Informativa sul Profilo Professionale

I professionisti della casa (“professionisti”) hanno la possibilità di creare un profilo professionale su Houzz. Ai sensi delle Condizioni di Utilizzo di Houzz (compreso il Regolamento sull’Utilizzo Consentito) e della presente Informativa sul Profilo Professionale, i professionisti possono avvalersi di queste funzioni disponibili sulla nostra piattaforma per promuovere la loro attività. Trova qui maggiori informazioni in merito.

I professionisti di Houzz devono trattare gli altri con rispetto, rispondere ai clienti attuali e potenziali e condurre attività commerciali in conformità con le leggi e le normative applicabili.

Creando un profilo professionale (inclusa la rivendicazione di un profilo professionale non rivendicato), riconosci e accetti quanto segue nei confronti di Houzz Inc.:

  1. Persona autorizzata. Sei un dirigente o un dipendente autorizzato a creare un profilo professionale per il professionista in questione. Sei responsabile per qualsiasi attività legata al tuo account, comprese le conseguenze della tua scelta di condividere le credenziali del tuo account, di non mantenerle riservate o non aggiornare le credenziali.

  2. Informazioni affidabili.

    1. Ti impegni a fornire informazioni affidabili, veritiere e complete relative alla tua attività e a tenere aggiornate tali informazioni;
    2. Ti impegni a creare un solo profilo professionale per ogni località in cui la tua attività è presente;
    3. Ti impegni a selezionare una categoria professionale che descrive in maniera precisa i tuoi prodotti e servizi; e
    4. I profili professionali creati per categorie professionali non supportate da Houzz saranno rimossi senza preavviso.

  3. Informazioni sull’abilitazione professionale. Se la tua professione o attività richiedono un’abilitazione professionale, accetti di fornire tutte le informazioni relative all’abilitazione necessarie per pubblicizzare la tua attività online su Houzz. Inoltre, sei responsabile per l’affidabilità e l’aggiornamento di tutte le informazioni sull’abilitazione professionale da te fornite.

  4. Progetti. Riconosci che tutti i progetti pubblicati sul tuo profilo professionale rappresentano il tuo lavoro e accetti di non rivendicare il merito per il lavoro di altri.

  5. Rapporti di affiliazione. Houzz ti permette di indicare il tuo rapporto di affiliazione con determinate associazioni di categoria rilevanti per la tua attività. Accetti di scegliere di indicare nel tuo profilo professionale solo le organizzazioni con le quali mantieni un rapporto di affiliazione e di rimuovere immediatamente qualsiasi rapporto di affiliazione inattuale. Accetti che in determinate circostanze Houzz indichi a tuo nome il tuo rapporto di affiliazione con determinati partner dell’associazione di categoria sul tuo profilo professionale, ad es. a verifica avvenuta dell’appartenenza da parte dell’associazione di categoria.

  6. Posizionamenti non garantiti. La comparsa del tuo profilo professionale nei risultati di ricerca non è garantita e dipende da un numero di fattori, compresi senza limitazioni la popolarità e il volume di foto, recensioni e interazioni degli utenti. Houzz non garantisce posizionamenti specifici su Houzz eccezion fatta per i pacchetti di marketing a pagamento, in merito ai quali puoi trovare maggiori informazioni qui. Maggiori informazioni sui parametri principali per determinare il posizionamento o la classifica dei profili professionali sulla piattaforma Houzz sono disponibili qui.

  7. Recensioni. I clienti possono recensire la tua attività sul tuo profilo professionale. Riconosci e accetti che, sebbene tutte le recensioni sottostiano alla nostra Informativa sulle Recensioni, Houzz non rimuove recensioni negative che non violano la nostra Informativa sulle Recensioni, indipendentemente che si tratti di un professionista pagante o meno. Eccezion fatta se la rimozione è richiesta dalla legge. Se tenti di creare profili professionali nuovi o aggiuntivi per la stessa attività, ci riserviamo il diritto di linkare le tue recensioni passate ai tuoi profili professionali nuovi o aggiuntivi.

