Sojern Inc.Addendum per il trattamento dei dati

Ultimo aggiornamento: 14 settembre 2022

Il presente Addendum per il trattamento dei dati, comprensivo degli Allegati 1 e 2 ("DPA") stabilisce i termini essenziali richiesti da Sojern, Inc., una società del Delaware con sede principale presso 575 Market Street, 4th Floor, San Francisco, CA 94105 USA ("Sojern"). Ai fini del presente DPA, la società che è parte dell'Accordo (come definito di seguito) in cui il presente DPA è incorporato è indicata come "Società".

1. Definizioni

"Accordo" indica qualsiasi accordo tra le parti in base al quale Sojern riceve, raccoglie, accede o elabora in altro modo i Dati personali per le finalità previste dal fornitore di dati o dall'accordo di servizio applicabile. Il presente DPA incorpora i termini e le condizioni dell'Accordo e come di seguito indicato. In caso di conflitto tra il DPA e l'Accordo, prevarranno i termini del presente DPA. Tutti i termini in maiuscolo utilizzati ma non definiti nel presente documento avranno il rispettivo significato come stabilito nell'Accordo.

"Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile che può essere identificata direttamente o indirettamente.

"Servizio" indica i servizi forniti da Sojern o dalla Società, a seconda dei casi, a fronte dell'Accordo.

2. Applicazione del DPA

Ai fini del trattamento effettuato da Sojern a fronte dell'Accordo, il ruolo di Sojern come titolare o responsabile del trattamento dei dati in relazione ai Dati personali trattati da Sojern sarà stabilito nell'Accordo applicabile.

3. Utilizzo dei Dati personali

Fatto salvo quanto espressamente consentito nel presente documento o per iscritto dalla Società, Sojern non (a) divulgherà, venderà, distribuirà o trasmetterà direttamente o indirettamente i Dati personali a terzi, o (b) utilizzerà i Dati personali per qualsiasi scopo diverso da quello di fornire alla Società il servizio a fronte dell'Accordo, e in conformità a tutte le leggi applicabili sulla privacy e sulla protezione dei dati.

4. Conformità alla legge; altre istruzioni

Ciascuna parte certifica di comprendere i propri obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati e tratterà i Dati personali in conformità a tutte le leggi applicabili sulla privacy e sulla protezione dei dati. Nel caso in cui Sojern agisca in qualità di responsabile del trattamento, Sojern eseguirà il trattamento come documentato e indicato dalla Società nell'Accordo, a meno che non venga notificato da un ente regolatore che tale trattamento non è conforme alle leggi applicabili in materia di privacy e protezione dei dati, nel qual caso Sojern fornirà prontamente alla Società una notifica scritta di tale notifica di regolamentazione e potrà cessare il trattamento dei Dati personali fino alla risoluzione della questione normativa.

5. Documentazione; adempimento collaborativo

Ciascuna parte terrà una copia scritta o elettronica del trattamento dei Dati personali. Ciascuna parte collaborerà ragionevolmente con l'altra parte per conformarsi alle leggi applicabili in materia di privacy e protezione dei dati per quanto riguarda le valutazioni di impatto dei dati, i registri di trattamento, le relative richieste o consultazioni con le autorità di protezione dei dati e gli audit in conformità all'Accordo applicabile per consentire alla Società di confermare che Sojern ha rispettato i propri obblighi ai sensi delle leggi applicabili in materia di privacy e protezione dei dati e dell'Accordo.

6. Informativa sulla privacy di Sojern

Le parti riconoscono che Sojern non intrattiene una relazione diretta con i soggetti interessati i cui Dati personali vengono forniti a Sojern. Di conseguenza, laddove richiesto dalle leggi applicabili in materia di privacy e protezione dei dati, la Società renderà disponibile l'Informativa sulla privacy di Sojern reperibile all'indirizzo http://www.sojern.com/privacy/privacy-policy/ per i soggetti i cui Dati personali vengono trattati da Sojern

