Accordo sul trattamento dei dati — flydeal.it
Home Prezzi Come funziona Contatti
Accedi
o continua con
Google Facebook

Accordo sul trattamento dei dati

Ultimo aggiornamento: 1 marzo 2026

Il presente Accordo sul trattamento dei dati ("DPA") è stipulato tra l'utente del servizio di avvisi sulle offerte di voli di flydeal.it ("Titolare del trattamento", "tu" o "tuo") e Back Hills Assets LLC, una società costituita e registrata nello Stato del Delaware, Stati Uniti ("Responsabile del trattamento", "flydeal.it", "noi" o "nostro").

Il presente DPA costituisce parte integrante dei Termini di Servizio (l'"Accordo") tra il Titolare e il Responsabile del trattamento e disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare in relazione alla fornitura del servizio di avvisi sulle offerte di voli di flydeal.it (il "Servizio").

Il presente DPA è concepito per garantire la conformità all'Articolo 28 del Regolamento generale sulla protezione dei dati (UE) 2016/679 ("GDPR") e a tutte le altre leggi applicabili in materia di protezione dei dati, e sarà interpretato in conformità al GDPR.

Utilizzando il Servizio, il Titolare accetta i termini del presente DPA. Se il Titolare non accetta il presente DPA, non deve utilizzare il Servizio.

1. Definizioni

Ai fini del presente DPA, i seguenti termini avranno i significati di seguito indicati. Tutti i termini con iniziale maiuscola non definiti nel presente documento avranno i significati loro attribuiti nel GDPR o nell'Accordo.

  • "Titolare del trattamento" indica la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, come definito nell'Articolo 4, punto 7, del GDPR. Nel contesto del presente DPA, il Titolare è l'utente del Servizio.
  • "Responsabile del trattamento" indica una persona fisica o giuridica, un'autorità pubblica, un servizio o altro organismo che tratta dati personali per conto del Titolare, come definito nell'Articolo 4, punto 8, del GDPR. Nel contesto del presente DPA, il Responsabile del trattamento è Back Hills Assets LLC.
  • "Dati Personali" indica qualsiasi informazione riguardante una persona fisica identificata o identificabile ("Interessato"), come definito nell'Articolo 4, punto 1, del GDPR. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online oppure a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • "Trattamento" indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, come definito nell'Articolo 4, punto 2, del GDPR.
  • "Interessato" indica la persona fisica identificata o identificabile cui si riferiscono i dati personali.
  • "Sub-responsabile" indica qualsiasi terzo incaricato dal Responsabile del trattamento (o da qualsiasi sub-responsabile successivo) di trattare dati personali per conto del Titolare.
  • "Violazione dei Dati Personali" indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, come definito nell'Articolo 4, punto 12, del GDPR.
  • "Autorità di Controllo" indica un'autorità pubblica indipendente istituita da uno Stato membro dell'UE ai sensi dell'Articolo 51 del GDPR. L'Autorità di Controllo competente è determinata dallo Stato membro dell'UE di residenza abituale, luogo di lavoro o luogo della presunta violazione dell'Interessato.
  • "Clausole Contrattuali Standard" (SCC) indica le clausole contrattuali approvate dalla Commissione Europea ai sensi dell'Articolo 46, paragrafo 2, lettera c), del GDPR per il trasferimento di dati personali verso paesi al di fuori dello Spazio Economico Europeo (SEE) che non beneficiano di una decisione di adeguatezza.
  • "SEE" indica lo Spazio Economico Europeo, comprendente gli stati membri dell'Unione Europea più Islanda, Liechtenstein e Norvegia.

2. Ambito e finalità del trattamento

2.1 Ambito

Il presente DPA si applica a tutti i trattamenti di dati personali effettuati dal Responsabile del trattamento per conto del Titolare in relazione alla fornitura del Servizio. Il Responsabile del trattamento tratterà i dati personali esclusivamente nella misura necessaria per adempiere ai propri obblighi ai sensi dell'Accordo e in conformità alle istruzioni documentate del Titolare.

