di cui all'articolo 32 UK GDPR per garantire un livello di sicurezza adeguato al rischio. 

5.3 Qualora il Cliente fornisca a Nitro Dati personali sensibili di cui agli articoli 9 e 10 UK GDPR a Nitro nel contesto dell'Accordo, il Cliente lo comunicherà a Nitro per iscritto tramite privacy@gonitro.com. 

5.4 Nel caso in cui il Cliente richieda l'implementazione di specifiche misure tecniche e organizzative da parte di Nitro (che Nitro non ha implementato per impostazione predefinita), il Cliente rimborserà a Nitro l'implementazione di tali misure aggiuntive in base alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. "Costi" del presente Addendum sul trattamento dei dati. 

5.5 Adesione di Nitro a un codice di condotta approvato di cui all'articolo 40 UK GDPR, o un meccanismo di certificazione approvato di cui all'articolo 42 UK GDPR può essere utilizzata come elemento di prova delle garanzie sufficienti di cui all'articolo UK GDPR. 

6. Ritenzione

6.1 Nitro non conserverà i Dati personali più a lungo di quanto richiesto per l'elaborazione di tali Dati personali nel contesto dell'Accordo. Il Cliente non darà istruzioni a Nitro di conservare i Dati personali più a lungo del necessario. Il periodo di conservazione applicabile (come definito dal Cliente) è indicato nei Dettagli sul trattamento dei dati. 

6.2 A scelta del Cliente, Nitro cancellerà o restituirà al Cliente tutti i Dati personali al termine della fornitura dei Servizi e cancellerà le copie esistenti, a meno che la legge applicabile non richieda la conservazione dei Dati personali. Il Cliente riconosce che i Servizi potrebbero includere funzionalità di download a disposizione del Cliente per consentirgli di scaricare i propri dati. Nella misura in cui tali funzionalità sono disponibili, il Cliente dovrà utilizzare tali funzionalità per estrarre o cancellare i propri dati. 

7. Riservatezza

7.1 Le parti hanno concordato una clausola di riservatezza nei Termini di servizio che si applica al trattamento dei Dati personali nel contesto dell'Accordo.  

7.2 Nitro riconosce e accetta che solo i dipendenti, gli appaltatori o gli agenti di Nitro che sono coinvolti nel trattamento dei Dati personali possono essere informati sui Dati personali e solo nella misura ragionevolmente necessaria per l'esecuzione dell'Accordo. Nitro garantisce che le persone autorizzate al trattamento dei Dati personali si impegnano alla riservatezza per contratto o sono soggette a un obbligo di riservatezza previsto dalla legge. 

8. Diritti dell'interessato

8.1 Tenendo conto della natura del trattamento, Nitro compirà ogni ragionevole sforzo, adottando misure tecniche e organizzative adeguate, per assistere il Cliente nell'adempimento dell'obbligo di rispondere alle richieste degli Interessati. 

8.2 Per tutta l'assistenza prestata da Nitro nell'ambito del trattamento di tali richieste da parte dei Soggetti interessati, il Cliente rimborserà Nitro in conformità alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. Tale rimborso da parte del Cliente non si applicherà (i) nel caso in cui l'Interessato invochi i propri diritti a causa di una Violazione dei Dati Personali comprovatamente attribuibile a Nitro o (ii) nel caso in cui tale assistenza da parte di Nitro non superi le quattro (4) ore di lavoro durante la durata dell'Accordo. 

9. Obbligo di notifica

9.1 Nel momento in cui viene a conoscenza di una violazione dei dati personali, Nitro ne darà comunicazione al Cliente senza indebito ritardo contattando la persona di contatto indicata nell'Accordo o nel relativo Modulo d'ordine (o in alternativa tramite l'indirizzo e-mail di notifica del Cliente o (se applicabile) qualsiasi altro indirizzo e-mail che il Cliente ha condiviso nel portale di amministrazione come contatto per la privacy). La persona di contatto di Nitro per qualsiasi questione relativa alla protezione dei dati può essere contattata all'indirizzo e-mail: privacy@gonitro.com. 

9.2 Su richiesta del Cliente, Nitro informerà il Cliente di qualsiasi nuovo sviluppo relativo a qualsiasi Violazione dei Dati Personali e delle misure adottate per limitarne le conseguenze e per prevenire il ripetersi di tale Violazione dei Dati Personali. È responsabilità del Cliente segnalare qualsiasi violazione dei dati personali all'autorità di vigilanza o all'interessato (o agli interessati), come richiesto.  

