Impostazioni dei cookie
Cliccando su “Accetta tutti i cookie”, l'utente accetta di memorizzare i cookie sul proprio dispositivo per migliorare la navigazione del sito, analizzare l'utilizzo del sito e assistere le nostre attività di marketing. Maggiori informazioni
Impostazioni dei cookie
Cliccando su “Accetta tutti i cookie”, l'utente accetta di memorizzare i cookie sul proprio dispositivo per migliorare la navigazione del sito, analizzare l'utilizzo del sito e assistere le nostre attività di marketing. Maggiori informazioni
Accetta tutti i cookie
Impostazioni dei cookie
Yolo Vision Shenzhen
Shenzhen
Iscriviti ora

Accordo sul trattamento Ultralytics

Ultimo aggiornamento: 26 marzo 2026

Il presente Accordo sul trattamento dei dati ("DPA") è integrato e costituisce parte integrante (i) dei Ultralytics di servizio Ultralytics e/o (ii) di qualsiasi modulo d'ordine, contratto aziendale o altro accordo scritto applicabile che faccia riferimento al presente DPA (di seguito, singolarmente, il "Contratto") tra il cliente ("Cliente", "tu") e Ultralytics, Inc. ("Ultralytics", "Società", "noi").

Il presente accordo di trattamento dei dati riflette l'intesa tra le parti in merito a:

  • (A) Rapporti tra Titolare e Responsabile del trattamento: il trattamento dei dati personali del Cliente Ultralytics in qualità di Responsabile del trattamento (o sub-responsabile del trattamento qualora il Cliente sia a sua volta Responsabile del trattamento) per conto del Cliente in relazione ai Servizi; e
  • (B) Condizioni tra titolari del trattamento: il trattamento dei dati personali del titolare del trattamento da parte di ciascuna parte in qualità di titolare del trattamento indipendente, esclusivamente nella misura descritta nella Sezione 10.

Il presente Accordo sull'elaborazione dei dati personali rimane in vigore per tutta la durata del Contratto e fintantoché Ultralytics i Dati personali del Cliente per conto di quest'ultimo.

Il presente Accordo sui dati personali (DPA) si applica esclusivamente al trattamento dei dati personali del Cliente da parte di Ultralytics della Ultralytics . A scanso di equivoci, il presente DPA non si applica all'utilizzo, all'implementazione o alla gestione da parte del Cliente dei modelliYOLO Ultralytics al di fuori della Ultralytics , attività che vengono svolte sotto la sola responsabilità del Cliente.

Ultralytics aggiornare periodicamente il presente Accordo sui dati personali (DPA) per riflettere eventuali modifiche alla legislazione, alle linee guida normative o ai Servizi, con efficacia a partire dalla data di pubblicazione, a condizione che tali aggiornamenti non riducano in modo sostanziale le garanzie di protezione dei Dati personali del Cliente senza il consenso di quest'ultimo (salvo nei casi previsti dalla legge applicabile).

1. Definizioni

Per "affiliato" si intende qualsiasi entità che, direttamente o indirettamente, controlli, sia controllata da o sia sotto il controllo comune di una parte, dove per "controllo" si intende la titolarità di oltre il 50% dei diritti di voto.

Per «garanzie adeguate» si intendono quei meccanismi giuridicamente vincolanti per il trasferimento dei dati personali consentiti dalle leggi applicabili in materia di protezione dei dati, in particolare, ma non solo, dall’articolo 46 del GDPR.

Per "sub-responsabile del trattamento" si intende qualsiasi responsabile del trattamento incaricato da Ultralytics dalle sue affiliate di trattare i dati personali dei clienti per conto Ultralytics in relazione ai Servizi.

Per "Dati relativi all'account della Società" si intendono i dati personali relativi al rapporto tra la Società e il Cliente, inclusi i nomi o le informazioni di contatto delle persone autorizzate dal Cliente ad accedere al proprio account e i dati di fatturazione delle persone che il Cliente ha associato al proprio account. I Dati relativi all'account della Società includono inoltre qualsiasi dato che la Società possa dover raccogliere ai fini della gestione del proprio rapporto con il Cliente, della verifica dell'identità o come altrimenti richiesto dalle leggi e dai regolamenti applicabili.

Per "Dati di utilizzo della Società" si intendono i dati relativi all'utilizzo del Servizio raccolti e trattati dalla Società in relazione alla fornitura dei Servizi, inclusi, a titolo esemplificativo ma non esaustivo, i dati utilizzati per identificare l'origine e la destinazione di una comunicazione, i registri delle attività e i dati utilizzati per ottimizzare e mantenere le prestazioni dei Servizi, nonché per indagare e prevenire abusi del sistema.

Per "Dati del Cliente" si intendono tutti i dati, i contenuti, i materiali, i file o le informazioni (compresi set di dati, immagini, video, annotazioni, etichette, metadati, input e output dei modelli e altri contenuti) che il Cliente o i suoi utenti autorizzati caricano, inviano, trasmettono o rendono altrimenti disponibili per il Trattamento in relazione ai Servizi, compresi eventuali dati generati per il Cliente attraverso l'utilizzo dei Servizi da parte dello stesso.

Per "violazione dei dati personali dei clienti" si intende una violazione della sicurezza che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato, accidentali o illeciti, ai dati personali dei clienti trattati da Ultralytics dai suoi sub-responsabili del trattamento in relazione ai Servizi. La violazione dei dati personali del cliente non include tentativi falliti o attività che non compromettono i dati personali del cliente (ad esempio, tentativi di accesso falliti, scansioni delle porte, attacchi denial-of-service o altri attacchi a firewall o sistemi in rete).

Per "Leggi sulla protezione dei dati" si intendono tutte le leggi vigenti in materia di privacy e protezione dei dati applicabili al trattamento dei dati personali da parte di una delle parti ai sensi del Contratto, ivi incluse (a seconda dei casi) il GDPR, il GDPR del Regno Unito, la LPD svizzera, la direttiva ePrivacy/PECR, il CCPA/CPRA e altre leggi statali statunitensi applicabili in materia di privacy.

Per "GDPR" si intende il Regolamento (UE) 2016/679; per "GDPR del Regno Unito" si intende il GDPR recepito nell'ordinamento giuridico del Regno Unito; per "LPD svizzera" si intende la Legge federale sulla protezione dei dati (nella versione aggiornata). Per "Istruzioni" si intendono le istruzioni documentate fornite dal Cliente a Ultralytics trattamento dei dati personali del Cliente, come descritto nella Sezione 2.2.

Per "SCC" si intendono le clausole contrattuali tipo dell'UE (Decisione 2021/914); per "Addendum per il Regno Unito" si intende l'Addendum dell'ICO sul trasferimento internazionale dei dati. Gli altri termini in maiuscolo hanno il significato loro attribuito nelle leggi sulla protezione dei dati e/o nel Contratto.

Per "Servizi" si intendono i servizi e le funzionalità messi a disposizione di Ultralytics Cliente ai sensi del Contratto, compresa la Ultralytics e qualsiasi servizio di assistenza, amministrazione e documentazione correlati, come ulteriormente descritto nel Contratto.

Per "Ultralytics " si intende l'ambiente Software-as-a-Service basato su cloud Ultralytics attraverso il quale i Clienti possono caricare, gestire, annotare e creare versioni di set di dati; addestrare, valutare, confrontare, esportare e implementare modelli di visione artificiale; gestire progetti e utenti; nonché accedere alle funzionalità e all'assistenza correlate, e attraverso il quale Ultralytics i Dati Personali dei Clienti per conto dei Clienti stessi in conformità con il presente Accordo sui dati personali (DPA).

Per "ModelliYOLO Ultralytics " si intendono i modelli di visione artificiale open source e il relativo codice sorgente messi a disposizione da Ultralytics alle licenze open source applicabili, che i Clienti possono scaricare, implementare, ospitare e gestire in modo indipendente nei propri ambienti. A titolo di chiarimento, qualora i Clienti implementino o utilizzino i ModelliYOLO Ultralytics al di fuori della Ultralytics , Ultralytics i Dati personali per conto del Cliente ai sensi del presente DPA.

