1. Introduzione
Il presente allegato 1A si applica solo nella misura in cui la Normativa europea sulla Protezione dei Dati si applica al trattamento dei Dati personali del Titolare.
2. Definizioni
2.1 Nel presente Allegato 1A:
Per “Paese Adeguato” si intende:
(a) Per i dati trattati soggetti al GDPR dell'Unione europea: i paesi dello SEE o un paese o territorio che sia stato riconosciuto come garante di un livello adeguato di protezione dei dati ai sensi del GDPR dell'Unione europea;
(b) Per i dati trattati soggetti al GDPR del Regno Unito: il Regno Unito o un paese o territorio che sia stato riconosciuto come garante di un livello adeguato di protezione dei dati ai sensi del GDPR del Regno Unito e del Data Protection Act del 2018; e/o
(c) Per i dati trattati soggetti all'FDPA svizzero: la Svizzera o un paese o territorio che sia (i) incluso nell'elenco degli stati la cui legislazione garantisce un’adeguata protezione dei dati, come stabilito dall'Incaricato federale della protezione dei dati e della trasparenza svizzero o (ii) riconosciuto come garante di un livello adeguato di protezione dei dati da parte del Consiglio federale svizzero ai sensi dell'FDPA svizzero, in ogni caso oltre che sulla base di un accordo facoltativo in merito alla protezione dei dati.
Per “Soluzione alternativa di trasferimento” si intende una soluzione diversa dalle CCS del Titolare che consente il trasferimento legittimo di dati personali in un paese terzo in conformità con la Normativa europea sulla protezione dei dati, come ad esempio un accordo quadro sulla protezione dei dati in relazione al quale le realtà che ne fanno parte garantiscono una protezione adeguata.
Per “CCS del Titolare” si intendono i termini riportati all’indirizzo business.safety.google/adscontrollerterms/sccs/c2c.
Per “SEE” si intende lo Spazio Economico Europeo.
Per “Dati personali del Titolare in Europa” si intendono i Dati personali trattati per conto dei Titolari interessati nello Spazio Economico Europeo o in Svizzera.
Per “Leggi europee” si intendono, a seconda dei casi: (a) la legge dell'UE o degli Stati membri dell'UE (se il GDPR dell'Unione Europea si applica al trattamento dei Dati personali del Titolare); (b) la legge del Regno Unito o di una parte del Regno Unito (se il GDPR del Regno Unito si applica al trattamento dei Dati personali del Titolare); e (c) la legge della Svizzera (se l'FDPA svizzero si applica al trattamento dei Dati personali del Titolare).
Per “Titolari finali di Google” si intendono i Titolari finali dei Dati personali trattati da Google per conto del Titolare.
Per “Trasferimenti europei consentiti” si intendono il trattamento dei Dati personali del Titolare, o il trasferimento dei Dati personali del Titolare, in un Paese Adeguato.
Per “Trasferimenti europei limitati” si intendono i trasferimenti di Dati personali del Titolare (a) soggetti alla Normativa europea sulla protezione dei dati, e (b) che costituiscono Trasferimenti europei non consentiti.
Per “Dati personali del Titolare nel Regno Unito” si intendono i Dati personali trattati per conto dei Titolari interessati nel Regno Unito.
2.2I termini "importatore dei dati" e "esportatore dei dati" hanno il significato attribuito nelle CCS del titolare.
3. Titolari finali di Google
I Titolari finali di Google sono: (i) Google Ireland Limited per i Dati personali trattati per conto del Titolare in Unione Europea; e (ii) Google LLC per i Dati personali trattati per conto del Titolare nel Regno Unito. Ciascuna parte si assicurerà che i propri Titolari finali rispettino le CCS del Titolare, laddove applicabili.
4. Trasferimenti di dati
4.1 Trasferimenti europei limitati. Ciascuna delle parti può effettuare Trasferimenti europei limitati purché rispetti le disposizioni sui Trasferimenti europei limitati previsti dalla Normativa europea sulla Protezione dei Dati.
4.2 Soluzione alternativa di trasferimento.
(a)Qualora Google abbia adottato una Soluzione alternativa di trasferimento per uno o più Trasferimenti europei limitati, (i) Google garantirà che tali Trasferimenti europei limitati siano effettuati in conformità con la Soluzione alternativa di trasferimento; inoltre, (ii) il paragrafo 5 (CCS del Titolare) del presente Allegato 1A non si applicherà a questi Trasferimenti europei limitati.
(b)Se Google non ha adottato, o informa il Cliente del fatto che non sta più adottando, una Soluzione alternativa di trasferimento per qualsiasi Trasferimento europeo limitato, il paragrafo 5 (SCC del Titolare del trattamento) del presente Allegato 1A si applicherà a tali Trasferimenti europei limitati.
4.3 Disposizioni sui trasferimenti successivi
(a) Applicazione del Paragrafo 4.3. I Paragrafi 4.3(b) (Utilizzo dei dati del Fornitore di dati personali) e 4.3(c) (Protezione dei Dati del Fornitore di dati personali) del presente Allegato 1A troveranno applicazione soltanto nella misura in cui:
(i)una parte (il “Destinatario dei dati”) tratti i dati personali del Titolare del trattamento resi disponibili dall'altra parte (il “Fornitore di dati”) in connessione con il Contratto (con Dati personali del Titolare del trattamento si intende “Dati personali del Fornitore di dati”);
(ii)il Fornitore dei dati o la Società affiliata sia certificata secondo una Soluzione alternativa di trasferimento; e
(iii)il Fornitore dei dati comunichi per iscritto al Destinatario dei dati la certificazione di tale Soluzione alternativa di trasferimento.