  8. Rimozione; Risoluzione. Ai sensi delle nostre Condizioni di Utilizzo, se disattivi o cancelli definitivamente il tuo profilo professionale, nel rispetto della legge applicabile, qualsiasi pubblicazione, recensione, foto o commento da te inoltrato prima della disattivazione o cancellazione può rimanere sulla piattaforma anche dopo la disattivazione o cancellazione. Houzz non monitora attivamente le attività dei nostri professionisti, sia all'interno che all'esterno della nostra Piattaforma. Tuttavia, Houzz si riserva il diritto di rimuovere il tuo profilo professionale, disattivare il tuo account, risolvere uno o tutti gli accordi che hai con Houzz o terminare uno o tutti i servizi che Houzz ti fornisce se riteniamo che tu abbia commesso un crimine (incluso se tu sei stato accusato di un crimine); se hai commesso altri comportamenti illeciti o fraudolenti legati alla tua attività (anche se non hai debita autorizzazione); se hai tenuto comportamenti offensivi, molesti o minacciosi sulla nostra piattaforma o nei confronti di Houzz o del suo personale; o se hai violato le nostre Condizioni di Utilizzo, il Regolamento sull’Utilizzo Consentito o la presente Informativa sul Profilo Professionale. Houzz manterrà una copia delle informazioni associate alla tua attività sulla piattaforma Houzz per 90 giorni dopo la disattivazione o l'eliminazione del tuo profilo professionale. A meno che non richiedi la cancellazione permanente delle informazioni associate alla tua attività sulla piattaforma Houzz, Houzz può conservare tali informazioni per un periodo di tempo più lungo a propria discrezione.

  9. Dati personali. I dati personali raccolti nel rispetto del professionista vengono gestiti da Houzz ai sensi dell’Informativa sulla Privacy di Houzz, allegata quale riferimento.