2. Obblighi del cliente

2.1 Rispetto delle leggi. Il Cliente è tenuto a rispettare le leggi in materia di protezione dei dati in relazione al trattamento dei dati personali e all'utilizzo dei Servizi, compresa la comunicazione delle informative richieste e l'ottenimento dei consensi e delle autorizzazioni necessari.

2.2 Istruzioni. Il Contratto (compreso il presente DPA), unitamente alla configurazione e all’utilizzo dei Servizi da parte del Cliente in conformità al Contratto, costituiscono le Istruzioni complete fornite dal Cliente a Ultralytics il Trattamento dei Dati Personali del Cliente. Il Cliente può fornire Istruzioni aggiuntive durante la durata del Contratto, a condizione che siano coerenti con il Contratto e con i Servizi. Qualora Ultralytics ritenga Ultralytics che le Istruzioni aggiuntive comportino modifiche sostanziali o un onere eccessivo, le parti ne discuteranno in buona fede.

2.3 Dati vietati. Salvo espressa intesa scritta tra le parti (compreso l’accordo sulle garanzie aggiuntive richieste dalle leggi vigenti in materia di protezione dei dati), il Cliente non dovrà fornire, trasmettere tramite o rendere altrimenti disponibili a Ultralytics categoria speciale di dati personali ai sensi dell’articolo 9 del GDPR (o equivalente), né dati relativi a condanne penali o reati ai sensi dell’articolo 10 del GDPR.

A titolo esemplificativo e non esaustivo, i dati vietati includono:

  • numeri di identificazione rilasciati dalle autorità pubbliche (come numeri di passaporto, numeri di carta d’identità o numeri di previdenza sociale);
  • informazioni sanitarie o mediche, compresi gli identificatori biometrici utilizzati allo scopo di identificare in modo univoco una persona fisica;
  • informazioni relative all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche o all'appartenenza sindacale di una persona;
  • dati genetici o dati biometrici trattati al fine di identificare in modo univoco una persona fisica;
  • dati personali relativi a minori, nei casi in cui ciò sia limitato dalle leggi vigenti in materia di protezione dei dati;
  • e i dati relativi a condanne penali, presunti comportamenti illeciti o attività di polizia.

Inoltre, i Servizi non sono destinati al trattamento di altri dati che richiedono una protezione rafforzata ai sensi delle leggi vigenti in materia di protezione dei dati, quali dati relativi alle carte di pagamento, numeri di conti bancari o dati di geolocalizzazione precisi. Il Cliente è l'unico responsabile di garantire che i set di dati, le immagini, i video, le annotazioni, le etichette, i metadati o altri contenuti caricati o trattati tramite i Servizi non includano Dati vietati. Qualsiasi trattamento di Dati vietati in violazione della presente Sezione costituisce una violazione sostanziale del presente DPA.

2.4 Dati non idonei; indennizzo. Il Cliente è l'unico responsabile della liceità dei Dati personali del Cliente forniti a Ultralytics deve garantire che tali dati siano idonei ai Servizi. Il Cliente si impegna a difendere e manlevare Ultralytics qualsiasi rivendicazione di terzi derivante dalla fornitura da parte del Cliente di Dati personali ai Servizi in violazione del Contratto, del presente DPA o delle leggi applicabili in materia di protezione dei dati.

3. Ultralytics in qualità di responsabile del trattamento

3.1 Limitazione delle finalità. Ultralytics i Dati personali del Cliente esclusivamente (a) per fornire i Servizi in conformità al Contratto e all'Allegato A, (b) in conformità alle Istruzioni del Cliente e (c) come previsto dalla normativa applicabile. Ultralytics non Ultralytics i Dati personali del Cliente né i Dati del Cliente per addestrare, migliorare o sviluppare Ultralytics modelli generici o disponibili in commercio, salvo nei casi in cui il Cliente lo richieda espressamente per iscritto o tramite i Servizi.

3.2 Conflitto di leggi. Qualora Ultralytics conto di non poter trattare i Dati personali del Cliente in conformità alle Istruzioni a causa di un obbligo di legge, Ultralytics (nella misura consentita dalla legge) Ultralytics informare il Cliente e, se necessario, Ultralytics sospendere il trattamento in questione (ad eccezione della conservazione in condizioni di sicurezza) fino a quando il Cliente non avrà fornito Istruzioni conformi.

3.3 Riservatezza del personale. Ultralytics le persone autorizzate al trattamento dei Dati personali del Cliente siano soggette a obblighi di riservatezza. Il Cliente accetta che Ultralytics comunicare i Dati personali del Cliente ai propri consulenti professionali e revisori contabili nella misura ragionevolmente necessaria ai fini dell’esecuzione del Contratto/DPA, nel rispetto degli obblighi di riservatezza.

3.4 Subappalto del trattamento dei dati. Ultralytics avvalersi di subappaltatori del trattamento dei dati in conformità con la Sezione 5 e rimane responsabile dell'adempimento da parte loro degli obblighi corrispondenti.

3.5 Cancellazione / Restituzione. Alla cessazione dei Servizi, Ultralytics alla cancellazione o alla restituzione dei Dati personali del Cliente in conformità con il Contratto e l’Allegato A, salvo nei casi in cui la conservazione sia richiesta dalla legge. Su richiesta del Cliente verrà fornita una certificazione di cancellazione ai sensi delle Clausole contractuali standard (SCC).

4. Diritti dell'interessato (o del consumatore)

4.1 Richiesta dell'interessato (o del consumatore). Ultralytics , nella misura consentita dalla legge, Ultralytics il Cliente tramite il contatto principale indicato nell'account senza indebito ritardo qualora Ultralytics una richiesta da parte di un Titolare dei dati (o Consumatore) volta ad esercitare il diritto di accesso (o divulgazione), il diritto di rettifica, la limitazione del Trattamento, la cancellazione (o eliminazione o il "diritto all'oblio"), portabilità dei dati, opposizione al trattamento o il suo diritto a non essere soggetto a un processo decisionale automatizzato ("Richiesta dell'interessato (o del consumatore)").

4.2 Assistenza. Tenuto conto della natura del trattamento, Ultralytics al Cliente un’assistenza ragionevole per rispondere alle richieste di esercizio dei diritti degli interessati ai sensi delle leggi sulla protezione dei dati, nella misura in cui il Cliente non sia in grado di soddisfare la richiesta utilizzando le funzionalità disponibili del Servizio.

4.3 Valutazione d'impatto sulla protezione dei dati (DPIA); consultazione preventiva. Tenendo conto della natura del trattamento e delle informazioni a disposizione di Ultralytics, Ultralytics al Cliente un’assistenza ragionevole in merito a (i) valutazioni d’impatto sulla protezione dei dati e (ii) alla consultazione e/o alla cooperazione del Cliente con le autorità di controllo, in ogni caso in cui ciò sia richiesto dalle leggi sulla protezione dei dati e qualora il Cliente non abbia altrimenti accesso alle informazioni pertinenti. Salvo nei casi previsti dalle leggi sulla protezione dei dati o in relazione a una violazione dei dati personali del Cliente, quest'ultimo non potrà richiedere tale assistenza più di una volta ogni dodici (12) mesi. Il Cliente rimborserà Ultralytics i costi e le spese ragionevoli sostenuti per fornire tale assistenza, ove consentito dalla legge.

5. Sub-responsabili del trattamento

5.1 Autorizzazione generale. Il Cliente concede Ultralytics generale scritta a ricorrere a sub-responsabili del trattamento per il trattamento dei Dati personali del Cliente ai fini dei Servizi.

5.2 Elenco e comunicazione. Un elenco degli attuali sub-responsabili del trattamento è disponibile all'indirizzo ultralytics (l'"Elenco"). Ultralytics a disposizione un meccanismo per iscriversi alle notifiche relative agli aggiornamenti dell'Elenco e comunicherà l'inserimento di nuovi sub-responsabili del trattamento almeno dieci (10) giorni prima di autorizzarli al trattamento dei Dati Personali del Cliente. Il Cliente è responsabile dell'iscrizione a tali notifiche, ove disponibili; se il Cliente non si iscrive, riconosce che potrebbe non ricevere un preavviso tramite tale meccanismo. In tutti i casi, gli aggiornamenti all'Elenco costituiranno una notifica delle modifiche ai Sub-Responsabili del trattamento. Il Cliente riconosce che alcuni Sub-Responsabili del trattamento sono essenziali per la fornitura dei Servizi e che opporsi all'uso di un sub-responsabile del trattamento potrebbe impedire alla Società di offrire i Servizi al Cliente.

