Passa al contenuto principale

Termini legali

Addendum sul trattamento dei dati

Scarica la pagina

Il presente Addendum sul trattamento dei dati (“Addendum”) è incorporato e soggetto ai termini e alle condizioni del Contratto tra The Rocket Science Group LLC operante sotto la denominazione Mailchimp (insieme alle sue Consociate, “Mailchimp”) e l’entità cliente che è parte del Contratto in qualità di Membro (il “Cliente”).

Tutti i termini in maiuscolo non definiti nel presente Addendum avranno i significati attribuiti loro nel Contratto. A scopo di chiarezza, tutti i riferimenti al “Contratto” includeranno il presente Addendum, incluse le Clausole contrattuali tipo, ove applicabili (come qui definite).

1. Definizioni

“Normativa supplementare sulla protezione dei dati” indica la legislazione statunitense in materia di protezione dei dati; il Canadian Personal Information Protection and Electronic Documents Act ("PIPEDA"); la Legge generale brasiliana sulla protezione dei dati (“LGPD”), la Legge federale n. 13.709/2018; e il Privacy Act 1988 (Cth) dell’Australia, e successive modifiche (“Legge australiana sulla privacy”).

“Consociata” indica un’entità che, direttamente o indirettamente, controlla, è controllata da o è sottoposta a controllo comune con un’entità.

“Contratto” indica i Termini di utilizzo standard di Mailchimp, o altro accordo scritto o elettronico, che disciplinano la fornitura del Servizio al Cliente, come aggiornati di volta in volta.

Per “Controllo” si intende una partecipazione di proprietà, di voto o di natura analoga che rappresenti il cinquanta per cento (50%) o più del totale delle partecipazioni in circolazione dell'entità in questione. Il termine “Controllato/a” sarà interpretato di conseguenza.

“Dati del Cliente” indica qualsiasi dato personale che Mailchimp tratta per conto del Cliente tramite il Servizio, come descritto in modo più dettagliatamente nel presente Addendum.

“Quadro normativo in materia di protezione dei dati” indica (a seconda dei casi) il Quadro UE-USA in materia di protezione dei dati personali, il Quadro normativo Svizzera-USA in materia di protezione dei dati e l'Estensione del Regno Unito ai programmi di autocertificazione del Quadro UE-USA in materia di protezione dei dati personali gestiti dal Dipartimento del Commercio degli Stati Uniti, e i rispettivi successori (“DPF”).

“Principi del Quadro normativo in materia di protezione dei dati” indica i Principi e i Principi integrativi contenuti nel relativo Quadro normativo in materia di protezione dei dati, come modificati, integrati o sostituiti.

“Normativa sulla protezione dei dati” indica tutte le leggi e i regolamenti applicabili al trattamento dei Dati del Cliente ad opera di una parte ai sensi del Contratto, incluse, ove applicabile, la Normativa europea sulla protezione dei dati e la Normativa aggiuntiva non europea sulla protezione dei dati.

“Normativa europea sulla protezione dei dati” indica tutte le leggi e i regolamenti sulla protezione dei dati applicabili in Europa (e successive modifiche o integrazioni), compreso (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (“GDPR”); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche; (iii) le normative nazionali di attuazione di (i) e (ii); (iv) il GDPR in quanto parte del diritto del Regno Unito ai sensi del paragrafo 3 dello UK European Union (Withdrawal) Act 2018 e dello UK Data Protection Act 2018 (insieme, “Leggi sulla protezione dei dati del Regno Unito”); e (v) il Federal Data Protection Act svizzero del 19 giugno 1992 e la sua Ordinanza (“Legge sulla protezione dei dati della Svizzera”).

“Europa” indica, ai fini del presente Addendum, lo Spazio economico europeo e i suoi Stati membri (“SEE”), la Svizzera e il Regno Unito (“Regno Unito”).

"Gruppo Mailchimp" indica The Rocket Science Group LLC d/b/a Mailchimp o qualsiasi altra entità che sia una Consociata.

“Clausole contrattuali tipo” indica (i) le clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento adottate dalla Commissione europea nella sua Decisione di esecuzione (UE) 2021/91 del 4 giugno 2021, e attualmente reperibili qui (le “Clausole tra titolari e responsabili del trattamento del 2021”); o (ii) le clausole contrattuali tipo tra i responsabili del trattamento adottate dalla Commissione europea nella sua Decisione di esecuzione (UE) 2021/91 del 4 giugno 2021, e attualmente reperibili qui (le “Clausole tra responsabili del trattamento del 2021”); come applicabile in conformità al paragrafo 6.3.

“Incidente di sicurezza” indica qualsiasi violazione non autorizzata o illecita della sicurezza che comporti la distruzione accidentale o illecita, la perdita o l’alterazione o la divulgazione o l’accesso non autorizzati a Dati del Cliente su sistemi gestiti o altrimenti controllati da Mailchimp.

“Dati sensibili” indica (a) il numero di previdenza sociale, il codice fiscale, il numero di passaporto, di patente di guida, o identificativo analogo (o qualsiasi sua porzione); (b) il numero di carta di credito o di debito (diverso dal numero troncato (ultime quattro cifre) di una carta di credito o di debito); (c) informazioni sull’occupazione, finanziarie, creditizie, genetiche, biometriche o sanitarie; (d) origine razziale, etnica, affiliazione politica o religiosa, affiliazione sindacale, informazioni sulla vita sessuale o sull’orientamento sessuale, o precedenti penali; (e) password degli account; o (f) altre informazioni che rientrano nella definizione di “categorie particolari di dati” ai sensi della Normativa sulla protezione dei dati applicabile.

"Servizio" indica i servizi forniti ai sensi del Contratto applicabile.

