ACCORDO SUL TRATTAMENTO DEI DATI SITEGROUND


Il presente Accordo di trattamento dei dati (questo "DPA") è stato stipulato tra SiteGround Spain S.L. ("SiteGround", "noi") e Cliente ("Cliente", "Lei"), insieme denominati "Le parti". Questo accordo ("DPA") fa parte dei Termini di servizio, dell'Informativa sulla privacy e di altre politiche pertinenti disponibili qui. Il Cliente che accetta questi termini entra nel presente DPA per proprio conto nella misura richiesta dalle Normative e leggi sulla protezione dei dati applicabili e nella misura in cui SiteGround elabora i Dati del cliente secondo le istruzioni del Titolare (come definito nella Sezione 1).

Nel corso della fornitura dei servizi al cliente, SiteGround può elaborare i Dati del Cliente per conto del Cliente. Le Parti si impegnano a rispettare le seguenti disposizioni in relazione ai dati dei clienti, ciascuno agendo in modo ragionevole e in buona fede.

 

1. Definizioni


Se non diversamente definito dalla presente DPA, tutti i termini in maiuscolo hanno i significati indicati come segue:

"Accordo" significa i Termini di servizio e le altre politiche pertinenti annunciate sul nostro sito Web, insieme al suo Ordine per l'acquisto dei Servizi e alla conferma dell'Ordine inviata da SiteGround.

"Ordine" significa qualsiasi ordine da parte del Cliente per l'acquisto dei rispettivi servizi.

"Sito" significa il sito Web SiteGround e tutti i servizi che offriamo attraverso il nostro sito Web.

"Servizi" significa qualsiasi servizio di hosting che offriamo e che il Cliente ha acquistato che potrebbe comportare il trattamento di Dati personali da parte di SiteGround.

"Partner" significa qualsiasi entità che controlla direttamente o indirettamente, è controllata da o è sotto il controllo comune con l'entità del Interessato SiteGround. "Controllo", ai fini della presente definizione, significa la proprietà o il controllo diretto o indiretto di più di 50% degli interessi di voto dell'entità in questione.

"Prodotti aggiuntivi" significa qualsiasi funzionalità, prodotto, software, programma, componente aggiuntivo, plug-in, script, strumenti o qualsiasi altro software o contenuto di terze parti che non fa parte dei Servizi ma che può essere accessibile tramite l'Area Utente di SiteGround o il Controllo Pannello, installato dal Cliente o comunque per l'utilizzo dei Servizi.

"GDPR" significa il regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati dei clienti e alla libera circolazione di tali dati, e che abroga la Direttiva 95/46 /CE (Regolamento generale sulla protezione dei dati).

"Titolare" significa la persona fisica o giuridica che, da sola o congiuntamente ad altri, determina le finalità e le modalità del trattamento dei dati dei clienti;

"Dati del cliente" significa qualsiasi "Dati personali" che viene fornito a parte di SiteGround da, o per conto del Cliente attraverso il loro uso dei Servizi e che è memorizzato nell'account del Cliente (per evitare dubbi Dati personali parte dell'ordine del Cliente per l'acquisto del rispettivo servizio non deve essere trattato come un Dato del cliente). I Dati del cliente possono includere, a titolo esemplificativo, i dati del cliente ai sensi del GDPR.

"Dati personali" ha il significato come specificato nell'articolo 4 del GDPR.

"Norme e leggi sulla protezione dei dati" significa tutte le normative e le leggi, comprese le leggi e le normative dell'Unione Europea, dello Spazio economico europeo e dei loro stati membri, la Svizzera e il Regno Unito, applicabili al trattamento dei dati dei clienti ai sensi del presente DPA.
"Interessato" indica la persona identificata o identificabile a cui si riferiscono i Dati del cliente.

"Data di entrata in vigore" indica, come applicabile:

  1. 25 maggio 2018, se il Cliente ha eseguito Ordine/Ordini e ha accettato gli Accordi o le Parti hanno altrimenti concordato il presente DPA in relazione all'Accordo applicabile prima o in tale data; o

  2. la data in cui il Cliente ha fatto clic per accettare l’Accordo o le Parti altrimenti hanno concordato con il presente DPA in relazione all’Accordo applicabile, se tale data è successiva al 25 maggio 2018.
    "Trattamento" ha il significato come specificato nell'articolo 4 del GDPR.

"Processore" indica l'entità che elabora i Dati del cliente per conto del Titolare.
"SiteGround" significa l'entità SiteGround che è parte di questo DPA, come specificato nella sezione, una società costituita nel Regno di Spagna (numero di registrazione CIF: B87194171), con indirizzo: Calle de Prim 19, 28004 Madrid, Spagna.

"Gruppo di società SiteGround" indica SiteGround e le sue parti correlate impegnate nel Trattamento dei Dati dei clienti:

"Clausole contrattuali standard" o "CCS" significa le clausole standard sulla protezione dei dati per il trasferimento dei Dati dei clienti, come descritto nell'Articolo 46, p.2, c) del GDPR, Appendice 1 al presente DPA.

"Subincaricato" significa qualsiasi incaricato impegnato da SiteGround o un membro del Gruppo SiteGround.

"Autorità di controllo" significa un'autorità pubblica indipendente, istituita nel Regno di Spagna nel territorio dello Stato membro dell'UE ai sensi del GDPR.

"Periodo" indica il periodo dalla Data di entrata in vigore fino alla fine della fornitura dei Servizi di SiteGround ai sensi dell'Accordo applicabile, incluso, se applicabile, qualsiasi periodo durante il quale i Servizi potrebbero essere sospesi e qualsiasi periodo post-terminazione (vale a dire 60 giorni calendari) durante i quali SiteGround può continuare a fornire servizi a fini transitori.

"Perdite sulla protezione dei dati" significa tutte le responsabilità, tra cui:

  1. costi (comprese le spese legali);

  2. reclami, richieste, azioni, insediamenti, oneri, procedure, spese, perdite e danni (sia materiali che non materiali, incluso il disagio emotivo);

  3. nella misura consentita dalla Legge applicabile:

    1. multe amministrative, penali, sanzioni, responsabilità o altri rimedi imposti da un'autorità di controllo della Protezione dei dati o da qualsiasi altra autorità di Regolamentazione pertinente;

    2. risarcimento a un Interessato ordinato da un'Autorità di controllo della protezione dei dati;

    3. i costi ragionevoli della conformità alle indagini da parte di un'autorità di controllo della protezione dei dati o di qualsiasi altra autorità di regolamentazione pertinente; e

  4. i costi per il caricamento dei Dati del cliente e la sostituzione dei materiali e delle attrezzature del Cliente, nella misura in cui gli stessi siano persi o danneggiati e qualsiasi perdita o corruzione dei Dati del cliente, inclusi i costi di rettifica o ripristino dei Dati del cliente;

"Indirizzo e-mail di notifica" indica l'indirizzo e-mail specificato dal Cliente nella sezione I miei dettagli nell'area Utente per ricevere notifiche da SiteGround.

