logo

Accordo sul trattamento dei dati

Data di entrata in vigore: 21 settembre 2022

AVVISO DI ARBITRATO: SEI LEGATO ALLA DISPOSIZIONE DI ARBITRATO STABILITA NEI TERMINI DEI SERVIZI COMMERCIALI. SE L'UTENTE STIPULA UN CONTRATTO CON SNAP INC., LO STESSO E SNAP INC. RINUNCIATE A OGNI DIRITTO A PARTECIPARE A CLASS-ACTION O ARBITRATI COLLETTIVI.

Introduzione

Il presente Accordo sul trattamento dei dati ("Accordo") costituisce un contratto legalmente vincolante tra te e Snap, si applica nella misura in cui Snap tratta i Dati personali del cliente per tuo conto quando sei il Titolare del trattamento dei dati e questo aspetto è disciplinato nei Termini dei servizi commerciali. Alcuni termini utilizzati nel presente Accordo sono definiti nei Termini dei servizi commerciali.

1. Definizioni

Per "Dati personali del cliente" si intendono i dati personali di soggetti dello SEE, della Svizzera, del Regno Unito e del Brasile forniti a Snap da te o per tuo conto quando agisci come Titolare del trattamento dei dati.

Per "Titolare del trattamento dei dati" si intende un responsabile del trattamento come definito nel GDPR, nel GDPR del Regno Unito o nell'LGPD, a seconda dei casi, che da solo o congiuntamente ad altri determina le finalità e i mezzi del trattamento dei Dati personali del cliente.

Per "Legge sulla protezione dei dati" si intende la legge sulla protezione dei dati dello SEE, della Svizzera, del Regno Unito e del Brasile applicabile al trattamento dei Dati personali del cliente ai sensi del presente Accordo, compresi il GDPR, le leggi sulla protezione dei dati del Regno Unito e la LGPD.

Per "SEE" si intende lo Spazio economico europeo.

Per "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo del 27 aprile 2016 relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE.

Per "LGPD" si intende la Legge generale brasiliana sulla protezione dei dati (Lei Geral de Proteção de Dados Pessoais).

Per "Violazione dei dati personali" si intende la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali del cliente sui sistemi gestiti o controllati da Snap.

Per "Sub-responsabili" si intendono le terze parti autorizzate ai sensi del presente Accordo ad accedere e trattare i Dati personali del cliente al fine di fornire parti dei Servizi commerciali.

Per "UK" si intende il Regno Unito.

Per "Leggi sulla protezione dei dati del Regno Unito" si intende il GDPR come parte della Legge di Inghilterra e Galles, Scozia e Irlanda del Nord in base all'articolo 3 dell'European Union (Withdrawal) Act 2018 nel Regno Unito ("GDPR del Regno Unito") e al Data Protection Act 2018.

I termini "dati personali", "soggetto interessato", "trattamento", “titolare del trattamento", “responsabile del trattamento", "rappresentante" e "autorità di controllo", utilizzati nel presente Accordo, hanno il significato attribuito dal GDPR, dal GDPR del Regno Unito o dalla LGPD, a seconda dei casi, a prescindere dall'applicazione della Legge sulla protezione dei dati.

2. Trattamento dei dati personali del cliente

a. Ruoli delle parti. Snap tratta i Dati personali del cliente per conto e su incarico del Titolare del trattamento dei dati, in conformità con l'articolo 28 (1) del GDPR, del GDPR del Regno Unito e della LGPD, a seconda dei casi.

b. Nomina. Il Titolare del trattamento dei dati nomina Snap per il trattamento dei Dati personali dei clienti per conto del Titolare del trattamento dei dati solo nella misura in cui ciò sia necessario per fornire i Servizi commerciali e come possa essere successivamente concordato dalle parti per iscritto.

c. Legittimità del trattamento. Il Titolare del trattamento dei dati è responsabile di garantire una base giuridica valida per il trattamento dei Dati personali dei clienti.

d. Dettagli del trattamento. L'oggetto e i dettagli del trattamento sono descritti in Allegati 1 del presente Accordo.

e. Conformità alla legge. Ciascuna parte si impegna a rispettare gli obblighi previsti dalla legge sulla protezione dei dati personali in relazione ai dati personali dei clienti che tratta ai sensi del presente accordo o in relazione a esso. Fatto salvo quanto precede, Snap non tratterà i Dati personali dei clienti in modo tale che il Titolare del trattamento dei dati violi i suoi obblighi ai sensi della legge sulla protezione dei dati. Snap informerà prontamente il Titolare del trattamento dei dati se ritiene che le istruzioni del Titolare del trattamento dei dati violino la legge sulla protezione dei dati.

