ECRETO DEL DIRETTORE GENERALE - N. 180-DG del 07/03/2025 - Allegato Utente 2 (A02)

Clausole contrattuali tipo dell’UE (da titolare del trattamento a titolare del trattamento)

EU Standard Contractual Clauses (Controller to Controller)

Con riferimento al contratto per la conduzione della Sperimentazione Clinica stipulato per lo studio: “Studio randomizzato, in aperto, di fase 3 di amivantamab + FOLFIRI rispetto a cetuximab/bevacizumab

+ FOLFIRI in partecipanti con carcinoma del colon-retto recidivante, non resecabile o metastatico KRAS/NRAS e BRAF wild-type che hanno ricevuto una precedente chemioterapia” Prot. 61186372COR3002 (“Contratto di sperimentazione clinica”) firmato da e tra FONDAZIONE IRCCS ISTITUTO NAZIONALE DEI TUMORI,

con sede legale in ▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇▇▇ ▇, cap. 20133, Codice Fiscale n. 80018230153 e Partita IVA n. 04376350155, in persona del Direttore Generale Dr.ssa ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ (di seguito “ENTE”) e ▇▇▇▇▇▇▇- CILAG SpA, con sede in ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇/▇ ▇▇▇▇▇▇ (▇▇), C.F. 00962280590 e P.

IVA n. 02707070963 (di seguito “▇▇▇▇▇▇▇")

With reference to the Clinical Trial Agreement for the Drugs entitled: “A Randomized, Open-label Phase 3 Study of Amivantamab + FOLFIRI Versus Cetuximab/Bevacizumab + FOLFIRI in Participants With KRAS/NRAS and BRAF Wild-type Recurrent, Unresectable or Metastatic Colorectal Cancer Who Have Received Prior Chemotherapy" Prot. 61186372COR3002 (“Clinical Trial Agreement”) signed by and between FONDAZIONE IRCCS ISTITUTO NAZIONALE DEI TUMORI, con sede

legale in ▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇▇▇ ▇, cap. 20133, Codice Fiscale n. 80018230153 e Partita IVA n. 04376350155, in persona del Direttore Generale Dr. ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ (di seguito “ENTE”) and ▇▇▇▇▇▇▇-CILAG SpA, with headquarters at ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇/▇ ▇▇▇▇▇▇ (▇▇), with Tax Code 00962280590 and VAT No. 02707070963 (hereinafter the “▇▇▇▇▇▇▇")

SEZIONE I

Clausola 1 Scopo e ambito di applicazione

SECTION I

Clause 1 Purpose and scope

a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1) in caso di trasferimento di dati personali verso un Paese terzo.

b) Le Parti:

i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le “entità”) che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito “esportatore”), e

(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (1) for the transfer of personal data to a third country.

(b) The Parties:

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and

ii) la o le entità di un Paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito “importatore”)

hanno accettato le presenti clausole contrattuali tipo (di seguito: “clausole”).

c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B

d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.

Clausola 2 Effetto e invariabilità delle clausole

(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’) have agreed to these standard contractual clauses (hereinafter: ‘Clauses’).

(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2 Effect and invariability of the Clauses

a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.

b) Le presenti clausole non pregiudicano

gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.

Clausola 3 Terzi beneficiari

(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46(2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.

(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3 Third-party beneficiaries

