Area Legale​

Addendum all’elaborazione dei dati di LutinX.com

Ultimo Aggiornamento: 
Luglio 26, 2024

Questo Addendum sul trattamento dei dati (“DPA“) incorpora per riferimento le regole tra Lutin Technologies Ltd. (“LutinX“) e il Cliente, o altri accordi tra il Cliente e LutinX che disciplinano quando i Dati personali vengono trasferiti tra LutinX e il Cliente. Questo DPA è un accordo tra il Cliente e LutinX. Salvo diversa definizione in questo DPA o nel Contratto, tutti i termini in maiuscolo utilizzati in questo DPA avranno il significato loro attribuito nel Contratto e in questo DPA. In caso di conflitto di termini, prevarrà questo DPA.

1. Definizioni.

a. “Leggi sulla protezione dei dati applicabili” indica tutte le leggi sulla protezione dei dati, sulla privacy e sulla sicurezza dei dati applicabili al trattamento dei dati personali, inclusi, a titolo esemplificativo ma non esaustivo, GDPR; il Data Protection Act 2018 del Regno Unito (“UK GDPR”); la legge federale svizzera sulla protezione dei dati (“FADP”); il California Consumer Privacy Act del 2018, Cal. Codice civile § 1798.100-.199 (“CCPA”); o Family Educational Rights and Privacy Act (“FERPA”).

b.      “Dati del cliente” indica i dati, inclusi i Dati personali, caricati sui Servizi LutinX dal Cliente. I Dati del cliente non includono i Dati dei Partner.

c.      “Partner connesso” indica un utente che ha acconsentito a condividere i propri dati con altri utenti.

d. “Dati del Partner connesso” indica le informazioni, incluse ma non limitate ai Dati personali, dall’account LutinX di un Partner connesso che lo stesso acconsente a condividere con il Cliente.

e.      “Controllore” indica l’entità che determina le finalità ed i mezzi del Trattamento dei Dati personali.

f.”Standard di sicurezza delle informazioni di LutinX” indica gli standard di sicurezza allegati al Contratto o, se non ne sono allegati al Contratto, allegati al presente DPA come Allegato II.

g. “Dati del Partner” indica i dati di un Partner elaborati da LutinX in base a un accordo tra LutinX e tale Partner.

h. “SEE” indica lo Spazio economico europeo.

i. “GDPR” indica il Regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

j. “Trattamento” ha il significato attribuitogli nel GDPR e “trattamento”, “trattamenti” e “trattato” saranno interpretati di conseguenza.

k. “Responsabile del trattamento” indica l’entità che elabora i Dati personali per conto del Titolare del trattamento.

l. “Incidente di sicurezza” una mancata adesione di LutinX alla sicurezza dell’Allegato II che porta alla distruzione, perdita, alterazione o divulgazione non autorizzata o accesso accidentale o illecito ai Dati del cliente.

m. “Clausole contrattuali standard” o “SCC” indica l’Appendice alla Decisione di esecuzione della Commissione europea ((UE) 2021/914 del 4 giugno 2021) sulle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.

n.”Addendum del Regno Unito” indica le “Clausole obbligatorie dell’Addendum approvato, ovvero il modello di Addendum B.1.0 emesso dall’ICO e presentato al Parlamento ai sensi dell’art. 119A del Data Protection Act 2018 il 2 febbraio 2022, così come rivisto ai sensi dell’art. 18 di tali Clausole obbligatorie”.

2.     Elaborazione dei dati.

a. Ambito e ruoli. Il presente DPA si applica quando i dati personali vengono trasferiti tra LutinX e il cliente.

b. Family Educational Rights and Privacy Act (“FERPA”). Nella misura in cui il FERPA è applicabile, LutinX accetta di rispettare tutte le leggi federali e statali applicabili relative alla protezione e alla riservatezza dei dati degli studenti, inclusi, ma non limitati al FERPA. LutinX implementerà misure di sicurezza che: (a) garantiscano la sicurezza e la riservatezza dei dati del cliente; (b) proteggano da qualsiasi minaccia o pericolo previsto per la sicurezza o l’integrità di tali informazioni; e (c) proteggano dall’accesso o dall’uso non autorizzato di tali informazioni che potrebbe causare danni o inconvenienti sostanziali a qualsiasi studente. Se LutinX subappalta a una terza parte uno qualsiasi dei servizi che è tenuta a svolgere in esecuzione del presente Contratto, LutinX adotterà misure ragionevoli per verificare che tali terze parti implementino pratiche che proteggano i Dati del Cliente.

