ADDENDUM SUL TRATTAMENTO DEI DATI

Data di entrata in vigore: 25 maggio 2018

Il presente Addendum sul trattamento dei dati è richiamato nella Sezione 7, e costituisce parte integrante, dei Termini di servizio di AdRoll e di qualsiasi Addendum per prodotto applicabile (“Termini di servizio”). Il presente Addendum è efficace a decorrere dal momento dell'accettazione dei Termini di servizio.

Laddove i Dati trattati ai sensi dei Termini di servizio siano soggetti alla Legge applicabile in materia di protezione dei dati, i Clienti possono sottoscrivere il presente Addendum sul trattamento dei dati (che incorpora le Clausole contrattuali tipo della Commissione europea): (i) per proteggere i Dati in conformità ai requisiti della Legge applicabile in materia di protezione dei dati; e (ii) per fornire adeguate garanzie relativamente ai Dati che possono essere trattati al di fuori del territorio europeo.

Il presente Addendum sul trattamento dei dati riflette l'accordo delle parti per quanto riguarda i termini che disciplinano il trattamento dei Dati ai sensi dei Termini di servizio.

1. DEFINIZIONI

  • “titolare del trattamento”, “responsabile del trattamento”, “interessato”, “dati personali”, “trattamento” (e “trattare”) e “categorie particolari di dati personali” avranno i significati attribuiti nella Legge applicabile in materia di protezione dei dati; e
  • “Legge applicabile in materia di protezione dei dati” significherà: (i) anteriormente al 25 maggio 2018, la direttiva UE sulla protezione dei dati (direttiva 95/46/CE); (ii) posteriormente al 25 maggio 2018, il regolamento generale sulla protezione dei dati dell'UE (regolamento 2016/679); (iii) la direttiva UE e-Privacy (direttiva 2002/58/CE); (iv) qualsiasi normativa nazionale emanata ai sensi di una qualsiasi delle normative di cui ai punti (i), (ii) o (iii); e (v) qualsiasi legge che modifica o sostituisce le normative di cui ai punti (i), (ii), (iii) o (iv).
  • Qualsiasi altro termine avente iniziale maiuscola non definito nel presente Addendum sul trattamento dei dati avrà lo stesso significato ad esso attribuito nei Termini di servizio.

2. RAPPORTO TRA LE PARTI

Il Cliente (il “Titolare del trattamento”) nomina AdRoll, Inc. operante con la denominazione di AdRoll Group (“AdRoll”) come responsabile del trattamento per trattare i dati personali descritti nella Sezione 7.1 dei Termini di servizio tra le parti (i “Dati”) per le finalità descritte nei Termini di servizio (o come diversamente concordato per iscritto dalle parti) (la “Finalità consentita”). Ciascuna parte deve rispettare gli obblighi a cui è soggetta ai sensi della Legge applicabile in materia di protezione dei dati. Se il Titolare del trattamento viene a conoscenza che il trattamento per la Finalità consentita viola la Legge applicabile in materia di protezione dei dati, dovrà tempestivamente informare ad AdRoll.

3. DATI VIETATI

Il Titolare del trattamento non dovrà divulgare (e non dovrà consentire a nessun interessato di divulgare) alcuna categoria particolare di dati personali ad AdRoll per il trattamento.

4. TRASFERIMENTI INTERNAZIONALI

AdRoll non dovrà trasferire i Dati al di fuori del territorio europeo a meno che non abbia adottato misure necessarie a garantire che il trasferimento sia conforme alla Legge applicabile in materia di protezione dei dati. Tali misure possono includere (senza limitazioni) il trasferimento dei Dati ad un destinatario situato in un paese che la Commissione europea abbia ritenuto idoneo a garantire un'adeguata protezione dei dati personali, ad un destinatario che si trovi nel territorio degli Stati Uniti d'America il quale detenga una certificazione ai sensi dello EU-US Privacy Shield valida e aggiornata, ad un destinatario che abbia ottenuto l'autorizzazione delle binding corporate rulesin conformità alla Legge applicabile in materia di protezione dei dati, o ad un destinatario che abbia sottoscritto clausole contrattuali tipo adottate o approvate dalla Commissione europea.