10. Subelaborazione

10.1 Il Cliente autorizza espressamente Nitro ad avvalersi di Subprocessori per il trattamento dei Dati personali ai fini dell'esecuzione dell'Accordo e per facilitare la fornitura dei Servizi in generale. A tal fine, il Cliente concede a Nitro un'autorizzazione generale scritta a decidere con quale/i Subprocessore/i Nitro collabora per l'adempimento dei propri obblighi ai sensi del Contratto. Nitro pubblica un Elenco dei Subprocessori che fa riferimento ai Subprocessori incaricati da Nitro.  

10.2 Nitro informerà il Cliente di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione dei Subprocessori contattando la persona di contatto indicata nell'Accordo o nel relativo Modulo d'ordine (o tramite l'indirizzo e-mail di notifica del Cliente o (se applicabile) qualsiasi altro indirizzo e-mail che il Cliente ha condiviso nel portale di amministrazione come contatto per la privacy). Il Cliente avrà il diritto di opporsi all'aggiunta o alla sostituzione rivolgendosi a Nitro per iscritto. In tal caso, le parti discuteranno l'aggiunta, la sostituzione o l'alternativa in buona fede e non appena ragionevolmente possibile dopo la comunicazione scritta di obiezione da parte del Cliente. 

10.3 Qualora Nitro assuma un Subprocessore per l'esecuzione di specifiche attività di trattamento, gli stessi obblighi di protezione dei dati o obblighi analoghi a quelli stabiliti nel presente Addendum sul trattamento dei dati saranno imposti a tale Subprocessore mediante un accordo scritto, in particolare fornendo garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate (e rispettando le relative misure tecniche e organizzative). Qualora un Subprocessore non adempia ai propri obblighi di protezione dei dati, Nitro rimarrà pienamente responsabile nei confronti del Cliente per l'adempimento dell'obbligo di tale Subprocessore.  

11. Trasferimenti internazionali di dati

11.1 Il Cliente riconosce che Nitro ha sede negli Stati Uniti d'America e autorizza pertanto il trasferimento internazionale dei dati personali ai fini della fornitura dei Servizi. Tale trasferimento internazionale di dati è considerato un'istruzione del Cliente. 

11.2 Se, in qualsiasi momento durante il periodo di validità del presente Addendum sul trattamento dei dati, (i) Nitro è certificata ai sensi dell'estensione britannica del quadro normativo sulla privacy dei dati UE-USA (noto anche come "data bridge" UK-USA) ("quadro normativo"); e (ii) tale quadro normativo costituisce una decisione di adeguatezza valida ai fini dell'articolo 45 UK GDPR, le Parti riconoscono che non sono necessarie garanzie adeguate per i trasferimenti tra l'Utente e Nitro.  

11.3 Qualora non si applichino le condizioni di cui alla Sezione 11.2, le Parti stipulano le Clausole Contrattuali Standard del Regno Unito nella forma e nelle modalità indicate nell'Allegato 2 al presente Addendum al Trattamento dei Dati, le quali sono incorporate nel presente Addendum al Trattamento dei Dati e ne costituiscono parte integrante.   

11.4 Il Cliente riconosce che i Subprocessori autorizzati ai sensi della clausola 10 possono trattare i Dati personali anche in paesi terzi. Il Cliente consente tali trasferimenti, a condizione che Nitro adotti tutte le misure necessarie per garantire che tali trasferimenti siano conformi alle disposizioni del Capitolo V del GDPR britannico e alle altre leggi applicabili in materia di protezione dei dati.  

11.5 Nel caso in cui il trasferimento dei Dati personali a un paese terzo o a un'organizzazione internazionale sia obbligatorio ai sensi della legge applicabile a cui Nitro è soggetta, Nitro sarà autorizzata a eseguire tale trasferimento e informerà il Cliente di tale requisito legale prima di tale Trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico. 

12. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva

12.1 Se il Cliente esegue una valutazione d'impatto sulla protezione dei dati ("DPIA") (articolo 35 GDPR britannico) o una consultazione preventiva (articolo 36 GDPR britannico) legata al trattamento dei Dati personali nel contesto dell'esecuzione del Contratto, Nitro assisterà ragionevolmente il Cliente fornendo assistenza su richiesta scritta del Cliente. Il Cliente rimborserà a Nitro l'assistenza fornita ai sensi della Sezione 14 "Costi" del presente Addendum sull'elaborazione dati. Tale rimborso dei costi non si applicherà nel caso in cui (i) l'assistenza richiesta a Nitro sia inferiore a quattro (4) ore lavorative durante la durata dell'Accordo, o (ii) la DPIA o la consultazione preventiva siano innescate da una violazione dei dati personali comprovata e attribuibile a Nitro. 

