Condizioni per il Trattamento dei Dati da parte di YouTube

Ultimo Aggiornamento delle Condizioni: 25 Maggio, 2018

Le presenti Condizioni per il Trattamento dei Dati da parte di YouTube (inclusi gli allegati, “Condizioni per il Trattamento dei Dati”) si applicheranno al trattamento dei Dati Personali del Cliente. Le presenti condizioni operano come un addendum al contratto tra te ("Cliente") e Google con riguardo al tuo utilizzo del servizio YouTube (“Contratto”). Tale Contratto può includere le Condizioni di Servizio di YouTube oppure un accordo di licenza sui contenuti, per quanto applicabile al Cliente. Si prega di dedicare tutto il tempo necessario ad una lettura attenta di queste Condizioni per il Trattamento dei Dati.

1. Introduzione

Le presenti Condizioni per il Trattamento dei Dati riflettono l'accordo delle parti sui termini che regolano il trattamento e la sicurezza dei Dati Personali del Cliente in relazione alla Legislazione in materia di Protezione dei Dati.

2. Definizioni ed interpretazione

2.1 In queste Condizioni per il Trattamento dei Dati:

“Società affiliata” qualora non sia stata già definita nel Contratto, indica una società che controlla direttamente o indirettamente, viene controllata da una parte, oppure si trova sotto controllo comune con una parte.

“Dati Personali del Cliente” indica i contenuti audio ed audiovisivi che vengono caricati dal Cliente su YouTube secondo i termini del Contratto e che vengono trattati da Google per conto del Cliente durante la fornitura dei Servizi del Responsabile di Google.

“Data Incident” significa una violazione della sicurezza di Google che implica l'accidentale o illecita distruzione, perdita, alterazione, comunicazione o accesso non autorizzato ai Dati Personali del Cliente sui sistemi gestiti o altrimenti controllati da Google.  “Data Incidents” non ricomprende tentativi falliti o attività che non compromettono la sicurezza dei Dati Personali del Cliente, compresi tentativi di accesso falliti, pings, port scans, attacchi di denial of service (DoS), e altri attacchi di rete sui firewalls o sui sistemi connessi.

“Legislazione in materia di Protezione dei Dati” è intesa, per quanto applicabile: (a) il RGPD; e/o (b) il Federal Data Protection Act del 19 Giugno 1992 (Svizzera).

“Strumento a disposizione dell'Interessato” è inteso come uno strumento (se presente) messo a disposizione da Google agli interessati che permette a Google di rispondere direttamente ed in maniera standardizzata a determinate richieste da parte degli interessati in relazione ai Dati Personali del Cliente (per esempio, le impostazioni della pubblicità online o il plugin di opt-out nel motore di ricerca).

“SEE” significa Spazio Economico Europeo.

“RGPD” si riferisce al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 in materia di tutela delle persona fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione degli stessi, che sostituisce la Direttiva 95/46/CE.

“Google” si riferisce alla Società Google che è parte del Contratto.

“Consociate di Google che operano come Subresponsabili” ha il significato espresso nella Sezione 11.1 (Consenso all'Incarico del Subresponsabile).

“Società Google” significa Google LLC (precedentemente nota come Google Inc.), Google Ireland Limited, YouTube, LLC od ogni altra Consociata di Google LLC.

“Certificazione ISO 27001” si riferisce alla certificazione ISO/IEC 27001:2013 o ad una certificazione comparabile per i Servizi di Trattamento.

“Indirizzo Email per le Segnalazioni” si riferisce all'indirizzo email (se presente) indicato dal Cliente, attraverso l'interfaccia utente dei Servizi di Trattamento o altri strumenti forniti da Google, per ricevere determinate segnalazioni da Google con riguardo alle presenti Condizioni per il Trattamento dei Dati.

“Privacy Shield” si riferisce al quadro giuridico dell'EU-U.S. Privacy Shield e del Swiss-U.S. Privacy Shield.

"Servizi del Responsabile” è il trattamento dei Dati Personali del Cliente in conformità alle presenti Condizioni per il Trattamento dei Dati.  

“Documentazione sulla Sicurezza” è il certificato predisposto per la Certificazione ISO 27001, se presente, ed ogni altra certificazione o documentazione sulla sicurezza che Google potrebbe produrre nel rispetto dei Servizi di Trattamento.

“Misure di Sicurezza” ha il significato espresso nella Sezione 7.1.1 (Misure di Sicurezza di Google).

“Subresponsabili” sono i soggetti terzi autorizzati in conformità a queste Condizioni per il Trattamento dei Dati ad accedere e trattare i Dati Personali del Cliente al fine di fornire parte dei Servizi di Trattamento ed ogni relativo supporto tecnico.  

“Soggetti Terzi Subresponsabili” ha il significato espresso nella Sezione 11.1 (Consenso all'Incarico del Subresponsabile).

2.2 I termini “titolare”, “interessato”, “dati personali”, “trattamento”, “responsabile” e “autorità di controllo” utilizzati nelle presenti Condizioni per il Trattamento dei Dati hanno lo stesso significato previsto dal RGPD.

2.3 Ogni riferimento a quadro normativo, legge o altro atto legislativo è un riferimento ad esso per come è stato modificato o rimesso in vigore di volta in volta.

3. Durata delle presenti Condizioni per il Trattamento dei Dati

Il Periodo di efficacia ("Periodo") delle presenti Condizioni per il Trattamento dei Dati e le disposizioni di Google per i Servizi del Responsabile scatterà a partire dal 25 Maggio 2018 (o dalla data del Contratto, se successiva al 25 Maggio 2018) (“Data di Decorrenza delle Condizioni") e proseguirà fino alla cancellazione di tutti i Dati Personali del Cliente da parte di Google come descritto nelle presenti Condizioni di Trattamento dei Dati.