a) Gli interessati possono invocare e far	(a) Data subjects may invoke and
valere le presenti clausole, in qualità di terzi	enforce these Clauses, as third-party
beneficiari, nei confronti dell’esportatore e/o	beneficiaries, against the data exporter
dell’importatore, con le seguenti eccezioni:	and/or data importer, with the following
i) clausola 1, clausola 2, clausola 3,	exceptions:
clausola 6, ▇▇▇▇▇▇▇▇ 7;	(i) Clause 1, ▇▇▇▇▇▇ 2, ▇▇▇▇▇▇ 3, ▇▇▇▇▇▇
ii) clausola 8 – clausola 8.5, lettera e) e	6, ▇▇▇▇▇▇ 7;
clausola 8.9, lettera b);	(ii) Clause 8 –Clause 8.5 (e) and ▇▇▇▇▇▇
iii) (lasciato intenzionalmente vuoto);	8.9(b);
iv) clausola 12 – clausola 12, lettere a) e	(iii) (intentionally left blank);
d);	(iv) Clause 12 –Clause 12(a) and (d);
v) clausola 13;	(v) Clause 13;
vi) clausola 15.1, lettere c), d) ed e);	(vi) Clause 15.1(c), (d) and (e);
vii) clausola 16, lettera e);	(vii) Clause 16(e);
viii) clausola 18 – clausola 18, lettere a) e	(viii) Clause 18 –Clause 18(a) and (b).
b).	(b) Paragraph (a) is without prejudice to
b) La lettera a) lascia impregiudicati i	rights of data subjects under Regulation
diritti degli interessati a norma del	(EU) 2016/679.
regolamento (UE) 2016/679.
Clausola 4 Interpretazione	Clause 4 Interpretation
a) Quando le presenti clausole	(a) Where these Clauses use terms that
utilizzano termini che sono definiti nel	are defined in Regulation (EU) 2016/679,
regolamento (UE) 2016/679, tali termini	those terms shall have the same meaning as
hanno lo stesso significato di cui a detto	in that Regulation.
regolamento.	(b) These Clauses shall be read and
b) Le presenti clausole vanno lette e	interpreted in the light of the provisions of
interpretate alla luce delle disposizioni del	Regulation (EU) 2016/679.
regolamento (UE) 2016/679.	(c) These Clauses shall not be
c) Le presenti clausole non devono	interpreted in a way that conflicts with rights
essere interpretate in un senso che non sia	and obligations provided for in Regulation
conforme ai diritti e agli obblighi previsti dal	(EU) 2016/679.
regolamento (UE) 2016/679.
Clausola 5 Gerarchia	Clause 5 Hierarchy
In caso di contraddizione tra le presenti	In the event of a contradiction between these
▇▇▇▇▇▇▇▇ e le disposizioni di accordi correlati,	Clauses and the provisions of related
vigenti tra le parti al momento	agreements between the Parties, existing at
dell’accettazione delle presenti clausole, o	the time these Clauses are agreed or entered
conclusi successivamente, prevalgono le	into thereafter, these Clauses shall prevail.
presenti clausole.
Clausola 6 Descrizione dei trasferimenti	Clause 6 Description of the transfer(s)
I dettagli dei trasferimenti, in particolare le	The details of the transfer(s), and in
categorie di dati personali trasferiti e le	particular the categories of personal data that
finalità per le quali i dati sono trasferiti, sono	are transferred and the purpose(s) for which
specificati nell’allegato I.B.

	they are transferred, are specified in Annex I.B.
Clausola 7 – Clausola di adesione successiva facoltativa	Clause 7 – Optional Docking clause
a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A. b) Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A. c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.	(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A. (b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A. (c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SEZIONE II – OBBLIGHI DELLE PARTI	SECTION II – OBLIGATIONS OF THE PARTIES
Clausola 8 Garanzie in materia di protezione dei dati	Clause 8 Data protection safeguards
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.	The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Limitazione delle finalità L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B. Può trattare i dati personali per un’altra finalità soltanto: i) se ha ottenuto il consenso preliminare dell’interessato; ii) se il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o	8.1 Purpose limitation The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B. It may only process the personal data for another purpose: (i) where it has obtained the data subject’s prior consent; (ii) where necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or

iii) se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

8.2 Trasparenza

a) Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l’importatore li informa, direttamente o tramite l’esportatore, circa:

i) la sua identità e i suoi dati di contatto;

ii) le categorie di dati personali trattati;

iii) il diritto di ottenere una copia delle presenti clausole;

iv) qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento successivo e il motivo dello stesso in conformità della clausola 8.7.

b) La lettera a) non si applica se l’interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall’esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore. In quest’ultimo caso l’importatore, per quanto possibile, rende pubbliche le informazioni.

c) Su richiesta, le parti mettono gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.

d) Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti

(iii) where necessary in order to protect the vital interests of the data subject or of another natural person.

8.2 Transparency

(a) In order to enable data subjects to effectively exercise their rights pursuant to Clause 10, the data importer shall inform them, either directly or through the data exporter:

(i) of its identity and contact details;

(ii) of the categories of personal data processed;

(iii) of the right to obtain a copy of these Clauses;

(iv) where it intends to onward transfer the personal data to any third party/ies, of the recipient or categories of recipients (as appropriate with a view to providing meaningful information), the purpose of such onward transfer and the ground therefore pursuant to Clause 8.7.