13. Diritto di revisione

13.1 Il Cliente ha il diritto di effettuare verifiche in merito al rispetto da parte di Nitro dei propri obblighi ai sensi del presente Addendum sul trattamento dei dati e della legislazione applicabile in materia di protezione dei dati. Nitro si impegnerà a cooperare con tali verifiche e a mettere a disposizione tutte le informazioni necessarie a dimostrare l'adempimento dei propri obblighi. Il Cliente dovrà notificare a Nitro tale verifica almeno un (1) mese prima della data in cui la verifica sarà effettuata, dandone comunicazione scritta a Nitro tramite privacy@gonitro.com.  

13.2 Nel caso in cui venga eseguito un audit, tutte le parti coinvolte dovranno firmare uno specifico accordo di non divulgazione emesso da Nitro in relazione a tale audit e ai risultati dell'audit prima dell'inizio dell'audit. Durante l'esecuzione di tali verifiche, si dovrà tenere conto degli obblighi di riservatezza delle Parti nei confronti di terzi. Sia le Parti che i loro revisori devono mantenere segrete le informazioni raccolte in relazione a un audit e utilizzarle esclusivamente per verificare la conformità al presente Addendum sul trattamento dei dati e alle leggi e ai regolamenti applicabili in materia di protezione dei dati. Il Cliente ha la possibilità di eseguire l'audit direttamente o di incaricare un revisore indipendente, che tuttavia dovrà sottoscrivere l'accordo di non divulgazione di cui alla presente sezione. 

13.3 Entrambe le Parti e, se del caso, i loro rappresentanti, collaborano ragionevolmente, su richiesta, con l'Autorità di vigilanza nello svolgimento dei suoi compiti.  

13.4 Il Cliente rimborserà a Nitro l'assistenza fornita da Nitro in relazione all'audit (o agli audit) in conformità alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. Resta inteso che tale rimborso non si applicherà nel caso in cui (i) l'audit sia il risultato di una violazione dei dati personali di cui sia stata provata l'imputabilità a Nitro o, (ii) nel caso in cui l'assistenza di Nitro non superi le quattro (4) ore lavorative durante la durata dell'Accordo. 

14. Costi

14.1 L'assistenza da eseguire ai sensi del presente Addendum sull'elaborazione dei dati, per la quale Nitro può addebitare al Cliente, sarà addebitata sulla base delle ore lavorate e delle tariffe orarie standard applicabili di Nitro (USD 295/ora tasse escluse). Nitro fatturerà tali importi su base mensile, ma ha anche il diritto di richiedere una commissione anticipata.  

14.2 Il pagamento da parte del Cliente a Nitro per l'assistenza e i servizi professionali forniti da Nitro ai sensi del presente Addendum sul trattamento dei dati avverrà in conformità alle disposizioni dei Termini di servizio.  

15. Responsabilità

15.1 Nella misura massima consentita dalla legge applicabile, le disposizioni dei Termini di servizio relative alla limitazione di responsabilità si applicano anche al presente Addendum sul trattamento dei dati e ai danni da esso derivanti. 

16. Varie

16.1 Le disposizioni dei Termini di servizio relative alle modifiche, all'intero accordo, alla separabilità, alla legge applicabile e ai tribunali competenti sono applicabili al presente Addendum sul trattamento dei dati. In caso di discrepanze o contraddizioni tra il presente Addendum sul trattamento dei dati e le Clausole contrattuali standard del Regno Unito, se applicabili, prevarranno le Clausole contrattuali standard del Regno Unito. 

Allegato 1 - Dettagli sul trattamento dei dati

A. ELENCO DELLE PARTI

  1. Esportatore/i di dati: 

Nome: Cliente, come identificato nel Contratto e nel relativo Modulo d'ordine.
Indirizzo: L'indirizzo dell'esportatore di dati è indicato nell'Accordo e nel relativo Modulo d'ordine.

Nome, posizione e dati di contatto della persona di contatto: I dati di contatto del referente per l'esportatore di dati sono indicati nel Contratto, nel relativo Modulo d'ordine (e, se del caso, nel portale di amministrazione del Cliente).

Attività rilevanti per i dati trasferiti: Le attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole contrattuali standard del Regno Unito sono descritte di seguito nella sezione B "Descrizione del trattamento/trasferimento".

