Appendice sul trattamento dei dati di Sojern Inc.

Ultimo aggiornamento: 1 novembre 2023

Il presente Addendum sul trattamento dei dati, comprensivo degli Allegati 1 e 2 («DPA»), stabilisce i termini essenziali richiesti da Sojern, Inc., una società del Delaware con sede principale situata a 575 Market Street, 4th Floor, San Francisco, CA 94105 USA («Sojern»). Ai fini del presente DPA, la società che è parte dell'Accordo (come definito di seguito) in cui è incorporato questo DPA è denominata «Società».

1. Definizioni

»Accordo» indica tutti gli accordi tra le parti in base ai quali Sojern riceve, raccoglie, accede o tratta in altro modo i Dati personali per gli scopi previsti dal fornitore di dati o dal contratto di servizio applicabile. Il presente DPA incorpora i termini e le condizioni dell'Accordo e quanto indicato di seguito. In caso di conflitto tra il DPA e l'Accordo, prevarranno e prevalgono i termini del presente DPA. Tutti i termini in maiuscolo utilizzati ma non definiti nel presente documento avranno i rispettivi significati come stabilito nell'Accordo.

»Dati personali» indica qualsiasi informazione relativa a una persona fisica identificata o identificabile che può essere identificata direttamente o indirettamente.

»Servizio» indica i servizi forniti da Sojern o dalla Società, a seconda dei casi, ai sensi del Contratto.

2. Applicazione del DPA

Ai fini del trattamento effettuato da Sojern ai sensi dell'Accordo, il ruolo di Sojern come responsabile del trattamento o responsabile del trattamento dei dati in relazione ai Dati personali trattati da Sojern sarà stabilito nell'Accordo applicabile.

3. Uso dei dati personali

Salvo quanto espressamente consentito nel presente documento o per iscritto dalla Società, Sojern non divulgherà, venderà, distribuirà o trasmetterà, direttamente o indirettamente (a) divulgherà, venderà, distribuirà o trasmetterà i Dati personali a terzi o (b) utilizzerà i Dati personali per scopi diversi dalla fornitura alla Società del Servizio ai sensi del Contratto e in conformità con tutte le leggi applicabili sulla privacy e sulla protezione dei dati. Sojern garantirà che ogni persona autorizzata al trattamento dei Dati personali sia soggetta a un obbligo di riservatezza rispetto a tali Dati personali.

4. Conformità alla legge; altre istruzioni

Ciascuna parte certifica di aver compreso i propri obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati e tratterà i dati personali in conformità con tutte le leggi applicabili sulla privacy e sulla protezione dei dati. Laddove Sojern agisca in qualità di responsabile del trattamento dei dati, Sojern eseguirà il trattamento come documentato e istruito dalla Società nel Contratto, salvo diversa notifica da parte di un'autorità di regolamentazione che tale trattamento non è conforme alle leggi applicabili sulla privacy e sulla protezione dei dati, nel qual caso Sojern fornirà tempestivamente alla Società una notifica scritta di tale avviso normativo e potrà interrompere il trattamento dei Dati personali fino alla risoluzione del problema normativo.

Nella misura richiesta dalla legge sulla protezione dei dati applicabile, la Società istruirà Sojern a trattare i dati personali solo per gli scopi consentiti dalle leggi sulla privacy e sulla protezione dei dati applicabili e divulgherà i dati personali a Sojern solo per gli scopi limitati e specificati nell'Accordo. La Società si riserva il diritto, con ragionevole preavviso, di adottare misure ragionevoli e appropriate per contribuire a garantire che Sojern utilizzi i Dati personali trasferiti in modo coerente con gli obblighi di Sojern ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati, comprese misure ragionevoli e appropriate per fermare e porre rimedio all'uso non autorizzato dei Dati personali. Sojern informerà la Società se ritiene di non essere più in grado di adempiere agli obblighi previsti dalle leggi applicabili in materia di privacy e protezione dei dati.

5. Registri; Cooperazione per la conformità

Ciascuna parte conserverà una registrazione scritta o elettronica del trattamento dei dati personali. Ciascuna parte collaborerà ragionevolmente con l'altra parte nel rispetto delle leggi applicabili sulla privacy e sulla protezione dei dati per quanto riguarda le valutazioni dell'impatto dei dati, le registrazioni del trattamento, le relative richieste o consultazioni con le autorità di protezione dei dati e gli audit in conformità con l'Accordo applicabile per consentire alla Società di confermare che Sojern ha rispettato i propri obblighi ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati e dell'Accordo.

