APPENDICE II: Clausole contrattuali standard approvate dalla Commissione Europea (Modulo 4)

Lo scopo di queste clausole contrattuali standard è quello di garantire la conformità al GDPR durante il trasferimento di dati personali ad un paese terzo.

SEZIONE I


Clausola 1

Scopo e Ambito

  1. Lo scopo di queste clausole contrattuali standard è assicurare la conformità ai requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 riguardante la protezione delle persone fisiche in merito al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento di dati personali verso un paese terzo in modo fluido e sicuro.
  2. Le Parti:
    • la persona o le persone fisiche, giuridiche, autorità pubbliche, agenzie o altri enti (d'ora in avanti "enti") che trasferiscono i dati personali, come elencato nell'allegato I.A (d'ora in avanti "esportatore di dati"), e
    • l'entità/le entità in un paese terzo che riceve/ricevono i dati personali dall'esportatore di dati, direttamente o indirettamente tramite un'altra entità anche Parte di queste Clausole, come elencato nell'Allegato I.A. (d'ora in avanti "importatore di dati"), hanno concordato queste clausole contrattuali standard (d'ora in avanti: "Clausole").
  3. Queste Clausole si applicano relativamente al trasferimento di dati personali come specificato nell'Allegato I.B.
  4. L'Appendice a queste Clausole, contenente gli Allegati menzionati, forma parte integrante di questi termini Clausole.

Clausola 2

Effetto e invariabilità delle Clausole

  1. Queste Clausole stabiliscono garanzie adeguate, inclusi i diritti dei soggetti dei dati protetti e rimedi legali efficaci, ai sensi degli articoli 46/1 e 46/2 c del Regolamento (UE) 2016/679 e, in relazione ai trasferimenti di dati da titolari a responsabili del trattamento e/o tra responsabili, clausole contrattuali standard ai sensi dell'articolo 28/7 del Regolamento (UE) 2016/679, purché non siano modificate, salvo che per selezionare il Modulo appropriato o per aggiungere/aggiornare le informazioni nell'Appendice. Questo non impedisce alle Parti di includere le clausole contrattuali standard stabilite in queste Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicano, direttamente o indirettamente, queste Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati dei dati.
  2. Queste Clausole non pregiudicano gli obblighi a cui l'esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.


Clausola 3

Beneficiari terzi

  1. Gli interessati dei dati possono invocare ed eseguire queste Clausole, come beneficiari terzi, nei confronti dell'esportatore e/o dell'importatore dei dati, con le seguenti eccezioni:
    • Clausole 1, 2, 3, 6 e 7.
    • Clausola 8: clausola 8.1, lettera b), e clausola 8.3, lettera b).
    • Clausola 13.
  2. Il paragrafo (a) è senza pregiudizio ai diritti degli interessati dei dati ai sensi del Regolamento (UE) 2016/679.

Clausola 4

Interpretazione

  1. Dove queste Clausole usino termini che sono definiti nel Regolamento (UE) 2016/679, quei termini avranno lo stesso significato di tale Regolamento.
  2. Queste Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.
  3. Queste Clausole non devono essere interpretate in un modo che vada in conflitto con i diritti e gli obblighi previsti nel Regolamento (UE) 2016/679.


Clausola 5

Gerarchia

In caso di contraddizione tra queste Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui queste Clausole sono concordate o stipulate successivamente, prevalgono queste Clausole.

Clausola 6

Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i e, in particolare, le categorie di dati personali trasferiti e gli scopi per i quali sono trasferiti sono specificati nell'Allegato I.B.

Clausola 7

Clausola di entrata aggiuntiva

  1. Un'entità che non è Parte di queste Clausole può, con il consenso delle Parti, accedere a queste Clausole in qualsiasi momento, sia come esportatore di dati o come importatore di dati, compilando l'Appendice e firmando l'Allegato I.A.
  2. Una volta completata l'Appendice e firmato l'Allegato I.A, l'entità entrante diventerà Parte di queste Clausole e avrà i diritti e gli obblighi di un esportatore o importatore di dati in base alla designazione nell'Allegato I.A.
  3. L'entità entrante non avrà diritti o obblighi derivanti da queste Clausole durante il periodo precedente alla sua adesione.


SEZIONE II: OBBLIGHI DELLE PARTI


Clausola 8

Garanzie di protezione dati

L'esportatore di dati garantisce di aver utilizzato sforzi ragionevoli per determinare che l'importatore di dati è in grado, tramite misure tecniche e organizzative appropriate, di soddisfare i propri obblighi ai sensi di queste Clausole.