Firma e data: con la firma o l'accettazione del relativo Modulo d'ordine, si riterrà che l'esportatore di dati abbia firmato il presente Allegato I.

Ruolo (controllore/processore): Controllore

1. Importatore/i di dati: 
Nome: Nitro Software Inc.

Indirizzo: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti.

Nome, posizione e recapiti della persona da contattare: privacy@gonitro.com,447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti.

Attività rilevanti per i dati trasferiti: Le attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole contrattuali standard del Regno Unito sono descritte di seguito nella sezione B "Descrizione del trattamento/trasferimento".

Firma e data: con la firma o l'accettazione del relativo Modulo d'ordine, si ritiene che l'importatore dei dati abbia sottoscritto il presente Allegato I.

Ruolo (controllore/processore): Processore

B. DESCRIZIONE DEL TRATTAMENTO/TRASFERIMENTO

  1. OGGETTO DEL TRATTAMENTO DEI DATI PERSONALI 

L'oggetto è determinato dal Cliente come indicato nel Contratto e nel relativo Modulo d'ordine.

  1. LA NATURA E LA FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI  

La natura e lo scopo del trattamento sono determinati dal Cliente come indicato nell'Accordo e nel relativo Modulo d'ordine.
Per impostazione predefinita, tale trattamento avrà lo scopo di rendere disponibili i Servizi, comprese tutte le loro caratteristiche e funzionalità, al Cliente e ai suoi Utenti e, più in generale, di consentire a Nitro di adempiere ai propri obblighi contrattuali ai sensi del Contratto. Tale finalità può essere la messa a disposizione dei Servizi Cloud (a titolo esemplificativo e non esaustivo, la messa a disposizione del portale cloud del cliente, dei servizi di firma elettronica, dei servizi di analisi, ecc.

La natura del trattamento comprende, tra le altre istruzioni fornite dal Cliente nel Contratto e nel relativo Modulo d'ordine, l'elaborazione, la raccolta, la conservazione, la comunicazione e il trasferimento dei Dati personali.

  1. DATI PERSONALI TRATTATI 

A seconda delle funzionalità utilizzate all'interno dei Servizi (ad esempio, portale di amministrazione, servizi di firma elettronica, servizi di analisi, ecc.) e del contenuto dei Dati del Cliente caricati dal Cliente e dai suoi Utenti nei Servizi, Nitro tratta diversi tipi di Dati personali.

In generale, i Dati Personali trattati da Nitro includono, senza limitazioni:

  • Dettagli di identificazione (ad esempio, dettagli sull'utente e sull'utilizzo) 
  • Dati dei documenti (ad esempio i dati personali contenuti nei documenti PDF trattati) 

Una panoramica dettagliata del tipo di Dati personali trattati durante l'utilizzo dei Servizi è disponibile tramite il Trust Center di Nitro: Trattamento dei dati personali

  1. DATI SENSIBILI 

L'esportatore di dati potrebbe includere i Dati personali sensibili tra i dati personali in conformità alla Sezione 5.3 del presente Addendum sul trattamento dei dati. Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specialistica), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive: si fa riferimento ai TOM come elencati o citati nei Dettagli sul trattamento dei dati di seguito.

  1. CATEGORIA DI SOGGETTI INTERESSATI 

Le seguenti categorie di Soggetti interessati sono di default nell'ambito di applicazione:

  • Tutti gli Utenti che hanno accesso ai Servizi (compresi gli utenti amministratori, gli utenti generici o gli utenti invitati come i firmatari). 
  • Tutti i Soggetti interessati inclusi nei Dati del Cliente caricati nei Servizi dal Cliente o dai suoi Utenti.  

Il Cliente conferma che i Soggetti interessati saranno considerati di default una delle seguenti categorie:

  • Personale del cliente 
  • Clienti del cliente  
  • Prospettive del cliente 
  • Fornitori del cliente 

SOTTOPROCESSORI 

Nitro si avvale di Subprocessori per garantire la disponibilità di tutte le funzionalità all'interno dei Servizi. La scelta dei subprocessori dipende dall'utilizzo dei Servizi e dalle funzionalità e impostazioni richieste dal Cliente. Un elenco dettagliato dei subprocessori impiegati da Nitro (compresa la procedura da noi applicata per l'assunzione di nuovi subprocessori) è disponibile tramite il nostro Trust Center: Subprocessori e Subappaltatori

  1. MISURE TECNICHE E ORGANIZZATIVE (TOM) 

Nitro implementa misure tecniche e organizzative appropriate per garantire un'adeguata sicurezza durante l'utilizzo dei Servizi. Tali misure vengono continuamente aggiornate. Una panoramica dettagliata delle misure adottate è disponibile nel nostro Trust Center nella sezione Sicurezza: Sicurezza delle informazioni e nella nostra Politica di sicurezza delle informazioni. Il nostro Trust Center elenca anche le certificazioni di cui Nitro è in possesso nella sezione Compliance: Conformità.