3. Obblighi di Snap

a. Trattamento dei dati personali del cliente. Snap tratterà i Dati personali del cliente solo in conformità ai Termini dei servizi commerciali e con il presente Accordo, e non utilizzerà o tratterà i Dati personali del cliente per scopi diversi da quelli previsti dal Titolare del trattamento dei dati.

b. Sicurezza dei dati. In conformità con l'articolo 32 del GDPR, del GDPR del Regno Unito e della LGPD, a seconda dei casi e come descritto nell'Allegato 2 del presente Accordo, Snap si impegna a implementare e mantenere tutte le misure tecniche, amministrative e organizzative necessarie per: (i) garantire un livello di riservatezza e sicurezza adeguato ai rischi rappresentati dal trattamento e alla natura dei Dati personali del cliente; e (ii) prevenire il trattamento non autorizzato o illegale dei Dati personali del cliente, la perdita, la divulgazione o la distruzione accidentale o il danneggiamento dei Dati personali del cliente.

c. Non divulgazione. Snap non pubblicherà, divulgherà o diffonderà (e farà in modo che il suo personale non pubblichi, divulghi o diffonda) i Dati personali del cliente a terzi, a meno che il Titolare del trattamento dei dati non abbia dato il suo consenso scritto.

d. Riservatezza. Snap garantirà che solo il personale a cui potrebbe essere richiesto di assistere nell'adempimento degli obblighi previsti dai Termini dei servizi commerciali o dal presente Accordo avrà accesso ai Dati personali del cliente e che tale personale sia vincolato da adeguati obblighi di riservatezza e adotterà tutte le misure ragionevoli in conformità con le migliori pratiche del settore per garantire la riservatezza dei Dati personali del cliente.

e. Cooperazione. Snap fornirà al Titolare del trattamento dei dati la cooperazione e l'assistenza necessarie per consentire al Titolare del trattamento dei dati di adempiere ai suoi obblighi ai sensi degli articoli da 32 a 36 del GDPR, del GDPR del Regno Unito e della LGPD, a seconda dei casi, anche in relazione alla sicurezza dei dati, alla notifica della violazione dei dati, alle valutazioni d'impatto sulla protezione dei dati, alla consultazione preventiva con le autorità di controllo, all'adempimento dei diritti degli interessati e a qualsiasi indagine, avviso o inchiesta da parte di un'autorità di controllo, come meglio specificato nel presente Accordo.

f. Richieste dei soggetti interessati e dell'autorità di vigilanza. Snap informerà tempestivamente, e in ogni caso entro due giorni lavorativi, il Titolare del trattamento dei dati di qualsiasi richiesta o reclamo che Snap riceva da un soggetto interessato o da un'autorità di controllo in relazione ai Dati personali del cliente. Snap assisterà il Titolare del trattamento dei dati, nei limiti di quanto commercialmente ragionevole, per adempiere all'obbligo del Titolare del trattamento dei dati di rispondere alle richieste degli interessati e delle autorità di controllo come richiesto dalla legge sulla protezione dei dati.

g. Valutazione d'impatto sulla protezione dei dati. Su richiesta, Snap fornirà al Titolare del trattamento dei dati informazioni e assistenza commercialmente ragionevoli, tenendo conto della natura dell'attività di trattamento e delle informazioni a disposizione di Snap, per aiutare il Titolare del trattamento dei dati a condurre una valutazione d'impatto sulla protezione dei dati come richiesto dalla legge sulla protezione dei dati.