(b) Paragraph (a) shall not apply where the data subject already has the information, including when such information has already been provided by the data exporter, or providing the information proves impossible or would involve a disproportionate effort for the data importer. In the latter case, the data importer shall, to the extent possible, make the information publicly available.

(c) On request, the Parties shall make a copy of these Clauses, including the Appendix as completed by them, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the Parties may redact part of the text of the Appendix prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information.

(d) Paragraphs (a) to (c) are without prejudice to the obligations of the data

all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.

exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.3 Esattezza e minimizzazione dei dati

a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

b) Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’altra parte.

c) L’importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

8.3 Accuracy and data minimisation

(a) Each Party shall ensure that the personal data is accurate and, where necessary, kept up to date. The data importer shall take every reasonable step to ensure that personal data that is inaccurate, having regard to the purpose(s) of processing, is erased or rectified without delay.

(b) If one of the Parties becomes aware that the personal data it has transferred or received is inaccurate, or has become outdated, it shall inform the other Party without undue delay.

(c) The data importer shall ensure that the personal data is adequate, relevant and limited to what is necessary in relation to the purpose(s) of processing.

8.4 Limitazione della conservazione L’importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o l’anonimizzazione (2) dei dati e di tutti i backup alla fine del periodo di conservazione.

8.4 Storage limitation

The data importer shall retain the personal data for no longer than necessary for the purpose(s) for which it is processed. It shall put in place appropriate technical or organisational measures to ensure compliance with this obligation, including erasure or anonymisation (2)of the data and all back-ups at the end of the retention period.

8.5 Sicurezza del trattamento

a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito “violazione dei dati personali”). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in

8.5 Security of processing

(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the personal data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (hereinafter ‘personal data breach’). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subject. The Parties shall in particular consider having recourse to encryption or

particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.

b) Le parti concordano le misure tecniche e organizzative di cui all’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.

c) L’importatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

d) In caso di una violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.

e) In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l’importatore informa l’esportatore e l’autorità di controllo competente in conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione),

ii) le sue probabili conseguenze, iii) le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni contestualmente, l’importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo.

f) In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua

pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner.

(b) The Parties have agreed on the technical and organisational measures set out in ▇▇▇▇▇ ▇▇. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

(c) The data importer shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

(d) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the personal data breach, including measures to mitigate its possible adverse effects.

(e) In case of a personal data breach that is likely to result in a risk to the rights and freedoms of natural persons, the data importer shall without undue delay notify both the data exporter and the competent supervisory authority pursuant to Clause 13. Such notification shall contain i) a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), ii) its likely consequences, iii) the measures taken or proposed to address the breach, and iv) the details of a contact point from whom more information can be obtained. To the extent it is not possible for the data importer to provide all the information at the same time, it may do so in phases without undue further delay.

(f) In case of a personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the data importer shall also notify without undue delay the data subjects concerned of the personal data breach and its nature, if necessary in cooperation with the data

natura, se necessario in cooperazione con l’esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l’importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest’ultimo caso, l’importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali.

g) L’importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro.

8.6 Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo “dati sensibili”), l’importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all’ulteriore divulgazione.

8.7 Trasferimenti successivi L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea

(3) (nel suo stesso Paese o in un altro Paese terzo - di seguito: “trasferimento successivo”), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. Altrimenti, il trasferimento successivo da parte dell’importatore può aver luogo solo se:

(i) è diretto verso un Paese che beneficia di una decisione di adeguatezza in

exporter, together with the information referred to in paragraph (e), points ii) to iv), unless the data importer has implemented measures to significantly reduce the risk to the rights or freedoms of natural persons, or notification would involve disproportionate efforts. In the latter case, the data importer shall instead issue a public communication or take a similar measure to inform the public of the personal data breach.

(g) The data importer shall document all relevant facts relating to the personal data breach, including its effects and any remedial action taken, and keep a record thereof.

8.6 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences (hereinafter ‘sensitive data’), the data importer shall apply specific restrictions and/or additional safeguards adapted to the specific nature of the data and the risks involved. This may include restricting the personnel permitted to access the personal data, additional security measures (such as pseudonymisation) and/or additional restrictions with respect to further disclosure.