7. Comunicazione, consenso e rifiuto al trattamento dei dati

La Società dovrà fornire comunicazione ai soggetti interessati e ottenere i loro consensi, come richiesto dalle leggi applicabili sulla privacy e sulla protezione dei dati in merito alla raccolta, all'utilizzo e alla divulgazione dei Dati personali da parte della Società. Se le leggi applicabili in materia di privacy e protezione dei dati richiedono meccanismi attraverso cui i soggetti possono esercitare diritti, incluso, a titolo esemplificativo ma non esaustivo, il diritto di rifiutare il trattamento dei dati, la Società (o qualsiasi altra parte responsabile della raccolta dei Dati personali per conto della Società), offrirà ai soggetti tale meccanismo. Si presume che la Società abbia fornito le opportune comunicazioni e abbia ottenuto i consensi appropriati, se richiesto, da qualsiasi soggetto i cui Dati personali vengono forniti a Sojern.

8. Diritti di privacy del soggetto interessato

Ciascuna parte coopererà ragionevolmente con l'altra parte in risposta a qualsiasi richiesta o reclamo da parte di soggetti interessati in relazione al trattamento dei Dati personali a fronte dell'Accordo e relativamente ai diritti di privacy ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati. Se Sojern riceve una richiesta da un soggetto, Sojern provvederà prontamente a: (a) inoltrare la richiesta alla Società per gestire la richiesta; e (b) attuare la decisione della Società in merito alla modalità di gestione della richiesta, laddove Sojern agisca in qualità di responsabile del trattamento.

9. Dati personali nell'UE

Nella misura in cui i Dati personali provenienti da paesi al di fuori degli Stati Uniti (inclusi lo Spazio economico europeo (SEE), il Regno Unito o la Svizzera) vengono trasferiti a Sojern, il trattamento dei dati deve essere adeguato ai sensi delle leggi stabilite dal paese della Società. Tale adeguatezza può essere soddisfatta dai termini del presente DPA, e le parti concordano che il presente DPA incorpora per riferimento, ove applicabile, le clausole contrattuali tipo della Commissione europea (UE) 2021/914 per il trasferimento dei Dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 da parte dei titolari all’interno dell’UE/del SEE ai responsabili con sede al di fuori dell'UE/del SEE ("Modulo 2") e/o dai titolari all’interno dell’UE/del SEE ai titolari con sede al di fuori dell'UE/del SEE ("Modulo 1"), e come di volta in volta modificate o sostituite dalla Commissione europea (congiuntamente le "Clausole"). Per comodità, le Clausole COLLEGATE IPERTESTUALMENTE di cui sopra vengono generate sulla base del testo messo a disposizione dalla Commissione Europea al solo scopo di incorporare le clausole nell’Accordo, selezionare il/i Modulo/i appropriato/i e aggiungere informazioni nell'Appendice secondo quanto consentito dalle Clausole.  Ai fini di tali trasferimenti di Dati personali, la Società sarà considerata "esportatore dei dati" e Sojern "importatore dei dati" (anche se la Società è un'entità situata al di fuori dell’UE/del SEE e purché la Società sia altrimenti soggetta al Regolamento (UE) 2016/679). Nei casi in cui si applicano le Clausole, queste ultime si considerano sottoscritte a nome e per conto della Società e di Sojern e le denominazioni, gli indirizzi, le informazioni di contatto, i ruoli e le attività delle parti riguardanti i Dati personali trasferiti ai sensi delle presenti Clausole vengono forniti nell'Accordo. Con la sottoscrizione del Contratto si considerano sottoscritte le Clausole, nello specifico l'Allegato I.A delle Clausole. Nella misura in cui vi sia un conflitto tra i termini del presente DPA e le Clausole, prevarranno le Clausole applicabili.