5. CLAUSOLE CONTRATTUALI TIPO

Al fine di assicurare che siano fornite adeguate garanzie ai dati personali trasferiti dal Titolare del trattamento ad AdRoll, le parti con il presenteincorporano le Clausole contrattuali tipo per i trasferimenti dal titolare del trattamento al responsabile del trattamento approvate dalla Commissione europea nella decisione 2010/87/UE nella loro interezza, soggette alle seguenti condizioni: (a) Le Appendici 1 e 2 delle Clausole contrattuali tipo saranno quelle specificate nell'Allegato A al presente Addendum sul trattamento dei dati; (b) AdRoll si riterrà pienamente conforme ai requisiti del subtrattamento di cui alla Sezione 11 delle Clausole contrattuali tipo se rispetta i requisiti della Sezione 8 del presente Addendum sul trattamento dei dati; e (c) AdRoll avrà pienamente rispettato i diritti di controllo riconosciuti al Titolare del trattamento ai sensi della Sezione 5(f) delle Clausole contrattuali tipo se rispetta i requisiti della Sezione 13 del presente Addendum sul trattamento dei dati.

6. RISERVATEZZA DEL TRATTAMENTO

AdRoll dovrà garantire che qualsiasi persona autorizzata a trattare i Dati sotto la propria autorità dovrà proteggerli in conformità agli obblighi di riservatezza del Titolare del trattamento ai sensi del presente Addendum e dei Termini di servizio.

7. SICUREZZA

AdRoll dovrà attuare adeguate misure tecniche ed organizzative come stabilito nell'allegato C per proteggere i Dati (i) dalla distruzione accidentale o illecita, e (ii) dalla perdita, alterazione, divulgazione o accesso non autorizzato (un “Incidente di sicurezza”).

8. NOMINA DI SUB-RESPONSABILI

Il Titolare del trattamento acconsente alla nomina, da parte di AdRoll, di terze parti sub-responsabili del trattamento dei Dati per la Finalità consentita, a condizione che: (i) AdRoll mantenga un elenco aggiornato dei propri sub-responsabili del trattamento da fornirsi al Titolare del trattamento su richiesta e che dovrà essere aggiornato con i dettagli di qualsiasi modifica proposta con ragionevole anticipo rispetto alla nomina o alla sostituzione di un sub-responsabile del trattamento; (ii) AdRoll imponga clausole di protezione dei dati a qualsiasi sub-responsabile del trattamento che venga nominato, richiedendo a quest’ultimo di salvaguardare i Dati assicurando il livello di protezione richiesto dalla Legge applicabile in materia di protezione dei dati e dal presente Addendum sul trattamento dei dati; e (iii) AdRoll sia responsabile per qualsiasi violazione della presente Clausola che sia causata da un atto, errore od omissione del suo sub-responsabile del trattamento. Un elenco dei sub-responsabili del trattamento approvati è riportato nell’Allegato B. Il Titolare del trattamento può opporsi alla nomina o alla sostituzione da parte di AdRoll di un sub-responsabile del trattamento prima della nomina o della sostituzione, purché tale opposizione si basi su giustificati motivi relativi alla protezione dei dati. In tal caso, AdRoll non potrà nominare o sostituire il sub-responsabile del trattamento o, se ciò non fosse possibile, il Titolare del trattamento può sospendere o risolvere i Termini di servizio (fatti salvi eventuali costi sostenuti dal Titolare del trattamento prima della sospensione o risoluzione).

9. COOPERAZIONE E DIRITTI DEGLI INTERESSATI

AdRoll dovrà fornire ragionevole e tempestiva assistenza al Titolare del trattamento (a spese di quest’ultimo) per consentire al Titolare del trattamento di rispondere a: (i) qualsiasi richiesta da parte di un interessato di esercitare uno qualsiasi dei suoi diritti ai sensi della Legge applicabile in materia di protezione dei dati (ivi compresi i suoi diritti di accesso, rettifica, opposizione, cancellazione, limitazione e portabilità dei dati, a seconda dei casi); e (ii) qualsiasi altracorrispondenza, richiesta di informazioni o reclamo ricevuto da un interessato, un’autorità di regolamentazione o un altro soggetto terzo in relazione al trattamento dei Dati. Nel caso in cui tale richiesta, corrispondenza, domanda o reclamo sia effettuata direttamente ad AdRoll, AdRoll dovrà informarne tempestivamente il Titolare del trattamento fornendo tutti i dettagli.

10. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

AdRoll dovrà fornire una ragionevole collaborazione al Titolare del trattamento (a spese del Titolare del trattamento) in relazione a qualsiasi valutazione d'impatto sulla protezione dei dati che il Titolare del trattamento sarà tenuto a svolgere ai sensi della Legge applicabile in materia di protezione dei dati.

11. INCIDENTI DI SICUREZZA

Qualora vengaa conoscenza dell’Incidente di Sicurezza conclamato , AdRoll dovrà informare il Titolare del trattamento senza indebito ritardo e dovrà fornire informazioni e cooperare in modo ragionevole con il Titolare del trattamento per consentire al Titolare del trattamento di adempiere a qualsiasi suo obbligo di segnalare la violazione di dati ai sensi della Legge applicabile in materia di protezione dei dati e in conformità alle tempistiche richieste dalla stessa. AdRoll dovrà inoltre adottare le misure e azioni idonee a porre rimedio o mitigare gli effetti dell'Incidente di sicurezza e dovrà informare il Titolare del trattamento di tutti gli sviluppi rilevanti in relazione all'Incidente di sicurezza.

12. CANCELLAZIONE O RESTITUZIONE DI DATI

Alla risoluzione o scadenza dei Termini di servizio, AdRoll dovrà (dietro istruzione scritta del Titolare del trattamento) distruggere o restituire al Titolare del trattamento tutti i Dati in suo possesso o sotto il suo controllo. Tale prescrizione non si applicherà nella misura in cui AdRoll sia tenuta dalla Legge applicabile a conservare alcuni o tutti i Dati, o i Dati che AdRoll ha archiviato in sistemi di back-up, nel tal caso AdRoll dovrà isolare e proteggere in modo sicuro tali dati da qualsiasi ulteriore trattamento, fatto salvo quanto richiesto dalla suddetta legge.

13. CONTROLLI

AdRoll dovrà rendere disponibili al Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti nel presente Addendum sul trattamento dei dati.

Il Titolare del trattamento concorda fin d’ora esercitare qualsiasi diritto di controllo ai sensi della Legge applicabile in materia di protezione dei dati (o delle Clausole contrattuali tipo incorporate per espresso rinvio nella Sezione 5) presentando richieste di controllo scritte ad AdRoll. AdRoll dovrà rispondere a tali richieste di controllo scritte da parte del Titolare del trattamento, a condizione che il Titolare del trattamento non eserciti tale diritto più di una volta all'anno.

Allegato A

Appendice 1 alle Clausole contrattuali tipo

La presente Appendice costituisce parte integrante delle Clausole contrattuali tipo.

Gli Stati membri possono integrare o specificare ulteriormente, conformemente alle loro rispettive procedure nazionali, qualsiasi ulteriore informazione che debba fare parte della presente Appendice.

Esportatore dei dati

L’esportatore dei dati è (specificare brevemente le attività pertinenti al trasferimento):

  • Il Cliente è l'esportatore dei dati che riceve Servizi in base ai Termini di servizio.

Importatore dei dati

(specificare brevemente le attività pertinenti al trasferimento):

  • AdRoll fornisce Servizi all'esportatore dei dati in base ai Termini di servizio.

Interessati

I dati personali trasferiti riguardano le seguenti categorie di interessati (specificare):

  • Clienti potenziali ed esistenti dell'esportatore dei dati

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati (specificare):

  • Informazioni di contatto, tra cui indirizzo email e qualsiasi altra informazione di contatto collegata fornita dall'esportatore dei dati all'importatore dei dati per l'esecuzione dei Servizi (ad es., nome, indirizzo, email, numero di telefono, nome della società, titolo lavorativo).