A titolo di chiarimento, Ultralytics coinvolte nella fornitura dei Servizi, tra cui Ultralytics (Regno Unito) e Ultralytics Spain, S.L., possono agire in qualità di sub-responsabili del trattamento all’interno del gruppo qualora trattino i dati personali dei clienti per conto di Ultralytics . in relazione ai Servizi.

5.3 Opposizione alla nomina di nuovi sub-responsabili del trattamento. Il Cliente può opporsi per iscritto alla nomina di un nuovo sub-responsabile del trattamento per motivi ragionevoli legati alla protezione dei dati, ai sensi della Sezione 5.2. Qualora Ultralytics rispondere in modo ragionevole all'opposizione del Cliente, quest'ultimo potrà interrompere il Servizio interessato mediante comunicazione scritta, senza che ciò comporti l'esonero dal pagamento dei canoni maturati prima di tale interruzione.

5.4 Trasferimento a sub-responsabili del trattamento. Ultralytics sub-responsabili del trattamento solo dopo aver condotto una due diligence ragionevole e basata sul rischio, al fine di valutare se il sub-responsabile sia in grado di garantire un livello adeguato di protezione dei Dati personali del Cliente in conformità con le leggi applicabili in materia di protezione dei dati, e monitorerà periodicamente i sub-responsabili del trattamento nell’ambito del proprio programma di gestione dei fornitori. Ultralytics che i propri Sub-Responsabili siano soggetti a obblighi di protezione dei dati sostanzialmente equivalenti o più rigorosi di quelli stabiliti nel presente DPA. Su richiesta del Cliente, Ultralytics copie (che potranno essere oscurate per motivi di riservatezza) dei termini di protezione dei dati dei Sub-Responsabili, come richiesto dalle SCC.

6. Sicurezza

6.1 Misure. Tenendo conto dello stato dell'arte, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio, in termini di probabilità e gravità, per i diritti e le libertà delle persone fisiche, Ultralytics e manterrà misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato a tale rischio, in conformità con le leggi applicabili in materia di protezione dei dati, compreso l'articolo 32 del GDPR. Tali misure sono descritte nell'Allegato C, che Ultralytics aggiornare di volta in volta, a condizione che tale aggiornamento non riduca in modo sostanziale il livello complessivo di protezione dei Dati Personali del Cliente.

6.2 Responsabilità del Cliente. Fatto salvo quanto sopra, il Cliente riconosce che, salvo quanto espressamente previsto nel presente DPA, è responsabile dell’utilizzo sicuro dei Servizi, compresa la tutela delle credenziali di autenticazione del proprio account, la corretta configurazione dei controlli di accesso e la garanzia che i propri utenti accedano e utilizzino i Servizi in modo conforme alle leggi vigenti in materia di protezione dei dati e alle funzionalità di sicurezza messe a disposizione da Ultralytics.

7. Verifiche presso i clienti e dimostrazione della conformità

7.1 Documentazione. Su richiesta motivata, Ultralytics a disposizione le informazioni ragionevolmente necessarie a dimostrare la conformità al presente DPA (comprese eventuali relazioni di audit o certificazioni di terzi aggiornate, ove disponibili). Ultralytics la documentazione necessaria a dimostrare la conformità al presente DPA e la manterrà per un periodo ragionevole successivo alla risoluzione del presente DPA (ad esempio, tre (3) anni), salvo che la legge non prescriva un periodo più lungo.

7.2 Verifica. Laddove le leggi sulla protezione dei dati lo richiedano e la documentazione risulti insufficiente, il Cliente potrà, previo ragionevole preavviso scritto e a proprie spese, richiedere una verifica o un’ispezione dei sistemi e dei processi pertinenti Ultralytics. Tale audit o ispezione sarà condotto solo previo accordo scritto tra le parti in merito all'ambito, alla tempistica e alla durata dell'audit, nonché a un ragionevole tasso di rimborso per il tempo e le risorse impiegate Ultralytics in relazione all'audit. Qualsiasi audit condotto ai sensi della presente Sezione dovrà:

  • (a) non si verifichino più di una volta in un periodo di dodici (12) mesi;
  • (b) si svolgano durante il normale orario di lavoro Ultralytics;
  • (c) essere soggette a misure ragionevoli in materia di riservatezza, sicurezza e protezione; e
  • (d) limitarsi ai sistemi e alle registrazioni ragionevolmente pertinenti al trattamento dei dati personali dei clienti.

Il Cliente dovrà comunicare tempestivamente Ultralytics qualsiasi non conformità rilevante riscontrata nel corso di un audit, al fine di consentire Ultralytics lasso di tempo ragionevole per risolvere tali problemi.

8. Violazioni dei dati personali

8.1 Notifica. Ultralytics informare il Cliente senza indebito ritardo e comunque entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali del Cliente.

8.2 Assistenza. Ultralytics un'assistenza ragionevole al Cliente per quanto riguarda le notifiche da inviare alle autorità di regolamentazione e agli interessati, tenendo conto delle informazioni di cui Ultralytics dispone.

8.3 Nessuna ammissione. La notifica della violazione non costituisce un'ammissione di colpa o responsabilità. L'obbligo di notifica della violazione non si applica qualora la violazione dei dati personali del Cliente sia causata da azioni o omissioni del Cliente stesso o dei suoi utenti.

9. Trasferimenti (UE/Regno Unito/Svizzera)

9.1 Trasferimenti internazionali. Il Cliente prende atto che le principali operazioni di trattamento Ultralytics possono avvenire negli Stati Uniti e in altre località, ove necessario per la fornitura dei Servizi.

A titolo di chiarimento, i Dati personali dei clienti possono essere trasferiti anche tra Ultralytics . e le sue affiliate (tra cui Ultralytics (Regno Unito) e Ultralytics Spain, S.L.) qualora tali affiliate agiscano in qualità di sub-responsabili del trattamento in relazione ai Servizi. Laddove tali trasferimenti siano qualificabili come trasferimenti internazionali ai sensi delle leggi applicabili in materia di protezione dei dati, essi saranno soggetti a garanzie adeguate, incluse le SCC (Modulo 3, ove applicabile) o altri meccanismi di trasferimento validi.

Qualora sia necessario trasferire i Dati personali del Cliente verso un paese che non è stato riconosciuto come garante di un livello adeguato di protezione dei dati, tali trasferimenti saranno effettuati nel rispetto delle garanzie adeguate previste dalle leggi vigenti in materia di protezione dei dati, incluse, ove applicabile, le Clausole contrattuali standard (SCC) e l’Addendum del Regno Unito, come incorporati nel presente Accordo sui dati personali (DPA).

9.2 Clausole contrattuali standard dell'UE. Per i trasferimenti dei Dati personali del Cliente soggetti al GDPR verso un paese terzo senza riconoscimento dell'adeguatezza, le parti adottano le Clausole contrattuali standard dell'UE. Il Modulo Due (Titolare del trattamento → Responsabile del trattamento) si applica qualora il Cliente sia il Titolare del trattamento; il Modulo Tre (Responsabile del trattamento → Sub-responsabile del trattamento) si applica qualora il Cliente sia il Responsabile del trattamento. Gli allegati alle Clausole contrattuali standard vengono compilati utilizzando l'Allegato B (Allegato I/III) e l'Allegato C (Allegato II).

9.3 Addendum per il Regno Unito. Per i trasferimenti soggetti al GDPR del Regno Unito, le parti incorporano l’Addendum per il Regno Unito, compilato facendo riferimento all’Allegato B/C e alla scelta del meccanismo di trasferimento applicabile.