2.2 Finalità del trattamento

Il Responsabile del trattamento tratterà i dati personali per conto del Titolare per le seguenti finalità specifiche:

  • Creazione, manutenzione e gestione degli account utente, incluse autenticazione, sicurezza e recupero dell'account.
  • Archiviazione e trattamento delle preferenze di viaggio (aeroporti di partenza, preferenze di destinazione, fasce di budget, flessibilità delle date di viaggio) per generare avvisi personalizzati sulle offerte di voli.
  • Invio di notifiche e avvisi sulle offerte di voli tramite email.
  • Elaborazione dei pagamenti degli abbonamenti e gestione della fatturazione tramite processori di pagamento autorizzati.
  • Fornitura di assistenza clienti e risposta alle richieste relative al Servizio.
  • Generazione di analisi anonimizzate e aggregate per monitorare, mantenere e migliorare il Servizio.
  • Garantire la sicurezza, l'integrità e la disponibilità del Servizio e della sua infrastruttura sottostante.
  • Adempimento degli obblighi legali applicabili, inclusi requisiti fiscali, contabili e normativi.

2.3 Durata del trattamento

Il Responsabile del trattamento tratterà i dati personali per la durata dell'Accordo, salvo diverso accordo scritto o requisito di legge applicabile. Alla cessazione dell'Accordo, si applicheranno le disposizioni della Sezione 13 (Restituzione e cancellazione dei dati).

3. Categorie di interessati

I dati personali trattati ai sensi del presente DPA riguardano le seguenti categorie di Interessati:

  • Utenti registrati: Persone fisiche che hanno creato un account sulla piattaforma flydeal.it, inclusi gli utenti del piano Gratuito, piano Basic, piano Pro e piano Ultra.
  • Visitatori del sito web: Persone fisiche che visitano il sito web di flydeal.it e i cui dati possono essere raccolti tramite cookie e tecnologie simili, come descritto nella nostra Politica sui cookie.
  • Contatti dell'assistenza clienti: Persone fisiche che contattano flydeal.it per assistenza, richieste o feedback e i cui dati personali sono trattati in relazione a tali comunicazioni.

4. Tipi di dati personali

Le seguenti categorie di dati personali sono trattate ai sensi del presente DPA:

  • Dati di identità: Indirizzo email (utilizzato come identificatore dell'account).
  • Dati di contatto: Indirizzo email.
  • Dati dell'account: Identificatore dell'account, password con hash, data di creazione dell'account, tipo di piano e stato dell'account.
  • Dati sulle preferenze di viaggio: Aeroporto/i di partenza preferito/i, preferenze di destinazione (regioni, paesi o città specifiche), fasce di budget, flessibilità delle date di viaggio, preferenze di durata del viaggio, configurazioni di rotte personalizzate (piano Pro).
  • Dati sulle preferenze di comunicazione: Canali di notifica scelti (email), impostazioni di frequenza delle notifiche, stato di adesione alle comunicazioni promozionali.
  • Dati di pagamento e abbonamento: Tipo di piano, date di inizio e fine dell'abbonamento, date del ciclo di fatturazione, identificatori di transazione, ultime quattro cifre della carta di pagamento, marchio della carta, data di scadenza della carta, paese di fatturazione. I dettagli completi della carta di pagamento sono trattati esclusivamente da Stripe e non sono conservati dal Responsabile del trattamento.
  • Dati di utilizzo: Pagine visitate, funzionalità utilizzate, offerte visualizzate e con cui si è interagito, avvisi aperti e cliccati, durata della sessione e timestamp delle interazioni.
  • Dati tecnici: Indirizzo IP, tipo e versione del browser, sistema operativo, tipo di dispositivo, risoluzione dello schermo, impostazioni della lingua del dispositivo e identificatori univoci del dispositivo.
  • Dati di supporto: Contenuto delle richieste di assistenza, corrispondenza e feedback forniti dall'Interessato.

Il Responsabile del trattamento non tratta categorie particolari di dati personali (come definite nell'Articolo 9 del GDPR) né dati personali relativi a condanne penali e reati (come definiti nell'Articolo 10 del GDPR) ai sensi del presente DPA.

5. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento dovrà:

5.1 Istruzioni di trattamento

  • Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, a meno che il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile lo imponga. In tal caso, il Responsabile del trattamento informerà il Titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale notifica per rilevanti motivi di interesse pubblico.
  • Informare immediatamente il Titolare se, a giudizio del Responsabile del trattamento, un'istruzione viola il GDPR o altre disposizioni dell'Unione o di uno Stato membro in materia di protezione dei dati.