4. Applicazione delle presenti Condizioni per il Trattamento dei Dati

Applicazione della Legislazione in materia di Protezione dei Dati. Le presenti Condizioni per il Trattamento dei Dati si applicheranno solo nei limiti in cui la Legislazione in materia di Protezione dei Dati si applica al trattamento dei Dati Personali del Cliente, compreso se:

(a) il trattamento è svolto nel contesto delle attività di uno stabilimento del Cliente all'interno del SEE; e/o

(b) i Dati Personali del Cliente sono dati personali relativi agli interessati che si trovano all'interno del SEE ed il trattamento consiste nell'offerta di beni o servizi a loro rivolta oppure il monitoraggio del loro comportamento all'interno del SEE.

5. Trattamento dei Dati

5.1 Ruoli e Rispetto della Normativa; Autorizzazione.

5.1.1 Responsabilità del Responsabile e del Titolare.

(a) Le presenti Condizioni per il Trattamento dei Dati descrivono l'oggetto ed il trattamento dei Dati Personali del Cliente;

(b) Google è il responsabile del trattamento dei Dati Personali del Cliente ai sensi della Legislazione in materia di Protezione dei Dati;

(c) il Cliente è il titolare o il responsabile del trattamento, a seconda dei casi, dei Dati Personali del Cliente ai sensi della Legislazione in materia di Protezione dei Dati; e

(d) ciascuna delle parti sarà tenuta al rispetto degli obblighi ad essa applicabili ai sensi della Legislazione in materia di Protezione dei Dati con riguardo al trattamento dei Dati Personali del Cliente.

5.1.2 Autorizzazione da parte del Soggetto Terzo Titolare. Qualora il Cliente sia un responsabile, il Cliente garantisce a Google che le istruzioni e le azioni del Cliente riguardo ai Dati Personali del Cliente, comprese la nomina di Google in qualità di altro responsabile, sono state autorizzate dal relativo titolare.

5.2 Istruzioni del Cliente.  Il Cliente fornisce istruzioni a Google per il trattamento dei Dati Personali del Cliente solo in conformità alla legge applicabile ed alle presenti Condizioni per il Trattamento dei Dati: (a) fornire i Servizi del Responsabile ed ogni altro supporto tecnico; (b) come ulteriormente specificato attraverso l'utilizzo dei Servizi del Responsabile da parte del Cliente (compresi le impostazioni e altre funzionalità dei Servizi del Responsabile) ed ogni relativo supporto tecnico; e (c) come descritto nel modulo del Contratto, comprese le presenti Condizioni per il Trattamento die Dati.  

5.3        Conformità di Google alle Istruzioni.  Google agirà in maniera conforme alle istruzioni descritte nella Sezione 5.2 (Istruzioni del Cliente) (compresi i trasferimenti di dati) a meno che la normativa UE  o di uno Stato Membro dell'UE cui Google sia soggetto richieda un altro trattamento dei Dati Personali del Cliente da parte di Google, nel qual caso Google informerà il Cliente (a meno che la legge proibisca a Google di farlo per importanti motivi di interesse pubblico).

6. Cancellazione dei Dati

6.1 Cancellazione Durante il Periodo. 

6.1.1 Servizi del Responsabile Con la Funzionalità di Cancellazione. Nel corso del Periodo, se:

(a) le funzionalità dei Servizi del Responsabile prevedono l'opzione per il Cliente di cancellare i Dati Personali del Cliente;

(b) il Cliente utilizza i Servizi del Responsabile per cancellare determinati Dati Personali del Cliente; e

(c) i Dati Personali del Cliente cancellati non possono essere recuperati dal Cliente (ad esempio, dal "cestino"),

di conseguenza Google cancellerà tali Dati Personali del Cliente dai suoi sistemi quanto prima sia ragionevolmente possibile a meno che la normativa UE o di uno Stato Membro dell'UE ne richieda la conservazione.

6.1.2 Servizi del Responsabile Senza Funzionalità di Cancellazione. Nel corso del Periodo, se le funzionalità dei Servizi del Responsabile non prevedono l'opzione per il Cliente di cancellare i Dati Personali del Cliente, Google verrà allora incontro ad ogni ragionevole richiesta del Cliente di agevolare la cancellazione, nella misura in cui ciò è possibile tenendo conto della natura e della funzionalità dei Servizi del Responsabile. Google potrebbe richiedere il pagamento di una somma di denaro (fondata su i ragionevoli costi sostenuti da Google) per qualsiasi cancellazione di dati ai sensi di questa Sezione 6.1.2 (Servizi del Responsabile Senza Funzionalità di Cancellazione). Google fornirà al Cliente ulteriori dettagli relativi a qualsiasi costo applicabile, nonché la base del suo calcolo, prima di qualsiasi cancellazione di dati.

6.2 Cancellazione alla Scadenza del Contratto.  Alla scadenza o alla risoluzione del Contratto, il Cliente fornisce istruzioni a Google per cancellare tutti i Dati Personali del Cliente (comprese ogni copia esistente) dai sistemi di Google nel rispetto della legge applicabile. Google si atterrà a queste istruzioni quanto prima sia ragionevolmente possibile, a meno che: (i) la normativa UE o di uno Stato Membro dell'UE ne richieda la conservazione; o (ii) il Contratto viene sostituito da un nuovo contratto o condizioni tra il Cliente e Google per quanto riguarda l'utilizzo dei servizi di YouTube da parte del Cliente ed il Cliente conferma che i Dati Personali del Cliente (comprese ogni copia esistente già caricata nei Servizi YouTube) dovranno continuare ad essere trattati in conformità con le presenti Condizioni per il Trattamento dei Dati.

