Regolamento Generale dell’Unione europea sulla Protezione dei Dati e Addendum sul Trasferimento dei Dati

ADDENDUM SULLA CONDIVISIONE DEI DATI

(comprensivo delle clausole contrattuali tipo dell’UE)

Questo addendum sulla condivisione dei dati (l’Addendum sulla condivisione dei dati) fa parte del Contratto tra Guidepoint e il Cliente (definito di seguito) (le Parti). I termini con iniziale maiuscola utilizzati nel presente Addendum sulla condivisione dei dati hanno il significato attribuito loro nel paragrafo ‎1 che segue o, se non definiti nel presente documento, hanno il significato stabilito nel Contratto. Se un termine con iniziale maiuscola non è definito né nel presente né nel Contratto, avrà il significato attribuito loro dagli stessi termini senza iniziale maiuscola utilizzati nelle Clausole contrattuali tipo.

Il Cliente stipula il presente Addendum sulla condivisione dei dati per sé e per conto delle proprie Affiliate che agiscono in qualità di Società trasferenti del Cliente (come definite di seguito).

1. Definizioni

1.1 I seguenti termini con iniziale maiuscola nel presente Addendum sulla condivisione dei dati hanno il significato definito di seguito:

Consulenti indica individui, quali professionisti e accademici di vari settori, che forniscono servizi di consulenza ai clienti di Guidepoint come membri di Guidepoint Global Advisors.

Affiliata indica qualsivoglia società, filiale o holding diretta o indiretta di tale società o qualsiasi filiale diretta o indiretta di tale holding.

Cliente indica una persona fisica o giuridica che ha stipulato un contratto scritto con Guidepoint per la fornitura di determinati servizi.

Dati personali del Cliente indica i dati personali forniti dal Cliente a Guidepoint o alle sue affiliate ai sensi del Contratto.

Titolare del trattamento indica un soggetto che, in autonomia o congiuntamente ad altri, stabilisce le finalità e gli strumenti del trattamento dei Dati personali.

Esportatore di dati indica la Parte che trasferisce Dati personali da un Paese dello SEE esteso.

Importatore di dati indica la Parte che riceve Dati personali da un Esportatore di dati in un Paese terzo.

Leggi sulla protezione dei dati indica tutte le leggi e i regolamenti applicabili al trattamento dei dati personali ai sensi del Contratto, tra cui lo UK GDPR, il Data Protection Act 2018 del Regno Unito (DPA 2018), il GDPR e altre leggi e regolamenti dell’Unione europea, dello SEE e dei rispettivi Stati membri, oltre che del Regno Unito, relativi al trattamento dei dati personali e alla privacy.

Interessato indica l’individuo cui si riferiscono i Dati personali.

Richiesta dell’interessato indica la richiesta da parte dell’Interessato di esercitare i propri diritti ai sensi delle leggi sulla protezione dei dati personali, tra cui, a titolo esemplificativo ma non esaustivo, il diritto di accedere ai dati, correggerli, modificarli, trasferirli, ottenerne una copia, opporsi al trattamento, bloccare o cancellare i dati personali.

SEE indica lo Spazio economico europeo.

UE indica Unione europea.

Paese dello SEE esteso indica un Paese all’interno dello SEE, l’Islanda, il Liechtenstein o la Norvegia, mentre per Paesi dello SEE esteso si intendono i suddetti Paesi collettivamente.

Dati personali dello SEE esteso indica i Dati personali, il cui trattamento è soggetto alle Leggi sulla protezione dei dati del Paese applicabile facente parte dello SEE esteso.

Paese non-SEE esteso indica la Svizzera o il Regno Unito.

GDPR è l’acronimo inglese del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati).

Dati personali Guidepoint indica tutti i dati personali che Guidepoint fornisce al Cliente e/o alle sue Affiliate ai sensi del Contratto.

Guidepoint indica Guidepoint Global, LLC o la società Guidepoint applicabile indicata nel Contratto.

Dati personali indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un numero di identificazione o a uno o più elementi caratteristici dell’identità fisica, fisiologica, psichica, economica, culturale o sociale di tale persona fisica).

Violazione dei dati personali indica una violazione della sicurezza che ha comportato, o è ragionevolmente probabile che comporti la distruzione accidentale, non autorizzata o illecita, la perdita, l’alterazione, la divulgazione, l’accesso o la crittografia dei dati personali trasmessi, memorizzati o altrimenti trattati.