5.2 Riservatezza

  • Garantire che tutte le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
  • Limitare l'accesso ai dati personali ai dipendenti, appaltatori e agenti che necessitano dell'accesso per svolgere le proprie mansioni in relazione al Servizio e che sono stati formati sugli obblighi di protezione dei dati.

5.3 Sicurezza

  • Implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, in conformità all'Articolo 32 del GDPR, come ulteriormente descritto nella Sezione 8 (Misure di sicurezza dei dati) del presente DPA.

5.4 Sub-trattamento

  • Non ricorrere a un altro responsabile del trattamento (sub-responsabile) senza previa autorizzazione scritta, generale o specifica, del Titolare, come descritto nella Sezione 7 (Sub-responsabili) del presente DPA.

5.5 Assistenza al Titolare

  • Assistere il Titolare, tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento dell'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'Interessato ai sensi del Capo III del GDPR (diritto di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione).
  • Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Articoli 32-36 del GDPR (sicurezza del trattamento, notifica delle violazioni dei dati personali, comunicazione delle violazioni agli interessati e valutazioni d'impatto sulla protezione dei dati), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento.

5.6 Dimostrazione della conformità

  • Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti dall'Articolo 28 del GDPR e dal presente DPA, e consentire e contribuire ad audit, incluse ispezioni, condotti dal Titolare o da un altro revisore incaricato dal Titolare, come descritto nella Sezione 10 (Audit e ispezioni) del presente DPA.

6. Obblighi del Titolare

Il Titolare dovrà:

  • Garantire di avere una base giuridica per il trattamento dei dati personali e che tutti i consensi, le autorizzazioni e le informative necessari siano stati ottenuti o forniti in conformità alle leggi applicabili in materia di protezione dei dati.
  • Fornire al Responsabile del trattamento istruzioni documentate relative al trattamento dei dati personali e informare tempestivamente il Responsabile di eventuali modifiche a tali istruzioni.
  • Garantire che i dati personali forniti al Responsabile del trattamento siano accurati, completi e aggiornati.
  • Adempiere ai propri obblighi in qualità di Titolare ai sensi del GDPR e delle leggi applicabili in materia di protezione dei dati.
  • Notificare tempestivamente al Responsabile del trattamento qualsiasi richiesta dell'Interessato direttamente correlata alle attività di trattamento del Responsabile.

7. Sub-responsabili

7.1 Autorizzazione generale

Il Titolare concede con la presente un'autorizzazione generale scritta al Responsabile del trattamento per coinvolgere sub-responsabili per il trattamento di dati personali ai sensi del presente DPA, fatte salve le condizioni stabilite nella presente Sezione 7.

7.2 Sub-responsabili attuali

I seguenti sub-responsabili sono attualmente incaricati dal Responsabile del trattamento:

  • Amazon Web Services, Inc. (AWS)
    Finalità: Infrastruttura cloud, hosting, archiviazione dati e servizi di elaborazione.
    Dati trattati: Tutte le categorie di dati personali elencate nella Sezione 4, archiviate ed elaborate sull'infrastruttura AWS.
    Ubicazione: Unione Europea (regione EU-West, principalmente Irlanda).
    Garanzie: Addendum al trattamento dei dati GDPR di AWS; certificazioni ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3.
  • Stripe, Inc.
    Finalità: Elaborazione dei pagamenti per la fatturazione degli abbonamenti (piani Basic, Pro e Ultra).
    Dati trattati: Dati della carta di pagamento (elaborati direttamente da Stripe), informazioni di fatturazione, identificatori di transazione, metadati dell'abbonamento.
    Ubicazione: Unione Europea e Stati Uniti.
    Garanzie: Accordo sul trattamento dei dati di Stripe; certificazione PCI DSS Livello 1; Quadro sulla privacy dei dati UE-USA; Clausole contrattuali standard.
  • Postmark (ActiveCampaign, LLC)
    Finalità: Invio di e-mail transazionali e di notifica, inclusi avvisi di offerte di voli ed e-mail relative al servizio.
    Dati trattati: Indirizzo e-mail, nome, contenuto dell'e-mail (dettagli degli avvisi di offerte), metadati di consegna e coinvolgimento.
    Ubicazione: Stati Uniti, con impegni di trattamento dei dati per i dati dell'UE.
    Garanzie: Accordo sul trattamento dei dati; Clausole contrattuali standard; certificazione SOC 2 Tipo II.