(b)Utilizzo dei Dati personali del Fornitore di dati
(i)Nella misura in cui una Soluzione alternativa di trasferimento applicabile includa i principi del trasferimento successivo, allora in conformità con tali principi del trasferimento successivo ai sensi della Soluzione alternativa di trasferimento applicabile, il Destinatario dei dati utilizzerà solamente i Dati personali del Fornitore di dati in coerenza con il consenso fornito dagli Interessati.
(ii)Nella misura in cui il Fornitore dei dati non riesca ad ottenere il consenso dai relativi Interessati come richiesto ai sensi del Contratto, il Destinatario dei dati non risulterà inadempiente al paragrafo 4.3(b)(i) qualora utilizzi i Dati personali del Fornitore di dati in coerenza con il consenso richiesto.
(c)Protezione dei Dati personali del Fornitore di dati.
(i)Il Destinatario dei dati garantirà un livello di protezione per i Dati personali del Fornitore di dati che sia almeno equivalente a quello richiesto dalla Soluzione alternativa di trasferimento applicabile.
(ii)Qualora il Destinatario dei dati ritenga di non poter adempiere al paragrafo 4.3(c) (i), dovrà: (A) comunicarlo al Fornitore di dati per iscritto; e (B) cessare il trattamento dei Dati personali del Fornitore di dati o in alternativa adottare misure ragionevoli e appropriate per porre rimedio a tale inadempienza.
(d)Adozione e certificazione della Soluzione alternativa di trasferimento. Le informazioni relative all'adozione o alla certificazione da parte di Google e/o delle sue Società affiliate di qualsiasi Soluzione alternativa di trasferimento sono disponibili all'indirizzo https://business.safety.google/adsdatatransfers. Il presente paragrafo 4.3 (d) costituisce una comunicazione scritta delle attuali certificazioni di Google e delle sue Società affiliate alla Data di Validità dei Termini ai fini del paragrafo 4.3(a)(iii).
5. CCS del Titolare del trattamento
5.1 Trasferimenti di Dati personali del Titolare europeo al Cliente. Nella misura in cui:
(a)Google trasferisce al Cliente i Dati personali del Titolare europeo; e
(b)Il trasferimento è un Trasferimento europeo limitato, il Cliente, in qualità di importatore di dati, abbia sottoscritto le CCS del Titolare con Google Ireland Limited (la Società Google Titolare finale del trattamento rilevante) in qualità di esportatore di dati, i trasferimenti saranno soggetti alle CCS del Titolare.
5.2 Trasferimenti di Dati personali del Titolare nel Regno Unito al Cliente. Nella misura in cui:
(a)Google trasferisce al Cliente i Dati personali trattati del Titolare nel Regno Unito; e
(b)Il trasferimento è un Trasferimento europeo limitato,
il Cliente, in qualità di importatore di dati, abbia sottoscritto le CCS del Titolare con Google LLC (la Società di Google Titolare finale del trattamento rilevante) come esportatore di dati, i trasferimenti saranno soggetti alle CCS del Titolare.
5.3 Trasferimenti di Dati personali del Titolare europeo a Google. Le parti prendono atto che, nella misura in cui il Cliente trasferisce a Google i Dati Personali trattati per conto del Titolare in Europa, le CCS del Titolare non sono necessarie in quanto Google Ireland Limited (ovvero la Società di Google Titolare Finale del trattamento rilevante) è stabilita in un Paese Adeguato, pertanto tali trasferimenti sono Trasferimenti europei Consentiti. Ciò non pregiudica gli obblighi a carico di Google ai sensi del Paragrafo 4.1 (Trasferimenti europei limitati di dati) del presente allegato 1A.
5.4Trasferimenti di Dati personali trattati per conto del titolare nel Regno Unito a Google. Nella misura in cui il Cliente trasferisce a Google i Dati Personali del Titolare nel Regno Unito, il Cliente, in qualità di esportatore di dati, si intenderà aver sottoscritto le CCS del Titolare con Google LLC (ovvero la Società di Google Titolare Finale del trattamento rilevante) in qualità di importatore di dati e i trasferimenti saranno soggetti alle CCS del Titolare in quanto Google LLC non è stabilito in un Paese Adeguato.
5.5 Come contattare Google; Dati del Cliente.
(a)Il Cliente può contattare Google Ireland Limited e/o Google LLC in merito alle SCC del Titolare all'indirizzo https://support.google.com/policies/troubleshooter/9009584 o tramite altri mezzi di volta in volta eventualmente forniti da Google.
(b)Il Cliente riconosce che Google è tenuta, ai sensi delle CCS del Titolare a registrare determinate informazioni, incluse (i) l'identità e le informazioni di contatto dell'importatore di dati (incluse eventuali persone da contattare responsabili della protezione dei dati); e (ii) le misure tecniche e organizzative implementate dall'importatore di dati. Di conseguenza, il Cliente fornirà a Google tali informazioni, qualora gliene venga fatta richiesta e se applicabile al Cliente medesimo, tramite i mezzi forniti da Google e garantirà che tutte le informazioni fornite siano accurate e aggiornate.
