Appendice sul trattamento dei dati di Shopify

I. SCOPO

La presente Appendice sul trattamento dei dati di Shopify integra ed è inclusa per riferimento nei Termini e condizioni del servizio Shopify, insieme a qualsivoglia termine applicabile a qualsivoglia servizio aggiuntivo di Shopify che hai scelto di utilizzare (i “Termini”) da e tra Te (o “Merchant”) e il Soggetto contraente Shopify come stabilito nei Termini (“Shopify”), che chiariscono gli obiettivi commerciali specifici e i servizi relativi alla presente Appendice sul trattamento dei dati. In caso di conflitto tra i Termini e la presente Appendice sul trattamento dei dati, quest'ultima prevale in relazione al trattamento dei Dati personali dei tuoi clienti.

Tu e Shopify (ciascuno una "Parte", congiuntamente le "Parti") convenite che la presente Appendice sul trattamento dei dati stabilisce gli obblighi delle Parti che disciplinano il trattamento dei Dati personali dei tuoi clienti. Tu agirai in qualità di Titolare del trattamento dei dati e Shopify agirà in qualità di Responsabile del trattamento dei dati in relazione al trattamento dei Dati personali dei tuoi clienti, in relazione all'utilizzo da parte tua dei nostri Servizi che si basano sul trattamento dei Dati personali dei tuoi clienti, ad eccezione dei servizi descritti nell'Appendice E.

Laddove il trattamento dei Dati personali ai sensi della presente Appendice sul trattamento dei dati sia soggetto ai requisiti in materia di protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (“UK”) o in Svizzera in qualità di Responsabile del trattamento dei dati, l’Appendice C integra la presente Appendice sul trattamento dei dati. In caso di conflitto tra l’Appendice C e altre sezioni della presente Appendice sul trattamento dei dati, l’Appendice C prevarrà in relazione al trattamento dei Dati personali dei tuoi clienti soggetti ai requisiti di protezione dei dati vigenti nel SEE, nel Regno Unito e in Svizzera. A scanso di equivoci, l'Appendice C non si applica alle attività di trattamento descritte nell'Appendice E.

Laddove il trattamento dei Dati personali ai sensi della presente Appendice per il trattamento dei dati sia soggetto alle Leggi statunitensi sulla protezione dei dati e Shopify agisca in qualità di Responsabile del trattamento dei dati o Fornitore di servizi, l'Appendice D integra la presente Appendice. In caso di conflitto tra l'Appendice D e altre sezioni della presente Appendice, l'Appendice D prevarrà in relazione al trattamento dei Dati personali dei tuoi clienti soggetto alle Leggi statunitensi sulla protezione dei dati. A scanso di equivoci, l'Appendice D non si applica alle attività di trattamento descritte nell'Appendice E.

Se ricevi Servizi avanzati da Shopify (come definito nella Sezione 9.2 dei Termini e condizioni del servizio) Shopify tratterà i Dati personali dei tuoi clienti in qualità di Titolare del trattamento dei dati o Azienda come stabilito nell'Appendice E. In caso di conflitto tra l'Appendice E e altre sezioni della presente Appendice, prevarrà l'Appendice Ein relazione al trattamento dei Dati personali dei tuoi clienti da parte di Shopify in qualità di Titolare del trattamento dei dati o Azienda.

A scanso di equivoci, la presente Appendice non si applica al trattamento da parte di Shopify di Dati personali dei clienti ricevuti a seguito del rapporto del cliente con Shopify tramite servizi quali Shop e Shop Pay.

II. DEFINIZIONI

I termini in maiuscolo utilizzati ma non definiti nella presente Appendice sul trattamento dei dati hanno lo stesso significato a loro attribuito nei Termini:

A. Legge/i applicabile/i sulla protezione dei dati: qualsivoglia legge sulla protezione dei dati o sulla privacy applicabile al trattamento dei tuoi Dati personali da parte di Shopify ai sensi dei Termini e condizioni, dei relativi regolamenti di attuazione e delle legislazioni secondarie, ciascuno dei quali può essere modificato, aggiornato o sostituito di volta in volta, incluse le leggi applicabili in base alla sede o alla residenza del Merchant e/o dei tuoi clienti.

B. Cliente: un individuo o un’entità che visita, si interessa a e/o acquista un prodotto, una merce o un servizio dal/dai tuo/tuoi Negozio/i.

C. Richiesta di diritti sui dati: una richiesta valida e legale da parte di un individuo di esercitare i diritti disponibili relativi ai Dati personali ai sensi della Legge sulla protezione dei dati applicabile.

D. Titolare del trattamento dei dati: la Parte che determina le finalità e i mezzi del trattamento dei Dati personali o come altrimenti definito ai sensi di qualsivoglia Legge sulla protezione dei dati applicabile.

E. Responsabile del trattamento dei dati o Fornitore del servizio: la Parte o altra entità o attività che fornisce i servizi per conto del Titolare del trattamento dei dati e tratta i Dati personali sotto la direzione e per conto dello stesso, e deve essere interpretato conformemente alle Leggi sulla protezione dei dati applicabili.

F. Dati personali: informazioni o dati definiti come "dati personali", "informazioni personali" o "informazioni personali identificabili" (o termine analogo) ai sensi delle Leggi applicabili sulla protezione dei dati.