    1. Se e nella misura in cui Houzz e/o le sue affiliate trasferiscono (direttamente o tramite trasferimento successivo) dei dati personali protetti da (A) il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al Trattamento dei dati personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("RGDP"); (B) la direttiva e-privacy dell'UE (direttiva 2002/58/CE); e (C) qualsiasi legge nazionale sulla protezione dei dati emanata ai sensi o a norma di (A) ("insieme la Legge sulla protezione dei dati dell'UE"), e/o che proviene dalla Svizzera e/o dal Regno Unito in o verso qualsiasi paese o destinatario non riconosciuto dalla Commissione europea come fornitore di un livello adeguato di protezione dei dati personali (come descritto nella Legge sulla protezione dei dati dell'UE), Houzz e/o le sue affiliate trasferiranno tali dati in conformità con le Clausole contrattuali tipo per i responsabili del trattamento (come tale termine è definito dalla Legge sulla protezione dei dati dell'UE) di cui all'Allegato A. Tu accetti che Houzz e/o le sue affiliate (a seconda dei casi) siano "l’importatore di dati" e che tu (agendo per conto proprio e di tutte le affiliate) sia "l’esportatore di dati" (nonostante tu possa trovarti al di fuori dello Spazio economico europeo, della Svizzera e/o del Regno Unito).
    2. Se Houzz viene a conoscenza del fatto che qualsiasi autorità governativa (incluse le forze dell'ordine) desidera ottenere l'accesso o una copia dei dati personali raccolti in relazione ai Dati del professionista o utente ("Dati personali del professionista"), su base volontaria o obbligatoria, quindi, a meno che non sia legalmente proibito o sussista un obbligo legale che richieda diversamente, Houzz (A) informerà immediatamente il professionista, (B) informerà l'autorità governativa competente che il professionista non ha autorizzato Houzz a divulgare i Dati personali del professionista all'autorità governativa, (C) informerà l'autorità governativa competente che qualsiasi richiesta di accesso ai Dati personali del professionista deve pertanto essere trasmessa o notificata al professionista per iscritto e (D) Houzz non fornirà l'accesso ai Dati personali del professionista a meno che e fino a quando non avrà l'autorizzazione da parte del professionista. Nel caso in cui Houzz sia soggetta a un divieto legale o a un obbligo legale che gli impedisca di conformarsi integralmente ai punti da (A) a (D) di cui sopra della presente Sezione (ii), Houzz allora farà ogni sforzo ragionevole e legale per contestare tale divieto o obbligo (sebbene il professionista riconosca che tale sfida potrebbe non essere sempre ragionevole o possibile alla luce della natura, dell'ambito, del contesto e degli scopi dell'accesso previsto dell'autorità governativa). Se Houzz contesta con successo il divieto o l'obbligo, si applicheranno i punti da (A) a (D) di cui sopra nella presente Sezione (ii). In entrambi i casi, se Houzz procede con la divulgazione all'autorità governativa (con l'autorizzazione del professionista o per un obbligo legale), allora Houzz divulgherà i Dati personali del professionista solo nella misura in cui Houzz è legalmente obbligata a farlo e in conformità con un procedimento legale applicabile. La presente Sezione (ii) non si applica nel caso in cui, tenendo conto della natura, dell'ambito, del contesto e delle finalità dell'accesso previsto dell'autorità governativa ai Dati personali del professionista, Houzz ritenga ragionevole e in buona fede che sia necessario un accesso urgente per prevenire un rischio imminente di gravi danni a qualsiasi individuo. In tal caso, Houzz informerà il professionista il prima possibile dopo l'accesso e fornirà al professionista tutti i dettagli dello stesso, a meno che e nella misura in cui non sia legalmente vietato.
    3. Nella misura in cui ricevi informazioni personali mediante la nostra piattaforma (“dati degli utenti”), puoi impiegare i dati degli utenti solo per i fini previsti, cioè per rispondere alla persona in questione in modo tempestivo (anche per fornire informazioni sui tuoi servizi e fornire servizi richiesti) o in quanto autorizzato dall’utente. Ti impegni a proteggere la confidenzialità dei dati degli utenti e ad adottare misure di sicurezza adeguate per proteggere i dati degli utenti contro qualsiasi elaborazione o impiego non autorizzato o illegale dei dati degli utenti nonché contro accidentali perdite, distruzione, alterazione, rivelazione o accesso degli stessi. Puoi condividere i dati degli utenti solo se autorizzato dalla persona alla quale si riferiscono tali dati personali o con i tuoi subappaltatori, purché tu garantisca la conformità del subappaltatore a questa clausola. Fermo restando quanto sopra, non sei autorizzato a vendere i dati degli utenti, né per denaro né in cambio di altri compensi di valore. Ti impegni a trattare i dati degli utenti (comprese le tue comunicazioni con gli utenti Houzz via e-mail, telefono, SMS o altri mezzi di comunicazione) conformemente a tutte le leggi applicabili (anche riguardo al periodo durante il quale conservi dati degli utenti) e a onorare le loro richieste esercitando i loro diritti secondo le leggi applicabili (ad es. per quanto riguarda la cessazione di ulteriore contatto con l’individuo, cancellazione di dati o accesso ai dati). Se una persona con la quale non hai alcuna relazione d’affari non risponde affermativamente oppure non è ricettiva alle tue comunicazioni, ti impegni a terminare qualsiasi tipo di comunicazione con tale persona tramite la piattaforma dopo un numero ragionevole di tentativi. Se l'utente rifiuta o non è interessato a una richiesta da parte di un proprietario di casa, Houzz si riserva il diritto di rimuovere i dati utente di tale proprietario dall'account dell'utente. Comprendi e accetti di essere il mittente di e responsabile per qualsiasi comunicazione effettuata sulla piattaforma e che Houzz non è il mittente. La Piattaforma non è destinata alla trasmissione di informazioni sulle carte di pagamento o altre informazioni sensibili, salvo ove espressamente richiesto dalle funzionalità di pagamento della Piattaforma; tuttavia, Houzz non ha alcun obbligo di monitorare o limitare la trasmissione di tali informazioni sulla Piattaforma. Se ricevi richieste o reclami sulla privacy da parte di un individuo, un ente regolatore o terzi in merito all’impiego dei dati degli utenti, ti impegni a informare tempestivamente Houzz in merito a tale richiesta o reclamo e a cooperare ragionevolmente e in buona fede al fine di rispondere a tale richiesta o reclamo. Houzz limita l'accesso alle informazioni associate alla tua attività sulla Piattaforma Houzz in base alle necessità (per mezzo di informative o controlli tecnici) per gli usi identificati nell'Informativa sulla Privacy di Houzz.
  10. Preferenze di comunicazione. Si ricorda che quando crei un account su Houzz, qualsiasi preferenza di comunicazione trasmessa precedentemente a Houzz non sarà trasferita nel tuo account di Houzz. Ci riserviamo il diritto di comunicare con te usando le informazioni di contatto da te fornite oppure pubblicamente o commercialmente disponibili, anche per fornirti informazioni sui nostri servizi e prodotti nonché consigli e offerte.