 

2. Trattamento dati.


2.1. Campo

Il presente DPA si applica laddove e solo nella misura in cui SiteGround elabora i Dati personali per conto del cliente nel corso della fornitura dei servizi e tali Dati personali sono Interessati alle Leggi sulla protezione dei dati dell'Unione europea, dello Spazio economico europeo e / o dei loro membri stati, Svizzera e / o Regno Unito (di seguito "Dati del cliente").
Se il Cliente che accetta questo DPA è già un Cliente, questo DPA fa parte dell'Accordo, dell'Informativa sulla privacy e di altre politiche e documenti pertinenti annunciati sul nostro sito Web. In tal caso, l'entità SiteGround deve essere considerata parte di questo DPA.
Questo DPA è efficace solo per l'account cliente per cui è stato concordato. Se il cliente possiede più di un account, verrà stipulato un DPA per ogni singolo account separatamente.

Il presente DPA è valido e giuridicamente vincolante solo per l'entità fisica / giuridica dichiarata nell'account nell'Area utente e solo per i servizi acquistati direttamente da SiteGround all'interno del rispettivo account.
Se l'entità Cliente che accetta questo DPA non è parte di un Ordine né dell’Accordo, questo DPA non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l'entità Cliente che sia parte dell'Accordo esegua questo DPA.

Il presente DPA, comprese le sue appendici, ad eccezione delle clausole dell'Informativa sulla privacy, saranno efficaci e sostituiranno tutti i termini precedentemente applicabili alla privacy, al trattamento e / o alla sicurezza dei dati.

2.2. Conforme alle leggi.

Se al presente DPA si applicano le Leggi sulla protezione dei dati dell'Unione europea, ciascuna parte rispetterà gli obblighi ad essa applicabili ai sensi della legislazione europea sulla protezione dei dati in relazione al trattamento di tali Dati del cliente.

2.3. Materia e dettagli del trattamento dei dati

2.3.1. Argomento

SiteGround elaborerà i Dati del cliente secondo necessità per la fornitura dei Servizi, il relativo supporto tecnico e altre richieste ai sensi dell'Accordo e come ulteriormente indicato dal Cliente nel suo utilizzo dei Servizi.

2.3.2. Periodo del trattamento
Fatta salva la Sezione 11, il periodo del trattamento dei dati sarà il Periodo designata ai sensi dell'Ordine e dell'Accordo applicabile.

2.3.3. Natura e Scopo del Trattamento
SiteGround elaborerà i Dati del cliente allo scopo di fornire i Servizi e il relativo supporto tecnico al Cliente in conformità con l'Accordo, questo DPA e altre politiche pertinenti.

2.3.4. Categorie di Interessati
Il Cliente può inviare Dati del cliente nel corso del suo utilizzo dei Servizi, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, ma non è limitato ai Dati personali relativi alle seguenti categorie di Interessati di dati :

2.3.5. Categorie di Dati personali

Il Cliente può inviare i Dati del cliente nel corso del suo utilizzo dei Servizi, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, ma non è limitato ai Dati personali relativi alle seguenti categorie di Dati personali:

2.4. Ruoli delle Parti

Le parti riconoscono e concordano che:

  1. SiteGround è un elaboratore di Dati dei clienti ai sensi della Legislazione europea sulla protezione dei dati;

  1. Il Cliente è un controllore o elaboratore, dove applicabile, dei Dati del Cliente ai sensi della Legislazione europea sulla protezione dei dati; e ha ottenuto tutti i consensi e i diritti necessari ai sensi delle Leggi sulla protezione dei dati per SiteGround per elaborare i dati dei clienti e fornire i servizi ai sensi dell'Accordo e del presente DPA.

2.5. Istruzioni per il trattamento dei dati.

SiteGround tratterà i Dati del cliente in conformità al presente DPA, che rappresenta le istruzioni complete e finali del cliente a SiteGround in relazione al trattamento dei Dati del cliente. Il trattamento al di fuori dell'ambito di questo DPA (se presente) richiede un accordo scritto preventivo tra SiteGround e il Cliente su ulteriori istruzioni per il trattamento. Con la sottoscrizione del presente DPA, il Cliente comunica a SiteGround di elaborare i dati del Cliente solo in conformità con la legge applicabile:

  1. fornire i Servizi e il relativo supporto tecnico e di altro tipo;

  2. come avviato dal Cliente e dagli utenti finali nell'uso dei Servizi;

  3. come specificato nell'Accordo, nei Termini di servizio, nella Politica sulla privacy e in altre politiche pertinenti che disciplinano la fornitura dei Servizi e il relativo supporto tecnico e di altro tipo.

2.6. Accedi o Usa.

SiteGround non accederà né utilizzerà i Dati del cliente, tranne se necessario per fornire i Servizi e il relativo supporto tecnico al Cliente in conformità con il DPA, l’Accordo e altre politiche pertinenti.

2.6.1. Trattamento del cliente.
Il Cliente, durante l'utilizzo dei Servizi, tratta i propri Dati in conformità con i requisiti delle leggi e dei regolamenti sulla protezione dei dati ad esso applicabili. Il Cliente sarà il solo responsabile dell'accuratezza, della qualità e della legalità dei propri Dati e dei mezzi con cui il Cliente ha acquisito tali Dati.

2.6.2. Trattamento dei dati dei clienti da parte di SiteGround.
SiteGround tratterà i dati del cliente solo per conto e in conformità con le istruzioni documentate del cliente per i seguenti scopi:

  1. Trattamento per fornire i Servizi e il relativo supporto tecnico in conformità con il presente DPA e gli Ordini applicabili;

  2. Trattamento avviato dagli Utenti durante l'utilizzo dei Servizi;

  3. Trattamento necessario per mantenere e migliorare i Servizi.

2.6.3. Conformità di SiteGround alle istruzioni.
A partire dalla data di validità, SiteGround rispetterà le istruzioni sopra descritte nella sezione Istruzioni del cliente, anche in relazione ai trasferimenti di dati, a meno che la legislazione dell'UE o degli Stati membri dell'UE a cui SiteGround sia soggetta richieda un altro trattamento dei Dati del cliente da parte di SiteGround, nel qual caso SiteGround informerà il Cliente (a meno che tale legge non vieti a SiteGround di farlo per importanti motivi di interesse pubblico) tramite il Sito o l'indirizzo e-mail di notifica.


I dati del cliente possono essere consultati ed elaborati da SiteGround, utenti autorizzati e subincaricati per adempiere agli obblighi previsti dal presente DPA e dal rispettivo Accordo o per fornire determinati servizi per conto di SiteGround. Tale trattamento sarà conforme alle misure descritte nelle sezioni 3, sezione 7 e allegato 2 Misure di sicurezza.

2.7. Diritti degli Interessati.

2.7.1. Accesso, rettifica, trattamento limitato, portabilità.
Durante il Periodo applicabile, SiteGround dovrà, in modo coerente con la funzionalità dei Servizi, consentire al Cliente di accedere, rettificare e limitare il trattamento dei Dati del Cliente, anche mediante la cancellazione di tutti o parte dei Dati del cliente nel proprio account o la cancellazione del conto intero come descritto nella sezione 2.6. (Restituzione e cancellazione dei dati dei clienti) e tramite esportazione dei dati dei clienti.