G. Violazione dei dati personali: in relazione ai Dati personali dei tuoi clienti, da interpretarsi conformemente alla Legge sulla protezione dei dati personali applicabile.

H. “Trattare,” “tratta,” o “trattamento”: (a) qualsivoglia operazione o serie di operazioni effettuata sui Dati personali o su un gruppo di Dati personali, tramite mezzi automatizzati o meno, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il recupero, la consultazione, l’utilizzo, la divulgazione mediante trasmissione, diffusione o altrimenti il rendere disponibile, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione; o (b) la definizione data a tale/i termine/i ai sensi della Legge sulla protezione dei dati applicabile.

I. “Subincaricato/i”: aziende affiliate o Responsabili del trattamento dei dati di terze parti o Fornitori dei servizi che possono trattare i Dati personali sotto la direzione di Shopify al fine di fornire i Servizi.

J. "Tu", "Tuo" o "Merchant": indica ciascuna attività commerciale da te gestita e che utilizza o trae vantaggio dai Servizi, dai Servizi avanzati o da altri Servizi aggiuntivi ed è Parte dei Termini con Shopify.

K. "Dati personali dei tuoi clienti": Dati personali provenienti da o riguardanti i tuoi clienti, esclusi i Dati personali dei clienti che Shopify riceve in conseguenza del rapporto del cliente con Shopify, che è regolato dall'Informativa sulla privacy dei consumatori di Shopify e non dalla presente Appendice.

III. NATURA DEL TRATTAMENTO E RUOLI DELLE PARTI

Shopify in qualità di Responsabile del trattamento dei dati o di Fornitore di servizi. Shopify riceve e tratta i Dati personali dei tuoi clienti al fine di fornirti i Servizi e come altrimenti stabilito di seguito. In base ai Servizi da te richiesti o utilizzati, Shopify tratterà le categorie dei Dati personali indicati nell’Appendice A, secondo le modalità e le basi in essa contenute.

Shopify tratterà i Dati personali dei tuoi clienti in qualità di Responsabile del trattamento dei dati o Fornitore di servizi solo per fornire i Servizi indicati nei Termini e condizioni, anche eventuali integrativi e, se necessario, per fornire, sviluppare e migliorare i propri Servizi e per qualsiasi altro scopo consentito dalle Leggi applicabili in materia di protezione dei dati.

Shopify in qualità di Titolare del trattamento dei dati o Azienda. Shopify tratterà i Dati personali dei tuoi clienti in qualità di Titolare del trattamento dei dati o Azienda (a) nelle circostanze e con le modalità indicate nell'Appendice E e (b) per qualsiasi altro scopo compatibile con le istruzioni del cliente e le Leggi applicabile in materia di protezione dei dati.

IV. OBBLIGHI DELLE PARTI

La seguente sezione descrive i rispettivi obblighi delle Parti in relazione al trattamento dei Dati personali coperti dalla presente Appendice sul trattamento dei dati.

A. Conformità generale

1. Le Parti si impegnano a rispettare i rispettivi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati.

2. Shopify non ha l’obbligo di interpretare o avvisarti relativamente ai tuoi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati, incluse quelle relative ai Dati personali coperti dalla presente Appendice sul trattamento dei dati. Tu hai la responsabilità di determinare i tuoi obblighi legali e normativi, inclusa la valutazione della coerenza delle misure tecniche e organizzative dei Servizi con i tuoi obblighi legali e normativi indipendenti.

B. Obblighi di Shopify

1. Sicurezza dei dati
Shopify implementerà e manterrà misure tecniche e organizzative appropriate per proteggere i Dati personali dei tuoi clienti da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali, come indicato nell’Appendice B.

2. Notifica e investigazione della violazione dei dati personali

a) Come richiesto dalle Leggi applicabili in materia di protezione dei dati, Shopify ti notificherà eventuali Violazioni dei Dati personali confermate da Shopify.

b) Tale notifica deve includere le informazioni richieste ai sensi delle Leggi applicabili in materia di protezione dei dati nella misura in cui tali informazioni siano ragionevolmente disponibili a Shopify. La risposta di Shopify a, o alla notifica di, una Violazione dei Dati personali non è un riconoscimento da parte di Shopify di un errore o di una responsabilità.

c) Shopify accetta di investigare eventuali Violazioni dei dati personali e di adoperarsi in modo ragionevole per identificare, prevenire, mitigare e rimediare agli effetti.

C. Tuoi obblighi in relazione ai Dati personali

1. Avvisi sulla privacy e trasparenza: dichiari e garantisci di rispettare tutti gli obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati richiesti per fornire avvisi e trasparenza in relazione al trattamento dei Dati personali dei tuoi clienti ai sensi dei Termini e in relazione all'utilizzo dei Servizi da parte tua. Nella misura richiesta ai sensi delle Leggi applicabili in materia di protezione dei dati, devi comunicare agli individui interessati tutte le divulgazioni necessarie per Shopify al fine di trattare in modo lecito ed equo i Dati personali dei tuoi clienti in relazione alla presente Appendice sul trattamento dei dati, compreso quando ricevi Servizi avanzati o Servizi aggiuntivi, fornendo un collegamento all’Informativa sulla Privacy dei consumatori di Shopify o alla tua Informativa sulla Privacy come stabilito nella Sezione 9.2.5 dei Termini.