7.3 Notifica delle modifiche

Il Responsabile del trattamento informerà il Titolare per iscritto (anche via e-mail) di qualsiasi modifica prevista all'elenco dei sub-responsabili, inclusa l'aggiunta o la sostituzione di sub-responsabili, almeno 14 giorni di calendario prima che la modifica abbia effetto. La notifica includerà il nome del sub-responsabile, la natura del trattamento e la sede del trattamento dei dati.

7.4 Diritto di opposizione

Il Titolare può opporsi all'incarico di un nuovo o sostitutivo sub-responsabile notificando per iscritto il Responsabile del trattamento entro 14 giorni di calendario dal ricevimento della notifica di cui alla Sezione 7.3. L'opposizione deve essere basata su motivi ragionevoli relativi alla protezione dei dati. Se il Titolare si oppone:

  • Il Responsabile del trattamento compirà ragionevoli sforzi per fornire al Titolare una soluzione alternativa che eviti l'utilizzo del sub-responsabile oggetto di opposizione.
  • Se non è ragionevolmente disponibile alcuna alternativa e il Responsabile del trattamento determina ragionevolmente che il sub-responsabile è necessario per la fornitura del Servizio, ciascuna parte può risolvere il Contratto con un preavviso scritto di 30 giorni.

7.5 Obblighi dei sub-responsabili

Qualora il Responsabile del trattamento ingaggi un sub-responsabile, il Responsabile del trattamento dovrà:

  • Effettuare un'adeguata due diligence per garantire che il sub-responsabile sia in grado di fornire il livello di protezione dei dati richiesto dal presente DPA e dal GDPR.
  • Imporre al sub-responsabile, mediante contratto scritto, gli stessi obblighi di protezione dei dati stabiliti nel presente DPA, fornendo in particolare garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate.
  • Rimanere pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile ai sensi del contratto di sub-trattamento.

8. Misure di sicurezza dei dati

Il Responsabile del trattamento implementerà e manterrà le seguenti misure di sicurezza tecniche e organizzative, in conformità all'Articolo 32 del GDPR, per proteggere i dati personali contro la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso accidentale o illecito:

8.1 Misure tecniche

  • Crittografia in transito: Tutti i dati trasmessi tra gli utenti e il Servizio sono crittografati mediante Transport Layer Security (TLS) 1.3.
  • Crittografia a riposo: Tutti i dati personali memorizzati su server e database sono crittografati a riposo mediante crittografia AES-256.
  • Hashing delle password: Le password degli utenti sono memorizzate utilizzando l'hashing crittografico bcrypt con un fattore di costo elevato, garantendo che le password non possano essere recuperate in testo chiaro.
  • Firewall e sicurezza della rete: I sistemi di produzione sono protetti da firewall e segmentazione della rete. L'accesso alle reti interne è limitato al personale autorizzato tramite VPN con autenticazione a più fattori.
  • Rilevamento delle intrusioni e monitoraggio: Sono in atto sistemi di monitoraggio continuo e rilevamento delle intrusioni per identificare e rispondere a potenziali minacce alla sicurezza in tempo reale.
  • Gestione delle vulnerabilità: Vengono condotte regolarmente scansioni delle vulnerabilità e test di penetrazione. Le patch di sicurezza vengono applicate tempestivamente a tutti i sistemi e software.
  • Backup automatizzati: Vengono eseguiti regolarmente backup automatizzati e crittografati. I backup sono archiviati in modo ridondante all'interno dell'UE e testati periodicamente per garantire il ripristino dei dati.
  • Registrazione e tracce di audit: L'accesso ai dati personali è registrato e vengono mantenute tracce di audit per rilevare accessi non autorizzati o attività anomale.
  • Sviluppo sicuro: Il Servizio è sviluppato seguendo pratiche di sviluppo software sicuro, incluse revisioni del codice, analisi statica, scansione delle dipendenze e test di sicurezza.

