CTD
Contratto per il trattamento dei dati (CTD) tra il detentore di un account Hoop («Mandante») e Hoop Corporate SA, Heiligkreuzstrasse 5, 9008 St. Gallen («Mandatario»). Denominati singolarmente «Parte» o collettivamente «Parti».
1. Preambolo
(1) Il mandante affida al mandatario compiti inerenti al trattamento dei dati personali («dati») ai sensi delle disposizioni in materia di protezione dei dati. In tale ambito, il mandatario può assurgere a responsabile del trattamento o ad altro responsabile del trattamento ai sensi della legislazione in materia di protezione dei dati. I compiti affidati al Mandatario hanno a che fare con l’adempimento di contratti, l’esercizio dei diritti alla garanzia, l’erogazione di soluzioni di hosting e di prestazioni di servizi, la risposta a richieste di assistenza, l’esecuzione di operazioni di manutenzione o altri compiti, nell’ambito dei quali il Mandatario ottiene l’accesso ai dati (anche tramite «accesso remoto» o backup dei dati) o gli stessi gli vengono altrimenti forniti dal Mandante o dai suoi clienti o ne può venire a conoscenza per altre vie.
(2) Il presente contratto mira all’adempimento dei requisiti di legge. Esso si applica a tutte le attività correlate ai contratti stipulati tra le parti che prevedono il trattamento dei dati del mandante (vi sono annoverati anche dati dei suoi clienti) da parte di collaboratori del mandatario o di suoi incaricati. Il presente contratto si applica inoltre a tutti i contratti futuri stipulati tra le parti che prevedano un trattamento dei dati.
2. Oggetto del contratto
(1) Dai rispettivi contratti stipulati tra le parti, che possono includere un trattamento dei dati, si evincono l’oggetto del presente contratto, nonché la sua natura e il suo scopo a cui si rinvia in questa sede.
(2) Il trattamento dei dati viene eseguito dal Mandatario in Svizzera e negli Stati membri dell’UE. Il trattamento in uno Stato terzo avviene previo consenso del Mandante quivi rilasciato. Spetta al Mandante verificare che sussistano le basi legali necessarie per un trattamento dei dati legittimo al di fuori della Svizzera.
(3) Ogni ulteriore trasferimento del trattamento dei dati o di operazioni parziali ad esso attinenti in altri Stati terzi avviene solo se le condizioni particolari in materia di protezione dei dati sono state adempite (p.es. decisione di adeguatezza, clausole standard sulla protezione dei dati, norme di comportamento approvate o un’altra garanzia adeguata per la trasmissione dei dati).
(4) Momentaneamente, per l’esecuzione del trattamento dei dati viene fatto ricorso ad altri responsabili del trattamento che si trovano in Svizzera, mentre per operazioni parziali correlate al trattamento dei dati si fa ricorso ad altri responsabili del trattamento con sede in Stati membri dell’UE. Ove possibile, in caso di utilizzo di software e strumenti di responsabili del trattamento al di fuori della Svizzera, il Mandatario cerca di trovare una soluzione on premise o server in Svizzera. Si applica l’elenco vigente degli altri responsabili del trattamento del mandatario, che è parte integrante del presente Contratto.
3. Durata del contratto
(1) La decorrenza del presente contratto dipende dalla decorrenza dei contratti che hanno ad oggetto un trattamento dei dati tra le parti, nella misura in cui dalle disposizioni del presente contratto non derivino obblighi o diritti di disdetta supplementari.
(2) Le parti possono disdire il presente contratto per il trattamento dei dati con un preavviso di 4 settimane qualora venga perpetrata una grave violazione delle prescrizioni in materia di protezione dei dati o delle disposizioni del contratto in questione. In caso di violazioni lievi, né dolose né dovute a grave negligenza, uno dei contraenti fissa all’altro un termine adeguato entro il quale il contraente in difetto possa provvedere alla risoluzione di tale violazione.
4. Natura e finalità del trattamento, tipi di dati e categorie di persone interessate
(1) Le attività del Mandatario comprendono prestazioni correlate alle prestazioni descritte nei rispettivi contratti stipulati tra le parti, per svolgere le quali è possibile che il Mandatario debba eseguire un trattamento dei dati.
