Addendum sul Trattamento Globale dei Dati di SHL
Last Updated: 6 June 2023
Il presente Addendum sul Trattamento Globale dei Dati di SHL e i suoi Allegati ("DPA") rappresentano l'accordo tra le parti con riguardo al Trattamento dei Dati Personali da noi effettuato per Vostro conto in relazione ai Prodotti e ai Servizi di SHL, come descritto nei Termini e Condizioni di SHL stipulati tra Voi e noi (denominati anche "Accordo" nel presente DPA).
Il presente DPA integra e costituisce parte integrante dell’Accordo ed è efficace a decorrere dalla sua incorporazione nel medesimo, come potrà essere specificato nell’Accordo, in un Ordine o in una modifica firmata dell’Accordo. In caso di conflitto o incoerenza con le clausole dell’Accordo, il presente DPA prevarrà sulle clausole dell’Accordo nella misura necessaria per risolvere tale conflitto o incoerenza.
La durata del presente DPA sarà pari a quella dell’Accordo. Le espressioni non altrimenti definite nel presente DPA avranno il significato indicato nell’Accordo. Ai fini del presente DPA, la Società sarà designata da "Voi" e SHL da "ci" o "noi".
1. Definizioni
"Informazioni Personali in California": indica i Dati Personali che sono soggetti alla tutela del CCPA."CCPA": indica il Codice Civile della California, art. 1798.100 e seguenti (noto anche come California Consumer Privacy Act 2018).
"Consumatore", "Azienda", "Vendita" e "Fornitore di Servizi" avranno i significati loro attribuiti nel CCPA.
"Titolare del Trattamento Dati": è la persona fisica o giuridica o altro organismo che stabilisca le finalità e le modalità del Trattamento dei Dati Personali; in Sudafrica comprenderà la Parte Responsabile designata nella POPIA; e nella Repubblica Popolare Cinese il Titolare del Trattamento indicherà il gestore del trattamento come definito nella PIPL.
"Responsabile del Trattamento": indica la persona fisica o giuridica o altro organismo (esclusi i dipendenti del Titolare del Trattamento) che effettua il Trattamento dei Dati Personali per conto del Titolare del Trattamento; in Sudafrica comprenderà l’Operatore designato come tale nella POPIA; e nella Repubblica Popolare Cinese il Responsabile del Trattamento sarà la parte incaricata come definita nella PIPL.
"Leggi sulla Protezione dei Dati": indica tutte le leggi internazionali in materia di protezione e riservatezza dei dati, che si applicano a chiunque svolga la funzione di Trattamento dei Dati personali oggetto dell’Accordo, comprese, a mero titolo esemplificativo, le Leggi Europee sulla Protezione dei Dati, in ciascun caso come di volta in volta emendate, abrogate, unificate o sostituite.
"Interessato": è la persona a cui si riferiscono i Dati Personali.
"Europa": indica l'Unione Europea, lo Spazio Economico Europeo e/o i rispettivi Stati membri, la Svizzera e il Regno Unito.
"Dati Europei": sono i Dati Personali che sono soggetti alla protezione delle Leggi Europee sulla Protezione dei Dati.
"Leggi Europee sulla Protezione dei Dati": indica le leggi sulla protezione dei dati vigenti in Europa, tra cui: (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche; e (iii) le Leggi nazionali emanate in recepimento delle norme di cui ai punti (i) e (ii); o (iii) per quanto riguarda il Regno Unito, qualsiasi legislazione nazionale vigente che sostituisca o converta in legge britannica il GDPR, o qualsiasi altra legge relativa ai dati ed alla riservatezza emanata in conseguenza dell'uscita del Regno Unito dall'Unione Europea; e (iv) la Legge Federale Svizzera sulla Protezione dei Dati del 19 giugno 1992 e la relativa Ordinanza; in ciascun caso come emendate o sostituite.
"Istruzioni": sono le istruzioni scritte e documentate impartite da un Titolare del Trattamento a un Responsabile del Trattamento Dati, che richiedono a quest’ultimo di eseguire un’azione specifica o generale sui Dati Personali (compresi, a titolo meramente semplificativo, l’anonimizzazione, il blocco, la cancellazione e la messa a disposizione).
