Appendice sul trattamento dei dati di Shopify

Ultimo aggiornamento: 10 settembre 2024

Appendice sul trattamento dei dati di Shopify

I. SCOPO

La presente Appendice sul trattamento dei dati di Shopify integra ed è inclusa per riferimento nei Termini e condizioni del servizio Shopify, insieme a qualsivoglia termine applicabile a qualsivoglia servizio aggiuntivo di Shopify che hai scelto di utilizzare (i “Termini”) da e tra Te (o “Merchant”) e il Soggetto contraente Shopify come stabilito nei Termini (“Shopify”), che chiariscono gli obiettivi commerciali specifici e i servizi relativi all’Appendice sul trattamento dei dati. In caso di conflitto tra i Termini e la presente Appendice sul trattamento dei dati, l’Appendice sul trattamento dei dati prevale in relazione al trattamento dei tuoi Dati personali.

Nel caso in cui il trattamento dei Dati personali ai sensi dell’Appendice sul trattamento dei dati sia soggetta ai requisiti in materia di protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (“UK”) o in Svizzera, l’Appendice C integra la presente Appendice sul trattamento dei dati. In caso di conflitto tra l’Appendice C e altre sezioni della presente Appendice sul trattamento dei dati, l’Appendice C prevale in relazione al trattamento dei tuoi Dati personali soggetti ai requisiti di privacy vigenti nel SEE, nel Regno Unito e in Svizzera.

Tu e Shopify (singolarmente una “Parte”, insieme le “Parti”), accettate che la presente Appendice sul trattamento dei dati stabilisca gli obblighi delle Parti che regolano il trattamento dei tuoi Dati personali in relazione ai Termini e al Tuo utilizzo dei Servizi. Per fugare eventuali dubbi, la presente Appendice sul trattamento dei dati non si applica al trattamento da parte di Shopify di qualsivoglia Dato personale in qualità di Titolare del trattamento dei dati, inclusi i Dati personali relativi ai Clienti che riceve come risultato della relazione diretta o dell’interazione intenzionale del Cliente con Shopify, così come mediante i servizi di Shopify rivolti al consumatore come Shop e Shop Pay.

II. DEFINIZIONI

I termini in maiuscolo utilizzati ma non definiti nella presente Appendice sul trattamento dei dati hanno lo stesso significato a loro attribuito nei Termini:

A. Legge/i applicabile/i sulla protezione dei dati: qualsivoglia legge sulla protezione dei dati o sulla privacy applicabile al trattamento dei tuoi Dati personali da parte di Shopify ai sensi dei Termini, dei relativi regolamenti di attuazione e delle legislazioni secondarie, ciascuno dei quali può essere modificato, aggiornato o sostituito di volta in volta, inclusi (se applicabile, in base alla sede o alla residenza del Merchant e/o dei tuoi Clienti):

1. la Legge sulla protezione delle informazioni personali e dei documenti elettronici 2000 del Canada;

2. la (a) Legge sulla privacy dei consumatori della California, modificata dalla Legge sui diritti alla privacy della California, la (b) Legge sulla protezione dei dati dei consumatori della Virginia, la (c) Legge sulla privacy del Colorado, la (d) Legge sulla privacy dei dati del Connecticut, la (e) Legge sulla privacy dei consumatori dello Utah, la (f) Legge sulla privacy dei consumatori dell’Oregon, la (g) Legge sulla privacy e sulla sicurezza dei dati del Texas, la (h) Legge sulla privacy dei dati dei consumatori del Montana e (i) una volta in vigore, leggi simili sulla privacy in altri stati americani (insieme, “Leggi statunitensi sulla protezione dei dati”);

3. il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (“GDPR”) e qualsivoglia legge nazionale di attuazione applicabile;

4. la Direttiva e-Privacy dell’UE (Direttiva 2002/58/CE), come modificata (“Legge e-Privacy”);

5. il Regolamento generale sulla protezione dei dati del Regno Unito (“UK GDPR”) e la Legge sulla protezione dei dati del Regno Unito del 2018;

6. la Legge sulla protezione dei dati personali di Singapore del 2012; e

7. la Legge federale sulla protezione dei dati della Svizzera

B. Cliente: un individuo o un’entità che visita, si interessa a e/o acquista un prodotto, una merce o un servizio dal/dai tuo/tuoi Negozio/i.

C. Dati personali: informazioni o dati definiti come “dati personali”, “informazioni personali” o “informazioni personali identificabili” (o termini analoghi) ai sensi delle Leggi sulla protezione dei dati applicabili dei o relative ai Tuoi Clienti che sono state rese disponibili a Shopify (o terze parti che agiscono per conto di Shopify) da Te (o da terze parti che agiscono per Tuo conto) per l’utilizzo dei Servizi, nonché altri dati personali sui Tuoi Clienti che hai scelto di condividere con Shopify per l’utilizzo dei Servizi. Per chiarezza, i Dati personali non includono dati personali relativi ai Clienti che Shopify tratta in qualità di Titolare del trattamento dei dati e/o riceve come risultato della relazione diretta o interazione intenzionale del Cliente con Shopify o con i merchant Shopify.