6. Informativa sulla privacy di Sojern

Le parti riconoscono che Sojern non intrattiene un rapporto diretto con le persone i cui Dati personali vengono forniti a Sojern. Pertanto, laddove richiesto dalle leggi applicabili sulla privacy e sulla protezione dei dati, la Società renderà disponibile l'Informativa sulla privacy di Sojern disponibile all'indirizzo https://www.sojern.com/privacy/privacy-policy/ alle persone i cui Dati personali sono trattati da Sojern.

7. Avviso, consenso e rinuncia

La Società deve informare e ottenere il consenso delle persone come richiesto dalle leggi applicabili sulla privacy e sulla protezione dei dati relative alla raccolta, all'uso e alla divulgazione dei dati personali da parte della Società. Se le leggi applicabili sulla privacy e sulla protezione dei dati richiedono meccanismi attraverso i quali gli individui possono esercitare i diritti, inclusi, a titolo esemplificativo ma non esaustivo, i diritti di rinuncia, la Società (o altra parte responsabile della raccolta dei dati personali per conto della Società) fornirà tale meccanismo alle persone. Si presume che la Società abbia fornito gli avvisi appropriati e ottenuto i consensi appropriati, se necessario, da tutte le persone i cui Dati personali sono stati forniti a Sojern. La Società fornirà tempestivamente, su richiesta e in qualsiasi momento da Sojern, la prova che la Società ha ottenuto i consensi appropriati dalle persone interessate.

8. Diritti alla privacy individuali

Ciascuna parte collaborerà ragionevolmente con l'altra parte in risposta a eventuali richieste o reclami da parte di individui relativi al trattamento dei Dati personali ai sensi del Contratto e relativi ai diritti alla privacy ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati. Se Sojern riceve una richiesta da un individuo, Sojern: (a) inoltrerà tempestivamente la richiesta alla Società per gestire la richiesta; e (b) se Sojern è un elaboratore di dati, attuerà la decisione della Società in merito a come verrà gestita la richiesta.

9. Dati personali dell'UE

Le parti riconoscono che i dati personali provenienti al di fuori degli Stati Uniti (incluso lo Spazio economico europeo (SEE), il Regno Unito o la Svizzera) possono essere trasferiti o trattati da Sojern in un paese o territorio riconosciuto come garante di una protezione adeguata ai sensi della pertinente legge sulla privacy e sulla protezione dei dati. Le parti concordano inoltre che i trasferimenti di tali Dati personali a Sojern possano essere effettuati in conformità con una soluzione, diversa dalle clausole contrattuali standard, che consente il trasferimento lecito di dati personali verso un paese terzo in conformità con la legge applicabile sulla privacy e sulla protezione dei dati (una «Soluzione di trasferimento»). Ciò include, a titolo esemplificativo e non esaustivo, un quadro di protezione dei dati approvato, che garantisce che le entità partecipanti forniscano un'adeguata protezione dei Dati personali.

Nella misura in cui i Dati personali provenienti al di fuori degli Stati Uniti (incluso lo Spazio economico europeo (SEE), il Regno Unito o la Svizzera) vengono trasferiti a Sojern, il trattamento dei dati richiede l'adeguatezza ai sensi delle leggi del paese della Società, non si applica alcuna decisione di adeguatezza o Soluzione di trasferimento e l'adeguatezza richiesta può essere soddisfatta dai termini del presente DPA, quindi le parti concordano che il presente DPA incorpori per riferimento, a seconda dei casi, la (UE)) 2021/914 Clausole contrattuali standard della Commissione Europea per il trasferimento di Dati personali verso paesi terzi ai sensi al Regolamento (UE) 2016-679 dai titolari del trattamento UE/SEE ai responsabili del trattamento stabiliti al di fuori dell'UE/SEE («Modulo 2") e/o dai titolari del trattamento UE/SEE ai titolari del trattamento stabiliti al di fuori dell'UE/SEE («Modulo 1"), e come modificati o sostituiti di volta in volta dalla Commissione europea (collettivamente, le «Clausole»). Per comodità, le clausole collegate sopra sono generate in base al testo messi a disposizione dalla Commissione Europea al solo scopo di incorporare le Clausole nell'Accordo, selezionare i Moduli appropriati e aggiungere informazioni nell'Appendice come consentito dalle Clausole. Ai fini del trasferimento dei dati personali, la Società sarà l' "esportatore di dati» e Sojern sarà l' «importatore di dati» (anche se la Società è un'entità situata al di fuori dell'UE/SEE, a condizione che la Società sia altrimenti soggetta al Regolamento (UE) 2016-679). Laddove si applichino le Clausole, si riterrà che la Società e Sojern abbiano sottoscritto le Clausole nei rispettivi nomi e per proprio conto, e i nomi, gli indirizzi, i dettagli di contatto, i ruoli e le attività delle parti relativi ai Dati personali trasferiti ai sensi delle presenti Clausole saranno forniti nell'Accordo. L'esecuzione dell'Accordo sarà considerata un'esecuzione delle Clausole, in particolare l'esecuzione dell'Allegato I.A delle Clausole. In caso di conflitto tra i termini del presente DPA e le Clausole, le Clausole applicabili prevarranno e prevarranno.