5.6Risposte alle richieste dei Soggetti Interessati. L'importatore di dati di riferimento avrà la responsabilità di fornire risposte in merito alle richieste degli interessati e dell'autorità di controllo in relazione al trattamento dei Dati Personali trattati per conto del Titolare di riferimento da parte dell'importatore di dati.
5.7Cancellazione dei dati in caso di cessazione. Nella misura in cui:
(a)Google LLC agisca in qualità di importatore di dati e il Cliente agisca in qualità di esportatore di dati ai sensi delle CCS del Titolare; e
(b)il Cliente risolva il Contratto in conformità con la Clausola 16 (c) delle CCS del Titolare, ai fini della Clausola 16 (d) delle CSS del Titolare, il Cliente ordini a Google di cancellare i Dati Personali del Titolare e, a meno che le leggi europee non richiedano la conservazione, Google faciliterà tale cancellazione non appena ciò sarà ragionevolmente possibile e nella misura in cui tale cancellazione sia consentita (tenendo conto del fatto che Google è un Titolare indipendente di tali dati, nonché della natura e della funzionalità dei Servizi del Titolare).
6.Responsabilità in caso di applicazione delle CCS del Titolare.
Qualora trovino applicazione le CCS del Titolare ai sensi del paragrafo 5 (CCS del Titolare del trattamento) del presente Allegato 1A, la responsabilità solidale complessiva di:
(a)Google, Google LLC e Google Ireland Limited nei confronti del Cliente; e
(b)del Cliente nei confronti di Google, Google LLC e Google Ireland Limited,
ai sensi o in connessione con il Contratto e con le CCS del Titolare associate sarà soggetta alla Sezione 5 (Responsabilità). La Clausola 12 delle CCS del Titolare non pregiudica quanto stabilito nella precedente disposizione.
7.Terze Parti Beneficiarie.
Qualora Google LLC e/o Google Ireland Limited non siano parte del Contratto, ma siano parte delle CCS del Titolare applicabili ai sensi del paragrafo 5 (CCS del Titolare del trattamento) del presente Allegato 1A, Google LLC e/o Google Ireland Limited (a seconda dei casi) saranno considerate Terze Parti Beneficiarie in riferimento alle disposizioni della Sezione 4.3 (Titolari finali), e del paragrafo 3 (Titolari finali di Google), 5 (CCS del Titolare) e 6 (Responsabilità in caso di applicazione delle CCS del Titolare) del presente Allegato 1A. In caso di conflitto o incongruenza del presente paragrafo 7 (Terze Parti Beneficiarie) con qualsiasi altra clausola del Contratto, il presente paragrafo 7 prevarrà.
8. Precedenza
8.1In caso di conflitto o incoerenza tra le CCS del Titolare, il presente Allegato 1A, il resto dei presenti Termini applicabili al Titolare del trattamento e/o il resto del Contratto, allora le CCS del Titolare prevarranno.
8.2Clausole commerciali aggiuntive. Fatte salve le modifiche apportate ai presenti Termini applicabili al Titolare del trattamento, il Contratto rimane pienamente valido ed efficace. I paragrafi dal 5.5 (Come contattare Google; Dati del Cliente) al 5.7 (Cancellazione dei dati in caso di cessazione) e il paragrafo 6 (Responsabilità in caso di applicazione delle CCS del Titolare) del presente Allegato 1A sono clausole commerciali aggiuntive relative alle CCS del Titolare, come previsto dalla Clausola 2 (a) (Validità e invariabilità delle Clausole) delle CCS del Titolare.
8.3Immodificabilità delle CCS del Titolare. Nessuna disposizione nel presente Contratto (inclusi i presenti Termini applicabili al Titolare del trattamento) è intesa a modificare o contraddire le CCS del Titolare o pregiudicare i diritti o le libertà fondamentali degli interessati ai sensi della Normativa europea sulla Protezione dei Dati.
1. Introduzione
Google potrà offrire e il Cliente potrà attivare determinate impostazioni, configurazioni o altre funzionalità nel prodotto per i Servizi del Titolare del trattamento in relazione al trattamento dati limitato, come descritto nella documentazione di supporto disponibile all'indirizzo business.safety.google/rdp, aggiornata regolarmente ("Trattamento dati limitato" o “TDL”). Il presente Allegato 1B riflette l’accordo delle parti sul trattamento dei Dati personali del Cliente e dei Dati sensibili anonimizzati (come definiti di seguito) ai sensi del Contratto in relazione alle Leggi statali sulla privacy degli Stati Uniti, ed è efficace esclusivamente nella misura in cui si applica ciascuna Legge statale sulla privacy degli Stati Uniti.
2. Definizioni e interpretazioni aggiuntive
Nel presente Allegato 1B:
(a) Per “Dati personali del Cliente” si intendono i dati personali trattati da Google per conto del Cliente nell'ambito della prestazione, da parte di Google, dei Servizi del Titolare del trattamento.
(b)Per "Dati anonimizzati" si intendono le informazioni "anonimizzate" (come definite dal CCPA) e i "dati anonimizzati" (come definiti da altre Leggi statali sulla privacy degli Stati Uniti), quando divulgate da una parte all'altra.