D. Richiesta di diritti sui dati: una richiesta valida e legale da parte di un individuo di esercitare i diritti disponibili relativi ai Dati personali ai sensi della Legge sulla protezione dei dati applicabile.

E. Titolare del trattamento dei dati: la Parte che determina le finalità e i mezzi del trattamento dei Dati personali o come altrimenti definito ai sensi di qualsivoglia Legge sulla protezione dei dati applicabile.

F. Responsabile del trattamento dei dati o Fornitore del servizio: la Parte o altra entità o attività che fornisce i servizi per conto del e tratta i Dati personali sotto la direzione e per conto del Titolare del trattamento dei dati, e deve essere interpretato conformemente alle Leggi sulla protezione dei dati applicabili.

G. Violazione dei dati personali: in relazione ai Tuoi Dati personali, da interpretarsi conformemente alla Legge sulla protezione dei dati personali applicabile.

H.Trattare,” “tratta,” o “trattamento”: (a) qualsivoglia operazione o serie di operazioni effettuata sui Dati personali o su un gruppo di Dati personali, tramite mezzi automatizzati o meno, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il recupero, la consultazione, l’utilizzo, la divulgazione mediante trasmissione, diffusione o altrimenti il rendere disponibile, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione; o (b) la definizione data a tale/i termine/i ai sensi della Legge sulla protezione dei dati applicabile.

I.Subincaricato/i”: aziende affiliate o Responsabili del trattamento dei dati di terze parti o Fornitori dei servizi che possono trattare i Dati personali sotto la direzione di Shopify al fine di fornire i Servizi.

J.Tu/Te,” “Tuo/Tuoi” o “Merchant”: significa l’attività che utilizza i Servizi e che è una Parte dei Termini con Shopify.

III. NATURA DEL TRATTAMENTO E RUOLI DELLE PARTI

Shopify riceve e tratta i Tuoi Dati personali al fine di fornirti i Servizi e come altrimenti stabilito di seguito. In base ai Servizi da Te richiesti o utilizzati, Shopify tratterà le categorie dei Dati personali indicati nell’Appendice A, secondo le modalità e le basi in essa contenute.

Shopify tratta solamente i Tuoi Dati personali in qualità di Responsabile del trattamento dei dati o Fornitore del servizio per fornire e migliorare i propri Servizi o come diversamente consentito dalle Leggi in materia di protezione dei dati applicabili. Come parte della sua fornitura e continuo miglioramento dei Servizi, Shopify può aggregare, anonimizzare o deidentificare i Tuoi Dati personali.

Nella misura in cui Shopify riceve da Te Dati personali deidentificati, Shopify manterrà e utilizzerà i dati solo in modo deidentificato.

IV. OBBLIGHI DELLE PARTI

La seguente sezione descrive i rispettivi obblighi delle Parti in relazione al trattamento dei Dati personali coperti dalla presente Appendice sul trattamento dei dati.

A. Conformità generale

1. Le Parti si impegnano a rispettare i rispettivi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati.

2. Shopify non ha l’obbligo di interpretare o avvisarti relativamente ai Tuoi obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati, incluse quelle relative ai Dati personali coperti dalla presente Appendice sul trattamento dei dati. Tu hai la responsabilità di determinare i Tuoi obblighi legali e normativi, inclusa la valutazione della coerenza delle misure tecniche e organizzative dei Servizi con i Tuoi obblighi legali e normativi indipendenti.

B. Obblighi di Shopify

1. Sicurezza dei dati
Shopify implementerà e manterrà misure tecniche e organizzative appropriate per proteggere i Tuoi Dati personali da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali, come indicato nell’Appendice B.

2. Notifica e investigazione della violazione dei dati personali
a) Come richiesto dalle Leggi applicabili in materia di protezione dei dati, Shopify ti notificherà eventuali Violazioni dei Dati personali confermate da Shopify.

b) Tale notifica deve includere le informazioni richieste ai sensi delle Leggi applicabili in materia di protezione dei dati nella misura in cui tali informazioni siano ragionevolmente disponibili a Shopify. La risposta di Shopify a, o alla notifica di, una Violazione dei Dati personali non è un riconoscimento da parte di Shopify di un errore o di una responsabilità.

c) Shopify accetta di investigare eventuali Violazioni dei dati personali e di adoperarsi in modo ragionevole per identificare, prevenire, mitigare e rimediare agli effetti.