  11. Trade Program e Business Program. Puoi avere i requisiti per venire accettato nell’Houzz Trade Program o nell’Houzz Business Program. Facendo domanda di partecipazione all’Houzz Trade Program o all’Houzz Business Program, accetti Termini e Condizioni di Houzz Trade Program e Houzz Business Program, inclusi all’interno della presente Informativa sul Profilo Professionale.

  12. Controversie con utenti. Acconsenti ad essere l’unico responsabile per i tuoi accordi o interazioni con gli utenti Houzz e che noi non ci assumiamo alcuna responsabilità in relazione a tali accordi e interazioni. Ci riserviamo il diritto, senza alcun obbligo, ad intervenire in qualsiasi modo in controversie tra te e qualsiasi utente Houzz.

  13. I tuoi Contenuti. Per consentire a Houzz di visualizzare il tuo profilo professionale e altrimenti fornire visibilità per il tuo lavoro, ci serve che tu ci fornisca contenuti e materiali sulla tua attività ("Contenuti del Cliente"). Tu mantieni la totale proprietà dei Contenuti del Cliente forniti a Houzz e concedi a Houzz una licenza per utilizzare tali Contenuti del Cliente come indicato nelle Condizioni di Utilizzo di Houzz in modo che Houzz possa visualizzare il tuo profilo professionale e promuovere la Piattaforma Houzz, Houzz o il tuo lavoro. È necessario che tu conceda a Houzz quella licenza e alcuni altri diritti dettagliati nelle Condizioni di Utilizzo di Houzz in modo che le azioni tecniche che intraprendiamo nel funzionamento della Piattaforma Houzz non siano considerate violazioni legali. Ad esempio, le leggi sul copyright potrebbero impedirci di elaborare, mantenere, archiviare, eseguire il backup e distribuire determinati contenuti (come le tue proposte ai clienti), a meno che tu non ci conceda tali diritti. Inoltre, utilizziamo fornitori di servizi, come i servizi di web hosting, che devono ricevere i contenuti per poter utilizzare la Piattaforma Houzz. Al fine di mantenere un'esperienza coerente per gli altri nella comunità che possono visualizzare i nostri articoli editoriali che presentano le tue foto o che possono aver salvato le tue foto nei loro Ideabook, le tue foto e i contenuti pubblici rimangono sulla nostra Piattaforma dopo la chiusura dell'account.

Per i clienti dell'Unione Europea, Houzz utilizza i tuoi contenuti come fornitore di servizi di intermediazione online ai sensi del Regolamento europeo sulla piattaforma per le relazioni commerciali ("P2B")* per includere la tua attività nel nostro strumento di Project Match che abbina proprietari di case a professionisti.
*Regolamento (UE) 2019/1150 del Parlamento Europeo e del Consiglio, del 20 giugno 2019, sulla promozione dell'equità e della trasparenza per gli utenti commerciali di servizi di intermediazione online

In vigore dal 30 agosto 2021


ALLEGATO A

CLAUSOLE CONTRATTUALI TIPO – MODULO UNO: TRASFERIMENTI DA CONTROLLORE A CONTROLLORE (C2C)


SEZIONE I

Clausola 1
Scopo e ambito di applicazione
  1. Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)1 in caso di trasferimento di dati personali verso un paese terzo.
  2. Le parti:
    1. la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le «entità») che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito «esportatore»), e
    2. la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito «importatore»)

    hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»).

