Qui di seguito trovi una versione tradotta dell’Addendum sul trattamento dei dati di Mailchimp. In caso di conflitto tra i termini tradotti e la versione in inglese di tali termini, prevarrà la versione in lingua inglese.
Il presente Addendum sul trattamento dei dati (l’“Addendum”) è incorporato e soggetto ai termini e alle condizioni del Contratto tra The Rocket Science Group LLC operante sotto la denominazione Mailchimp (insieme alle sue Consociate, “Mailchimp”) e l’entità cliente che è parte del Contratto come Membro (“Cliente”).
Tutti i termini in maiuscolo non definiti nel presente Addendum avranno i significati attribuiti loro nel Contratto. A scopo di chiarezza, tutti i riferimenti al “Contratto” includeranno il presente Addendum, incluse le Clausole contrattuali tipo, ove applicabili (come qui definite).
1. Definizioni
“Consociata” indica un’entità che, direttamente o indirettamente, controlla, è controllata da o è sottoposta a controllo comune con un’entità.
“Contratto” indica i Termini di utilizzo standard di Mailchimp, o altro accordo scritto o elettronico, che disciplina la fornitura del Servizio al Cliente, come tali termini o accordi possono essere aggiornati di volta in volta.
“Controllo” indica la titolarità, il diritto di voto o una interessenza analoga che rappresenta il cinquanta per cento (50%) o più delle partecipazioni totali in circolazione dell’entità in questione. Il termine “controllato/a” sarà interpretato di conseguenza.
“Dati del Cliente” indica qualsiasi dato personale che Mailchimp tratta per conto del Cliente tramite il Servizio, come descritto in modo più particolareggiato nel presente Addendum.
“Normativa sulla protezione dei dati” indica tutte le leggi e i regolamenti applicabili al trattamento dei Dati del Cliente ad opera di una parte ai sensi del Contratto, incluse, ove applicabile, la Normativa europea sulla protezione dei dati e la Normativa non europea sulla protezione dei dati.
“Normativa europea sulla protezione dei dati” indica tutte le leggi e i regolamenti sulla protezione dei dati applicabili in Europa, compreso (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (“GDPR”); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e la tutela della privacy nel settore delle comunicazioni elettroniche; (iii) le normative nazionali di attuazione di (i) e (ii); (iv) il GDPR come fa parte del diritto del Regno Unito ai sensi della sezione 3 dello UK European Union (Withdrawal) Act 2018 e dello UK Data Protection Act 2018 (insieme, “Leggi sulla protezione dei dati del Regno Unito”); e (v) il Federal Data Protection Act svizzero del 19 giugno 1992 e la sua Ordinanza (“Legge sulla protezione dei dati della Svizzera”).
“Europa” indica, ai fini del presente Addendum, lo Spazio economico europeo e i suoi Stati membri (“SEE”), la Svizzera e il Regno Unito (“Regno Unito”).
“Normativa non europea sulla protezione dei dati” indica il California Consumer Privacy Act (“CCPA”); il Canadian Personal Information Protection and Electronic Documents Act (“PIPEDA”); la Legge generale brasiliana sulla protezione dei dati (“LGPD”), la Legge federale n. 13.709/2018; e il Privacy Act 1988 (Cth) dell’Australia, e successive modifiche (“Legge australiana sulla privacy”).
“Clausole contrattuali tipo” indica (i) le clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento adottate dalla Commissione europea nella sua Decisione di esecuzione (UE) 2021/91 del 4 giugno 2021, e attualmente reperibili qui (le “Clausole tra titolari e responsabili del trattamento del 2021”); o (ii) le clausole contrattuali tipo tra i responsabili del trattamento adottate dalla Commissione europea nella sua Decisione di esecuzione (UE) 2021/91 del 4 giugno 2021, e attualmente reperibili qui (le “Clausole tra responsabili del trattamento del 2021”); come applicabile in conformità alla Sezione 6.3.
“Incidente di sicurezza” indica qualsiasi violazione non autorizzata o illecita della sicurezza che comporti la distruzione accidentale o illecita, la perdita o l’alterazione o la divulgazione o l’accesso non autorizzati a Dati del Cliente su sistemi gestiti o altrimenti controllati da Mailchimp.
“Dati sensibili” indica (a) il numero di previdenza sociale, codice fiscale, numero di passaporto, numero di patente di guida, o identificativo analogo (o qualsiasi sua porzione); (b) numero di carta di credito o di debito (diverso dal numero troncato (ultime quattro cifre) di una carta di credito o di debito); (c) informazioni sull’occupazione, finanziarie, creditizie, genetiche, biometriche o sanitarie; (d) origine razziale, etnica, affiliazione politica o religiosa, affiliazione sindacale, informazioni sulla vita sessuale o sull’orientamento sessuale, o precedenti penali; (e) password degli account; o (f) altre informazioni che rientrano nella definizione di “categorie particolari di dati” ai sensi della Normativa sulla protezione dei dati applicabile.