(c) Per "Istruzioni" si intendono, collettivamente, le Istruzioni del Cliente a Google per il trattamento dei Dati personali del Cliente come consentito dalle Leggi statali sulla privacy degli Stati Uniti: (a) di fornire i Servizi del Trattamento dati limitato e la relativa assistenza tecnica; (b) come ulteriormente specificato in merito all'utilizzo da parte del Cliente dei Servizi TDL (incluse le impostazioni e altre funzionalità dei Servizi del Trattamento dati limitato) e della relativa assistenza tecnica; (c) come documentato nel modulo del Contratto incluso il presente Allegato 1B; (d) come ulteriormente documentato in ogni altra istruzione scritta fornita dal Cliente e riconosciuta da Google come istruzione ai fini del presente Allegato 1B; ed (e) di trattare i Dati personali del Cliente come consentito dalle Leggi statali sulla privacy degli Stati Uniti per i fornitori di servizi e i Responsabili del trattamento.
(d)Per "Servizi TLD" si intendono i Servizi del Titolare che operano nell'ambito del Trattamento dati limitato.
(e)"Periodo di validità" indica il periodo compreso tra la Data di validità dei Termini e la fine della fornitura da parte di Google dei Servizi del Titolare ai sensi del Contratto.
(f)I termini "commerciale", "consumatore", "informazioni personali", "vendita/e", "vendere", "fornitore di servizi" e "condividere", come utilizzati nel presente Allegato 1B hanno il significato attribuito dalle Leggi statali sulla privacy degli Stati Uniti.
(g)Il Cliente è l'unico responsabile dell'osservanza di tutte le Leggi statali sulla privacy degli Stati Uniti d'America nell'utilizzo dei Servizi Google, compreso il Trattamento dati limitato.
3. Termini delle Leggi statali sulla privacy degli Stati uniti (nell'ambito del Trattamento dati limitato).
Per quanto riguarda i Dati personali dell'Utente trattati nell'ambito del Trattamento dati limitato, e nella misura in cui una o più Leggi statali sulla privacy degli Stati Uniti si applicano al trattamento dei Dati personali del Cliente:
3.1Trattamento dei dati
3.1.1Ruoli e conformità normativa; Autorizzazione.
(a) Responsabilità del Responsabile e del Titolare del trattamento. Le parti prendono atto e accettano che:
(i)il paragrafo 7 (Oggetto e dettagli del trattamento dei dati ai sensi delle Leggi statali sulla privacy degli Stati Uniti) del presente Allegato 1B descrive l'oggetto e i dettagli relativi al trattamento dei Dati personali del Cliente;
(ii)Google è un fornitore di servizi e un Responsabile dei Dati personali del Cliente ai sensi delle Leggi statali sulla privacy degli Stati Uniti; e
(iii)il Cliente, a seconda dei casi, è Titolare o Responsabile del trattamento dei Dati personali del Cliente ai sensi delle Leggi statali sulla privacy degli Stati Uniti.
(b)Clienti Responsabili del trattamento. Se il Cliente è il Responsabile del trattamento:
(i)il Cliente garantisce su base continuativa che il Titolare del trattamento competente abbia autorizzato: (A) le Istruzioni, (B) la nomina da parte del Cliente di Google come ulteriore Responsabile del trattamento e (C) l’assegnazione da parte di Google a dei sub-responsabili come descritto nella Sezione 3.6 (Sub-responsabili) del presente Allegato 1B.
(ii)Il Cliente trasmetterà immediatamente al Titolare del trattamento competente qualsiasi comunicazione fornita da Google ai sensi dei paragrafi 3.3.2(a) (Notifica dell’incidente) e 3.6 (Sub-responsabili) del presente Allegato 1B.
(iii)Il Cliente potrà mettere a disposizione del Titolare del trattamento competente qualsiasi informazione messa a disposizione da Google ai sensi dei paragrafi 3.3.3(c) (Diritti del Cliente di eseguire audit) e 3.6 (Sub-responsabili).
3.1.2Istruzioni del Cliente. Con la stipula del presente Allegato 1B il Cliente incarica Google di trattare i Dati Personali del Cliente esclusivamente in conformità alle Istruzioni.
3.1.3Conformità di Google alle Istruzioni. Google si atterrà alle istruzioni salvo che ciò sia vietato dalle Leggi statali sulla privacy degli Stati Uniti.
3.1.4 Prodotti Aggiuntivi. Se il Cliente utilizza prodotti, un servizio o un'applicazione fornita da Google o da una terza parte che: (a) non fa parte dei Servizi TDL; e (b) è accessibile per l'uso all'interno dell'interfaccia utente dei Servizi TDL o è altrimenti integrato con i Servizi TDL (un "Prodotto Aggiuntivo"), i Servizi TDL possono consentire a tale Prodotto Aggiuntivo di accedere ai Dati personali del Cliente come richiesto per l'interoperabilità del Prodotto aggiuntivo con i Servizi TDL. Per maggior chiarezza, il presente Allegato 1B non si applica al trattamento dei dati personali correlati alla fornitura dei Prodotti aggiuntivi utilizzati dal Cliente, inclusi i dati personali inviati o ricevuti da tale Prodotto Aggiuntivo.