Le attività del mandatario possono comprendere tra l’altro quanto segue:
- installazione e test di software presso il Mandante o i suoi clienti
- eliminazione di vizi relativi a prestazioni erogate
- manutenzione, installazione e test di hotfix, service-pack e nuove versioni del software messi a disposizione
- attività di supporto
- accesso a dati del Mandante o dei suoi clienti e trattamento degli stessi
- ricevimento e trattamento di backup
- hosting di applicazioni, soluzioni software e dati
- installazione e test di software presso il Mandante o i suoi clienti
- eliminazione di vizi relativi a prestazioni erogate
- manutenzione, installazione e test di hotfix, service-pack e nuove versioni del software messi a disposizione
- attività di supporto
- accesso a dati del Mandante o dei suoi clienti e trattamento degli stessi
- ricevimento e trattamento di backup
Per tali attività, possono essere eseguiti i seguenti tipi di trattamento:
- raccolta, registrazione, organizzazione o sistemazione di dati
- memorizzazione, adeguamento o modifica di dati
- selezione, consultazione, utilizzo e divulgazione di dati tramite trasmissione
- diffusione o altra forma di messa a disposizione, raffronto o collegamento di dati
- limitazione, cancellazione o distruzione di dati (2) I tipi di dati trattati in tale contesto, nonché le categorie di persone interessate si evincono dal rispettivo oggetto contrattuale e dai servizi da erogare. Nello specifico, possono essere interessati i seguenti tipi di dati:
(2) I tipi di dati trattati in tale contesto, nonché le categorie di persone interessate si evincono dal rispettivo oggetto contrattuale e dai servizi da erogare. Nello specifico, possono essere interessati i seguenti tipi di dati:
- dati anagrafici
- copie e dettagli di carte d’identità e documenti identificativi
- informazioni sulla carriera professionale, come descrizione della posizione, funzione, ecc.
- informazioni sulla vita privata, p.es. domicilio, stato civile, ecc.
- informazioni sull’utente, come dati di login, numero cliente, comportamento utente, modalità di consumo
- dati di comunicazione (p.es. telefono, indirizzo e-mail)
- dati contrattuali (designazione del contratto, interesse verso i prodotti o a stipulare il contratto)
- storico cliente
- dati relativi al conteggio contrattuale o dati di pagamento
- dati di pianificazione e di controllo
- dati di progetto
- informazioni di terzi (p.es. agenzie di informazioni creditizie, dati estratti da elenchi pubblici)
- informazioni tecniche come indirizzo IP, informazioni sul terminale, ecc.
- tutti i dati che il Mandante trasmette al Mandatario nell’ambito del trattamento dei dati
Oltre ai tipi di dati elencati, possono essere interessate anche categorie specifiche di dati personali / dati particolarmente degni di protezione, laddove la classificazione dei dati si evince dalla legislazione in materia di protezione dei dati di volta in volta applicabile.
Tali dati possono riguardare le seguenti categorie di persone interessate:
- persone fisiche come il Mandante, collaboratori del Mandante, candidati, freelancer, collaboratori di (potenziali) clienti, clienti finali e aziendali, abbonati a prodotti contrattuali del Mandante, interessati, partner commerciali, fornitori, agenti, venditori e rivenditori, nonché i loro rispettivi collaboratori quali referenti
- in caso di persone giuridiche, le relative persone fisiche, come i loro collaboratori, collaboratori dei loro partner commerciali, contraenti, utenti di servizi, prestatori di servizi o altri ausiliari di (potenziali) clienti, fornitori, venditori, rivenditori
- in caso di entità giuridiche, le relative persone fisiche, come i collaboratori di corporazioni di diritto pubblico, in veste di partner commerciali, contraenti, utenti di servizi, prestatori di servizi o altri ausiliari di (potenziali) clienti, fornitori
5. Diritti e poteri direttivi, nonché obblighi del mandante
(1) La responsabilità per la valutazione dell’ammissibilità del trattamento, nonché per la tutela dei diritti delle persone interessate, spetta esclusivamente al mandante o ai suoi clienti in quanto titolari del trattamento (di seguito «titolare/i del trattamento») ai sensi della legislazione in materia di protezione dei dati. Il mandatario inoltrerà tutte le richieste al mandante, qualora siano palesemente dirette al mandante o a un titolare del trattamento.