1. Da controller a controller. Ai fini del Modulo 1, (i) l'Allegato 1 del presente DPA sostituisce l'Allegato I.B del Modulo 1; (ii) l'Allegato 2 del presente DPA sostituisce l'Allegato II del Modulo 1; e (iii) nella Clausola 11 (a) del Modulo 1, viene selezionato il testo opzionale fornito; (iv) nella Clausola 17 del Modulo 1, è selezionata l'OPZIONE 1 e lo Stato membro dell'UE è l'Irlanda; e (v) ai sensi della clausola 18 (b) del Modulo 1, sono selezionati i tribunali irlandesi.
2. Da titolare a processore. Ai fini del Modulo 2, (i) l'Allegato 1 del presente DPA sostituirà l'Allegato I.B del Modulo 2; (ii) l'Allegato 2 del presente DPA sostituirà l'Allegato II del Modulo 2; (iii) ai sensi della Clausola 9 (a) del Modulo 2, OPZIONE 2: è selezionata l'AUTORIZZAZIONE SCRITTA GENERALE e il periodo di tempo per il preavviso è di trenta (30) giorni; (iv) ai sensi della Clausola 11 (a) di Modulo 2, viene selezionato il testo opzionale fornito; (v) nella clausola 17 del modulo 2, viene selezionata l'OPZIONE 1 e lo Stato membro dell'UE è l'Irlanda; e (vi) nella clausola 18 (b) del modulo 2 vengono selezionati i tribunali irlandesi.
3. Sezione 702 della FISA e Ordine Esecutivo 12333. Sojern informerà immediatamente la Società e cesserà di accettare i Dati personali se Sojern viene a conoscenza di essere soggetta ai requisiti di condivisione o divulgazione dei dati, come previsto dalla Sezione 702 Foreign Intelligence Surveillance Act (FISA) e/o dall'Executive Order 12333 degli Stati Uniti. Se il Comitato europeo per la protezione dei dati o un'altra autorità di regolamentazione da cui la Società è regolamentata dovesse fornire ulteriori linee guida su quali ulteriori misure adeguate siano necessarie per l'esportazione internazionale di dati personali, Sojern implementerà tempestivamente qualsiasi ulteriore misura adeguata.

10. Misure di sicurezza

Ciascuna parte deve implementare e mantenere adeguate misure tecniche, fisiche e organizzative per proteggere i dati personali da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali.

1. Violazione dei dati personali. Una volta venuta a conoscenza di una violazione dei Dati personali ai sensi delle leggi applicabili sulla privacy e sulla protezione dei dati, ciascuna parte informerà l'altra per iscritto senza ingiustificato ritardo ed entro i tempi richiesti dalle leggi applicabili sulla privacy e sulla protezione dei dati. Ciascuna parte collaborerà ragionevolmente con l'altra per mitigare, ove possibile, gli effetti negativi di una violazione dei Dati personali.
2. Archiviazione dei dati; cancellazione dei dati personali dopo la cessazione. Sojern implementa misure tecniche di sicurezza per prevenire l'accesso non autorizzato ai dati personali, inclusa la crittografia dei dati personali in formato elettronico durante il transito e quando sono inattivi in archiviazione su reti o sistemi Sojern. Gli obblighi di Sojern in relazione ai Dati personali in caso di risoluzione del Contratto sono stabiliti nella sezione Durata e risoluzione del Contratto, fatti salvi i termini di conservazione dei dati dell'Accordo applicabile. Su indicazione della Società, Sojern cancellerà o restituirà tutti i dati personali alla Società come richiesto al termine della fornitura dei servizi, a meno che la conservazione dei dati personali non sia richiesta dalla legge.