Trattamento indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di strumenti automatizzati, relative ai Dati personali, quali la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o la combinazione, il blocco, la cancellazione o la distruzione.

Clausole contrattuali tipo indica le clausole contrattuali standard per il trasferimento di Dati personali verso Paesi terzi ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio adottate con Decisione della Commissione europea del 4 giugno 2021 e pubblicate con documento numero C(2021) 3972 (disponibile all’indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=it&uri=CELEX:32021D0914).

Paese terzo indica un Paese non ritenuto adeguato a ricevere Dati personali dello SEE esteso ai sensi delle Leggi sulla protezione dei dati del Paese applicabile dello SEE esteso.

Entità trasferente del Cliente indica il Cliente o una qualsiasi delle sue Affiliate che trasferisce o facilita il trasferimento dei Dati personali dello SEE esteso direttamente a Guidepoint.

Dati personali trasferiti indica i Dati personali del Cliente e/o i Dati personali di Guidepoint, che sono anche Dati personali dello SEE esteso e che vengono trasferiti (a) dall’Entità trasferente del Cliente a Guidepoint; o (b) da Guidepoint al Cliente (a seconda dei casi) ai sensi del presente Addendum sulla condivisione dei dati.

Addendum del Regno Unito indica il modello di Addendum B1.0 rilasciato dall’Information Commissioner’s Office del Regno Unito e presentato al Parlamento in conformità alla sezione s119A del Data Protection Act 2018 il 2 febbraio 2022 e in vigore il 21 marzo 2022, in quanto riveduto ai sensi della sezione 18 delle UK Mandatory Clauses (disponibile all’indirizzo international-data-transfer-addendum.pdf (ico.org.uk)).

UK GDPR indica il GDPR così come modificato e recepito nelle leggi del Regno Unito ai sensi dello European Union (Withdrawal) Act 2018 e dello European Union (Withdrawal Agreement) Act 2020.

UK Mandatory Clauses indica le clausole obbligatorie dell’Addendum del Regno Unito nella versione di volta in volta aggiornata e sostituite da qualsiasi versione finale pubblicata dall’Information Commissioner’s Office.

2. Titolari del trattamento indipendenti

2.1 Le Parti riconoscono e convengono che agiranno ciascuna in modo indipendente in qualità di Titolari del trattamento dei Dati personali trasferiti.

2.2 Ciascuna Parte è responsabile del rispetto degli obblighi imposti a un Titolare del trattamento dalle Leggi sulla protezione dei dati, tra cui il mantenimento o l’effettuazione di eventuali registrazioni e/o l’ottenimento di eventuali autorizzazioni previste dalle Leggi sulla protezione dei dati in materia di ricevimento reciproco e trattamento dei dati personali trasferiti ai sensi del Contratto.

2.3 Ciascuna Parte è responsabile di garantire che prima di trasferire i Dati personali di Guidepoint o i Dati personali del Cliente all’altra Parte, la Parte trasferente assicuri che i relativi Interessati siano stati informati del trasferimento (laddove richiesto dalle Leggi sulla protezione dei dati).

2.4 Lo scopo del Trattamento dei dati personali di Guidepoint da parte del Cliente è adempiere agli obblighi previsti dal Contratto e secondo quanto altrimenti specificato nell’Appendice 1 (Dettagli sul trattamento) (collettivamente, lo Scopo). I tipi di Dati personali trattati ai sensi del Contratto e le categorie di Interessati sono ulteriormente specificati nell’Appendice 1 (Dettagli sul trattamento).

3. Obblighi del Cliente

3.1 Il Cliente dovrà:

(a) trattare i Dati personali di Guidepoint solo per soddisfare lo Scopo, sempre in conformità con le Leggi sulla protezione dei dati, evitando di abbinare Dati personali di Guidepoint ad altri dati e di utilizzarli in modo contrario a quanto specificato dal Contratto o in modo tale da pregiudicare gli interessi, i diritti e le libertà fondamentali degli Interessati;

(b) adottare misure procedurali, tecniche e organizzative adeguate per prevenire la divulgazione illecita, il trattamento non autorizzato o la perdita, la distruzione, il danneggiamento o l’alterazione accidentali dei Dati personali di Guidepoint mentre sono in suo possesso o sotto il suo controllo;