(2) Le eventuali modifiche dell’oggetto del trattamento e della procedura possono essere concordate di concerto tra il mandante e il mandatario e fissate per iscritto o in un formato elettronico documentato.
(3) Il mandante ha il diritto di impartire istruzioni al mandatario e le impartisce di norma per iscritto o in un formato elettronico documentato. Il mandante deve confermare immediatamente le istruzioni verbali per iscritto o in un formato elettronico documentato. Le istruzioni devono essere conservate per la loro durata e successivamente per almeno ancora tre interi anni civili. Le istruzioni non previste nel rispettivo contratto vengono trattate come richiesta di una modifica della prestazione e devono essere retribuite dal mandante in modo adeguato.
(4) I collaboratori del mandante autorizzati a impartire istruzioni e i destinatari di tali istruzioni presso il mandatario vengono stabiliti individualmente tra le parti, con la contestuale definizione dei canali di comunicazione da utilizzare.
(5) Il mandante informa immediatamente il mandatario qualora accerti violazioni della protezione dei dati, errori o irregolarità in sede di controllo dei risultati del mandato o ne venga a conoscenza. Il mandatario adotta le misure necessarie per garantire la sicurezza dei dati e per ridurre eventuali conseguenze pregiudizievoli per le persone interessate e può accordarsi in proposito con il mandante.
(6) Il mandante o i suoi clienti sono gli unici titolari dei dati che vengono messi a disposizione del mandatario. Il mandante garantisce che tali dati sono stati trattati in modo lecito (obblighi di informazione, base giuridica, rispetto dei principi relativi alla protezione dei dati, ecc.) e possono continuare ad essere trattati da lui. Il mandatario non è responsabile della valutazione dell’ammissibilità del trattamento, né della tutela dei diritti delle persone interessate.
(7) In linea di principio, i servizi di assistenza del mandatario, che non siano imputabili a un suo comportamento errato, verranno retribuiti dal mandante conformemente alle spese effettivamente sostenute dal mandatario. Vigono in proposito le tariffe orarie usuali del mandatario.
6. Obblighi del mandatario
(1) Il mandatario tratta i dati esclusivamente entro i limiti degli accordi presi e secondo le istruzioni documentate del mandante, nella misura in cui non sia tenuto a eseguire un altro trattamento in proposito in virtù del diritto di volta in volta applicabile a cui è soggetto (ad es. accertamenti delle autorità di perseguimento penale o delle autorità incaricate della protezione dello Stato); in tal caso, il mandatario informa il mandante di tali requisiti legali prima del trattamento, sempreché il diritto in questione non vieti una simile comunicazione per via di un interesse pubblico preponderante. Scopo, natura e portata del trattamento dei dati si basano esclusivamente sul presente contratto e/o sulle istruzioni del mandante.
(2) Il mandatario avvisa immediatamente il mandante qualora un’istruzione da questi impartita violi palesemente delle disposizioni di legge. Il mandatario è autorizzato a sospendere l’esecuzione dell’istruzione in questione, fintantoché, previa verifica, non venga confermata o modificata dal titolare del trattamento o dal mandante. Qualora il mandatario possa sostenere che un trattamento dei dati secondo le istruzioni del mandante comporti la responsabilità di quest’ultimo, egli avrà il diritto di sospendere l’ulteriore trattamento fino al chiarimento della responsabilità tra le parti.
(3) Il mandatario non utilizza i dati che gli sono stati affidati per il trattamento per nessun altro e in particolare non per i propri scopi. Non vengono realizzate copie o duplicati dei dati senza che il mandante ne sia a conoscenza. Ne sono escluse le copie di backup, nella misura in cui siano necessarie per garantire un regolare trattamento dei dati, nonché i dati necessari ai fini dell’ottemperanza agli obblighi di conservazione imposti dalla legge.