“Sub-responsabile del trattamento” indica qualsiasi responsabile del trattamento incaricato da Mailchimp o dalle sue Consociate di fornire assistenza nell’adempimento dei propri obblighi in relazione alla fornitura del Servizio ai sensi del Contratto o del presente Addendum. I Sub-responsabili del trattamento possono includere terze parti o Consociate di Mailchimp, ma escluderanno dipendenti, collaboratori o consulenti di Mailchimp.
"Addendum per il Regno Unito" indica l’Addendum sul trasferimento internazionale dei dati (versione B1.0), emesso dall’Ufficio dei commissari per l’informazione ai sensi della S.119(A) del Data Protection Act 2018 del Regno Unito, come aggiornato o modificato di volta in volta.
I termini “dati personali”, “titolare del trattamento”, “interessato”, “responsabile del trattamento” e “trattamento” avranno il significato loro attribuito ai sensi della Normativa sulla protezione dei dati applicabili o, se non definite ai sensi della stessa, del GDPR e “tratta”, “trattare”" e “trattati”, in relazione a qualsiasi Dato del Cliente, saranno interpretati di conseguenza.
2. Ruoli e responsabilità
2.1 Ruoli delle Parti. Se la Normativa europea sulla protezione dei dati o la Legge generale brasiliana sulla protezione dei dati si applicano al trattamento dei Dati del Cliente ad opera di una delle parti, le parti prendono atto e convengono che per quanto riguarda il trattamento dei Dati del Cliente, Mailchimp è un responsabile del trattamento per conto del Cliente (sia esso un titolare o un responsabile del trattamento). A scanso di equivoci, il presente Addendum non si applicherà ai casi in cui Mailchimp sia il titolare del trattamento (come definito dalla Normativa europea sulla protezione dei dati), salvo diversamente descritto nell’Allegato C (Termini specifici per giurisdizione) del presente Addendum.
2.2 Limitazione della finalità. Mailchimp tratterà i Dati del Cliente, come ulteriormente descritto nell’Allegato A (Dettagli del trattamento dei dati) del presente Addendum, solo in conformità alle istruzioni lecite documentate del Cliente come stabilito nel presente, come necessario per rispettare la normativa applicabile, o come altrimenti concordato per iscritto (“Finalità consentite”). Le Parti convengono che il Contratto, compreso il presente Addendum, insieme alla configurazione o all'utilizzo di qualsiasi impostazione, funzionalità od opzione nel Servizio da parte del Cliente (come il Cliente potrà di modificare di volta in volta) costituiscono le istruzioni complete e finali del Cliente a Mailchimp in relazione al trattamento dei Dati del Cliente (incluso per le finalità delle Clausole contrattuali tipo), e il trattamento al di fuori dell’ambito di tali istruzioni (se presente) richiederà un previo accordo scritto tra le parti.
2.3 Dati vietati. Il Cliente non fornirà (o farà in modo che venga fornito) alcun Dato sensibile a Mailchimp per il trattamento ai sensi del Contratto, e Mailchimp non avrà alcuna responsabilità per Dati sensibili, sia in relazione a un Incidente di sicurezza o altrimenti. A scanso di equivoci, il presente Addendum non si applicherà ai Dati sensibili.
2.4 Conformità del Cliente. Il Cliente dichiara e garantisce che (i) ha rispettato, e continuerà a rispettare, tutte le leggi applicabili, tra cui la Normativa sulla protezione dei dati, in relazione al suo trattamento dei Dati del Cliente e a qualsiasi istruzione di trattamento che fornisca a Mailchimp; e (ii) ha fornito, e continuerà a fornire, tutte le informative e ha ottenuto, e continuerà a ottenere, tutti i consensi e i diritti necessari ai sensi della Normativa sulla protezione dei dati per consentire a Mailchimp di trattare i Dati del Cliente per le finalità descritte nel Contratto. Il Cliente sarà l’unico responsabile dell’accuratezza, della qualità e della liceità dei Dati del Cliente e dei mezzi con cui ha acquisito gli stessi. Fermo restando il carattere generale di quanto sopra, il Cliente accetta di essere responsabile del rispetto di tutte le leggi (comprese la Normativa sulla protezione dei dati) applicabili a qualsiasi Campagna (come definita nel Contratto) o ad altri contenuti creati, inviati o gestiti attraverso il Servizio, incluse quelle relative all'ottenimento di consensi (ove richiesto) per l'invio di e-mail, al contenuto delle e-mail e alle sue pratiche di distribuzione delle e-mail.