3.2Cancellazione alla scadenza del Periodo di validità. Alla scadenza del Periodo di validità del Contratto, il Cliente richiederà a Google di cancellare tutti i Dati personali del Cliente (incluse le copie esistenti) dai sistemi di Google, ai sensi delle leggi vigenti. Google adempirà a tale richiesta in tempi ragionevolmente brevi ed entro un periodo massimo di 180 giorni, salvo che le leggi applicabili ne richiedano la conservazione.
3.3 Sicurezza dei dati
3.3.1Misure di sicurezza e assistenza di Google
(a)Misure di sicurezza di Google. Google attuerà e manterrà misure tecniche e organizzative per prevenire la distruzione, accidentale o dolosa, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato ai Dati personali del Cliente (“Misure di sicurezza”). Le Misure di sicurezza includono misure: (i) per criptare i dati personali; (ii) per contribuire al mantenimento della riservatezza, dell'integrità, della disponibilità e della capacità di recupero su base continua dei sistemi e servizi di Google; (iii) per contribuire al ripristino tempestivo dell'accesso ai dati personali in seguito a un incidente; e (iv) volte all'esecuzione periodica di test di efficienza. Google potrà di volta in volta aggiornare o modificare le Misure di sicurezza, sempre che tali interventi di aggiornamento o modifica non comportino un peggioramento della sicurezza generale dei Dati personali del Cliente.
(b)Accesso e conformità. Google garantirà che tutte le persone autorizzate al trattamento dei Dati personali del Cliente si siano impegnate alla riservatezza o siano vincolate a un adeguato obbligo di riservatezza previsto dalla legge.
(c)Assistenza di Google in materia di sicurezza. Google (tenendo conto della natura del trattamento dei Dati personali del Cliente e delle informazioni alle quali Google ha accesso) fornirà assistenza al Cliente nel garantire l’adempimento degli obblighi del Cliente (o, nel caso in cui il Cliente sia un responsabile, del titolare competente) relativamente alla sicurezza dei dati personali e alla violazione degli stessi ai sensi della Normativa applicabile in materia di Protezione dei Dati mediante:
(i)l'attuazione e il mantenimento delle Misure di sicurezza di cui al paragrafo 3.3.1(a) (Misure di sicurezza di Google);
(ii)il rispetto dei termini di cui al paragrafo 3.3.2 (Incidenti relativi ai dati); e
(iii)la fornitura al Cliente dei diritti garantiti ai sensi del paragrafo 3.3.3 (c) (Diritti del cliente di eseguire Audit)
3.3.2Incidenti relativi ai Dati
(a) Notifica dell'incidente. Qualora Google venisse a conoscenza di un Incidente relativo ai dati (come definito di seguito), provvederà a: (i) comunicarlo al Cliente tempestivamente e senza ingiustificato ritardo; e (b) adottare tempestivamente i provvedimenti necessari a minimizzare i danni e salvaguardare i Dati personali del Cliente. Nel presente Allegato 1B, per "Incidente relativo ai dati" si intende una violazione del sistema di sicurezza di Google che comporta la distruzione accidentale o dolosa, la perdita, l’alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali del cliente presenti nei sistemi gestiti o altrimenti controllati da Google. Gli “Incidenti relativi ai dati” non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali del Cliente, tra cui tentativi di accesso falliti, ping, scansioni delle porte, attacchi denial-of-service e altri tipi di attacchi di rete su firewall o sistemi di rete.
(b)Metodo di notifica. Google farà pervenire la notifica di eventuali Incidenti relativi ai dati all'Indirizzo email di notifica indicato dal cliente, tramite l'interfaccia utente dei Servizi del TDL o altri mezzi simili forniti da Google, per la ricezione di determinate notifiche concernenti il presente Allegato 1B ("Indirizzo Email di Notifica") o, a discrezione di Google (anche qualora il Cliente non abbia fornito a Google un Indirizzo Email di Notifica), mediante altra comunicazione diretta (ad esempio, per telefono o in occasione di una riunione di persona). È esclusivamente responsabilità del Cliente fornire un Indirizzo Email di Notifica e assicurarsi che tale Indirizzo email di notifica sia valido.
(c)Notifiche a terze parti. Il Cliente è il solo responsabile dell'osservanza delle leggi ad esso applicabili in relazione alla notifica degli Incidenti e dell'adempimento di obblighi di notifica a terze parti concernenti eventuali Incidenti relativi ai dati.
(d) Responsabilità di Google. La notifica o la risposta di Google che riguarda un Incidente relativo ai dati ai sensi della presente paragrafo 3.3.2 (Incidenti relativi ai dati) non dovrà essere in alcun modo intesa come un riconoscimento di responsabilità da parte di Google in merito all'Incidente relativo ai dati.
3.3.3 Responsabilità del Cliente in materia di Sicurezza e Analisi.
(a)Responsabilità del Cliente in materia di sicurezza. Il Cliente accetta che, fermi restando gli obblighi di Google di cui ai paragrafi 3.3.1 (Misure di sicurezza e assistenza di Google) e 3.3.2 (Incidenti relativi ai dati):
(i)il Cliente è responsabile del proprio uso dei Servizi TDL, tra cui: (1) l'uso adeguato dei Servizi TDL per garantire un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente; e (2) la protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dal Cliente per accedere ai Servizi TDL, e
(ii)Google non ha l'obbligo di tutelare i Dati personali del Cliente che quest’ultimo decide di archiviare o trasferire al di fuori dei sistemi di Google e dei suoi sub-responsabili.