"Affiliate Autorizzate": indica ogni Vostra Affiliata (i) autorizzata a utilizzare i Prodotti e/o i Servizi descritti nell'Accordo, ma che non abbia stipulato con noi un accordo separato, (ii) qualificata come Titolare del Trattamento dei Dati Personali da noi Trattati e (iii) soggetta alle Leggi Europee sulla Protezione dei Dati.
"Dati Personali": indica qualsiasi dato o informazione da Voi comunicati o da noi raccolti durante la fornitura dei Prodotti e/o dei Servizi concernenti persone fisiche viventi e identificabili tramite tali dati, esclusi tuttavia i Dati Aggregati di Ricerca e i Benchmark.
"Violazione dei Dati Personali": è una violazione della sicurezza che causi la distruzione fortuita o illecita, la perdita o alterazione, o la divulgazione o l’accesso non autorizzati di Dati Personali trasmessi, conservati o altrimenti trattati da noi e/o dai Sub-Responsabili nell’ambito della fornitura dei Prodotti e/o dei Servizi. La "Violazione dei Dati Personali" non comprende i tentativi falliti né le attività che non compromettano la sicurezza dei Dati Personali, inclusi i tentativi di login, gli invii di segnali esplorativi, le scansioni di porte, gli attacchi finalizzati a disabilitare i servizi e gli altri attacchi ai firewall o ai sistemi in rete.
"PIPL": indica la legge della Repubblica Popolare Cinese sulla Protezione dei Dati Personali, in vigore dal 1° novembre 2021, nonché ogni altra legge o regolamento vigente in materia di trattamento dei dati personali e di riservatezza e le rispettive modifiche, revisioni o sostituzioni.
"Informazioni Personali della PIPL": sono le informazioni personali soggette alla tutela della PIPL.
"POPIA": indica il South Africa Protection of Personal Information Act, 2013 (Legge sudafricana n. 4 del 2013 sulla protezione dei dati personali) e ogni altra legge o regolamento vigente in materia di trattamento dei dati personali e di riservatezza, nonché le rispettive modifiche, revisioni o sostituzioni.
"Informazioni Personali della POPIA": sono le informazioni personali soggette alla tutela della POPIA.
"Trattamento": designa qualsiasi operazione o serie di operazioni eseguite sui Dati Personali, comprese la loro raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o altra modalità di messa a disposizione, nonché il raffronto o l’interconnessione, la limitazione o la cancellazione dei Dati Personali. Le espressioni "Trattare", "Trattamento" e "Trattato" saranno interpretate di conseguenza.
"Affiliate Autorizzate di SHL": sono le Affiliate di SHL abilitate al trattamento dei Dati Personali, a seconda dell’ubicazione della Piattaforma da Voi scelta per l'utilizzo dei Servizi di SHL. L’elenco delle Affiliate Autorizzate di SHL è consultabile qui: https://www.shl.com/legal/shl-permitted-affiliates/
"Clausole Contrattuali Standard": sono le clausole contrattuali standard per i Responsabili del Trattamento, approvate dalla decisione della Commissione Europea (UE) 2021/914 del 4 giugno 2021, nel testo riportato in www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses , come eventualmente modificate o sostituite.