8.7 Onward transfers

The data importer shall not disclose the personal data to a third party located outside the European Union (3) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) unless the third party is or agrees to be bound by these Clauses, under the appropriate Module. Otherwise, an onward transfer by the data importer may only take place if:

(i) it is to a country benefitting from an adequacy decision pursuant to Article 45 of

conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;

ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;

iii) il terzo stipula uno strumento vincolante con l’importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l’importatore fornisce una copia di tali garanzie all’esportatore;

iv) il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari;

v) il trasferimento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, o

vi) qualora non ricorra nessuna delle altre condizioni, l’importatore ha ottenuto il consenso esplicito dell’interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell’identità del destinatario e dei possibili rischi di siffatto trasferimento per l’interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l’importatore informa l’esportatore e, su richiesta di quest’ultimo, gli trasmette copia delle informazioni fornite all’interessato.

Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

Regulation (EU) 2016/679 that covers the onward transfer;

(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 of Regulation (EU) 2016/679 with respect to the processing in question;

(iii) the third party enters into a binding instrument with the data importer ensuring the same level of data protection as under these Clauses, and the data importer provides a copy of these safeguards to the data exporter;

(iv) it is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings;

(v) it is necessary in order to protect the vital interests of the data subject or of another natural person; or

(vi) where none of the other conditions apply, the data importer has obtained the explicit consent of the data subject for an onward transfer in a specific situation, after having informed him/her of its purpose(s), the identity of the recipient and the possible risks of such transfer to him/her due to the lack of appropriate data protection safeguards. In this case, the data importer shall inform the data exporter and, at the request of the latter, shall transmit to it a copy of the information provided to the data subject.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.8 Trattamento sotto l’autorità dell’importatore

L’importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione.

8.8 Processing under the authority of the data importer

The data importer shall ensure that any person acting under its authority, including a processor, processes the data only on its instructions.

8.9 Documentazione e rispetto

8.9 Documentation and compliance

a) ▇▇▇▇▇▇▇▇ parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità. b) Su richiesta, l’importatore mette tale documentazione a disposizione dell’autorità di controllo competente.	(a) Each Party shall be able to demonstrate compliance with its obligations under these Clauses. In particular, the data importer shall keep appropriate documentation of the processing activities carried out under its responsibility. (b) The data importer shall make such documentation available to the competent supervisory authority on request.
Clausola 9 Ricorso a sub-responsabili del trattamento	Clause 9 Use of sub-processors
(lasciato intenzionalmente vuoto)	(intentionally left blank)
Clausola 10 Diritti dell’interessato	Clause 10 Data subject rights
(a) L’importatore, se del caso con l’assistenza dell’esportatore, tratta qualunque richiesta di informazioni e richiesta ricevute da un interessato in relazione al trattamento dei suoi dati personali e all’esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta di informazioni o richiesta (4)L’importatore adotta misure adeguate per agevolare tali richieste di informazioni, richieste e l’esercizio dei diritti dell’interessato. Tutte le informazioni fornite all’interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. b) In particolare, su richiesta dell’interessato, e gratuitamente, l’importatore: i) conferma all’interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all’allegato I; se i dati personali sono stati o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre	(a) The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. (4)The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language. (b) In particular, upon request by the data subject the data importer shall, free of charge: (i) provide confirmation to the data subject as to whether personal data concerning him/her is being processed and, where this is the case, a copy of the data relating to him/her and the information in Annex I; if personal data has been or will be onward transferred, provide information on recipients or categories of recipients (as appropriate with a view to providing meaningful information) to which the personal data has been or will be onward transferred, the purpose of such onward

reclamo a un’autorità di controllo conformemente alla clausola 12, lettera c), punto i);

ii) rettifica i dati inesatti o incompleti dell’interessato;

iii) cancella i dati personali dell’interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o se l’interessato revoca il consenso su cui si basa il trattamento.

c) Qualora l’importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.