“Sub-responsabile del trattamento” indica qualsiasi responsabile del trattamento incaricato da Mailchimp o dalle sue Consociate di fornire assistenza nell’adempimento dei propri obblighi in relazione alla fornitura del Servizio ai sensi del Contratto o del presente Addendum. I Sub-responsabili del trattamento possono includere terze parti o Consociate di Mailchimp, ma escluderanno dipendenti, collaboratori o consulenti di Mailchimp.

"Addendum per il Regno Unito" indica l’Addendum sul trasferimento internazionale dei dati (versione B1.0), emesso dall’Ufficio dei commissari per l’informazione ai sensi della S.119(A) del Data Protection Act 2018 del Regno Unito, come aggiornato o modificato di volta in volta.

"Legislazione statunitense in materia di protezione dei dati" indica qualsiasi legge sulla privacy federale, statale e locale degli Stati Uniti (e qualsiasi regolamento di attuazione e modifica della stessa), le leggi sul monitoraggio dei dipendenti e le leggi che regolano l'intercettazione delle comunicazioni e che si applicano al trattamento dei dati personali ai sensi del Contratto e/o del Servizio, che possono includere, a seconda delle circostanze e senza limitazioni, il California Consumer Privacy Act (Codice Civile della California §§ 1798.100 e segg.), come modificato dal California Privacy Rights Act del 2023 insieme ai relativi regolamenti di attuazione ("CCPA").

I termini “dati personali” , “titolare del trattamento” , “interessato” , “responsabile del trattamento” e “trattamento” avranno il significato loro attribuito ai sensi della Normativa sulla protezione dei dati applicabile o, se non definite ai sensi della stessa, del GDPR e “trattare” , “tratta" e “trattati” , in relazione a qualsiasi Dato del cliente, saranno interpretati di conseguenza.

2. Ruoli e responsabilità

2.1 Ruoli delle parti. Per le Finalità consentite (definite di seguito), le parti riconoscono e concordano che, per quanto riguarda il trattamento dei Dati del Cliente, Mailchimp tratta i Dati del Cliente in qualità di responsabile del trattamento che agisce per conto del Cliente (sia esso un titolare del trattamento o un responsabile del trattamento per conto di un terzo titolare del trattamento). A scopo di chiarezza, il presente Addendum non si applica ai casi in cui Mailchimp è il titolare del trattamento dei Dati del cliente, salvo diversamente descritto nell'Allegato C (Termini specifici per giurisdizione) del presente Addendum.

2.2 Limitazione delle finalità. Mailchimp tratterà i Dati del Cliente, come ulteriormente descritto nell’Allegato A (Dettagli del trattamento dei dati) del presente Addendum, solo in conformità alle istruzioni lecite documentate del Cliente come stabilito nel presente Addendum, come necessario per rispettare la normativa applicabile, o come altrimenti concordato per iscritto (“Finalità consentite”). Le Parti convengono che il Contratto, compreso il presente Addendum, insieme alla configurazione o all'utilizzo di qualsiasi impostazione, funzionalità od opzione nel Servizio da parte del Cliente (che Cliente potrà di modificare di volta in volta) costituiscono le istruzioni complete e definitive del Cliente a Mailchimp in relazione al trattamento dei Dati del Cliente (incluso per le finalità delle Clausole contrattuali tipo). Qualsiasi trattamento al di fuori dell’ambito di tali istruzioni (se presente) richiederà un previo accordo scritto tra le parti.

2.3 Dati vietati. Il Cliente non fornirà (o farà in modo che venga fornito) alcun Dato sensibile a Mailchimp per il trattamento ai sensi del Contratto, e Mailchimp non avrà alcuna responsabilità per i Dati sensibili, sia in relazione a un Incidente di sicurezza che per qualsiasi altra ragione. A scopo di chiarezza, il presente Addendum non si applicherà ai Dati sensibili.

2.4 Conformità del cliente. Il Cliente dichiara e garantisce che (i) ha rispettato, e continuerà a rispettare, tutte le leggi applicabili, tra cui la Normativa sulla protezione dei dati, in relazione al suo trattamento dei Dati del Cliente e a qualsiasi istruzione di trattamento che fornisca a Mailchimp; e (ii) ha fornito, e continuerà a fornire, tutte le notifiche e ha ottenuto, e continuerà a ottenere, tutti i consensi e i diritti necessari ai sensi della Normativa sulla protezione dei dati per consentire a Mailchimp di trattare i Dati del Cliente per le finalità descritte nel Contratto. Il Cliente sarà l’unico responsabile dell'accuratezza, della qualità e della legalità dei Dati del Cliente e dei mezzi con cui ha acquisito gli stessi. Fermo restando il carattere generale di quanto sopra, il Cliente accetta di essere responsabile del rispetto di tutte le leggi (comprese la Normativa sulla protezione dei dati) applicabili a qualsiasi Campagna (come definita nel Contratto) o ad altri contenuti creati, inviati o gestiti attraverso il Servizio, incluse quelle relative all'ottenimento di consensi (ove richiesto) per l'invio di e-mail, al contenuto delle e-mail e alle sue pratiche di distribuzione delle e-mail.