"Sub-Responsabile Esterno ": designa qualsiasi Responsabile del Trattamento, incaricato da noi o dalle nostre Affiliate di coadiuvarci nell’adempimento dei nostri obblighi relativi alla fornitura dei Prodotti e/o dei Servizi previsti dall'Accordo. L'elenco aggiornato dei Sub-Responsabili Esterni è consultabile al seguente link: https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/
2. Responsabilità della Società
a. Rispetto delle leggi. Nell’ambito dell’Accordo e durante il Vostro utilizzo dei Prodotti e/o dei Servizi, sarete responsabili dell’adempimento di tutti gli obblighi a Voi spettanti secondo le Leggi sulla Protezione dei Dati e le Istruzioni da Voi impartiteci. In particolare, e ferma restando il carattere generale di quanto precede, Voi prendete atto e accettate la Vostra responsabilità esclusiva per quanto segue: (i) l’esattezza, la qualità e la liceità della Proprietà della Società e delle modalità con cui Voi avete acquisito i Dati Personali; (ii) l’adempimento di tutti i necessari requisiti di trasparenza e liceità previsti per la raccolta e l'uso dei Dati Personali dalle vigenti Leggi sulla Protezione dei Dati, compreso l'ottenimento dei necessari consensi e autorizzazioni; (iii) accertarvi di avere il diritto di trasferirci i Dati Personali per il Trattamento conformemente alle clausole dell'Accordo (incluso il presente DPA) o di consentirci l’accesso ai medesimi; (iv) accertarvi della conformità alle leggi vigenti, tra cui le Leggi sulla Protezione dei Dati, delle Vostre Istruzioni sul Trattamento dei Dati Personali; e (v) il rispetto di tutte le leggi vigenti (comprese le Leggi sulla Protezione dei Dati). Ci comunicherete senza ingiustificato ritardo la Vostra eventuale impossibilità di adempiere gli obblighi previsti dal presente paragrafo (a).
b. Istruzioni del Titolare del Trattamento. Le parti convengono che l'Accordo (incluso il presente DPA), nonché il Vostro utilizzo dei Prodotti e/o dei Servizi previsto dall'Accordo, rappresentano le Vostre Istruzioni complete e definitive per il Trattamento dei Dati Personali, e che ulteriori istruzioni non comprese nelle Istruzioni necessiteranno del preventivo accordo scritto tra noi e Voi.
3. Obblighi di SHL
a. Adempimento delle Istruzioni. Tratteremo i Dati Personali solo per le finalità descritte nel presente DPA o come altrimenti concordato nell'ambito delle Vostre lecite Istruzioni, salvo laddove e nella misura altrimenti richiesta dalla legge applicabile. Non siamo responsabili del rispetto delle Leggi sulla Protezione dei Dati Personali applicabili a Voi o al Vostro settore, che in generale non siamo a noi applicabili. Collaboreremo a eventuali Vostre richieste relative ai Dati Personali comunicatici da Voi o per Vostro tramite, a seconda dei casi, purché tali richieste non violino le previsioni dell'Accordo.
b. Conflitto tra leggi. Qualora ci accorgessimo di non poter Trattare i Dati Personali attenendoci alle Vostre Istruzioni a causa di un obbligo di legge impostoci da una norma applicabile, (i) Vi informeremo tempestivamente di tale obbligo di legge solo nell’ambito e nella misura consentita dalla legge applicabile; e (ii) ove necessario, cesseremo ogni Trattamento (tranne la semplice archiviazione e conservazione in sicurezza dei Dati Personali in questione) fino a quando ci impartirete nuove Istruzioni che saremo in grado di rispettare. Se sarà invocata la presente clausola, non saremo responsabili nei Vostri confronti di eventuali mancate forniture e/o prestazioni dei Prodotti e/o dei Servizi in questione, fino a quando ci impartirete nuove e lecite Istruzioni sul Trattamento.
c. Sicurezza. Implementeremo e manterremo in funzione un efficace piano di sicurezza delle informazioni, che: (i) comprenderà garanzie amministrative, tecniche e fisiche e (ii) adotterà adeguate misure tecniche e organizzative per proteggere i Dati Personali da Violazioni dei Dati Personali, come descritto nell'Allegato 2 al presente DPA (le "Misure di Sicurezza"). Le Misure di Sicurezza saranno idonee a garantire la sicurezza e la riservatezza dei Dati Personali e li proteggeranno contro: (1) le minacce o i pericoli già previsti per la sicurezza o l'integrità dei Dati Personali, (2) l’accesso ai Dati Personali e il loro uso non autorizzato, (3) i trattamenti illeciti o i trattamenti comunque non conformi all'Accordo, e (4) la perdita fortuita, la distruzione, il danno, l’alterazione o la divulgazione di Dati Personali. Le Misure di Sicurezza comprenderanno (come minimo): (i) l’attuazione dei provvedimenti prescritti dalla Legislazione sulla Protezione dei Dati e/o dall'Accordo; (ii) l’adozione di provvedimenti ragionevolmente idonei a garantire l’affidabilità del personale che ha accesso ai Dati Personali; e (iii) l’attuazione e il mantenimento di ragionevoli misure per l’eliminazione dei Dati Personali e la formazione del personale abilitato ad accedervi. Nonostante qualsiasi disposizione contraria, potremo modificare o aggiornare a nostra discrezione le Misure di Sicurezza, purché tali modifiche o aggiornamenti non comportino riduzioni sostanziali della protezione garantita dalle Misure di Sicurezza.