d) L’importatore non prende alcuna decisione basata unicamente sul trattamento automatizzato dei dati personali trasferiti (di seguito “decisione automatizzata”), che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell’interessato o se autorizzato in tal senso dalla legislazione del Paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell’interessato. In tal caso l’importatore, se necessario in cooperazione con l’esportatore:

i) informa l’interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e

ii) attua garanzie adeguate, consentendo almeno all’interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano.

e) Qualora le richieste dell’interessato siano eccessive, in particolare per il carattere ripetitivo, l’importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell’accoglimento della richiesta o rifiutarsi di soddisfare la richiesta.

f) L’importatore può rifiutare la richiesta dell’interessato se tale rifiuto è consentito dalla legislazione del Paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare

transfers and their ground pursuant to Clause 8.7; and provide information on the right to lodge a complaint with a supervisory authority in accordance with Clause 12(c)(i);

(ii) rectify inaccurate or incomplete data concerning the data subject;

(iii) erase personal data concerning the data subject if such data is being or has been processed in violation of any of these Clauses ensuring third-party beneficiary rights, or if the data subject withdraws the consent on which the processing is based.

(c) Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it.

(d) The data importer shall not make a decision based solely on the automated processing of the personal data transferred (hereinafter ‘automated decision’), which would produce legal effects concerning the data subject or similarly significantly affect him/her, unless with the explicit consent of the data subject or if authorised to do so under the laws of the country of destination, provided that such laws lays down suitable measures to safeguard the data subject’s rights and legitimate interests. In this case, the data importer shall, where necessary in cooperation with the data exporter:

(i) inform the data subject about the envisaged automated decision, the envisaged consequences and the logic involved; and

(ii) implement suitable safeguards, at least by enabling the data subject to contest the decision, express his/her point of view and obtain review by a human being.

(e) Where requests from a data subject are excessive, in particular because of their repetitive character, the data importer may either charge a reasonable fee taking into account the administrative costs of granting the request or refuse to act on the request.

(f) The data importer may refuse a data subject’s request if such refusal is allowed under the laws of the country of destination and is necessary and proportionate in a democratic society to protect one of the

uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679.

g) Se l’importatore intende rifiutare la richiesta dell’interessato, informa quest’ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all’autorità di controllo competente e/o di proporre ricorso giurisdizionale.

objectives listed in Article 23(1) of Regulation (EU) 2016/679.

(g) If the data importer intends to refuse a data subject’s request, it shall inform the data subject of the reasons for the refusal and the possibility of lodging a complaint with the competent supervisory authority and/or seeking judicial redress.

Clausola 11 Ricorso

Clause 11 Redress

a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.

b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.

c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:

i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;

ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.

d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.

e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.

(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.

(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.

(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:

(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;

(ii) refer the dispute to the competent courts within the meaning of Clause 18.

(d) The Parties accept that the data subject may be represented by a not-for- profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.

(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.

f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.	(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clausola 12 Responsabilità	Clause 12 Liability
a) ▇▇▇▇▇▇▇▇ parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole. b) ▇▇▇▇▇▇▇▇ parte è responsabile nei confronti dell’interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore a norma del regolamento (UE) 2016/679. c) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro. d) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera c), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno. e) L’importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.	(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses. (b) Each Party shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages that the Party causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter under Regulation (EU) 2016/679. (c) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties. (d) The Parties agree that if one Party is held liable under paragraph (c), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage. (e) The data importer may not invoke the conduct of a processor or sub-processor to avoid its own liability.
Clausola 13 Controllo	Clause 13 Supervision
a) [Qualora l’esportatore sia stabilito in uno Stato membro dell’UE:] L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.	(a) [Where the data exporter is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.

[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e abbia nominato un rappresentante in conformità dell’articolo 27, paragrafo 1, del medesimo regolamento:] L’autorità di controllo dello Stato membro in cui il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679 è stabilito, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.	[Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e non abbia tuttavia nominato un rappresentante in conformità dell’articolo 27, paragrafo 2, del medesimo regolamento:] L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti a norma delle presenti clausole in relazione all’offerta di beni o alla prestazione di servizi, o il cui comportamento è oggetto di monitoraggio, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.	[Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.	(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SEZIONE III – LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE	SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clausola 14 Legislazione e prassi locali che incidono sul rispetto delle clausole

Clause 14 Local laws and practices affecting compliance with the Clauses

a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del Paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.

b) Le parti dichiarano che, nel fornire la

garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:

i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;

ii) la legislazione e le prassi del Paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (5);

iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:

(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards (5);

(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during

trattamento dei dati personali nel Paese di destinazione.

c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.

d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.

e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del Paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a).

f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).

transmission and to the processing of the personal data in the country of destination.