(c) a seconda degli impegni ragionevoli e pertinenti in materia di riservatezza, consentire a Guidepoint (o al suo rappresentante autorizzato) di ispezionare e verificare le sue attività di Trattamento dei dati (e/o quelle dei suoi agenti, delle sussidiarie e/o dei subappaltatori che trattano i Dati personali di Guidepoint per conto del Cliente) e rispettare tutte le richieste o le istruzioni ragionevoli di Guidepoint per consentire la verifica e/o ottenere la piena conformità del Cliente ai suoi obblighi in materia di protezione dei dati ai sensi del Contratto, intraprendendo le azioni correttive ragionevolmente richieste da Guidepoint a seguito di tale verifica;

(d) interrompere il Trattamento dei dati personali di Guidepoint ove richiesto da Guidepoint qualora il Cliente violi il Contratto;

(e) alla risoluzione del Contratto per qualsivoglia motivo, o su richiesta scritta di Guidepoint ai sensi del paragrafo ‎3.1(d) precedente, cessare immediatamente di trattare qualsiasi Dato personale di Guidepoint ricevuto da o per conto di Guidepoint ai sensi del Contratto e restituire a Guidepoint o distruggere (a discrezione di Guidepoint) qualsiasi Dato personale di Guidepoint in suo possesso o controllo (a meno che le leggi applicabili richiedano la conservazione prolungata di tali Dati personali di Guidepoint);

(f) notificare immediatamente a Guidepoint qualsiasi violazione del Trattamento dei dati personali, reclamo o richiesta di Interessato, reale o potenziale, in relazione al suo utilizzo (o all’utilizzo da parte dei suoi agenti o subappaltatori) dei Dati personali di Guidepoint e fornire prontamente a Guidepoint i dettagli di come sta rispondendo alla violazione dei dati personali, risolvendo il reclamo o la richiesta dell’Interessato su richiesta di Guidepoint; e

(g) conservare registri adeguati di tutti i trattamenti dei Dati personali di Guidepoint.

4. Trasferimenti di dati

Applicazione delle Clausole contrattuali tipo

4.1 Dove:

(a) un’Entità trasferente del Cliente (in qualità di Esportatore di dati) trasferisce o facilita il trasferimento dei Dati personali trasferiti direttamente a Guidepoint (in qualità di Importatore di dati) in un Paese terzo; oppure

(b) Guidepoint trasferisce (in qualità di Esportatore di dati) o facilita il trasferimento di Dati personali trasferiti al Cliente o alle sue Affiliate (come Importatore di dati) in un Paese terzo,

le Clausole contrattuali tipo si applicheranno come indicato nel successivo paragrafo 4.4, salvo in caso di applicazione di altro quadro legale per le esportazioni o per deroga all’esportazione riconosciuta dalle Leggi sulla protezione dei Dati del Paese dello SEE esteso pertinente. In relazione alle Clausole contrattuali tipo, le Parti sottoscriventi le Clausole contrattuali tipo possono operare ciascuna in qualità di Importatore e/o Esportatore e/o Titolare del trattamento dei dati, in ogni caso e secondo quanto stabilito nel prossimo paragrafo 4.4.

4.2 Qualora un Ente trasferente del Cliente trasferisca Dati personali trasferiti a Guidepoint non ubicati in un Paese terzo, non si applicano le Clausole contrattuali tipo. In tali casi, Guidepoint è responsabile di garantire che qualsiasi esportazione di tali Dati personali trasferiti da Guidepoint verso un Paese terzo sia conforme alle leggi applicabili in materia di protezione dei dati.

4.3 Qualora Guidepoint trasferisca i Dati personali trasferiti a un Cliente non situato in un Paese terzo, non si applicano le Clausole contrattuali tipo. In tali casi, il Cliente sarà responsabile di garantire che qualsiasi esportazione di tali Dati personali trasferiti dal Cliente in un Paese terzo sia conforme alle leggi applicabili sulla protezione dei dati.

Incorporazione e interpretazione delle Clausole contrattuali tipo (incluso l’Addendum del Regno Unito se applicabile)

4.4 In seguito a quanto specificato al paragrafo 4.1, le Clausole contrattuali tipo vengono incorporate come riferimento. Qualora le sezioni applicabili delle Clausole contrattuali tipo richiedano all’Esportatore e all’Importatore di dati di selezionare un modulo, le Parti delle Clausole contrattuali standard riconoscono che si applica il Modulo Uno delle Clausole contrattuali tipo (Trasferimento da Titolare del trattamento a Titolare del trattamento) in conformità alla tabella seguente.