d. Riservatezza. Garantiremo che il personale da noi autorizzato al trattamento dei Dati Personali per nostro conto sia vincolato da obblighi di riservatezza (contrattuali o di legge) con riferimento a tali Dati Personali.
e. Violazioni dei Dati Personali. (i) Vi comunicheremo senza ingiustificato ritardo, e in ogni caso non oltre 48 ore dopo averle apprese, eventuali Violazioni dei Dati Personali, e Vi comunicheremo tempestivamente le informazioni attinenti alla Violazione dei Dati Personali appena ne verremo a conoscenza o quando Voi ragionevolmente ce lo chiederete; e (ii) non comunicheremo a Terze Parti il coinvolgimento dei Dati Personali della Società nella Violazione dei Dati Personali senza il previo consenso della Società, che non potrà essere irragionevolmente negato. Esamineremo immediatamente e adotteremo gli opportuni interventi correttivi per attenuare le conseguenze della Violazione dei Dati Personali in conformità alle leggi, ai regolamenti e agli usi vigenti nel settore. A Vostra richiesta (i) Vi forniremo tempestivamente l'assistenza ragionevolmente necessaria per consentirvi di comunicare le pertinenti Violazioni dei Dati Personali alle autorità competenti e/o agli Interessati coinvolti, qualora Voi siate tenuti a farlo ai sensi delle Leggi sulla Protezione dei Dati; e (ii) Vi invieremo una relazione sintetica sulla nostra indagine e sugli interventi correttivi.
f. Cancellazione o Restituzione dei Dati Personali. Cancelleremo o restituiremo, previa Vostra istruzione scritta, tutto quanto di Proprietà della Società, compresi i Dati Personali (e le relative copie) Trattati ai sensi del presente DPA, ma tale obbligo non troverà applicazione nella misura in cui una legge vigente ci imponga di conservare tutte o alcune Proprietà della Società, o alle Proprietà della Società da noi archiviate in sistemi di back-up, i cui dati saranno isolati in sicurezza e protetti contro qualsiasi ulteriore Trattamento, e da noi eliminati attenendoci ai pertinenti criteri di cancellazione.
4. Richieste degli Interessati
A Vostra richiesta scritta Vi presteremo ogni ragionevole assistenza per permettervi di rispondere a eventuali Richieste degli Interessati o delle autorità di Protezione dei Dati concernenti il Trattamento dei Dati Personali previsto dall'Accordo. Voi ci rimborserete le ragionevoli spese commercialmente sostenute per tale assistenza. Qualora ci pervenga direttamente dall'Interessato una Richiesta o altra comunicazione concernenti il Trattamento dei Dati Personali oggetto dell'Accordo, invieremo all'Interessato le nostre risposte tipo, suggerendogli di rivolgere a Voi la sua richiesta. Sarà Vostro esclusivo compito rispondere esaustivamente a tali Richieste degli Interessati o a loro comunicazioni concernenti i Dati Personali.
5. I Sub-Responsabili del Trattamento
Voi convenite che potremo affidare per Vostro conto il Trattamento dei Dati Personali a Sub-Responsabili Esterni ed alle Affiliate Autorizzate di SHL (congiuntamente i "Sub-Responsabili"). Vi informeremo di eventuali nuove nomine o revoche dei Sub-Responsabili prima di tali modifiche, sempre che Voi acconsentiate a ricevere tali comunicazioni via e-mail compilando il modulo disponibile al seguente link https://www.shl.com/legal/security-and-compliance/. Imporremo ai Sub-Responsabili da noi eventualmente ingaggiati clausole di protezione dei dati che garantiscano un grado di protezione dei Dati Personali almeno pari a quello previsto dal presente DPA (comprese, ove opportuno, le Clausole Contrattuali Standard), nella misura consona alla natura dei servizi prestati da tali Sub-Responsabili. Resteremo responsabili del rispetto da parte di ciascun Sub-Responsabile degli obblighi del presente DPA, nonché di qualsiasi atto od omissione di tali Sub-Responsabili che comporti una violazione da parte nostra di qualsivoglia obbligo loro imposto dal presente DPA.
