logo

Accordo di condivisione dei dati

Data di entrata in vigore: 27 settembre 2021

NOTA: ABBIAMO AGGIORNATO I TERMINI DI SEGUITO RIPORTATI IN RELAZIONE ALLE NUOVE CLAUSOLE CONTRATTUALI STANDARD APPROVATE DALLA COMMISSIONE EUROPEA, IN VIGORE DAL 27 SETTEMBRE 2021

AVVISO DI ARBITRATO: SEI LEGATO ALLA DISPOSIZIONE DI ARBITRATO STABILITA NELLE CONDIZIONI DEI SERVIZI COMMERCIALI. SE STIPULI UN CONTRATTO CON SNAP INC., ALLORA TU E SNAP INC. RINUNCIATE A OGNI DIRITTO A PARTECIPARE A CLASS-ACTION O ARBITRATI COLLETTIVI.

Introduzione

Il presente Accordo di condivisione dei dati ("Accordo") costituisce un contratto legalmente vincolante tra te e Snap, si applica nella misura in cui tu e Snap condividete i Dati personali dei clienti come descritto di seguito ed è incorporato nei Termini dei servizi commerciali. Alcuni termini utilizzati nel presente Accordo sono definiti nei Termini dei servizi commerciali.

1. Definizioni

Per "Dati personali del cliente" si intendono i dati personali di soggetti dello SEE, della Svizzera, del Regno Unito e del Brasile forniti a te o a Snap (la "Parte destinataria") da o per conto dell'altra parte (la "Parte divulgante") quando sia la Parte destinataria che la Parte divulgante sono entrambe responsabili del trattamento.

Per "Legge sulla protezione dei dati" si intende la legge sulla protezione dei dati dello SEE, della Svizzera, del Regno Unito e del Brasile applicabile al trattamento dei Dati personali del cliente ai sensi del presente Accordo, compresi il GDPR, le leggi sulla protezione dei dati del Regno Unito e la LGPD.

Per "SEE" si intende lo Spazio economico europeo.

Per "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo del 27 aprile 2016 relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE.

Per "LGPD" si intende la Legge generale brasiliana sulla protezione dei dati (Lei Geral de Proteção de Dados Pessoais).

Per "Violazione dei dati personali" si intende la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali del cliente sui sistemi gestiti o controllati da una parte.

Per "UK" si intende il Regno Unito.

Per "Leggi sulla protezione dei dati del Regno Unito" si intende il GDPR come parte della Legge di Inghilterra e Galles, Scozia e Irlanda del Nord in base all'articolo 3 dell'European Union (Withdrawal) Act 2018 nel Regno Unito ("GDPR del Regno Unito") e al Data Protection Act 2018.

I termini "dati personali", "soggetto interessato", "trattamento", "titolare del trattamento", "responsabile del trattamento", "rappresentante" e "autorità di controllo", utilizzati nel presente Accordo, hanno il significato attribuito dal GDPR, dalle Leggi sulla protezione dei dati del Regno Unito o dalla LGPD, a seconda dei casi, a prescindere dall'applicazione della Legge sulla protezione dei dati.

2. Ruoli e restrizioni

a. Ruoli delle parti. Tu e Snap siete ciascuno un titolare indipendente del trattamento dei Dati personali dei clienti che, in base alle restrizioni stabilite nel presente Accordo e nei Termini dei servizi commerciali, compresi i Termini e le Politiche supplementari, determinerà in modo indipendente gli scopi e i mezzi del trattamento dei Dati personali dei clienti ai sensi della legge sulla protezione dei dati.

b. Trasparenza e Diritti di protezione dei dati. Tu e Snap dovrete informare individualmente gli interessati e consentire agli interessati di esercitare i loro diritti ai sensi della Legge sulla protezione dei dati.

c. Dettagli del Trattamento dei dati. L'oggetto e i dettagli del trattamento sono descritti in Allegati 1 del presente Accordo.

d. Conformità alla legge. Ciascuna parte si impegna a rispettare gli obblighi previsti dalla legge sulla protezione dei dati personali in relazione ai dati personali dei clienti che tratta ai sensi del presente accordo o in relazione a esso.

