Addendum per l'elaborazione dei dati

Il presente Addendum al trattamento dei dati ("DPA") entra in vigore alla data di entrata in vigore di qualsiasi accordo quadro per la fornitura di Servizi (il "Contratto") tra Cakemail Inc. ("Cakemail") e il Cliente specificato nel Contratto ("Cliente"). In alternativa, il DPA entra in vigore a partire dalla data di sottoscrizione da parte del Cliente delle Condizioni d'uso online di Cakemail all'indirizzo https://www.cakemail.com/legal/terms-of-use, che saranno considerate il "Contratto" ai sensi del presente DPA.

Cakemail e il Cliente saranno di seguito denominati collettivamente "Parti" e singolarmente "Parte". Nella misura in cui uno qualsiasi dei termini o delle condizioni contenuti nel presente DPA possa essere in contraddizione o in conflitto con i termini o le condizioni relativi al trattamento dei Dati Personali contenuti nell'Accordo, è espressamente inteso e concordato che i termini del presente DPA avranno la precedenza e sostituiranno tali altri termini o condizioni per quanto riguarda l'oggetto.

Le Parti concordano quanto segue:

1.1 Ai fini del presente DPA, le seguenti espressioni hanno il seguente significato, a meno che il contesto non richieda diversamente:

"Leggi applicabili in materia di protezione dei dati" indica, per quanto riguarda una Parte, qualsiasi legge, statuto, dichiarazione, decreto, direttiva, atto legislativo, ordine, ordinanza, regolamento, norma o altro strumento vincolante relativo alla protezione dei dati personali, tra cui:

(a) la Direttiva 2002/58/CE (e successive modifiche) (la "Direttiva e-Privacy"), il Regolamento e-Privacy 2017/003 (COD) (il "Regolamento e-Privacy"), e qualsiasi legge e regolamento di attuazione;

(b) la Direttiva 95/46/CE (e successive modifiche) (la "Direttiva sulla Protezione dei Dati"), il Regolamento 2016/679 (il "GDPR"), e qualsiasi legge e regolamento di attuazione; e

(c) la legge del Quebec sulla protezione delle informazioni personali nel settore privato (la "legge sulla privacy del Quebec"), come modificata dalla legge 25;

(in ogni caso, come modificata, consolidata, reintrodotta o sostituita di volta in volta).

"Soggetto dei dati", "Dati personali", "Elaborazione", "Elaborato" e "Trattamento" avranno ciascuno il significato stabilito dal GDPR. Elaborazione significa anche "raccogliere, detenere, utilizzare o comunicare a terzi" come previsto dal Quebec Privacy Act. Per Dati Personali si intende anche "informazioni personali" come previsto dal Quebec Privacy Act;

Per "Leggi sulla Protezione dei Dati dell'Unione Europea" si intende qualsiasi legge, statuto, dichiarazione, decreto, direttiva, atto legislativo, ordine, ordinanza, regolamento, norma o altro strumento vincolante relativo alla protezione dei dati personali in vigore nel territorio dell'Unione Europea, compresi la Direttiva sulla Protezione dei Dati, il GDPR, la Direttiva e-Privacy e il Regolamento e-Privacy;

"Clausole Modello": le Clausole Contrattuali Standard tra responsabili del trattamento e incaricati del trattamento ai sensi dell'articolo 28 (7) del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio e dell'articolo 29 (7) del Regolamento (UE) 2018/1725 del Parlamento Europeo e del Consiglio, come adottate dalla Decisione di esecuzione della Commissione Europea del 4 giugno 2021; o in alternativa le Clausole Contrattuali Standard (Controller to Processor) di cui alla Decisione della Commissione Europea del 5 febbraio 2010 (C (2010) 593), fino a quando non saranno più valide il 27 dicembre 2022;

"Regolatore" indica l'autorità di vigilanza sulla protezione dei dati che ha giurisdizione sul Trattamento dei Dati Personali da parte di un Titolare. Ciò include, a titolo esemplificativo ma non esaustivo, la Commission d'accès à l'information del Quebec;

"Paesi Terzi" indica tutti i paesi al di fuori dell'ambito di applicazione delle leggi sulla protezione dei dati dello Spazio Economico Europeo ("SEE") e del Regno Unito, ad esclusione dei paesi approvati dalla Commissione Europea che di volta in volta garantiscono un'adeguata protezione dei Dati Personali, che alla data del presente DPA includono Andorra, Argentina, Canada (solo per le organizzazioni commerciali), Isole Faroe, Guernsey, Isola di Man, Israele, Giappone, Jersey, Nuova Zelanda, Svizzera e Uruguay.