  1. PERIODO DI CONSERVAZIONE 

Nitro non conserverà i Dati personali più a lungo di quanto necessario per la fornitura dei Servizi. A seconda dei Servizi e delle funzionalità utilizzate dal Cliente, i periodi di conservazione applicabili potrebbero essere diversi. Ciascun Cliente può richiedere a Nitro di configurare periodi di conservazione specifici per il proprio ambiente (nella misura in cui ciò sia tecnicamente fattibile).

Nel caso in cui non siano stati configurati periodi di conservazione specifici, i Dati personali saranno conservati per impostazione predefinita da Nitro fino all'eliminazione da parte del Cliente o fino alla risoluzione dell'Accordo tra Nitro e il Cliente (più un massimo di 30 giorni), a seconda di quale delle due situazioni si verifichi per prima. Una panoramica dettagliata dei periodi di conservazione è disponibile tramite il nostro Trust Center: Trattamento dei dati personali

  1. FREQUENZA DEI TRASFERIMENTI INTERNAZIONALI 

Su base continuativa, come necessario per fornire i Servizi al Cliente.

Allegato 2 - Clausole contrattuali standard del Regno Unito

Addendum al trasferimento internazionale dei dati alle Clausole contrattuali standard della Commissione UE

VERSIONE B1.0, in vigore 21 Marzo 2022

Il presente Addendum è stato emesso dal Commissario per le informazioni per le parti che effettuano trasferimenti limitati. Il Commissario per le informazioni ritiene che esso fornisca garanzie adeguate per i trasferimenti limitati quando viene stipulato come contratto legalmente vincolante.

Parte 1: Tabelle

Tabella 1: Parti

Data di inizio 

La data dell'Addendum sul trattamento dei dati 

Le parti 

Esportatore (che invia il trasferimento limitato) 

Cliente 

Importatore (che riceve il trasferimento limitato) 

Nitro 

Dettagli delle parti 

Nome legale completo: Cliente, come identificato nel Contratto e nel relativo Modulo d'ordine.  

Nome commerciale (se diverso):       

Indirizzo principale (se si tratta di un indirizzo registrato di una società): L'indirizzo dell'esportatore dei dati è indicato nell'Accordo e nel relativo Modulo d'ordine.  

Numero di registrazione ufficiale (se presente) (numero di società o identificativo simile): Come indicato nel Contratto e nel relativo Modulo d'ordine, o altrimenti N/A  

Denominazione legale completa: Nitro Software Inc. 

Nome commerciale (se diverso):       

Indirizzo principale (se si tratta di un indirizzo registrato dalla società): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti. 

Numero di registrazione ufficiale (se presente) (numero di società o identificativo simile): N/A 

Contatto chiave 

Nome completo (facoltativo): Il nome completo della persona di contatto per l'esportatore di dati è indicato nell'Accordo e nel relativo Modulo d'ordine.  

Titolo di lavoro: La qualifica della persona di contatto per l'esportatore di dati è indicata nell'Accordo e nel relativo Modulo d'ordine.  

Dati di contatto, compresa l'e-mail: I dati di contatto del referente dell'esportatore di dati sono indicati nell'Accordo e nel relativo Modulo d'ordine. 

privacy@gonitro.com   
Nitro Software Inc.  
447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti. 


Firma (se richiesta ai fini della Sezione2) 

Non richiesto - il presente Allegato 2 fa parte ed è incorporato nell'Addendum sul trattamento dei dati. 

Non richiesto - il presente Allegato 2 fa parte ed è incorporato nell'Addendum sul trattamento dei dati. 

Tabella 2: SCC, moduli e clausole selezionati

Addendum SCC UE 

La versione delle SCC approvate dall'UE a cui è allegato il presente addendum è descritta di seguito, comprese le informazioni dell'appendice: 

Data:        

Riferimento (se presente):        

Altro identificatore (se presente):        

Oppure 

le Approved EU SCC, comprese le Appendix Information e con l'entrata in vigore, ai fini del presente Addendum, dei soli moduli, clausole o disposizioni opzionali delle Approved EU SCC di seguito elencati:  

Modulo 

Modulo in funzione 

Clausola 7 (clausola di attracco) 

Clausola 11  
(Opzione) 

Clausola 9a (Autorizzazione preventiva o autorizzazione generale) 

Clausola 9a (Periodo di tempo) 

I dati personali ricevuti dall'Importatore sono combinati con i dati personali raccolti dall'Esportatore? 