  3. Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
  4. L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle clausole
  1. Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
  2. Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.
Clausola 3
Terzi beneficiari
  1. Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
    1. clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;
    2. clausola 8 - clausola 8.5, lettera e), e clausola 8.9, lettera b);
    3. clausola 9 - [non applicata nel Modulo uno (C2C) delle Clausole contrattuali tipo];
    4. clausola 12 - clausola 12, lettere a) e d);
    5. clausola 13;
    6. clausola 15.1, lettere c), d) ed e);
    7. clausola 16, lettera e);
    8. clausola 18 - clausola 18, lettere a) e b).
  2. La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4
Interpretazione
  1. Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
  2. Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
  3. Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5
Gerarchia

In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.

Clausola 6
Descrizione dei trasferimenti

I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.

Clausola 7
Clausola di adesione successiva
  1. Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A.
  2. Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A.
  3. L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.

SEZIONE II — OBBLIGHI DELLE PARTI

Clausola 8
Garanzie in materia di protezione dei dati

L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.

8.1. Limitazione delle finalità

L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B. Può trattare i dati personali per un’altra finalità soltanto:

  1. se ha ottenuto il consenso preliminare dell’interessato;
  2. se il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
  3. se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
8.2. Trasparenza
  1. Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l’importatore li informa, direttamente o tramite l’esportatore, circa:
    1. la sua identità e i suoi dati di contatto;
    2. le categorie di dati personali trattati;
    3. il diritto di ottenere una copia delle presenti clausole;
    4. qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento successivo e il motivo dello stesso in conformità della clausola 8.7.
  2. La lettera a) non si applica se l’interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall’esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore. In quest’ultimo caso l’importatore, per quanto possibile, rende pubbliche le informazioni.
  3. Su richiesta, le parti mettono gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
  4. Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.3. Esattezza e minimizzazione dei dati
  1. Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
  2. Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’altra parte.
  3. L’importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
8.4. Limitazione della conservazione

L’importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o l’anonimizzazione2 dei dati e di tutti i backup alla fine del periodo di conservazione.

8.5. Sicurezza del trattamento
  1. L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
  2. Le parti concordano le misure tecniche e organizzative di cui all’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
  3. L’importatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
  4. In caso di una violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
  5. In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l’importatore informa l’esportatore e l’autorità di controllo competente in conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), ii) le sue probabili conseguenze, iii) le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni contestualmente, l’importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo.
  6. In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua natura, se necessario in cooperazione con l’esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l’importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest’ultimo caso, l’importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali.
  7. L’importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro.
8.6. Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all’ulteriore divulgazione.

8.7. Trasferimenti successivi

L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea3 (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. Altrimenti, il trasferimento successivo da parte dell’importatore può aver luogo solo se:

  1. è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
  2. il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
  3. il terzo stipula uno strumento vincolante con l’importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l’importatore fornisce una copia di tali garanzie all’esportatore;
  4. il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari;
  5. il trasferimento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, o
  6. qualora non ricorra nessuna delle altre condizioni, l’importatore ha ottenuto il consenso esplicito dell’interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell’identità del destinatario e dei possibili rischi di siffatto trasferimento per l’interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l’importatore informa l’esportatore e, su richiesta di quest’ultimo, gli trasmette copia delle informazioni fornite all’interessato.

Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

8.8. Trattamento sotto l’autorità dell’importatore

L’importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione.