2.5 Liceità delle istruzioni del Cliente. Il Cliente garantisce che il trattamento da parte di Mailchimp dei Dati del Cliente in conformità alle istruzioni del Cliente non comporterà la violazione da parte di Mailchimp di qualsiasi legge, regolamento o norma applicabile, tra cui, a titolo esemplificativo e non esaustivo, la Normativa sulla protezione dei dati. Mailchimp informerà tempestivamente il Cliente per iscritto, a meno che non sia vietato ai sensi della Normativa europea sulla protezione dei dati, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati ricevuta dal Cliente viola la Normativa europea sulla protezione dei dati. Laddove il Cliente agisca in qualità di responsabile del trattamento per conto di un titolare del trattamento terzo (o altro intermediario del titolare del trattamento finale), il Cliente garantisce che le sue istruzioni di trattamento come stabilito nel Contratto e nel presente Addendum, comprese le sue autorizzazioni a Mailchimp per la nomina di Sub-responsabili del trattamento in conformità al presente documento, sono state autorizzate dal titolare del trattamento pertinente. Il Cliente dovrà fungere da unico punto di contatto per Mailchimp e Mailchimp non deve interagire direttamente con (incluso fornire notifiche o richiedere l’autorizzazione a) qualsiasi titolare del trattamento terzo all’infuori che nella regolare fornitura del Servizio nella misura necessaria ai sensi del Contratto. Il Cliente sarà responsabile dell’inoltro di qualsiasi notifica ricevuta ai sensi del presente Addendum al titolare del trattamento pertinente, ove appropriato.
3. Nomina di sub-responsabili del trattamento
3.1 Sub-responsabili del trattamento autorizzati. Il Cliente accetta che Mailchimp possa incaricare Sub-responsabili del trattamento per elaborare Dati del Cliente per conto del Cliente. I Sub-responsabili del trattamento attualmente incaricati da Mailchimp e autorizzati dal Cliente sono disponibili qui. Mailchimp notificherà al Cliente se aggiunge o rimuove Sub-responsabili del trattamento almeno 10 giorni prima di tali modifiche se il Cliente accetta di ricevere tali notifiche facendo clic qui.
3.2 Obblighi del Sub-responsabile del trattamento. Mailchimp dovrà: (i) stipulare un accordo scritto con ciascun Sub-responsabile del trattamento contenente obblighi di protezione dei dati che forniscano almeno lo stesso livello di protezione dei Dati del Cliente di quello del presente Addendum, nella misura applicabile alla natura del servizio fornito da tale Sub-responsabile del trattamento; e (ii) rimanere responsabile per la conformità di tale Sub-responsabile del trattamento agli obblighi di cui al presente Addendum e per eventuali azioni od omissioni di tale Sub-responsabile del trattamento che comportino la violazione da parte di Mailchimp di qualsiasi obbligo quivi previsto. Il Cliente prende atto e conviene che, ove applicabile, Mailchimp adempie ai propri obblighi ai sensi della Clausola 9 delle Clausole tra titolare del trattamento e responsabile del trattamento 2021 e delle Clausole tra responsabili del trattamento del 2021 (a seconda dei casi) rispettando la presente Sezione 3 e che a Mailchimp può essere impedito di divulgare gli accordi con Sub-responsabili del trattamento al Cliente a causa di restrizioni di riservatezza. Tuttavia, su richiesta, Mailchimp compirà ogni ragionevole sforzo per fornire al Cliente tutte le informazioni pertinenti che può ragionevolmente fornire in relazione agli accordi con i Sub-responsabili del trattamento.
4. Sicurezza
4.1 Misure di sicurezza. Mailchimp dovrà implementare e mantenere adeguate misure di sicurezza tecniche e organizzative progettate per proteggere i Dati del Cliente da Incidenti di sicurezza e per preservare la sicurezza e la riservatezza dei Dati del Cliente in conformità agli standard di sicurezza di Mailchimp descritti nell’Allegato B (“Misure di sicurezza”) del presente Addendum.
4.2 Riservatezza del trattamento. Mailchimp dovrà garantire che qualsiasi persona autorizzata da Mailchimp a trattare i Dati del Cliente (incluso il suo personale, agenti e collaboratori) sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o giuridico).
4.3 Aggiornamenti alle misure di sicurezza. Il Cliente è responsabile di esaminare le informazioni rese disponibili da Mailchimp relative alla sicurezza dei dati e di stabilire in modo indipendente se il Servizio soddisfa le necessità e gli obblighi giuridici del Cliente ai sensi della Normativa sulla protezione dei dati. Il Cliente prende atto che le Misure di sicurezza sono soggette a progresso e sviluppo tecnico e che Mailchimp può aggiornare o modificare tali Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza complessiva del Servizio fornito al Cliente.