Data Sharing Table

Parties' Roles	Applicable module in the Standard Contractual Clauses	Description of the transfer (to complete Annex I, Part B of the Standard Contractual Clauses)
Guidepoint (Data Importer): Controller Client or Client Affiliate (Data Exporter): Controller	Module One	Part A of the Appendix of this Data Sharing Addendum
Guidepoint (Data Exporter): Controller Client or Client Affiliate (Data Importer): Controller	Module One	Part B of the Appendix of this Data Sharing Addendum

4.5 Le Clausole contrattuali tipo costituiscono un contratto separato tra ciascun importatore ed esportatore di dati.Disposizioni generali

4.6 Se una qualsiasi disposizione o parte di essa del presente Addendum per la condivisione dei dati fa sì che le Clausole contrattuali tipo diventino un meccanismo di esportazione non valido nel Paese dello SEE esteso pertinente, sarà considerata cancellata, senza che ciò pregiudichi la validità e l’applicabilità del resto del presente Addendum sulla condivisione dei dati e le Parti negozieranno in buona fede per convenire a una disposizione sostitutiva che, nella massima misura possibile, raggiunga il risultato commerciale previsto dalla disposizione originale.

4.7 Salvo nella misura in cui le Clausole contrattuali tipo o la Legge sulla protezione dei dati di un Paese dello SEE esteso richiedano diversamente, le Clausole contrattuali tipo saranno disciplinate dalla/e legge/i della Repubblica d’Irlanda e soggette alla giurisdizione dei tribunali della Repubblica d’Irlanda.

4.8 Per le finalità dell’Allegato I, Parte C (Organismo di vigilanza competente) delle Clausole contrattuali tipo, l’autorità di controllo è:

(i) se l’Esportatore dei dati ha sede nell’UE: l’autorità di controllo dello Stato membro dell’UE in cui ha sede l’Esportatore dei dati;

(ii) se l’Esportatore dei dati ha sede al di fuori dell’UE, in un Paese dello SEE esteso: l’autorità di controllo del Paese dello SEE esteso in cui ha sede l’Esportatore dei dati;

(iii) se l’Esportatore dei Dati ha sede in un Paese che non è un Paese dello SEE esteso e i Dati personali hanno avuto origine nell’UE: l’autorità di controllo dello Stato membro dell’UE in cui l’Esportatore dei Dati ha nominato un rappresentante UE ai sensi dell’art. 27, par. 2 del GDPR. Se non è stato nominato un rappresentante UE: l’autorità di controllo della Repubblica d’Irlanda; e

(iv) se l’Esportatore dei dati ha sede in un Paese che non è un Paese dello SEE esteso e i Dati personali sono stati originati in un Paese dello SEE esteso che non è nell’UE: l’autorità di controllo del Paese dello SEE esteso da cui hanno avuto origine i Dati personali.

4.9 Fatto salvo il successivo paragrafo 4.11, laddove il Paese applicabile dello SEE esteso in cui ha sede l’Esportatore di dati o da cui hanno avuto origine i Dati personali trasferiti non è uno Stato membro dell’UE, nelle Clausole contrattuali tipo si fa riferimento a:

(a) “Unione europea”, “Unione”, “UE”, “Stato membro”, “Stato membro dell’UE” si riferisce al Paese applicabile dello SEE esteso in cui ha sede l’Esportatore dei dati o da cui hanno avuto origine i Dati personali trasferiti;

(b) “Regolamento (UE) 2016/679” si riferisce alle leggi applicabili in materia di protezione dei dati del Paese dello SEE esteso in cui ha sede l’Esportatore dei dati o da dove hanno avuto origine i Dati personali trasferiti; e

(c) “autorità di controllo” si riferisce all’autorità di protezione dei dati applicabile nel Paese dello SEE esteso.

4.10 Qualora il trasferimento di Dati personali all’Importatore di dati sia soggetto al GDPR del Regno Unito, le Clausole contrattuali tipo saranno integrate dall’Addendum del Regno Unito e la Parte 1 dell’Addendum approvato del Regno Unito sarà compilata come indicato di seguito:

(a) Tabella 1. La “data di inizio” sarà la data di entrata in vigore del presente Addendum sulla condivisione dei dati. Le “Parti” sono il Cliente o l’Affiliata del Cliente e Guidepoint o l’Affiliata di Guidepoint.

(b) Tabella 2. Il Modulo uno è il modulo delle Clausole contrattuali tipo in conformità al paragrafo 4.4 del presente Addendum sulla condivisione dei dati.