h. Fornitura di prove. Durante il periodo di validità del presente Accordo e per un periodo successivo di un anno, Snap metterà a disposizione del Titolare del trattamento dei dati, o di una società di revisione riconosciuta a livello internazionale che agisce per conto del Titolare del trattamento dei dati, tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di Snap al presente Accordo; inoltre, Snap consentirà e contribuirà alle verifiche condotte dal Titolare del trattamento dei dati o da suoi rappresentanti che siano vincolati da adeguati obblighi di riservatezza; se: (i) il Titolare del trattamento dei dati fornisce un preavviso scritto a Snap di almeno dieci giorni lavorativi; (ii) tale verifica sia condotta durante il normale orario di lavoro di Snap e in modo da non interferire irragionevolmente con le normali operazioni commerciali di Snap; (iii) tale verifica non duri più di tre giorni lavorativi complessivi; (iv) in nessun caso il Titolare del trattamento dei dati (o, per evitare dubbi, qualsiasi revisore terzo autorizzato) ha il diritto di accedere o ricevere informazioni proprietarie o riservate di Snap, se non nella misura strettamente necessaria a dimostrare la conformità al presente Accordo; e (v) il Titolare del trattamento dei dati è obbligato a rimborsare a Snap i costi ragionevoli e documentati se la verifica determina che Snap è conforme al presente Accordo. Nel caso in cui la verifica stabilisca che Snap non è conforme al presente Accordo, Snap dovrà sostenere tutti i costi ragionevoli di tale verifica.

i. Restituzione o distruzione dei dati personali del cliente. Al raggiungimento degli obblighi da parte di Snap in relazione al trattamento dei Dati personali del cliente ai sensi del presente Accordo o su richiesta del Titolare del trattamento dei dati in qualsiasi momento durante la durata del presente Accordo, (e, se il Titolare del trattamento dei dati lo richiede, a intervalli regolari stabiliti dal Titolare del trattamento dei dati), Snap: (i) restituirà al Titolare del trattamento dei dati tutti o sottoinsiemi dei Dati personali del cliente in possesso di Snap; (ii) renderà anonimi tutti o parte dei Dati personali dell'utente in modo tale che i dati non rappresentino più dati personali; o (iii) cancellerà definitivamente o renderà illeggibili tutti o parte dei Dati personali del cliente. Su richiesta del Titolare del trattamento dei dati, Snap deve fornire conferma scritta al Titolare del trattamento dei dati dell'anonimizzazione, della restituzione e della cancellazione dei Dati personali del cliente.

j. Dati personali del cliente in formato hash. Se Snap riceve i Dati personali degli utenti in formato hash o altrimenti offuscati, Snap: (i) non tenterà di effettuare l'ingegneria inversa o di cercare d'identificare nuovamente i Dati personali del cliente in formato hash o altrimenti offuscati, a meno che il Titolare del trattamento non dia istruzioni di farlo a Snap; e (ii) condividerà i Dati personali del cliente solo nel formato in cui Snap li ha ricevuti dal Titolare del trattamento dei dati.

4. Violazione dei dati personali

a. Notifica. In conformità con l'articolo 33 GDPR, GDPR del Regno Unito e LGPD, a seconda dei casi, Snap notificherà il Titolare del trattamento dei dati senza indebito ritardo e, ove possibile, non più di 72 ore dopo aver preso conoscenza di una Violazione dei dati personali. Snap fornirà inoltre al Titolare del trattamento dei dati una descrizione della Violazione dei dati personali, il tipo di dati che sono stati oggetto di violazione, (nella misura nota a Snap) le categorie di soggetti interessati e altre informazioni richieste dalla Legge applicabile sulla protezione dei dati, non appena sia possibile raccogliere tali dati o diventino altrimenti disponibili, e Snap collaborerà con qualsiasi richiesta ragionevole fatta dal Titolare del trattamento dei dati in relazione alla Violazione.

b. Indagine. Snap si impegna a indagare immediatamente sulla Violazione dei dati personali, per individuare, prevenire e mitigare gli effetti di qualsiasi Violazione dei dati personali e, con il previo accordo del Titolare del trattamento dei dati, per effettuare qualsiasi recupero o altra azione necessaria per porre rimedio alla Violazione.

5. Sub-responsabili

a. Sub-responsabili autorizzati. Il Titolare del trattamento dei dati autorizza in modo specifico l'impegno delle consociate di Snap a trattare i Dati personali del cliente e il Titolare del trattamento dei dati autorizza in generale il coinvolgimento di altre terze parti in qualità di Sub-responsabile a trattare i Dati personali del cliente.

b. Obblighi del sub-responsabile. In conformità con l'articolo 28 (4) GDPR, GDPR del Regno Unito e LGPD, a seconda dei casi, Snap imporrà termini contrattuali legalmente vincolanti a ciascun Sub-responsabile, restrittivi come quelli contenuti nel presente Accordo.

c. Accesso limitato. Snap garantirà che ciascun Sub-responsabile acceda e utilizzi i Dati personali del cliente solo nella misura necessaria per adempiere agli obblighi subappaltati e in conformità al presente Accordo.