9.4 Svizzera. Per i trasferimenti verso la Svizzera si applicano le clausole contrattuali standard dell’UE con le modifiche tipiche della Svizzera (i riferimenti al GDPR includono la FADP svizzera; l’FDPIC come autorità competente, ecc.), integrate dai riferimenti agli allegati.

9.5 Richieste di accesso da parte delle autorità pubbliche. Ultralytics le richieste legalmente vincolanti relative ai Dati personali del Cliente in conformità con la normativa applicabile e con le Clausole standard di contratto (SCC), compresa (ove consentito dalla legge) la notifica al Cliente e la ragionevole collaborazione.

10. Accordi tra responsabili del trattamento (Ultralytics / Utilizzo / Operazioni di sicurezza)

10.1 Ambito di applicazione. La presente Sezione si applica al trattamento dei dati personali da parte di ciascun soggetto in qualità di titolare del trattamento indipendente (non contitolare), compreso il trattamento Ultralytics dei dati relativi agli account aziendali e dei dati relativi all'utilizzo aziendale.

10.2 Obblighi del responsabile del trattamento indipendente. Ciascuna parte dovrà:

  • (a) Trattare i dati personali in conformità con le leggi sulla protezione dei dati;
  • (b) adottare misure di sicurezza adeguate; e
  • (c) rispondere alle comunicazioni delle autorità di controllo relative al proprio trattamento dei dati.

10.3 Trattamento Ultralytics . Ultralytics i dati relativi agli account aziendali e i dati relativi all’utilizzo aziendale in qualità di titolare del trattamento per le seguenti finalità: amministrazione degli account, fatturazione, monitoraggio della sicurezza e prevenzione degli abusi, verifica dell’identità, conformità legale, revisioni contabili/contabilità e gestione dei servizi (comprese le prestazioni e l’affidabilità). Tale trattamento è descritto nell’Informativa Ultralytics . Nessuna disposizione del presente DPA potrà essere interpretata come tale da creare un rapporto di contitolarità tra le parti.

A scanso di equivoci, Ultralytics le sue affiliate possono trattare dati di contatto aziendali in misura limitata (quali nomi, indirizzi e-mail aziendali e recapiti professionali) nell’ambito di iniziative commerciali, dimostrazioni, partnership e attività di gestione delle relazioni con i clienti, in qualità di titolari del trattamento indipendenti.

11. Condizioni relative alla California (CCPA/CPRA)

11.1 Fornitore di servizi / Responsabile del trattamento. Nella misura in cui si applicano il CCPA e il CPRA e Ultralytics i dati personali del Cliente per conto di quest'ultimo, Ultralytics in qualità di "fornitore di servizi" e/o "responsabile del trattamento" e non "venderà" né "condividerà" tali dati personali.

11.2 Utilizzo limitato. Ultralytics non Ultralytics , utilizzerà né divulgherà i Dati personali del Cliente al di fuori dello scopo commerciale diretto di fornire i Servizi, salvo nei casi consentiti dal CCPA/CPRA.

11.3 Discriminazione. Le Parti non devono discriminare un Consumatore per il fatto che questi abbia esercitato i propri diritti.

12. Disposizioni generali

12.1 Limitazione di responsabilità. Le limitazioni e le esclusioni previste dal Contratto si applicano al presente DPA, salvo nei casi in cui ciò sia vietato dalla legge o dalle SCC/dall'Addendum per il Regno Unito.

12.2 Separabilità. Qualora una qualsiasi disposizione del presente DPA risultasse invalida o inapplicabile, le restanti disposizioni del presente DPA rimarranno valide ed efficaci. La disposizione invalida o inapplicabile dovrà essere (i) modificata nella misura necessaria a garantirne la validità e l’applicabilità, preservando il più possibile le intenzioni delle Parti o, qualora ciò non fosse possibile, (ii) interpretata come se la parte invalida o inapplicabile non vi fosse mai stata inclusa.

12.3 Stipula del presente DPA. Il presente DPA è integrato nel Contratto e ne costituisce parte integrante. Il Cliente stipula il presente DPA (comprese, ove applicabile, le Clausole contrattuali standard dell'UE e l'Addendum per il Regno Unito) mediante:

  • (a) accettando o acconsentendo a essere vincolati dal Contratto (anche cliccando su «Accetto» o utilizzando un meccanismo analogo ai Termini di servizio),
  • (b) la sottoscrizione di un modulo d'ordine, di un capitolato d'appalto o di altro accordo scritto che incorpori o faccia riferimento al Contratto, oppure
  • (c) utilizzare o continuare a utilizzare i Servizi dopo che la Società ha reso disponibile il presente Accordo sui dati personali.

Il Cliente dichiara e garantisce che la persona fisica che accetta il Contratto e/o utilizza i Servizi per conto del Cliente è autorizzata a vincolare il Cliente e, ove applicabile, le sue affiliate.

12.4 Contatti. Richieste relative alla privacy: ultralytics; Responsabile della protezione dei dati (DPO): ultralytics; note legali: ultralytics.

13. Parti; Affiliati

Il Cliente stipula il presente Accordo sui dati personali (DPA) per conto proprio e delle proprie Affiliate che sono utenti autorizzati dei Servizi ai sensi del Contratto e che agiscono in qualità di Titolari del trattamento/Responsabili del trattamento dei Dati personali del Cliente ("Affiliate autorizzate"). Il Cliente dichiara di avere l'autorità necessaria per vincolare le Affiliate autorizzate.

Allegato A: Dettagli sul trattamento dei dati personali

Natura: Ultralytics un software basato su cloud e servizi correlati che consentono ai Clienti di accedere e utilizzare Ultralytics e le funzionalità Ultralytics , tra cui l'addestramento dei modelli, l'inferenza, la gestione dei set di dati, i flussi di lavoro di implementazione, nonché l'assistenza e l'amministrazione correlate («Servizi»), come descritto nel Contratto.

Per chiarezza, i Servizi includono la Ultralytics , attraverso la quale Ultralytics i Dati Personali del Cliente per conto di quest’ultimo in conformità con il presente DPA. Separatamente, Ultralytics mette a disposizione Ultralytics i modelliYOLO Ultralytics YOLO , che i Clienti possono implementare e gestire in modo indipendente nei propri ambienti. Laddove i Clienti implementino o utilizzinoYOLO Ultralytics YOLO al di fuori della Ultralytics , Ultralytics Tratta i Dati Personali per conto del Cliente, e i Clienti sono gli unici responsabili dell'attuazione di misure tecniche e organizzative adeguate, della determinazione delle finalità e delle modalità del Trattamento, e della garanzia della conformità alle Leggi sulla Protezione dei Dati applicabili in relazione a tale implementazione e utilizzo.

Finalità: Ultralytics i dati personali del cliente per conto di quest'ultimo alle seguenti finalità:

  • fornire, gestire, garantire la sicurezza e fornire assistenza per i Servizi in conformità con il Contratto e le Istruzioni documentate del Cliente;
  • attenersi alle altre istruzioni ragionevoli e documentate fornite dal Cliente, purché tali istruzioni siano coerenti con il Contratto e il presente DPA;
  • per rispondere alle richieste avanzate dal Cliente o dai suoi utenti autorizzati nell'ambito dell'utilizzo dei Servizi (comprese le richieste di assistenza clienti);
  • per monitorare, prevenire e detect incidenti detect , frodi, abusi e un uso improprio del servizio; e
  • per ottemperare agli obblighi di legge applicabili.

Ultralytics non Ultralytics i Dati personali del Cliente per addestrare o migliorare Ultralytics modelli generali, salvo nei casi in cui il Cliente lo richieda espressamente per iscritto o tramite i Servizi. A titolo di chiarimento, Ultralytics utilizzare i Dati di utilizzo dell'azienda e i dati aggregati o anonimizzati (ove consentito) per gestire, proteggere e migliorare i Servizi.

Qualora il Cliente decida di condividere set di dati, modelli o altri contenuti tramite le funzionalità comunitarie o pubbliche dei Servizi, tale condivisione costituisce un'istruzione documentata da parte del Cliente. Il Cliente rimane l'unico responsabile di garantire di disporre di tutti i diritti e delle basi giuridiche necessari per rendere tali dati disponibili ad altri utenti.