2. Diritti e autorizzazioni del cliente: dichiari e garantisci di disporre di tutti i diritti, le autorizzazioni e i consensi necessari per rendere disponibili i Dati personali dei tuoi clienti a Shopify e affinché Shopify elabori tali dati in modo che tu possa ricevere i Servizi, inclusi i Servizi avanzati o altri Servizi aggiuntivi che ricevi, in conformità con i Termini, la presente Appendice e le Leggi applicabili sulla protezione dei dati.

3. Richieste di diritti sui dati: dichiari e garantisci di fornire la possibilità ai tuoi Clienti di esercitare Richieste di diritti sui dati, come richiesto ai sensi delle Leggi applicabili in materia di protezione dei dati, in relazione a tutti i Dati personali trattati da Shopify per cui tu sei il Titolare del trattamento dei dati.

4. Richieste di informazioni normative : salvo quanto vietato dalla legge applicabile, ci informerai tempestivamente, in conformità con la disposizione di Avviso contenuta nei Termini, di qualsiasi richiesta o disputa governativa, normativa o di terze parti riguardante l'utilizzo dei Servizi da parte tua.

V. VARIE ED EVENTUALI

A. Trasferimenti globali di dati
Accetti che i Dati personali dei tuoi clienti possano essere trasferiti e trattati in qualsivoglia paese in cui sia presente la sede di Shopify, delle sue affiliate o dei fornitori di servizi di terze parti (inclusi Singapore e Canada). Qualsivoglia trasferimento dei Dati personali dei tuoi clienti a tali destinatari verrà effettuato in conformità alle Leggi applicabili in materia di protezione dei dati. Per ulteriori informazioni sui trasferimenti internazionali di dati, per cui Shopify è soggetto ai requisiti in materia di protezione dei dati nel SEE, nel Regno Unito o in Svizzera, consulta la sezione II(B)(8) dell’Appendice C.

B. Risposta alle richieste legali

1. Riconosci che, quando ti fornisce i Servizi, Shopify può condividere i Dati personali dei tuoi clienti (i) per essere conforme ai requisiti legali o per rispondere a ordini del tribunale o ad altre richieste governative o normative simili; o (ii) per prevenire o investigare su frodi, minacce alla sicurezza fisica, attività illegali o violazioni sospette di un contratto (come i Termini e condizioni del servizio).

2. Prima che tu fornisca i Dati personali dei tuoi clienti, Shopify sosterrà gli sforzi ragionevoli per garantire che tale divulgazione sia consentita ai sensi delle Leggi applicabili in materia di protezione dei dati e che tali dati vengano trattati come informazioni riservate ai sensi del quadro giuridico applicabile.

C. Divulgazione nelle transazioni aziendali
Accetti che, nel fornirti i Servizi, a Shopify possa essere richiesto di condividere i Dati personali dei tuoi clienti con controparti potenziali in transazioni aziendali o di ristrutturazione.

D. Utilizzo dei fornitori di servizi da parte di Shopify

1. Riconosci e accetti che, quando ti fornisce i Servizi, Shopify potrebbe utilizzare fornitori di servizi per il trattamento dei Dati personali dei tuoi clienti. Shopify mantiene aggiornato un elenco di tutti i fornitori utilizzati. Se le Leggi applicabili in materia di protezione dei dati ti garantiscono tali diritti, puoi opporti all’utilizzo da parte di Shopify di un fornitore di servizi, e se Shopify non è può o non vuole accogliere tali richieste, puoi, conformemente alle suddette leggi, cessare l'utilizzo dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

2. L’utilizzo di fornitori di servizi da parte di Shopify per il trattamento dei Dati personali dei clienti da te forniti sarà conforme alle Leggi applicabili in materia di protezione dei dati. Nel caso in cui Shopify coinvolga un fornitore di servizi, Shopify stipulerà con il fornitore un accordo scritto che imponga obblighi contrattuali sostanzialmente identici a quelli stabiliti nella presente Appendice sul trattamento dei dati.

E. Modifiche dell’Appendice sul trattamento dei dati Riconosci e accetti che Shopify possa modificare la presente Appendice sul trattamento dei dati di tanto in tanto con la pubblicazione dell’Appendice aggiornata e riformulata sul sito web di Shopify, disponibile all’indirizzo https://shopify.com/legal/dpa. La prosecuzione nell’utilizzo dei Servizi da parte tua dopo la pubblicazione sul sito web di Shopify dell’Appendice modificata equivale all'accettazione da parte tua dell’Appendice modificata. Se non accetti le modifiche all’Appendice non dovrai continuare a utilizzare i Servizi.

VI APPENDICI

1. Appendice A - Categorie dei Dati personali

2. Appendice B - Sicurezza dei dati

3. Appendice C - GDPR, GDPR del Regno Unito e Appendice sull'elaborazione dei dati in Svizzera

4. Appendice D - Leggi sulla protezione dei dati degli Stati Uniti

5. Appendice E - Shopify come Titolare del trattamento dei dati o Azienda per Servizi avanzati

APPENDICE A: CATEGORIE DEI DATI PERSONALI

Come parte del Tuo utilizzo dei Servizi, e in base ai Servizi da Te utilizzati, possiamo ricevere ed sottoporre al trattamento le seguenti categorie di Dati personali per fornire i Servizi:

● Nome, email, contatto, informazioni di fatturazione e spedizione del Cliente.

● Informazioni sull’acquisto e su altre transazioni dal/i tuo/tuoi Negozio/i.