3. Richieste di diritti sui dati
a) Nella misura richiesta ai sensi delle Leggi applicabili in materia di protezione dei dati, Shopify faciliterà la Tua possibilità di trattare e rispondere alle Richieste di diritti sui dati da parte dei Tuoi Clienti in relazione al Tuo utilizzo dei Servizi.

b) Per ottenere assistenza relativamente a qualsivoglia tale Richiesta di diritti sui dati, inoltra la Richiesta a Shopify tramite la console/il portale amministrativa/o del merchant Shopify, salvo che Shopify non Ti indichi una modalità differente.

C. Tuoi obblighi in relazione ai Dati personali

1. Avvisi sulla privacy e trasparenza : dichiari e garantisci di rispettare tutti gli obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati richiesti per fornire avvisi e trasparenza in relazione al Tuo trattamento dei Dati personali ai sensi dei Termini e in relazione al Tuo utilizzo dei Servizi. Nella misura richiesta ai sensi delle Leggi applicabili in materia di protezione dei dati, devi comunicare agli individui interessati tutte le divulgazioni necessarie per Shopify al fine di trattare in modo lecito ed equo i Dati personali in relazione alla presente Appendice sul trattamento dei dati, tra cui fornire un collegamento all’Informativa sulla Privacy di Shopify o alla Tua Informativa sulla Privacy.

2. Diritti e autorizzazioni del Cliente: dichiari e garantisci di disporre di tutti i diritti, le autorizzazioni e i consensi necessari per rendere disponibili i Dati personali a Shopify conformemente ai Termini, al Tuo utilizzo dei Servizi che ricevi e alle Leggi applicabili in materia di protezione dei dati.

3. Richieste di diritti di dati: dichiari e garantisci di fornire la possibilità ai Tuoi Clienti di esercitare Richieste di diritti di dati, come richiesto ai sensi delle Leggi applicabili in materia di protezione dei dati, in relazione a tutti i Dati personali trattati da Shopify per cui Tu sei il Titolare del trattamento dei dati.

4. Richieste di informazioni sulla regolamentazione: salvo proibito dalla legge applicabile, ci notificherai prontamente in conformità con la Clausola di notifica contenuta nei Termini di qualsiasi disputa o reclamo governativo, normativo o di terze parti riguardante il Tuo utilizzo dei Servizi.

V. LEGGI STATUNITENSI SULLA PROTEZIONE DEI DATI

La presente sezione si applica solo nella misura in cui: (i) le Leggi statunitensi in materia di protezione dei dati si applichino a Te in relazione al Tuo utilizzo dei Servizi; e (ii) le disposizioni seguenti siano richieste dalle Leggi statunitensi in materia di protezione dei dati e Tu sia un’”Azienda” o un “titolare del trattamento” ai sensi di tali leggi.

A. Shopify non: (i) conserverà, utilizzerà o divulgherà tali Dati personali al di fuori della sua relazione commerciale diretta con Te o per qualsiasi altro scopo diverso dagli scopi limitati e specificati nella presente Appendice sul trattamento dei dati e/o nei Termini, inclusa la conservazione, l’utilizzo o la divulgazione di tali Dati personali per uno scopo commerciale diverso dagli scopi limitati e specificati nella presente Appendice sul trattamento dei dati e/o nei Termini, (ii) “venderà” o “condividerà” tali Dati personali ai sensi della Legge della California sulla privacy dei consumatori; o (iii) combinerà tali Dati personali con i Dati personali che riceve da altre fonti, in ciascun caso a eccezione di quanto consentito ai sensi delle Leggi statunitensi in materia di protezione dei dati.

B. Shopify (i) fornirà lo stesso livello di protezione della privacy richiesto alle attività o ai Titolari del trattamento dei dati da tali leggi, e Ti informerà nel caso in cui ritenesse di non poter più rispettare tali obblighi, nel qual caso puoi intraprendere le misure ragionevoli e appropriate per interrompere o porre rimedio a eventuali trattamenti non autorizzati di tali Dati personali, (ii) garantirà che il personale autorizzato al trattamento dei Dati Personali stipuli accordi scritti di riservatezza o sia soggetto agli obblighi di riservatezza previsti dalla legge, (iii) previa ragionevole richiesta scritta, e per consentirti di intraprendere le misure ragionevoli e appropriate per garantire che Shopify utilizzi tali Dati personali in maniera coerente alle Leggi statunitensi in materia di protezione dei dati, fornirà il report SOC2 contenente una valutazione ragionevole del programma di sicurezza delle informazioni di Shopify; e (iv) alla risoluzione dei suoi Servizi con Te, Shopify avvierà il proprio processo di eliminazione per cancellare o deidentificare i Dati personali.

C. Dichiari e garantisci che non condividerai con Shopify alcun Dato personale di individui che hanno esercitato il diritto di non partecipazione che ti sei impegnato a rispettare o qualsivoglia Dato personale sensibile di un individuo che non ha fornito il consenso al trattamento di tali dati sensibili.