2.7.2. Richieste dell'Interessato.

2.7.2.1. Responsabilità del cliente per le richieste.
Se durante il Periodo applicabile, SiteGround riceve una richiesta da un Interessato dei dati per esercitare il Diritto di accesso del Interessato, il diritto alla rettifica, la limitazione del Trattamento, la cancellazione ("diritto all’oblio"), la portabilità dei dati, l'opposizione al Trattamento o il suo diritto a non essere Interessato a un processo decisionale individuale automatizzato ("Richiesta del Interessato"), SiteGround consiglia al Interessato di presentare la sua richiesta al Cliente e il Cliente sarà responsabile di rispondere a tale richiesta, tra cui, dove necessario, utilizzando la funzionalità dei Servizi. SiteGround dovrà, nella misura consentita legalmente, adottare misure commercialmente ragionevoli per informare il Cliente in merito a tali richieste.

2.7.2.2.  Assistenza per la richiesta del Interessato di SiteGround.
Tenendo conto della natura del Trattamento, il Cliente accetta che SiteGround fornirà un'adeguata assistenza tecnica e organizzativa, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste degli Interessati, incluso, se applicabile, l'obbligo del Cliente di rispondere alle richieste per l'esercizio dei diritti del Interessato  specificati nel capitolo III del GDPR, da:

(a) fornire risorse di documentazione sotto forma di tutorial e articoli della knowledge base, funzionalità e / o controlli nel Control Panel che il Cliente può scegliere di utilizzare per configurare correttamente i Servizi e utilizzare i Servizi in modo sicuro.

(b) fornendo funzione, funzionalità e / o controlli nel Control Panel che il Cliente può scegliere di utilizzare per recuperare, correggere o eliminare i Dati del cliente dai Servizi.

(c) rispettare gli impegni stabiliti nel presente DPA.

(d) Nella misura in cui il Cliente, nel suo utilizzo dei Servizi, non ha la capacità di rispondere a una Richiesta del Interessato, SiteGround dovrà, su richiesta del Cliente, compiere sforzi commercialmente ragionevoli per aiutare il Cliente a rispondere a tale Richiesta del Interessato, nella misura in cui SiteGround sia legalmente è autorizzato a farlo e la risposta a tale richiesta del Interessato è richiesta dalle Leggi e dai regolamenti sulla protezione dei dati. Nella misura consentita legalmente, il Cliente sarà responsabile di eventuali costi derivanti dalla fornitura di tale assistenza da parte di SiteGround.


Il cliente dovrà coprire i costi ragionevoli di SiteGround per fornire assistenza nella sezione 2.7.2.2.

2.8. Restituzione e cancellazione dei dati dei clienti.

SiteGround consentirà al Cliente di eliminare i Dati del Cliente durante il Periodo applicabile in modo coerente con la funzionalità dei Servizi e le caratteristiche secondo il rispettivo Ordine. Se il Cliente utilizza i Servizi per recuperare o eliminare i Dati del cliente e i Dati del cliente non possono essere recuperati, ciò costituirà un'istruzione per SiteGround per eliminare i Dati del cliente rilevanti archiviati sui sistemi di backup in conformità con la legge applicabile e entro un periodo massimo di 60 giorni calendari.


La disattivazione dei Servizi o la scadenza del Periodo applicabile costituiranno un'istruzione per SiteGround per eliminare i Dati del cliente e i Dati del cliente pertinenti archiviati sui sistemi di backup entro un periodo massimo di 60 giorni calendari.


Nulla in questa Sezione 2.8 varia o modifica alcun obbligo di SiteGround di conservare alcuni o tutti i Dati del cliente come necessario per conformarsi alla legge o ad un ordine valido e vincolante delle forze di ordine (come un invito a comparire o un ordine del tribunale).

2.9. Divulgazione.

SiteGround non divulgherà i Dati dei clienti a nessun governo, autorità di contrasto e altre autorità, ad eccessione di quanto necessario per ottemperare alla legge o ad un ordine valido e vincolante di una forza di ordine (come invito a comparire o un ordine del tribunale).

2.10. Il personale di SiteGround.

SiteGround impedisce al personale di tratta i Dati dei clienti senza l'autorizzazione di SiteGround. L'accesso ai Dati dei clienti è limitato al personale che svolge un ruolo e le responsabilità in conformità con l'Accordo.
SiteGround impone adeguati obblighi contrattuali al proprio personale, inclusi gli obblighi pertinenti in materia di riservatezza, protezione e sicurezza dei dati. SiteGround garantisce che questi obblighi di riservatezza sopravvivano alla risoluzione dell'incarico del personale.

2.11. Responsabile della protezione dei dati.

I membri del gruppo SiteGround hanno nominato un Responsabile della protezione dei dati per i scopi della presente DPA e Politica sulla privacy, che può essere contattato a privacy@siteground.com.

 

3. Sub-processors. Subincaricati.


3.1. Consenso all'incarico / nomina dei subincaricati del subincaricato

Il Cliente riconosce e accetta che:

(a) I partner SiteGround possono essere conservati come subincaricati; e

(b) I Partner SiteGround e SiteGround possono rispettivamente impegnare i Subincaricati in relazione al provisioning dei Servizi. SiteGround ha stipulato un accordo scritto con ciascun subincaticato contenente obblighi di protezione dei dati non meno protettivi di quelli contenuti nel presente DPA in merito alla protezione dei Dati dei clienti nella misura applicabile alla natura dei Servizi forniti da tali subincaricati. Se il Cliente ha stipulato Clausole Contrattuali Standard (Appendice 1) come descritto nella Sezione 5 (Trasferimenti di dati al di fuori del SEE), le autorizzazioni di cui sopra costituiranno il consenso scritto preventivo del Cliente al subappalto da parte di SiteGround del trattamento dei Dati del Cliente se tale consenso è richiesto dalle Clausole Contrattuali Standard.


3.2. Informazioni sui subincaricati / Notifica di nuovi subincaricati

3.2.1.  SiteGround condividerà le informazioni su di Lei con i subincaricati come il gruppo di società SiteGround che si occupano della fornitura di Servizi Interessati al Suo Accordo e che hanno sede nel territorio dell'Unione Europea e degli Stati Uniti, sub-processori / processori che sono impegnati con Servizi di fornitura Interessati al Suo Accordo e che hanno sede nel territorio dell'Unione Europea e degli Stati Uniti, i fornitori di servizi di Data Center che hanno sede nel territorio dell'Unione Europea, degli Stati Uniti e di Singapore. Questi subincaricati elaboreranno i dati forniti secondo le istruzioni di SiteGround e in conformità con la nostra Informativa sulla privacy e questo DPA. Noi non autorizziamo i subincaricati a conservare, condividere, archiviare o utilizzare le Sue informazioni di identificazione personale per scopi secondari.

3.2.2.  Quando un nuovo subincaricato terzo è impegnato a elaborare i Dati del cliente in relazione al provisioning dei Servizi applicabili durante il Periodo applicabile del presente DPA, SiteGround informa il cliente di questo impegno, inclusa la categoria e la posizione del subincaricato e le attività che deve svolgere, almeno 10 giorni di calendario prima di autorizzare il nuovo subincaricato terzo inviando un'e-mail all'indirizzo e-mail di notifica o tramite l'Area utente.