Durata del trattamento: Ultralytics i Dati personali del Cliente per tutta la durata del Contratto e per il tempo necessario a fornire i Servizi in conformità con le Istruzioni del Cliente. A seguito della risoluzione o della scadenza del Contratto, Ultralytics alla cancellazione o alla restituzione dei Dati personali del Cliente in conformità con il Contratto e il presente DPA, a meno che la normativa applicabile non imponga un’ulteriore conservazione. Per chiarezza, laddove Ultralytics i Dati personali del Titolare del trattamento (compresi i Dati dell'account aziendale e i Dati di utilizzo aziendale) in qualità di Titolare del trattamento indipendente ai sensi della Sezione 10, tale trattamento avrà luogo per i periodi indicati nell'Informativa Ultralytics .

Categorie di interessati: I dati personali del Cliente possono riguardare le seguenti categorie di interessati, come stabilito e gestito dal Cliente:

  • dipendenti, collaboratori esterni, agenti e rappresentanti del cliente;
  • Utenti autorizzati e amministratori del cliente;
  • e gli utenti finali del Cliente, i clienti o altre persone fisiche i cui Dati personali il Cliente decida di trasmettere ai Servizi.

Categorie di dati personali: i dati personali del Cliente possono includere le seguenti categorie di dati personali, nella misura in cui siano stati forniti o resi disponibili in altro modo tramite i Servizi dal Cliente o per suo conto:

  • Dati relativi all'account e all'identità dell'utente, quali nome, indirizzo e-mail, nome utente/ID utente, nome dell'organizzazione e ruolo/autorizzazioni dell'utente (ad es. amministratore/utente).
  • Dati relativi all'utilizzo e dati tecnici/del dispositivo, quali indirizzo IP, identificatori del dispositivo e attributi di sistema (ad es. tipo di dispositivo, sistema operativo, tipo di browser), file di log, timestamp, eventi di autenticazione, cronologia degli accessi e (ove applicabile) applicazioni installate o dettagli di configurazione raccolti nell'ambito dei flussi di lavoro aziendali relativi ai dispositivi o alla sicurezza.
  • Contenuti e contributi forniti dal Cliente, quali suggerimenti generati dagli utenti, commenti, annotazioni, metadati o etichette relativi a set di dati, nonché qualsiasi altro contenuto che il Cliente carichi o invii tramite i Servizi (compresi file immagine, video, audio o di altro tipo), ma solo nella misura in cui tali contenuti contengano Dati Personali.
  • Dati relativi all'assistenza e alla comunicazione, quali comunicazioni con l'assistenza clienti, segnalazioni di problemi, informazioni sulla risoluzione dei problemi e recapiti amministrativi.

Le categorie di dati personali trattati possono inoltre includere quelle descritte nell'Informativa Ultralytics .

Dati sensibili o categorie particolari di dati: i Servizi non sono progettati né destinati al trattamento di categorie particolari di dati personali (come definite dall’articolo 9 del GDPR o da norme equivalenti ai sensi delle leggi vigenti in materia di protezione dei dati) o di dati personali relativi a condanne penali e reati (articolo 10 del GDPR); al Cliente è vietato fornire tali dati, salvo espressa autorizzazione scritta da parte di Ultralytics previa adozione di misure di sicurezza aggiuntive.

Allegato B: Informazioni relative all’Allegato I e all’Allegato III (Clausole standard di contratto dell’UE e Addendum del Regno Unito)

Di seguito sono riportate le informazioni richieste dall'Allegato I e dall'Allegato III delle Clausole Contrattuali Standard dell'UE, nonché dalla Tabella 1, dall'Allegato 1A e dall'Allegato 1B dell'Addendum del Regno Unito.

1. Le parti

Esportatori di dati:

  • Nome: Ragione sociale del cliente
  • Denominazione commerciale (se diversa): [Facoltativo]
  • Indirizzo: Indirizzo di residenza del cliente
  • Numero di registrazione ufficiale (se presente): [Facoltativo]
  • Nome, qualifica e recapiti della persona di contatto: Nome, Qualifica, E-mail
  • Attività relative ai dati trasferiti ai sensi delle presenti Clausole: utilizzo dei Servizi previsti dal Contratto, compreso il trasferimento dei Dati personali del Cliente a Ultralytics Trattamento in relazione ai Servizi, come descritto nel Contratto, nel presente DPA e nell’Allegato A.
  • Firma e data: al momento della sottoscrizione/accettazione del Contratto/DPA
  • Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento

Responsabile/i dell'importazione dei dati:

  • Nome: Ultralytics .
  • Denominazione commerciale (se diversa): N/A
  • Indirizzo e recapiti: 5001 Judicial Way, Frederick, MD, 21703, Stati Uniti; ultralytics
  • Numero di registrazione ufficiale (se presente): 6755919
  • Attività relative ai dati trasferiti ai sensi delle presenti Clausole: trattamento dei Dati personali del Cliente per conto del Cliente al fine di fornire, gestire, proteggere, mantenere e supportare i Servizi, nonché come altrimenti descritto nel Contratto, nel presente DPA e nell’Allegato A.
  • Firma e data: al momento della sottoscrizione/accettazione del Contratto/DPA
  • Ruolo (titolare del trattamento/responsabile del trattamento): come descritto nella Sezione 3 dell'Accordo sulla protezione dei dati.

2. Descrizione del trasferimento

Campo Dettagli
Gli interessati Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Categorie di dati personali Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Dati personali di categoria speciale (se del caso) Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Natura del trattamento Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Finalità del trattamento Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Durata del trattamento e conservazione dei dati (o criteri per determinare tale periodo) Come descritto nell'Allegato A dell'accordo di rinuncia all'azione penale (DPA)
Frequenza dei trasferimenti Nella misura necessaria per garantire e adempiere a tutti gli obblighi e i diritti relativi ai Dati personali, come previsto dal Contratto o dall'Accordo sul trattamento dei dati personali
Destinatari dei dati personali trasferiti all'importatore dei dati La Società manterrà un elenco dei sub-responsabili del trattamento all'indirizzo: ultralytics

Sub-responsabili del trattamento all'interno del gruppo:

Ultralytics (Regno Unito) - supporto tecnico, assistenza clienti, assistenza all'onboarding e interazioni commerciali (comprese dimostrazioni e partnership)

Ultralytics Spain, S.L. (Spagna) - supporto tecnico, interazioni commerciali e attività rivolte ai clienti, che comportano un trattamento limitato dei dati di contatto aziendali


3. Autorità di vigilanza competente

L'autorità di controllo sarà quella dell'esportatore dei dati, come stabilito ai sensi della clausola 13 delle clausole contrattuali standard dell'UE. Ai fini dell'Addendum del Regno Unito, l'autorità di controllo sarà l'Information Commissioner's Office del Regno Unito.

Allegato C: Misure di sicurezza tecniche e organizzative

Di seguito sono riportate le informazioni richieste dall’Allegato II delle Clausole Contrattuali Standard dell’UE e dall’Allegato II dell’Addendum del Regno Unito.