(c) Tabella 3. Le “Informazioni degli allegati” sono quelle indicate nel paragrafo 4.11(a) a 4.11(d) del presente Addendum sulla condivisione dei dati.

(d) Tabella 4. Le Parti hanno la facoltà di risolvere l’Addendum del Regno Unito in conformità alla clausola 19 delle UK Mandatory Clauses.

4.11 Gli Allegati alle Clausole contrattuali tipo vanno compilati come segue:

(a) L’Allegato I, A (Elenco delle parti) delle Clausole contrattuali tipo deve essere compilato con riferimento ai rispettivi ruoli del Cliente o dell’Affiliata del Cliente e di Guidepoint o dell’Affiliata di Guidepoint, come indicato nella rispettiva voce della colonna “Ruolo delle parti” della tabella al precedente paragrafo 4.4, e i dettagli di tali parti come indicato nel Contratto;

(b) L’Allegato I, B (Descrizione del trasferimento) delle Clausole contrattuali tipo deve essere compilato con le informazioni riportate nella voce pertinente della colonna “Descrizione del trasferimento” della tabella al precedente paragrafo 4.4;

(c) L’Allegato I, C (Autorità di controllo competente) delle Clausole contrattuali tipo deve essere compilato con riferimento al paragrafo 4.7 sopra; e

(d) L’Allegato II (Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati) delle Clausole contrattuali tipo va compilato come segue: l’importatore di dati implementa e mantiene misure di sicurezza tecniche e organizzative per proteggere adeguatamente i Dati personali dell’esportatore di dati dai rischi inerenti al trattamento dei dati personali per le finalità identificate nel Contratto e dai rischi derivanti da trattamento, distruzione, danneggiamento, uso improprio e perdita non autorizzati o illeciti, in ogni caso come specificato nell’Appendice 2 del presente Addendum sulla condivisione dei dati, incluso qualsiasi addendum o documento pertinente che specifichi requisiti di sicurezza, come un documento relativo ai requisiti di sicurezza, e qualsiasi misura di sicurezza tecnica e organizzativa aggiuntiva che l’Importatore di dati notifica di volta in volta all’Esportatore di dati.

4.12 In caso di conflitto tra le Clausole contrattuali standard e il presente Addendum sulla condivisione dei dati e/o il Contratto (inclusi eventuali addendum) (se applicabile), prevarranno le Clausole contrattuali standard.

5. Disposizioni generali

5.1 Responsabilità

(a) Le Parti pattuiscono che non si applica alcuna limitazione o esclusione stabilita nel Contratto alla responsabilità di qualsivoglia Parte nei confronti degli Interessati ai sensi delle disposizioni dei beneficiari terzi delle Clausole contrattuali standard, nella misura in cui tali limitazioni o esclusioni sono vietate dalle Leggi sulla protezione dei dati.

(b) Nonostante quando indicato al paragrafo 4.12, le Parti convengono che tutte le responsabilità tra loro e/o le loro Affiliate ai sensi delle Clausole contrattuali standard saranno soggette alle limitazioni e alle esclusioni di responsabilità stabilite nel Contratto, salvo nella misura vietata dalla legge applicabile.

5.2 Effetti giuridici

Il presente Addendum sulla condivisione dei dati (che verrà incorporato nel Contratto e ne sarà parte integrante) costituisce l’intero contratto e l’intesa tra le Parti e sostituisce tutte le trattative verbali e scritte precedenti e contemporanee, gli accordi e le intese, se presenti, sull’argomento specifico del presente Addendum sulla condivisione dei dati, e il presente Addendum sulla condivisione dei dati non può essere modificato se non con un contratto scritto e firmato da un rappresentante autorizzato di ciascuna Parte.

APPENDICE 1

Dettagli sul Trattamento dei dati

PARTE A – Da Titolare del trattamento a Titolare del trattamento (Guidepoint in qualità di Importatore di dati)

Categorie di Interessati i cui dati personali sono trasferiti:
Personale alle dipendenze dell’Entità trasferente del Cliente.