(4) Il mandatario non può rettificare, cancellare o limitare arbitrariamente il trattamento dei dati trattati per conto del mandante, se non secondo le istruzioni documentate di quest’ultimo.
(5) Il mandatario allestirà e terrà monitorata, nell’ambito della propria responsabilità, la propria organizzazione interna in modo che soddisfi i particolari requisiti in materia di protezione dei dati.
(6) Il mandatario tiene un registro di tutte le categorie di attività di trattamento eseguite per conto del mandante. Esso riporta tutte le informazioni previste per un siffatto registro delle attività di trattamento.
(7) I dati trattati per il mandante sono tenuti rigorosamente separati da altri database. Non è obbligatoriamente necessario tenerli fisicamente separati.
(8) I supporti di dati che provengono dal mandante o che vengono utilizzati per il mandante sono specificatamente contrassegnati. Entrata e uscita di tali supporti, nonché utilizzo corrente sono documentati.
(9)Il mandatario collaborerà con il mandante nella misura necessaria e, ove possibile, lo supporterà adeguatamente nell’ottemperanza dei diritti delle persone interessate da parte del mandante, nella sicurezza del trattamento, nel denunciare eventuali violazioni della protezione dei dati, nell’avvisare le persone interessate da una violazione della protezione, nelle necessarie valutazioni d’impatto sulla protezione dei dati del mandante, nonché in caso di consultazioni necessarie di un’autorità di controllo.
(10) Il mandante acconsente, con la presente, al trattamento dei dati al di fuori dello stabilimento del mandatario, per esempio nell’ufficio casalingo dei collaboratori. In questi casi vengono adottate le misure tecniche e organizzative appropriate per garantire la sicurezza dei dati.
(11) Il mandatario si impegna a mantenere la riservatezza nel trattamento dei dati conforme al mandato ricevuto. Tale obbligo di riservatezza permane anche dopo la risoluzione del rapporto contrattuale. Dovrà attenersi eventualmente anche a disposizioni rilevanti in materia di protezione della riservatezza che competono al mandante.
(12) Prima di intraprendere l’attività, il mandatario ha fatto familiarizzare i collaboratori impegnati nel trattamento dei dati e altre persone che lavorano per lui con le disposizioni in materia di protezione dei dati per essi rilevanti e li ha obbligati in modo appropriato alla riservatezza sia nel corso della loro attività, che dopo la cessazione del rapporto di impiego. È fatto loro divieto di trattare i dati al di fuori delle istruzioni del mandante, a meno che non vi siano tenuti per legge.
(13) Presso il mandatario viene nominato un responsabile della protezione dei dati. Le informazioni di contatto aggiornate sono pubblicate sul sito del mandatario in modo facilmente accessibile.
7. Obblighi di notifica del mandatario in caso di violazione dei dati
(1) Qualora il mandatario venga a conoscenza di una violazione dei dati o della sicurezza dei dati, lo notifica senza indugio al mandante, verbalmente, per iscritto o in forma testuale non appena ne viene a conoscenza.
(2) La notifica al mandante contiene almeno le seguenti informazioni:
(3) una descrizione del tipo di violazione della protezione dei dati, ove possibile con indicazione delle categorie e del numero approssimativo di persone interessate, delle categorie interessate e del numero approssimativo di dati personali interessati;
(4) una descrizione delle misure adottate o proposte dal mandatario per rimuovere la violazione ed eventualmente delle misure volte a mitigare i possibili effetti negativi di tale violazione.
(5) Qualora sussista un obbligo di informazione nei confronti di terzi (come p.es. le persone interessate) o un altro obbligo di notifica legale vigente per il mandante o per un titolare del trattamento (p.es. nei confronti di un’autorità di controllo), il mandante o il titolare del trattamento è responsabile del rispetto dell’obbligo in questione.
8. Rapporti di subappalto con ulteriori responsabili del trattamento
(1) Rientrano in tali rapporti quelle prestazioni che si riferiscono direttamente all’esecuzione della prestazione principale o di parti della prestazione principale di cui al presente contratto. Non vi rientrano le mere prestazioni accessorie, come i servizi di telecomunicazione, postali o di trasporto, i servizi di pulizia o di vigilanza senza un concreto riferimento a prestazioni che il mandatario esegue per il mandante. I servizi di manutenzione, di cura e di controllo, nonché lo smaltimento di supporti di dati – nella misura in cui sia possibile accedere ai dati del Mandante o consultarli – integrano siffatti rapporti di mandato, purché vengano eseguiti per sistemi IT che vengono utilizzati anche nell’ambito dell’esecuzione di prestazioni per il Mandante.