2.5 Legittimità delle istruzioni del Cliente. Il Cliente garantisce che il trattamento da parte di Mailchimp dei Dati del Cliente in conformità alle istruzioni del Cliente non comporterà la violazione da parte di Mailchimp di qualsiasi legge, regolamento o norma applicabile, tra cui, a titolo esemplificativo e non esaustivo, la Normativa sulla protezione dei dati. Mailchimp informerà tempestivamente il Cliente per iscritto, a meno che non sia vietato ai sensi della Normativa europea sulla protezione dei dati, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati ricevuta dal Cliente violi la Normativa europea sulla protezione dei dati. Laddove il Cliente agisca in qualità di responsabile del trattamento per conto di un terzo titolare del trattamento (o altro intermediario del titolare del trattamento finale), il Cliente garantisce che le sue istruzioni di trattamento come stabilito nel Contratto e nel presente Addendum, comprese le sue autorizzazioni a Mailchimp per la nomina di Sub-responsabili del trattamento in conformità al presente Addendum, sono state autorizzate dal titolare del trattamento pertinente. Il Cliente dovrà fungere da unico punto di contatto per Mailchimp e Mailchimp non deve interagire direttamente con terzi titolari del trattamento (incluso fornire notifiche o richiedere autorizzazioni) salvo nella regolare fornitura del Servizio come previsto dal Contratto. Il Cliente sarà responsabile dell’inoltro di qualsiasi notifica ricevuta ai sensi del presente Addendum al titolare del trattamento pertinente, ove appropriato.

3. Sub-trattamento

3.1 Sub-responsabili del trattamento autorizzati. Il Cliente autorizza Mailchimp o qualsiasi membro del Gruppo Mailchimp per conto di /a beneficio di Mailchimp a incaricare Sub-responsabili del trattamento dei Dati del Cliente, in conformità con il paragrafo 3.2, per assistere Mailchimp nell'adempimento dei propri obblighi in relazione alla fornitura del Servizio ai sensi del Contratto. I Sub-responsabili attualmente incaricati da Mailchimp e autorizzati dal Cliente sono disponibili qui. Mailchimp informerà il Cliente in caso di aggiunta o rimozione di Sub-responsabili del trattamento almeno 10 giorni prima di tali modifiche, se il Cliente accetta di ricevere tali notifiche via email facendo clic qui.

3.2 Obblighi del sub-responsabile del trattamento. Mailchimp dovrà: (i) stipulare un accordo scritto con ciascun Sub-responsabile del trattamento contenente obblighi di protezione dei dati che forniscano almeno lo stesso livello di protezione dei Dati del Cliente di quello del presente Addendum, nella misura applicabile alla natura del servizio fornito da tale Sub-responsabile del trattamento; e (ii) rimanere responsabile per la conformità di tale Sub-responsabile del trattamento agli obblighi di cui al presente Addendum e per eventuali azioni od omissioni di tale Sub-responsabile del trattamento che comportino la violazione da parte di Mailchimp di qualsiasi obbligo ivi previsto. Il Cliente prende atto e conviene che, ove applicabile, Mailchimp adempie ai propri obblighi ai sensi della Clausola 9 delle Clausole tra titolare del trattamento e responsabile del trattamento 2021 e delle Clausole tra responsabili del trattamento del 2021 (a seconda dei casi) rispettando il presente paragrafo 3 e che a Mailchimp può essere impedito di divulgare gli accordi con Sub-responsabili del trattamento al Cliente a causa di restrizioni di riservatezza. Tuttavia, su richiesta, Mailchimp compirà ogni ragionevole sforzo per fornire al Cliente tutte le informazioni pertinenti in relazione agli accordi con i Sub-responsabili del trattamento.

4. Sicurezza

4.1 Misure di sicurezza. Mailchimp dovrà implementare e mantenere misure di sicurezza tecniche e organizzative adeguate, progettate per preservare la sicurezza e la riservatezza dei Dati del Cliente e proteggerli da Incidenti di sicurezza in conformità agli standard di sicurezza di Mailchimp descritti nell’Allegato B (“Misure di sicurezza”) del presente Addendum.

4.2 Riservatezza del trattamento. Mailchimp dovrà garantire che qualsiasi persona autorizzata da Mailchimp a trattare i Dati del Cliente (incluso il suo personale, agenti e collaboratori) sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o giuridico).

4.3 Aggiornamenti alle misure di sicurezza. Il Cliente è responsabile di esaminare le informazioni rese disponibili da Mailchimp relative alla sicurezza dei dati e di stabilire in modo indipendente se il Servizio soddisfa le necessità e gli obblighi giuridici del Cliente ai sensi della Normativa sulla protezione dei dati. Il Cliente prende atto che le Misure di sicurezza sono soggette a progresso e sviluppo tecnico e che Mailchimp può aggiornare o modificare tali Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza complessiva del Servizio fornito al Cliente.

4.4 Risposta agli incidenti di sicurezza. Dopo essere venuta a conoscenza di un Incidente di sicurezza, Mailchimp dovrà: (i) informare il Cliente senza indebito ritardo; (ii) fornire al Cliente informazioni, nel rispetto delle politiche sulla privacy e della sicurezza dei dati, della riservatezza e dei requisiti legali di Mailchimp, che potrebbero essere ragionevolmente necessarie per assistere il Cliente nelle sue responsabilità di notifica e segnalazione; e (iii) adottare misure appropriate per identificare la causa dell'Incidente di sicurezza e ridurre al minimo e proteggere i Dati del Cliente, nella misura in cui la riparazione sia sotto il ragionevole controllo di Mailchimp. La notifica o la risposta di Mailchimp a un Incidente di sicurezza ai sensi del presente Addendum non deve essere interpretata come un’ammissione da parte di Mailchimp di qualsiasi colpa o responsabilità in relazione all’Incidente di sicurezza. Mailchimp non valuterà il contenuto dei Dati del cliente per individuare eventuali obblighi specifici di segnalazione o altri obblighi legali applicabili al Cliente. Tutti gli obblighi normativi e/o di segnalazione degli interessati relativi all'Incidente di sicurezza sono responsabilità del Cliente. Le notifiche di qualsiasi Incidente di sicurezza da parte di Mailchimp devono essere inviate all'email di notifica o all'indirizzo fornito nel Contratto. Il Cliente è l'unico responsabile della validità e dell'accuratezza dei dati di contatto per la notifica (ad esempio, telefono ed e-mail).