● Aggiornamenti sullo stato della/e transazione/i con te o il tuo/tuoi Negozio/i

● Attività del Cliente nel/i tuo/tuoi Negozio/i, inclusi i prodotti visualizzati e/o inseriti nei carrelli.

● Segnali di preferenza del Cliente, incluso il Controllo globale della privacy, segnali di non partecipazione e di partecipazione.

● Informazioni sui dispositivi del Cliente per i dispositivi utilizzati durante la visualizzazione del/i tuo/tuoi Negozio/i, inclusi indirizzo IP, browser e attività di rete.

● Altre informazioni sulle interazioni tra te e i tuoi Clienti.

● Qualsivoglia altro Dato personale reso disponibile a Shopify da parte tua o dei tuoi clienti.

APPENDICE B: SICUREZZA DEI DATI

Shopify manterrà un programma di sicurezza delle informazioni al fine di (a) consentirti di proteggere i Dati personali dei tuoi clienti da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali; (b) identificare rischi ragionevolmente prevedibili per la sicurezza e la disponibilità dei Servizi da te ricevuti; e (c) ridurre al minimo i rischi di sicurezza relativi ai Servizi.

I. Il programma di sicurezza della informazioni di Shopify includerà le seguenti misure di salvaguardia:

A. Logical Security

1. Controlli degli accessi: Shopify renderà i propri sistemi accessibili solo al personale autorizzato e solo nella misura necessaria per mantenere e fornire i Servizi. Shopify manterrà controlli e informative sugli accessi volti a gestire le autorizzazioni per l’accesso ai propri sistemi, incluso mediante l’utilizzo di firewall e/o altri tipi di tecnologie e controlli dell’autenticazione.

2. Accesso limitato degli utenti: Shopify (i) fornirà e limiterà l’accesso ai propri sistemi in conformità ai principi di privilegio più recenti in base alle funzioni lavorative del personale e (ii) richiederà l’autenticazione a due fattori (2FA) per l’accesso ai propri sistemi.

3. Valutazioni delle vulnerabilità: Shopify manterrà un programma di valutazione delle vulnerabilità e di test di penetrazione, che ha la responsabilità di investigare e monitorare i problemi rilevati relativamente ai Servizi fino alla risoluzione, se necessario.

4. Sicurezza dell’applicazione: Shopify mantiene un programma di sicurezza dell’applicazione responsabile della protezione dei Servizi da minacce alla sicurezza dell’applicazione.

5. Gestione delle modifiche: Shopify manterrà i controlli preposti ad accedere, autorizzare, testare, approvare e documentare le modifiche alle risorse dei Servizi esistenti e documenterà i dettagli delle modifiche all’interno degli strumenti di gestione delle modifiche o di distribuzione. Shopify testerà le modifiche in base ai suoi standard di gestione delle modifiche prima della migrazione alla produzione.

6. Integrità dei dati: a seconda dei casi, Shopify manterrà dei controlli volti a fornire l’integrità dei dati durante la trasmissione, l’archiviazione e il trattamento all’interno dei Servizi.

7. Disponibilità: Shopify (i) implementerà la ridondanza dove necessario per ridurre al minimo l’effetto di un malfunzionamento dei Servizi, (ii) progetterà i Servizi per anticipare e tollerare errori e (iii) implementerà i processi appropriati per spostare il traffico dei Dati personali dalle aree interessate quando necessario per eseguire ripristini dopo un errore.

8. Continuità operativa e ripristino in caso di disastro: Shopify manterrà un programma di gestione dei rischi volto a supportare la continuità delle proprie funzioni operative critiche, inclusi i processi e le procedure per l’identificazione di, la risposta a, e il ripristino in caso di eventi che potrebbero impedire o compromettere materialmente la fornitura da parte di Shopify dei Servizi da te ricevuti.

9. Gestione degli incidenti: Shopify fornisce la documentazione necessaria affinché tu possa segnalare problemi relativi alla sicurezza o alla disponibilità, porre domande relative alla sicurezza o alla disponibilità e inviare informazioni su potenziali problemi relativi alla sicurezza o alla disponibilità. Shopify manterrà piani di azioni correttive e piani di risposta agli incidenti volti a rilevare, mitigare, investigare e rispondere alle potenziali minacce alla sicurezza dei Servizi.

B. Sicurezza fisica: ove necessario per proteggere i Servizi, Shopify (i) implementerà misure ragionevoli volte a impedire accessi fisici , danni o interferenze non autorizzati ai Servizi, (ii) utilizzerà dispositivi di controllo appropriati volti a limitare l’accesso fisico ai Servizi solamente al personale autorizzato che dispone di una necessità aziendale legittima per tale accesso ed (iii) effettuerà verifiche periodiche per convalidare l’adesione a tali standard.

C. Dipendenti di Shopify: i dipendenti di Shopify che dispongono dell’autorizzazione per accedere ai Dati personali dei tuoi clienti sono vincolati da obblighi di riservatezza come parte dei relativi termini di assunzione. Shopify implementerà e manterrà programmi di formazione sulla sicurezza relativamente ai requisiti di sicurezza delle informazioni di Shopify. I programmi di formazione sulla consapevolezza relativa alla sicurezza verranno sottoposti a verifica e aggiornati periodicamente.