VI. VARIE ED EVENTUALI

A. Trasferimenti globali di dati
Accetti che i Dati personali possano essere trasferiti e trattati in qualsivoglia paese in cui sia presente la sede di Shopify, delle sue affiliate o dei fornitori di servizi di terze parti (inclusi Singapore e Canada). Qualsivoglia trasferimento dei Dati personali a tali destinatari verrà effettuato in conformità alle Leggi applicabili in materia di protezione dei dati. Per ulteriori informazioni sui trasferimenti internazionali di dati, per cui Shopify è soggetto ai requisiti in materia di privacy nel SEE, nel Regno Unito o in Svizzera, consulta la sezione II(B)(8) dell’Appendice C.

B. Risposta alle richieste legali

  1. Riconosci che, quando ti fornisce i Servizi, Shopify può condividere i Tuoi Dati personali (i) per essere conforme ai requisiti legali o per rispondere a ordini del tribunale o ad altre richieste governative o normative simili; o (ii) per prevenire o investigare frodi, minacce alla sicurezza fisica, attività illegali o violazioni sospette di un contratto (come i Termini) o le nostre politiche (come i nostri Termini d'uso).

  2. Prima di fornire tali Dati personali, Shopify sosterrà gli sforzi ragionevoli per garantire che tale divulgazione sia consentita ai sensi delle Leggi applicabili in materia di protezione dei dati e che tali dati verranno trattate come informazioni riservate ai sensi del quadro giuridico applicabile.

C. Divulgazione nelle transazioni aziendali
Accetti che, quando ti fornisce i Servizi, a Shopify possa essere richiesto di condividere Dati personali con controparti potenziali in transazioni aziendali o di ristrutturazione.

D. Utilizzo da parte di Shopify di Subincaricati/Fornitori di servizi

  1. Accetti che, quando ti fornisce i Servizi, Shopify possa utilizzare Subincaricati per il trattamento dei Dati personali. Shopify mantiene un elenco aggiornato di tutti i Subincaricati utilizzati. Se le Leggi applicabili in materia di protezione dei dati Ti garantiscono tali diritti, puoi obiettare all’Utilizzo da parte di Shopify di un Subincaricato, e se Shopify non è in grado o non vuole accogliere tali richieste, puoi, conformemente a tali leggi, terminare il Tuo utilizzo dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

  2. L’utilizzo di Subincaricati da parte di Shopify per il trattamento dei Dati personali che fornisci sarà conforme alle Leggi applicabili in materia di protezione dei dati. Nel caso in cui Shopify coinvolga un Subincaricato, Shopify stipulerà un accordo scritto con il Subincaricato che impone obblighi contrattuali sostanzialmente identici a quelli stabiliti nella presente Appendice sul trattamento dei dati.

E. Modifiche dell’Appendice sul trattamento dei dati
Riconosci e accetti che Shopify possa modificare la presente Appendice sul trattamento dei dati di tanto in tanto con la pubblicazione dell’Appendice sul trattamento dei dati aggiornata e riformulata sul sito web di Shopify, disponibile all’indirizzo https://shopify.com/legal/dpa e che tali modifiche all’Appendice sul trattamento dei dati entrino in vigore a decorrere dalla data di pubblicazione. La prosecuzione nell’utilizzo dei Servizi da parte Tua dopo la pubblicazione sul sito web di Shopify dell’Appendice sul trattamento dei dati modificata equivale alla Tua accettazione dell’Appendice sul trattamento dei dati modificata. Se non accetti le modifiche all’Appendice sul trattamento dei dati, non dovrai continuare a utilizzare il Servizio.

VII Appendici

  1. Appendice A - Categorie dei Dati personali
  2. Appendice B - Sicurezza dei dati
  3. Appendice C - Normativa generale sulla protezione dei dati, Normativa generale sulla protezione dei dati del Regno Unito e Appendice sul trattamento dei dati in Svizzera

APPENDICE A: CATEGORIE DEI DATI PERSONALI

Come parte del Tuo utilizzo dei Servizi, e in base ai Servizi da Te utilizzati, possiamo ricevere ed sottoporre al trattamento le seguenti categorie di Dati personali per fornire i Servizi:

  • Nome, email, contatto, informazioni di fatturazione e spedizione del Cliente.
  • Informazioni sull’acquisto e su altre transazioni dal/i Tuo/Tuoi Negozio/Negozi.
  • Aggiornamenti sullo stato della/e transazione/i con Te o il Tuo/Tuoi Negozio/i Negozi
  • Attività del Cliente nel/i Tuo/Tuoi Negozio/i, inclusi i prodotti visualizzati e/o inclusi nei carrelli.
  • Segnali di preferenza del Cliente, incluso il Controllo globale della privacy, segnali di non partecipazione e di partecipazione.
  • Informazioni sui dispositivi del Cliente per i dispositivi utilizzati durante la visualizzazione del/i Tuo/Tuoi Negozio/Negozi, inclusi indirizzo IP, browser e attività di rete.
  • Altre informazioni sulle interazioni dei Clienti con Te.
  • Qualsivoglia altro Dato personale che hai deciso di rendere disponibile a Shopify.