7. Sicurezza dei Dati

7.1 Misure di Sicurezza ed Assistenza fornita da Google.

7.1.1 Misure di Sicurezza di Google. Google implementerà e manterrà misure tecniche ed organizzative al fine di proteggere i Dati Personali del Cliente da un'accidentale o illecita distruzione, perdita, alterazione, comunicazione o accesso non autorizzato come descritto in Allegato 2 (le "Misure di Sicurezza").  Google potrà aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamento o modifiche non comportino un peggioramento della sicurezza generale dei Servizi del Responsabile.  

7.1.2 Rispetto della Sicurezza da parte dello Staff di Google. Google garantisce che tutto il personale autorizzato a trattare i Dati Personali del Cliente si è impegnato a tutelare la riservatezza o che sia tenuto a farlo nel rispetto di un idoneo obbligo di riservatezza stabilito dalla legge.

7.1.3 Assistenza di Google in materia di Sicurezza. Google assisterà (tenendo conto della natura del trattamento dei Dati Personali del Cliente e delle informazioni che Google ha a disposizione) il Cliente nel garantire la conformità con qualsiasi obbligo in capo al Cliente riguardo alla sicurezza dei dati personali ed alle violazioni dei dati personali, compresi (se applicabili) gli obblighi del Cliente previsti dagli Articoli da 32 a 34 (compresi) del RGPD:

(a) implementando e mantenendo le Misure di Sicurezza secondo quanto previsto dalla Sezione 7.1.1 (Misure di Sicurezza di Google);

(b) operando nel rispetto dei termini previsti dalla Sezione 7.2 (Data Incidents); e

(c) fornendo al Cliente la Documentazione sulla Sicurezza nel rispetto di quanto previsto dalla Sezione 7.5.1 (Revisione della Documentazione sulla Sicurezza) e le informazioni contenute nelle presenti Condizioni per il Trattamento dei Dati.

7.2 Data Incidents.

7.2.1 Segnalazione di un Data Incident. Qualora Google venisse a conoscenza di un Data Incident, Google: (a) segnalerà al Cliente prontamente e senza indebito ritardo il Data Incident; e (b) adotterà prontamente tutte le misure necessarie per minimizzare il danno e mettere in sicurezza I Dati Personali del Cliente.

7.2.2 Informazioni sul Data Incident. Le segnalazioni effettuate secondo la Sezione 7.2.1 (Segnalazione di un Data Incident) descriveranno, per quanto possibile, le caratteristiche del Data Incident, comprese le misure adottate per mitigare i rischi potenziali, nonché le misure raccomandate da Google al Cliente per gestire il Data Incident.

7.2.3 Invio della Segnalazione. Google invierà la segnalazione di qualsiasi Data Incident all'Indirizzo Email per le Segnalazioni o tramite qualsiasi altro canale diretto di comunicazione (ad esempio, via telefono o in un incontro di persona). Il Cliente adotterà tutte le ragionevoli misure atte a fornire l'Indirizzo Email per le Segnalazioni ed assicurare che l'Indirizzo Email per le Segnalazioni sia attuale e valido.

7.2.4 Segnalazioni a Soggetti Terzi. Il Cliente è l'unico responsabile per ottemperare alle disposizioni legislative applicabili al Cliente in materia di segnalazione di un Data Incident e per adempiere a qualsiasi obbligo di segnalazione a soggetti terzi relativamente ad un Data Incident.

7.2.5 Nessun Riconoscimento di Colpa da parte di Google. Le segnalazioni o le risposte a un Data Incident da parte di Google ai sensi di questa Sezione 7.2 (Data Incidents) non saranno considerate come un riconoscimento da parte di Google di una qualsiasi colpa o responsabilità con riguardo al Data Incident.

7.3        Responsabilità e Valutazione sulla Sicurezza da parte del Cliente.         

7.3.1 Responsabilità del Cliente sulla Sicurezza. Fatti salvi gli obblighi di Google ai sensi della Sezione 7.1 (Misure di Sicurezza ed Assistenza fornita da Google) e 7.2 (Data Incidents):

(a) Il Cliente è l'unico responsabile per il proprio utilizzo dei Servizi del Responsabile, compreso:

(i) fare un utilizzo appropriato dei Servizi del Responsabile al fine di garantire un livello di sicurezza adeguato rispetto al rischio per i Dati Personali del Cliente; e

(ii) proteggere le credenziali di autenticazione dell'account, i sistemi ed I dispositivi che il Cliente usa per accedere ai Servizi del Responsabile; e

(b) Google non ha un obbligo di protezione dei Dati Personali del Cliente che il Cliente stesso decide di conservare o trasferire al di fuori dei sistemi di Google o dei suoi Subresponsabili.

7.3.2 Valutazione sulla Sicurezza da parte del Cliente. Il Cliente riconosce e concorda sul fatto che (tenendo conto dello stato dell'arte, I costi di implementazione e la natura, scopo, contesto e finalità del trattamento dei Dati Personali del Cliente, così come i rischi per le persone fisiche) le Misure di Sicurezza implementate e mantenute da Google come esposto nella Sezione 7.1.1 (Misure di Sicurezza di Google) forniscono un livello di sicurezza adeguato rispetto al rischio per i Dati Personali del Cliente.

7.4 Certificazione sulla Sicurezza. Per valutare ed aiutare a garantire l'efficacia continuativa delle Misure di Sicurezza, di volta in volta, Google potrà ottenere la Certificazione ISO 27001.