II. Modifiche alla presente Appendice

Shopify revisiona, di tanto in tanto, le proprie misure di sicurezza e può aggiornare la presente Appendice a sua sola discrezione. Eventuali aggiornamenti sostituiranno le versioni precedenti della presente Appendice a partire dalla data di pubblicazione della versione aggiornata da parte di Shopify.

APPENDICE C: NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI, NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI DEL REGNO UNITO E APPENDICE SUL TRATTAMENTO DEI DATI IN SVIZZERA

Nel caso in cui il trattamento dei Dati personali dei tuoi clienti ai sensi dell’Appendice sul trattamento dei dati sia soggetto ai requisiti in materia di Protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (UK) o in Svizzera (collettivamente, “Leggi europee in materia di protezione dei dati”), e Shopify agisca in qualità di Responsabile del trattamento dei dati l’Appendice C integra la presente Appendice sul trattamento dei dati.

I. Natura del trattamento e ruolo delle Parti

A. Dati personali

Ai sensi della presente Appendice agisci in qualità di Titolare del trattamento dei dati e Shopify agisce in qualità di Responsabile del trattamento dei dati relativamente al trattamento dei Dati personali dei tuoi clienti come descritto nell’Allegato 1, se necessario per soddisfare gli obiettivi aziendali indicati nei Termini e fornirti i Servizi che hai scelto di utilizzare.

II. Obblighi delle Parti

A. Tuoi obblighi

Devi essere conforme:

● alle Leggi europee sulla protezione dei dati che ti vincolano in relazione all'utilizzo dei Servizi da parte tua; e

● ai tuoi obblighi indicati nell’Appendice sul trattamento dei dati, inclusi gli obblighi indicati nella presente Appendice.

Dichiari e garantisci di disporre di una base legale valida per il trattamento dei Dati personali dei tuoi clienti (incluso il rendere tali dati disponibili a Shopify) e di aver ottenuto i consensi, i diritti e le autorizzazioni necessari e di aver fornito gli avvisi necessari agli individui per consentire il trattamento da parte di Shopify dei Dati personali dei tuoi clienti al fine di fornire i Servizi, come richiesto dalle Leggi europee in materia di protezione dei dati.

B. Obblighi di Shopify

1. Istruzioni del Titolare del trattamento e violazione delle Leggi europee in materia di protezione dei dati

a) Le Parti accettano che i Termini e la presente Appendice sul trattamento dei dati costituiscano le tue istruzioni documentate relativamente al trattamento da parte di Shopify dei Dati personali dei tuoi clienti (“Istruzioni documentate”).

b) Shopify tratterà i Dati personali dei tuoi clienti in qualità di Responsabile del trattamento dei dati: (i) in conformità alle tue Istruzioni documentate o (ii) al fine di essere conforme agli obblighi di Shopify ai sensi delle leggi applicabili, soggette a qualsivoglia requisito di notifica ai sensi della legge del SEE, dello stato membro SEE, del Regno Unito o della Svizzera a cui Shopify è soggetta.

c) Shopify ti avviserà nel caso in cui riceva un’istruzione ritenuta ragionevolmente in violazione delle Leggi europee in materia di protezione dei dati (ma Shopify non ha l’obbligo di monitorare attivamente la tua conformità alle Leggi europee in materia di protezione dei dati).

2. Obbligo di riservatezza

Shopify garantirà che le persone autorizzate al trattamento dei Dati personali dei tuoi clienti abbiano stipulato accordi di riservatezza scritti o siano soggette a obblighi legali di riservatezza.

3. Misure di sicurezza

a) Shopify implementa e mantiene misure tecniche e organizzative appropriate per proteggere i Dati personali dei tuoi clienti da trattamenti non autorizzati o illegali e da perdite accidentali, distruzione, danni, furti, accessi non autorizzati, alterazioni o divulgazioni, come indicato nell’Allegato 2.

b) Tenendo conto della natura dei Dati personali dei tuoi clienti e del relativo trattamento, Shopify fornisce l’assistenza da te ragionevolmente richiesta per aiutarti ad adempiere ai tuoi obblighi di sicurezza previsti dalle Leggi europee in materia di protezione dei dati.

c) Shopify ti avvisa, senza ritardo immotivato, di una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentali o illegali ai Dati personali dei tuoi clienti trasmessi, archiviati o altrimenti trattati.

d) Shopify accetta di investigare tale violazione della sicurezza e di adoperarsi in modo ragionevole per mitigare gli effetti.

4. Subincaricati

a) Autorizzi genericamente Shopify ad assumere Subincaricati per il trattamento dei Dati personali dei tuoi clienti. Accetti anche che Shopify possa assumere i propri affiliati come Subincaricati.

b) L’uso da parte di Shopify di Subincaricati per il trattamento dei Dati personali dei tuoi clienti sarà in conformità alle Leggi europee in materia di protezione dei dati.

c) Shopify mantiene un elenco aggiornato di tutti i Subincaricati come indicato nell’Allegato 3. Shopify aggiornerà l’elenco dei Subincaricati in modo appropriato e ti consentirà di ricevere notifiche in caso di aggiunta o sostituzione di un Subincaricato. Puoi opporti all’uso di un Subincaricato da parte di Shopify.

d) Nel caso in cui tu ti opponga all’uso da parte di Shopify di un Subincaricato, e Shopify non possa o non voglia accogliere tali richieste, puoi cessare l'utilizzo dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

e) Nel caso in cui Shopify assuma un nuovo Subincaricato, Shopify stipulerà con esso un contratto scritto e gli imporrà obblighi contrattuali sostanzialmente uguali a quelli indicati nella presente Appendice sul trattamento dei dati. Shopify è completamente responsabile per gli atti e le omissioni dei suoi Subincaricati nella stessa misura in cui Shopify sarebbe responsabile se eseguisse i servizi di ciascun Subincaricato direttamente ai sensi dei termini della presente Appendice sul trattamento dei dati. La responsabilità di Shopify sarà comunque soggetta alle condizioni e alla limitazione di responsabilità indicata nei presenti Termini.