Tutti i termini in maiuscolo utilizzati ma non definiti nel presente documento avranno il significato loro attribuito nel Contratto.

2.1 Le Parti riconoscono e concordano che, per quanto riguarda il Trattamento dei Dati Personali, il Cliente è il "Titolare del Trattamento", Cakemail è il "Responsabile del Trattamento" e che Cakemail si avvarrà di "Sub-Processori" ai sensi dei requisiti stabiliti nella Sezione 8 di seguito.

2.2 La durata del Trattamento, la natura e lo scopo del Trattamento, i tipi di Dati Personali e le categorie di Soggetti Trattati ai sensi del presente DPA sono ulteriormente specificati nell'Allegato 1 "Dettagli del Trattamento" del presente DPA.

2.3 Il Responsabile del trattamento dei dati tratterà i Dati personali solo per conto e in conformità alle istruzioni documentate del Titolare del trattamento dei dati. Le Parti concordano che il presente DPA costituisce le istruzioni complete e definitive del Cliente a Cakemail in relazione al trattamento dei Dati del Cliente. Il Titolare del Trattamento dovrà garantire che le sue istruzioni siano conformi a tutte le Leggi Applicabili sulla Protezione dei Dati e che il Trattamento dei Dati Personali in conformità alle istruzioni del Titolare del Trattamento non comporti una violazione delle Leggi Applicabili sulla Protezione dei Dati da parte del Responsabile del Trattamento. Il Titolare del Trattamento sarà l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati Personali e dei mezzi con cui il Titolare del Trattamento ha acquisito i Dati Personali e stabilirà la base legale per il Trattamento ai sensi delle Leggi Applicabili sulla Protezione dei Dati.

2.4 Ciascuna Parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti per l'esecuzione del presente DPA, comprese le Leggi applicabili in materia di protezione dei dati.

3.1 Il Responsabile del trattamento dei dati dovrà garantire che il personale autorizzato al trattamento dei dati personali si sia impegnato alla riservatezza o sia soggetto a un adeguato obbligo di riservatezza previsto dalla legge. Il Responsabile del Trattamento dovrà garantire che tali obblighi di riservatezza sopravvivano alla cessazione dell'incarico del personale.

4.1 Il Responsabile del Trattamento dovrà, nei limiti consentiti dalla legge, informare tempestivamente il Titolare del Trattamento qualora riceva una richiesta da parte di un Interessato di accesso ai propri Dati Personali, o di rettifica o cancellazione di tali Dati Personali, o qualsiasi altra richiesta o domanda da parte di un Interessato relativa ai propri Dati Personali (incluso l'esercizio da parte dell'Interessato dei diritti previsti dalle Leggi Applicabili in materia di Protezione dei Dati, quali i diritti di opposizione, limitazione del trattamento, portabilità dei dati o il diritto di non essere soggetto a processo decisionale automatizzato) (una "Richiesta dell'Interessato"). Tenendo conto della natura del Trattamento, il Responsabile del Trattamento assisterà il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Titolare del Trattamento di rispondere a una Richiesta dell'Interessato ai sensi delle Leggi Applicabili sulla Protezione dei Dati. Inoltre, nella misura in cui il Titolare del Trattamento, nell'utilizzo dei Servizi, non sia in grado di rispondere a una Richiesta dell'Interessato, il Responsabile del Trattamento, su richiesta del Titolare del Trattamento, si adopererà in modo commercialmente ragionevole per assistere il Titolare del Trattamento nel rispondere a tale Richiesta dell'Interessato, nella misura in cui il Responsabile del Trattamento sia legalmente autorizzato a farlo e la risposta a tale Richiesta dell'Interessato sia necessaria ai sensi delle Leggi Applicabili sulla Protezione dei Dati. Nei limiti consentiti dalla legge, il Titolare del trattamento sarà responsabile di qualsiasi costo derivante dalla fornitura di tale assistenza da parte del Responsabile del trattamento.