8.1. Istruzioni.

  1. L'esportatore di dati deve trattare i dati personali solo in base a istruzioni documentate dall'importatore di dati che agisce come suo responsabile.
  2. L'esportatore di dati deve informare immediatamente l'importatore di dati se non è in grado di seguire tali istruzioni, inclusi casi in cui tali istruzioni violino il Regolamento (UE) 2016/679 o altre leggi sulla protezione dei dati dell'Unione o degli Stati membri.
  3. L'importatore di dati deve astenersi da qualsiasi azione che impedirebbe all'esportatore di dati di adempiere ai suoi obblighi ai sensi del Regolamento (UE) 2016/679, incluso il contesto di delega o riguardo la cooperazione con le autorità di vigilanza competenti.
  4. Dopo la fine della fornitura dei servizi di trattamento, l'esportatore di dati deve, a scelta dell'importatore di dati, eliminare tutti i dati personali trattati per conto dell'importatore di dati e certificare all'importatore di dati di averlo fatto, o restituire all'importatore di dati gli stessi nella loro totalità ed eliminare le copie esistenti.

8.2. Sicurezza del trattamento.

  1. Le Parti devono attuare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, inclusa durante la trasmissione, e la protezione contro una violazione della sicurezza che possa causare distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso (di seguito indicata come "violazione di dati personali"). Nel valutare il livello adeguato di sicurezza, devono considerare lo stato dell'arte, i costi di implementazione, la natura dei dati personali, la natura, l'ambito, il contesto e lo scopo del trattamento e i rischi legati al trattamento per gli interessati, in particolare valutando la crittografia o la pseudonimizzazione, anche durante la trasmissione, se tale modalità può soddisfare lo scopo del trattamento.
  2. L'esportatore di dati deve assistere l'importatore di dati nel garantire una sicurezza adeguata dei dati, conformemente al paragrafo (a). In caso di violazione dei dati personali relativi ai dati trattati dall'esportatore di dati in base a queste Clausole, l'esportatore di dati deve notificare l'importatore di dati senza ritardo non giustificato dopo esserne venuto a conoscenza e assistere l'importatore di dati nell'affrontare la violazione.
  3. L'esportatore di dati deve garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano vincolate da un obbligo legale di riservatezza appropriato.

8.3. Documentazione e conformità.

  1. Le Parti devono essere in grado di dimostrare la conformità con queste clausole.
  2. L'esportatore di dati deve mettere a disposizione dell'importatore di dati tutte le informazioni necessarie per dimostrare la conformità con i propri obblighi ai sensi di queste Clausole e consentire e contribuire alla revisione.

Clausola 9

Diritti degli interessati dei dati

Le Parti devono assistersi reciprocamente nel rispondere a richieste e domande inviate dai titolari dei dati ai sensi della legge locale applicabile all'importatore di dati o, per il trattamento dei dati da parte dell'esportatore di dati nell'UE, ai sensi del Regolamento (UE) 2016/679.

Clausola 10

Ricorso

L'importatore di dati deve informare i titolari dei dati in modo trasparente e facilmente accessibile, attraverso un avviso individuale o sul suo sito, di un punto di contatto autorizzato a gestire i reclami. Deve gestire prontamente i reclami ricevuti da un interessato dei dati.

Clausola 11

Responsabilità

  1. Ciascuna Parte deve essere responsabile nei confronti dell'altra/e Parte/i per qualsiasi danno causato all'altra/e Parte/i da violazioni di queste Clausole.
  2. Ciascuna Parte deve essere responsabile nei confronti dei titolari dei dati e i titolari stessi devono avere diritto a ricevere un risarcimento, per qualsiasi danno materiale o non materiale causato dalla Parte ai titolari dei dati violando i diritti dei beneficiari terzi ai sensi di queste Clausole. Questo è senza pregiudizio alla responsabilità attribuita dal Regolamento (UE) 2016/679 all'esportatore di dati.
  3. Quando più di una Parte è responsabile per qualsiasi danno causato ai titolari dei dati a seguito di una violazione di queste Clausole, tutte le Parti responsabili saranno responsabili in solido.
  4. Le Parti concordano che se una Parte è ritenuta responsabile ai sensi del paragrafo (c), avrà il diritto di richiedere all'altra/e Parte/i quella parte del risarcimento corrispondente alla propria responsabilità per il danno.
  5. L'importatore di dati non può invocare la condotta di un responsabile del trattamento o sub-responsabile per evitare la propria responsabilità.