(2) Con la presente, in linea generale si permette al mandatario di incaricare (ad es. designando o sostituendo) ulteriori responsabili del trattamento per il trattamento di dati del mandante. Un elenco aggiornato degli ulteriori responsabili del trattamento incaricati è reperibile presso il mandatario. Con la presente, il mandante dichiara di accettare il loro incarico.
(3) Il mandatario informa il mandante di qualsiasi modifica che intenda apportare riguardo alla designazione di ulteriori responsabili del trattamento o alla sostituzione di responsabili del trattamento fino a quel momento in carica, dando al mandante la possibilità di opporsi a siffatte modifiche.
(4) Se il Mandante non si oppone entro il termine ragionevole comunicato dal Mandatario, significa che accetta la modifica in questione; se si oppone tempestivamente, l’incarico non è permesso. In tal caso, le parti devono trovare una soluzione consensuale riguardo all’ulteriore responsabile del trattamento. Nel caso in cui non venga trovata una soluzione consensuale, le parti hanno diritto alla disdetta straordinaria. In situazioni d’emergenza, il Mandante risponderà immediatamente, facendo eventualmente opposizione.
(5) Il mandatario garantisce che selezionerà accuratamente l’ulteriore responsabile del trattamento.
(6) L’incarico di ulteriori responsabili del trattamento in Stati terzi può avvenire solo se le condizioni particolari in materia di protezione dei dati sono state adempite (p.es. decisione di adeguatezza, clausole standard sulla protezione dei dati, norme di condotta approvate o un’altra garanzia adeguata per la trasmissione dei dati). Il mandatario garantirà ciò adottando misure appropriate. Qualora invece una tale trasmissione di dati personali venga attivata dal mandante stesso, spetterà esclusivamente a lui attenersi alle relative disposizioni.
(7) Il mandatario garantisce contrattualmente che le disposizioni concordate tra mandante e mandatario trovano applicazione anche nei confronti di ulteriori responsabili del trattamento. Il contratto con l’ulteriore responsabile del trattamento deve essere redatto per iscritto o in forma elettronica.
9. Misure tecniche e organizzative
(1) Per il concreto trattamento dei dati viene garantito un livello di protezione adeguato al rischio per i diritti e le libertà delle persone interessate dal trattamento. Si tiene conto, inoltre, degli obiettivi di protezione come la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi, nonché la loro caricabilità relativamente a tipo, portata, circostanze e finalità del trattamento, in modo tale che, con l’adozione di misure tecniche e organizzative correttive, si possa contenere permanentemente il rischio.
(2) Un elenco delle misure tecniche e organizzative adottate dal mandatario è disponibile presso quest’ultimo. Le misure ivi contenute rappresentano le misure adeguate al rischio determinato che il mandatario ha adottato conformemente allo stato della tecnica e tenendo conto degli obiettivi di protezione.
(3) In determinate occasioni e a intervalli regolari, il mandatario eseguirà una verifica e una valutazione dell’efficacia delle misure tecniche e organizzative a garanzia della sicurezza del trattamento. L’esito, unitamente al rapporto di audit, potrà essere comunicato al mandante su richiesta di quest’ultimo. Nel corso del rapporto di mandato, le misure messe in atto presso il mandatario possono essere adeguate all’ulteriore sviluppo tecnico e organizzativo.
(3) Qualora le misure adottate presso il mandatario non soddisfino le esigenze del mandante, questi lo comunica tempestivamente al mandatario.
10. Diritti e pretese degli interessati
(1) Laddove possibile, il mandatario supporta il mandante con misure tecniche e organizzative adeguate nell’adempimento dei suoi obblighi in relazione a richieste e pretese delle persone interessate.
