Shortcuts

Leggi locali sulla protezione dei dati coperte dal DPA

(Revisione 7 marzo 2024)


Il presente  
Accordo di trattamento dei dati del cliente IDEXX ("DPA") e le relative Schede dell'Accordo di trattamento dei dati applicabili (ciascuna una "Scheda DPA") si applicano al trattamento dei dati personali ("Dati personali del cliente") da parte di IDEXX per conto del cliente ("Cliente") ai sensi dell'accordo tra IDEXX e il Cliente ("Accordo") al fine di fornire i Servizi IDEXX, se e nella misura in cui i) si applica il Regolamento generale europeo sulla protezione dei dati (UE/2016/679) (GDPR); o ii) qualsiasi altra legge sulla protezione dei dati identificata di seguito.


Spazio economico europeo:
Regolamenti dell'Unione Europea e leggi degli Stati membri del SEE, diverse dal GDPR, che richiedono un contratto che regoli il trattamento dei dati personali, identico o sostanzialmente simile ai requisiti specificati nell'articolo 28 del GDPR.


Svizzera:
La legge federale svizzera sulla protezione dei dati del 19 giugno 1992; a partire dal 1° settembre 2023, la sua versione totalmente rivista del 25 settembre 2020 ("FADP"), come modificata, superata o sostituita.

Ai fini della Sezione 9 della LPD, il CP dell'UE sarà attuato per i trasferimenti verso Paesi non adeguati soggetti alla FADP, come modificata e adattata, come segue:

  1. l'Incaricato federale della protezione dei dati e delle trasparenza (IFPDT) è l'autorità di controllo competente ai sensi della clausola 13 e dell'allegato I.C delle Clausole Contrattuali Standard dell’UE.; e
  2. il diritto applicabile ai sensi della clausola 17 delle Clausole Contrattuali Standrd dell'UE è il diritto svizzero nel caso in cui il trasferimento dei dati sia soggetto esclusivamente alla FADP; e
  3. il termine "Stato membro" non deve essere interpretato in modo tale da escludere le persone interessate in Svizzera dalla possibilità di far valere i propri diritti nel loro luogo di residenza abituale (la Svizzera) ai sensi della clausola 18 delle Clausole COntrattuali Standard Dell’UECPUE; e
  4. i riferimenti al GDPR nelle Clausole Contrattuali Standard dell’ UE includeranno anche il riferimento alle disposizioni equivalenti della FADP (come modificata o sostituita).


Brasile:
Legge generale brasiliana sulla protezione dei dati, Lei Geral de Proteção de Dados Pessoais ("LGPD"). Per chiarezza, gli obblighi di IDEXX nei confronti di un Cliente ai sensi del DPA sono solo gli obblighi espliciti imposti dalla LGPD a un "Responsabile del trattamento (operador)" a beneficio di un "Titolare (controlador)" (compresa la nuova Sezione 3.5 di seguito), come "Responsabile del trattamento (operador)" e "Controllore (controlador)" sono definiti dalla LGPD:

  • 3.5 Ciascuna parte è responsabile dell'adempimento dei rispettivi obblighi ai sensi della LGPD e il Cliente impartirà solo istruzioni di trattamento, come stabilito nella sezione 3 del DPA, che consentano a IDEXX di adempiere ai propri obblighi LGPD. Ai fini della Sezione 9 del DPA, le SCC dell'UE si applicheranno ai trasferimenti verso Paesi terzi ai sensi del GDPR.


Sudafrica:
South African Protection of Personal Information Act 4 of 2013 ("POPIA"). Per chiarezza, gli obblighi di IDEXX nei confronti del Cliente ai sensi del DPA sono gli obblighi espliciti imposti dal POPIA a un "Operatore" (equivalente a "Responsabile") a beneficio di una "Parte responsabile" (equivalente a un "Titolare0"). Ciascuna parte è responsabile dell'adempimento dei rispettivi obblighi previsti dal POPIA. Ai fini della Sezione 9 del DPA, le SCC dell'UE si applicheranno ai trasferimenti verso Paesi terzi come previsto dal GDPR.
 