8.9. Documentazione e rispetto
  1. Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità.
  2. Su richiesta, l’importatore mette tale documentazione a disposizione dell’autorità di controllo competente.
Clausola 9
Ricorso a sub-responsabili del trattamento
[Non applicata nel Modulo uno (C2C) delle Clausole contrattuali tipo]
Clausola 10
Diritti dell’interessato
  1. L’importatore, se del caso con l’assistenza dell’esportatore, tratta qualunque richiesta di informazioni e richiesta ricevute da un interessato in relazione al trattamento dei suoi dati personali e all’esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta di informazioni o richiesta4. L’importatore adotta misure adeguate per agevolare tali richieste di informazioni, richieste e l’esercizio dei diritti dell’interessato. Tutte le informazioni fornite all’interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
  2. In particolare, su richiesta dell’interessato, e gratuitamente, l’importatore:
    1. conferma all’interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all’allegato I; se i dati personali sono stati o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre reclamo a un’autorità di controllo conformemente alla clausola 12, lettera c), punto i);
    2. rettifica i dati inesatti o incompleti dell’interessato;
    3. cancella i dati personali dell’interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o se l’interessato revoca il consenso su cui si basa il trattamento.
  3. Qualora l’importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.
  4. L’importatore non prende alcuna decisione basata unicamente sul trattamento automatizzato dei dati personali trasferiti (di seguito «decisione automatizzata»), che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell’interessato o se autorizzato in tal senso dalla legislazione del paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell’interessato. In tal caso l’importatore, se necessario in cooperazione con l’esportatore:
    1. informa l’interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e
    2. attua garanzie adeguate, consentendo almeno all’interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano.
  5. Qualora le richieste dell’interessato siano eccessive, in particolare per il carattere ripetitivo, l’importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell’accoglimento della richiesta o rifiutarsi di soddisfare la richiesta.
  6. L’importatore può rifiutare la richiesta dell’interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679.
  7. Se l’importatore intende rifiutare la richiesta dell’interessato, informa quest’ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all’autorità di controllo competente e/o di proporre ricorso giurisdizionale.
Clausola 11
Ricorso
  1. L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
  2. In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
  3. Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
    1. proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
    2. deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
  4. Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
  5. L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
  6. L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12
Responsabilità
  1. Ciascuna parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
  2. Ciascuna parte è responsabile nei confronti dell’interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore a norma del regolamento (UE) 2016/679.
  3. Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
  4. Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera c), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
  5. L’importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13
Controllo
  1. L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
  2. L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.

SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE

Clausola 14
Legislazione e prassi locali che incidono sul rispetto delle clausole
  1. Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
  2. Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
    1. le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
    2. la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili5,
    3. qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
  3. L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
  4. Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
  5. L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a).
  6. A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
Clausola 15
Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
15.1. Notifica
  1. L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
    1. riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
    2. viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
  2. Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
  3. Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.).
  4. L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
  5. Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2. Riesame della legittimità e minimizzazione dei dati
  1. L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).
  2. L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente.
  3. Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.

SEZIONE IV — DISPOSIZIONI FINALI

Clausola 16
Inosservanza delle clausole e risoluzione
  1. L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
  2. Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
  3. L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
    1. l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
    2. l’importatore violi in modo sostanziale o persistente le presenti clausole; o
    3. l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.

    In tali casi, informa l’autorità di controllo competente di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.

  4. I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
  5. Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17
Legge applicabile

Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella della Germania.

Clausola 18
Scelta del foro e giurisdizione
  1. Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
  2. Le parti convengono che tali organi giurisdizionali sono quelli della Germania.
  3. L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
  4. Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.


1 Qualora l’esportatore sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un’istituzione o di un organo dell’Unione in qualità di titolare del trattamento, l’utilizzo delle presenti clausole quando è fatto ricorso a un altro responsabile del trattamento (sub-responsabile del trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Si tratta, in particolare, del caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella decisione 2021/915.

2 Questo richiede di rendere anonimi i dati in modo tale che la persona non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679, e che tale processo sia irreversibile.

3 L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.

4 Tale termine può essere prorogato al massimo di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. L’importatore informa debitamente e prontamente l’interessato di tale proroga.