8.2 Misure organizzative

  • Controlli di accesso: Il controllo degli accessi basato sui ruoli (RBAC) è implementato secondo il principio del minimo privilegio. L'accesso ai dati personali è concesso solo al personale che ne ha necessità per le proprie funzioni designate.
  • Accordi di riservatezza: Tutti i dipendenti e i collaboratori con accesso ai dati personali sono vincolati da obblighi di riservatezza scritti.
  • Formazione sulla protezione dei dati: Il personale coinvolto nel trattamento dei dati personali riceve una formazione regolare sui principi di protezione dei dati, sul GDPR e sulle politiche interne di protezione dei dati del Responsabile.
  • Piano di risposta agli incidenti: Un piano di risposta agli incidenti documentato è mantenuto e testato per garantire una risposta rapida ed efficace alle violazioni dei dati personali e ad altri incidenti di sicurezza.
  • Continuità operativa e ripristino dopo disastri: I piani di continuità operativa e ripristino dopo disastri sono mantenuti e testati periodicamente per garantire la disponibilità e la resilienza dei sistemi di trattamento.
  • Gestione del rischio dei fornitori: I sub-responsabili sono soggetti a valutazioni di due diligence e monitoraggio continuo per garantire che mantengano standard adeguati di protezione dei dati e sicurezza.

9. Notifica delle violazioni dei dati

9.1 Notifica al Titolare

In caso di Violazione dei Dati Personali, il Responsabile del trattamento notificherà il Titolare senza ingiustificato ritardo e in ogni caso entro 48 ore dalla scoperta della violazione. La notifica sarà fornita via e-mail all'indirizzo e-mail registrato del Titolare e includerà:

  • Una descrizione della natura della Violazione dei Dati Personali, inclusi, ove possibile, le categorie e il numero approssimativo di Interessati coinvolti e le categorie e il numero approssimativo di record di dati personali coinvolti.
  • Il nome e i dati di contatto del punto di contatto per la protezione dei dati del Responsabile da cui è possibile ottenere ulteriori informazioni.
  • Una descrizione delle probabili conseguenze della Violazione dei Dati Personali.
  • Una descrizione delle misure adottate o proposte dal Responsabile per far fronte alla Violazione, incluse, ove opportuno, misure per attenuarne i possibili effetti negativi.

9.2 Cooperazione continua

Qualora non sia possibile fornire tutte le informazioni contemporaneamente, il Responsabile fornirà le informazioni in fasi senza ulteriore ingiustificato ritardo. Il Responsabile dovrà:

  • Cooperare con il Titolare e adottare tutte le misure ragionevoli per assistere nell'indagine, mitigazione e risoluzione della violazione.
  • Adottare misure immediate per contenere e minimizzare l'impatto della violazione.
  • Preservare le prove relative alla violazione per scopi di indagine forense.
  • Assistere il Titolare nell'adempimento dei propri obblighi di notifica all'Autorità di controllo ai sensi dell'Articolo 33 del GDPR e agli Interessati ai sensi dell'Articolo 34 del GDPR, ove applicabile.
  • Non rilasciare dichiarazioni pubbliche o notifiche relative alla violazione senza il previo consenso scritto del Titolare, salvo che ciò sia richiesto dalla legge applicabile.

9.3 Tenuta dei registri

Il Responsabile terrà un registro di tutte le Violazioni dei Dati Personali, compresi i fatti relativi alla violazione, i suoi effetti e le misure correttive adottate, conformemente all'Articolo 33, paragrafo 5, del GDPR.

10. Richieste degli Interessati

10.1 Assistenza

Il Responsabile assisterà il Titolare nell'adempimento del suo obbligo di rispondere alle richieste degli Interessati per l'esercizio dei loro diritti ai sensi del Capo III del GDPR, inclusi i diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione.

10.2 Notifica

Se il Responsabile riceve una richiesta da un Interessato relativa a dati personali trattati per conto del Titolare, il Responsabile ne informerà tempestivamente il Titolare (e in ogni caso entro 5 giorni lavorativi) e non risponderà direttamente alla richiesta salvo autorizzazione del Titolare o obbligo di legge.

10.3 Misure tecniche

Il Responsabile implementerà misure tecniche e organizzative appropriate per consentire al Titolare di rispondere efficientemente alle richieste degli Interessati, inclusa la capacità di cercare, recuperare, esportare, correggere e cancellare dati personali su istruzione del Titolare.