7.5 Revisioni e Audits del Rispetto degli obblighi.

7.5.1 Revisione della Documentazione sulla Sicurezza. Al fine di dimostrare il rispetto da parte di Google degli obblighi previsti dalle presenti Condizioni per il Trattamento dei Dati, Google metterà la Documentazione sulla Sicurezza a disposizione del Cliente per una sua revisione.

7.5.2 Diritti di Verifica del Cliente.

(a) Google consente al Cliente o ad un auditor terzo nominato dal Cliente di condurre audits (comprese delle ispezioni) per verificare li rispetto da parte di Google dei suoi obblighi previsti dalle presenti Condizioni per il Trattamento dei Dati in conformità con la Sezione 7.5.3 (Condizioni Commerciali Aggiuntive in caso di Audit). Google contribuisce a tali attività di verifica come descritto nella Sezione 7.4 (Certificazione sulla Sicurezza) ed in questa Sezione 7.5 (Revisioni e Audits del Rispetto degli Obblighi).

(b) Il Cliente può anche condurre un'attività di audit sul rispetto da parte di Google dei suoi obblighi previsti dalle presenti Condizioni per il Trattamento dei Dati controllando il certificato predisposto per la Certificazione ISO 27001 (che riflette i risultati di un'attività di audit condotta da un auditor terzo), qualora tale certificazione sia disponibile al momento della richiesta del Cliente.

7.5.3 Condizioni Commerciali Aggiuntive in caso di Audit.

(a) Il Cliente invierà qualsiasi richiesta di verifica ai sensi della Sezione 7.5.2(a) a Google come descritto nella Sezione 12.1 (Contattare Google).

(b) A seguito della ricezione da parte di Google di una richiesta ai sensi della Sezione 7.5.3(a), Google ed il Cliente discuteranno e si accorderanno in anticipo su una ragionevole data di inizio, sullo scopo, la durata, i controlli sulla sicurezza e la riservatezza applicabili ad ogni attività di audit ai sensi della Sezione 7.5.2(a).

(c) Google potrebbe richiedere una somma di denaro (in base ai ragionevoli costi sostenuti da Google) per qualsiasi audit ai sensi della Sezione 7.5.2(a). Google fornirà al Cliente qualsiasi ulteriore dettaglio su ogni somma di denaro applicabile, e la base del calcolo della stessa, prima di qualsiasi audit. Il Cliente sarà responsabile per ogni somma di denaro richiesta da una qualsiasi auditor terzo nominato dal Cliente per effettuare tale audit.

(d) Google potrebbe opporsi ad un qualsiasi auditor terzo nominato dal Cliente per effettuare una qualsiasi verifica ai sensi della Sezione 7.5.2(a) se l'auditor non sia, secondo la ragionevole opinione di Google, adeguatamente qualificato o indipendente, oppure un concorrente di Google o comunque manifestamente inadatto. Qualsiasi opposizione di Google richiederà al Cliente di nominare un altro auditor o di condurre lui stesso la verifica.

(e) Nulla all'interno delle presenti Condizioni per il Trattamento dei Dati richiederà a Google di comunicare al Cliente o al suo auditor terzo, oppure di consentire al Cliente o al suo auditor terzo di accedere a:

(i) qualsiasi dato di qualunque altro cliente di una Società Google;

(ii) le informazioni contabili o finanziarie interne di qualsiasi Società Google;

(iii) qualsiasi segreto commerciale di una Società Google;

(iv) qualsiasi informazione che, secondo la ragionevole opinione id Google, potrebbe: (A) compromettere la sicurezza dei sistemi o degli uffici di qualsiasi Società Google; oppure (B) far sì che una Società Google violi i propri obblighi previsti dalla Legislazione in materia di Dati Personali o i suoi obblighi in materia di sicurezza e/o privacy nei confronti del Cliente o di un soggetto terzo; o

(v) qualsiasi informazione a cui il Cliente o il suo auditor terzo cerca di accedere per una qualunque ragione diversa dal rispetto secondo buona fede degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati.

8. Valutazione d'Impatto e Consultazioni

Google assisterà (tenendo conto della natura del trattamento e delle informazioni a disposizione di Google) il Cliente nel garantire il rispetto degli obblighi del Cliente ai fini delle valutazioni d'impatto in materia di protezione dei dati e previa consultazione, compresi (se applicabili) gli obblighi del Cliente previsti dagli Articoli 35 e 36 del RGPD:

(a) fornendo la Documentazione sulla Sicurezza ai sensi della Sezione 7.5.1 (Revisione della Documentazione sulla Sicurezza);

(b) fornendo le informazioni contenute nelle presenti Condizioni per il Trattamento dei Dati; e

(c) fornendo o altrimenti mettendo a disposizione, in conformità con le prassi standard di Google, altro materiale sulla natura dei Servizi del Responsabile ed il trattamento dei Dati Personali del Cliente (ad esempio, materiali del centro assistenza).

9. Diritti degli Interessati

9.1 Risposte alle Richieste degli Interessati. Se Google riceve una richiesta da un interessato in relazione ai Dati Personali del Cliente, Google dovrà:

(a) se la richiesta è inoltrata attraverso lo Strumento a disposizione dell'Interessato, rispondere direttamente alla richiesta dell'interessato in conformità con le funzionalità standard dello Strumento a disposizione dell'Interessato; o

(b) se la richiesta non è inoltrata attraverso lo Strumento a disposizione dell'Interessato, informare l'interessato affinché presenti la sua richiesta al Cliente, e il Cliente sarà responsabile per rispondere a tale richiesta.