3.3. Requisiti per il coinvolgimento dei subincaricati

Quando si utilizza un subincaricato, SiteGround deve:

(a) assicurare tramite un contratto scritto che:

(i) il subincaricato accede e utilizza i Dati del cliente solo nella misura necessaria per adempiere agli obblighi subappaltati e lo fa in conformità con l'Accordo applicabile (incluso questo Emendamento sul trattamento dei dati) e qualsiasi Clausola contrattuale standard stipulata o Soluzione di Trasferimento alternativa adottata da SiteGround come descritto nella Sezione 5 (Trasferimenti di dati al di fuori del SEE); e

(ii) se il GDPR si applica al trattamento dei Dati dei clienti, gli obblighi di protezione dei dati di cui all'articolo 28, paragrafo 3, del GDPR, come descritto nella presente Modifica sul trattamento dei dati, sono imposti al Subincaricato; e

(b) rimanere pienamente responsabile per tutti gli obblighi subappaltati e tutti gli atti e le omissioni del Subincaricato.


3.4. Objection Right for New sub-processors. 

Diritto di opposizione per i nuovi subincaricati

3.4.1. Il Cliente può opporsi a qualsiasi nuovo Subincaricato terzo risolvendo l’Accordo applicabile immediatamente previa comunicazione scritta a SiteGround, a condizione che il Cliente fornisca tale avviso entro 10 giorni calendari dall'invio dell'incarico del subincaricato. Questo diritto di recesso è l'unico ed esclusivo rimedio per il Cliente se il Cliente si oppone a un nuovo Subincaricato terzo.

3.4.2. SiteGround rimborserà al Cliente eventuali commissioni prepagate che coprono il resto del periodo di tali Ordini dopo la data effettiva di terminazione rispetto a tali Servizi risolti, senza imporre una penalità per tale risoluzione al Cliente.

 

4. Valutazioni d'impatto, consultazioni. Archivazione.

 

4.1. Valutazioni e consultazioni d'impatto.

Su richiesta del Cliente, SiteGround fornirà al Cliente la ragionevole cooperazione e assistenza necessarie per adempiere all'obbligo del Cliente ai sensi del GDPR di effettuare una valutazione dell'impatto sulla protezione dei dati relativa all'uso dei Servizi da parte del Cliente, nella misura in cui il Cliente non abbia altrimenti accesso a le informazioni pertinenti e nella misura in cui tali informazioni sono disponibili per SiteGround. SiteGround fornirà ragionevole assistenza al Cliente nella cooperazione o previa consultazione con l'Autorità di controllo nell'esecuzione dei suoi compiti relativi al presente DPA, nella misura richiesta dal GDPR.

 

 

5. Trasferimenti al di fuori del SEE.

 

5.1. Data center e archiviazione

SiteGround archivia ed elabora i Dati dei clienti nei Data center situati all'interno e all'esterno dell'Unione Europea. Informazioni sulla localizzazione dei nostri Data Center sono disponibili su: https://www.siteground.com/datacenters e SiteGround si riserva il diritto di aggiornarlo di volta in volta.
Il Cliente può specificare la localizzazione del Centro dati in cui verranno archiviati i propri Dati cliente. Il Cliente accetta che SiteGround può modificare la localizzazione dei Data Center e spostare i Dati del cliente in un altro Data Center. SiteGround deve informare il Cliente almeno 10 giorni calendari prima di spostare i Dati del cliente in un nuovo Data Center inviando un'e-mail all'Indirizzo e-mail di notifica o tramite l'Area utente. Se la modifica del Data Center comporta l'archiviazione dei Dati del cliente in una giurisdizione diversa, il Cliente può opporsi a tale modifica risolvendo immediatamente l’Accordo e previa comunicazione scritta a SiteGround, a condizione che il Cliente fornisca tale avviso entro 10 giorni calendari da essere informato della modifica del Data Center.
Il Cliente può spostare il proprio account e i Dati del cliente in un'altra localizzazione del Data Center in qualsiasi momento, a condizione che la funzionalità dei Servizi lo consenta e in cambio di costi aggiuntivi. Una volta che il Cliente ha effettuato la propria scelta e specificato una localizzazione del Data Center all'interno dell'Unione Europea, SiteGround non archiverà i Dati del Cliente al di fuori dei confini dell'Unione Europea, con la eccezione di quanto necessario per conformarsi alla legge o all'ordine valido e vincolante di una forza di ordine come un invito a comparire o un ordine del tribunale).

5.2. Localizzacione di trattamento

Nella misura in cui il Cliente ha specificato un Data Center al di fuori dello Spazio economico europeo e nella misura in cui SiteGround fornisce i Servizi e il relativo supporto tecnico e di altro tipo, il Cliente accetta che SiteGround possa, fatto salvo la Sezione 5, accedere ed elaborare i Dati del Cliente nel SEE, Stati Uniti e altri paesi in cui SiteGround e / o i suoi partner e subincaricati dispongono di Data Center, strutture o gestiscono operazioni di trattamento dei dati. Se l'archiviazione e / o il trattamento dei Dati del cliente comportano il trattamento dei Dati del cliente al di fuori del SEE e si applica la Legislazione Europea sulla Protezione Dei Dati, il cliente accetta che SiteGround richieda ragionevolmente al Cliente di stipulare Clausole contrattuali tipo in relazione a tali trasferimenti in accordo con Sezione 5.2 e l'Appendice 1 e il Cliente si impegna a farlo.

5.3. Meccanismo di trasferimento

Nella misura in cui SiteGround elabora o trasferisce (direttamente o tramite trasferimento successivo) i Dati dei clienti ai sensi del presente DPA dall'Unione Europea, dallo Spazio economico europeo e / o dai loro stati membri e dalla Svizzera in o verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi applicabili in materia di protezione dei dati dei suddetti territori, le parti convengono che:

  1. Le Clausole Contrattuali Standard (Appendice 1) si applicheranno ai Dati del cliente che vengono trasferiti.

  2. Si ritiene che SiteGround fornisca garanzie adeguate per proteggere i Dati dei clienti in virtù della messa a disposizione di Clausole Contrattuali Standard (Appendice 1) come meccanismo di trasferimento.

  3. Con la presente il Cliente autorizza qualsiasi trasferimento o accesso ai Dati del cliente da tali destinazioni al di fuori dello Spazio economico europeo Interessato a una qualsiasi delle misure di cui sopra;

 

6. Trattamento di registri.


Il Cliente riconosce che SiteGround è richiesto ai sensi del GDPR di:

(a) raccogliere e conservare registri di determinate informazioni, incluso il nome e i dettagli di contatto di ciascun responsabile del trattamento e / o responsabile del trattamento per conto del quale SiteGround agisce e, dove applicabile, del rappresentante locale del responsabile del trattamento o del Responsabile del trattamento e Responsabile della protezione dei dati; e

(b) mettere tali informazioni a disposizione delle autorità di controllo. Di conseguenza, se il GDPR si applica al trattamento dei Dati del Cliente, il Cliente dovrà, dove richiesto, fornire tali informazioni a SiteGround tramite il Sito o altri mezzi forniti da SiteGround e dovrà utilizzare il Sito o tali altri mezzi per garantire che tutte le informazioni fornite sono accurate e aggiornate.