d. Aggiornamenti dei sub-responsabili. In conformità con l'articolo 28 (2) GDPR e GDPR del Regno Unito (a seconda dei casi), qui c'è un elenco aggiornato di: (i) tutti i Sub-responsabili coinvolti nel trattamento dei Dati personali del cliente; (ii) le finalità per le quali i Sub-responsabili trattano i Dati personali del cliente; e (iii) la posizione di ciascun Sub-responsabile. Snap notificherà il Titolare del trattamento dei dati almeno 30 giorni prima di aggiungere un nuovo Sub-responsabile. 

e. Diritto di opposizione. Il Titolare del trattamento dei dati ha il diritto di opporsi all'aggiunta di un nuovo Sub-responsabile, come descritto nella presente Sezione. Nel caso in cui il Titolare del trattamento dei dati si opponga al trattamento dei Dati personali del cliente da parte di qualsiasi Sub-responsabile appena nominato, informerà immediatamente Snap, dopodiché Snap potrà: (i) istruire il Sub-responsabile di cessare qualsiasi ulteriore trattamento dei Dati personali del cliente, nel qual caso il presente Accordo continuerà inalterato; o (ii) consentire al Titolare del trattamento dei dati di risolvere immediatamente il presente Accordo.

6. Trasferimenti dei dati

a. Se il Titolare del trattamento dei dati ha sede nello SEE, in Svizzera o nel Regno Unito e trasferisce i dati personali a Snap Inc., allora l'Accordo sul trasferimento dei dati:

(i) si applica a tali trasferimenti; 

(ii) prevale su tutti gli altri termini, compresi i termini del presente Accordo, in relazione a tali trasferimenti;

(iii) forma un accordo legalmente vincolante tra l'utente come esportatore di dati e Snap come o per conto dell'importatore di dati; e 

(iv) deve essere incorporato nei Termini dei servizi commerciali

b. Per quanto riguarda i dati personali dei soggetti interessati dello SEE, della Svizzera e del Regno Unito, il Titolare del trattamento dei dati e Snap concordano che Snap possa trattare i Dati personali del cliente al di fuori dello SEE, della Svizzera e del Regno Unito qualora siano soddisfatti i requisiti della legge sulla protezione dei dati (inclusi, ove applicabili, gli articoli da 44 a 47 del GDPR) o si applichi un'eccezione (incluse, ove applicabili, quelle elencate nell'articolo 49 del GDPR).

c. Per quanto riguarda i dati personali dei soggetti brasiliani, il Titolare del trattamento dei dati accetta che Snap possa trattare i Dati personali del cliente al di fuori del Brasile e dichiara e garantisce che tale trasferimento dei Dati personali del cliente è conforme alla LGPD.

7. Indennizzo; responsabilità sub-responsabile

a. Indennizzo. Snap si impegna a indennizzare il Titolare del trattamento dei dati da qualsiasi reclamo, addebito, pretesa, danno, perdita, costo, responsabilità e spesa di terze parti dovuti, derivanti da o relativi, in qualsiasi modo, alla violazione del presente Accordo da parte di Snap.

b. Procedura d'indennizzo. Il Titolare del trattamento dei dati notificherà prontamente per iscritto a Snap qualsiasi richiesta d'indennizzo, ma l'eventuale mancata comunicazione a Snap non solleverà Snap da qualsiasi responsabilità od obbligo d'indennizzo in essere, salvo nella misura in cui Snap sia materialmente pregiudicata da tale mancanza. Il Titolare del trattamento dei dati si impegna a collaborare ragionevolmente con Snap, il quale si farà carico delle eventuali spese, nell'ambito della difesa, della risoluzione giudiziale o extragiudiziale di qualsivoglia richiesta d'indennizzo. Snap non comprometterà o risolverà alcun reclamo in alcun modo, né farà ammissione di responsabilità, senza il previo consenso scritto del Titolare del trattamento dei dati, che il Titolare del trattamento dei dati può fornire a sua esclusiva discrezione. Il Titolare del trattamento dei dati ha la facoltà di partecipare (sostenendo le relative spese) alla difesa, alla procedura extragiudiziale nonché alla composizione della controversia essendo rappresentata da un avvocato scelto dallo stesso.

c. Responsabilità sub-responsabile. Snap riconosce e accetta che rimarrà responsabile nei confronti del Titolare del trattamento dei dati per una violazione dei termini del presente Accordo da parte di un Sub-responsabile del trattamento e di qualsiasi altro successivo responsabile del trattamento di terze parti da esso nominato.