4.5 Responsabilità del Cliente. Fermo restando quanto sopra, il Cliente accetta che, fatto salvo quanto disposto dal presente Addendum, è responsabile del suo utilizzo sicuro del Servizio, compresa la protezione delle credenziali di autenticazione dell’account, la protezione della sicurezza dei Dati del Cliente durante il transito verso e dal Servizio e l’adozione di misure appropriate per crittografare o eseguire il backup sicuro di tutti i Dati del Cliente caricati nel Servizio.

5. Report e verifiche sulla sicurezza

5.1 Diritti di controllo. Mailchimp metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente Addendum e per consentire e contribuire alle verifiche e ai controlli, comprese le ispezioni da parte del Cliente al fine di valutare la conformità al presente Addendum. Il Cliente prende atto e conviene di esercitare i propri diritti di controllo ai sensi del presente Addendum (incluso il presente paragrafo 5.1 e, ove applicabile, le Clausole contrattuali tipo) e qualsiasi diritto di controllo concesso dalla Normativa sulla protezione dei dati, dando istruzioni a Mailchimp di rispettare le misure di controllo descritte nei seguenti paragrafi 5.2 e 5.3.

5.2 Report sulla sicurezza. Il Cliente riconosce che Mailchimp viene regolarmente sottoposta a controllo secondo gli standard leader del settore, da parte rispettivamente di revisori indipendenti e revisori interni. Su richiesta scritta inoltrata qui, Mailchimp fornirà (in via riservata) una copia riassuntiva dei suoi rapporti di controllo più recenti ( "Report" ) al Cliente, in modo che il Cliente possa verificare la conformità di Mailchimp alle norme di controllo in base alle quali è stata valutata e al presente Addendum.

5.3 Due diligence di sicurezza. Oltre al Report, Mailchimp risponderà a tutte le ragionevoli richieste di informazioni formulate dal Cliente per confermare la conformità di Mailchimp al presente Addendum, rendendo disponibili ulteriori informazioni relative al suo programma di sicurezza delle informazioni su richiesta scritta del Cliente, a condizione che il Cliente non eserciti tale diritto più di una volta per anno civile. I clienti possono inviare le loro richieste qui.

6. Trasferimenti internazionali

6.1 Ubicazione dei data center. Ai sensi del paragrafo 6.2, il Cliente riconosce che Mailchimp può trasferire ed elaborare i Dati del Cliente negli Stati Uniti e in qualsiasi altro luogo del mondo in cui Mailchimp, le sue Consociate o i suoi Sub-responsabili del trattamento effettuano le operazioni di trattamento dei dati. Mailchimp dovrà garantire in ogni momento che tali trasferimenti siano effettuati in conformità ai requisiti della Normativa sulla protezione dei dati e del presente Addendum.

6.2 Dati australiani. Nella misura in cui Mailchimp sia un destinatario di Dati del Cliente protetti dalla Legge australiana sulla privacy, le parti prendono atto e convengono che Mailchimp possa trasferire tali Dati del Cliente al di fuori dell’Australia, come consentito dai termini concordati dalle parti e subordinatamente al rispetto da parte di Mailchimp del presente Addendum e della Legge australiana sulla privacy.

6.3 Trasferimenti di dati europei. Nella misura in cui Mailchimp sia un destinatario di Dati del Cliente protetti dalla Normativa europea sulla protezione dei dati in un Paese al di fuori dello Spazio economico europeo che non è riconosciuto garantire un adeguato livello di protezione dei dati personali (come descritto nella Normativa europea sulla protezione dei dati), le parti accettano di rispettare e trattare tali Dati del Cliente in conformità con quanto segue:

  • (a) Quadro normativo in materia di protezione dei dati. Mailchimp si avvarrà del Quadro normativo in materia di protezione dei dati per ricevere legittimamente i Dati del Cliente negli Stati Uniti e garantirà a tali Dati del Cliente almeno lo stesso livello di protezione richiesto dai Principi del Quadro normativo in materia di protezione dei dati e comunicherà al Cliente l'eventuale impossibilità di ottemperare a tale richiesta.
  • (b) Clausole contrattuali standard. Se la Normativa europea sulla protezione dei dati richiede l'adozione di garanzie appropriate (ad esempio, se il Quadro normativo in materia di protezione dei dati non copre il trasferimento a Mailchimp e/o è invalidato), le Clausole contrattuali tipo saranno incorporate e costituiranno parte integrante del presente Addendum.
  • (c) Trasferimenti di dati del Regno Unito. Per quanto riguarda i trasferimenti a cui si applicano le Leggi sulla protezione dei dati del Regno Unito, saranno applicate le Clausole contrattuali tipo (ove applicabili ai sensi del punto (b) di cui sopra), da considerarsi modificate come specificato dall'Addendum del Regno Unito. L’Addendum del Regno Unito sarà considerato sottoscritto, oltre a essere incorporato e a fare parte integrante del presente Addendum. Inoltre: le Tabelle da 1 a 3 nella Parte 1 dell’Addendum del Regno Unito saranno considerate completate con le informazioni riportate negli Allegati I e II delle relative Clausole contrattuali tipo; e la Tabella 4 nella Parte 1 dell’Addendum del Regno Unito sarà considerata completata selezionando "nessuna delle parti".
  • (d) Trasferimenti di dati provenienti dalla Svizzera. Per quanto riguarda i trasferimenti a cui si applica l’Addendum svizzero, le Clausole contrattuali tipo, ove applicabili ai sensi del precedente punto (b), saranno applicate con le seguenti modifiche: (i) i riferimenti al "Regolamento (UE) 2016/679" devono essere interpretati come riferimenti all’Addendum svizzero; (ii) i riferimenti a specifici articoli del "Regolamento (UE) 2016/679" saranno sostituiti con l’articolo o il paragrafo equivalente dell’Addendum svizzero; (iii) i riferimenti alle leggi "UE", dell’"Unione" e degli "Stati membri" saranno sostituiti con "Svizzera"; (iv) la Clausola 13(a) e la Parte C dell’Allegato II saranno eliminate; (v) i riferimenti all’"autorità di controllo competente" e ai "tribunali competenti" saranno sostituiti con il "Commissario federale per la protezione dei dati svizzero" e i "tribunali competenti in Svizzera"; (vi) la Clausola 17 sarà sostituita per dichiarare che le "Clausole sono disciplinate dalle leggi della Svizzera"; e (vii) la Clausola 18 sarà sostituita per dichiarare che "qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali svizzeri di riferimento. Le parti accettano di sottoporsi alla giurisdizione di tali tribunali".