1 .

 

 

2 .

Non applicabile 

Non applicabile 

Autorizzazione generale 

30 giorni 

No 

3 .

4 .

Tabella 3: Informazioni sull'appendice

Per "informazioni dell'appendice" si intendono le informazioni che devono essere fornite per i moduli selezionati, come indicato nell'appendice degli SCC UE approvati (diversi dalle parti), e che per il presente addendum sono indicate in:


Allegato 1A: Elenco delle Parti: Si veda la Tabella 1 di cui sopra. 

Allegato 1B: Descrizione del trasferimento: Si veda l'Allegato 1 al presente Addendum sul trattamento dei dati. 

Allegato II: Misure tecniche e organizzative, comprese le misure tecniche e organizzative per garantire la sicurezza dei dati: Si veda la clausola 5 del presente Addendum sul trattamento dei dati. 

Allegato III: Elenco dei subelaboratori (solo moduli 2 e 3): Vedere la clausola 10.1 del presente Addendum sul trattamento dei dati. 

Tabella 4: Conclusione del presente addendum in caso di modifica dell'addendum approvato

Terminare il presente Addendum in caso di modifica dell'Addendum approvato. 

Le Parti possono porre fine al presente Addendum come indicato nella Sezione 19: 

Importatore 

Esportatore 

Nessuno dei due partiti 

Parte 2: Clausole obbligatorie

Stipula del presente Addendum

  1. Ciascuna Parte accetta di essere vincolata dai termini e dalle condizioni stabiliti nel presente Addendum, in cambio del fatto che anche l'altra Parte accetti di essere vincolata dal presente Addendum. 
  2. Sebbene l'Allegato 1A e la Clausola 7 delle Approved EU SCC richiedano la firma delle Parti, ai fini dell'effettuazione dei Trasferimenti Limitati, le Parti possono stipulare il presente Addendum in qualsiasi modo che li renda legalmente vincolanti per le Parti e che consenta agli interessati di far valere i propri diritti come stabilito nel presente Addendum. La sottoscrizione del presente Addendum avrà lo stesso effetto della sottoscrizione delle Convenzioni UE approvate e di qualsiasi parte delle Convenzioni UE approvate. 

Interpretazione del presente Addendum

  1. Laddove il presente Addendum utilizzi termini definiti nelle SCC UE approvate, tali termini hanno lo stesso significato di quelli contenuti nelle SCC UE approvate. Inoltre, i seguenti termini hanno il seguente significato: 

Addendum  

Il presente Addendum internazionale sul trasferimento dei dati, che si compone del presente Addendum che incorpora l'Addendum EU SCCs. 

Addendum SCC UE 

La versione o le versioni delle SCC UE approvate a cui è allegato il presente addendum, come indicato nella Tabella 2, comprese le informazioni dell'appendice. 

Appendice Informazioni 

Come indicato nella Tabella3. 

Salvaguardie adeguate 

Lo standard di protezione dei dati personali e dei diritti degli interessati, richiesto dalle leggi sulla protezione dei dati del Regno Unito quando si effettua un Trasferimento limitato facendo affidamento sulle clausole standard di protezione dei dati ai sensi dell'articolo 46(2)(d) del GDPR del Regno Unito. 

Addendum approvato 

Il modello di Addendum emesso dall'ICO e presentato al Parlamento in conformità alla s119A del Data Protection Act 2018 in data 2 febbraio 2022, in quanto rivisto ai sensi della sezione 18. 

SCC UE approvati  

Le clausole contrattuali standard stabilite nell'allegato della Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 giugno . 

ICO 

Il Commissario per l'Informazione. 

Trasferimento vincolato 

Un trasferimento che rientra nel capitolo V del GDPR del Regno Unito. 

REGNO UNITO  

Il Regno Unito di Gran Bretagna e Irlanda del Nord. 

Leggi sulla protezione dei dati nel Regno Unito  

Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, compresi il GDPR e il Data Protection Act 2018. 

REGNO UNITO GDPR  

Come definito nella sezione 3 del Data Protection Act 2018. 