APPENDICE B: SICUREZZA DEI DATI

Shopify manterrà un programma di sicurezza delle informazioni volto a (a) consentirti di proteggere i Tuoi Dati personali da trattamenti non autorizzati o illegali e da perdite, distruzioni, danni, furti, alterazioni o divulgazioni accidentali; (b) identificare rischi ragionevolmente prevedibili alla sicurezza e la disponibilità dei Servizi da Te ricevuti; e (c) ridurre al minimo i rischi di sicurezza relativi ai Servizi.

I. Il programma di sicurezza della informazioni di Shopify includerà le seguenti misure di salvaguardia:

A. Logical Security

  1. Controlli degli accessi Shopify renderà i propri sistemi accessibili solo al personale autorizzato e solo nella misura necessaria per mantenere e fornire i Servizi. Shopify manterrà controlli degli accessi e politiche volte a gestire le autorizzazioni per l’accesso ai propri sistemi, incluso mediante l’utilizzo di firewall e/o altri tipi di tecnologie e controlli dell’autenticazione.

  2. Accesso limitato degli utenti Shopify (i) fornirà e limiterà l’accesso ai propri sistemi in conformità ai principi di privilegio più recenti in base alle funzioni lavorative del personale e (ii) richiederà l’autenticazione a due fattori (2FA) per l’accesso ai propri sistemi.

  3. Valutazioni delle vulnerabilità Shopify manterrà un programma di valutazione delle vulnerabilità e di test di penetrazione, che ha la responsabilità di investigare e monitorare i problemi rilevati relativamente ai Servizi fino alla risoluzione, se necessario.

  4. Sicurezza dell’applicazione Shopify mantiene un programma di sicurezza dell’applicazione responsabile della protezione dei Servizi da minacce alla sicurezza dell’applicazione.

  5. Gestione delle modifiche Shopify manterrà i controlli preposti ad accedere, autorizzare, testare, approvare e documentare le modifiche alle risorse dei Servizi esistenti e documenterà i dettagli delle modifiche all’interno degli strumenti di gestione delle modifiche o di distribuzione. Shopify testerà le modifiche in base ai suoi standard di gestione delle modifiche prima della migrazione alla produzione.

  6. Integrità dei dati A seconda dei casi, Shopify manterrà dei controlli volti a fornire l’integrità dei dati durante la trasmissione, l’archiviazione e il trattamento all’interno dei Servizi.

  7. Disponibilità Shopify (i) implementerà la ridondanza dove necessario affinché i Servizi riducano al minimo l’effetto di un malfunzionamento dei Servizi, (ii) progetterà i Servizi per anticipare e tollerare errori e (iii) implementerà i processi appropriati per spostare il traffico dei Dati personali dalle aree interessate quando necessario per eseguire ripristini dopo un guasto.

  8. Continuità operativa e ripristino in caso di disastro Shopify manterrà un programma di gestione dei rischi volto a supportare la continuità delle proprie funzioni operative critiche, inclusi i processi e le procedure per l’identificazione di, la risposta a, e il ripristino in caso di eventi che potrebbero impedire o materialmente compromettere la fornitura da parte di Shopify dei Servizi da Te ricevuti.

  9. Gestione degli incidenti Shopify fornisce la documentazione necessaria affinché Tu possa segnalare incidenti relativi alla sicurezza o alla disponibilità, porre domande relative alla sicurezza o alla disponibilità e inviare informazioni su problemi potenziali relativi alla sicurezza o alla disponibilità. Shopify manterrà piani di azioni correttive e piani di risposta agli incidenti volti a rilevare, mitigare, investigare e rispondere alle potenziali minacce alla sicurezza dei Servizi.

B. Sicurezza fisica Se necessario per proteggere i Servizi, Shopify (i) implementerà misure ragionevoli volte a impedire accessi fisici , danni, o interferenze non autorizzati ai Servizi, (ii) utilizzerà dispositivi di controllo appropriati volti a limitare l’accesso fisico ai Servizi solamente al personale autorizzato che dispone di una necessità aziendale legittima per tale accesso e (iii) effettuerà verifiche periodiche per convalidare l’adesione a tali standard.

C. Dipendenti di Shopify I dipendenti di Shopify che dispongono dell’autorizzazione per accedere ai Dati personali sono vincolati da obblighi di riservatezza come parte dei relativi termini di assunzione. Shopify implementerà e manterrà programmi di formazione sulla sicurezza relativamente ai requisiti di sicurezza delle informazioni di Shopify. I programmi di formazione sulla consapevolezza relativa alla sicurezza verranno sottoposti a verifica e aggiornati periodicamente.