4.4 Risposta agli Incidenti di sicurezza. Dopo essere venuta a conoscenza di un Incidente di sicurezza, Mailchimp dovrà: (i) informare il Cliente senza indebito ritardo, e ove possibile, in ogni caso entro 48 ore dal momento in cui ne viene a conoscenza; (ii) fornire informazioni tempestive relative all’Incidente di sicurezza non appena ne viene al corrente o come ragionevolmente richiesto dal Cliente; e (iii) adottare tempestivamente misure ragionevoli per contenere e indagare qualsiasi Incidente di sicurezza. La notifica o la risposta di Mailchimp a un Incidente di sicurezza ai sensi della presente Sezione 4.4 non deve essere interpretata come un’ammissione da parte di Mailchimp di qualsiasi colpa o responsabilità in relazione all’Incidente di sicurezza.
4.5 Responsabilità del Cliente. Fermo restando quanto sopra, il Cliente accetta che, fatto salvo quanto disposto dal presente Addendum, è responsabile del suo utilizzo sicuro del Servizio, compresa la protezione delle credenziali di autenticazione dell’account, la protezione della sicurezza dei Dati del Cliente durante il transito verso e dal Servizio e l’adozione di misure appropriate per crittografare o eseguire il backup sicuro di tutti i Dati del Cliente caricati nel Servizio.
5. Report e verifiche sulla sicurezza
5.1 Diritti di verifica. Mailchimp metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente Addendum e per consentire e contribuire alle verifiche e ai controlli, comprese le ispezioni da parte del Cliente al fine di valutare la conformità al presente Addendum. Il Cliente prende atto e conviene di esercitare i propri diritti di verifica ai sensi del presente Addendum (inclusa la presente Sezione 5.1 e, ove applicabile, le Clausole contrattuali tipo) e qualsiasi diritto di verifica concesso dalle Leggi sulla protezione dei dati, dando istruzioni a Mailchimp di rispettare le misure di verifica descritte nelle Sezioni 5.2 e 5.3 di seguito.
5.2 Report sulla sicurezza. Il Cliente riconosce che Mailchimp viene regolarmente sottoposta a verifica secondo gli standard leader del settore, da parte rispettivamente di revisori terzi indipendenti e revisori interni. Su richiesta scritta inoltrata qui, Mailchimp fornirà (in via riservata) una copia riassuntiva dei suoi rapporti di audit più recenti (il “Report“) al Cliente, in modo che il Cliente possa verificare la conformità di Mailchimp agli standard di audit in base ai quali è stata valutata e al presente Addendum.
5.3 Due diligence di sicurezza. Oltre al Report, Mailchimp risponderà a tutte le ragionevoli richieste di informazioni formulate dal Cliente per confermare la conformità di Mailchimp al presente Addendum, rendendo disponibili ulteriori informazioni relative al suo programma di sicurezza delle informazioni su richiesta scritta del Cliente inoltrata qui, a condizione che il Cliente non eserciti tale diritto più di una volta per anno solare. I clienti possono inviare le loro richieste qui.
6. Trasferimenti internazionali
6.1 Ubicazione dei data center. Ai sensi della Sezione 6.2, il Cliente riconosce che Mailchimp può trasferire ed elaborare i Dati del Cliente negli Stati Uniti e in qualsiasi altro luogo del mondo in cui Mailchimp, le sue Consociate o i suoi Sub-responsabili del trattamento effettuano le operazioni di trattamento dei dati. Mailchimp dovrà garantire in ogni momento che tali trasferimenti siano effettuati in conformità ai requisiti della Normativa sulla protezione dei dati e del presente Addendum.
6.2 Dati australiani. Nella misura in cui Mailchimp sia un destinatario di Dati del Cliente protetti dalla Legge australiana sulla privacy, le parti prendono atto e convengono che Mailchimp possa trasferire tali Dati del Cliente al di fuori dell’Australia, come consentito dai termini concordati dalle parti e soggetto al rispetto da parte di Mailchimp del presente Addendum e della Legge australiana sulla privacy.
6.3 Trasferimenti di dati SEE. Nella misura in cui Mailchimp sia un destinatario di Dati del Cliente protetti dal GDPR in un Paese al di fuori dello Spazio economico europeo che non è riconosciuto garantire un adeguato livello di protezione dei dati personali (come descritto nella Normativa europea applicabile sulla protezione dei dati), le parti accettano di rispettare e trattare tali Dati del Cliente in conformità alle Clausole contrattuali tipo, che saranno incorporate e costituiranno parte integrante del presente Addendum.
6.4 Trasferimenti di dati del Regno Unito. Per quanto riguarda i trasferimenti a cui si applicano le Leggi sulla protezione dei dati del Regno Unito, saranno applicate le Clausole contrattuali tipo, da considerare modificate come specificato dall’Addendum del Regno Unito. L’Addendum del Regno Unito sarà considerato sottoscritto, oltre a essere incorporato e a fare parte integrante del presente Addendum. Inoltre: Le Tabelle da 1 a 3 nella Parte 1 dell’Addendum del Regno Unito saranno considerate completate con le informazioni riportate negli Allegati I e II delle relative Clausole contrattuali tipo; e la Tabella 4 nella Parte 1 dell’Addendum del Regno Unito sarà considerata completata selezionando "nessuna delle parti".