(2) Se una persona interessata si rivolge al mandatario con richieste di rettifica, blocco, cancellazione o accesso, quest’ultimo indirizza senza indugio la persona in questione al mandante, nella misura in cui, sulla base delle indicazioni della persona interessata, sia possibile effettuare una palese correlazione con il mandante, e attende le istruzioni di quest’ultimo.
(3) Il mandatario può rilasciare informazioni a terzi su dati relativi al rapporto di mandato solo previe istruzioni o autorizzazione del mandante.
(4) Il mandatario declina qualsiasi responsabilità nel caso in cui alla domanda della persona interessata il mandante o i suoi clienti, in quanto titolari del trattamento, non rispondano, non rispondano correttamente o tempestivamente.
11. Controlli e verifiche
(1) Il mandatario verifica a intervalli regolari le procedure interne e accetta che il mandante, prima dell’inizio del trattamento e per la durata del contratto, sia autorizzato a verificare regolarmente, nella misura adeguata e necessaria, il rispetto delle disposizioni sulla protezione dei dati e sulla sicurezza degli stessi, nonché degli accordi contrattuali.
(2) All’occorrenza, il mandatario collaborerà attivamente in occasione di tali verifiche. Il risultato deve essere documentato.
(3) Qualora in un caso specifico siano necessarie delle verifiche, le stesse verranno eseguite durante i normali orari d’ufficio, senza disturbare lo svolgimento delle attività e previa notifica che tenga conto di un termine adeguato. Il mandatario può subordinare l’esecuzione di tali verifiche alla firma di una dichiarazione di riservatezza quanto ai dati di altri clienti e alle misure tecniche e organizzative messe in atto. Il mandante acconsente alla nomina di un ispettore esterno indipendente da parte del mandatario, nella misura in cui quest’ultimo metta a disposizione del mandante, su sua richiesta, una copia del rapporto di audit.
(4) Qualora un’autorità di controllo in materia di protezione dei dati o un’altra autorità di controllo regolamentare esegua una verifica, non occorre la firma di una dichiarazione di riservatezza se tale autorità di controllo è soggetta a un obbligo di riservatezza professionale o legale che prevede una valutazione della violazione alla luce del codice penale.
(5) Su richiesta, il mandante e il mandatario collaborano con l’autorità di controllo in materia di protezione dei dati nell’adempimento dei suoi compiti.
12. Obbligo del mandatario dopo il termine del mandato
(1) Dopo il termine delle operazioni contrattuali o in qualsiasi momento, su richiesta del Mandante, il Mandatario deve consegnare al Mandante, secondo le sue istruzioni, tutti i dati e database del Mandante entrati in suo possesso e correlati al rapporto di mandato oppure cancellarli o distruggerli o farli distruggere conformemente alla legislazione in materia di protezione dei dati (nella misura in cui non vi si opponga alcun obbligo legale di conservazione). Lo stesso vale per i backup di dati e i materiali di prova e di scarto.
(2) Su richiesta del mandante, il mandatario può dimostrare la regolare cancellazione di dati ancora presenti. I documenti da eliminare devono essere distrutti con un distruggidocumenti. I supporti di dati da smaltire devono essere distrutti in base alla loro classificazione di sicurezza. Su richiesta del mandante, la cancellazione o distruzione gli può essere confermata per iscritto o in un formato elettronico documentato, con indicazione della data.
(3) Il mandante ha il diritto di controllare, presso il mandatario, che la restituzione e la cancellazione dei dati sia avvenuta in modo completo e conforme al contratto.
(4) Il mandatario vanta nei confronti del mandante un congruo diritto a compenso per la suddetta consegna, cancellazione o distruzione. Vigono in proposito le tariffe orarie usuali del mandatario.
13. Responsabilità in caso di violazione del presente contratto
(1) Per il risarcimento dei danni subiti da una persona interessata a causa di un trattamento dei dati o utilizzo nell’ambito del presente contratto non ammesso o errato ai sensi delle leggi in materia di protezione dei dati, il mandante e il mandatario rispondono nei confronti di tale persona interessata quali debitori solidali, nella misura in cui ciò sia previsto dalle leggi e dalle prescrizioni in materia di protezione dei dati applicabili.