SEZIONE III: LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE


Clausola 12

Leggi e pratiche locali che influenzano la conformità alle Clausole

  1. Le Parti garantiscono di non avere motivo di credere che le leggi e le pratiche nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore di dati, inclusi eventuali requisiti per divulgare dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di dati di adempiere ai propri obblighi ai sensi di queste Clausole. Questo si basa sulla comprensione che leggi e pratiche che rispettano l'essenza dei diritti e delle libertà fondamentali e non eccedano ciò che è necessario e proporzionato in una società democratica per proteggere uno degli obiettivi elencati nell'Articolo 23/1 del Regolamento (UE) 2016/679, non sono in contraddizione con queste Clausole.
  2. Le Parti dichiarano che, nell'assicurare la garanzia nel paragrafo (a), hanno tenuto particolarmente conto dei seguenti elementi:
    • le circostanze specifiche del trasferimento, inclusa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti previsti in avanti; il tipo di destinatario; lo scopo del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; la posizione di archiviazione dei dati trasferiti;
    • le leggi e le pratiche del paese terzo di destinazione - inclusi quelli che richiedono la divulgazione di dati alle autorità pubbliche o che consentono l'accesso da parte di tali autorità - rilevanti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e garanzie applicabili;
    • qualsiasi tutela contrattuale, tecnica o organizzativa rilevante messa in atto per integrare le garanzie previste da queste Clausole, incluse le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.
  3. L'importatore di dati garantisce che, nel compiere la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'esportatore di dati informazioni pertinenti e concorda che continuerà a cooperare con l'esportatore di dati per garantire la conformità con queste Clausole.
  4. Le Parti concordano di documentare la valutazione ai sensi del paragrafo (b) e renderla disponibile all'autorità di vigilanza competente su richiesta.
  5. L'importatore di dati concorda di notificare prontamente l'esportatore di dati se, dopo aver accettato queste Clausole e per tutta la durata del contratto, ha motivo di credere che sia soggetto o sia divenuto soggetto a leggi o pratiche non in linea con i requisiti di cui al paragrafo (a), inclusi a seguito di un cambiamento delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indica un'applicazione di tali leggi nella pratica non conforme con i requisiti nel paragrafo (a).
  6. Dopo una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha altrimenti motivo di credere che l'importatore di dati non possa più adempiere ai propri obblighi ai sensi di queste Clausole, l'esportatore di dati deve prontamente identificare misure appropriate (es. misure tecniche o organizzative per garantire la sicurezza e la riservatezza) da adottare dall'esportatore e/o importatore di dati per affrontare la situazione. L'esportatore di dati deve sospendere il trasferimento dei dati se ritiene che non possano essere assicurate garanzie appropriate per tale trasferimento o se istruito a farlo dall'autorità di vigilanza competente. In questo caso, l'esportatore di dati avrà diritto di porre fine al contratto, nella misura in cui concerne il trattamento dei dati personali ai sensi di queste Clausole. Se il contratto coinvolge più di due Parti, l'esportatore di dati può esercitare questo diritto di risoluzione solo in relazione alla Parte rilevante, a meno che le Parti non abbiano concordato diversamente. Dove il contratto è risolto ai sensi di questa Clausola, si applicheranno le Clausole 16 (d) ed (e).