6. Trasferimenti di Dati
Voi convenite ed accettate che potremo accedere ai Dati Personali e Trattarli a livello globale, come sarà necessario per fornire i Prodotti e/o i Servizi previsti dall'Accordo, e in particolare che i Dati Personali saranno trasferiti a SHL e da essa Trattati nelle altre giurisdizioni in cui operano i Sub-Responsabili del Trattamento. Garantiremo che tali trasferimenti si svolgano nel rispetto degli obblighi previsti dalle Leggi sulla Protezione dei Dati.
7. Clausole aggiuntive per i Dati Europei
a. Ambito di applicazione dell’articolo 7. Il presente articolo "Clausole aggiuntive per i Dati Europei" si applica esclusivamente ai Dati Europei.
b. Ruoli delle Parti. Le Parti convengono e accettano di svolgere i seguenti ruoli durante il Trattamento dei Dati Europei effettuato secondo le Vostre Istruzioni: Voi sarete il Titolare del Trattamento dei Dati Europei e noi saremo il Responsabile del Trattamento.
c. Istruzioni. Se dovessimo ritenere che le Vostre Istruzioni violino le Leggi Europee sulla Protezione dei Dati (ove applicabili), provvederemo, solo nell’ambito delle Leggi Europee sulla Protezione dei Dati e nella misura da esse consentita, a informarvi senza indugio.
d. Comunicazione di nuovi Sub-Responsabili e opposizione alla loro nomina. Vi comunicheremo eventuali variazioni dei Sub-Responsabili con le modalità di notifica descritte nell’articolo 5 del DPA, dandovi la possibilità di opporvi entro 30 giorni dalla comunicazione alla nomina del nuovo Sub-Responsabile del Trattamento per ragionevoli motivi attinenti alla protezione dei Dati Personali. Se ci manifesterete tale opposizione, le parti discuteranno insieme in buona fede le Vostre perplessità per individuare una soluzione commercialmente ragionevole. In mancanza di tale soluzione potremo scegliere, a nostra esclusiva discrezione, tra non nominare il nuovo Sub-Responsabile del Trattamento e permettervi di sospendere o terminare i Prodotti e/o i Servizi in questione, conformemente alle clausole di risoluzione dell'Accordo e senza responsabilità di nessuna delle parti (ma fermi restando gli eventuali corrispettivi da Voi dovuti prima della sospensione o della cessazione).
e. Valutazioni di Impatto sulla Protezione dei Dati e Consultazione con le Autorità di vigilanza. Nella misura in cui le informazioni richieste siano ragionevolmente nella nostra disponibilità e Voi non abbiate altrimenti accesso a tali informazioni, Vi presteremo una ragionevole assistenza, nei tempi da Voi ragionevolmente richiesti, per effettuare le valutazioni d'impatto sulla protezione dei dati e per le consultazioni preventive con le autorità di controllo o con altre autorità competenti in materia di protezione dei dati, nella misura prevista dalle Leggi Europee sulla Protezione dei Dati.
f. Modalità di Trasferimento dei Dati.
(A) SHL non trasferirà i Dati Europei in nessun Paese o a destinatari non riconosciuti come idonei a fornire un adeguato livello di protezione dei Dati Personali (secondo il significato previsto dalle applicabili Leggi Europee sulla Protezione dei Dati), senza aver prima adottato tutte le misure necessarie per garantire la conformità del trasferimento alle vigenti Leggi Europee sulla Protezione dei Dati. Tali misure potranno comprendere, a mero titolo esemplificativo, il trasferimento di tali dati a un destinatario dotato di norme appropriate o di un altro meccanismo di trasferimento giuridicamente adeguato e riconosciuto dalle autorità o dai tribunali competenti come idoneo a garantire un sufficiente livello di protezione dei Dati Personali; a un destinatario che abbia ottenuto l'autorizzazione per le norme vincolanti d'impresa in conformità alle Leggi Europee sulla Protezione dei Dati; o a un destinatario che abbia sottoscritto adeguate clausole contrattuali standard, in ciascun caso adottate o approvate conformemente alle vigenti Leggi Europee sulla Protezione dei Dati.