5 Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle presenti clausole, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale. Tali elementi possono includere un’esperienza pratica pertinente e documentata in casi precedenti di richieste di comunicazione da parte di autorità pubbliche, o l’assenza di tali richieste, per un periodo di tempo sufficientemente rappresentativo. Si tratta in particolare di registri interni o altra documentazione, elaborati su base continuativa conformemente alla dovuta diligenza e certificati a livello di alta dirigenza, sempre che tali informazioni possano essere lecitamente condivise con terzi. Qualora per concludere che all’importatore non sarà impedito di rispettare le presenti clausole si faccia affidamento su questa esperienza pratica, essa deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se tali elementi, congiuntamente, abbiano un peso sufficiente in termini di affidabilità e rappresentatività per sostenere tale conclusione. In particolare, le parti devono considerare se la loro esperienza pratica è corroborata e non contraddetta da informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti.


APPENDICE

ALLEGATO I

A. ELENCO DELLE PARTI

Esportatore/i di dati:

1. Nome: Come indicato nel profilo professionale del cliente
Indirizzo: Come indicato nel profilo professionale del cliente
Nome, posizione e recapiti della persona di contatto: Come indicato nel profilo professionale del cliente
Attività relative ai dati trasferiti ai sensi delle presenti Clausole: Fornire i dati personali necessari per l'esecuzione dell'Accordo sui Servizi per Professionisti Houzz.
UFirma e data: Contemporaneamente alla sottoscrizione dell'Accordo per i servizi Houzz Pro da parte dell'Esportatore di dati, vengono concluse anche le SCC, che costituiscono parte integrante dell'Accordo sui Servizi per Professionisti Houzz.
Ruolo (titolare/responsabile): Titolare

Importatore/i di dati: [Identità e dettagli di contatto dell'importatore/i di dati, inclusa qualsiasi persona di contatto responsabile della protezione dei dati]

1. Nome: Houzz Inc.
Indirizzo: 285 Hamilton Avenue, Palo Alto, CA, USA 94301
Nome, posizione e recapiti della persona di contatto: EUprivacy@houzz.com
Attività relative ai dati trasferiti ai sensi delle presenti Clausole: Trattare i dati personali necessari per l'esecuzione dell'Accordo sui Servizi per Professionisti Houzz.
Firma e data: Contemporaneamente alla sottoscrizione dell'Accordo sui Servizi per Professionisti Houzz da parte dell'Esportatore di dati, vengono concluse anche le SCC, che costituiscono parte integrante dell'Accordo sui Servizi per Professionisti Houzz.
Ruolo (titolare/responsabile): Titolare
В. DESCRIZIONE DEL TRASFERIMENTO
Categorie di interessati i cui dati personali sono trasferiti I dipendenti, rappresentanti, fornitori, fornitori di servizi, subappaltatori, clienti e potenziali clienti dell'Esportatore di dati.
Categorie di dati personali trasferiti Dati identificativi inclusi, a titolo esemplificativo, nome e cognome, indirizzo e-mail, numero di telefono, indirizzo (aziendale o personale); dati di utilizzo online; dati di comunicazione; dati di identificazione elettronica, compresi dati sulla posizione; dati finanziari (se forniti); affiliazioni, istruzione e formazione (se presenti); e dati sulla professione e sul lavoro.
Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio rigorose limitazioni delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenimento di un registro dell'accesso ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive. N.D.
La frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o su base continuativa). Base continuativa
Natura del trattamento Raccolta, registrazione, organizzazione, conservazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo.
Finalità del trasferimento dei dati e ulteriore trattamento Esecuzione dei Servizi nonché miglioramento e personalizzazione degli stessi e della Piattaforma Houzz da parte dell’Importatore dei dati, e qualsiasi altro scopo descritto nella Sezione 2(b) e nella Sezione 10(b) dell'Accordo.
Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo Per la durata dell'account Houzz
Per i trasferimenti ai (sub)responsabili del trattamento specificare anche oggetto, natura e durata del trattamento N.D.
C. AUTORITÀ DI VIGILANZA COMPETENTE
Identificare la/le autorità di controllo competente/i in conformità alla Clausola 13 L'autorità di vigilanza competente dipende dall'ubicazione dell'esportatore di dati come indicato nel profilo professionale del cliente.