e. Sicurezza dei dati. In conformità con la Legge sulla protezione dei dati, ciascuna parte attuerà e manterrà tutte le opportune misure tecniche, amministrative e organizzative necessarie per: (i) garantire un livello di riservatezza e sicurezza adeguato ai rischi rappresentati dal trattamento e alla natura dei Dati personali del cliente; e (ii) prevenire il trattamento non autorizzato o illecito dei Dati personali del cliente, la perdita, la divulgazione o la distruzione accidentale o il danneggiamento dei Dati personali del cliente.

f. Riservatezza. Ciascuna parte garantirà che solo il personale a cui potrebbe essere richiesto di assistere nell'adempimento degli obblighi previsti dai Termini dei servizi commerciali o dal presente Accordo avrà accesso ai Dati personali del cliente e che tale personale sia vincolato da adeguati obblighi di riservatezza e adotterà tutte le misure ragionevoli in conformità con le migliori pratiche del settore per garantire la riservatezza dei Dati personali del cliente.

3. Violazione dei dati personali

a. Notifica. Dovrai informare Snap senza ritardi ingiustificati e, ove possibile, non più di 72 ore dopo essere venuto a conoscenza di una violazione dei dati personali. Dovrai inoltre fornire a Snap una descrizione della violazione dei dati personali, il tipo di dati che sono stati oggetto della violazione dei dati personali, (nella misura in cui sono noti) le categorie di soggetti interessati e altre informazioni richieste dalla legge sulla protezione dei dati personali, non appena tali informazioni possano essere raccolte o diventino altrimenti disponibili, e collaborerai con qualsiasi richiesta ragionevole fatta da Snap in merito alla violazione dei dati personali.

b. Indagine. Ti impegni a indagare immediatamente sulla Violazione dei dati personali, per individuare, prevenire e mitigare gli effetti di qualsiasi Violazione dei dati personali e, con il previo accordo di Snap, per effettuare qualsiasi recupero o altra azione necessaria per porre rimedio alla Violazione.

4. Trasferimenti di dati

a. In caso di trasferimenti di Dati personali del cliente da una parte all'altra al di fuori dello SEE o del Regno Unito, l'Accordo sul trasferimento dei dati dovrà:

(i) si applica a tali trasferimenti; 

(ii) prevale su tutti gli altri termini, compresi i termini del presente Accordo, in relazione a tali trasferimenti;

(iii) forma un accordo legalmente vincolante tra l'utente come esportatore di dati e Snap come o per conto dell'importatore di dati; e 

(iv) deve essere incorporato nei Termini dei servizi commerciali

b. Per quanto riguarda i dati personali dei soggetti interessati dello SEE, della Svizzera e del Regno Unito, tu e Snap concordate che ciascuna parte possa trattare i Dati personali del cliente al di fuori dello SEE, della Svizzera e del Regno Unito qualora siano soddisfatti i requisiti della legge sulla protezione dei dati (inclusi, ove applicabili, gli articoli da 44 a 47 del GDPR) o si applichi un'eccezione (incluse, ove applicabili, quelle elencate nell'articolo 49 del GDPR).

c. Per quanto riguarda i dati personali dei soggetti brasiliani, tu e Snap concordate che ciascuna parte può trattare i dati personali del cliente al di fuori del Brasile, dichiarando e garantendo che tale trasferimento dei dati personali del cliente è conforme alla LGPD.

6. Conflitti

Se il presente Accordo o l'Accordo sul trasferimento dei dati è in conflitto con i Termini dei servizi commerciali, con i Termini e le Politiche supplementari o con i Termini di Servizio di Snap, allora, nella misura del conflitto, i documenti regolatori saranno, in ordine decrescente: Accordo sul trasferimento dei dati (ma solo nella misura prevista dalla sezione 4.a di cui sopra), il presente Accordo, i Termini e le Politiche supplementari, i Termini dei servizi commerciali e i Termini di Servizio di Snap.