11. Sub-processori

La Società concede un'autorizzazione generale a Sojern a utilizzare altri processori di dati per il trattamento dei dati personali («Sub-processori»), che sono vincolati da obblighi di riservatezza e protezione dei dati coerenti con il presente DPA e le leggi applicabili sulla privacy e sulla protezione dei dati, elencati all'indirizzo www.sojern.com/legal/lista-partner/. Laddove richiesto dall'Accordo o laddove Sojern agisca in qualità di responsabile del trattamento dei dati, Sojern informerà la Società di eventuali modifiche riguardanti l'aggiunta o la sostituzione dei Sub-responsabili aggiornando l'elenco sopra indicato, dando così alla Società l'opportunità di opporsi a tali modifiche e le istruzioni per l'opposizione sono fornite allo stesso URL. Se la Società si oppone ragionevolmente a una modifica e Sojern non è in grado di risolvere tale obiezione, la Società può risolvere il Contratto e il DPA.

12. Applicazione del DPA

Il presente DPA rimarrà in vigore a tutti gli effetti fino a quando l'ultimo dei (a) degli Accordi rimarrà in vigore e (b) Sojern conserverà copie dei Dati personali. Entrambe le parti possono recedere immediatamente dal presente DPA in caso di violazione sostanziale del presente DPA o un'autorità di regolamentazione e/o un tribunale o tribunale con giurisdizione ritiene che il trattamento dei dati personali da parte delle parti violi materialmente le leggi applicabili sulla privacy e sulla protezione dei dati, a condizione tuttavia che la parte non violante debba notificare la presunta violazione e tale violazione sia rimasta insanata per un periodo di quindici (15) giorni dopo tale avviso.

13. Legge applicabile

Il presente DPA si considera stipulato e deve essere interpretato ai sensi delle leggi dello Stato della California, USA, indipendentemente dalle disposizioni sui conflitti di leggi dello stesso.

PROGRAMMA 1

Descrizione del trasferimento

Categorie di interessati i cui dati personali vengono trasferiti

Viaggiatori e altri clienti della Compagnia.

Categorie di dati personali trasferiti

I dati personali trasferiti dalla Società sono forniti in conformità con l'Accordo e possono includere ma non sono limitati a:

• Informazioni relative a un identificatore online univoco, ad esempio un ID cookie, un ID del dispositivo mobile, un indirizzo e-mail con hash, un ID pubblicitario e numeri ID cliente assegnati dall'azienda.
• Informazioni relative al dispositivo di un individuo, come indirizzo IP, tipo di dispositivo, tipo di browser, data e ora dei clic e delle visite Web, URL visitati e altre informazioni tecniche.
• Informazioni relative al viaggio di una persona, come numero e tipo di viaggiatori, valuta/tariffe/tariffe/commissioni, informazioni sulla ricerca e sulla prenotazione (come data di partenza e arrivo e paese o città di destinazione), informazioni sui premi o sui programmi fedeltà e preferenze di alloggio o servizio (come camera, posto a sedere o tipo di auto e preferenze su strutture e servizi).

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), registrazione degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

Nessuna

La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una tantum o in modo continuo).

Base continua, per la durata dell'Accordo applicabile.

Natura del trattamento

Raccolta di informazioni sulla navigazione online mediante l'uso di cookie e altre tecnologie di tracciamento.

Scopo/i del trasferimento dei dati e dell'ulteriore elaborazione

Per qualsiasi scopo legittimo in relazione ai Servizi forniti ai sensi dell'Accordo tra esportatore di dati e importatore di dati, in particolare pubblicità mirata basata sulle informazioni di navigazione online. Non è consentito alcun ulteriore trattamento.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Per la durata dell'Accordo applicabile, a meno che, a scelta dell'esportatore di dati, i Dati personali non vengano cancellati o restituiti.

Per i trasferimenti a (sub) processori, specificare anche l'oggetto, la natura e la durata del trattamento

I subprocessori sono elencati all'indirizzo www.sojern.com/legal/lista-partner/ come consentito dalla clausola 9 (a) del Modello 1.

• Oggetto del trattamento: i sub-processori forniscono infrastrutture e servizi di hosting, archiviazione ed elaborazione per consentire a Sojern di fornire servizi ai propri clienti. Inoltre, i subprocessori pubblicano annunci digitali su siti Web, app mobili e altre proprietà connesse a Internet, pubblicano report sulle prestazioni delle campagne pubblicitarie e forniscono una piattaforma che facilita la vendita di impressioni/inventari online tramite aste in tempo reale.
• Natura del trattamento: i provider di cloud hosting archiviano ed elaborano i dati forniti dai clienti di Sojern e le piattaforme lato domanda elaborano i dati per l'acquisto di contenuti multimediali programmatici e i servizi pubblicitari.
• Durata del trattamento: per la durata del contratto tra Sojern e i subprocessori, fatti salvi i periodi di conservazione ivi previsti.