  1. Il presente Addendum deve sempre essere interpretato in modo coerente con le leggi britanniche sulla protezione dei dati e in modo da adempiere all'obbligo delle Parti di fornire le opportune garanzie.  
  2. Qualora le disposizioni incluse nell'Addendum EU SCC modifichino le Approved SCC in qualsiasi modo che non sia consentito dalle Approved EU SCC o dall'Addendum approvato, tali modifiche non saranno incorporate nel presente Addendum e le disposizioni equivalenti delle Approved EU SCC prenderanno il loro posto. 
  3. In caso di incongruenza o conflitto tra le leggi sulla protezione dei dati del Regno Unito e il presente Addendum, si applicano le leggi sulla protezione dei dati del Regno Unito. 
  4. Se il significato del presente Addendum non è chiaro o se esiste più di un significato, si applica il significato più conforme alle leggi sulla protezione dei dati del Regno Unito.  
  5. Qualsiasi riferimento alla legislazione (o a specifiche disposizioni legislative) indica tale legislazione (o specifica disposizione) così come può cambiare nel tempo. Ciò include il caso in cui tale legislazione (o specifica disposizione) sia stata consolidata, ri-attuata e/o sostituita dopo la stipula del presente Addendum.  

Gerarchia

  1. Sebbene la clausola 5 delle Approved EU SCC stabilisca che le Approved EU SCC prevalgono su tutti i relativi accordi tra le Parti, le Parti concordano che, per i Trasferimenti Limitati, prevarrà la gerarchia di cui alla sezione 10. 
  2. In caso di incongruenza o conflitto tra l'Addendum approvato e l'Addendum EU SCC (a seconda dei casi), l'Addendum approvato prevale sull'Addendum EU SCC, tranne nel caso in cui (e nella misura in cui) i termini incoerenti o in conflitto dell'Addendum EU SCC forniscano una maggiore protezione agli interessati, nel qual caso tali termini prevarranno sull'Addendum approvato. 
  3. Qualora il presente Addendum incorpori Addendum EU SCC stipulati per proteggere i trasferimenti soggetti al Regolamento Generale sulla Protezione dei Dati (UE) 2016/679, le Parti riconoscono che nulla di quanto contenuto nel presente Addendum incide su tali Addendum EU SCC. 

Incorporazione e modifiche agli SCC dell'UE

  1. Il presente Addendum incorpora l'Addendum EU SCC che viene modificato nella misura necessaria affinché: 
    1. insieme operano per i trasferimenti di dati effettuati dall'esportatore di dati all'importatore di dati, nella misura in cui le leggi britanniche sulla protezione dei dati si applicano al trattamento dei dati da parte dell'esportatore durante il trasferimento dei dati, e forniscono garanzie adeguate per tali trasferimenti di dati;  
    2. Le sezioni da 9 a 11 non tengono conto della clausola 5 (Gerarchia) dell'Addendum EU SCC; e 
    3. il presente Addendum (compreso l'Addendum EU SCC incorporato in esso) è (1) regolato dalle leggi dell'Inghilterra e del Galles e (2) qualsiasi controversia derivante da esso è risolta dai tribunali dell'Inghilterra e del Galles, in ogni caso a meno che le leggi e/o i tribunali della Scozia o dell'Irlanda del Nord non siano stati espressamente scelti dalle Parti. 
  2. A meno che le Parti non abbiano concordato modifiche alternative che soddisfino i requisiti della Sezione 12, si applicheranno le disposizioni della Sezione 15. 
  3. Non è possibile apportare modifiche alle SCC UE approvate se non per soddisfare i requisiti della sezione 12. 
  4. Vengono apportate le seguenti modifiche all'Addendum EU SCC (ai fini della Sezione 12):  
    1. I riferimenti alle "Clausole" indicano il presente Addendum, che incorpora l'Addendum EU SCCs; 
    2. Nella clausola 2, sopprimere le parole: 
      1. "e, per quanto riguarda i trasferimenti di dati da responsabili del trattamento a incaricati del trattamento e/o da incaricati del trattamento a incaricati del trattamento, le clausole contrattuali standard ai sensi dell'articolo 28(7) del Regolamento (UE) 2016/679";
    3. La clausola 6 (Descrizione del/i trasferimento/i) è sostituita da: 
      1. "I dettagli del trasferimento (o dei trasferimenti) e in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti sono quelli specificati nell'allegato I.B se le leggi britanniche sulla protezione dei dati si applicano al trattamento dei dati da parte dell'esportatore al momento del trasferimento";
    4. La clausola 8.7(i) del modulo 1 è sostituita da: 
      1. "è verso un paese che beneficia di regolamenti di adeguatezza ai sensi della sezione 17A del GDPR del Regno Unito che copre il trasferimento successivo";
    5. La clausola 8.8(i) dei moduli 2 e 3 è sostituita da: 
      1. "il trasferimento successivo è verso un paese che beneficia di regolamenti di adeguatezza ai sensi della sezione 17A del GDPR del Regno Unito che copre il trasferimento successivo;"
    6. I riferimenti al "Regolamento (UE) 2016/679", al "Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)" e "tale Regolamento" sono tutti sostituiti da "Leggi britanniche sulla protezione dei dati". I riferimenti a specifici articoli del "Regolamento (UE) 2016/679" sono sostituiti con l'equivalente articolo o sezione delle leggi britanniche sulla protezione dei dati; 
    7. I riferimenti al Regolamento (UE) 2018/1725 sono stati eliminati; 
    8. I riferimenti a "Unione europea", "Unione", "UE", "Stato membro dell'UE", "Stato membro" e "UE o Stato membro" sono tutti sostituiti da "Regno Unito"; 
    9. Il riferimento alla "Clausola 12(c)(i)" alla Clausola 10(b)(i) del Modulo uno è sostituito da "Clausola 11(c)(i)"; 
    10. La clausola 13(a) e la parte C dell'allegato I non sono utilizzate;  
    11. Le espressioni "autorità di controllo competente" e "autorità di controllo" sono entrambe sostituite dal "Commissario per l'informazione"; 
    12. Nella clausola 16(e), la sottosezione (i) è sostituita da: 
      1. "il Segretario di Stato emette regolamenti ai sensi della Sezione 17A del Data Protection Act 2018 che riguardano il trasferimento di dati personali a cui si applicano le presenti clausole;";
    13. La clausola 17 viene sostituita con: 
      1. "Le presenti clausole sono regolate dalle leggi dell'Inghilterra e del Galles";
    14. La clausola 18 viene sostituita con: 
      1. "Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di Inghilterra e Galles. Una persona interessata può anche intentare un'azione legale contro l'esportatore e/o l'importatore di dati davanti ai tribunali di qualsiasi paese del Regno Unito. Le Parti accettano di sottoporsi alla giurisdizione di tali tribunali"; e
    15. Le note a piè di pagina delle SCC UE approvate non fanno parte dell'addendum, ad eccezione delle note a piè di pagina 8, 9, 10 e 11.  