 

7.   Responsabilità di sicurezza di SiteGround.

 

7.1.  SiteGround implementerà e manterrà misure tecniche e organizzative per proteggere i Dati del cliente da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati o illegali come descritto nell'Appendice 2 (le "Misure di sicurezza"). Come descritto nell'Appendice 2, le Misure di sicurezza comprendono misure per fornire la trasmissione crittografata dei dati dei clienti al di fuori dell'ambiente di Servizio; contribuire a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di SiteGround; per aiutare a ripristinare un accesso tempestivo ai Dati del cliente da una copia di backup disponibile, fornita dai Servizi di backup di SiteGround o dalla copia di backup del Cliente a seguito di un incidente; e per test regolari di efficacia. SiteGround può aggiornare o modificare le Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza generale dei Servizi.

7.2. Responsabilità e valutazione della Sicurezza del cliente.

Il Cliente accetta che, fatti salvi gli obblighi di SiteGround ai sensi della Sezione 7. (Responsabilità di sicurezza di SiteGround) e di altre Sezioni pertinenti in questo DPA:

  1. Il Cliente è il solo responsabile del loro utilizzo dei Servizi, tra cui:

    1. fare un uso appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio in relazione ai Dati del Cliente;

    2. proteggere le credenziali di autenticazione dell’account, i sistemi e i dispositivi utilizzati dal Cliente per accedere ai Servizi;

    3. garantire che tutti i programmi, script, addon, plug-in e altri software installati sull'account siano sicuri e il loro utilizzo non imponga alcun rischio di sicurezza in relazione ai Dati del cliente e all'account stesso;

    4. proteggere tutti i programmi installati, script, addon, plugin e altri software, la loro configurazione e la loro regolare manutenzione;

    5. qualsiasi contenuto dell'account;

    6. qualsiasi azione e attività sul conto; e

    7. backup dei Dati dei clienti; e

  2. SiteGround non ha l'obbligo di proteggere i Dati del cliente che il Cliente sceglie di archiviare o trasferire al di fuori dei sistemi di SiteGround e dei suoi subincaricati (ad esempio, archiviazione offline o locale), né di proteggere i Dati del cliente implementando o mantenendo controlli di sicurezza aggiuntivi tranne nella misura in cui il Cliente ha scelto di utilizzarli.

  3. Il Cliente è il solo responsabile della revisione della documentazione e della valutazione del fatto che i Servizi, le Misure di sicurezza, gli impegni di SiteGround ai sensi della presente Sezione e quanto segue soddisfino le esigenze del Cliente, inclusi eventuali obblighi di sicurezza del Cliente ai sensi della Legislazione Europea sulla protezione dei dati e / o non Legislazione europea sulla protezione dei dati, dove applicabile.

  4. Il Cliente prende atto e accetta che (tenendo conto dei costi di implementazione e della natura, campo, contesto e scopo del trattamento dei dati del Cliente nonché i rischi per le persone fisiche) le Misure di sicurezza implementate e gestite da SiteGround come indicato nella Sezione 7.1 . fornire il livello di sicurezza necessario adeguato al rischio in relazione ai Dati del cliente.

  5. È responsabilità del cliente eseguire il backup dei Dati del cliente e di tutti i dati e il consenso archiviati nell'account al fine di prevenire la potenziale perdita di dati.

    1. I servizi di backup di SiteGround sono forniti "così come sono" e sono Interessati a tutte le limitazioni di responsabilità stabilite nel Accordo applicabile.

    2. Anche se il Cliente acquista i Servizi di backup, accetta che manterrà il proprio set di backup indipendente da quelli gestiti da SiteGround e che l'unico obbligo di SiteGround è di ripristinare lo spazio dell'account alle sue condizioni operative. In caso di incidente, guasto hardware o software o danneggiamento o perdita accidentale dei dati, SiteGround può fornire assistenza, ma è l'unico obbligo del Cliente ripristinare i Dati del cliente.

    3. In caso di perdita o corruzione parziale o totale dei dati e nel caso in cui il Cliente non sia soddisfatto dell'esito del ripristino da parte dei Servizi di backup di SiteGround o la copia di backup di SiteGround non sia recente o idonea per il ripristino, sarà l'obbligo del Cliente di ripristinare i dati del cliente, i loro file e tutti i dati all'interno dell'account dal backup proprio del Cliente.

 

8. Revisione e audit di conformità.


Se la Legislazione europea sulla protezione dei dati si applica al trattamento dei Dati dei clienti:

  1. Il Cliente ha il diritto di verificare la conformità di SiteGround ai propri obblighi ai sensi del presente DPA, effettuando una revisione della documentazione o un audit, comprese le ispezioni, condotte dal Cliente o un revisore indipendente nominato dal Cliente, presentando una specifica richiesta a SiteGround in una forma scritta all'indirizzo indicato nei rispettivi Termini di servizio.

  1. SiteGround fornirà inoltre risposte scritte a tutte le richieste ragionevoli da parte del Cliente e potrà addebitare una commissione per qualsiasi revisione o audit. SiteGround fornirà in anticipo i dettagli di qualsiasi commissione applicabile in anticipo a tale verifica e il Cliente sarà responsabile di tutte le commissioni addebitate da qualsiasi revisore e di tutte le commissioni associate all'esecuzione di un audit. Le segnalazioni di tali audit saranno rese disponibili a SiteGround senza restrizioni sugli scopi del suo ulteriore utilizzo da parte di SiteGround.

  1. SiteGround può opporsi e rifiutare in modo scritto al Cliente o a un revisore incaricato dal Cliente di condurre qualsiasi audit se il Cliente o il revisore è, secondo il ragionevole parere di SiteGround, non adeguatamente qualificato o indipendente, un concorrente di SiteGround o manifestamente inadatto.

  1. Se SiteGround rifiuta di seguire qualsiasi istruzione richiesta dal Cliente o da un revisore in merito a audit o ispezione adeguatamente richiesti e mirati, il Cliente ha il diritto di risolvere il presente DPA e i Termini di servizio.
    Nulla in questa Sezione 8 (Revisione e Audit di conformità) varia o modifica qualsiasi diritto o obbligo del Cliente o di SiteGround ai sensi delle Clausole del contratto tipo stipulate come descritto nelle Sezioni 5 (Trasferimento di dati al di fuori del SEE).

 

9.  Notifica di violazione della sicurezza.


9.1. SiteGround mantiene le politiche e le procedure di gestione degli incidenti di sicurezza e informa il Cliente senza indebito ritardo dopo essere venuto a conoscenza di distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati del cliente, inclusi i dati del Cliente trasmessi, archiviati o altrimenti elaborati da SiteGround o i suoi subincaricati di cui SiteGround viene a conoscenza (un "Incidente relativo ai Dati dei clienti"). SiteGround farà ogni ragionevole sforzo per identificare la causa di tale Incidente relativo ai Dati del Cliente e adotterà le misure che SiteGround riterrà necessarie e ragionevoli al fine di rimediare alla causa di tale Incidente relativo ai Dati del Cliente nella misura in cui la riparazione rientra nel ragionevole controllo di SiteGround. Gli obblighi nel presente documento non si applicano agli Incidenti causati dal Cliente, dall'utilizzo dei Servizi da parte del Cliente, dalle azioni o attività del Cliente o dagli Utenti del Cliente.

9.2. Le notifiche effettuate ai sensi della presente sezione descriveranno, nella misura possibile, i dettagli dell'Incidente relativo ai Dati, inclusi i provvedimenti adottati per mitigare i rischi potenziali e i provvedimenti che SiteGround consiglia al cliente di affrontare l'Incidente relativo ai Dati.