6.5 Trasferimenti di dati svizzeri. Per quanto riguarda i trasferimenti a cui si applica l’Addendum svizzero, le Clausole contrattuali tipo saranno applicate conformemente alla Sezione 6.3 con le seguenti modifiche: (i) i riferimenti al "Regolamento (UE) 2016/679" devono essere interpretati come riferimenti all’Addendum svizzero; (ii) i riferimenti a specifici articoli del "Regolamento (UE) 2016/679" saranno sostituiti con l’articolo o la sezione equivalente dell’Addendum svizzero; (iii) i riferimenti alle leggi "UE", dell’"Unione" e degli "Stati membri" saranno sostituiti con quelli "svizzeri"; (iv) la Clausola 13(a) e la Parte C dell’Allegato Il saranno eliminate; (v) i riferimenti all’"autorità di controllo competente" e ai "tribunali competenti" saranno sostituiti con il "Commissario federale per la protezione dei dati svizzero" e i "tribunali competenti in Svizzera"; (vi) la Clausola 17 sarà sostituita per dichiarare che le "Clausole sono disciplinate dalle leggi della Svizzera"; e (vii) la Clausola 18 sarà sostituita per dichiarare che "qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali svizzeri di riferimento. Le parti accettano di sottoporsi alla giurisdizione di tali tribunali".
6.6 Conformità alle Clausole contrattuali tipo. Le parti convengono che, qualora Mailchimp non sia in grado di garantire il rispetto delle Clausole contrattuali tipo, informerà tempestivamente il Cliente al riguardo. Qualora il Cliente intenda sospendere il trasferimento di Dati europei e/o interrompere le parti interessate del Servizio, dovrà prima fornire un avviso a Mailchimp e concederle un periodo di tempo ragionevole per sanare tale non conformità, durante il quale Mailchimp e il Cliente collaboreranno ragionevolmente per concordare le eventuali misure o garanzie aggiuntive ragionevolmente necessarie. Il Cliente ha il diritto di sospendere il trasferimento dei dati e/o interrompere le parti interessate del Servizio per il mancato rispetto delle Clausole contrattuali tipo se Mailchimp non ha sanato o non può sanare la non conformità entro un periodo ragionevole.
6.7 Meccanismo di trasferimento alternativo. Inoltre, nella misura in cui Mailchimp adotti un meccanismo di trasferimento dei dati alternativo lecito per il trasferimento di Dati europei non descritto nel presente Addendum (“Meccanismo di trasferimento alternativo”), tale meccanismo si applicherà al posto di quelli quivi descritti (ma solo nella misura in cui detto meccanismo sia conforme alla Normativa europea sulla protezione dei dati applicabile e si estenda ai Paesi in cui i Dati europei sono trasferiti). Inoltre, se e nella misura in cui un tribunale della giurisdizione competente o un’autorità di controllo ordina (per qualsiasi motivo) che le misure descritte nel presente Addendum non possano essere utilizzate per trasferire lecitamente Dati europei (secondo il significato attribuito dalla Normativa europea sulla protezione dei dati applicabile), Mailchimp può implementare eventuali misure di salvaguardia aggiuntive che possano essere ragionevolmente necessarie per consentire il trasferimento lecito dei Dati europei.
7. Restituzione o eliminazione di dati
Eliminazione o restituzione alla risoluzione. In caso di risoluzione o scadenza del Contratto, Mailchimp dovrà (a discrezione del Cliente) eliminare o restituire al Cliente tutti i Dati del Cliente (comprese le copie) in suo possesso o controllo, salvo che tale requisito non si applicherà nella misura in cui Mailchimp è tenuta dalla legge applicabile a conservare alcuni o tutti i Dati del Cliente, o ai Dati del Cliente che ha archiviato su sistemi di back-up, che Mailchimp dovrà isolare in modo sicuro, proteggere da qualsiasi ulteriore trattamento ed eventualmente eliminare in conformità alle politiche di cancellazione di Mailchimp, salvo nella misura richiesta dalla legge applicabile. Le parti convengono che la certificazione dell’eliminazione dei Dati del Cliente descritta nelle Clausole 8.5 e 16(d) delle Clausole tra titolare del trattamento a responsabile del trattamento del 2021 e nelle Clausole tra responsabili del trattamento del 2021 (ove applicabile) sarà fornita da Mailchimp al Cliente solo su richiesta scritta del Cliente.