6.4 Conformità alle Clausole contrattuali tipo. Le parti convengono che, qualora Mailchimp non sia in grado di garantire il rispetto delle Clausole contrattuali tipo (ove applicabile), informerà tempestivamente il Cliente al riguardo. Qualora il Cliente intenda sospendere il trasferimento di Dati europei e/o interrompere le parti interessate del Servizio, dovrà prima avvisare Mailchimp e concederle un periodo di tempo ragionevole per sanare tale non conformità, durante il quale Mailchimp e il Cliente collaboreranno ragionevolmente per concordare le eventuali misure o garanzie aggiuntive ragionevolmente necessarie. Se Mailchimp non ha sanato o non può sanare la non conformità entro un periodo ragionevole, il Cliente ha il diritto di sospendere il trasferimento dei dati e/o interrompere le parti interessate del Servizio per il mancato rispetto delle Clausole contrattuali tipo.

6.5 Meccanismo di trasferimento alternativo. Nella misura in cui Mailchimp adotti un meccanismo di trasferimento dei dati alternativo lecito per il trasferimento di Dati europei non descritto nel presente Addendum (“Meccanismo di trasferimento alternativo”), tale meccanismo si applicherà al posto di quelli ivi descritti (ma solo nella misura in cui detto meccanismo sia conforme alla Normativa europea sulla protezione dei dati applicabile e si estenda ai Paesi in cui i Dati europei sono trasferiti). Inoltre, se e nella misura in cui un tribunale della giurisdizione competente o un’autorità di controllo ordina (per qualsiasi motivo) che le misure descritte nel presente Addendum non possano essere utilizzate per trasferire lecitamente Dati europei (secondo il significato attribuito dalla Normativa europea sulla protezione dei dati applicabile), Mailchimp può implementare eventuali misure di salvaguardia aggiuntive che possano essere ragionevolmente necessarie per consentire il trasferimento lecito dei Dati europei.

7. Restituzione o cancellazione dei dati

Cancellazione o restituzione in caso di risoluzione. Alla risoluzione o alla scadenza del Contratto, Mailchimp adotterà misure ragionevoli per fornire al Cliente (a discrezione di quest'ultimo) strumenti per eliminare o restituire al Cliente tutti i Dati del Cliente (incluse le copie) in suo possesso o controllo. Questo requisito non si applica nella misura in cui Mailchimp sia tenuta, in base alla legge o alle norme di settore, a conservare alcuni o tutti i Dati del Cliente, o ai Dati del Cliente che ha archiviato su sistemi di back-up. In tal caso, Mailchimp isolerà in modo sicuro tali dati, li proteggerà da qualsiasi ulteriore trattamento e infine li eliminerà in conformità alle proprie politiche di cancellazione, salvo diversa disposizione della legge applicabile. Le parti convengono che la certificazione di cancellazione dei Dati del Cliente descritta nelle Clausole 8.5 e 16(d) delle Clausole tra titolare e responsabile del trattamento 2021 e delle Clausole tra responsabili del trattamento 2021 (a seconda dei casi) sarà fornita da Mailchimp al Cliente solo su richiesta scritta del Cliente.

8. Diritti dell’interessato e cooperazione

8.1 Richieste degli interessati. Nell'ambito del Servizio, Mailchimp fornisce al Cliente una serie di funzionalità self-service che il Cliente può utilizzare per recuperare, correggere, eliminare o limitare l’uso di Dati del cliente, che il Cliente potrà utilizzare al fine di assisterlo in relazione ai propri obblighi (o a quelli del terzo titolare del trattamento) ai sensi delle Leggi sulla protezione dei dati in relazione alla risposta alle richieste di interessati tramite l’account del Cliente senza costi aggiuntivi. Inoltre, Mailchimp, considerata la natura del trattamento, fornirà una ragionevole assistenza aggiuntiva al Cliente nella misura possibile per consentire al Cliente (o al suo terzo titolare del trattamento) di rispettare i propri obblighi di protezione dei dati in relazione ai diritti degli interessati ai sensi delle Leggi sulla protezione dei dati. Nel caso in cui una tale richiesta sia fatta direttamente a Mailchimp, Mailchimp non risponderà direttamente a tale comunicazione, salvo ove appropriato (ad esempio, per indirizzare l’interessato a contattare il Cliente) o giuridicamente previsto, senza la previa autorizzazione del Cliente. Se Mailchimp è obbligata a rispondere a una tale richiesta, Mailchimp, laddove il Cliente sia identificato o identificabile dalla richiesta, informerà tempestivamente il Cliente e fornirà al Cliente una copia della richiesta a meno che non sia giuridicamente impossibilitata a farlo. A scanso di equivoci, nulla nel Contratto (incluso il presente Addendum) limiterà o impedirà a Mailchimp di rispondere a qualsiasi richiesta di un interessato o di un’autorità garante per la protezione dei dati in relazione a dati personali per i quali Mailchimp è titolare del trattamento.