5. Assistenza al Titolare del trattamento
Tenendo conto della natura dei Dati personali dei tuoi clienti e del relativo trattamento, Shopify fornisce l’assistenza da te ragionevolmente richiesta per aiutarti ad adempiere ai tuoi obblighi:

● rispondere alle richieste dei diritti sui dati ai sensi delle Leggi europee sulla protezione dei dati, in relazione a tutti i trattamenti dei Dati personali dei tuoi clienti da parte di Shopify;

● notificare un’eventuale Violazione dei dati personali alle autorità competenti e/o agli interessati;

● condurre valutazioni sull’impatto della protezione dei dati e consultazioni preliminari;

● garantire la sicurezza del trattamento in conformità alla Sezione 3.

6. Valutazione della conformità

a) Shopify può adempiere al diritto di controllo da parte tua ai sensi delle Leggi europee in materia di protezione dei dati relativamente al trattamento dei Dati personali dei tuoi clienti fornendoti, previa richiesta scritta da parte tua e soggetta alla riservatezza:

(i) i risultati del report di audit più recente di Shopify, sia dai controlli di Shopify stesso sia preparati da un revisore di terze parti indipendente;
(ii) informazioni aggiuntive in controllo di Shopify nel caso in cui un’autorità nell’ambito della protezione dei dati o governativa lo richieda.

b) A condizione che, e solo nella misura in cui le Leggi europee in materia di protezione dei dati te ne concedano il diritto, puoi esercitare il Diritto di verifica: (i) nella misura in cui un revisore indipendente riconosciuto a livello internazionale attesti che la verifica di Shopify non fornisca informazioni sufficienti affinché tu sia in grado di verificare la conformità di Shopify con la presente Appendice sul trattamento dei dati e con le Leggi europee in materia di protezione dei dati o (ii) nella misura necessaria affinché tu possa rispondere alla verifica di un’autorità governativa. Ciascuna verifica deve essere conforme ai parametri seguenti: (i) essere condotta da una terza parte indipendente che stipulerà un accordo di riservatezza con Shopify; (ii) essere limitata alle questioni ragionevolmente richieste, e a quanto concordato reciprocamente, affinché tu possa verificare la conformità di Shopify alla presente Appendice sul trattamento dei dati e la conformità delle Parti con le Leggi europee in materia di protezione dei dati; (iii) essere condotta in una data e in un orario concordati di comune accordo e solo durante il regolare orario di lavoro di Shopify; (iv) non deve svolgersi più di una volta all’anno (salvo diversamente richiesto ai sensi delle Leggi europee in materia di protezione dei dati); (v) deve riguardare solo le strutture controllate da Shopify; (vi) deve limitare le conclusioni solamente ai Dati personali dei tuoi clienti; e (vii) deve trattare i risultati come informazioni riservate nella misura massima consentita dalle Leggi europee in materia di protezione dei dati. Per chiarimenti, Shopify sarà conforme a qualsivoglia tuo diritto ai sensi della presente Sezione 6 conformemente ai suoi obblighi di riservatezza con terze parti.

7. Fine del trattamento

a) Durante l’utilizzo dei Servizi da parte tua, puoi utilizzare gli strumenti dell’account per accedere, restituire o eliminare i Dati personali dei tuoi clienti.

b) Shopify, successivamente alla risoluzione e a tua scelta, eliminerà o restituirà i Dati personali dei tuoi clienti. Nonostante quanto sopra, Shopify può conservare tali Dati personali: (i) se richiesto dalla legge, incluse le Leggi europee in materia di protezione dei dati; e (ii) conformemente alle sue politiche standard di backup dei dati o conservazione dei record, a condizione che, in ciascun caso, Shopify mantenga la riservatezza, e altrimenti rispetti le disposizioni applicabili della presente Appendice sul trattamento dei dati in relazione ai Dati personali conservati, e non tratti ulteriormente tali Dati personali fatto salvo per gli scopi e per la durata consentiti ai sensi delle suddette leggi applicabili.