(B) Le Parti convengono e concordano quanto segue:
(i) Clausole Contrattuali Standard: SHL si impegna a rispettare e trattare i Dati Europei attenendosi alle Clausole Contrattuali Standard. L’Accordo Infragruppo stipulato dal Gruppo SHL comprende le Clausole Contrattuali Standard per il Trattamento dei Dati Personali in Paesi al di fuori del SEE. A richiesta della Società, SHL e le Affiliate Autorizzate di SHL stipuleranno delle Clausole Contrattuali Standard in qualità di mandatari della Società per il trasferimento di Dati Personali in Paesi al di fuori del SEE.
(ii) Le Parti convengono che (i) ai soli fini delle descrizioni riportate nelle Clausole Contrattuali Standard, SHL sarà ritenuta "l’importatore dei dati" e la Società sarà ritenuta "l’esportatore dei dati" (anche se Voi vi trovaste fuori dell’Europa e/o agiste in qualità di responsabili del trattamento per conto di terzi titolari del trattamento); e (ii) qualora e nella misura in cui le Clausole Contrattuali Standard (ove applicabili) sia in contrasto con qualsivoglia clausola del presente DPA, le Clausole Contrattuali Standard prevarranno nella misura necessaria alla risoluzione del conflitto.
g. Prova di Conformità. Comunicheremo tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi descritti nell’articolo 29 (Responsabile del Trattamento) del GDPR. Voi riconoscete e accettate l’uso della nostra certificazione ISO 27001 allora vigente per soddisfare qualsiasi richiesta di verifica o di ispezione presentata da Voi o per Vostro conto, e a richiesta noi metteremo tale relazione a Vostra disposizione. Inoltre, a Vostra richiesta scritta, forniremo riservatamente risposte scritte a tutte le ragionevoli richieste da Voi presentate di ricevere le informazioni necessarie per confermare la nostra conformità al presente DPA, purché Voi non esercitiate tale diritto più di una volta in un anno civile.
8. Clausole Aggiuntive sulle Informazioni Personali in California
a. Ambito di applicazione dell’Articolo 8. L’articolo del DPA intitolato "Clausole Aggiuntive sulle Informazioni Personali in California" si applicherà esclusivamente alle Informazioni Personali in California.
b. Ruoli delle Parti. Nel trattare le Informazioni Personali in California conformemente alle Vostre Istruzioni, le parti riconoscono e convengono che, ai fini del CCPA, Voi sarete un'Azienda e noi saremo un Fornitore di Servizi.
c. Responsabilità. Le parti convengono che noi tratteremo le Informazioni Personali in California, in qualità di Fornitore di Servizi, rigorosamente allo scopo di fornire i Prodotti e/o i Servizi previsti dall'Accordo (la "Finalità Commerciale"), o come diversamente consentito dal CCPA.
9. Clausole Aggiuntive sulle Informazioni Personali della POPIA
a. Ambito di applicazione dell’Articolo 9. L’articolo del DPA intitolato "Clausole Aggiuntive sulle Informazioni Personali della POPIA" sarà valido esclusivamente per le Informazioni Personali della POPIA.
b. Ruoli delle Parti. Nel trattare le Informazioni Personali della POPIA conformemente alle Vostre Istruzioni, le parti riconoscono e convengono che, ai fini della POPIA, Voi sarete la Parte Responsabile e SHL sarà l'Operatore.
c. Responsabilità. Le parti convengono che SHL Tratterà le Informazioni Personali della POPIA in qualità di Operatore, esclusivamente allo scopo di fornire i Prodotti e/o i Servizi previsti dall'Accordo (la "Finalità Commerciale"), o come diversamente consentito dalla POPIA.