8. Diritti dell’interessato e cooperazione
8.1 Richieste degli interessati. Nell’ambito del Servizio, Mailchimp fornisce al Cliente una serie di funzionalità self-service che il Cliente può utilizzare per recuperare, correggere, eliminare o limitare l’uso di Dati del Cliente, che il Cliente potrà utilizzare al fine di assisterlo in relazione ai propri obblighi (o a quelli del suo titolare del trattamento terzo) ai sensi delle Leggi sulla protezione dei dati in relazione alla risposta alle richieste di interessati tramite l’account del Cliente senza costi aggiuntivi. Inoltre, Mailchimp, considerata la natura del trattamento, fornirà una ragionevole assistenza aggiuntiva al Cliente nella misura possibile per consentire al Cliente (o al suo titolare del trattamento terzo) di rispettare i propri obblighi di protezione dei dati in relazione ai diritti degli interessati ai sensi delle Leggi sulla protezione dei dati. Nel caso in cui una tale richiesta sia fatta direttamente a Mailchimp, Mailchimp non risponderà direttamente a tale comunicazione, salvo ove appropriato (ad esempio, per indirizzare l’interessato a contattare il Cliente) o giuridicamente previsto, senza la previa autorizzazione del Cliente. Se Mailchimp è obbligata a rispondere a una tale richiesta, Mailchimp, laddove il Cliente sia identificato o identificabile dalla richiesta, informerà tempestivamente il Cliente e fornirà al Cliente una copia della richiesta a meno che non sia giuridicamente impossibilitata a farlo. A scanso di equivoci, nulla nel Contratto (incluso il presente Addendum) limiterà o impedirà a Mailchimp di rispondere a qualsiasi richiesta di un interessato o di un’autorità garante per la protezione dei dati in relazione a dati personali per i quali Mailchimp è titolare del trattamento.
8.2 Valutazione d’impatto sulla protezione dei dati. Nella misura prevista ai sensi delle Leggi applicabili sulla protezione dei dati, Mailchimp (considerata la natura del trattamento e le informazioni a disposizione di Mailchimp) fornirà tutte le informazioni ragionevolmente richieste in relazione al Servizio per consentire al Cliente di eseguire valutazioni d’impatto sulla protezione dei dati o consultazioni previe con le autorità garanti per la protezione dei dati, come previsto dalle Leggi sulla protezione dei dati. Mailchimp si atterrà a quanto precede: (i) rispettando la Sezione 5 (Report e verifiche di sicurezza); (ii) fornendo le informazioni contenute nel Contratto, incluso il presente Addendum; e (iii) se i precedenti commi (i) e (ii) sono insufficienti affinché il Cliente possa adempiere a tali obblighi, su richiesta, fornendo ulteriore assistenza ragionevole (a spese del Cliente).
9. Termini specifici per giurisdizione
Nella misura in cui Mailchimp tratti Dati del Cliente aventi origine da e protetti dalla Normativa sulla protezione dei dati in una delle giurisdizioni elencate nell’Allegato C, si applicano i termini specificati nell’Allegato C in relazione alle giurisdizioni applicabili (“Termini specifici per giurisdizione”) in aggiunta ai termini del presente Addendum. In caso di conflitto o ambiguità tra i Termini specifici per giurisdizione e qualsiasi altro termine del presente Addendum, i Termini specifici per giurisdizione applicabili avranno la precedenza, ma solo nella misura in cui siano applicabili a Mailchimp.
10. Limitazione di responsabilità
10.1 La responsabilità complessiva di ciascuna parte e di tutte le loro rispettive Consociate, derivante da o correlata al presente Addendum (comprese le Clausole contrattuali tipo), sarà soggetta alle esclusioni e limitazioni di responsabilità stabilite nel Contratto.
10.2 Qualsiasi richiesta di risarcimento presentata nei confronti di Mailchimp o delle sue Consociate ai sensi o in relazione al presente Addendum (incluse, ove applicabile, le Clausole contrattuali tipo) sarà presentata esclusivamente dall’entità del Cliente che è una parte del Contratto.
10.3 In nessun caso le parti limiteranno la propria responsabilità in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente Addendum o altrimenti.
11. Relazione con il Contratto
11.1 Il presente Addendum sul trattamento dei dati rimarrà in vigore fino a quando Mailchimp svolgerà le operazioni di trattamento dei Dati del Cliente per conto del Cliente o fino alla risoluzione del Contratto (e fino a che tutti i Dati del Cliente sono stati restituiti o eliminati in conformità alla Sezione 7.1 di cui sopra).
11.2 Le parti convengono che il presente Addendum sostituirà qualsiasi accordo esistente sul trattamento dei dati o documento simile che le parti potrebbero aver stipulato in precedenza in relazione al Servizio.
11.3 In caso di conflitto o incongruenza tra il presente Addendum e i Termini standard di utilizzo, prevarranno le disposizioni dei seguenti documenti (in ordine di priorità): (i) le Clausole contrattuali tipo; quindi (ii) il presente Addendum sul trattamento dei dati; e successivamente (iii) i Termini standard di utilizzo.