Clausola 13

Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

13.1. Notifica.

  1. L'importatore di dati concorda di contattare prontamente l'esportatore di dati e, ove possibile, il titolare dei dati (se necessario con l'aiuto dell'esportatore di dati) in caso di:
    • ricezione di una richiesta giuridicamente vincolante da un'autorità pubblica, compresi gli organi giudiziari, ai sensi delle leggi del paese di destinazione per la divulgazione di dati personali trasferiti ai sensi di queste Clausole; tale notifica deve includere informazioni sui dati personali richiesti, l'autorità richiedente, la base legale della richiesta e la risposta fornita; oppure
    • presa di conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche a dati personali trasferiti ai sensi di queste Clausole in conformità con le leggi del paese di destinazione; tale notifica dovrà includere tutte le informazioni disponibili all'importatore.
  2. Se all'importatore di dati è proibito di contattare l'esportatore di dati e/o il titolare dei dati ai sensi delle leggi del paese di destinazione, l'importatore stesso conferma di fare del proprio meglio per ottenere una deroga dal divieto, al fine di comunicare quante più informazioni possibile, il prima possibile. L'importatore di dati accetta di documentare i suoi sforzi migliori per poterli dimostrare su richiesta dell'esportatore di dati.
  3. Ove consentito dalle leggi del paese di destinazione, l'importatore di dati accetta di fornire all'esportatore di dati, a intervalli regolari per la durata del contratto, quante più informazioni pertinenti possibile sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.).
  4. L'importatore di dati accetta di conservare le informazioni ai sensi dei paragrafi (a) a (c) per tutta la durata del contratto e renderle disponibili all'autorità di vigilanza competente su richiesta.
  5. I paragrafi (a) a (c) sono senza pregiudizio all'obbligo dell'importatore di dati ai sensi della Clausola 14(e) e della Clausola 16 di informare prontamente l'esportatore di dati quando non può conformarsi a queste Clausole.

13.2. Revisione della legalità e minimizzazione dei dati.

  1. L'importatore di dati accetta di rivedere la legalità della richiesta di divulgazione, in particolare se essa rientra nei poteri concessi all'autorità pubblica richiedente, e di contestare la richiesta se, dopo un'attenta valutazione, conclude che sussistono motivi ragionevoli per ritenere che la richiesta sia illegale ai sensi delle leggi del paese di destinazione, incluse le obbligazioni applicabili ai sensi delle leggi internazionali e dei principi di cortesia internazionale. L'importatore di dati dovrà, alle stesse condizioni, perseguire possibilità di ricorso. Quando contesta una richiesta, l'importatore di dati dovrà cercare misure provvisorie allo scopo di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Non dovrà divulgare i dati personali richiesti fino a quando non è obbligato a farlo ai sensi delle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della Clausola 14(e).
  2. L'importatore di dati accetta di documentare la propria valutazione legale e qualsiasi reclamo alla richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, rendere disponibile la documentazione all'esportatore dei dati. Dovrà altresì renderla disponibile all'autorità di vigilanza competente su richiesta.
  3. L'importatore di dati accetta di fornire la quantità minima di informazioni consentito quando risponde a una richiesta di divulgazione, basato su un'interpretazione ragionevole della richiesta.


SEZIONE IV: DISPOSIZIONI FINALI


Clausola 14

Inosservanza delle Clausole e risoluzione

  1. L'importatore dei dati informerà prontamente l'esportatore dei dati se non è in grado di rispettare queste Clausole, per qualunque motivo.
  2. Nel caso in cui l'importatore dei dati violi queste Clausole o non riesca a rispettarle, l'esportatore dei dati sospenderà il trasferimento dei dati personali verso l'importatore fino a quando non sarà nuovamente garantita la conformità o il contratto sarà risolto. Ciò senza pregiudizio per la Clausola 14 (f).
  3. L'esportatore dei dati avrà il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi di queste Clausole, nei casi in cui:
    • l'esportatore dei dati ha sospeso il trasferimento di dati personali all'importatore in conformità al paragrafo (b) e la conformità a queste Clausole non sia ripristinata entro un periodo ragionevole e in ogni caso entro un mese dalla sospensione;
    • l'importatore dei dati è in violazione sostanziale o persistente di queste Clausole; o
    • l'importatore dei dati non rispetta una decisione vincolante di un tribunale competente o di un'autorità di sorveglianza riguardo ai suoi obblighi ai sensi di queste Clausole.

    In questi casi, informerà l'autorità di vigilanza competente di tale inadempienza. Nel caso in cui il contratto coinvolga più di due Parti, l'esportatore dei dati può esercitare questo diritto di risoluzione solo rispetto alla Parte pertinente, a meno che le Parti non abbiano concordato diversamente.