9.2 Assistenza di Google alle Richieste degli Interessati.  Google (tenendo conto della natura del trattamento dei Dati Personali del Cliente e, se applicabile, l'Articolo 11 del RGPD) assisterà il Cliente nell'adempimento di qualsiasi obbligo del Cliente di rispondere alle richieste degli interessati, compreso (se applicabile) l'obbligo del Cliente di rispondere alle richieste di esercitare i diritti dell'interessato previsti al Capitolo III del RGPD:

(a) fornendo le funzionalità dei Servizi di Trattamento;

(b) rispettando gli impegni indicati nella Sezione 9.1 (Risposte alle Richieste degli Interessati);

(c) se applicabile ai Servizi di Trattamento, mettendo a disposizione gli Strumenti a disposizione dell'Interessato.

10. Trasferimenti di dati

10.1 Strutture per la Conservazione e il Trattamento dei Dati. Google, in conformità con la Sezione 10.2 (Trasferimenti di Dati Fuori dallo SEE e dalla Svizzera), può memorizzare e trattare i Dati Personali del Cliente negli Stati Uniti d'America e in qualsiasi altro paese in cui Google o uno dei suoi Subresponsabili di cui si avvale mantengono le proprie strutture.

10.2 Trasferimenti di dati fuori dal SEE e dalla Svizzera. Google assicurerà che:

(a) la società controllante del gruppo Google, Google LLC, mantenga l'autocertificazione basata sul Privacy Shield per sé stessa e per le società U.S. interamente controllate; e

(b) l'ambito della certificazione basata sul Privacy Shield di Google LLC include i Dati Personali del Cliente.

10.3 Informazioni sul Centro Dati. Le informazioni sull'ubicazione dei data center di Google sono disponibili all'indirizzo www.google.com/about/datacenters/inside/locations/index.html.  

11. Subresponsabili

11.1 Consenso all'Ingaggio di Subresponsabili.  Il Cliente autorizza espressamente l'ingaggio delle Affiliate di Google come Subresponsabili ("Affiliate di Google Subresponsabili"). Inoltre, il Cliente generalmente autorizza l'ingaggio di ulteriori terze parti come Subresponsabili ("Soggetti Terzi Subresponsabili").

11.2 Informazioni circa i Subresponsabili.  Le informazioni riguardanti i Subresponsabili sono disponibili al link privacy.google.com/businesses/subprocessors.

11.3 Requisiti per l'Ingaggio di Subresponsabili.  Al momento di ingaggiare qualsiasi Subresponsabile, Google:  

(a) assicurerà attraverso un contratto scritto che:

(i) il Subresponsabile accede e utilizza i Dati Personali del Cliente solo nella misura richiesta per adempiere agli obblighi ad esso subappaltati, e lo fa in conformità con il Contratto (comprese le presenti Condizioni di Trattamento dei Dati) e con il Privacy Shield; e

(ii) se il RGPD si applica al trattamento dei Dati Personali del Cliente, gli obblighi di protezione dei dati previsti all'Articolo 28(3) del RGPD sono imposti al Subresponsabile; e

(b) rimangono pienamente responsabili per tutti gli obblighi subappaltati al Subresponsabile e per tutti le azioni e le omissioni dello stesso.

12. Contattare Google; Registrazioni dei Trattamenti

12.1 Contattare Google.  Il Cliente può contattare Google in relazione all'esercizio dei suoi diritti riconosciuti in base a queste Condizioni di Trattamento dei Dati attraverso le modalità descritte al link https://support.google.com/youtube/?p=data_processing_terms_troubleshooter o attraverso ogni altro mezzo che possa essere messo a disposizione da Google di volta in volta

12.2 Registro dei Trattamenti di Google.  Il Cliente riconosce che Google è tenuto, ai sensi del RGPD, a: (a) raccogliere e conservare registrazioni di determinate informazioni, incluso il nome e i dati di contatto di ciascun responsabile del trattamento e/o del titolare per conto del quale Google agisce e (se applicabile) del loro rappresentante stabilito nel territorio dello Stato o del loro responsabile della protezione dei dati; e (b) rendere tali informazioni disponibili alle autorità di controllo. Di conseguenza, il Cliente, ove richiesto e applicabile al Cliente, fornirà tali informazioni a Google tramite l'interfaccia utente dei Servizi del Responsabile o tramite altri mezzi eventualmente forniti da Google, e utilizzerà tale interfaccia utente o gli altri mezzi per garantire che tutte le informazioni fornite siano accurate e aggiornate.

13. Responsabilità

Fermo restando qualsiasi altra clausola del Contratto, la responsabilità totale aggregata di ciascuna parte nei confronti dell'altra parte ai sensi delle presenti Condizioni per il Trattamento dei Dati sarà limitata all'importo monetario che costituisce il tetto massimo il cui pagamento deriva dalla responsabilità di tale parte ai sensi del Contratto (per chiarezza, qualsiasi esclusione delle richieste di riservatezza o di risarcimento derivante dalla limitazione di responsabilità del Contratto non si applica alle richieste di risarcimento previste dal Contratto relativo alla Legislazione sulla Protezione dei Dati). Nulla in questa Sezione 13 (Responsabilità) escluderà o limiterà la responsabilità di ciascuna parte per: (a) morte o lesioni personali derivanti dalla sua negligenza o negligenza dei suoi dipendenti o agenti; (b) frode o falsa dichiarazione fraudolenta; o (c) questioni per le quali la responsabilità non può essere esclusa o limitata dalla legge applicabile.

14. Effetti di queste Condizioni per il Trattamento dei Dati

In caso di conflitto o incongruenza tra i termini de presenti Condizioni per il Trattamento dei Dati e il resto del Contratto, i termini delle presenti Condizioni per il Trattamento dei Dati prevarranno. Fatte salve le modifiche contenute in queste Condizioni per il Trattamento dei Dati, il Contratto rimane in vigore a tutti gli effetti.