(2) Il mandatario risponde nei confronti del mandante, fatti salvi eventuali regolamenti sulla responsabilità concordati separatamente nell’ambito dei rispettivi contratti stipulati tra le parti che possano includere un trattamento dei dati, al massimo nella misura del 10% del compenso effettivamente versato negli ultimi 12 mesi per la prestazione che ha provocato il danno, ma al massimo fino a un importo complessivo di CHF 50’000.– per danni diretti derivanti da violazioni dei propri obblighi in materia di protezione dei dati di cui al presente contratto, a meno che non sia responsabile o totalmente responsabile dell’evento che ha causato il danno.
(3) Eventuali limitazioni della responsabilità tra il mandante e i suoi clienti in qualità di titolari del trattamento trovano applicazione anche in favore del mandatario, cosicché quest’ultimo non è tenuto a risarcire il mandante per importi che in virtù di tali limitazioni di responsabilità non deve pagare.
(4) Per il resto, entro i limiti consentiti dalla legge, si esclude un’ulteriore responsabilità. Per altri danni non cagionati da una violazione di obblighi in materia di protezione dei dati di cui al presente contratto, trovano applicazione le disposizioni sulla responsabilità concordate nei rispettivi contratti stipulati tra le parti.
14. Varie
(1) Gli accordi relativi alle misure tecniche e organizzative, nonché la documentazione inerente ai controlli e alle verifiche devono essere conservati da entrambi i contraenti per la loro durata e successivamente per altri tre interi anni civili.
(2) Il Mandatario si riserva il diritto di apportare modifiche al presente Contratto per motivi legittimi. Le eventuali modifiche vengono comunicate per iscritto al mandante o gli vengono rese note in altro modo con un congruo anticipo. Qualora il mandante non eserciti il proprio diritto di disdetta straordinario entro il termine di un mese dalla comunicazione, le modifiche si intendono accettate.
(3) Eventuali modifiche e integrazioni del presente contratto, nonché patti accessori richiedono di norma la forma scritta o un formato elettronico documentato. Occorre indicare espressamente che si tratta di una modifica, di un’integrazione di tali condizioni o di un patto accessorio ad esse inerente. Ciò vale anche per la rinuncia a tale requisito formale. Sono escluse da tale requisito formale le modifiche e integrazioni unilaterali del presente Contratto da parte del Mandatario.
(4) Qualora la proprietà o i dati del mandante da sottoporre a trattamento presso il mandatario vengano messi a rischio a causa di misure di terzi (p.es. tramite pignoramento o sequestro penale), di una procedura di insolvenza o di concordato o di altri eventi, il mandatario deve avvertire immediatamente il mandante, a meno che non gli sia vietato farlo per via di un ordine giudiziario o dell’autorità. Il mandatario informerà tempestivamente tutte le autorità competenti in tale ambito che la titolarità e la proprietà dei dati rimane esclusivamente del mandante o dei suoi clienti in qualità di titolari del trattamento.
(5) L’eccezione del diritto di ritenzione è esclusa per quanto concerne i dati trattati per il mandante e i relativi supporti.
(6) Qualora singole disposizioni del presente contratto si rivelassero inefficaci o nulle, ciò non comporterebbe l’inefficacia o la nullità delle restanti disposizioni, ma le disposizioni inefficaci o nulle verrebbero sostituite da disposizioni che si avvicinino il più possibile allo scopo economico del contratto. Lo stesso vale nel caso di lacune contrattuali.
(7) In caso di eventuali contraddizioni in relazione al trattamento dei dati, le disposizioni sulla protezione dei dati del presente contratto prevalgono sulle disposizioni contenute nei rispettivi contratti stipulati tra le parti.
(8) Foro competente esclusivo per tutte le controversie derivanti da o in relazione al presente contratto è la sede del mandatario. Il mandatario è autorizzato, tuttavia, a instaurare una controversia anche innanzi al tribunale competente per la sede del mandante.
(9) Il presente contratto è disciplinato dal diritto svizzero a esclusione del diritto internazionale privato.
Allegati:
Elenco «Altri responsabili del trattamento»
Elenco «Misure tecniche e organizzative»