c. Dettagli del Trattamento dei Dati.

i. Oggetto: L’oggetto del trattamento dei dati ai sensi del presente DPA sono i Dati del Cliente o i Dati del Guadagnatore identificabili personalmente.

ii.      Durata: Tra LutinX e il Cliente, la durata del trattamento dei dati ai sensi del presente DPA è per la Durata del Contratto.

iii. Scopo: Lo scopo del trattamento dei dati ai sensi del presente DPA è la fornitura dei Servizi.

iv. Natura del trattamento: LutinX fornirà una piattaforma per il Cliente per creare, gestire, emettere e utilizzare le Credenziali.

v.     Categorie di dati personali: Dati del cliente caricati sui Servizi tramite account del cliente su LutinX o dati del guadagno resi disponibili al cliente in base al consenso del guadagno applicabile.

vi. Categorie di soggetti interessati: I soggetti interessati possono includere i guadagni o i clienti del cliente, dipendenti, utenti finali e altri individui a cui il cliente ha rilasciato credenziali.

vii.      Ubicazione: LutinX memorizzerà i dati in Europa.

d. Conservazione negli Stati Uniti. Nonostante qualsiasi disposizione contraria nel presente Contratto, le Parti riconoscono che LutinX può conservare i dati personali, inclusi i dati del cliente, negli Stati Uniti e la conservazione da parte di LutinX dei dati personali negli Stati Uniti non sarà considerata una violazione della presente Sezione né creerà un diritto di azione ai sensi del presente Contratto.

e.       Conservazione in Europa. LutinX archivia i dati personali dei cittadini europei in Germania e nell’Unione Europea.

f. Conformità alle leggi sulla protezione dei dati applicabili. Le Parti dichiarano che (a) i dati dei beneficiari saranno raccolti e trasferiti legalmente dalle leggi sulla protezione dei dati applicabili (come definite nel DPA); e (b) le Parti hanno e manterranno i sistemi e i processi in atto per garantire la conformità ai termini dell’Accordo.

g. Cooperazione tra le Parti. Le Parti si assisteranno a vicenda per ottemperare alle richieste o ai reclami degli interessati o delle autorità di vigilanza in merito alla conformità alle leggi sulla protezione dei dati applicabili sui dati dell’utente. Le Parti si notificheranno a vicenda eventuali richieste, indagini, attività di monitoraggio e misure simili intraprese dalle autorità di vigilanza in merito alla gestione dei dati personali ai sensi del presente DPA.

3.     Istruzioni per il cliente.

Le parti concordano che il presente DPA e l’Accordo costituiscono le istruzioni documentate del Cliente in merito all’elaborazione dei Dati del Cliente da parte di LutinX (“Istruzioni documentate”). LutinX elaborerà i Dati del Cliente solo tramite Istruzioni documentate. Il Cliente dovrà ottenere tutti i consensi richiesti da qualsiasi Legge sulla protezione dei dati applicabile dai beneficiari affinché LutinX memorizzi, trasferisca ed elabori legalmente i Dati personali forniti dal Cliente a LutinX in base all’Accordo. Ulteriori istruzioni al di fuori dell’ambito delle Istruzioni documentate (se presenti) richiedono un accordo scritto preventivo tra LutinX e il Cliente, incluso l’accordo su eventuali commissioni aggiuntive pagabili dal Cliente a LutinX per l’esecuzione di tali istruzioni. Il cliente ha il diritto di recedere dal presente DPA e dall’Accordo se LutinX rifiuta di seguire le istruzioni richieste dal Cliente che sono al di fuori dell’ambito di, o modificate rispetto a, quelle fornite o concordate di essere fornite nel presente DPA.

4.     Riservatezza dei dati del cliente.

LutinX non accederà, non utilizzerà o non divulgherà a terzi i dati del cliente, salvo, in ogni caso, quanto necessario per mantenere l’Accordo o per rispettare la legge o un ordine valido e vincolante di un ente governativo (come una citazione in giudizio o un ordine del tribunale). Se un ente governativo invia a LutinX una richiesta di dati del cliente, LutinX tenterà di reindirizzare l’ente governativo per richiedere tali dati direttamente al cliente. Come parte di questo sforzo, LutinX può fornire le informazioni di contatto di base del cliente all’ente governativo. Se costretta a divulgare i dati del cliente ad un ente governativo, LutinX darà al cliente un ragionevole preavviso della richiesta per consentire al cliente di cercare un ordine di protezione o un altro rimedio appropriato, a meno che a LutinX non sia legalmente vietato di farlo.