11. Verifiche e Ispezioni

11.1 Diritto di verifica

Il Responsabile metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi previsti dall'Articolo 28 del GDPR e dal presente DPA, e consentirà e contribuirà alle verifiche, comprese le ispezioni, condotte dal Titolare o da un revisore indipendente incaricato dal Titolare.

11.2 Procedure di verifica

Le verifiche saranno condotte nel rispetto delle seguenti condizioni:

  • Il Titolare fornirà al Responsabile un preavviso scritto di almeno 30 giorni di calendario per qualsiasi verifica prevista.
  • Le verifiche saranno condotte durante il normale orario lavorativo e in modo da ridurre al minimo le interruzioni delle attività del Responsabile.
  • Il Titolare (o il suo revisore) rispetterà i ragionevoli requisiti di sicurezza e riservatezza del Responsabile.
  • Le verifiche saranno limitate a un massimo di una per anno solare, salvo che vi siano ragionevoli motivi per sospettare una violazione sostanziale del presente DPA o del GDPR, o se una verifica è richiesta da un'Autorità di controllo.
  • Il Titolare sosterrà i costi della verifica, salvo che la verifica riveli una non conformità sostanziale del Responsabile, nel qual caso il Responsabile sosterrà i costi ragionevoli.

11.3 Certificazioni e Rapporti

In alternativa a una verifica in loco, il Responsabile può, a sua discrezione, fornire al Titolare relazioni di audit di terzi pertinenti, certificazioni (come ISO 27001 o SOC 2) o altra documentazione che dimostri la conformità ai requisiti di protezione dei dati del presente DPA.

12. Trasferimenti internazionali di dati

12.1 Principio generale

Il Responsabile conserverà e tratterà i dati personali principalmente all'interno dello Spazio Economico Europeo (SEE). Il Responsabile non trasferirà dati personali verso un paese al di fuori del SEE o verso un'organizzazione internazionale a meno che non siano state implementate garanzie adeguate in conformità con il Capo V del GDPR.

12.2 Meccanismi di trasferimento

Quando i dati personali vengono trasferiti al di fuori del SEE (ad esempio, verso sub-responsabili situati negli Stati Uniti), il Responsabile garantirà che una o più delle seguenti garanzie siano in atto:

  • Decisione di adeguatezza: La Commissione europea ha stabilito che il paese terzo o l'organizzazione internazionale garantisce un livello adeguato di protezione dei dati ai sensi dell'Articolo 45 del GDPR.
  • Clausole Contrattuali Standard: Il trasferimento è soggetto alle Clausole Contrattuali Standard adottate dalla Commissione europea ai sensi dell'Articolo 46, paragrafo 2, lettera c), del GDPR, nella versione più aggiornata.
  • Quadro per la privacy dei dati UE-USA: Ove applicabile, il destinatario ha certificato la propria partecipazione al Quadro per la privacy dei dati UE-USA, riconosciuto dalla Commissione europea come fornitore di un livello di protezione adeguato.
  • Misure supplementari: Ove richiesto dalla valutazione del livello di protezione nel paese destinatario, il Responsabile implementerà misure tecniche aggiuntive (come crittografia e pseudonimizzazione) e misure organizzative per garantire che i dati trasferiti ricevano un livello di protezione essenzialmente equivalente a quello garantito all'interno del SEE.

12.3 Valutazione d'impatto del trasferimento

Il Responsabile condurrà e documenterà una valutazione d'impatto del trasferimento per ogni trasferimento internazionale, valutando le leggi e le pratiche del paese destinatario per determinare se sono necessarie misure supplementari per garantire un livello di protezione dei dati essenzialmente equivalente.

13. Durata e Risoluzione

13.1 Durata

Il presente DPA entra in vigore al momento dell'accettazione dell'Accordo da parte del Titolare e resta in vigore per la durata del trattamento dei dati personali da parte del Responsabile per conto del Titolare.

13.2 Sopravvivenza

Gli obblighi del Responsabile ai sensi del presente DPA sopravvivranno alla risoluzione dell'Accordo nella misura necessaria per completare la restituzione o cancellazione dei dati personali e per conformarsi alla legge applicabile.