8. Trasferimenti internazionali

a) Soggetto al rispetto delle Leggi europee in materia di protezione dei dati, Shopify International Ltd. può trasferire i Dati personali dei tuoi clienti trattati ai sensi della presente Appendice al di fuori del SEE, del Regno Unito e della Svizzera se necessario per fornire i propri Servizi (“Trasferimenti internazionali”).

b) Tali trasferimenti consistono principalmente nel trasferimento dei Dati personali dei tuoi clienti a Shopify Inc., con sede legale in Canada che beneficia di una decisione della Commissione europea 2002/2/EC del 20 dicembre 2001 sulla protezione adeguata dei dati personali prevista dalla Legge canadese sulla tutela delle informazioni personali e sui documenti elettronici.

c) Qualsivoglia Trasferimento internazionale verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi europee in materia di protezione dei dati sarà soggetto a misure di salvaguardia appropriate inclusi i seguenti meccanismi di trasferimento:

● i moduli rilevanti ai sensi delle Clausole contrattuali tipo del 2021 approvate dalla Commissione europea nella decisione 2021/914/EC in data 4 giugno 2021;

● l’Addendum al trasferimento internazionale dei dati alle clausole contrattuali tipo della Commissione europea per i trasferimenti dei dati internazionali emesso dall’Ufficio del commissario all'informazione del Regno Unito ai sensi dell’S119A(1) della Legge sulla protezione dei dati del Regno Unito del 2018;

● le Clausole contrattuali tipo del 2021 modificate per soddisfare i requisiti della Legge federale sulla protezione dei dati della Svizzera (come modificata di volta in volta) del 19 giugno 1992, revisionata il 25 settembre 2001; e

● qualsivoglia clausola contrattuale tipo, addendum internazionale sul trasferimento dei dati o altra clausola, addendum o meccanismi di trasferimento che potrebbero sostituire le clausole e l’addendum attuali.

d) Shopify può, a sua esclusiva discrezione, sostituire qualsivoglia meccanismo di trasferimento per garantire che i trasferimenti dei dati siano conformi alle leggi applicabili. Se un trasferimento si basa su clausole contrattuali tipo e tali clausole sono aggiornate da autorità competenti, tali clausole aggiornate o accordi simili verranno incorporati nella presente Appendice sul trattamento dei dati come se fossero pienamente indicati nel presente documento.

ALLEGATO 1 - DATI PERSONALI

DESCRIZIONE DEL TRATTAMENTO DEI DATI PERSONALI

I. Oggetto del trattamento

Fornitura dei Servizi Shopify al Merchant.

II. Categorie di interessati

Clienti del Merchant.

III. Categorie dei Dati personali trattati

Vedere l’Appendice A precedente.

IV. Frequenza del trasferimento

Continuo.

V. Natura del trattamento

Raccolta, registrazione, ricezione, accesso, utilizzo, trasferimento ed eliminazione dei Dati personali come descritto nei Termini.

VI. Scopi per i quali i Dati personali vengono trattati per conto del Titolare del trattamento

Per le prestazioni e il miglioramento dei Servizi come descritto nei Termini.

VII. Durata del trattamento

Durata dei Servizi ai sensi dei Termini o del contratto applicabile, più il periodo dopo tale scadenza fino all’anonimizzazione, alla restituzione o all’eliminazione dei dati.

VIII. Autorità di supervisione competente. L’autorità di supervisione competente sarà la Commissione irlandese per la protezione dei dati.

ALLEGATO 2 - MISURE DI SICUREZZA

Le informazioni sulle misure di sicurezza sono fornite nell’Appendice B dell’Appendice sul trattamento dei dati.

ALLEGATO 3 - ELENCO DEI SUBINCARICATI

I Subincaricati utilizzati da Shopify per la prestazione dei Servizi ai sensi dei Termini sono elencati qui.

I Subincaricati tratteranno le categorie dei Dati personali descritte in precedenza relativamente ai Servizi per la durata dell’accordo con Shopify.

Appendice D: Leggi sulla protezione dei dati degli Stati Uniti

La presente sezione si applica solo nella misura in cui: (i) le Leggi statunitensi sulla protezione dei dati si applicano a te e/o ai Dati personali dei tuoi Clienti in relazione all'utilizzo dei Servizi da parte tua; (ii) le seguenti disposizioni sono richieste dalle Leggi statunitensi sulla protezione dei dati; e (iii) Shopify agisce in qualità di Responsabile del trattamento dei dati o Fornitore di servizi. A scanso di equivoci, la presente Appendice D non si applica alle attività di trattamento descritte nell'Appendice E.

1. Le Parti accettano che i Termini e la presente Appendice sul trattamento dei dati costituiscano le tue istruzioni documentate relativamente al trattamento da parte di Shopify dei Dati personali dei tuoi clienti (“Istruzioni documentate”).

2. Ad eccezione di quanto stabilito nell'Appendice E, se ricevi determinati Servizi avanzati, Shopify non: (i) conserverà, utilizzerà o divulgherà i Dati personali dei tuoi clienti al di fuori del suo rapporto commerciale diretto con te né per qualsiasi altro scopo diverso da quelli limitati e specificati identificati nella presente Appendice e/o nei Termini, inclusi la fornitura, lo sviluppo e il miglioramento dei Servizi o come altrimenti consentito dalle Leggi sulla protezione dei dati degli Stati Uniti applicabili, né (ii) "venderà" o "condividerà" tali Dati personali o si impegnerà in "pubblicità mirata" con tali Dati personali ai sensi del CCPA o di altre Leggi sulla protezione dei dati degli Stati Uniti; o (iii) combinerà i Dati personali dei tuoi clienti con i Dati personali che riceve da altre fonti, in ogni caso salvo quanto consentito dalle Leggi sulla protezione dei dati degli Stati Uniti.