11.4 Fatta eccezione per eventuali modifiche apportate dal presente Addendum, il Contratto rimane invariato e pienamente valido ed efficace.
11.5 Nessuno tranne una parte del presente Addendum, i loro aventi causa e cessionari autorizzati, avrà alcun diritto di far valere uno qualsiasi dei suoi termini.
11.6 Il presente Addendum sarà disciplinato e interpretato in conformità alle disposizioni di legge e giurisdizionali vigenti nel Contratto, salvo diversamente previsto dalla Normativa applicabile in materia di protezione dei dati.
Allegato A – Dettagli del trattamento dei dati
(a) Categorie di interessati:
Le categorie di interessati i cui dati personali sono trattati includono (i) Membri (ovvero, singoli utenti finali con accesso a un account Mailchimp) e (ii) Contatti (ovvero, iscritti del Membro e altri individui per i quali un Membro ci ha fornito informazioni o che hanno altrimenti interagito con un Membro tramite il Servizio).
(b) Categorie di dati personali:
Il Cliente può caricare, inviare o altrimenti fornire determinati dati personali al Servizio, la cui misura è generalmente determinata e controllata dal Cliente a sua esclusiva discrezione, e può includere i seguenti tipi di dati personali:
- Membri: dati identificativi e di contatto (nome, indirizzo, titolo, dettagli di contatto, nome utente); informazioni finanziarie (dati della carta di credito, dettagli del conto, informazioni di pagamento); dettagli di impiego (datore di lavoro, titolo professionale, posizione geografica, area di responsabilità).
- Contatti: dati identificativi e di contatto (nome, data di nascita, sesso, informazioni generali, occupazionali o altre informazioni demografiche, indirizzo, titolo, dettagli di contatto, compreso l'indirizzo email); interessi o preferenze personali (inclusi cronologia degli acquisti, preferenze di marketing e informazioni sul profilo dei social media disponibili al pubblico); informazioni IT (indirizzi IP, dati di utilizzo, dati sui cookie, dati di navigazione online, dati sulla posizione, dati del browser); informazioni finanziarie (dettagli della carta di credito, dettagli del conto, informazioni di pagamento).
(c) Dati sensibili trattati (se applicabile):
Mailchimp non desidera, né raccoglie o tratta intenzionalmente, Dati sensibili in relazione alla fornitura del Servizio.
(d) Frequenza del trattamento:
Continuato e come determinato dal Cliente.
(e) Oggetto e natura del trattamento:
Mailchimp fornisce un servizio di posta elettronica, una piattaforma di automazione e marketing e altri servizi correlati, come più in dettaglio descritto nel Contratto. L’oggetto del trattamento dei dati ai sensi del presente Addendum sono i Dati del Cliente. I Dati del Cliente saranno trattati in conformità al Contratto (incluso il presente Addendum) e possono essere soggetti alle seguenti attività di trattamento:
- Conservazione e altri trattamenti necessari per fornire, mantenere e migliorare il Servizio fornito al Cliente ai sensi del Contratto; e/o
- Divulgazioni in conformità al Contratto e/o come richiesto dalla normativa applicabile.
(f) Finalità del trattamento:
Mailchimp tratterà i Dati del Cliente solo per le Finalità consentite, che comprenderanno: (i) il trattamento necessario per fornire il Servizio in conformità al Contratto; (ii) il trattamento avviato dal Cliente nel suo utilizzo del Servizio; e (iii) il trattamento per rispettare qualsiasi altra ragionevole istruzione impartita dal Cliente (ad es., via e-mail o ticket di supporto) che sia coerente con i termini del Contratto.
(g) Durata del trattamento e periodo di conservazione dei dati personali:
Mailchimp tratterà i Dati del Cliente come indicato nella Sezione 7 (Restituzione o eliminazione di Dati) del presente Addendum.
Allegato B – Misure di sicurezza
Le Misure di sicurezza applicabili al Servizio sono descritte qui (come aggiornate di volta in volta in conformità alla Sezione 4.3 del presente Addendum).
Allegato C – Termini specifici per giurisdizione
Europa:
Opposizione ai Sub-responsabili del trattamento. Il Cliente può opporsi per iscritto alla nomina di Mailchimp di un nuovo Sub-responsabile del trattamento entro cinque (5) giorni di calendario dalla ricezione della notifica in conformità alla sezione 3.1 dell’Addendum, a condizione che tale obiezione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Qualora non sia possibile raggiungere tale risoluzione, Mailchimp, a propria esclusiva discrezione, non nominerà tale Sub-responsabile del trattamento, o consentirà al Cliente di sospendere o risolvere il Servizio interessato in conformità alle disposizioni di risoluzione del Contratto senza alcuna responsabilità per alcuna delle parti (ma senza pregiudizio per le commissioni eventualmente dovute dal Cliente prima della sospensione o della risoluzione).