Regno Unito:
Il Regolamento generale sulla protezione dei dati del Regno Unito (come incorporato nel diritto del Regno Unito ai sensi dell'European Union (Withdrawal) Act del 2018), il Data Protection Act del Regno Unito del 2018, entrambi come modificati dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations del 2019, come modificato, superato o sostituito. Ai fini della Sezione 9 della LPD, per i trasferimenti verso Paesi non adeguati soggetti al Regolamento generale sulla protezione dei dati del Regno Unito, verrà attuato quanto segue. Le parti si affidano alle SCC dell'UE per i trasferimenti di Dati personali dal Regno Unito, subordinatamente alla compilazione di un "Addendum del Regno Unito alle Clausole contrattuali standard dell'UE" emesso dall'Information Commissioner's Office ai sensi della s.119A(1) del Data Protection Act 2018 (l'"Addendum del Regno Unito"). Le clausole contrattuali standard dell'UE, completate come indicato nella sezione 9 dell'Informativa sulla protezione dei dati, si applicheranno anche ai trasferimenti di tali dati personali. L'Addendum per il Regno Unito sarà considerato eseguito tra IDEXX e il Cliente e le SCC dell'UE saranno considerate modificate come specificato dall'Addendum per il Regno Unito in relazione al trasferimento di tali Dati personali.

Giappone:
Legge giapponese sulla protezione delle informazioni personali n. 57 del 2003 ("APPI"), e successive modifiche. Per chiarezza, gli obblighi di IDEXX nei confronti del Cliente ai sensi del DPA sono quelli che l'APPI richiede al Cliente in qualità di "Operatore aziendale di trattamento delle informazioni personali", per affidare il trattamento dei dati personali del Cliente a IDEXX in qualità di "persona incaricata", come tali termini sono utilizzati nell'APPI.

California:
La legge sulla privacy dei consumatori della California del 2018, come modificata dalla legge sui diritti di privacy della California, ed eventuali regolamenti correlati ("CCPA"). Gli obblighi di IDEXX nei confronti del Cliente ai sensi del DPA sono quelli che il CCPA richiede che un'"Azienda" (che è il Cliente ed è equivalente al "Titolare del trattamento" ai sensi del DPA) abbia in essere con un "Fornitore di servizi" (che è IDEXX ed è equivalente al "Fornitore di servizi ai sensi del DPA), come tali termini sono definiti dal CCPA. Inoltre:

I termini "vendere" e "condividere" hanno il significato loro attribuito dal CCPA.  Il termine "Dati personali" utilizzato nella DPA è sostituito da "Informazioni Personali". Il termine "Interessato al trattamento" utilizzato nella DPA è sostituito da "consumatore". Il termine "Categorie speciali di dati personali" utilizzato nella DPA è sostituito da "Informazioni Personali Sensibili". Per "Informazioni anonimizzate" si intendono i dati che non possono essere ragionevolmente utilizzati per dedurre informazioni su un consumatore identificato o identificabile o su un dispositivo collegato a tale persona.

La nuova sezione 3.5 è aggiunta come segue:

  • 3.5.  IDEXX deve:
  1. non vendere o condividere le Informazioni Personali;
  2. non combinare ulteriormente le informazioni personali, né conservarle, utilizzarle o divulgarle: (A) al di fuori del rapporto commerciale diretto tra IDEXX e il Cliente; o (B) per scopi diversi da quelli commerciali specificati nell'Accordo, a meno che non sia altrimenti consentito dal CCPA;
  3. su istruzione del Cliente, cessare di utilizzare le Informazioni personali sensibili per qualsiasi scopo diverso dalla fornitura dei Servizi, nella misura in cui il Fornitore sia effettivamente a conoscenza del fatto che le Informazioni personali sono Informazioni personali sensibili;
  4. astenersi dal tentare di re-identificare qualsiasi informazione de-identificata divulgata dal Cliente a IDEXX ai sensi del Contratto;
  5. astenersi dall'ottemperare alle richieste di cancellazione dei consumatori presentate direttamente a IDEXX nella misura in cui IDEXX ha raccolto, utilizzato, elaborato o conservato le informazioni personali nel suo ruolo di fornitore di servizi al Cliente;
  6. informare tempestivamente il Cliente se IDEXX stabilisce di non poter più adempiere ai propri obblighi ai sensi della legge sulla protezione dei dati della California o della presente sezione; e
  7. rimanere responsabile per le violazioni del CCPA da parte di IDEXX.