9.3. Le notifiche di eventuali Incidenti relativi ai dati devono essere inviate all'Indirizzo e-mail di notifica o, a discrezione di SiteGround, mediante comunicazione diretta (ad esempio, tramite chiamata telefonica). Il cliente è il solo responsabile di assicurare che l'Indirizzo e-mail di notifica e le informazioni di contatto siano aggiornati e validi.

9.4.  SiteGround non effettuarà acceso al contenuto dei Dati del cliente al fine di identificare le informazioni soggette a specifici requisiti legali. Il Cliente è il solo responsabile del rispetto delle leggi sulla notifica degli incidenti applicabili al Cliente e dell'adempimento di eventuali obblighi di notifica di terzi relativi a qualsiasi Incidente (i) relativo/i ai Dati.

9.5. La notifica o la risposta di SiteGround a un Incidente relativo/i ai Dati ai sensi della presente Sezione 10 non deve essere interpretata come un riconoscimento da parte di SiteGround di eventuali guasti o responsabilità in relazione all'Incidente relativo ai Dati.

 

10. Responsabilità e indennità.

 
10.1. Il Cliente dovrà indennizzare e mantenere indenne SiteGround in relazione a tutte le violazioni della protezione dei dati e le perdite subite o subite da, derivanti da o in connessione con:

(a) qualsiasi inosservanza da parte del Cliente delle leggi e dei regolamenti sulla protezione dei dati;

(b) qualsiasi violazione da parte del Cliente dei suoi obblighi di protezione dei dati ai sensi del presente Accordo;

10.2. SiteGround sarà responsabile per le violazioni della protezione dei dati e le perdite causate dal trattamento dei Dati del cliente solo nella misura direttamente derivante dall'inosservanza da parte di SiteGround dei propri obblighi in qualità di Responsabile del trattamento ai sensi delle Leggi e dei regolamenti sulla protezione dei Dati.

 

11. Terminazione

Il presente DPA entrerà in vigore dalla Data di entrata in vigore fino alla fine della fornitura dei Servizi di SiteGround ai sensi dell'Accordo applicabile, incluso, se applicabile, qualsiasi periodo durante il quale i Servizi potrebbero essere stati sospesi e qualsiasi periodo post-terminazione (ovvero 60 giorni calendari) durante i quali SiteGround può continuare a fornire Servizi a fini transitori ("Periodo"). Il DPA scadrà automaticamente alla cancellazione di tutti i Dati del cliente da parte di SiteGround.

 

12.  Effetto legale.

Nella misura di qualsiasi conflitto o incoerenza tra i termini del presente DPA e il resto dell’Accordo applicabile relativo al Trattamento dei dati dei clienti, si applicano i termini del presente DPA. Salvo eventuali modifiche del presente DPA, tale Accordo rimane in vigore a tutti gli effetti. Per chiarezza, se il Cliente ha sottoscritto più di un Accordo, questo DPA modificherà ciascuno degli Accordi separatamente.



Allegato 1


CLAUSOLE CONTRATTUALI STANDARD (INCARICATI)


Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46 /UE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati


L'entità identificata come "Cliente" nell’Accordo di trattamento dati

(l'esportatore di dati)

E


SiteGround Spain S.L.

(l'importatore di dati)

ciascuno una "parte"; insieme "le parti",
HANNO CONCORDATO le seguenti Clausole Contrattuali (le Clausole) al fine di aggiungere adeguate garanzie in materia di protezione della privacy e dei diritti fondamentali e la libertà delle individui per il trasferimento da parte dell'esportatore di dati all'importatore di dati personali specificato nell'Appendice 1 .


Clausola 1

Definizioni

Ai fini delle presenti clausole:


(a) I termini «dati personali», «categorie particolari di dati», «trattamento», «responsabile del trattamento», «incaricato del trattamento», «interessato/persona interessata» e «autorità di controllo» hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;


(b) con «esportatore» s’intende il responsabile del trattamento che trasferisce i dati personali;


(c) con «importatore» s’intende l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;


(d) con «subincaricato» s’intende l’incaricato del trattamento designato dall’importatore o da altro suo subincaricato, che s’impegni a ricevere dall’importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole e del subcontratto scritto;


(e) con «normativa sulla protezione dei dati» si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è stabilito l’esportatore;


(f) con «misure tecniche e organizzative di sicurezza» s’intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.


Clausola 2

Particolari del trasferimento

I particolari del trasferimento, segnatamente le categorie particolari di dati personali, sono indicati nell’appendice 1 che costituisce parte integrante delle presenti clausole.


Clausola 3

Clausola del terzo beneficiario

  1. L’interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.

  2. L’interessato può far valere, nei confronti dell’importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore.

  3. L’interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.

  4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale.


Clausola 4

Obblighi dell’esportatore

L’esportatore dichiara e garantisce quanto segue:


(a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;


(b) che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;


(c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2;


(d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione;


(e) che provvederà all’osservanza delle misure di sicurezza;


(f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;


(g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;


(h) che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le informazioni commerciali eventualmente contenute nelle clausole o nel contratto;


(i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;


(j) che provvederà all’osservanza della clausola 4, lettere da a) ad i).


Clausola 5

Obblighi dell’importatore (1)

L’importatore dichiara e garantisce quanto segue:

  1. di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;

  2. di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;

  3. di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;

  4. che comunicherà prontamente all’esportatore:

    1. qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini; 

    2. qualsiasi accesso accidentale o non autorizzato; 

    3. e qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere; 

  5. che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;

  6. che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;

  7. che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto;

  8. che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;

  9. che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11

  10. che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.


Clausola 6

Responsabilità

  1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.

  2. Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore.

  3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.


Clausola 7

Mediazione e giurisdizione

  1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato: 

    1. di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo; 

    2. di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore.

  1. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.


Clausola 8

Collaborazione con le autorità di controllo

  1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati. 

  1. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati. 

  1. L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera b). 


Clausola 9

Legge applicabile

Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.


Clausola 10

Modifica del contratto

Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole commerciale ritenute necessarie, purché non siano in contrasto con le clausole.


Clausola 11

Subcontratto


  1. L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole (3). L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto.


  1. Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.


  1. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia …


  1. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall’importatore a norma della clausola 5, lettera j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.


Clausola 12

Obblighi al termine dell’attività di trattamento dei dati personali

.

  1. Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.

  1. L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.


[1] Requisiti obbligatori della legislazione nazionale applicabile all'importatore di dati che non vanno al di là di quanto necessario in una società democratica sulla base di uno degli interessi elencati all'Articolo 13, paragrafo 1, della direttiva 95/46/CE, vale a dire se costituiscono una misura necessaria per salvaguardare la sicurezza nazionale, la difesa, la pubblica sicurezza, la prevenzione, l'indagine, l'individuazione e il perseguimento di reati o di violazioni dell'etica per le professioni regolamentate, un importante interesse economico o finanziario dello Stato o la protezione del Interessato o i diritti e le libertà altrui non sono in contraddizione con le clausole contrattuali standard. Alcuni esempi di tali requisiti obbligatori che non vanno al di là di quanto è necessario in una società democratica sono, tra l'altro, sanzioni riconosciute a livello internazionale, obblighi di dichiarazione dei redditi o requisiti di segnalazione antiriciclaggio.