• Collaboratori (compresi i lavoratori autonomi)
• Utenti finali
• Appaltatori indipendenti
• Investitori
• Proprietari
• Altre persone rilevanti per l’azienda

Categorie di Dati personali trasferiti:
I Dati personali trasferiti riguardano le seguenti categorie di dati, ciascuna relativa al personale dell’Entità trasferente del Cliente:

1. Nome
2. Contatti (inclusi indirizzo email aziendale, indirizzo postale e numero di telefono)
3. Indirizzi IP
4. Cookie del browser
5. ID dispositivo
6. Altre informazioni fornite a discrezione dell’Entità trasferente del Cliente
7. Altre informazioni necessarie per gestire l’attività e fornire servizi e supporto all’Entità trasferente del Cliente
8. Informazioni associate ai Dati personali

Categorie particolari di Dati Personali trasferiti (se applicabile):
Nessuna

Natura e finalità del trasferimento dei dati e ulteriore Trattamento:
Il Cliente si è avvalso dei servizi di Guidepoint allo scopo di ottenere servizi di consulenza da esperti in materia dalla rete professionale globale di Guidepoint ai sensi del Contratto. I dati forniti relativi agli interessati elencati vengono utilizzati per consentire a Guidepoint di fornire servizi e supporto al Cliente o alla Società del Cliente trasferente nel corso delle attività ordinarie, ivi incluso il coinvolgimento in comunicazioni per diversi scopi legati ad attività commerciali, conformità legale (compresa la conformità al GDPR e la memorizzazione di istruzioni scritte) e altri usi commerciali pertinenti e previsti nell’ambito del Contratto.

Frequenza del trasferimento:
Periodicità secondo quanto necessario per ricevere/fornire i servizi ai sensi del Contratto.

Periodo di conservazione dei Dati personali o, se non è possibile, criteri utilizzati per determinare tale periodo:
Guidepoint conserverà i Dati personali in conformità ai termini del Contratto e alla sua politica di conservazione dei documenti ragionevole ai fini commerciali.

PARTE B – Da Titolare del trattamento a Titolare del trattamento (Guidepoint come Esportatore di dati)

Categorie di Interessati i cui dati personali sono trasferiti:
Collaboratori e consulenti di Guidepoint.

Categorie di Dati personali trasferiti:
I Dati personali trasferiti riguardano le seguenti categorie di dati, ciascuna relativa al personale di Guidepoint e dei suoi Consulenti:

1. Nome
2. Contatti (inclusi indirizzo e-mail aziendale o personale, indirizzo postale e numero di telefono)
3. Indirizzi IP
4. Cookie del browser
5. ID dispositivo
6. Altre informazioni fornite a discrezione dell’Entità trasferente del Cliente
7. Altre informazioni necessarie per gestire l’attività e fornire servizi e supporto all’Entità trasferente del Cliente
8. Informazioni associate ai Dati personali

Categorie particolari di Dati Personali trasferiti (se applicabile):
Nessuna

Natura e finalità del trasferimento dei dati e ulteriore Trattamento:
Il Cliente si è avvalso dei servizi di Guidepoint allo scopo di ottenere servizi di consulenza da esperti in materia dalla rete professionale globale di Guidepoint (“Consulenti”) ai sensi del Contratto. I dati forniti relativi agli interessati elencati vengono utilizzati per consentire a Guidepoint di fornire servizi e supporto al Cliente o alla Società del Cliente trasferente nel corso delle attività ordinarie, ivi incluso il coinvolgimento in comunicazioni per diversi scopi legati ad attività commerciali, conformità legale (compresa la conformità al GDPR e la memorizzazione di istruzioni scritte) e altri usi commerciali pertinenti e previsti nell’ambito del Contratto.

Frequenza del trasferimento:
Periodicità secondo quanto necessario per ricevere/fornire i servizi ai sensi del Contratto.

Periodo di conservazione dei Dati personali o, se non è possibile, criteri utilizzati per determinare tale periodo:
Il Cliente (incluso l’Affiliata del Cliente) conserverà i Dati personali in conformità ai termini del Contratto.

Per i trasferimenti ai (sub-)responsabili, specificare altresì oggetto, natura e durata del Trattamento:
N/D

APPENDICE 2

MISURE TECNICHE E ORGANIZZATIVE COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

L’Importatore dei dati deve adottare almeno le seguenti misure:

• Politica o programma di sicurezza in forma scritta
• Piano di Disaster recovery
• Piano di reazione agli incidenti
• Segmentazione della rete
• Firewall
• Dispositivi di prevenzione delle intrusioni
• Crittografia in transito e a riposo
• Protezione antivirus
• Programma per password
• Accesso basato sui ruoli
• Patch e aggiornamenti regolari dei sistemi critici e di altri sistemi collegati ai sistemi critici
• Corsi di formazione per gli utenti
• Manuale per i collaboratori
• Controlli antispam
• Pratiche di codifica sicure