II. Modifiche alla presente Appendice

Shopify revisiona, di tanto in tanto, le proprie misure di sicurezza e può aggiornare la presente Appendice a sua sola discrezione. Eventuali aggiornamenti sostituiranno le versioni precedenti della presente Appendice a partire dalla data di pubblicazione della versione aggiornata da parte di Shopify.

APPENDICE C: NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI, NORMATIVA GENERALE SULLA PROTEZIONE DEI DATI DEL REGNO UNITO E APPENDICE SUL TRATTAMENTO DEI DATI IN SVIZZERA

Nel caso in cui il trattamento dei Dati personali ai sensi dell’Appendice sul trattamento dei dati sia soggetto ai requisiti in materia di protezione dei dati nello Spazio economico europeo (“SEE”), nel Regno Unito (UK) o nella Svizzera (collettivamente, “Leggi europee in materia di protezione dei dati”), l’Appendice C integra la presente Appendice sul trattamento dei dati.

I. Natura del trattamento e ruolo delle Parti

A. Dati personali

  1. Ai sensi della presente Appendice agisci in qualità di Titolare del trattamento dei dati e Shopify agisce in qualità di Responsabile del trattamento dei dati relativamente al trattamento dei Tuoi Dati personali come descritto nell’Allegato 1, se necessario per soddisfare gli obiettivi aziendali indicati nei Termini e fornirti i Servizi che hai scelto di utilizzare.
  2. A scanso di equivoci, Shopify agisce in qualità di Titolare del trattamento dei dati indipendente relativamente ai Dati personali dei Clienti che Shopify riceve come risultato della relazione diretta o da interazioni intenzionali del Cliente con Shopify, come descritto nell’Informativa sulla privacy di Shopify.

II. Obblighi delle Parti

A. Tuoi obblighi

Devi essere conforme:

  • alle Leggi europee in materia di protezione dei dati che ti vincolano nell’esecuzione della presente Appendice: e
  • ai Tuoi obblighi indicati nell’Appendice sul trattamento dei dati, inclusi i Tuoi obblighi indicati nella presente Appendice.

Dichiari e garantisci di disporre di una base legale valida per il trattamento dei Dati personali (incluso il rendere tali dati disponibili a Shopify) e di aver ottenuto i consensi, i diritti e le autorizzazioni necessari e di aver fornito gli avvisi necessari agli individui relativamente alla divulgazione da parte Tua dei Dati personali a Shopify per consentire il trattamento da parte di Shopify dei Dati personali al fine di fornire i Servizi, come richiesto dalle Leggi europee in materia di protezione dei dati.

B. Obblighi di Shopify

1. Istruzioni del Titolare del trattamento e violazione delle Leggi europee in materia di protezione dei dati

a) Le Parti accettano che i Termini e la presente Appendice sul trattamento dei dati costituiscano le Tue istruzioni documentate relativamente al trattamento da parte di Shopify dei Tuoi Dati personali (“Istruzioni documentate”).

b) Shopify tratterà i Dati personali in qualità di Responsabile del trattamento solamente: (i) in conformità alle Tue Istruzioni documentate o (ii) al fine di essere conforme agli obblighi di Shopify ai sensi delle leggi applicabili, soggette a qualsivoglia requisito di avviso ai sensi dell’Unione europea o della legge degli stati membri dell’Unione europea a cui Shopify è soggetto.

c) Shopify ti avviserà nel caso in cui riceva un’istruzione che ritenga ragionevolmente violare le Leggi europee in materia di protezione dei dati (ma Shopify non ha l’obbligo di monitorare attivamente la Tua conformità alle Leggi europee in materia di protezione dei dati).

2. Obbligo di riservatezza

Shopify garantirà che le persone autorizzate al trattamento dei Dati personali abbiano stipulato accordi di riservatezza scritti o che siano soggette a obblighi legali di riservatezza.

3. Misure di sicurezza

a) Shopify implementa e mantiene misure tecniche e organizzative appropriate per proteggere i Tuoi Dati personali da trattamenti non autorizzate o illegali e da perdite accidentali, distruzioni, danni, furti, accessi non autorizzati, alterazioni o divulgazioni, come indicato nell’Allegato 2.

b) Tenendo conto della natura dei Dati personali e del relativo trattamento, Shopify fornisce l’assistenza da Te ragionevolmente richiesta per aiutarti ad adempiere ai Tuoi obblighi di sicurezza previsti dalle Leggi europee in materia di protezione dei dati.

c) Shopify ti avvisa, senza ritardo immotivato, di una violazione della sicurezza che porta all’accidentale o illegale distruzione, perdita, alterazione, divulgazione non autorizzata di, o l’accesso ai, Tuoi Dati personali trasmessi, archiviati o altrimenti trattati.

d) Shopify accetta di investigare tale violazione della sicurezza e di adoperarsi in modo ragionevole per mitigare gli effetti.