Appendice 1 alle Clausole contrattuali standard

Data importer

The data importer is SiteGround Spain S.L.
Esportatore di dati

L'esportatore di dati è l'entità identificata come "Cliente" nell’Accordo di trattamento dei dati

Importatore di dati

L'importatore di dati è SiteGround Spain S.L.

The processing operations are defined in Section 2 of the Data Processing Agreement.
Interessati 

I dati personali riguardano le categorie di interessati definite nella Sezione 2.3.4. nell'Accordo sul trattamento dei dati.

Categorie di dati

I dati personali riguardano le categorie di dati definite nella Sezione 2.3.5. nell'Accordo sul trattamento dei dati.

Operazioni di trattamento

Le operazioni di trattamento sono definite nella Sezione 2 nell’Accordo sul trattamento dei dati.


Appendice 2 alle Clausole Contrattuali Standard


Questa Appendice fa parte delle Clausole. Acquistando i Servizi da SiteGround e accettando l’Accordo sul trattamento dei dati, si riterrà che le parti abbiano accettato ed eseguito la presente Appendice 2.
Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità alle clausole 4 (d) e 5 (c) (o documento / legislazione allegata):
Le misure di sicurezza tecniche e organizzative implementate dall'importatore di dati sono descritte nell'Accordo sul trattamento dei dati e nelle Misure di sicurezza dell'Allegato 2.

Allegato 2

Misure di sicurezza

SiteGround implementa e mantiene adeguate Misure di sicurezza tecniche e organizzative per il Trattamento dei dati personali, comprese le misure stabilite nella presente Appendice 2 dell’Accordo sul trattamento dei dati. Queste misure hanno lo scopo di proteggere i Dati personali da perdita, distruzione, alterazione, divulgazione o accesso accidentali o non autorizzati, e da tutte le altre forme illegali di Trattamento. Misure aggiuntive e informazioni relative a tali misure, comprese le misure e le pratiche di sicurezza specifiche per i particolari Servizi ordinati dal Cliente, possono essere specificate nell’Accordo.
SiteGround può aggiornare o modificare queste Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza generale dei Servizi.

Le misure di sicurezza tecniche e organizzative implementate da SiteGround sono in accordo con Clausole 4(c) e 5(c) delle Clausole Contrattuali Standard.

Personale e Riservatezza
SiteGround adotterà misure ragionevoli per garantire che nessuna persona sia designata da SiteGround per il trattamento dei Dati personali a meno che tale persona:

  1. è competente e qualificato per eseguire le attività specifiche assegnategli da SiteGround;

  2. è stato autorizzato da SiteGround; e

  3. è stato istruito da SiteGround in merito ai requisiti relativi all'adempimento degli obblighi di SiteGround ai sensi delle presenti Clausole, in particolare allo scopo limitato del trattamento dei dati.


Il personale di SiteGround è tenuto a comportarsi in modo coerente con le linee guida della società in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. SiteGround effettua controlli di background ragionevolmente appropriati nella misura consentita dalla legge e in conformità con la legge locale applicabile sul lavoro e le normative. Il personale è tenuto ad eseguire un accordo di riservatezza e deve confermare la ricezione e il rispetto delle politiche di riservatezza e privacy di SiteGround. Sono forniti di formazione e gestione del personale e personale che tratta I Dati del cliente sono tenuti a completare requisiti aggiuntivi adeguati al loro ruolo.

 

Sicurezza fisica

SiteGround utilizza data center distribuiti geograficamente e archivia tutti i dati di produzione in data center fisicamente sicuri. I data center di produzione del Subincaricato SiteGround adottano misure per garantire l'accesso ai sistemi di trattamento dei dati. Hanno un sistema di accesso che controlla l'accesso al data center. Questo sistema consente solo al personale autorizzato di accedere ad aree sicure. Le strutture sono progettate per resistere a condizioni meteorologiche avverse e altre condizioni naturali ragionevolmente prevedibili, sono garantite da guardie 24 ore su 24, monitoraggio CCTV, screening degli accessi e accesso controllato dalla scorta e sono supportate anche da generatori di backup in caso del evento di mancanza di corrente.
I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e mantenibili senza impatto sulle operazioni continue 24/7. Nella maggior parte dei casi, viene fornita una fonte di alimentazione primaria e alternativa per i componenti critici dell'infrastruttura nel data center. L'alimentazione di backup è fornita da vari meccanismi come batterie di gruppi di continuità (UPS) o generatori diesel che sono in grado di fornire alimentazione elettrica di emergenza o protezione affidabile dell'alimentazione in caso di esaurimento, blackout, sovratensione, sottotensione e fuori tolleranza condizioni di frequenza.
I sistemi di infrastruttura sono stati progettati per eliminare singoli punti di errore e ridurre al minimo l'impatto dei rischi ambientali previsti. Le attrezzature e le strutture di produzione del Sub-processore SiteGround hanno documentato le procedure di manutenzione preventiva che descrivono in dettaglio il processo e la frequenza delle prestazioni in conformità con le specifiche interne del produttore o. La manutenzione preventiva e correttiva delle apparecchiature del data center è programmata attraverso un processo di modifica standard secondo procedure documentate.

Controllo dell'accesso al sistema
I server SiteGround utilizzano un'implementazione basata su Linux personalizzata per i Servizi. SiteGround utilizza un processo di revisione per aumentare la sicurezza dei sistemi operativi utilizzati per fornire i Servizi e migliorare i prodotti di sicurezza negli ambienti di produzione.
SiteGround ha e mantiene una politica di sicurezza per il suo personale. L'infrastruttura, il personale di sviluppo e supporto di SiteGround sono responsabili del monitoraggio continuo della sicurezza dell'infrastruttura di SiteGround, della revisione dei Servizi e della risposta a incidenti di sicurezza.

I processi e le politiche di accesso interno di SiteGround sono progettati per impedire a persone e / o sistemi non autorizzati di accedere ai sistemi utilizzati per elaborare i dati dei clienti, inclusi i dati personali. SiteGround mira a progettare i propri sistemi in modo da: (i) consentire alle persone autorizzate di accedere solo ai dati a cui sono autorizzati; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trattamento, l'uso e dopo la registrazione. SiteGround utilizza un sistema di gestione degli accessi per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo al personale autorizzato. Possono essere applicati, tra gli altri controlli, a seconda del particolare Servizi ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche, l'accesso logico ai data center è limitato e protetto da firewall / VLAN e registrazione degli accessi su più livelli. La concessione o la modifica dei diritti di accesso si basa su: le responsabilità lavorative del personale autorizzato; requisiti del dovere di lavoro necessari per eseguire compiti autorizzati; e la necessità di conoscere le basi. La concessione o la modifica dei diritti di accesso deve essere conforme alle politiche interne di accesso ai dati di SiteGround.

Controllo dell’accesso ai servizi
Il Cliente e gli Utenti finali devono autenticarsi tramite un sistema di autenticazione per poter utilizzare i Servizi. Ogni applicazione controlla le credenziali per consentire la visualizzazione dei dati a un Utente finale autorizzato.