10. Clausole Aggiuntive sulle Informazioni Personali della PIPL
a. Ambito di applicazione dell’Articolo 10. L’articolo del DPA intitolato "Clausole Aggiuntive sulle Informazioni Personali della PIPL" sarà valido esclusivamente per le Informazioni Personali della PIPL.
b. Ruoli delle Parti. Nel trattare le Informazioni Personali della PIPL conformemente alle Vostre Istruzioni, le parti riconoscono e convengono che, ai fini della PIPL, Voi sarete il gestore dei dati e SHL sarà la parte incaricata.
c. Responsabilità. Le parti convengono che SHL Tratterà le Informazioni Personali della PIPL, in qualità di parte incaricata, esclusivamente allo scopo di fornire i Prodotti e/o i Servizi previsti dall'Accordo (la "Finalità Commerciale"), o come diversamente consentito dalla PIPL.
11. Disposizioni Generali
a. Modifiche. Ci riserviamo il diritto di aggiornare e modificare il presente DPA, nonostante qualsiasi disposizione contraria dell'Accordo e fermi restando gli articoli "Adempimento delle Istruzioni" o "Sicurezza" del medesimo DPA.
b. Invalidità parziale. L’eventuale invalidità o inapplicabilità di singole clausole del presente DPA non pregiudicheranno la validità e l'applicabilità delle altre clausole del medesimo.
c. Limitazione di responsabilità. Fermo restando quanto previsto nell'Accordo, la responsabilità totale complessiva di SHL per la violazione degli obblighi su di essa gravanti ai sensi del presente DPA nella sua qualità di Responsabile del Trattamento sarà limitata all'importo direttamente riconducibile all’operato di SHL o al suo mancato adempimento al presente DPA nella fornitura dei Prodotti e/o prestazione dei Servizi. Potranno essere considerati danni diretti, recuperabili conformemente all'Accordo, nella misura in cui esse derivino direttamente dalla violazione del presente DPA da parte di SHL: (i) gli eventuali costi e spese da Voi sostenuti per verificare e rimediare al danno ai Dati Personali; (ii) gli oneri da Voi eventualmente sostenuti in relazione alle comunicazioni richieste dalla legge; (iii) le sanzioni, le penali e gli interessi accertati nei Vostri confronti in seguito alla violazione; e (iv) i ragionevoli onorari degli avvocati.
d. Legge regolatrice. Il presente DPA sarà disciplinato e interpretato secondo le leggi e la giurisdizione precisati nell'Accordo, salvo ove diversamente richiesto dalle Leggi sulla Protezione dei Dati.
12. Contraenti del presente DPA
a. Affiliate Autorizzate. Firmando l'Accordo Voi stipulate il presente DPA per Vostro conto e, per quanto previsto dalle applicabili Leggi sulla Protezione dei Dati, in nome e per conto delle Vostre Affiliate Autorizzate, costituendo in tal modo DPA separati tra noi e ciascuna di esse, fermi restando l'Accordo e gli articoli del presente DPA intitolati "Disposizioni Generali" e "Contraenti del presente DPA". Ciascuna Affiliata Autorizzata accetta di essere vincolata dagli obblighi stabiliti dal presente DPA e, per quanto applicabili, dall'Accordo. Ai soli fini del presente DPA, e salvo diversa indicazione, i termini "Società", "Voi" e "Vostro/a/i/e" comprenderanno Voi e le Affiliate Autorizzate.
b. Autorizzazione. La persona giuridica che contrae in qualità di Società il presente DPA dichiara di essere autorizzata a contrarre e stipulare il presente DPA in nome e per conto proprio, e se del caso di ciascuna delle sue Affiliate Autorizzate.
c. Rimedi. Salvo qualora le applicabili Leggi sulla Protezione dei Dati Personali attribuiscano a un'Affiliata Autorizzata l’esercizio diretto nei nostri confronti di un diritto o della richiesta di un rimedio previsto dal presente DPA, le parti convengono che (i) solo l’entità della Società contraente dell'Accordo eserciterà per conto delle sue Affiliate un diritto o esigerà un rimedio eventualmente conferito dal presente DPA ad un’Affiliata Autorizzata, e che (ii) l'entità della Società contraente dell'Accordo eserciterà i diritti conferiti dal presente DPA non separatamente per conto di ciascuna singola Affiliata Autorizzata, ma contestualmente e congiuntamente per se stessa e per tutte le sue Affiliate Autorizzate. L'entità contraente della Società sarà l'entità responsabile del coordinamento di tutte le comunicazioni con noi previste dal DPA e avrà il diritto di inviare e ricevere per conto delle sue Affiliate Autorizzate qualsiasi comunicazione attinente al presente DPA.