  1. Da titolare a titolare. Ai fini del Modulo 1, (i) l’Allegato 1 al presente DPA sostituisce l’Allegato 1.B del Modulo 1; (ii) l'Allegato 2 al presente DPA sostituisce l’Allegato II del Modulo 1; e (iii) ai sensi della Clausola 11(a) del Modulo 1, viene selezionato il testo opzionale fornito; (iv) ai sensi della Clausola 17 del Modulo 1, viene selezionata l'OPZIONE 1 e lo Stato membro dell'UE è l'Irlanda; e (v) ai sensi della Clausola 18(b) del Modulo 1 vengono selezionati i tribunali irlandesi.
  2. Da titolare a responsabile. Ai fini del Modulo 2, (i) l’Allegato 1 al presente DPA sostituisce l’Allegato 1.B del Modulo 2; (ii) l'Allegato 2 al presente DPA sostituisce l’Allegato II del Modulo 2; e (iii) ai sensi della Clausola 9(a) del Modulo 2, viene selezionata l’OPZIONE 2: AUTORIZZAZIONE GENERALE SCRITTA, e il periodo di preavviso è di trenta (30) giorni; (iv) ai sensi della Clausola 11(a) del Modulo 2, viene selezionato il testo opzionale fornito; (v) ai sensi della Clausola 17 del Modulo 2 l'OPZIONE 1 viene selezionata e lo Stato membro dell'UE è l'Irlanda; e (vi) ai sensi della Clausola 18(b) del Modulo 2 vengono selezionati i tribunali irlandesi.
  3. Sezione 702 del FISA ed Executive Order 12333. Sojern informerà immediatamente la Società e cesserà di accettare i Dati personali qualora venga a conoscenza che la stessa è diventata soggetta ai requisiti di condivisione o divulgazione dei dati previsti dalla Sezione 702 del Foreign Intelligence Surveillance Act (FISA) e/o dall'Executive Order 12333 degli Stati Uniti. Se dal Comitato europeo per la protezione dei dati o da un'altra autorità di regolamentazione a cui la Società è tenuta a conformarsi vengono rilasciate ulteriori indicazioni su quali ulteriori misure adeguate sono richieste per l'esportazione internazionale di Dati personali, Sojern attuerà prontamente qualsiasi ulteriore misura adeguata.

10. Misure di sicurezza

Ciascuna parte deve implementare e mantenere adeguate misure tecniche, fisiche e organizzative per proteggere i Dati personali da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali.

  1. Violazione dei dati personali. Nel momento in cui viene a conoscenza di una violazione dei Dati personali ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati, ciascuna parte informerà l'altra per iscritto senza indebito ritardo ed entro i tempi richiesti dalle leggi applicabili sulla privacy e sulla protezione dei dati. Ciascuna parte collaborerà ragionevolmente con l'altra per mitigare, ove possibile, gli effetti negativi di una violazione dei Dati personali.
  2. Conservazione dei dati; cancellazione dei dati personali dopo la cessazione. Sojern implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato ai Dati personali, inclusa la crittografia dei Dati personali in formato elettronico durante il transito e l'archiviazione su reti o sistemi Sojern. Gli obblighi di Sojern in relazione ai Dati personali in caso di cessazione dell'Accordo sono stabiliti nella sezione Durata e cessazione dell'Accordo, fatti salvi eventuali termini di conservazione dei dati previsti dall'Accordo applicabile.

11. Sub-responsabili del trattamento

La Società concede un'autorizzazione generale a Sojern per utilizzare altri responsabili del trattamento dei Dati personali ("Sub-responsabili"), che sono vincolati dagli obblighi di riservatezza e protezione dei dati in conformità al presente DPA elencati all'indirizzo http://sojern.com/legal/partner-list. Laddove richiesto dall'Accordo o laddove Sojern agisca in qualità di responsabile del trattamento dei dati, Sojern informerà la Società di eventuali modifiche concernenti l'aggiunta o la sostituzione di Sub-responsabili aggiornando l'elenco sopra menzionato, offrendo così alla Società la possibilità di opporsi a tali modifiche; le istruzioni per le obiezioni sono fornite allo stesso URL. Qualora la Società dovesse ragionevolmente opporsi a una modifica e Sojern non fosse in grado di rispondere a tale obiezione, la Società potrà sciogliere l'Accordo e il DPA.

12. Applicazione del DPA

Il presente DPA resterà in vigore fino a quando (a) gli Accordi rimarranno in vigore o (b) Sojern conserverà copie dei Dati personali. Ciascuna delle parti può risolvere immediatamente il presente DPA in caso di violazione sostanziale del presente DPA o se un'autorità di regolamentazione e/o di un tribunale o organo giurisdizionale ritiene che il trattamento dei Dati personali eseguito delle parti violi in maniera sostanziale le leggi applicabili sulla privacy e sulla protezione dei dati, a condizione tuttavia che la parte non inadempiente fornisca una notifica della presunta violazione e che tale violazione non sia stata sanata per un periodo di quindici (15) giorni dopo tale notifica.