Modifiche al presente Addendum

  1. Le Parti possono concordare di modificare le clausole 17 e/o 18 dell'Addendum SCC UE per fare riferimento alle leggi e/o ai tribunali della Scozia o dell'Irlanda del Nord. 
  2. Se le Parti desiderano modificare il formato delle informazioni incluse nella Parte 1: Tabelle dell'Addendum approvato, possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le opportune garanzie. 
  3. Di tanto in tanto, l'ICO può emettere un Addendum approvato rivisto che:  
    1. apportare modifiche ragionevoli e proporzionate all'Addendum approvato, compresa la correzione di errori nell'Addendum approvato; e/o 
    2. riflette le modifiche alle leggi britanniche sulla protezione dei dati; 
  4. L'Addendum approvato rivisto specificherà la data di inizio dell'efficacia delle modifiche all'Addendum approvato e l'eventuale necessità per le Parti di rivedere il presente Addendum, comprese le Informazioni dell'Appendice. Il presente Addendum viene automaticamente modificato come indicato nell'Addendum approvato rivisto a partire dalla data di decorrenza specificata.
  5. Se l'ICO emette un Addendum approvato rivisto ai sensi della Sezione 18, se una delle Parti selezionate nella Tabella 4 "Cessazione dell'Addendum in caso di modifica dell'Addendum approvato", come conseguenza diretta delle modifiche apportate all'Addendum approvato, avrà un aumento sostanziale, sproporzionato e dimostrabile di:  
    1. i suoi costi diretti di esecuzione degli obblighi previsti dall'Addendum; e/o  
    2. il proprio rischio ai sensi dell'Addendum,  

e in entrambi i casi ha prima adottato misure ragionevoli per ridurre tali costi o rischi in modo che non siano sostanziali e sproporzionati, allora tale Parte può porre fine al presente Addendum alla fine di un periodo di preavviso ragionevole, fornendo un preavviso scritto per tale periodo all'altra Parte prima della data di inizio dell'Addendum approvato rivisto.

  1. Le Parti non necessitano del consenso di terzi per apportare modifiche al presente Addendum, ma qualsiasi modifica deve essere apportata in conformità ai suoi termini.