14. Restituzione e Cancellazione dei Dati

14.1 Scelta del Titolare

Al termine dell'Accordo o su richiesta scritta del Titolare, il Responsabile dovrà, a scelta del Titolare:

  • Restituire tutti i dati personali al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico (come JSON o CSV); oppure
  • Cancellare tutti i dati personali e tutte le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri richieda la conservazione dei dati personali.

14.2 Tempistica

Il Responsabile completerà la restituzione o la cancellazione dei dati personali entro 30 giorni di calendario dalla ricezione dell'istruzione del Titolare o, in assenza di istruzioni specifiche, entro 30 giorni di calendario dalla risoluzione dell'Accordo.

14.3 Certificazione di Cancellazione

Al completamento della cancellazione, il Responsabile fornirà al Titolare una certificazione scritta che tutti i dati personali sono stati cancellati in modo sicuro, compresi quelli nei backup e nei sistemi archiviati, salvo che la conservazione sia richiesta dalla legge applicabile. Qualora si applichino obblighi di conservazione legale, il Responsabile informerà il Titolare dei dati specifici conservati, della base giuridica per la conservazione e del periodo di conservazione previsto.

14.4 Cancellazione dei backup

I dati personali contenuti nei sistemi di backup di routine saranno cancellati secondo il programma di rotazione dei backup standard del Responsabile, che non supererà 90 giorni di calendario. Durante il periodo di conservazione, tali dati di backup continueranno a essere protetti ai sensi del presente DPA e non saranno trattati attivamente.

15. Responsabilità

15.1 Responsabilità del Responsabile

Il Responsabile sarà responsabile per qualsiasi danno causato dal trattamento che non sia conforme agli obblighi del GDPR specificamente diretti ai responsabili del trattamento, o quando il Responsabile abbia agito al di fuori o in contrasto con le istruzioni legittime del Titolare, in conformità con l'Articolo 82 del GDPR.

15.2 Limitazione

Le disposizioni sulla responsabilità del presente DPA sono soggette alle limitazioni stabilite nell'Accordo, salvo nella misura in cui la legge applicabile (incluso il GDPR) non consenta tale limitazione.

15.3 Risarcimento

Ciascuna parte risarcirà l'altra parte per qualsiasi costo, pretesa, danno o spesa sostenuti dall'altra parte o per i quali l'altra parte potrebbe diventare responsabile a causa di qualsiasi inadempimento della prima parte o dei suoi dipendenti, agenti o sub-responsabili a qualsiasi obbligo previsto dal presente DPA o dal GDPR.

16. Modifiche

Il presente DPA può essere modificato dal Responsabile di volta in volta per riflettere cambiamenti nelle pratiche di trattamento dei dati, nei sub-responsabili, nei requisiti legali o nelle misure di sicurezza. Il Responsabile notificherà al Titolare eventuali modifiche sostanziali con almeno 30 giorni di calendario di preavviso. Se il Titolare non accetta le modifiche, può risolvere l'Accordo secondo i suoi termini. L'uso continuato del Servizio da parte del Titolare dopo la data di entrata in vigore delle modifiche costituisce accettazione del DPA rivisto.

17. Rapporto con l'Accordo

In caso di conflitto o incoerenza tra le disposizioni del presente DPA e l'Accordo, le disposizioni del presente DPA prevalgono per quanto riguarda le questioni di protezione dei dati. Per tutti gli altri aspetti, i termini dell'Accordo continuano ad applicarsi.

18. Legge Applicabile

Il presente DPA è disciplinato e interpretato in conformità con le leggi dello Stato del Delaware, Stati Uniti, senza riguardo ai principi di conflitto di leggi, e fatte salve le disposizioni imperative del GDPR e di altra legislazione UE applicabile in materia di protezione dei dati. Qualsiasi controversia derivante dal o connessa al presente DPA è soggetta alla giurisdizione esclusiva dei tribunali competenti del Delaware, Stati Uniti, fatte salve le disposizioni imperative di protezione dei consumatori del diritto dell'UE.

19. Contatti

Per qualsiasi domanda, richiesta o comunicazione riguardante il presente Accordo sul Trattamento dei Dati, contattare:

È inoltre possibile contattare la propria Autorità per la Protezione dei Dati locale per qualsiasi preoccupazione relativa alla protezione dei dati. È possibile trovare la propria autorità locale sul sito del Comitato Europeo per la Protezione dei Dati.