3. Shopify (i) fornirà lo stesso livello di protezione della privacy richiesto alle Attività o ai Titolari del trattamento dei dati da tali leggi, e ti informerà nel caso in cui ritenesse di non poter più rispettare tali obblighi, nel qual caso puoi intraprendere le misure ragionevoli e appropriate per interrompere o porre rimedio a eventuali trattamenti non autorizzati di tali Dati personali; (ii) garantirà che il personale autorizzato al trattamento dei Dati personali stipuli accordi scritti di riservatezza o sia soggetto agli obblighi di riservatezza previsti dalla legge; (iii) previa ragionevole richiesta scritta, e per consentirti di intraprendere le misure ragionevoli e appropriate per garantire che Shopify utilizzi tali Dati personali in maniera coerente alle Leggi statunitensi in materia di protezione dei dati, fornirà il report SOC2 contenente una valutazione ragionevole del programma di sicurezza delle informazioni di Shopify; e (iv) alla risoluzione dei propri Servizi con te, Shopify avvierà la propria procedura di eliminazione per cancellare, restituire o deidentificare i Dati personali dei tuoi clienti forniti per il trattamento esclusivamente in qualità di Responsabile del trattamento dei dati o di Fornitore di servizi.

4. Dichiari e garantisci che non condividerai con Shopify alcun Dato personale di individui che hanno esercitato il diritto di non partecipazione che ti sei impegnato a rispettare o qualsivoglia Dato personale sensibile di un individuo che non ha fornito il consenso al trattamento di tali dati sensibili in conformità con i requisiti previsti dalle Leggi applicabili sulla protezione dei dati.

Appendice E: Shopify come Titolare del trattamento dei dati o Azienda per Servizi avanzati

Shopify agirà come Titolare del trattamento dei dati o Azienda quando ricevi i Servizi avanzati come definito nella Sezione 9.2 dei Termini e condizioni del servizio. Shopify può aggiornare periodicamente i servizi e i prodotti per i quali agisce in qualità di Titolare del trattamento dei dati o Azienda.

Nell'ambito della fornitura dei Servizi avanzati da parte di Shopify, accetti che Shopify elabori i Dati personali dei tuoi clienti in qualità di Titolare del trattamento dei dati o Azienda ai sensi delle Leggi applicabili sulla protezione dei dati al fine di fornire, sviluppare e migliorare analisi, personalizzazione dei prodotti, pubblicità e altri servizi per te e altri merchant che integrino le interazioni e le transazioni dei tuoi clienti con il tuo negozio, con altri Merchant e con Shopify. Quando Shopify elabora i Dati personali dei tuoi clienti in questo modo, si applicano l'Informativa sulla privacy dei consumatori di Shopify e la presente Appendice E della presente Appendice sul trattamento dei dati. Puoi impedire l'utilizzo dei Dati personali dei tuoi clienti da parte di Shopify in questo modo disattivando Shopify Network Intelligence qui, anche se non potrai utilizzare determinate app o funzionalità, come specificato qui.

1. Informative sulla privacy, trasparenza e diritti. In conformità con le leggi applicabili in materia di protezione dei dati, dovrai comunicare ai soggetti interessati tutte le informazioni necessarie affinché Shopify tratti in modo lecito e corretto i Dati personali dei tuoi clienti per fornirti Servizi avanzati in relazione alla presente Appendice E dell'Appendice sul trattamento dei dati personali, anche fornendo un collegamento all'Informativa sulla privacy dei consumatori di Shopify nella tua Informativa sulla privacy e fornendo le informazioni di cui alla Sezione 1 dei Termini e condizioni del servizio.

2. Requisiti europei. Se risiedi nel SEE, nel Regno Unito o in Svizzera, o se i tuoi clienti si trovano nel SEE, nel Regno Unito o in Svizzera, accetti, dichiari e garantisci di aver ottenuto il loro consenso e di fornire loro la possibilità di esercitare il diritto di revocare il consenso, opporsi e rifiutare esplicitamente determinati trattamenti, ove richiesto dalle Leggi applicabili in materia di protezione dei dati. A scanso di equivoci, devi ottenere il consenso per la pubblicità mirata nell'ambito dei Servizi avanzati e per l'utilizzo di cookie o altre tecnologie di archiviazione locale nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati. Per ulteriori informazioni sull'implementazione di questi requisiti, clicca qui.

3. Responsabilità del Titolare del trattamento. Sei un Titolare del trattamento dei Dati personali dei tuoi clienti e dovrai determinare individualmente le finalità e le modalità del trattamento di tali Dati personali e le modalità di utilizzo e trattamento di tali Dati, inclusa la determinazione della base giuridica del trattamento ai sensi della Legge applicabile in materia di protezione dei dati. Shopify è un Titolare del trattamento dei Dati Personali dei tuoi clienti che tratta in conformità con la presente Appendice E e dovrai determinare individualmente le finalità e le modalità del trattamento di tali Dati personali e le modalità di utilizzo e trattamento di tali Dati personali, inclusa la determinazione della base giuridica del trattamento ai sensi della Legge applicabile in materia di protezione dei dati.

Ciascuna Parte è individualmente responsabile di rispondere alle Richieste dei diritti sui dati che riceve in relazione al trattamento dei Dati personali dei tuoi clienti in qualità di Titolare del trattamento dei dati.

4. Nessun effetto sulla rimanente parte dell'Appendice. La presente Appendice E non pregiudica in alcun modo i Termini, inclusa la rimanente parte della presente Appendice sul trattamento dei dati personali, che riflette un rapporto di tipo Titolare del trattamento dei dati-Responsabile del trattamento dei dati tra i Merchant e Shopify.