Programma 1: dettagli della condivisione dei dati
A. Elenco delle parti
Esportatori di dati

Sei l'esportatore di dati, con il nome, l'indirizzo e i dettagli dell'accordo forniti a Snap tramite i Servizi commerciali. Le attività rilevanti per i dati trasferiti ai sensi delle presenti clausole includono l'uso dei Servizi commerciali rilevanti in conformità ai Termini dei servizi commerciali e ai Termini e alle condizioni supplementari applicabili. L'esportatore di dati riveste il ruolo del titolare di controllo.

Importatori di dati

L'importatore di dati sarà Snap Inc. con indirizzo 3000 31st Street, Santa Monica, California 90405, qualora l'esportatore di dati trasferisca dati personali a Snap Inc. ai sensi del presente Accordo. Le attività rilevanti per i dati trasferiti ai sensi delle presenti clausole includono la fornitura da pate di Snap di Servizi commerciali rilevanti in conformità ai Termini dei servizi commerciali e ai Termini e alle condizioni supplementari applicabili. L'importatore di dati ricopre il ruolo del titolare del trattamento.

B. Descrizione del trasferimento

Le attività di condivisione dei dati svolte da Snap ai sensi del presente Accordo sono le seguenti:

Oggetto

La fornitura dei Servizi commerciali da parte di Snap.

Natura e scopo

La condivisione dei dati è finalizzata alla fornitura da parte di Snap dei Servizi commerciali in conformità e come descritto nei Termini dei servizi commerciali e nel presente Accordo.

Categorie di dati

I Dati personali del cliente relativi alle persone fisiche forniti dalla Parte destinataria alla Parte destinataria tramite i Servizi commerciali, che possono includere:

  • indirizzo email

  • numero di telefono

  • ID annuncio mobile (IDFA/AAID)

  • l'indirizzo IP

  • ID cookie

  • agente utente del browser

  • dati demografici

  • connessioni tra utenti

  • ID sessione, transazione e utente

  • genere, altezza, peso, età e altre caratteristiche personali

  • dati di prodotto come ID prodotto, percorso di categoria del prodotto, descrizione del prodotto, informazioni sulle dimensioni e dati, EAN, colore del prodotto e informazioni sull'adattamento del prodotto

  • dati sulle transazioni come informazioni sugli acquisti e sui resi

  • azioni ed eventi che avvengono su siti web e app, tra cui pagine visualizzate, acquisti, ricerche, eventi di check-out, liste dei desideri, installazioni e metodi di registrazione degli utenti

  • foto

Dati sensibili trasferiti

Non applicabile

Frequenza del trasferimento 

Costante

Soggetti interessati

I soggetti interessati includono individui dello SEE, della Svizzera, del Regno Unito e del Brasile i cui dati personali vengono forniti dalla Parte divulgante alla Parte destinataria tramite i Servizi commerciali.

C. Autorità di controllo competente

L'autorità di controllo competente sarà l'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP).

Programma 2: misure di sicurezza di Snap

1. Implementazione e osservanza di un programma scritto di sicurezza delle informazioni conforme agli standard del settore e comprendente protezioni amministrative, tecniche e fisiche adeguate alla natura dei Dati personali del cliente e progettate per proteggere tali informazioni da: accessi, distruzioni, utilizzi, modifiche o divulgazioni non autorizzati; accessi o utilizzi non autorizzati che potrebbero causare danni o problemi sostanziali al Titolare del trattamento dei dati, ai clienti del Titolare del trattamento dei dati o ai dipendenti del Titolare del trattamento dei dati; e qualsiasi minaccia o pericolo previsto per la sicurezza o l'integrità di tali informazioni.

2. Adottare e implementare politiche e standard ragionevoli relativi alla sicurezza.

3. Assegnare la responsabilità della gestione della sicurezza delle informazioni.

4. Assegnare risorse umane idonee alla sicurezza delle informazioni.

5. Effettuare controlli per la verifica del personale permanente che avrà accesso ai Dati personali dell'utente.

6. Effettuare controlli appropriati e richiedere a dipendenti, venditori e altri soggetti che hanno accesso ai Dati personali del cliente di sottoscrivere accordi scritti di riservatezza.