  4. I dati personali raccolti dall'esportatore dei dati nell'UE trasferiti prima della cessazione del contratto ai sensi del paragrafo (c) devono essere immediatamente eliminati totalmente, incluse eventuali copie. L'importatore dei dati certificherà l'eliminazione dei dati all'esportatore dei dati. Fino a quando i dati non sono eliminati o restituiti, l'importatore dei dati continuerà a garantire la conformità a queste Clausole. Nel caso in cui le leggi locali applicabili all'importatore dei dati vietino il ritorno o l'eliminazione dei dati personali trasferiti, l'importatore dei dati garantisce che continuerà a garantire la conformità a queste Clausole e tratterà i dati soltanto nella misura e per il tempo richiesto da tale legge locale.
  5. Qualsiasi Parte può revocare il suo accordo a essere vincolata da queste Clausole laddove (i) la Commissione Europea adotti una decisione ai sensi dell'articolo 45/3 del Regolamento (UE) 2016/679 che copra il trasferimento dei dati personali a cui si applicano queste Clausole; o (ii) il Regolamento (UE) 2016/679 diventi parte del quadro legale del paese verso cui sono trasferiti i dati personali. Questo non pregiudica altri obblighi che si applicano al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 15

Legge applicabile

Queste Clausole saranno regolate dalla legge di un paese che permette i diritti dei terzi beneficiari. Le parti convengono che questa sarà la legge della Spagna.

Clausola 16

Scelta del foro e giurisdizione

Qualsiasi controversia derivante da queste Clausole sarà risolta dai tribunali della Spagna.



ALLEGATO I

ELENCO DELLE PARTI

Esportatore(i) di dati:

  • Nome: iLovePDF, S.L.
  • Indirizzo: Calle Sabino de Arana, 60, 08028 Barcellona
  • Nome della persona di contatto, posizione e dettagli: Juan Oriol, Direttore Legale (legal@ilovepdf.com).
  • Attività rilevanti per i dati trasferiti secondo queste Clausole: la fornitura dei servizi all'importatore dei dati personali, nella misura in cui tale fornitura comporta un trasferimento internazionale di dati personali da iLovePDF (esportatore di dati) al cliente (importatore di dati).
  • Ruolo: responsabile del trattamento dei dati.

Importatore(i) di dati: [Identità e contatti dell’importatore(i) di dati, inclusi eventuali contatti responsabili della protezione dei dati]

  • Nome: [...] (se non compilato, si intenderà applicabile il nome del Cliente).
  • Indirizzo: [...] (se non compilato, si riterrà valido l'indirizzo del Cliente).
  • Nome, posizione e dettagli della persona di contatto: [...] (se non specificato, si useranno quelli della persona che rappresenta il Cliente per il contratto o la gestione del servizio).
  • Attività rilevanti per i dati trasferiti secondo queste Clausole: la fornitura dei servizi da parte dell'esportatore di dati personali, nella misura in cui tale fornitura comporta un trasferimento internazionale di dati personali da iLovePDF (esportatore di dati) al cliente (importatore di dati).
  • Firma e data: [...] (se non compilato, si intenderà come la data della prima operazione di servizio da parte del Cliente).
  • Ruolo: titolare del trattamento dei dati.

DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti

Quelle categorie di soggetti i cui dati sono contenuti nei file che l'importatore carica quando utilizza i servizi forniti da iLovePDF (es. dipendenti, clienti, fornitori, ecc.).

Categorie di dati personali trasferiti
Le categorie di dati personali che sono incluse nei file che l'importatore carica quando utilizza i servizi forniti da iLovePDF.

Dati sensibili trasferiti (se applicabile) e restrizioni o tutele applicate che considerano la natura dei dati e i rischi coinvolti nella loro totalità, come per esempio una stretta limitazione dello scopo, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, restrizioni per ulteriori trasferimenti o misure di sicurezza aggiuntive.

Le categorie speciali di dati saranno trattate nella misura in cui i file che l'importatore carica quando utilizza i servizi forniti da iLovePDF contengono tali categorie speciali di dati personali.

Frequenza del trasferimento (per esempio, se i dati vengono trasferiti una volta sola o su base continuativa)
Quando l'uso dei servizi forniti da iLovePDF comporta un trasferimento internazionale di dati da iLovePDF all'importatore di dati.

Natura del trattamento
Comunicare i dati personali all'importatore nella misura necessaria per iLovePDF per fornire i propri servizi.

Scopi del trasferimento dati e ulteriore trattamento
Fornire i servizi per conto di iLovePDF.

Il periodo per cui i dati personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo
Nella misura strettamente necessaria per fornire i servizi e, successivamente, nella misura richiesta dalla legge applicabile e necessaria per affermare o difendere i diritti relativi al trattamento dei dati personali.

Controllo versioni: giovedì 19 febbraio 2026



Ops! Qualcosa non va nella tua connessione Internet...