Categorie particolari di dati (se del caso)

I dati personali trasferiti riguardano le seguenti categorie particolari di dati (specificare):

  • Nessuna

Operazioni di trattamento

I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare):

  • utilizzo nel targeting e bidding per annunci da mostrarsi su siti web di editori;
  • aggregazione e analisi per migliorare i servizi dell'importatore dei dati; e
  • trasferimento e conservazione di dati personali con conservazione dell’importatore dei dati e con sub-responsabile del trattamento, Amazon Web Services.

Appendice 2 alle Clausole contrattuali tipo

La presente Appendice costituisce parte integrante delle Clausole contrattuali tipo.

Descrizione delle misure tecniche e organizzative di sicurezza attuate dall'importatore dei dati in conformità alle clausole 4, lettera d), e 5, lettera c) (o documento/normativa annesso:

Si veda l'Allegato C.

ALLEGATO B

Elenco approvato dei sub-responsabili del trattamento

Nome dell'entità Attività di trattamento Luogo
Amazon Web Services Conservazione Stati Uniti e Europa
Mailgun (applicabile solo quando il Cliente esegue Servizi email di AdRoll) Invio di email Stati Uniti

Allegato C

Allegato sulla sicurezza di AdRoll

AdRoll si impegna ad adottare, perlomeno, le seguenti misure di sicurezza e può adottare inoltre ulteriori misure per garantire un adeguato livello di sicurezza, ivi compresa la riservatezza, l'integrità e la disponibilità, tenendo conto dello stato dell'arte e dei costi di attuazione in relazione ai rischi e alla natura del servizio e dei dati che devono essere protetti:

  • Gestione dei rischi. Mantenere un programma di gestione dei rischi.
  • Politiche. Dichiarazioni di intenti su aree chiave di prevenzione dei rischi.
  • Processi operativi. Incluso:
    • controllo dei cambi;
    • risposta ad incidenti; e
    • notifica di violazioni.
  • Controllo. Registrazione centralizzata degli eventi di sicurezza per facilitare l’accertamento e la risposta agli eventi di sicurezza.
  • Gestione del personale. Gestione delle risorse umane, ivi compresi controlli dei precedenti personali.
  • Gestione di fornitori Un programma per gestire i rischi creati dall’impiego di terze parti terzi per gestire sistemi e dati.
  • Controllo dell’accesso ad aree di trattamento. Processi per impedire a persone non autorizzate di accedere alle apparecchiature di elaborazione dei dati in cui i Dati sensibili vengono trattati o utilizzati.
  • Controllo dell’accesso ai sistemi di elaborazione dei dati. Processi per impedire che i sistemi di elaborazione dei dati siano utilizzati da persone non autorizzate.
  • Limitazione d’accesso Misure atte agarantire che le persone autorizzate ad utilizzare sistemi di trattamento dei dati siano in grado di accedere ai Dati solamente nella misura e in base ai limiti contemplati dalla loro rispettiva autorizzazione di accesso e che i Dati sensibili non possano essere letti, copiati, modificati o rimossi senza autorizzazione.
  • Controllo della trasmissione. Procedure volte ad impedire che i Dati vengano letti, copiati, modificati o cancellati da parti non autorizzate durante la loro trasmissione o durante il trasporto dei supporti dei dati e per garantire che sia possibile verificare e stabilire a quali organismi è previsto il trasferimento di dati mediante infrastrutture di trasmissione dei dati.
  • Controllo della conservazione. Controlli effettuati al momento dell’archiviazione di dati sensibili.
  • Controllo dell’inserimento. Misure volte a garantire che sia possibile verificare e stabilire se e da chi i Dati sono stati immessi in sistemi di elaborazione dati o rimossi.
  • Controllo della disponibilità. Misure atte a garantire che i Dati siano protetti dadistruzione o perdita accidentale.
  • Segregazione del trattamento. Procedure volte a garantire che i Dati raccolti per scopi diversi possono essere trattati separatamente.
  • Gestione delle vulnerabilità. I sistemi vengono regolarmente controllati per individuare le vulnerabilità e qualsiasi vulnerabilità accertata viene immediatamente risolta.
  • Gestione degli incidenti. Implementazione di un sistema di gestione adeguato e appropriato degli incidenti.