5.     Obblighi di riservatezza del personale LutinX.

LutinX impedisce al suo personale di elaborare i Dati del Cliente senza autorizzazione da parte di LutinX. LutinX imporrà al suo personale gli obblighi contrattuali appropriati, inclusi gli obblighi pertinenti in materia di riservatezza, protezione dei dati e sicurezza dei dati.

6.     Sicurezza dell’elaborazione dei dati.

LutinX ha implementato e manterrà le misure tecniche e organizzative per i Servizi come descritto negli Standard di sicurezza delle informazioni di LutinX, allegati al presente come Allegato II dell’SCC.

7.     Sub-elaborazione.

a. Sub-fornitori autorizzati. Il Cliente accetta che LutinX possa utilizzare sub-elaborazione per adempiere ai propri obblighi contrattuali ai sensi del presente DPA o per fornire determinati servizi per suo conto. Il sito Web di LutinX elenca i sub-fornitori attualmente ingaggiati da LutinX per svolgere attività di elaborazione sui Dati del Cliente per conto del Cliente. Almeno 30 giorni prima che LutinX assuma un nuovo sub-fornitori per svolgere attività di elaborazione sui Dati del Cliente per conto del Cliente, LutinX invierà un avviso via e-mail all’indirizzo di posta elettronica di notifica indicato nel Modulo d’ordine. Se il Cliente solleva ragionevolmente obiezioni a un nuovo sub-fornitori e tale obiezione non può essere risolta in modo soddisfacente entro un periodo di tempo ragionevole, il Cliente può recedere dal presente Contratto senza penalità tramite preavviso scritto di 30 giorni a LutinX.

b. Obblighi del sub-fornitori. Laddove LutinX autorizzi un sub-fornitori come descritto nella Sezione 7(a):

i. LutinX limiterà l’accesso del sub-fornitori ai Dati del Cliente solo a quanto necessario per mantenere i Servizi o come necessario ai sensi del Contratto. LutinX proibirà al sub-fornitori di accedere ai Dati del Cliente per qualsiasi altro scopo; e

ii. LutinX stipulerà un accordo scritto con il sub-fornitori e, nella misura in cui il sub-fornitori esegue gli stessi servizi di elaborazione dati forniti da LutinX ai sensi del presente DPA, LutinX imporrà al sub-fornitori gli obblighi contrattuali appropriati che LutinX ha ai sensi del presente DPA; e

iii. LutinX rimarrà responsabile della propria conformità agli obblighi del presente DPA e per qualsiasi atto od omissione dei sub-fornitori che violi gli obblighi ai sensi del presente DPA come se fossero causati da LutinX stessa.

8. Richieste dell’interessato.

Qualora un interessato contatti LutinX in merito alla correzione o all’eliminazione dei dati del cliente, LutinX compirà sforzi commercialmente ragionevoli per indirizzare tali dati al cliente.

9. Notifica di violazione della sicurezza.

a. Incidente di sicurezza. LutinX (a) notificherà al Cliente un Incidente di sicurezza senza indebito ritardo dopo essere venuto a conoscenza dell’Incidente di sicurezza, (b) esaminerà l’Incidente di sicurezza; (c) fornirà al Cliente un riepilogo sull’Incidente di sicurezza e (d) adotterà misure ragionevoli per mitigare gli effetti derivanti dall’Incidente di sicurezza e adotterà procedure per impedire il ripetersi dell’Incidente di sicurezza.

b. Assistenza LutinX. Per assistere il Cliente in relazione a qualsiasi notifica di violazione dei dati personali che il Cliente è tenuto a effettuare ai sensi delle Leggi sulla protezione dei dati applicabili, LutinX includerà nella notifica ai sensi della sezione 7.1(a) tali informazioni sull’Incidente di sicurezza che LutinX è ragionevolmente in grado di divulgare al Cliente, tenendo conto della natura dei Servizi, delle informazioni a disposizione di LutinX e di eventuali restrizioni alla divulgazione delle informazioni, come la riservatezza. L’obbligo di LutinX di segnalare o rispondere a un incidente di sicurezza ai sensi della presente Sezione 7 non è e non sarà interpretato come un riconoscimento da parte di LutinX di alcuna colpa o responsabilità di LutinX rispetto all’incidente di sicurezza.

c. Obblighi del cliente. Laddove esista un rapporto da titolare del trattamento a titolare del trattamento tra LutinX e il cliente, il cliente dovrà notificare a LutinX senza indebito ritardo nel caso in cui si verifichi una violazione dei dati personali, come definita nel GDPR, che richieda al cliente di notificare all’autorità di vigilanza competente o ad altro regolatore e/o ai soggetti interessati.