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento Viene condotta una revisione periodica della continuità aziendale tra le parti interessate in termini aziendali, di prodotto, legali e di progettazione. La sicurezza e la privacy dei dati per tutti i trattamenti di dati di terze parti vengono esaminate come parte del processo di valutazione del rischio del fornitore. Sono implementati vari controlli tecnici per garantire la sicurezza dei sistemi e dei servizi di trattamento, inclusi (a titolo esemplificativo): agenti di rilevamento e risposta degli endpoint (EDR) sugli host di produzione, agenti antivirus sugli endpoint aziendali, gestione dei dispositivi mobili (MDM) su endpoint aziendali, accesso alla produzione tramite software-defined-perimeter (SDP), ambienti di sviluppo e produzione separati e registrazione e aggregazione centralizzate degli eventi di sistema.
Misure atte ad assicurare la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico La progettazione ha implementato esportazioni regolari della piattaforma e dei dati utente dai database di runtime. Queste esportazioni vengono salvate in modo sicuro nell'archivio dei dati di archiviazione per consentirne l'accesso e il ripristino quando necessario.
Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Sistemi, applicazioni e procedure sono soggetti a periodici audit interni ed esterni; per esempio, la scansione delle vulnerabilità dell'applicazione web della piattaforma.
Misure per l'identificazione e l'autorizzazione dell'utente L'autenticazione per i sistemi viene gestita tramite un'autenticazione unica (Single-Sign-On) centralizzata con criteri definiti per la solidità delle credenziali e l'autenticazione a più fattori. L'autorizzazione alle funzionalità sensibili della piattaforma è limitata tramite ruoli definiti al personale con autorità e all’accesso in base a procedure documentate.
Misure per la protezione dei dati durante la trasmissione L'accesso alla piattaforma (es. siti web e applicazioni native) è consentito solo tramite connessioni client crittografate (protocollo HTTPS). Sono supportati solo gli schemi di crittografia sicuri (ad esempio, TLS v1.1 e versioni precedenti e SSL non sono supportati a causa di vulnerabilità note).
Misure per la protezione dei dati durante la conservazione I dati sensibili sono protetti in sistemi che utilizzano crittografia di tipo avanzato. L'accesso ai sistemi di produzione avviene tramite software-defined-perimeter (SDP) e gestione degli account con autenticazione unica centralizzata. L'accesso all'account IaaS applica le migliori pratiche per l'autenticazione, inclusa l'autenticazione a più fattori e la rotazione delle chiavi.
Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali Per l'ingresso fisico è necessario l'accesso alla chiave elettronica individuale.
Misure per garantire la registrazione degli eventi Gli analisti dei dati e il Responsabile della governance dei dati eseguono un monitoraggio, revisione e correzione continui dell'elaborazione degli eventi e della qualità dei dati.
Misure per la governance e la gestione della sicurezza informatica e del sistema informatico interno Le politiche e le procedure sono implementate e riviste regolarmente dal Responsabile di progettazione, dal Responsabile dei sistemi informatici e dal Responsabile della sicurezza
Misure per garantire la minimizzazione dei dati Si tengono regolari revisioni dei prodotti e sessioni di consultazione tra i team legali, di prodotto e di progettazione.
Misure per garantire una conservazione dei dati limitata La politica di conservazione dei dati definita viene rivista regolarmente dai responsabili legali e di progettazione, dal Responsabile dei sistemi informatici e dal Responsabile della sicurezza.
Misure per consentire la portabilità dei dati e garantirne la cancellazione Le politiche e le procedure del programma sulla privacy dei dati vengono riviste regolarmente dal Responsabile del programma sulla privacy e dal Responsabile di progettazione.

Per i trasferimenti a (sub-)responsabili, descrivere anche le misure tecniche e organizzative specifiche che il (sub-)responsabile deve adottare per poter fornire assistenza al titolare e, per i trasferimenti da un responsabile a un sub-responsabile, all'esportatore di dati

N.D. N.D.