13. Legge applicabile

Il presente DPA è da considerarsi stipulato e interpretato ai sensi delle leggi dello Stato della California, USA, indipendentemente da eventuali conflitti con le disposizioni di legge.

ALLEGATO 1

Descrizione del trasferimento

Categorie di interessati i cui Dati personali vengono trasferiti

Viaggiatori e altri clienti della Società.

Categorie di Dati personali trasferiti

I Dati personali trasferiti dalla Società sono forniti in conformità con l'Accordo, e possono includere, a titolo esemplificativo ma non esaustivo:

  • Informazioni relative a un identificatore online univoco, come ad esempio un ID cookie, un ID dispositivo mobile, un indirizzo e-mail crittografato, un ID pubblicitario e codici ID cliente assegnati dalla Società.
  • Informazioni relative al dispositivo di un individuo, come indirizzo IP, tipo di dispositivo, tipo di browser, data e ora dei clic e delle visite Web, URL visitati e altre informazioni tecniche.
  • Informazioni relative al viaggio di un soggetto, come il numero e il tipo di viaggiatori, valuta/tariffe/canoni/commissioni, informazioni di ricerca e prenotazione (come la data di partenza e di arrivo, e il paese o la città di destinazione), informazioni sul programma di ricompensa o fedeltà, e preferenze di alloggio o servizi (come la camera, il posto a sedere sul volo o il tipo di auto, e le preferenze in termini di strutture e servizi).
I dati sensibili trasferiti (se applicabili) e le limitazioni o misure di sicurezza applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, quali ad esempio una rigorosa limitazione delle finalità, limitazioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), conservazione di registri relativi all'accesso ai dati, limitazioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

Nessuna

La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una tantum o in modo continuo).

Su base continuativa, per la durata dell'Accordo applicabile.

Natura del trattamento

Raccolta di informazioni sulla navigazione online tramite l'uso di cookie e altre tecnologie di tracciamento.

Finalità del trasferimento e dell'ulteriore trattamento dei dati
Per qualsiasi scopo legittimo in relazione ai servizi forniti a fronte dell'Accordo tra esportatore dei dati e importatore dei dati, pubblicità particolarmente mirata basata su informazioni di navigazione online. Non è ammesso un ulteriore trattamento.
Il periodo per il quale i Dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Per la durata dell'Accordo applicabile, a meno che, a discrezione dell’esportatore dei dati, i Dati personali non vengano eliminati o restituiti.

Per i trasferimenti ai (sub-) responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

I sub-responsabili del trattamento sono elencati nella pagina http://sojern.com/legal/partner-list secondo quanto previsto dalla Clausola 9(a) del Modello 1.

  • Oggetto del trattamento:  I sub-responsabili del trattamento mettono a disposizione l’infrastruttura e i servizi di hosting, conservazione e trattamento per consentire a Sojern di fornire servizi ai propri clienti. Inoltre, i sub-responsabili del trattamento offrono annunci digitali su siti web, app mobili e altre proprietà connesse a Internet, rilasciano report sulle prestazioni delle campagne pubblicitarie e forniscono una piattaforma che facilita la vendita di visualizzazioni/inventario online tramite aste in tempo reale.
  • Natura del trattamento:  I provider di hosting su cloud memorizzano ed elaborano i dati forniti dai clienti di Sojern, mentre le demand-side platform (DSP) trattano i dati per i servizi di pubblicità programmatica e acquisto di spazi pubblicitari.
  • Durata del trattamento:  Per la durata dell'accordo tra Sojern e i sub-responsabili del trattamento, fatti salvi i periodi di conservazione in esso previsti.

Autorità di vigilanza competente

L'autorità di vigilanza di uno degli Stati membri in cui gli interessati - i cui Dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta di beni o servizi agli stessi, o il cui comportamento è monitorato - hanno sede, come indicato nell'Allegato I.C, agirà in qualità di autorità di vigilanza competente.