8. Risoluzione

a. Risoluzione. Il presente Accordo cesserà automaticamente alla risoluzione dei Termini dei servizi commerciali.

b. Continuità. Gli obblighi di Snap relativi alla restituzione o alla cancellazione dei Dati personali del cliente rimarranno in vigore anche in seguito alla risoluzione dei Termini dei servizi commerciali e del presente Accordo fino a quando Snap non avrà restituito o cancellato i Dati personali del cliente in conformità al presente Accordo.

Allegato 1: dettagli del trattamento dei dati
A. Elenco delle parti
Esportatori di dati

L'esportatore di dati sarà il Titolare del trattamento dei dati, come definito nel presente Accordo, con nome, indirizzo e dettagli di contatto forniti a Snap tramite i Servizi commerciali. Le attività rilevanti per i dati trasferiti ai sensi delle presenti clausole includono l'uso dei Servizi commerciali rilevanti in conformità ai Termini dei servizi commerciali e ai Termini e alle condizioni supplementari applicabili. L'esportatore di dati riveste il ruolo di titolare del controllo. 

Importatori di dati

L'importatore di dati sarà:

Snap Inc., con sede legale presso 3000 31st Street, Santa Monica, California 90405

Le attività rilevanti per i dati trasferiti ai sensi delle presenti clausole includono l'uso dei Servizi commerciali rilevanti in conformità ai Termini dei servizi commerciali e ai Termini e alle condizioni supplementari applicabili. L'importatore di dati ricopre il ruolo di responsabile del trattamento.

B. Descrizione del trasferimento

Le attività di trattamento dei dati svolte da Snap ai sensi del presente Accordo sono le seguenti:

Oggetto

La fornitura di Servizi commerciali da parte di Snap al Titolare del trattamento dei dati.

Durata del trattamento e conservazione

Per la durata del presente Accordo più il periodo dalla scadenza del presente Accordo fino all'anonimizzazione, alla restituzione o alla cancellazione dei dati in conformità a quanto stabilito nello stesso.

Natura e scopo

Snap tratterà i Dati personali dei clienti ai fini della fornitura dei Servizi commerciali al Titolare del trattamento dei dati in conformità e come descritto nei Termini dei servizi commerciali e nel presente Accordo.

Categorie di dati

Dati personali del cliente relativi a individui forniti a Snap tramite i Servizi commerciali, dal (o su indicazione del) Titolare del trattamento dei dati, che possono includere:

  • indirizzo email

  • numero di telefono

  • ID annuncio mobile (IDFA/AAID)

  • l'indirizzo IP

  • id cookie

  • agente utente del browser

  • azioni ed eventi che avvengono su siti web e app, tra cui pagine visualizzate, acquisti, ricerche, eventi di check-out, liste dei desideri, installazioni e metodi di registrazione degli utenti

Dati sensibili trasferiti

Non applicabile

Frequenza del trasferimento 

Costante

Soggetti interessati

Gli interessati includono individui provenienti da SEE, Svizzera, Regno Unito e Brasile i cui dati personali sono forniti a Snap tramite i Servizi commerciali dal (o su indicazione del) Titolare del trattamento dei dati.

C. Autorità di controllo competente

L'autorità di controllo competente sarà l'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP).

Allegato 2: misure di sicurezza di Snap

1. Implementazione e osservanza di un programma scritto di sicurezza delle informazioni conforme agli standard del settore e comprendente protezioni amministrative, tecniche e fisiche adeguate alla natura dei Dati personali del cliente e progettate per proteggere tali informazioni da: accessi, distruzioni, utilizzi, modifiche o divulgazioni non autorizzati; accessi o utilizzi non autorizzati che potrebbero causare danni o problemi sostanziali al Titolare del trattamento dei dati, ai clienti del Titolare del trattamento dei dati o ai dipendenti del Titolare del trattamento dei dati; e qualsiasi minaccia o pericolo previsto per la sicurezza o l'integrità di tali informazioni.

2. Adottare e implementare politiche e standard ragionevoli relativi alla sicurezza.

3. Assegnare la responsabilità della gestione della sicurezza delle informazioni.

4. Assegnare risorse umane idonee alla sicurezza delle informazioni.

5. Effettuare controlli per la verifica del personale permanente che avrà accesso ai Dati personali dell'utente.

6. Effettuare controlli appropriati e richiedere a dipendenti, venditori e altri soggetti che hanno accesso ai Dati personali del cliente di sottoscrivere accordi scritti di riservatezza.