5.1 Il Responsabile del trattamento dei dati comunicherà tempestivamente al Titolare del trattamento dei dati qualsiasi richiesta legalmente vincolante di divulgazione dei Dati personali da parte di un'autorità di polizia, a meno che non sia altrimenti vietato. Il Titolare del trattamento avrà il diritto di difendere tale azione al posto e/o per conto del Responsabile del trattamento. Il Responsabile del trattamento dovrà ragionevolmente cooperare con il Titolare del trattamento in tale difesa.

6.1 Il Responsabile del trattamento dei dati dovrà implementare e mantenere adeguate misure tecniche e organizzative per la protezione della sicurezza (inclusa la protezione contro il Trattamento non autorizzato o illegale e contro la distruzione accidentale o illegale, la perdita o l'alterazione o il danneggiamento, la divulgazione non autorizzata o l'accesso ai Dati personali), della riservatezza e dell'integrità dei Dati personali.

7.1 Il Responsabile del trattamento dei dati si impegna a mettere a disposizione del Titolare del trattamento dei dati tutte le informazioni necessarie a dimostrare l'osservanza degli obblighi previsti dal presente DPA e dalle Leggi applicabili in materia di protezione dei dati.

7.2 Su richiesta del Titolare del trattamento, il Responsabile del trattamento fornirà al Titolare del trattamento la ragionevole cooperazione e assistenza necessaria per adempiere all'obbligo del Titolare del trattamento ai sensi del GDPR e del Quebec Privacy Act di effettuare una valutazione dell'impatto sulla protezione dei dati in relazione all'utilizzo dei Servizi da parte del Titolare del trattamento, nella misura in cui il Titolare del trattamento non abbia altrimenti accesso alle informazioni pertinenti e nella misura in cui tali informazioni siano disponibili al Responsabile del trattamento. Il Responsabile del trattamento dei dati fornirà un'assistenza ragionevole al Titolare del trattamento dei dati nella cooperazione o nella consultazione preventiva con il Regolatore nello svolgimento dei suoi compiti relativi alla Sezione 7 del presente DPA, nella misura richiesta dal GDPR e dalle Leggi applicabili in materia di protezione dei dati, compreso il Quebec Privacy Act.

8.1 Il Titolare del trattamento dei dati accetta che il Responsabile del trattamento dei dati possa avvalersi di Sub-Processori per il trattamento dei dati personali. I Sub-Processori attualmente incaricati da Cakemail e autorizzati dal Cliente sono elencati nell'Allegato 2 "Elenco dei Sub-Processori".

8.2 Il Responsabile del trattamento dei dati dovrà assicurarsi che tale Sub-Processore abbia stipulato un accordo scritto che richieda al Sub-Processore di attenersi a termini non meno protettivi di quelli previsti nel presente DPA. Il Responsabile del trattamento dei dati sarà responsabile degli atti e delle omissioni di qualsiasi Sub-Processore nella stessa misura in cui tali atti o omissioni sarebbero stati compiuti dal Responsabile del trattamento dei dati.

8.3 Il Responsabile del Trattamento dei Dati metterà a disposizione del Titolare del Trattamento dei Dati un elenco dei Sub-Processori autorizzati al Trattamento dei Dati Personali ("Elenco dei Sub-Processori", attualmente presente nell'Allegato 2) e fornirà al Titolare del Trattamento dei Dati un meccanismo per ottenere notifica di eventuali aggiornamenti dell'Elenco dei Sub-Processori. La notifica di un nuovo Sub-Processore dovrà essere effettuata prima che tale nuovo Sub-Processore sia autorizzato a trattare i Dati Personali in relazione al Contratto.