d. Altri diritti. Le parti convengono che durante la verifica della nostra conformità al presente DPA, prevista dall’articolo "Prova di conformità", Voi adotterete tutti i ragionevoli accorgimenti per attenuarne l’impatto su di noi e sulle nostre Affiliate, aggregando in un unico audit le diverse richieste al riguardo effettuate per conto dell'entità della Società che è contraente dell'Accordo e di tutte le sue Affiliate Autorizzate.
Allegato 1 al DPA - Dettagli del Trattamento
Il presente Allegato costituisce parte integrante del DPA.
A: Oggetto del Trattamento
I Prodotti e i Servizi di SHL, ossia i servizi di valutazione dei talenti.
B: Natura e Finalità del Trattamento
Tratteremo i Dati Personali necessari per fornire i Prodotti e/o i Servizi previsti dall'Accordo, come ulteriormente specificato nel Modulo d'Ordine e come da Voi ulteriormente richiesto nell'utilizzo dei Prodotti e/o dei Servizi.
L'Interessato si sottoporrà a una prova, in cui si applicheranno i sistemi di valutazione online di SHL. Le risposte alla prova saranno valutate e utilizzate per redigere una relazione contenente l’esito della prova stessa, che SHL invierà alla Società. SHL potrà svolgere sondaggi o altre operazioni di trattamento a richiesta della Società. La Società avrà accesso ai dati dei candidati, compresi i risultati delle prove, e all'interfaccia della piattaforma.
C: Durata del Trattamento
Fermo restando l’articolo "Cancellazione o Restituzione dei Dati Personali" del presente DPA, Tratteremo i Dati Personali durante il periodo di vigenza dell’Accordo, salvo diversamente previsto per iscritto.
D: Categorie di Interessati
Durante l’utilizzo dei Prodotti e/o dei Servizi, Voi ed i Vostri utenti finali potrete inviare Dati Personali, la cui ampiezza sarà determinata e controllata da Voi o da loro, a Vostra o loro esclusiva discrezione, e che, a mero titolo d’esempio, potranno comprendere Dati Personali concernenti le seguenti categorie di Interessati:
Candidati all’assunzione nella Società e/o suoi dipendenti
E: Categorie di Dati Personali
Durante l’utilizzo dei Prodotti e/o dei Servizi Voi ed i Vostri utenti finali potrete inviare Dati Personali la cui ampiezza sarà determinata e controllata da Voi o da loro, a Vostra o loro esclusiva discrezione, e che, a mero titolo d’esempio, potranno comprendere le seguenti categorie di Dati Personali:
- Nome, indirizzo e-mail, genere, lingua, matricola aziendale, dati demografici dei dipendenti, risposte a prove o sondaggi, registrazioni audio, immagini visuali
- Qualsiasi altra richiesta di Dati Personali proveniente, presentata o ricevuta da Voi o dai Vostri utenti finali, o inviata a Voi o a loro, durante l’utilizzo dei Prodotti e/o dei Servizi.
F: Categorie particolari di dati (ove pertinente)
Le parti non prevedono il trasferimento di categorie particolari di dati.
G: Operazioni di trattamento
I Dati Personali saranno Trattati conformemente all'Accordo (compreso il presente DPA) e potranno essere oggetto delle seguenti attività di Trattamento:
a. Archiviazione e altri Trattamenti necessari per fornire, preservare e ottimizzare i Prodotti e/o i Servizi a Voi destinati; e/o
b. Divulgazione, come previsto dall'Accordo (compreso il presente DPA) e/o per adempiere alle leggi applicabile.
Allegato 2 al DPA - Misure di Sicurezza
Attualmente attuiamo le Misure di Sicurezza descritte nella Politica di SHL sulla Sicurezza delle Informazioni, consultabile qui: https://www.shl.com/legal/security-and-compliance/information-security/