7. Condurre corsi di formazione per sensibilizzare i dipendenti e le altre persone che hanno accesso ai Dati personali del cliente sui rischi per la sicurezza delle informazioni e per migliorare la conformità con le politiche e gli standard di Snap relativi alla protezione dei dati.

8. Prevenire l'accesso non autorizzato ai Dati personali del cliente attraverso l'utilizzo, a seconda dei casi, di controlli fisici e logici (password) all'ingresso, di aree sicure per l'elaborazione dei dati, di procedure per il monitoraggio dell'utilizzo delle strutture di elaborazione dei dati e di audit trail integrati nel sistema, utilizzo di password sicure, tecnologia di rilevamento delle intrusioni di rete, tecnologia di crittografia e autenticazione, procedure di accesso sicure e protezione dai virus, monitorando costantemente la conformità alle politiche e agli standard di Snap relativi alla protezione dei dati. In particolare, Snap ha implementato e rispetta, come appropriato e senza limitazione:

  • Misure di controllo dell'accesso fisico per impedire l'accesso non autorizzato ai sistemi di elaborazione dei dati (ad esempio, carte d'identità, lettori di carte, funzionari, sistemi di allarme, rilevatori di movimento, allarmi antifurto, videosorveglianza e sicurezza esterna);

  • Misure di controllo per impedire l'uso non autorizzato dei sistemi di protezione dei dati (ad esempio, requisiti di complessità e modifica delle password e firewall applicati automaticamente). ;

  • Schema di autorizzazione e diritti di accesso basati sui requisiti, monitoraggio e registrazione degli accessi al sistema per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati abbiano accesso solo ai dati a cui hanno diritto di accesso e che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione;

  • Misure di controllo della trasmissione dei dati per garantire che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica, il trasporto o l'archiviazione su supporti di dati, nonché il trasferimento e la ricezione di registrazioni. In particolare, il programma di sicurezza informatica di Snap sarà progettato:

    • Per crittografare in memoria qualsiasi serie di dati in possesso di Snap, compresi i dati personali sensibili, utilizzando livelli di crittografia appropriati basati su standard di crittografia leader del settore, tra cui AES -256, e memorizzando le identità degli utenti sul sistema utilizzando coppie di valori chiave come ghost_id per impedire la memorizzazione dell'ID utente effettivo; e

    • Per garantire che qualsiasi dato personale sensibile trasmesso elettronicamente (a eccezione del facsimile) a una persona esterna al sistema informatico di Snap o trasmesso su una rete pubblica sia crittografato utilizzando le ultime versioni supportate del protocollo TLS 1.2 per proteggere la sicurezza della trasmissione;

  • Misure di controllo dell'inserimento dei dati per garantire che Snap possa verificare e stabilire se e da chi i Dati personali del cliente sono stati inseriti nei sistemi di elaborazione dati, modificati o rimossi;

  • Misure di verifica continua della sicurezza per garantire che le pratiche di sicurezza delle informazioni rimangano pertinenti, efficaci e aggiornate, tra cui test di penetrazione annuali, programma bug bounty, uso di strumenti di scansione del sistema, esercitazioni tabletop, test di ripristino dei backup, failover di preproduzione e conduzione di post mortem su qualsiasi incidente reale al fine di aggiornare i relativi piani di ripristino di emergenza;

  • Misure di supervisione dei Sub-processori per garantire che, qualora Snap sia autorizzata a utilizzare i Sub-processori, i Dati personali del cliente siano trattati in modo strettamente conforme alle istruzioni del Titolare del trattamento dei dati, tra cui, a seconda dei casi:

    • Misure volte a garantire che i Dati personali del cliente siano protetti da distruzione o perdita accidentale, tra cui, a seconda dei casi e senza limitazioni, politiche di backup, archiviazione e distruzione sicura dei dati; archiviazione sicura fuori sede dei dati sufficiente per il ripristino di emergenza; alimentazione elettrica ininterrotta e programmi di ripristino in caso di disastri; e

    • Misure per garantire che i dati raccolti per scopi diversi possano essere trattati separatamente, compresa, se del caso, la separazione fisica o logica adeguata dei dati personali del cliente. 

9. Adottare le altre misure più opportune in base alle circostanze.