Richieste governative di accesso ai dati. Come prassi generale, Mailchimp non fornisce volontariamente alle agenzie o alle autorità governative (comprese le forze dell’ordine) l’accesso a o informazioni sugli account Mailchimp (compresi i Dati del Cliente). Se Mailchimp riceve una richiesta obbligatoria (attraverso una citazione in giudizio, un’ordinanza del tribunale, un mandato di perquisizione, o altro procedimento giuridico valido) da parte di qualsiasi agenzia o autorità governativa (comprese le forze dell’ordine) di accesso a o di informazioni su un account Mailchimp (compresi i Dati del Cliente) appartenente a un Cliente le cui informazioni di contatto principali indicano che il Cliente è situato in Europa, Mailchimp dovrà: (i) esaminare la liceità della richiesta; (ii) informare l’agenzia governativa che Mailchimp è un responsabile del trattamento dei dati; (iii) tentare di reindirizzare l’agenzia per richiedere i dati direttamente al Cliente; (iv) informare il Cliente tramite email inviata all’indirizzo email principale di contatto del Cliente della richiesta per consentire al Cliente di richiedere un provvedimento cautelare o altro rimedio appropriato; e (v) fornire la quantità minima di informazioni ammissibile quando si risponde all’agenzia o all’autorità sulla base di un’interpretazione ragionevole della richiesta. In questo ambito, Mailchimp può fornire all’agenzia le informazioni di contatto principali e di fatturazione del Cliente. Mailchimp non sarà tenuta a rispettare il presente comma 2 se è giuridicamente vietato farlo, o se è convinta ragionevolmente e in buona fede che l’accesso urgente sia necessario per prevenire un rischio imminente di gravi danni a qualsiasi individuo, alla sicurezza pubblica o a proprietà di Mailchimp, al Sito Mailchimp o al Servizio, ma laddove sia giuridicamente impossibilitata a notificare al Cliente le richieste, farà del suo meglio per ottenere una deroga al divieto.
California:
Fatto salvo quanto diversamente descritto, le definizioni di: “titolare del trattamento” includono “imprese”; “responsabile del trattamento” include “Fornitore di servizi”; “interessato” include “Consumatore”; “dati personali” include “Informazioni personali”; in ogni caso come definito ai sensi del CCPA.
Solo per la presente Sezione “California” dell’Allegato C, le “Finalità consentite” includeranno il trattamento dei Dati del Cliente solo per le finalità descritte nel presente Addendum e in conformità alle istruzioni lecite documentate del Cliente, come stabilito nel presente Addendum, come necessario per rispettare la legge applicabile, come altrimenti concordato per iscritto, incluso, senza limitazione, nel Contratto, o come altrimenti consentito per i “fornitori di servizi” ai sensi del CCPA.
Gli obblighi di Mailchimp relativi alle richieste degli interessati, come descritto nella Sezione 8 (Diritti degli interessati e cooperazione) del presente Addendum, si estendono alle richieste di diritti ai sensi del CCPA.
Fatta salva qualsiasi restrizione d’uso contenuta altrove nel presente Addendum, Mailchimp tratterà i Dati del Cliente per prestare il Servizio, per le Finalità consentite e/o in conformità alle istruzioni lecite documentate del Cliente, o come altrimenti consentito o previsto dalla legge applicabile.
Fatta salva qualsiasi restrizione d’uso contenuta altrove nel presente Allegato C, Mailchimp può anonimizzare o aggregare i Dati del Cliente come parte della prestazione del Servizio specificato nel presente Addendum e nel Contratto.
Laddove i Sub-responsabili del trattamento elaborino Dati personali di contatti del Cliente, Mailchimp adotta misure per garantire che tali Sub-responsabili siano Fornitori di servizi ai sensi del CCPA con i quali Mailchimp ha stipulato un contratto scritto che include termini sostanzialmente analoghi alla presente Sezione “California” dell'Allegato C o sono altrimenti esenti dalla definizione di “vendita” del CCPA. Mailchimp effettua un’adeguata due diligence sui propri Sub-responsabili del trattamento.
Canada:
Mailchimp adotta misure atte a garantire che i Sub-responsabili del trattamento di Mailchimp, come descritto nella Sezione 3 (Sub-responsabile del trattamento) dell’Addendum, siano terzi ai sensi del PIPEDA, con cui Mailchimp ha stipulato un contratto scritto che include termini sostanzialmente analoghi al presente Addendum. Mailchimp effettua un’adeguata due diligence sui propri Sub-responsabili del trattamento.
Mailchimp implementerà misure tecniche e organizzative come stabilito nella Sezione 4 (Sicurezza) dell’Addendum.
In vigore dal 1° agosto 2023