4. Subincaricati

a) Autorizzi genericamente Shopify ad assumere Subincaricati per il trattamento dei Dati personali. Accetti anche che Shopify possa assumere i propri affiliati come Subincaricati.

b) L’uso da parte di Shopify di Subincaricati per il trattamento dei Tuoi Dati personali sarà in conformità alle Leggi europee in materia di protezioni dei dati.

c) Shopify mantiene un elenco aggiornato di tutti i Subincaricati come indicato nell’Allegato 3. Shopify aggiornerà l’elenco dei Subincaricati in modo appropriato e ti consentirà di ricevere avvisi in caso dell’aggiunta o della sostituzione di un Subincaricato. Puoi obiettare all’uso da parte di Shopify di un Subincaricato.

d) Nella misura in cui obietti all’uso da parte di Shopify di un Subincaricato, e Shopify non sia in grado di o non voglia accogliere tali richieste, puoi terminare il Tuo utilizzo da parte dei Servizi interessati entro 30 giorni da tale notifica conformemente ai Termini.

e) Nel caso in cui Shopify assuma un nuovo Subincaricato, Shopify stipulerà un contratto scritto con tale Subincaricato e Shopify imporrà, al Subincaricato, obblighi contrattuali sostanzialmente uguali a quelli indicati nella presente Appendice sul trattamento dei dati. Shopify è completamente responsabile per gli atti e le omissioni dei suoi Subincaricati nella stessa misura in cui Shopify sarebbe responsabile se eseguisse i servizi di ciascun Subincaricato direttamente ai sensi dei termini della presente Appendice sul trattamento dei dati. La responsabilità di Shopify sarà comunque soggetta alle condizioni e alla limitazione di responsabilità indicata nei presenti Termini.

5. Assistenza al Titolare del trattamento
Tenendo conto della natura dei Tuoi Dati personali e del relativo trattamento, Shopify fornisce l’assistenza da Te ragionevolmente richiesta per aiutarti ad adempiere ai Tuoi obblighi:

  • per rispondere alle Richieste di diritti sui dati ai sensi delle Leggi europee in materia di protezione dei dati;
  • per notificare alle autorità competenti e/o i soggetti dei dati un’eventuale Violazione dei dati;
  • per condurre valutazioni sull’impatto della protezione dei dati e consultazioni preliminari;
  • per garantire la sicurezza del trattamento in conformità alla sezione 3.

6. Valutazione della conformità

a) Shopify può adempiere al diritto di controllo da parte Tua ai sensi delle Leggi europee in materia di protezione dei dati relativamente al trattamento dei dati personali fornendoti, previa richiesta scritta da parte tua e soggetta alla riservatezza:

(i) i risultati del report di audit più recente di Shopify, sia dai controlli di Shopify stesso sia preparati da un revisore di terze parti indipendente;
(ii) informazioni aggiuntive in controllo di Shopify nel caso in cui un’autorità nell’ambito della protezione dei dati o governativa lo richieda.

b) A condizione che, e solo nella misura in cui le Leggi europee in materia di protezione dei dati Ti concedano questo diritto, puoi esercitare il Tuo diritto di Verifica: (i) nella misura in cui un revisore indipendente riconosciuto a livello internazionale attesti che l’audit di Shopify non fornisca informazioni sufficienti affinché Tu sia in grado di verificare la conformità di Shopify con la presente Appendice sul trattamento dei dati e con le Leggi europee in materia di protezione dei dati o (ii) nella misura necessaria affinché Tu possa rispondere a un audit di un’autorità governativa. Ciascun audit deve essere conforme ai parametri seguenti: (i) essere condotto da una terza parte indipendente che stipulerà un accordo di riservatezza con Shopify; (ii) essere limitato alle questioni ragionevolmente richieste, e a quanto concordato reciprocamente, affinché Tu possa verificare la conformità di Shopify alla presente Appendice sul trattamento dei dati e la conformità delle parti con le Leggi europee in materia di protezione dei dati; (iii) essere condotto in una data e in un orario concordati di comune accordo e solo durante il regolare orario di lavoro di Shopify; (iv) non deve svolgersi più di una volta all’anno (salvo diversamente richiesto ai sensi delle Leggi europee in materia di protezione dei dati); (v) deve riguardare solo le strutture controllate da Shopify; (vi) deve limitare le conclusioni solamente ai Dati personali; e (vii) deve trattare i risultati come informazioni riservate nella misura massima consentita dalle Leggi europee in materia di protezione dei dati. Per chiarimenti, Shopify sarà conforme a qualsivoglia Tuo diritto ai sensi della presente sezione 6 conformemente ai suoi obblighi di riservatezza con terze parti.