ALLEGATO 2

MISURE TECNICHE E ORGANIZZATIVE, INCLUSE LE MISURE TECNICHE E ORGANIZZATIVE ATTE A GARANTIRE LA SICUREZZA DEI DATI

  1. Aspetti generali. Sojern istituirà, implementerà e manterrà adeguate misure amministrative, tecniche e organizzative atte a proteggere dal trattamento non autorizzato o illecito dei Dati personali e dalla perdita accidentale, distruzione o danneggiamento dei Dati personali. Tali misure saranno conformi alle leggi applicabili in materia di protezione dei dati e Sojern rispetterà in qualsiasi momento le politiche sulla sicurezza delle informazioni e il programma di sicurezza delle informazioni.
  2. Policy e standard sulla sicurezza delle informazioni. Sojern manterrà politiche, standard e procedure di sicurezza delle informazioni. Tali politiche, standard e procedure saranno tenuti aggiornati e saranno oggetto di revisione ogni volta che verranno apportate modifiche rilevanti ai sistemi informativi che utilizzano o memorizzano i Dati personali.
  3. Gestione delle vulnerabilità. Sojern manterrà un programma di gestione delle vulnerabilità per tutti i sistemi che elaborano i Dati personali, che include, senza limitazioni, la scansione delle vulnerabilità interne ed esterne con risultati di valutazione dei rischi e piani di correzione formali per affrontare qualsiasi vulnerabilità identificata.
  4. Valutazione dei rischi. Sojern eseguirà valutazioni periodiche dei rischi per identificare e valutare i rischi ragionevolmente prevedibili in termini di sicurezza, riservatezza e integrità dei registri contenenti Dati personali, e valuterà e, ove necessario, migliorerà l'efficacia delle proprie misure per limitare tali rischi.
  5. Classificazione dei dati. Sojern manterrà politiche e procedure per classificare le risorse informative sensibili, chiarire le responsabilità in termini di sicurezza e promuovere la consapevolezza per tutti i dipendenti.
  6. Crittografia. Sojern implementerà meccanismi di crittografia standard del settore e suite di cifratura avanzata (si consiglia AES a 256 bit) per l'archiviazione e la trasmissione. Sojern accetterà connessioni tramite canali crittografati (si consiglia TLS).
  7. Sicurezza di rete. Sojern proteggerà la propria rete adottando un approccio di difesa approfondita che utilizza apparecchiature disponibili in commercio e tecniche standard del settore, tra cui firewall, sistemi di rilevamento delle intrusioni, elenchi di controllo degli accessi e protocolli di routing.
  8. Controlli per virus e malware. Sojern proteggerà i Dati personali da codici dannosi e installerà e manterrà software di protezione antivirus e malware su qualsiasi sistema che gestisce i Dati personali.
  9. Controllo degli accessi. Sojern attuerà il principio del privilegio minimo, in base al quale l'accesso ai Dati personali è concesso esclusivamente a coloro che all'interno dell'organizzazione hanno un'esigenza aziendale in tal senso e le autorizzazioni saranno limitate al minimo richiesto per eseguire la mansione specifica.
  10. Luogo del trattamento. I Dati personali saranno trattati da Sojern negli Stati Uniti, subordinatamente alle leggi in materia di protezione dei dati applicabili che potrebbero altrimenti essere imposte.
  11. Risposta agli incidenti. Sojern manterrà un programma di risposta agli incidenti relativi alla sicurezza dei dati e documenterà tutti i sospetti incidenti relativi alla sicurezza dei dati. Sojern indagherà su eventuali incidenti relativi alla sicurezza dei dati e adotterà tutte le misure necessarie per eliminare o contenere l'incidente relativo alla sicurezza dei dati.
  12. Personale. Sojern manterrà un programma di formazione e sensibilizzazione sulla sicurezza delle informazioni e formerà il personale critico di Sojern in merito alle misure di protezione dei dati e alla tutela della sicurezza informatica in generale.
  13. Fornitore. Sojern manterrà un programma di gestione dei fornitori che valuterà tutti i fornitori con i quali Sojern scambia Dati personali. Tali fornitori dovranno attenersi a standard di sicurezza dei dati non meno restrittivi di quelli stabiliti nel presente documento.