10. Certificazioni e diritto di audit di LutinX.

a. Audit di LutinX. LutinX utilizza revisori esterni per verificare le misure tecniche, organizzative e di sicurezza, inclusa la sicurezza del centro dati fisico

11. Limitazione di responsabilità.

La responsabilità di ciascuna parte nel suo complesso derivante o correlata al presente DPA (inclusi gli SCC) sarà soggetta alle esclusioni e limitazioni di responsabilità delineate nell’Accordo. In nessun caso nessuna delle parti limiterà la propria responsabilità in merito ai diritti di protezione dei dati di un individuo ai sensi del presente DPA o in altro modo.

12. Applicazione delle clausole contrattuali standard.

a. Le clausole contrattuali standard si applicheranno ai dati del cliente trasferiti al di fuori dello SEE, del Regno Unito o della Svizzera (collettivamente, lo “SEE”), direttamente o tramite trasferimento successivo, in qualsiasi paese non riconosciuto dalla Commissione europea, dall’Information Commissioner’s Office del Regno Unito o dall’FDPIC svizzero come fornitore di un livello adeguato di protezione dei dati personali (come descritto nel GDPR o nella FADP svizzera). Le clausole contrattuali standard non si applicheranno ai dati del cliente che non vengono trasferiti, direttamente o tramite trasferimento successivo, al di fuori dello SEE.

b. Laddove i trasferimenti contemplati nella presente Sezione 10 determinino trasferimenti di Dati personali del Regno Unito a LutinX per l’elaborazione da parte di LutinX in una giurisdizione diversa dal Regno Unito o dai paesi approvati dall’Information Commissioner’s Office del Regno Unito che forniscono una protezione dei dati “adeguata”, ciascuna parte concorda che (a) si applichi l’Addendum del Regno Unito per i trasferimenti di Dati personali del Regno Unito; e (b) l’Addendum del Regno Unito sarà ritenuto eseguito da e tra il Cliente e LutinX; e (c) le SCC tra le parti saranno considerate modificate come specificato nell’Addendum del Regno Unito in relazione al trasferimento di tali Dati personali del Regno Unito. L’Information Commissioner del Regno Unito è l’autorità di vigilanza esclusiva per i trasferimenti di Dati personali del Regno Unito ai sensi del presente Contratto.

c.Laddove i trasferimenti contemplati nella presente Sezione 10 determinino trasferimenti di Dati personali svizzeri a LutinX per l’elaborazione da parte di LutinX in una giurisdizione diversa dall’EAA, ciascuna parte concorda che (a) i riferimenti nelle SCC a uno “stato membro” o all'”UE” saranno considerati come comprensivi della Svizzera; e (b) le SCC tra le parti saranno considerate modificate in quanto l’FDPIC svizzero è l’autorità di vigilanza esclusiva per i trasferimenti di Dati personali svizzeri ai sensi del presente Contratto.

d. Se le Clausole contrattuali standard vengono modificate, sostituite o abrogate dalla Commissione europea o in altro modo ai sensi delle Leggi sulla protezione dei dati, le Parti collaboreranno in buona fede per stipulare una versione aggiornata o negoziare in buona fede una soluzione per consentire un trasferimento di Dati personali da condurre in conformità con le Leggi sulla protezione dei dati. Entrambe le Parti possono recedere dal Contratto con un preavviso scritto di 30 giorni se le Parti non sono in grado di implementare o non riescono a implementare un’altra salvaguardia appropriata per garantire un livello adeguato di protezione dei dati entro 90 giorni.

13.     Risoluzione del DPA.

Il presente DPA resterà in vigore fino alla risoluzione del Contratto (la “Data di risoluzione”).