15. Modifiche a queste Condizioni per il Trattamento dei Dati

15.1 Modifiche ai Servizi del Responsabile. Google può cambiare la lista dei potenziali Servizi del Responsabile solo:

(a) per riflettere una modifica del nome del servizio;

(b) per aggiungere un nuovo servizio; o

(c) per rimuovere un servizio se o: (i) tutti i contratti per la fornitura di quel servizio sono conclusi; o (ii) Google ha ottenuto il consenso del Cliente.

15.2 Modifiche alle Condizioni per il Trattamento dei Dati.  Google può modificare le presenti Condizioni per il Trattamento dei Dati se la modifica:

(a) è espressamente permesso dalle presenti Condizioni per il Trattamento dei Dati, incluso quanto descritto nella Sezione 15.1;

(b) riflette un cambiamento nel nome o nella forma di una persona giuridica;

(c) è richiesto per rispettare la legge applicabile, un regolamento applicabile, una sentenza o linee guida emanate da un autorità regolamentare o un'agenzia governativa; o

(d) (i) non comporta un peggioramento della sicurezza complessiva dei Servizi del Responsabile; (ii) non amplia l'ambito o rimuove eventuali restrizioni sul trattamento dei Dati Personali del Cliente da parte di Google, come descritto nella Sezione 5.3 (Conformità di Google alle Istruzioni); e (iii) non ha in alcun altro modo un impatto negativo rilevante sui diritti del Cliente ai sensi delle presenti Condizioni per il Trattamento dei Dati, come ragionevolmente determinato da Google.

Allegato 1: Oggetto e Specifiche del Trattamento dei Dati

Oggetto

La fornitura di Servizi del Responsabile da parte di Google e qualsiasi relazionato supporto tecnico al Cliente.

Durata del Trattamento

Il Periodo di efficacia più il periodo che inizia a decorrere a partire dalla scadenza del Periodo di efficacia fino alla cancellazione di tutti i Dati Personali del Cliente da parte di Google in conformità con le presenti Condizioni per il Trattamento dei Dati.

Natura e Finalità del Trattamento

Google tratterà (comprese, per quanto applicabile ai Servizi del Responsabile e alle istruzioni descritte nella Sezione 5.2 (Istruzioni del Cliente), la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'alterazione, il recupero, l'utilizzo, la comunicazione, la combinazione, la cancellazione e la distruzione) i Dati Personali del Cliente allo scopo di fornire i Servizi del Responsabile e qualsiasi relativo supporto tecnico al Cliente in conformità con le presenti Condizioni per il Trattamento dei Dati.

Tipologie di Dati Personali

Le tipologie di dati personali che costituiscono i Dati Personali del Cliente sono contenuti audio e audiovisivi che vengono caricati dal Cliente su YouTube in base ai termini del Contratto e sono trattati da Google per conto del Cliente nel contesto della fornitura dei Servizi del Responsabile da parte di Google.

Allegato 2: Misure di Sicurezza

A partire dalla Data di Decorrenza delle Condizioni, Google applicherà e manterrà le Misure di Sicurezza definite nel presente Allegato 2. Google potrà aggiornare o modificare tali Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un peggioramento della sicurezza complessiva dei Servizi del Responsabile.

1.         Sicurezza dei Data Centre e della Rete

(a) Data Centre.

Infrastruttura. Google mantiene data centre geograficamente distribuiti. Google conserva tutti i dati di produzione in data centre fisicamente sicuri.

Ridondanza. I sistemi di infrastruttura sono stati progettati per eliminare singoli punti di guasto e minimizzare l'impatto dei rischi ambientali previsti. Doppi circuiti, interruttori, reti o altri dispositivi necessari aiutano a fornire questa ridondanza. I Servizi del Responsabile sono progettati per consentire a Google di eseguire determinati tipi di manutenzione preventiva e correttiva senza interruzioni. Tutte le attrezzature e le strutture ambientali sono dotate di documentate procedure di manutenzione preventiva che descrivono il processo e la frequenza delle prestazioni in conformità con le specifiche del produttore o le specifiche interne. La manutenzione preventiva e correttiva delle apparecchiature del data centre è pianificata attraverso un processo standard secondo procedure documentate.

Alimentazione elettrica. I sistemi di alimentazione elettrica del data centre sono progettati per essere ridondanti e per ricevere manutenzione senza avere impatto sulle operazioni continuative, 24 ore al giorno e 7 giorni alla settimana. Nella maggior parte dei casi, vengono fornite una fonte di alimentazione primaria e una alternativa, ciascuna con pari capacità, per i componenti di infrastruttura cruciali nel data centre. L'alimentazione di riserva è fornita da vari meccanismi, come le batterie di continuità (UPS), che forniscono una protezione di alimentazione costantemente affidabile durante i periodi di cali di utilità, blackout, sovratensione, sottotensione e condizioni di frequenza fuori tolleranza. Se l'alimentazione di rete viene interrotta, l'alimentazione di riserva è progettata per fornire energia transitoria al data centre, a piena capacità, per un massimo di 10 minuti fino a quando i sistemi di generazione diesel non subentrano. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire sufficiente energia elettrica di emergenza per far funzionare il data centre a piena capacità in genere per un periodo di alcuni giorni.

Sistemi Operativi per Server. I server di Google utilizzano sistemi operativi rinforzati che sono personalizzati per le esigenze specifiche del server dell'azienda. I dati vengono conservati utilizzando algoritmi proprietari per aumentare la sicurezza e la ridondanza dei dati. Google impiega un processo di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i Servizi del Responsabile e migliorare i prodotti di sicurezza negli ambienti di produzione.