Autorità di vigilanza competente

L'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui Dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta di beni o servizi, o il cui comportamento è monitorato, come indicato nell'allegato I.C, funge da autorità di controllo competente.

PROGRAMMA 2

Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati

1. Generale. Sojern stabilirà, implementerà e manterrà adeguate misure amministrative, tecniche e organizzative progettate per proteggere contro il trattamento non autorizzato o illegale dei Dati personali e contro la perdita, la distruzione o il danneggiamento accidentale dei Dati personali. Queste misure saranno adeguate a rispettare le leggi applicabili sulla protezione dei dati e Sojern rispetterà in ogni momento le sue politiche di sicurezza delle informazioni e il suo programma di sicurezza delle informazioni.

2. Politiche e standard di sicurezza delle informazioni. Sojern manterrà politiche, standard e procedure di sicurezza delle informazioni. Queste politiche, standard e procedure devono essere mantenute aggiornate e riviste ogni volta che vengono apportate modifiche pertinenti ai sistemi informativi che utilizzano o archiviano i dati personali.

3. Gestione delle vulnerabilità. Sojern manterrà un programma di gestione delle vulnerabilità per tutti i sistemi che trattano i dati personali che include, a titolo esemplificativo, la scansione delle vulnerabilità interne ed esterne con i risultati della valutazione del rischio e piani formali di riparazione per risolvere eventuali vulnerabilità identificate.

4. Valutazione del rischio. Sojern condurrà valutazioni periodiche del rischio per identificare e valutare i rischi ragionevolmente prevedibili per la sicurezza, la riservatezza e l'integrità dei record contenenti Dati personali e valuterà e migliorerà, ove necessario, l'efficacia delle sue misure di protezione per limitare tali rischi.

5. Classificazione dei dati. Sojern manterrà politiche e procedure per classificare le risorse informative sensibili, chiarire le responsabilità in materia di sicurezza e promuovere la consapevolezza di tutti i dipendenti.

6. Crittografia. Sojern implementerà meccanismi di crittografia standard del settore e suite di crittografia avanzate (si consiglia AES a 256 bit) per l'archiviazione e la trasmissione. Sojern accetterà connessioni su canali crittografati (si consiglia TLS).

7. Sicurezza della rete. Sojern proteggerà la propria rete utilizzando un approccio di difesa approfondito che utilizza apparecchiature disponibili in commercio e tecniche standard del settore, inclusi, a titolo esemplificativo, firewall, sistemi di rilevamento delle intrusioni, elenchi di controllo degli accessi e protocolli di routing.

8. Controlli contro virus e malware. Sojern proteggerà i dati personali da codici dannosi e installerà e manterrà software di protezione da virus e malware su qualsiasi sistema che gestisca i dati personali.

9. Controllo degli accessi. Sojern applicherà il principio del privilegio minimo laddove l'accesso ai Dati personali sia concesso solo a coloro all'interno dell'organizzazione che hanno esigenze aziendali per tale accesso e le autorizzazioni saranno limitate alla quantità minima richiesta per svolgere la specifica funzione lavorativa.

10. Luogo del trattamento. I dati personali saranno trattati da Sojern negli Stati Uniti, fatte salve le leggi sulla protezione dei dati applicabili che potrebbero richiedere diversamente.

11. Risposta agli incidenti. Sojern manterrà un programma di risposta agli incidenti di sicurezza dei dati e documenterà tutti i sospetti incidenti di sicurezza dei dati. Sojern indagherà su eventuali incidenti di sicurezza dei dati e adotterà tutte le misure necessarie per eliminare o contenere l'incidente di sicurezza dei dati.

12. Personale. Sojern manterrà un programma di sensibilizzazione e formazione sulla sicurezza delle informazioni e formerà il personale responsabile di Sojern sulle misure di protezione dei dati e sulle protezioni generali in materia di sicurezza informatica.

13. Fornitore. Sojern manterrà un programma di gestione dei fornitori che valuterà tutti i fornitori con cui Sojern scambia dati personali. Tali fornitori saranno tenuti a rispettare standard di sicurezza dei dati non meno restrittivi di quelli stabiliti nel presente documento.