8.2 Valutazione d’impatto sulla protezione dei dati. Nella misura prevista ai sensi della Normativa sulla protezione dei dati applicabile, Mailchimp (considerata la natura del trattamento e le informazioni a disposizione di Mailchimp) fornirà tutte le informazioni ragionevolmente richieste in relazione al Servizio per consentire al Cliente di eseguire valutazioni d’impatto sulla protezione dei dati o consultazioni previe con le autorità garanti per la protezione dei dati, come previsto dalle Leggi sulla protezione dei dati. Mailchimp si atterrà a quanto precede: (i) rispettando il paragrafo 5 (Report e verifiche di sicurezza); (ii) fornendo le informazioni contenute nel Contratto, incluso il presente Addendum; e (iii) se i precedenti commi (i) e (ii) sono insufficienti affinché il Cliente possa adempiere a tali obblighi, su richiesta, fornendo ulteriore assistenza ragionevole (a spese del Cliente).

9. Termini specifici per giurisdizione

Nella misura in cui Mailchimp tratti Dati del Cliente aventi origine da e protetti dalla Normativa sulla protezione dei dati in una delle giurisdizioni elencate nell’Allegato C, si applicano i termini specificati nell’Allegato C in relazione alle giurisdizioni applicabili (“Termini specifici per giurisdizione”) in aggiunta ai termini del presente Addendum. In caso di conflitto o ambiguità tra i Termini specifici per giurisdizione e qualsiasi altro termine del presente Addendum, i Termini specifici per giurisdizione applicabili avranno la precedenza, ma solo nella misura in cui siano applicabili a Mailchimp.

10. Limitazione di responsabilità

10.1 La responsabilità complessiva di ciascuna parte e di tutte le loro rispettive Consociate, derivante da o correlata al presente Addendum (comprese le Clausole contrattuali tipo), sarà soggetta alle esclusioni e limitazioni di responsabilità stabilite nel Contratto.

10.2 Qualsiasi reclamo presentato nei confronti di Mailchimp o delle sue Consociate ai sensi o in relazione al presente Addendum (incluse, ove applicabile, le Clausole contrattuali tipo) sarà presentato esclusivamente dall’entità del Cliente parte del Contratto.

10.3 In nessun caso le parti limiteranno la propria responsabilità in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente Addendum o in altro modo.

11. Rapporto con il Contratto

11.1 Il presente Addendum sul trattamento dei dati rimarrà in vigore fino a quando Mailchimp svolgerà le operazioni di trattamento dei Dati del Cliente per conto del Cliente o fino alla risoluzione del Contratto (e fino a che tutti i Dati del Cliente sono stati restituiti o eliminati in conformità al paragrafo 7.1 di cui sopra).

11.2 Le parti convengono che il presente Addendum sostituirà qualsiasi accordo esistente sul trattamento dei dati o documento simile che le parti potrebbero aver stipulato in precedenza in relazione al Servizio.

11.3 In caso di conflitto o incongruenza tra il presente Addendum e i Termini standard di utilizzo, prevarranno le disposizioni dei seguenti documenti (in ordine di precedenza): (i) le Clausole contrattuali tipo; quindi (ii) il presente Addendum; e successivamente (iii) i Termini standard di utilizzo.

11.4 Fatta eccezione per eventuali modifiche apportate dal presente Addendum, il Contratto rimane invariato e pienamente valido ed efficace.

11.5 Soltanto le parti del presente Addendum, i loro aventi causa e cessionari autorizzati, avranno il diritto di far valere uno qualsiasi dei suoi termini.

11.6 Il presente Addendum sarà disciplinato e interpretato in conformità alle disposizioni di legge e giurisdizionali vigenti nel Contratto, salvo diversamente previsto dalla Normativa sulla protezione dei dati applicabile.

Allegato A – Dettagli sul trattamento dei dati

(a) Categorie di interessati :

Le categorie di interessati i cui dati personali sono trattati includono (i) Membri (ovvero, singoli utenti finali con accesso a un account Mailchimp) e (ii) Contatti (ovvero, iscritti del Membro e altri individui per i quali un Membro ci ha fornito informazioni o che hanno altrimenti interagito con un Membro tramite il Servizio).

(b) Categorie di dati personali :

Il Cliente può caricare, inviare o fornire in altro modo determinati dati personali al Servizio, la cui misura è generalmente determinata e controllata dal Cliente a sua esclusiva discrezione, e può includere i seguenti tipi di dati personali:

  • Membri: dati identificativi e di contatto (nome, indirizzo, titolo, dettagli di contatto, nome utente); informazioni finanziarie (dati della carta di credito, dettagli dell’account, informazioni di pagamento); dettagli di impiego (datore di lavoro, titolo professionale, posizione geografica, area di responsabilità).
  • Contatti: dati identificativi e di contatto (nome, data di nascita, genere, informazioni generali, occupazionali o altre informazioni demografiche, indirizzo, titolo, dettagli di contatto, compreso l'indirizzo e-mail); interessi o preferenze personali (inclusi cronologia degli acquisti, preferenze di marketing e informazioni sul profilo dei social media disponibili al pubblico); informazioni IT (indirizzi IP, dati di utilizzo, dati sui cookie, dati di navigazione online, dati sulla posizione, dati del browser); informazioni finanziarie (dettagli della carta di credito, dettagli dell’account, informazioni di pagamento).

(c) Dati sensibili trattati (se applicabile) :

Mailchimp non desidera, né intende, raccogliere o trattare Dati sensibili in relazione alla fornitura del Servizio.

(d) Frequenza del trattamento :

continuativa, come stabilito dal Cliente e dal Servizio applicabile.