Continuità Operativa. Google replica i dati su molteplici sistemi per aiutare a proteggere da distruzione o perdita accidentale. Google ha progettato e pianifica e collauda regolarmente i programmi di pianificazione della continuità operativa/di disaster recovery.

(b) Reti e Trasmissione.

Trasmissione dei Dati. I Data Centre sono in genere collegati tramite collegamenti privati ad alta velocità per garantire un trasferimento sicuro e rapido dei dati tra i Data Centre. Questo è progettato per impedire la lettura, la copia, la modifica o la rimozione dei dati senza autorizzazione durante il trasferimento o il trasporto elettronico o durante la registrazione su supporti di memorizzazione dei dati. Google trasferisce i dati tramite i protocolli standard di Internet.

Superficie di Attacco Esterna. Google impiega molteplici livelli di dispositivi di rete e di rilevamento delle intrusioni per proteggere la superficie di attacco esterna. Google prende in considerazione i potenziali vettori di attacco e incorpora tecnologie appositamente sviluppate in sistemi rivolti verso l'esterno.

Rilevamento delle intrusioni. Il rilevamento delle intrusioni ha lo scopo di fornire approfondimenti sulle attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti. Il rilevamento delle intrusioni di Google implica:

1. Controllare attentamente le dimensioni e la struttura della superficie di attacco di Google  attraverso misure preventive; e
2. Utilizzare controlli di rilevamento intelligenti nei punti di ingresso dati; e
3. Utilizzare tecnologie che risolvono automaticamente determinate situazioni pericolose.

Risposta agli Incidenti. Google monitora una varietà di canali di comunicazione per incidenti di sicurezza e il personale di sicurezza di Google reagirà prontamente a incidenti di cui è venuto a conoscenza.

Tecnologie di Crittografia. Google mette a disposizione la crittografia HTTPS (indicata anche come connessione SSL o TLS). I server di Google supportano lo scambio di chiavi crittografiche Diffie Hellman a curva ellittica effimera validato con RSA e ECDSA. Questi metodi di perfect forward secrecy (PFS) aiutano a proteggere il traffico e minimizzano l'impatto di una chiave compromessa o di intrusione crittografica.

2.         Accesso e Controlli del Sito

(a) Controlli del sito.

Operazione di Sicurezza del Data Centre in Loco (On-Site). I data centre di Google prevedono un responsabile delle operazioni di sicurezza in loco responsabile per tutte le funzioni di sicurezza del data centre fisico 24 ore al giorno, 7 giorni alla settimana. Il personale addetto alla sicurezza in loco monitora le Telecamere a Circuito Chiuso ("CCTV") e tutti i sistemi di allarme. Il personale addetto alla sicurezza in loco esegue regolarmente pattugliamento interno ed esterno del data centre.

Procedure di Accesso al Data Centre. Google mantiene procedure di accesso formale per consentire l'accesso fisico ai data centre. I data centre sono situati in strutture che richiedono l'accesso con scheda-chiave elettronica, con allarmi collegati all'operazione di sicurezza in loco. Tutti coloro che entrano nei data centre sono tenuti a identificarsi e a fornire prova di identità alle operazioni di sicurezza in loco. Solo i dipendenti, i collaboratori e i visitatori autorizzati possono accedere ai data centre. Solo i dipendenti e i collaboratori autorizzati possono richiedere l'accesso a tali strutture tramite scheda-chiave elettronica. Le richieste di accesso alle schede-chiavi elettroniche del data centre devono essere inoltrate in anticipo e per iscritto e richiedono l'approvazione del responsabile del richiedente e del direttore del data centre. Tutti coloro che per entrare necessitano di un accesso temporaneo al data centre devono: (i) ottenere in anticipo l'approvazione dai responsabili dei data centre per lo specifico data centre e le aree interne che desiderano visitare; (ii) sottoporsi alle operazioni di sicurezza in loco; e (iii) fare riferimento ad una registrazione di accesso al data centre approvata che indichi che l'individuo ha ottenuto l'approvazione.

Dispositivi di Sicurezza del Data Centre in Loco. I data centre di Google prevedono una scheda-chiave elettronica e un sistema di controllo degli accessi biometrico collegato a un sistema di allarme. Il sistema di controllo degli accessi monitora e registra la scheda-chiave elettronica di ciascuna persona e quando accede alle porte perimetrali, alle spedizioni e alle consegne e ad altre aree critiche. Attività non autorizzate e tentativi di accesso non riusciti vengono registrati dal sistema di controllo degli accessi e analizzati, a seconda dei casi. L'accesso autorizzato a tutte le unità operative aziendali e ai data centre è limitato in base alle zone e alle responsabilità lavorative individuali. Le porte antincendio nei data centre sono dotate di allarme. Le telecamere a circuito chiuso sono operative sia all'interno che all'esterno dei data centre. Il posizionamento delle telecamere è stato progettato per coprire aree strategiche compresi, tra gli altri, il perimetro, le porte dell'edificio del data centre e le spedizioni e le consegne. Il personale dell'unità operativa di sicurezza in loco gestisce le apparecchiature di monitoraggio, registrazione e controllo tramite telecamere a circuito chiuso. I cavi protetti in tutti i data centre sono collegati al sistema di telecamere a circuito chiuso. Le telecamere registrano in loco tramite videoregistratori digitali 24 ore al giorno, 7 giorni alla settimana. Le immagini di videosorveglianza vengono conservate per almeno 7 giorni in base all'attività.

(b) Controllo degli Accessi.