(b)Valutazione sulla sicurezza da parte del Cliente. Il Cliente riconosce e accetta che le Misure di sicurezza attuate e mantenute da Google secondo quanto previsto al paragrafo 3.3.1 (Misure di sicurezza di Google) forniscono un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e degli scopi del trattamento dei Dati personali del Cliente, nonché dei rischi per le persone fisiche.
(c)Diritti del Cliente di eseguire audit.
(i) Il Cliente può condurre un audit per verificare la conformità di Google ai suoi obblighi ai sensi del presente Allegato 1B, richiedendo ed esaminando (1) un certificato emesso per la verifica della sicurezza, che rifletta l'esito di un audit condotto da un revisore esterno (ad esempio, certificazione SOC 2 Type II o ISO/IEC 27001, una certificazione analoga oppure un'altra certificazione di sicurezza di un audit condotto da un revisore esterno concordato dal Cliente e da Google) entro 12 mesi dalla data della richiesta del Cliente e (2) qualsiasi altra informazione che Google ritenga ragionevolmente necessaria al Cliente per verificare tale conformità.
(ii)In alternativa, Google potrà, a sua esclusiva discrezione e in risposta ad una richiesta del Cliente, avviare un audit di terze parti per verificare la conformità di Google agli obblighi previsti dal presente Allegato 1B. Durante tale audit, Google metterà a disposizione del revisore terzo tutte le informazioni necessarie a dimostrare tale conformità. Qualora il Cliente richieda tale audit, Google potrà addebitare una commissione (basata sulle spese ragionevolmente sostenute da Google) per qualsiasi audit. Google fornirà al Cliente ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo, prima di tale audit. Il Cliente si farà carico di eventuali commissioni addebitate dai revisori esterni nominati dal Cliente per l'esecuzione di tali audit.
(iii)Nessuna disposizione del presente Allegato 1B obbliga Google a rivelare al Cliente o al suo revisore terzo, o a consentire al Cliente o al suo revisore terzo, di accedere a:
(1)dati di eventuali altri clienti di una Società Google;
(2)informazioni interne contabili o finanziarie di una Società Google;
(3)segreti commerciali di una Società Google;
(4) informazioni che, secondo la ragionevole opinione di Google, potrebbero: (A) compromettere la sicurezza di sistemi o uffici di una qualsiasi delle Società Google; o (B) comportare la violazione da parte di una qualsiasi delle Società Google dei propri obblighi ai sensi delle Leggi statali sulla privacy degli Stati Uniti, o dei propri obblighi in materia di sicurezza e/o riservatezza nei confronti del Cliente o di terze parti; o
(5)informazioni a cui il Cliente o il revisore esterno da questi nominato cerchino di accedere per ragioni estranee al dovere di buona fede nell'adempimento degli obblighi del Cliente ai sensi delle Leggi statali sulla privacy degli Stati Uniti.
3.4Assistenza con la valutazione d'impatto. Google (tenendo presenti la natura del trattamento e le informazioni a sua disposizione) fornirà assistenza al Cliente al fine di assicurare il rispetto degli obblighi dello stesso (o, nel caso in cui il Cliente sia un responsabile, del titolare competente) relativi alle valutazioni di impatto sulla protezione dei dati e a consulenze normative preliminari nella misura in cui siano richieste ai sensi delle Leggi statali sulla privacy degli Stati uniti, fornendo:
(a) la Documentazione in materia di sicurezza);
(b) le informazioni contenute nel Contratto (incluso il presente Allegato 1B); e
(c) e mettendo altrimenti a disposizione, secondo le procedure standard di Google, altri materiali attinenti alla natura dei Servizi TLD e al trattamento dei Dati personali del Cliente (ad esempio, materiali del Centro assistenza).
3.5Diritti dell'interessato
3.5.1Risposte alle richieste dell'interessato. Nel caso in cui Google dovesse ricevere una richiesta da parte di un soggetto interessato relativamente ai Dati personali del Cliente, il Cliente autorizza Google, e Google con la presente informa il Cliente che provvederà a:
(a) rispondere direttamente alla richiesta dell'interessato, secondo la funzionalità standard di un tool (se esistente) messo a disposizione degli interessati da una Società Google, e che permette a Google di rispondere in modo diretto e standardizzato a determinate richieste provenienti dagli interessati relative ai Dati personali del Cliente (per esempio, le impostazioni relative alla pubblicità online o un plug-in del browser per la disattivazione) ("Tool per gli interessati") ((se la richiesta è stata elaborata mediante un Tool per gli Interessati); o
(b) suggerire all'interessato di inoltrare la propria richiesta al Cliente, il quale sarà responsabile di rispondere a tale richiesta (se la richiesta non è stata elaborata mediante un Tool per gli interessati).