Misure di sicurezza tecniche e organizzative Dettagli
Misure di pseudonimizzazione e crittografia dei dati personali I dati personali dei clienti sono protetti tramite crittografia durante il trasferimento, grazie all'utilizzo di connessioni sicure conformi agli standard del settore (TLS) tra i componenti della piattaforma e gli endpoint esterni. I dati archiviati nei servizi cloud beneficiano della crittografia in fase di archiviazione gestita dal fornitore del cloud e di controlli sicuri per la gestione delle chiavi.
Misure volte a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento Ultralytics la sicurezza, la riservatezza e la disponibilità dei propri servizi, tra cui una configurazione di sistema progettata per limitare gli accessi non autorizzati, il rilevamento e il monitoraggio delle intrusioni, l'analisi delle vulnerabilità e i test di penetrazione, la crittografia sia in transito che in fase di archiviazione, nonché i controlli relativi alla conservazione e allo smaltimento dei dati. La Ultralytics opera utilizzando servizi cloud gestiti che garantiscono la disponibilità. I nostri fornitori di Infrastructure-as-a-Service (IaaS) garantiscono la resilienza dei database attraverso la replica e l'alta disponibilità. Ultralytics assicura Ultralytics che le misure tecniche e organizzative (TOM) dei sub-responsabili del trattamento a valle soddisfino o superino gli standard stabiliti nel presente accordo.
Misure volte a garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico I dati dei clienti all'interno della Ultralytics vengono sottoposti a backup utilizzando i servizi nativi del fornitore di servizi cloud. I backup vengono monitorati e le eventuali anomalie vengono analizzate e risolte. I dati di backup sono crittografati sia in fase di archiviazione che durante il trasferimento e l'accesso è limitato al personale autorizzato. La pianificazione della continuità operativa e del ripristino di emergenza comprende obiettivi di punto di ripristino (RPO), obiettivi di tempo di ripristino (RTO) e ruoli e responsabilità ben definiti.
Procedure volte a verificare, analizzare e valutare periodicamente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Ultralytics regolarmente scansioni delle vulnerabilità sul sistema e sulla rete, nonché test di penetrazione sull'ambiente di produzione. La gestione delle vulnerabilità comprende la scansione delle dipendenze e pratiche di sviluppo sicuro integrate nelle pipeline CI/CD; le vulnerabilità individuate vengono classificate in base alla priorità e risolte in funzione della gravità e del rischio. Inoltre, Ultralytics una valutazione annuale dei rischi e una revisione da parte della direzione nell'ambito delle prassi standard dell'ISMS.
Misure per l'identificazione e l'autorizzazione degli utenti La Ultralytics utilizza un provider di autenticazione e identità che gestisce l'autenticazione degli utenti e la gestione delle sessioni. L'accesso ai sistemi di sviluppo (compresi i repository del codice sorgente) è limitato al personale autorizzato ed è regolato da autorizzazioni basate sui ruoli, protezioni dei rami e revisioni obbligatorie. L'accesso interno segue un modello basato sul principio del privilegio minimo e controlli di accesso basati sui ruoli.
Misure per la protezione dei dati durante la trasmissione L'accesso alla Ultralytics è limitato alle connessioni HTTPS (TLS) sicure tramite endpoint front-end designati. Le comunicazioni interne tra i componenti della piattaforma e i servizi di archiviazione sono crittografate durante il trasferimento tramite TLS.
Misure per la protezione dei dati durante l'archiviazione Per la Ultralytics , i dati dei clienti vengono archiviati in servizi cloud gestiti e crittografati, dotati di ridondanza e funzionalità di backup. I servizi cloud gestiti offrono crittografia integrata, backup automatici, archiviazione ridondante e alta disponibilità. Ai dati inattivi viene applicata la crittografia gestita dal fornitore del cloud.
Misure volte a garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali La Ultralytics è ospitata presso fornitori di servizi cloud di terze parti. Le misure di protezione fisica e ambientale dei data center che ospitano i dati sono gestite dalle organizzazioni dei sub-responsabili del trattamento competenti. Ultralytics le relazioni di attestazione delle organizzazioni dei sub-responsabili del trattamento ed effettua analisi dei rischi con cadenza almeno annuale.
Misure volte a garantire la registrazione degli eventi Ultralytics la registrazione dei log nativa per il cloud per il monitoraggio, la risoluzione dei problemi e le indagini sugli incidenti. Gli avvisi relativi alla disponibilità della piattaforma e alla sicurezza vengono comunicati internamente tramite canali di comunicazione interni ed e-mail, ed esternamente tramite una pagina di stato ospitata. Inoltre, Ultralytics verifica Ultralytics gli accessi alle applicazioni, agli strumenti e alle risorse che elaborano o archiviano i dati dei clienti.
Misure volte a garantire la configurazione del sistema, compresa la configurazione predefinita Ultralytics processi documentati di gestione delle modifiche che regolano le modifiche apportate alla Ultralytics e al codiceYOLO Ultralytics , inclusi l'avvio delle modifiche, la documentazione, gli standard di sviluppo, i test, la revisione e l'approvazione prima del rilascio o dell'implementazione. Le modifiche vengono tracciate nel sistema di controllo delle versioni con revisione tra pari e convalida tramite la pipeline CI/CD.
Misure relative alla governance e alla gestione interna dell'IT e della sicurezza informatica Ultralytics politiche e procedure di sicurezza in linea con gli impegni di servizio e i requisiti interni di conformità, con una revisione annuale delle politiche e delle procedure chiave. I dipendenti devono confermare di aver preso visione delle politiche tramite uno strumento dedicato alla governance, al rischio e alla conformità (GRC) e sono tenuti a seguire corsi annuali di formazione sulla sicurezza e sulla privacy, oltre a corsi di formazione sulla programmazione sicura per i ruoli ingegneristici. I rischi sono documentati in un registro dei rischi centralizzato e sottoposti a revisione formale almeno una volta all'anno.
Misure per la certificazione/garanzia di qualità di processi e prodotti Ultralytics di servizi gestiti da terzi (comprese le organizzazioni che forniscono servizi secondari) ed esamina annualmente i loro rapporti SOC 2 nell'ambito dei controlli di monitoraggio. La due diligence sui fornitori è basata sul rischio e i fornitori sono classificati in livelli (Critico/Alto/Medio/Basso), con garanzie contrattuali e rivalutazioni periodiche.
Misure volte a garantire la minimizzazione dei dati Ultralytics i dati dei clienti in conformità con gli accordi stipulati con gli stessi e con i requisiti applicabili in materia di protezione dei dati, limitando il trattamento a quanto necessario per fornire e supportare i Servizi (compresa la gestione dei set di dati, l'annotazione, l'addestramento dei modelli, la valutazione e le relative funzionalità della piattaforma). L'utilizzoYOLO Ultralytics è gestito dai clienti e, in tale contesto, Ultralytics elabora carichi di lavoro di inferenza per conto dei clienti.
Misure volte a garantire la qualità dei dati Ultralytics procedure controllate di sviluppo e implementazione volte a garantire l'integrità e l'affidabilità, tra cui la revisione tra pari, i test automatizzati, i flussi di lavoro CI/CD e una gestione controllata delle modifiche per la piattaforma e le versioni del codice open source.
Misure volte a garantire una conservazione limitata dei dati Ultralytics gli impegni relativi alla conservazione e allo smaltimento dei dati nell'ambito dei propri impegni di servizio. I dati dei clienti relativi alla Piattaforma vengono sottoposti a backup tramite servizi gestiti, mentre la cancellazione e la restituzione vengono gestite in conformità con gli accordi stipulati con i clienti e la normativa vigente.
Misure volte a garantire la responsabilità Ultralytics un piano di risposta agli incidenti e Ultralytics procedure documentate per l'identificazione, la segnalazione, la gestione e il monitoraggio degli incidenti relativi alla sicurezza e alla privacy, comprese le comunicazioni per la segnalazione di vulnerabilità da parte di soggetti esterni tramiteultralytics. Gli incidenti vengono documentati e gestiti con il coinvolgimento dei reparti tecnico, legale e della direzione esecutiva, a seconda della gravità.
Misure volte a consentire la portabilità dei dati e a garantire la cancellazione I Dati personali del Cliente inviati alla Ultralytics possono essere cancellati dal Cliente e/o su richiesta del Cliente, in conformità con il Contratto e il presente DPA. Qualora sia richiesta la cancellazione, Ultralytics secondo le istruzioni del Cliente e i requisiti legali applicabili. (La portabilità è supportata nella misura in cui il Cliente possa esportare o recuperare i propri Dati del Cliente dai Servizi, a seconda dei casi.) I modelliYOLO Ultralytics vengono implementati dal Cliente all'interno del proprio ambiente dedicato, garantendo il pieno controllo della governance dei dati.
Misure tecniche e organizzative dei sub-responsabili del trattamento Ultralytics un programma di gestione dei fornitori basato sul rischio per l'inserimento e il monitoraggio dei fornitori di servizi terzi, che comprende la verifica delle dichiarazioni di conformità e dei requisiti contrattuali in materia di sicurezza e protezione dei dati. Ultralytics monitora Ultralytics le organizzazioni di sub-elaborazione dati ed esamina annualmente i loro rapporti SOC 2. Ultralytics stipula Ultralytics accordi sul trattamento dei dati con i propri sub-responsabili del trattamento, che prevedono obblighi in materia di protezione dei dati sostanzialmente simili a quelli contenuti nel presente DPA.