(e) Oggetto e natura del trattamento :

Mailchimp fornisce un servizio di e-mail, una piattaforma di automazione e marketing e altri servizi correlati, come descritto più in dettaglio nel Contratto. L’oggetto del trattamento dei dati ai sensi del presente Addendum sono i Dati del cliente. I Dati del cliente saranno trattati in conformità al Contratto (incluso il presente Addendum) e possono essere soggetti alle seguenti attività di trattamento:

  • conservazione e altre attività di trattamento necessarie per fornire, mantenere e migliorare il Servizio fornito al Cliente ai sensi del Contratto; e/o
  • Divulgazioni in conformità al Contratto e/o come richiesto dalla legge applicabile.

(f) Finalità del trattamento :

Mailchimp tratterà i Dati del Cliente solo per le Finalità Consentite, che comprenderanno: (i) il trattamento necessario per fornire il Servizio in conformità al Contratto; (ii) il trattamento avviato dal Cliente nel suo utilizzo del Servizio; e (iii) il trattamento per rispettare qualsiasi altra ragionevole istruzione impartita dal Cliente (ad es., via e-mail o ticket di supporto) che sia coerente con i termini del Contratto.

(g) Durata del trattamento e periodo di conservazione dei dati personali :

Mailchimp tratterà i Dati del cliente come descritto nel paragrafo 7 (Restituzione o cancellazione dei dati) del presente Addendum.

Allegato B – Misure di sicurezza

Le Misure di sicurezza applicabili al Servizio sono descritte qui (come aggiornate di volta in volta in conformità al paragrafo 4.3 del presente Addendum). Per ulteriori informazioni sulle nostre misure tecniche e organizzative per proteggere i Dati del Cliente da un Incidente di sicurezza, visitare Intuit Security Center.

Allegato C – Termini specifici per giurisdizione

Europa:

  1. Opposizione ai Sub-responsabili del trattamento. Il Cliente può opporsi per iscritto alla nomina da parte di Mailchimp di un nuovo Sub-responsabile del trattamento entro cinque (5) giorni di calendario dalla ricezione della notifica in conformità al paragrafo 3.1 dell'Addendum, a condizione che tale opposizione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Qualora non sia possibile raggiungere tale risoluzione, Mailchimp, a propria esclusiva discrezione, non nominerà tale Sub-responsabile del trattamento, o consentirà al Cliente di sospendere o risolvere il Servizio interessato in conformità alle disposizioni di risoluzione del Contratto senza alcuna responsabilità per alcuna delle parti (ma senza pregiudizio per le commissioni eventualmente dovute dal Cliente prima della sospensione o della risoluzione).

  2. Richieste governative di accesso ai dati. Come prassi generale, Mailchimp non fornisce volontariamente alle agenzie o alle autorità governative (comprese le forze dell’ordine) l’accesso a o informazioni sugli account Mailchimp (compresi i Dati del Cliente). Se Mailchimp riceve una richiesta obbligatoria (attraverso una citazione in giudizio, un’ordinanza del tribunale, un mandato di perquisizione, o altro procedimento giuridico valido) da parte di qualsiasi agenzia o autorità governativa (comprese le forze dell’ordine) di accesso a o di informazioni su un account Mailchimp (compresi i Dati del Cliente) appartenente a un Cliente le cui informazioni di contatto principali indicano che il Cliente è situato in Europa, Mailchimp dovrà: (i) esaminare la liceità della richiesta; (ii) informare l’agenzia governativa che Mailchimp è un responsabile del trattamento dei dati; (iii) tentare di reindirizzare l’agenzia per richiedere i dati direttamente al Cliente; (iv) informare il Cliente tramite e-mail inviata all’indirizzo e-mail principale di contatto del Cliente della richiesta per consentire al Cliente di richiedere un provvedimento cautelare o altro rimedio appropriato; e (v) fornire la quantità minima di informazioni ammissibile quando si risponde all’agenzia o all’autorità sulla base di un’interpretazione ragionevole della richiesta. In questo ambito, Mailchimp può fornire all’agenzia le informazioni principali di contatto e di fatturazione del cliente. Mailchimp non sarà tenuta a rispettare il presente comma 2 se è giuridicamente vietato farlo, o se è convinta ragionevolmente e in buona fede che l’accesso urgente sia necessario per prevenire un rischio imminente di gravi danni a qualsiasi individuo, alla sicurezza pubblica o a proprietà di Mailchimp, al Sito di Mailchimp o al Servizio, ma laddove sia giuridicamente impossibilitata a notificare al Cliente le richieste, farà del suo meglio per ottenere una deroga al divieto.

California:

I seguenti termini si applicano laddove Mailchimp tratti dati personali soggetti alla legislazione statunitense in materia di protezione dei dati:

  1. Fatto salvo quanto diversamente descritto, la definizione di: “titolare del trattamento” include “imprese”; “responsabile del trattamento” include “Fornitore di servizi”; “interessato” include “Consumatore”; “dati personali” include “Informazioni personali”; in ogni caso come definito ai sensi del CCPA. I termini, "vendere", "condividere", "Scopo aziendale" e "Scopo commerciale" assumono il significato definito nel CCPA.
  2. Qualora e nella misura in cui Mailchimp agisca in qualità di responsabile o titolare del trattamento dei Dati del Cliente come stabilito nel paragrafo 2 di cui sopra, Mailchimp assumerà lo stesso ruolo nel trattamento, a seconda dei casi, ai sensi della legislazione statunitense in materia di protezione dei dati diversa dal CCPA.
  3. Per quanto riguarda i dati personali soggetti al CCPA, le parti accettano e riconoscono che (i) Mailchimp può agire come “Fornitore di servizi” ai sensi del CCPA nei casi in cui agisca come Titolare del trattamento ai sensi di altra Normativa sulla protezione dei dati applicabile e (ii) Mailchimp avrà il diritto di trattare i Dati del Cliente per tutti gli scopi consentiti ai Fornitori di servizi ai sensi del CCPA. Mailchimp si atterrà a tutti i requisiti previsti dal CCPA e dalla Sezione 7051 delle normative CCPA, e/o da qualsiasi Regolamento successivo, e tali disposizioni sono qui integrate per riferimento.
  4. Gli obblighi di Mailchimp relativi alle richieste degli interessati, come descritto nel paragrafo 8 (Diritti degli interessati e cooperazione) del presente Addendum, si estendono alle richieste di diritti ai sensi della legislazione statunitense in materia di protezione dei dati. Mailchimp fornirà lo stesso livello di protezione dei Dati del Cliente richiesto dal CCPA e: (i) assisterà il Cliente nel rispondere a qualsiasi richiesta da parte di un consumatore (come definito dalla legislazione statunitense in materia di protezione dei dati) di esercitare i diritti previsti dalla legislazione statunitense in materia di protezione dei dati; e (ii) informerà immediatamente il Cliente se non è in grado di soddisfare i requisiti previsti dalla legislazione statunitense in materia di protezione dei dati. Nei casi in cui Mailchimp sia un Fornitore di servizi ai sensi del CCPA ma sia altrimenti un titolare del trattamento ai sensi della legislazione in materia di protezione dei dati e un consumatore faccia richiesta di esercitare i propri diritti ai sensi del CCPA direttamente a Mailchimp, il Cliente incarica Mailchimp di rispondere direttamente a tale richiesta al consumatore. Il Cliente è tenuto a garantire di aver rispettato e che continuerà a rispettare i requisiti della legislazione statunitense in materia di protezione dei dati nell'uso dei Servizi e nel trattamento dei dati personali.
  5. Le parti riconoscono che i Dati del Cliente che il Cliente comunica a Mailchimp sono forniti solo per gli scopi limitati e specifici indicati come Finalità consentite. Le parti concordano che tutti i Dati del Cliente vengono divulgati a Mailchimp dal Cliente per le Finalità consentite e che il loro utilizzo o divulgazione da parte del Cliente a Mailchimp è necessario per l'esecuzione di tali Finalità consentite.
  6. Fatta salva qualsiasi restrizione d’uso contenuta altrove nel presente Addendum, Mailchimp tratterà i Dati del cliente per prestare il Servizio, per le Finalità consentite e/o in conformità alle istruzioni lecite documentate del Cliente, o come altrimenti consentito o previsto dalla legge applicabile.
  7. Fatta salva qualsiasi restrizione d’uso contenuta altrove nel presente Allegato C, Mailchimp può anonimizzare o aggregare i Dati del cliente nell'ambito del Servizio specificato nel presente Addendum e nel Contratto.
  8. Laddove i Sub-responsabili del trattamento elaborino Dati del Cliente, Mailchimp adotta misure per garantire che tali Sub-responsabili siano ai sensi del CCPA Fornitori di servizi con i quali Mailchimp ha stipulato un contratto scritto che include termini sostanzialmente analoghi alla presente Sezione dell'Allegato C o siano altrimenti esenti dal CCPA. Mailchimp effettua un’adeguata due diligence sui propri Sub-responsabili del trattamento.
  9. Senza limitare i diritti di utilizzo dei dati qui esposti, in qualità di Fornitore di servizi, Mailchimp non: (a.) venderà o condividerà i Dati del Cliente; (b.) conserverà, utilizzerà o divulgherà i Dati del Cliente (i) per qualsiasi scopo diverso dalle Finalità consentite, anche per qualsiasi Finalità commerciale, o (ii) al di fuori del rapporto commerciale diretto tra le parti, salvo quanto necessario per eseguire le Finalità consentite o come altrimenti consentito dalla legislazione statunitense in materia di protezione dei dati; oppure (c.) combinerà i Dati del Cliente ricevuti da o per conto del Cliente con i dati personali ricevuti da o per conto di terzi, o raccolti attraverso l'interazione di Mailchimp stessa con individui o soggetti interessati, salvo quanto necessario per eseguire una Finalità consentita in conformità con il CCPA (compresi eventuali regolamenti di attuazione), il Contratto e il presente Addendum.
  10. Il Cliente può adottare le misure ragionevoli e appropriate necessarie (a) per garantire che i Dati del Cliente raccolti vengano utilizzati in modo coerente con gli obblighi aziendali ai sensi del CCPA; e (b) per interrompere e porre rimedio a qualsiasi utilizzo non autorizzato dei Dati del cliente e (c) per garantire che tutti i dati personali pertinenti vengano utilizzati in modo coerente con il CCPA.

Canada:

  1. Mailchimp adotta misure atte a garantire che i Sub-responsabili del trattamento di Mailchimp, come descritto nella Sezione 3 (Sub-responsabile del trattamento) dell’Addendum, siano terzi ai sensi del PIPEDA, con cui Mailchimp ha stipulato un contratto scritto che include termini sostanzialmente analoghi al presente Addendum. Mailchimp effettua un’adeguata due diligence sui propri Sub-responsabili del trattamento.
  2. Mailchimp implementerà misure tecniche e organizzative come stabilito nella Sezione 4 (Sicurezza) dell’Addendum.
  3. Mailchimp può trasferire i Dati del cliente al di fuori della giurisdizione da cui provengono i Dati del cliente (i) in conformità con la Normativa sulla protezione dei dati applicabile e (ii) a condizione che Mailchimp adotti tutte le misure necessarie per garantire che i Dati del cliente continuino a essere trattati in conformità con la Normativa sulla protezione dei dati applicabile a seguito di tale trasferimento. Il Cliente dovrà condurre tutte le valutazioni necessarie per facilitare tale trasferimento.

In vigore dal 26 settembre 2024