Potrebbero essere applicati, tra gli altri controlli, a seconda dei particolari Servizi ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche e registrazione dell'accesso su più livelli. A seconda del particolari Servizi ordinati, possono essere applicati anche i seguenti controlli: identificatori univoci sono attribuiti alla persona responsabile, meccanismi di revocare accesso in caso di tentativi di accesso falliti consecutivi e periodi di blocco, meccanismi di scadenza e ripristino della password, requisiti di complessità della password.

Controllo dell'accesso ai dati
SiteGround archivia i dati in un ambiente multi-tenant, che significa che le distribuzioni di più clienti sono archiviate sullo stesso hardware fisico. SiteGround utilizza l'isolamento logico per separare i dati di ciascun Cliente e separa logicamente i dati di ciascun Cliente da quelli degli altri. Questo fornisce la scala impedendo rigorosamente ai clienti di accedere ai dati uno all’altro.
Al Cliente viene dato il controllo su controlli specifici per la condivisione dell'accesso ai dati agli Utenti finali per scopi specifici in conformità con la funzionalità dei Servizi. Il Cliente può scegliere di utilizzare questi controlli. SiteGround rende disponibili alcune funzionalità di logging.
L'accesso diretto ai dati dei clienti è limitato e, nel caso in cui ciò sia richiesto, i diritti di accesso sono stabiliti e applicati solo al personale autorizzato in aggiunta alle regole di controllo di accesso stabilite nelle Sezioni precedenti.

Controllo della trasmissione
I data center sono in genere collegati tramite collegamenti privati ad alta velocità per fornire un trasferimento dati sicuro e rapido tra i data center. Questo è progettato per impedire che i dati vengano letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento o il trasporto elettronico o durante la registrazione su supporti di memorizzazione dei dati o lo scambio all'interno del data center.


Per i dati in transito, SiteGround utilizza protocolli di trasporto standard del settore come SSL e TLS tra i dispositivi del Cliente, i servizi e i data center di SiteGround e all'interno dei data center stessi. Con la eccezione di quanto diversamente specificato per i Servizi (incluso nell'Ordine, nell’Accordo applicabile o nella documentazione dell'Utente dei Servizi), le trasmissioni di dati al di fuori dell'ambiente di Servizio sono crittografate. Alcune funzionalità dei Servizi possono consentire al Cliente di scegliere comunicazioni non crittografate durante l'utilizzo del Servizio. Il Cliente è l'unico responsabile dei risultati della sua decisione di utilizzare tali comunicazioni o trasmissioni non crittografate.

Controllo input
L'origine dei Dati personali è sotto il controllo del Cliente e l'integrazione dei Dati personali nel sistema, è gestita mediante trasferimento sicuro dei file, tramite servizi Web o immessa nell'applicazione dal Cliente. Come indicato nella precedente sezione Controllo della trasmissione, alcune funzionalità dei Servizi consentono ai Clienti di utilizzare protocolli di trasferimento file non crittografati. In tali casi, Il Cliente è l'unico responsabile della sua decisione di utilizzare tali protocolli di trasferimento di campo non crittografati.

I Servizi non introdurranno virus nei Dati del cliente; tuttavia, i Servizi non effettuano la ricerca di virus che potrebbero essere inclusi negli allegati o in altri Dati personali caricati nei Servizi dal Cliente. Tali allegati caricati non verranno eseguiti nei Servizi e pertanto non danneggeranno o comprometteranno il Servizio.

Controllo della rete
SiteGround blocca il traffico non autorizzato verso e all'interno dei data center utilizzando una varietà di tecnologie come firewall, NAT, reti locali partizionate e separazione fisica dei server back-end dalle interfacce pubbliche.

SiteGround impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la sua superficie di attacco esterna. SiteGround prende in considerazione potenziali vettori di attacco e incorpora tecnologie appositamente costruite appositamente nei sistemi di rivestimento esterno.


SiteGround e il personale autorizzato monitoreranno i Servizi per intrusioni non autorizzate utilizzando meccanismi di rilevamento di intrusioni basati sulla rete. Il rilevamento delle intrusioni ha lo scopo di fornire informazioni dettagliate sulle attività di attacco in corso e fornire informazioni adeguate a rispondere a incidenti. Il rilevamento delle intrusioni di SIteGround implica un controllo rigoroso della superficie di attacco delle comunicazioni di rete attraverso misure preventive come i firewall, impiegando controlli di rilevamento intelligenti nei punti di ingresso dei dati e impiegando tecnologie che risolvono automaticamente determinate situazioni pericolose.

Risposta agli incidenti
SiteGround mantiene le politiche e le procedure di gestione degli incidenti di sicurezza e monitora una varietà di canali di comunicazione per incidenti di sicurezza. Il personale di SiteGround reagirà prontamente a incidenti noti e informerà tempestivamente il Cliente nel caso in cui SiteGround venga a conoscenza di una divulgazione non autorizzata effettiva o ragionevolmente sospetta di Dati personali.

Registri di sistema
SiteGround garantisce che i sistemi di trattamento utilizzati per archivare le informazioni del registro dei Dati dei clienti nelle rispettive strutture di registro del sistema. Le voci del registro vengono mantenute nel caso in cui vi sia il sospetto di accesso inappropriato ed è necessaria un'analisi. La registrazione viene mantenuta in modo sicuro per evitare manomissioni.

Affidabilità e backup
Per i Servizi, SiteGround garantisce che i backup vengano eseguiti regolarmente. I backup sono protetti utilizzando una combinazione di controlli tecnici e fisici.
SiteGround garantisce che i sistemi in cui sono archiviati i Dati dei clienti dispongano di una struttura di ripristino di emergenza e siano regolati dal piano di ripristino di emergenza. Nel caso in cui le strutture di produzione siano rese non disponibili, SiteGround eseguirà piani di ripristino per ripristinare le operazioni in modo tempestivo. SiteGround ha progettato e pianifica e verifica regolarmente i suoi piani di ripristino di emergenza.

Distruzione di dati
Quando i clienti eliminano dati o escono dal Servizio, SiteGround garantisce che i dati vengano eliminati secondo i termini dell’Accordo applicabile. Per alcuni dischi SiteGround segue rigidi standard rigorosi che richiedono la sovrascrittura delle risorse di archiviazione prima del riutilizzo, nonché lo smaltimento fisico dell'hardware disattivato. I data center di produzione del Subincaricato SiteGround utilizzano rigide procedure per il riutilizzo, la ridistribuzione, la distruzione dei dati e la disattivazione di dischi e hardware.

Sicurezza del subincaricato
Prima dell'onboarding dei subincaricati, SiteGround effettua un audit delle pratiche di sicurezza e privacy dei subincaricati per garantire che i subincaricati forniscano un livello di sicurezza e privacy adeguato al loro accesso ai dati e allo scopo dei servizi che sono impegnati a fornire. Il subincaricato è tenuto a stipulare appropriati termini di sicurezza, riservatezza e condizioni del contratto sulla privacy.

Modifiche e miglioramenti del sistema
SiteGround può migliorare e implementare le modifiche ai Servizi durante il periodo di validità dell’Accordo. Controlli di sicurezza, procedure, politiche e funzionalità possono cambiare o essere aggiunti. SiteGround fornirà controlli di sicurezza che offrono un livello di protezione della sicurezza che non è materialmente inferiore a quello fornito alla Data di entrata in vigore.

Allegato 3: Elenco dei Sub-incaricati


Disponibile su richiesta.

 

Close Window