Allegato D: Appendice relativa al Regno Unito

Addendum sul trasferimento internazionale dei dati alle clausole contrattuali tipo della Commissione europea

Parte 1: Tabelle

Tabella 1: Parti

Campo Esportatore Importatore
Data di inizio La presente appendice relativa al Regno Unito avrà la stessa data di entrata in vigore dell'accordo di trattamento dei dati
Dati delle parti Cliente Azienda
Referente principale Cfr. l'Allegato B del presente Accordo di non perseguibilità Cfr. l'Allegato B del presente Accordo di non perseguibilità

Tabella 2: SCC, moduli e clausole selezionati

Campo Dettagli
Clausole standard contrattuali dell'UE La versione delle Clausole contrattuali standard dell'UE approvate a cui è allegato il presente Addendum del Regno Unito, come definito nel DPA e integrato dalle sezioni 6.2 e 6.3 del DPA.


Tabella 3: Informazioni in appendice

Per "Informazioni dell'appendice" si intendono le informazioni che devono essere fornite per i moduli selezionati, come indicato nell'appendice delle Clausole contrattuali standard dell'UE approvate (ad eccezione delle Parti), e che, ai fini del presente Addendum del Regno Unito, sono riportate in:

Allegato Riferimento
Allegato 1A: Elenco delle Parti Come indicato nella tabella 1 sopra
Allegato 2B: Descrizione del trasferimento Cfr. l'Allegato B del presente Accordo di non perseguibilità
Allegato II: Misure tecniche e organizzative, comprese quelle volte a garantire la sicurezza dei dati Cfr. l'Allegato C del presente Accordo di trattamento dei dati
Allegato III: Elenco dei sub-responsabili del trattamento (solo moduli 2 e 3) Cfr. l'Allegato B del presente Accordo di non perseguibilità

Tabella 4: Cessazione della validità della presente appendice per il Regno Unito in caso di modifiche all'appendice approvata per il Regno Unito

Nota: La presente disposizione consente alla parte designata (se presente) di recedere dall’Addendum per il Regno Unito qualora l’ICO modifichi l’Addendum per il Regno Unito approvato, determinando direttamente un aumento sostanziale, sproporzionato e dimostrabile (a) dei costi diretti sostenuti per l’adempimento degli obblighi previsti dall’Addendum per il Regno Unito oppure (b) del rischio a suo carico ai sensi dell’Addendum per il Regno Unito.

Campo Selezione
Chiudere il presente Addendum per il Regno Unito in caso di modifiche all'Addendum approvato per il Regno Unito x Importatore x Esportatore ☐ Nessuna delle due parti

Sottoscrizione del presente Addendum per il Regno Unito

Ciascuna parte accetta di essere vincolata dai termini e dalle condizioni stabiliti nel presente Addendum per il Regno Unito, a condizione che anche l'altra parte accetti di essere vincolata dal presente Addendum per il Regno Unito.

Sebbene l’Allegato 1A e la Clausola 7 delle SCC UE approvate richiedano la firma delle Parti, ai fini dell’effettuazione di trasferimenti dal Regno Unito, le Parti possono sottoscrivere il presente Addendum per il Regno Unito in qualsiasi modo che lo renda giuridicamente vincolante per le Parti e consenta agli interessati di far valere i propri diritti come stabilito nel presente Addendum per il Regno Unito. La sottoscrizione del presente Addendum per il Regno Unito avrà lo stesso effetto della firma delle CCT UE approvate e di qualsiasi parte delle CCT UE approvate.

Interpretazione della presente appendice relativa al Regno Unito

Laddove la presente Appendice per il Regno Unito utilizzi termini definiti nelle Clausole Contrattuali Standard dell’UE approvate, tali termini avranno lo stesso significato attribuito loro nelle Clausole Contrattuali Standard dell’UE approvate. Inoltre, i seguenti termini hanno il significato indicato di seguito:

Termine Definizione
Appendice per il Regno Unito si intende il presente Addendum sul trasferimento internazionale dei dati, che incorpora le Clausole contrattuali standard dell'UE, allegato all'Accordo sull'elaborazione dei dati (DPA) come Allegato D.
Clausole standard contrattuali dell'UE indica la o le versioni delle Clausole contrattuali standard dell'UE approvate alle quali è allegato il presente Addendum del Regno Unito, come indicato nella Tabella 2, comprese le informazioni contenute nell'Appendice
Informazioni in appendice sarà quello indicato nella tabella 3
Misure di sicurezza adeguate indica il livello di protezione dei dati personali e dei diritti degli interessati richiesto dalle leggi britanniche sulla protezione dei dati quando si effettua un trasferimento al di fuori del Regno Unito avvalendosi delle clausole standard di protezione dei dati ai sensi dell'articolo 46, paragrafo 2, lettera d), del GDPR britannico.
Addendum approvato nel Regno Unito indica il modello di Addendum pubblicato dall’ICO e presentato al Parlamento in conformità all’articolo 119A del Data Protection Act 2018 il 2 febbraio 2022, come eventualmente modificato ai sensi dell’articolo 18 dell’Addendum del Regno Unito.
Clausole contrattuali standard approvate dall'UE indica le clausole contrattuali tipo approvate dalla Commissione europea con la decisione 2021/914 del 4 giugno 2021, relative ai trasferimenti di dati personali verso paesi che non sono altrimenti riconosciuti dalla Commissione europea come paesi che garantiscono un livello adeguato di protezione dei dati personali (come di volta in volta modificate e aggiornate).
ICO indica l'Ufficio del Commissario per l'informazione.
Trasferimento dall'ex Regno Unito avrà la stessa definizione prevista dal DPA.
Regno Unito indica il Regno Unito di Gran Bretagna e Irlanda del Nord
Legislazione britannica in materia di protezione dei dati indica tutte le leggi in materia di protezione dei dati, trattamento dei dati personali, privacy e/o comunicazioni elettroniche di volta in volta in vigore nel Regno Unito, compresi il GDPR britannico e il Data Protection Act 2018.
GDPR nel Regno Unito avrà il significato indicato nel DPA.

L'Addendum per il Regno Unito deve essere sempre interpretato in modo coerente con le leggi britanniche in materia di protezione dei dati e in modo tale da adempiere all'obbligo delle Parti di fornire le garanzie adeguate.

Qualora le disposizioni contenute nell’Addendum del Regno Unito modifichino le Clausole standard di contratto (SCC) approvate dall’UE in qualsiasi modo non consentito dalle SCC approvate dall’UE o dall’Addendum del Regno Unito approvato, tali modifiche non saranno inserite nell’Addendum del Regno Unito e saranno sostituite dalla disposizione equivalente delle SCC approvate dall’UE.

In caso di incongruenze o conflitti tra le leggi britanniche sulla protezione dei dati e l'Addendum britannico, prevarranno le leggi britanniche sulla protezione dei dati.

Se il significato dell'Addendum per il Regno Unito non è chiaro o presenta più interpretazioni, si applica il significato che meglio si allinea alle leggi britanniche sulla protezione dei dati.

Qualsiasi riferimento alla legislazione (o a specifiche disposizioni legislative) si intende riferito a tale legislazione (o disposizione specifica) nella sua versione vigente in qualsiasi momento. Ciò include i casi in cui tale legislazione (o disposizione specifica) sia stata codificata, ripristinata e/o sostituita successivamente alla stipula dell’Addendum del Regno Unito.

Gerarchia

Sebbene la clausola 5 delle SCC UE approvate stabilisca che queste ultime prevalgano su tutti gli accordi correlati tra le parti, le parti concordano che, per i trasferimenti al di fuori del Regno Unito, prevarrà la gerarchia di cui alla Sezione 10 che segue.