8.4 Il Titolare del trattamento può opporsi all'utilizzo da parte del Responsabile del trattamento di un nuovo Subprocessore qualora vi siano ragionevoli motivi per ritenere che il nuovo Subprocessore non sia in grado di rispettare i termini del presente DPA o del Contratto. Se il Titolare del trattamento si oppone all'utilizzo di un nuovo Subprocessore da parte del Responsabile del trattamento, il Titolare del trattamento lo comunicherà tempestivamente per iscritto al Responsabile del trattamento entro dieci (10) giorni dalla notifica relativa a tale Subprocessore. La mancata obiezione scritta da parte del Titolare del trattamento entro tale periodo di tempo costituirà un'approvazione all'utilizzo del nuovo Subprocessore. Il Titolare del trattamento dei dati riconosce che l'impossibilità di utilizzare un particolare nuovo Subprocessore può comportare un ritardo nella fornitura dei Servizi, l'impossibilità di fornire i Servizi o un aumento delle tariffe. Il Responsabile del trattamento dei dati informerà il Titolare del trattamento dei dati per iscritto (anche via e-mail) di qualsiasi modifica ai Servizi o alle tariffe che deriverebbe dall'impossibilità del Responsabile del trattamento dei dati di utilizzare un nuovo Subprocessore al quale il Titolare del trattamento dei dati si è opposto. Il Titolare del trattamento dei dati potrà sottoscrivere un emendamento scritto al Contratto che attui tale modifica oppure esercitare il diritto di risolvere il Contratto in conformità alle disposizioni in materia di risoluzione. Tale risoluzione non costituirà una risoluzione per violazione del Contratto. Il Responsabile del trattamento dei dati avrà il diritto di risolvere il Contratto se il Titolare del trattamento dei dati si oppone in modo irragionevole a un Subprocessore o non accetta una modifica scritta del Contratto che attui le modifiche alle tariffe o ai Servizi derivanti dall'impossibilità di utilizzare il Subprocessore in questione.

9.1 Il Responsabile del Trattamento dovrà, a scelta del Titolare del Trattamento, cancellare o restituire tutti i Dati Personali al Titolare del Trattamento al termine della fornitura dei Servizi relativi all'Elaborazione e cancellare le copie esistenti dei Dati Personali, a meno che ciò non sia vietato dalla legge o da un ordine di un ente governativo o normativo o possa esporre il Responsabile del Trattamento a responsabilità. Il Responsabile del Trattamento può anche anonimizzare tali Dati Personali e conservare copie dei Dati Personali anonimizzati se consentito dalle Leggi Applicabili sulla Protezione dei Dati.

9.2 Il Titolare riconosce e concorda che il Responsabile del trattamento dei dati non sarà responsabile di eventuali perdite subite dal Titolare del trattamento dei dati derivanti da o in relazione all'impossibilità del Responsabile del trattamento dei dati di fornire i Servizi a seguito dell'adempimento da parte del Responsabile del trattamento dei dati di una richiesta di cancellazione o restituzione dei Dati personali avanzata dal Titolare del trattamento dei dati ai sensi della Sezione 9.1.

10.1 Nel caso in cui si verifichi, o il Responsabile del Trattamento ritenga ragionevolmente che si verifichi, un accesso improprio, non autorizzato o illegale, l'utilizzo o la divulgazione di, o qualsiasi altra compromissione che pregiudichi la disponibilità, l'integrità o la riservatezza dei Dati Personali trattati dal Responsabile del Trattamento ai sensi o in relazione al presente DPA e/o al Contratto ("Violazione dei Dati"), nel momento in cui viene a conoscenza di tale violazione dei Dati, il Responsabile del Trattamento ne darà tempestiva comunicazione al Titolare del Trattamento e fornirà al Titolare del Trattamento le seguenti informazioni non appena disponibili:

(i) una descrizione della natura della violazione dei dati, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati;

(ii) il nome e i dati di contatto del Responsabile del trattamento dei dati presso il quale è possibile ottenere ulteriori informazioni; e

(iii) una descrizione delle misure adottate o che si propone di adottare per affrontare la violazione dei dati, comprese, ove opportuno, le misure per mitigarne i possibili effetti negativi.