Personale per la Sicurezza delle Infrastrutture. Google ha e mantiene una politica di sicurezza per il suo personale e richiede una formazione sulla sicurezza come parte del pacchetto di formazione per il suo personale. Il personale addetto alla sicurezza dell'infrastruttura di Google è responsabile del monitoraggio continuo dell'infrastruttura di sicurezza di Google, della revisione dei Servizi del Responsabile e della risposta agli incidenti di sicurezza.

Controllo degli Accessi e Gestione dei Privilegi. Gli amministratori e gli utenti del Cliente devono autenticarsi tramite un sistema di autenticazione centrale o tramite un unico sistema di accesso per utilizzare i Servizi del Responsabile.

Processi e Politiche Interne di Accesso ai Dati - Politiche di Accesso. I processi e le politiche interne di accesso ai dati di Google sono progettati per impedire a persone e/o sistemi non autorizzati di accedere ai sistemi utilizzati per trattare dati personali. Google si propone di progettare i suoi sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati per i quali sono autorizzate ad accedere; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trattamento, l'uso e dopo la registrazione. I sistemi sono progettati per rilevare qualsiasi accesso inappropriato. Google impiega un sistema centralizzato di gestione degli accessi per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo a un numero limitato di personale autorizzato. LDAP, Kerberos e un sistema proprietario che utilizza i certificati SSH sono progettati per fornire a Google meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per garantire solo diritti di accesso approvati agli host, alle registrazioni, ai dati e alle informazioni di configurazione del sito. Google richiede l'utilizzo di univoci ID utente, password complesse, autenticazione a due fattori e elenchi di accesso attentamente monitorati per ridurre al minimo il potenziale di utilizzo non autorizzato dell'account. La concessione o la modifica dei diritti di accesso avviene in base: alle responsabilità lavorative del personale autorizzato; ai requisiti dei doveri lavorativi necessari per svolgere compiti autorizzati; e a ragioni basate sulla necessità di esserne a conoscenza. La concessione o la modifica dei diritti di accesso devono anche essere conformi alle politiche interne e alla formazione di Google sull'accesso ai dati. Le approvazioni sono gestite da strumenti del flusso di lavoro che conservano le registrazioni di controllo di tutte le modifiche. L'accesso ai sistemi viene registrato per creare una traccia di controllo per ragioni di responsabilità. Laddove le password vengono utilizzate per l'autenticazione (ad esempio, l'accesso alle workstation), vengono implementate politiche relative alle password che seguono almeno le pratiche standard del settore. Questi standard comprendono restrizioni sul riutilizzo della password e una sufficiente robustezza della password.

3.         Dati

(a) Conservazione, isolamento e autenticazione dei dati.

Google conserva i dati in un ambiente ad accesso plurimo sui server di proprietà di Google. I Dati, il database dei Servizi del Responsabile e l'architettura del file system sono replicati attraverso molteplici data centre distribuiti geograficamente. Google isola logicamente i dati di ciascun cliente. Un sistema centrale di autenticazione è utilizzato per tutti i Servizi del Responsabile per aumentare la sicurezza uniforme dei dati.

(b) Linee Guida per la Disattivazione e la Distruzione dei Dischi.

Alcuni dischi contenenti dati potrebbero riscontrare problemi di prestazioni, errori o guasti di hardware che li portano a essere disattivati ("Disco Disattivato"). Ogni Disco Disattivato è soggetto a una serie di processi di distruzione dei dati (le "Linee Guida sulla Distruzione dei Dati") prima di lasciare le sedi di Google o per il riutilizzo o la distruzione. I Dischi Disattivati vengono cancellati in un processo a fasi multiple e verificati completamente da almeno due validatori indipendenti. I risultati della cancellazione vengono registrati in base al numero di serie del Disco Disattivato per tracciabilità. Infine, il Disco Disattivato cancellato viene destinato al magazzino per il riutilizzo e la ridistribuzione. Se, a causa di un guasto dell'hardware, il Disco Disattivato non può essere cancellato, viene conservato in modo sicuro finché non può essere distrutto. Ogni struttura viene regolarmente controllata per monitorare il rispetto delle Linee guida sulla Distruzione dei Dati.

4.         Sicurezza del Personale

Il personale di Google è tenuto a comportarsi in modo coerente con le linee guida aziendali in materia di riservatezza, etica aziendale, utilizzo appropriato e standard professionali. Google svolge controlli ragionevolmente appropriati sui precedenti nella misura consentita dalla legge e in conformità con la legge nazionale ed i regolamenti applicabili in materia di diritto del lavoro.

Il personale è tenuto ad firmare un accordo di riservatezza e deve confermare il ricevimento ed il rispetto delle politiche in materia di riservatezza e privacy di Google. Il personale è sottoposto a formazione sulla sicurezza. Il Personale che gestisce i Dati Personali del Cliente è tenuto a mostrare requisiti aggiuntivi appropriati al loro ruolo. Il personale di Google non tratterà i Dati personali del Cliente senza autorizzazione.

5.         Sicurezza del Subresponsabile

Prima di ingaggiare i Subresponsabili, Google conduce un audit delle pratiche di sicurezza e privacy dei Subresponsabili per garantire che i Subresponsabili forniscano un livello di sicurezza e privacy adeguato al loro accesso ai dati e all'ambito dei servizi che sono impegnati a fornire. Una volta che Google ha valutato i rischi presentati dal Subresponsabile allora, sempre in conformità con i requisiti di cui alla Sezione 11.3 (Requisiti per l'Ingaggio di Subresponsabili), il Subresponsabile è tenuto a sottoscrivere termini contrattuali appropriati di sicurezza, riservatezza e privacy.