In caso di incongruenze o conflitti tra l’Addendum approvato per il Regno Unito e le Clausole contrattuali standard dell’UE (a seconda dei casi), l’Addendum approvato per il Regno Unito prevale sulle Clausole contrattuali standard dell’UE, salvo nei casi (e nella misura in cui) le disposizioni incongruenti o in conflitto delle Clausole contrattuali standard dell’UE garantiscano una maggiore protezione agli interessati, nel qual caso tali disposizioni prevarranno sull’Addendum approvato per il Regno Unito.

Qualora il presente Addendum per il Regno Unito includa le Clausole contrattuali standard dell'UE (SCC) stipulate per proteggere i trasferimenti al di fuori dell'UE soggetti al GDPR, le parti riconoscono che nessuna disposizione del presente Addendum per il Regno Unito incide su tali SCC.

Costituzione e modifiche alle clausole contrattuali standard dell'UE

La presente appendice britannica incorpora le clausole contrattuali standard dell'UE, modificate nella misura necessaria affinché:

  • insieme disciplinano i trasferimenti di dati effettuati dall'esportatore di dati all'importatore di dati, nella misura in cui le leggi britanniche sulla protezione dei dati si applichino al trattamento effettuato dall'esportatore di dati al momento di tale trasferimento, e forniscono garanzie adeguate per tali trasferimenti;
  • Le sezioni da 9 a 11 di cui sopra prevalgono sulla clausola 5 (Gerarchia) delle SCC dell'UE; e
  • L'Addendum per il Regno Unito (comprese le Clausole Contractuali Standard dell'UE ivi incorporate) è (1) regolato dalle leggi dell'Inghilterra e del Galles e (2) qualsiasi controversia da esso derivante sarà risolta dai tribunali dell'Inghilterra e del Galles.

A meno che le parti non abbiano concordato modifiche alternative che soddisfino i requisiti di cui alla Sezione 12 del presente Addendum per il Regno Unito, si applicheranno le disposizioni della Sezione 15 del presente Addendum per il Regno Unito.

Non è consentito apportare modifiche alle clausole contrattuali standard dell'UE approvate, salvo quelle necessarie per soddisfare i requisiti di cui alla Sezione 12 del presente Addendum del Regno Unito.

Si apportano le seguenti modifiche alle Clausole standard di contratto dell’UE (ai fini della Sezione 12 del presente Addendum del Regno Unito):

  • Con il termine «Clausole» si intende il presente Addendum per il Regno Unito, che incorpora le Clausole standard di contratto dell'UE;
  • All'articolo 2, cancellare le parole: «e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, le clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679»;
  • La clausola 6 (Descrizione del trasferimento o dei trasferimenti) è sostituita dal seguente testo: «I dettagli relativi al trasferimento o ai trasferimenti, e in particolare le categorie di dati personali oggetto di trasferimento e le finalità per le quali vengono trasferiti, sono quelli specificati nell’Allegato I.B, qualora le leggi del Regno Unito in materia di protezione dei dati si applichino al trattamento effettuato dall’esportatore di dati al momento di effettuare tale trasferimento.»;
  • La clausola 8.7(i) del Modulo 1 è sostituita dal seguente testo: «si tratta di un paese che beneficia delle norme di adeguatezza ai sensi della Sezione 17A del GDPR del Regno Unito, che disciplina il trasferimento successivo»;
  • La clausola 8.8(i) dei Moduli 2 e 3 è sostituita dal seguente testo: «il trasferimento successivo è destinato a un paese che beneficia di norme di adeguatezza ai sensi della Sezione 17A del GDPR del Regno Unito che disciplinano il trasferimento successivo;»
  • I riferimenti al «Regolamento (UE) 2016/679», "Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)" e "tale regolamento" sono tutti sostituiti da "Leggi britanniche sulla protezione dei dati". I riferimenti a specifici articoli del "Regolamento (UE) 2016/679" sono sostituiti dall'articolo o dalla sezione equivalente delle leggi britanniche sulla protezione dei dati;
  • I riferimenti al regolamento (UE) 2018/1725 sono soppressi;
  • I riferimenti a «Unione europea», «Unione», «UE», «Stato membro dell’UE», «Stato membro» e «UE o Stato membro» sono tutti sostituiti con «Regno Unito»;
  • Il riferimento alla «clausola 12, lettera c), punto i)» contenuto nella clausola 10, lettera b), punto i) del Modulo uno è sostituito da «clausola 11, lettera c), punto i)»;
  • La clausola 13, lettera a), e la parte C dell'allegato I non trovano applicazione;
  • I termini «autorità di controllo competente» e «autorità di controllo» sono entrambi sostituiti con «Commissario per l'informazione»;
  • All'articolo 16, lettera e), il punto i) è sostituito dal seguente testo: «il Segretario di Stato emana regolamenti ai sensi dell'articolo 17A della legge sulla protezione dei dati del 2018 che disciplinano il trasferimento dei dati personali ai quali si applicano le presenti clausole;»;
  • L'articolo 17 è sostituito dal seguente testo: «Le presenti clausole sono regolate dalle leggi dell'Inghilterra e del Galles»;
  • L'articolo 18 è sostituito dal seguente testo: «Qualsiasi controversia derivante dalle presenti clausole sarà risolta dai tribunali dell'Inghilterra e del Galles. L'interessato può inoltre adire i tribunali di qualsiasi paese del Regno Unito contro l'esportatore e/o l'importatore di dati. Le parti convengono di sottoporsi alla giurisdizione di tali tribunali.»; e
  • Le note a piè di pagina relative alle clausole contrattuali standard approvate dall'UE non fanno parte dell'Addendum del Regno Unito, ad eccezione delle note 8, 9, 10 e 11.

Modifiche all'Addendum del Regno Unito

Le parti possono concordare di modificare le clausole 17 e/o 18 delle Clausole Contractuali Standard dell'UE (SCC) per fare riferimento alle leggi e/o ai tribunali della Scozia o dell'Irlanda del Nord.

Qualora le parti desiderino modificare il formato delle informazioni contenute nella Parte 1: Tabelle dell’Addendum approvato per il Regno Unito, possono farlo concordando la modifica per iscritto, a condizione che tale modifica non riduca le garanzie adeguate.

Di tanto in tanto, l'ICO può pubblicare una versione aggiornata dell'Addendum approvato per il Regno Unito che:

  • apporti modifiche ragionevoli e proporzionate all’Addendum approvato per il Regno Unito, compresa la correzione di eventuali errori in esso contenuti; e/o
  • riflette le modifiche apportate alle leggi britanniche sulla protezione dei dati.

L'Addendum approvato per il Regno Unito nella versione aggiornata specificherà la data di decorrenza a partire dalla quale le modifiche apportate all'Addendum approvato per il Regno Unito entreranno in vigore e se le parti dovranno rivedere il presente Addendum per il Regno Unito, comprese le informazioni contenute nell'Appendice. Il presente Addendum per il Regno Unito sarà automaticamente modificato secondo quanto stabilito nell'Addendum approvato per il Regno Unito nella versione aggiornata a partire dalla data di decorrenza specificata.

Qualora l’ICO emetta un’Addendum approvato per il Regno Unito modificato ai sensi della Sezione 18 del presente Addendum per il Regno Unito, qualora una parte, come conseguenza diretta delle modifiche apportate all’Addendum approvato per il Regno Unito, subisca un aumento sostanziale, sproporzionato e dimostrabile in:

  • i costi diretti sostenuti per adempiere agli obblighi previsti dall'Addendum del Regno Unito; e/o
  • il proprio rischio ai sensi dell'Addendum del Regno Unito,

e, in entrambi i casi, qualora abbia prima adottato misure ragionevoli per ridurre tali costi o rischi in modo che non risultino sostanziali e sproporzionati, tale parte potrà risolvere il presente Addendum per il Regno Unito alla scadenza di un termine di preavviso ragionevole, dandone comunicazione scritta all’altra parte prima della data di entrata in vigore dell’Addendum per il Regno Unito approvato e modificato.

Le parti non necessitano del consenso di terzi per apportare modifiche al presente Addendum per il Regno Unito, ma eventuali modifiche devono essere apportate in conformità con i termini ivi contenuti.