10.2 Le Parti concordano di coordinarsi in buona fede per lo sviluppo del contenuto di qualsiasi dichiarazione pubblica e di qualsiasi avviso richiesto ai Soggetti interessati e/o alle autorità di regolamentazione competenti in relazione a una violazione dei dati, fermo restando che nulla nella presente Sezione 10.2 impedirà a una delle Parti di adempiere ai propri obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati. Le Parti riconoscono e concordano inoltre di utilizzare gli standard stabiliti dalle Leggi Applicabili sulla Protezione dei Dati per determinare se notificare i Soggetti interessati e/o le Autorità di Vigilanza competenti, incluso, ma non solo, il "rischio di grave pregiudizio" del Quebec Privacy Act.

11.1 Il Responsabile del Trattamento tratterà i dati in, o trasferirà i Dati Personali in, un Paese Terzo solo laddove tale trattamento o trasferimento avvenga sulla base e in conformità alle Clausole Modello, con i dettagli del trattamento che comprendono l'Appendice 1 alle Clausole Modello e le misure di sicurezza tecniche e organizzative che comprendono l'Appendice 2 alle Clausole Modello. Il Responsabile del trattamento dei dati si atterrà agli obblighi dell'importatore dei dati e il Titolare del trattamento dei dati si atterrà agli obblighi dell'esportatore dei dati come stabilito nelle Clausole Modello.

11.2 Qualora il Responsabile del trattamento dei dati incarichi una società affiliata o un subappaltatore terzo di trattare i Dati personali in un Paese terzo, il Responsabile del trattamento dei dati deve garantire che tale trattamento avvenga in conformità ai requisiti delle leggi applicabili in materia di protezione dei dati. Le parti concordano che i Dati Personali possano essere trasferiti a un affiliato o a un subappaltatore terzo negli Stati Uniti che accetti di trattare i Dati Personali secondo le Clausole Modello.

11.3 Il Responsabile del trattamento dei dati elaborerà i dati o trasferirà i dati personali a subprocessori in una provincia diversa dal Quebec solo dopo aver effettuato una "Valutazione dei fattori legati alla privacy" ai sensi della legge sulla privacy del Quebec prima che i dati personali lascino il Quebec. Se il PIA non soddisfa i nostri standard e gli standard richiesti dalla legge sulla privacy del Quebec, il Responsabile del trattamento dei dati non trasferirà i dati personali a tale Subprocessore.

12.1 Il presente DPA terminerà con la cessazione dell'Accordo o quando il Responsabile del trattamento dei dati cesserà di trattare i dati personali, a seconda di quale dei due eventi si verifichi più tardi, salvo diverso accordo scritto tra le Parti.

12.2 Le Parti riconoscono e concordano che una persona con diritti ai sensi del presente DPA può essere irrimediabilmente danneggiata da qualsiasi violazione dei suoi termini e che il solo risarcimento dei danni potrebbe non essere un rimedio adeguato. Di conseguenza, una persona che intenda presentare un reclamo ai sensi del presente DPA avrà diritto ai rimedi dell'ingiunzione, dell'esecuzione specifica o di altri rimedi equi per qualsiasi violazione minacciata o effettiva dei termini del presente DPA.

12.3 Se una delle Parti chiede di modificare il DPA per conformarsi a una modifica delle Leggi Applicabili sulla Protezione dei Dati o a una decisione vincolante e definitiva di un Regolatore con giurisdizione sul Trattamento dei Dati Personali della Parte, le Parti discuteranno in buona fede come affrontare le modifiche necessarie.

12.4 I titoli delle sezioni contenuti nel presente DPA sono solo a scopo di riferimento e non influiscono in alcun modo sul significato o sull'interpretazione del presente DPA.

I Dati Personali trattati dal Responsabile del Trattamento saranno soggetti alle seguenti attività di trattamento di base:

‍Fornitura dei Servizi, come indicato nell'Accordo e come altrimenti concordato dalle Parti.

I dati personali trattati dal Responsabile del trattamento riguardano le seguenti categorie di soggetti:

Clienti e loro abbonati, come tali termini sono definiti nell'Accordo o nell'Informativa sulla privacy di Cakemail all'indirizzo https://www.cakemail.com/legal/privacy-policy, e visitatori del sito web di Cakemail.

I Dati Personali trattati dal Responsabile del Trattamento riguardano le seguenti categorie particolari di dati:

‍Nessunoper impostazione predefinita.