14.     Restituzione o eliminazione dei dati del cliente.

Fino alla data di risoluzione, il cliente continuerà ad avere la possibilità di recuperare o eliminare i dati del cliente ai sensi della presente sezione. Per 90 giorni dalla data di risoluzione, il cliente può eliminare o recuperare per l’esportazione o scaricare qualsiasi dato del cliente dai servizi, in base ai termini e alle condizioni stabiliti nel contratto, a meno che non sia vietato dalla legge o dall’ordine di un ente governativo o normativo o potrebbe esporre LutinX o le sue affiliate a responsabilità. Entro e non oltre la fine di questo periodo di 90 giorni, il cliente chiuderà tutti gli account LutinX. LutinX eliminerà i dati del cliente quando richiesto dal cliente. Dopo tale periodo di 90 giorni, LutinX non avrà alcun obbligo di conservare i dati del cliente e potrà quindi eliminare o distruggere tutte le copie dei dati del cliente conservate da LutinX.

15.   Obblighi di informazione.

Laddove i Dati del Cliente diventino soggetti a confisca durante procedure fallimentari o di insolvenza, o misure simili da parte di terzi durante l’elaborazione da parte di LutinX, LutinX informerà il Cliente senza indebito ritardo. LutinX notificherà, senza indebito ritardo, a tutte le parti interessate in tale azione (ad esempio, creditori, curatore fallimentare) che tutti i Dati del Cliente sottoposti a tali procedure sono di proprietà del Cliente e area di responsabilità e che i Dati del Cliente sono a esclusiva disposizione del Cliente.

16.   Intero Accordo; Conflitto.

Salvo quanto modificato dal presente DPA, l’Accordo rimarrà pienamente valido ed efficace. In caso di conflitto tra qualsiasi altro accordo tra le parti, incluso l’Accordo e il presente DPA, i termini del presente DPA prevarranno. In caso di conflitto tra le Clausole contrattuali standard e il presente DPA, i termini delle Clausole contrattuali standard, ove applicabili, prevarranno.

 

APPENDICE

– Clausole contrattuali standard (da Titolare a Titolare) Modulo 1, ove applicabile.

– Clausole contrattuali standard (da Titolare a Responsabile) Modulo 2, ove applicabile.

Laddove applicabile ai sensi del DPA, le parti stipulano con la presente il Modulo 1 o 2 delle Clausole contrattuali standard, ove applicabile, e laddove le SCC richiedono alle parti di scegliere tra clausole facoltative e di immettere informazioni, le parti hanno provveduto come indicato di seguito:

1.     La Clausola facoltativa 7 “Clausola di docking” non deve essere adottata.

2.     Per la Clausola 9 “Utilizzo di sub-responsabili”, le parti scelgono la seguente opzione:

“Opzione 2 Autorizzazione scritta generale: l’importatore di dati ha l’autorizzazione generale del titolare per l’impiego di sub-responsabili da un elenco concordato. L’importatore di dati deve informare specificamente il titolare del trattamento per iscritto di eventuali modifiche previste a tale elenco mediante l’aggiunta o la sostituzione di sub-responsabili almeno 30 giorni di calendario in anticipo, dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima dell’impegno del/i sub-responsabile/i. L’importatore di dati deve fornire al titolare del trattamento le informazioni necessarie per consentire al titolare del trattamento di esercitare il proprio diritto di opposizione. L’importatore di dati deve informare l’esportatore di dati dell’impegno del/i sub-responsabile/i.

3.     Per la clausola 11 (a) “Ricorso”, le parti non adottano l’opzione.

4.     Per la clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione:

“Opzione 1.  Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, a condizione che tale legge consenta diritti di terzi beneficiari. Le parti concordano che questa sarà la legge della Svizzera”.

5.     Per la clausola 18 (b) “Scelta del foro e della giurisdizione”:

“Le parti concordano che saranno i tribunali della Svizzera”.

ALLEGATO I (applicabile solo al Modulo 2)

1.     ELENCO DELLE PARTI

a)     Esportatore di dati: l’esportatore di dati è l’entità identificata come “Cliente” nel DPA

b)    Importatore di dati: l’importatore di dati è Lutin Technologies Ltd, fornitore di servizi web.

2.     DESCRIZIONE DEL TRASFERIMENTO

a)     Interessati: gli interessati sono definiti nella Sezione 2.4(f) del DPA.

b)    Categorie di dati: I dati personali sono definiti nella Sezione 2.4(e) del DPA.

c)     Operazioni di elaborazione: Le operazioni di elaborazione sono definite nella Sezione 2.4(d) del DPA.

d)    Frequenza: Continuo

C. AUTORITÀ DI CONTROLLO COMPETENTE

Commissione per la protezione dei dati

ALLEGATO II – MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI – clicca qui