3.5.2Assistenza di Google in merito alla richiesta dell'interessato. Google fornirà assistenza al Cliente nell'adempimento dei suoi (o, nel caso in cui il Cliente sia un responsabile, del titolare di riferimento) obblighi ai sensi delle Leggi statali sulla privacy degli stati Uniti per rispondere alle richieste con cui si esercitano i diritti dell'interessato, in ogni caso tenendo conto della natura del trattamento dei Dati personali del Cliente, tramite:
(a) la fornitura della funzionalità dei Servizi TLD;
(b) l’adempimento degli impegni fissati dal paragrafo 3.5.1 (Risposte alle richieste dell'interessato); e
(c) se applicabile ai Servizi TLD, la messa a disposizione dei Tool per gli interessati.
3.5.3 Rettifica. Qualora il Cliente dovesse rendersi conto del fatto che i Dati personali del Cliente sono inesatti o non aggiornati, il Cliente avrà la responsabilità di rettificare o cancellare tali dati ove ciò sia richiesto dalle Leggi sulla privacy degli Stati Uniti, anche (ove disponibile) mediante l'utilizzo della funzionalità dei Servizi TLD.
3.6Sub-responsabili.
(a) Il Cliente autorizza in generale Google ad assumere altre entità come sub-responsabili in relazione alla fornitura dei Servizi TLD. Qualora dovesse assegnare l'incarico a un qualsiasi sub-responsabile del trattamento, Google:
(i) garantirà tramite un contratto scritto che: (1) il sub-responsabile acceda e utilizzi i Dati Personali del Cliente esclusivamente nella misura necessaria a soddisfare gli obblighi allo stesso assegnati e che ciò avvenga in conformità con il Contratto (incluso il presente Allegato 1B); e (2) ove il trattamento dei Dati personali del Cliente fosse soggetto alle Leggi statali sulla privacy degli Stati Uniti, al sub-responsabile vengano imposti gli obblighi relativi alla protezione dei dati descritti nel presente Allegato 1B;
(ii) al momento dell'assunzione di nuovi sub-responsabili, fornire una notifica di tali nuovi sub-responsabili, ove richiesto dalle Leggi statali sulla privacy degli Stati Uniti fornire inoltre al Cliente l'opportunità di opporsi a tali sub-responsabili; e
(iii) si assumerà la piena responsabilità per tutti gli obblighi del sub-responsabile, così come per tutte le sue azioni ed omissioni.
(b) Il Cliente potrà opporsi a qualsiasi nuovo sub-responsabile, recedendo liberamente dal Contratto con effetto immediato tramite notifica scritta a Google, sempre che questa sia fatta pervenire entro 90 giorni dalla comunicazione dell'ingaggio del nuovo sub-responsabile del trattamento come descritto nella Sezione 3.6(a)(ii) del presente Allegato.
3.7Contattare Google. Il Cliente potrà contattare Google in merito all'esercizio dei propri diritti ai sensi del presente Allegato 1B avvalendosi delle modalità descritte all'indirizzo privacy.google.com/businesses/processorsupport o di altri strumenti che potranno essere forniti da Google regolarmente.
4. Termini delle Leggi statali sulla privacy degli Stati Uniti
4.1Dati anonimizzati. In relazione ai Dati personali del Cliente trattati con o senza l'attivazione del Trattamento dati limitato, e nella misura in cui una o più Leggi statali sulla privacy degli Stati Uniti si applichino al trattamento dei Dati personali del Cliente, ciascuna parte rispetterà i requisiti per il trattamento dei Dati anonimizzati stabilito nelle Leggi statali sulla privacy degli Stati Uniti, rispetto a qualsiasi Dato anonimizzato che riceve dall'altra parte ai sensi del Contratto. Ai fini del presente paragrafo 4.1 (Dati anonimizzati) per Dati personali del Cliente si intende qualsiasi dato personale trattato da una parte ai sensi del Contratto, in relazione alla fornitura o all'utilizzo dei Servizi del Titolare del trattamento.
5. Obblighi di Google derivanti dal CCPA.
5.1In relazione ai Dati personali del Cliente trattati nell'ambito del Trattamento dei dati limitato e nella misura in cui il CCPA si applica a tale trattamento dei Dati personali del Cliente, Google agirà in qualità di fornitore di servizi del Cliente e, in quanto tale, salvo diversamente consentito per i fornitori di servizi ai sensi del CCPA, come ragionevolmente determinato da Google:
(a)Google non venderà né condividerà i Dati personali del Cliente ottenuti dal Cliente in relazione al Contratto;
(b)Google non conserverà, utilizzerà o divulgherà i Dati personali del Cliente (anche al di fuori del rapporto commerciale diretto tra Google e il Cliente), se non per un fine commerciale ai sensi del CCPA per conto del Cliente e per il fine specifico dell'esecuzione dei Servizi TDL, come ulteriormente descritto nella documentazione di supporto disponibile all'indirizzo business.safety.google/rdp, come regolarmente aggiornata;
(c)Google non combinerà i Dati Personali del Cliente ricevuti da, o per conto del, Cliente, con (i) informazioni personali ricevuti da, o per conto di, un'altra o più persone o (ii) informazioni personali raccolti dall'interazione di Google con un consumatore, come ulteriormente descritto nella documentazione di supporto disponibile all'indirizzo business.safety.google/rdp, salvo nella misura consentita dalla CCPA;
(d)Google tratterà tali Dati Personali del Cliente al fine specifico di eseguire i Servizi TDL, come ulteriormente descritto nel Contratto e nella documentazione di supporto (ad esempio, articoli del Centro assistenza), o come altrimenti consentito ai sensi del CCPA, e le parti convengono che il Cliente mette a disposizione di Google tali Dati Personali del Cliente per tali finii;
(e)Google consentirà di effettuare audit per verificare il rispetto da parte di Google dei propri obblighi ai sensi del presente Allegato 1B in conformità con il presente paragrafo 3.3.3 (c) (Diritti di Audit del Cliente);
(f)Google notificherà al Cliente la sua eventuale decisione di non poter più adempiere ai propri obblighi ai sensi del CCPA. La presente Sezione 5.1(f) non riduce i diritti e gli obblighi di nessuna delle due parti in altre parti del Contratto;
(g)se il Cliente ritiene ragionevolmente che Google stia trattando i Dati personali del Cliente in modo non autorizzato, il Cliente ha il diritto di notificare a Google tale convinzione tramite i metodi descritti all'indirizzo
privacy.google.com/businesses/processorsupport e le parti collaboreranno in buona fede per porre rimedio alle attività di trattamento che presumibilmente costituiscono una violazione, se necessario; e
(h)Google rispetterà gli obblighi applicabili ai sensi della CCPA e fornirà lo stesso livello di protezione della privacy richiesto dalla CCPA.