7. Condurre corsi di formazione per sensibilizzare i dipendenti e le altre persone che hanno accesso ai Dati personali del cliente sui rischi per la sicurezza delle informazioni e per migliorare la conformità con le politiche e gli standard di Snap relativi alla protezione dei dati.

8. Prevenire l'accesso non autorizzato ai Dati personali del cliente attraverso l'utilizzo, a seconda dei casi, di controlli fisici e logici (password) all'ingresso, di aree sicure per l'elaborazione dei dati, di procedure per il monitoraggio dell'utilizzo delle strutture di elaborazione dei dati e di audit trail integrati nel sistema, utilizzo di password sicure, tecnologia di rilevamento delle intrusioni di rete, tecnologia di crittografia e autenticazione, procedure di accesso sicure e protezione dai virus, monitorando costantemente la conformità alle politiche e agli standard di Snap relativi alla protezione dei dati. In particolare, Snap ha implementato e rispetta, come appropriato e senza limitazione:

  • Misure di controllo dell'accesso fisico per impedire l'accesso non autorizzato ai sistemi di elaborazione dei dati (ad esempio, carte d'identità, lettori di carte, funzionari, sistemi di allarme, rilevatori di movimento, allarmi antifurto, videosorveglianza e sicurezza esterna);

  • Misure di controllo per impedire l'uso non autorizzato dei sistemi di protezione dei dati (ad esempio, requisiti di complessità e modifica delle password e firewall applicati automaticamente). ;

  • Schema di autorizzazione e diritti di accesso basati sui requisiti, monitoraggio e registrazione degli accessi al sistema per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati abbiano accesso solo ai dati a cui hanno diritto di accesso e che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione;

  • Misure di controllo della trasmissione dei dati per garantire che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica, il trasporto o l'archiviazione su supporti di dati, nonché il trasferimento e la ricezione di registrazioni. In particolare, il programma di sicurezza informatica di Snap sarà progettato:

    • Per crittografare in memoria qualsiasi serie di dati in possesso di Snap, compresi i dati personali sensibili, utilizzando livelli di crittografia appropriati basati su standard di crittografia leader del settore, tra cui AES -256, e memorizzando le identità degli utenti sul sistema utilizzando coppie di valori chiave come ghost_id per impedire la memorizzazione dell'ID utente effettivo; e

    • Per garantire che qualsiasi dato personale sensibile trasmesso elettronicamente (a eccezione del facsimile) a una persona esterna al sistema informatico di Snap o trasmesso su una rete pubblica sia crittografato utilizzando le ultime versioni supportate del protocollo TLS 1.2 per proteggere la sicurezza della trasmissione;

  • Misure di controllo dell'inserimento dei dati per garantire che Snap possa verificare e stabilire se e da chi i Dati personali del cliente sono stati inseriti nei sistemi di elaborazione dati, modificati o rimossi;

  • Misure di verifica continua della sicurezza per garantire che le pratiche di sicurezza delle informazioni rimangano pertinenti, efficaci e aggiornate, tra cui test di penetrazione annuali, programma bug bounty, uso di strumenti di scansione del sistema, esercitazioni tabletop, test di ripristino dei backup, failover di preproduzione e conduzione di post mortem su qualsiasi incidente reale al fine di aggiornare i relativi piani di ripristino di emergenza;

  • Misure di supervisione dei Sub-processori per garantire che, qualora Snap sia autorizzata a utilizzare i Sub-processori, i Dati personali del cliente siano trattati in modo strettamente conforme alle istruzioni del Titolare del trattamento dei dati, tra cui, a seconda dei casi:

    • Misure volte a garantire che i Dati personali del cliente siano protetti da distruzione o perdita accidentale, tra cui, a seconda dei casi e senza limitazioni, politiche di backup, archiviazione e distruzione sicura dei dati; archiviazione sicura fuori sede dei dati sufficiente per il ripristino di emergenza; alimentazione elettrica ininterrotta e programmi di ripristino in caso di disastri; e

    • Misure per garantire che i dati raccolti per scopi diversi possano essere trattati separatamente, compresa, se del caso, la separazione fisica o logica adeguata dei dati personali del cliente. 

9. Adottare le altre misure più opportune in base alle circostanze.