7. Termine del trattamento

a) Durante l’utilizzo dei Servizi da parte Tua, puoi utilizzare gli strumenti dell’account per accedere, restituire o eliminare Dati personali.

b) Successivamente alla risoluzione. Shopify, a Tua scelta, eliminerà o restituirà i Tuoi Dati personali. Nonostante quanto sopra, Shopify può conservare i Dati personali: (i) come richiesto dalla legge, incluse le Leggi europee in materia di protezione dei dati; e (ii) conformemente alle sue politiche standard di backup dei dati o conservazione dei record, a condizione che, in ciascun caso, Shopify mantenga la riservatezza di, e altrimenti rispetti le disposizioni applicabili della presente Appendice sul trattamento dei dati in relazione a, Dati personali conservati, e non Tratti ulteriormente Dati personali fatto salvo per gli scopi e per la durata permessi ai sensi di tali leggi applicabili.

8. Trasferimenti internazionali

a) Soggetto al rispetto delle Leggi europee in materia di protezione dei dati, Shopify International Ltd. può trasferire i Dati personali trattati ai sensi della presente Appendice al di fuori del SEE, del Regno Unito e della Svizzera se necessario per fornire i suoi Servizi (“Trasferimenti internazionali”).

b) Tali trasferimenti consistono principalmente nel trasferimento di Dati personali a Shopify Inc., con sede legale in Canada che beneficia di una decisione della Commissione europea 2002/2/EC del 20 dicembre 2001 sulla protezione adeguata dei dati personali prevista dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici.

c) Qualsivoglia Trasferimento internazionale verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi europee in materia di protezione dei dati sarà soggetto a misure di salvaguardia appropriate inclusi i seguenti meccanismi di trasferimento:

  • i moduli rilevanti ai sensi delle Clausole contrattuali tipo approvate del 2021 dalla Commissione europea nella decisione 2021/914/EC in data 4 giugno 2021;
  • l’Addendum al trasferimento internazionale dei dati alle clausole contrattuali tipo della Commissione europea per i trasferimenti dei dati internazionali emesso dall’ufficio del commissario all'informazione del Regno Unito ai sensi dell’S119A(1) della Legge sulla protezione dei dati del Regno Unito del 2018;
  • le Clausole contrattuali tipo del 2021 modificate per soddisfare i requisiti della Legge federale sulla protezione dei dati della Svizzera (come modificata di volta in volta) del 19 giugno 1992 e revisionata il 25 settembre 2001; e
  • qualsivoglia clausola contrattuale tipo, addendum internazionale sul trasferimento dei dati o altra clausola, addenda o meccanismi di trasferimento che potrebbero sostituire le clausole e l’addendum correnti.

d) Shopify può, a sua sola discrezione, sostituire qualsivoglia meccanismo di trasferimento al fine di garantire che i trasferimenti dei dati siano conformi alle leggi applicabili. Se un trasferimento si basa su clausole contrattuali tipo e tali clausole sono aggiornate da autorità competenti, tali clausole aggiornate o accordi similari verranno incorporati nella presente Appendice sul trattamento dei dati come se fossero qui pienamente dichiarati.

ALLEGATO 1 - DATI PERSONALI

DESCRIZIONE DEL TRATTAMENTO DEI DATI PERSONALI

I. Oggetto del trattamento

Fornitura dei Servizi Shopify al Merchant.

II - Categorie dei Soggetti dei dati

Clienti del Merchant.

III. Categorie dei Dati personali trattati

Vedere l’Appendice A precedente.

IV. Frequenza del trasferimento

Continuo.

V. Natura del trattamento

Raccolta, registrazione, ricezione, accesso, utilizzo, trasferimento ed eliminazione dei Dati personali come descritto nei Termini.

VI. Scopi per i quali i Dati personali vengono trattati per conto del Titolare del trattamento

Per le prestazioni e il miglioramento dei Servizi come descritto nei Termini.

VII. Durata del trattamento

Durata dei Servizi ai sensi dei Termini o del contratto applicabile, più il periodo dopo tale scadenza fino all’anonimizzazione, alla restituzione o all’eliminazione dei dati.

VIII. Autorità di supervisione competente L’autorità di supervisione competente sarà la Commissione irlandese per la protezione dei dati.

ALLEGATO 2 - MISURE DI SICUREZZA

Le informazioni sulle misure di sicurezza sono fornite nell’Appendice B dell’Appendice sul trattamento dei dati.

ALLEGATO 3 - ELENCO DEI SUBINCARICATI

i Subincaricati utilizzati da Shopify per la prestazione dei Servizi ai sensi dei Termini sono elencati qui.

I Subincaricati tratteranno le categorie dei Dati personali descritte in precedenza relativamente ai Servizi per la durata dell’accordo con Shopify.