5.2 In relazione ai Dati personali del Cliente trattati senza che sia stato abilitato il Trattamento dei dati limitato, e nella misura in cui il CCPA si applica al trattamento dei Dati personali del Cliente:
(a)Google tratterà i Dati personali del Cliente al fine specifico di eseguire i Servizi del Titolare del trattamento, come ulteriormente descritto nel Contratto e nella documentazione di supporto (ad esempio, gli articoli del Centro assistenza), o come diversamente consentito dal CCPA, e le parti concordano che il Cliente renda i Dati personali del Cliente disponibili a Google per tali fini;
(b)Google consentirà gli audit per verificare la conformità di Google ai propri obblighi ai sensi del presente Allegato 1B, in conformità con il paragrafo 3.3.3(b) (Diritti del Cliente di eseguire audit).
(c)Google notificherà al Cliente la sua eventuale decisione di non poter più adempiere ai propri obblighi ai sensi del CCPA.
(d)se il Cliente ritiene ragionevolmente che Google stia trattando i propri Dati personali del Cliente in modo non autorizzato, il Cliente ha il diritto di notificare a Google tale convinzione tramite i metodi descritti all'indirizzo
privacy.google.com/businesses/processorsupport e le parti collaboreranno in buona fede per porre rimedio alle attività di trattamento che presumibilmente costituiscono una violazione, se necessario; e
(e)Google rispetterà gli obblighi applicabili ai sensi del CCPA e fornirà lo stesso livello di tutela della privacy richiesto dal CCPA.
6. Modifiche al presente Allegato 1B.
In aggiunta alla Sezione 7 dei presenti Termini applicabili al Titolare del trattamento (Modifiche ai presenti Termini applicabili al Titolare del trattamento), a seconda dei casi, Google potrà modificare il presente Allegato 1B senza preavviso qualora la modifica (a) trovi fondamento in leggi o regolamenti vigenti, ordinanze del tribunale o direttive emesse da un’autorità di regolamentazione o un’agenzia governativa o
(b) non abbia conseguenze sfavorevoli sul Cliente ai sensi delle Leggi statali sulla privacy degli Stati Uniti, sulla base di una considerazione ragionevolmente effettuata da Google.
7. Oggetto e dettagli del trattamento di dati ai sensi delle Leggi sulla privacy degli Stati Uniti
Oggetto
La fornitura, da parte di Google, dei Servizi TDL e della relativa assistenza tecnica al Cliente.
Durata del trattamento
Il Periodo di validità, congiuntamente al periodo compreso dalla scadenza dello stesso fino alla cancellazione di tutti i Dati personali del Cliente da parte di Google, ai sensi dell'allegato 1B.
Natura e scopo del trattamento
Google tratterà (incluse, se applicabili ai Servizi TLD e alle Istruzioni, le attività di raccolta, registrazione, organizzazione, strutturazione, archiviazione, modifica, recupero, utilizzo, divulgazione, combinazione, cancellazione e distruzione) i Dati personali del Cliente al fine di fornire i Servizi TLD e la relativa assistenza tecnica al Cliente ai sensi del presente Allegato 1B, o come diversamente consentito dai responsabili ai sensi delle Leggi statali sulla privacy degli Stati Uniti.
Tipi di dati personali
I Dati personali del Cliente potranno includere le tipologie di dati personali descritte ai sensi delle Leggi statali sulla privacy degli Stati Uniti.
Categorie di interessati
I Dati personali del Cliente riguarderanno le seguenti categorie di interessati:
- gli interessati di cui Google raccoglie i dati personali nell'ambito della prestazione dei Servizi TLD; e/o
- gli interessati i cui dati personali vengono trasferiti a Google dal Cliente, dietro sue istruzioni o per suo conto, in relazione ai Servizi TLD.
A seconda della natura dei Servizi TLD, i suddetti interessati potranno includere gli individui: (a) a cui è stata o sarà rivolta la pubblicità online; (b) che hanno visitato specifici siti web o applicazioni per i quali Google fornisce i Servizi TLD; e/o (c) che sono clienti o utenti dei prodotti o servizi del Cliente.