(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.

(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.

(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clausola 15 Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche

Clause 15 Obligations of the data importer in case of access by public authorities

15.1 Notifica

a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:

i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del Paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o

ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del Paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.

b) Se la legislazione del Paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.

c) Laddove consentito dalla legislazione del Paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.).

15.1 Notification

(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:

(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or

(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.

(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.

(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).

d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.

e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.

15.2 Riesame della legittimità e minimizzazione dei dati

a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del Paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).

b) L’importatore accetta di documentare

la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del Paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente.

c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni

(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to

(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimization

(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).

(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

consentite, sulla base di un’interpretazione ragionevole della richiesta.	disclosure, based on a reasonable interpretation of the request.
SEZIONE IV – DISPOSIZIONI FINALI	SECTION IV – FINAL PROVISIONS
Clausola 16 Inosservanza delle clausole e risoluzione	Clause 16 Non-compliance with the Clauses and termination
a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole. b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f). c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora: i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione; ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o iii) l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole. In tali casi, informa l’autorità di controllo competente di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. d) I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo	(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason. (b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f). (c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where: (i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension; (ii) the data importer is in substantial or persistent breach of these Clauses; or (iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses. In these cases, it shall inform the competent supervisory authority of such non- compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. (d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its

stesso vale per qualunque copia dei dati. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.

e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del Paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.

Clausola 17 Legge applicabile

entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.

(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17 Governing law

Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella del Paese dell’Ente come specificato nel Contratto per sperimentazione clinica (Italia).

Clausola 18 Scelta del foro e giurisdizione

These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of the country of the Entity as specified in the Clinical Trial Agreement (Italy).

Clause 18 Choice of forum and jurisdiction

1. Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.

2. Le parti convengono che tali organi giurisdizionali consistono nel Tribunale di Milano).

3. L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.

1. Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.

2. The Parties agree that those shall be the Milan court.

3. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.

4. Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.

4. The Parties agree to submit themselves to the jurisdiction of such courts.

APPENDICE

NOTA ESPLICATIVA:

Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o a ciascuna categoria di trasferimenti e, a tale riguardo, determinare i ruoli rispettivi delle parti quali esportatori e/o importatori. Non occorre per forza compilare e firmare appendici distinte per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale laddove tale trasparenza possa essere garantita con un’unica appendice. Tuttavia, ove necessario per assicurare una sufficiente chiarezza, dovrebbero essere utilizzate appendici distinte.

APPENDIX EXPLANATORY NOTE:

It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can be achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ALLEGATO I

A. ELENCO DELLE PARTI

ANNEX I

A. LIST OF PARTIES

Esportatore:

Nome: Fondazione IRCCS Istituto Nazionale dei Tumori.

Indirizzo: ▇▇▇ ▇▇▇▇▇▇▇▇ ▇ – ▇▇▇▇▇ ▇▇▇▇▇▇. Nome, qualifica e dati di contatto del referente:

Data Protection Officer – ▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇.▇▇.

Attività pertinenti ai dati trasferiti a norma delle presenti clausole: sperimentazione clinica e ricerche scientifiche.

Fondazione IRCCS Istituto Nazionale dei Tumori

Firma e data:

Dott.ssa ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Direttore Generale

Firma digitale

Data exporter(s):

Name: Fondazione IRCCS Istituto Nazionale dei Tumori.

Address: ▇▇▇ ▇▇▇▇▇▇▇▇ ▇ – ▇▇▇▇▇ ▇▇▇▇▇▇. Contact person’s name, position and contact details:

Data Protection Officer – ▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇.▇▇.

Activities relevant to the data transferred under these Clauses: Clinical Researches and Clinical Trials

Fondazione IRCCS Istituto Nazionale dei Tumori

Signature and date:

▇▇▇▇. ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Direttore Generale

Firma digitale

Ruolo (titolare del

trattamento/responsabile del trattamento): titolare del trattamento

Role (controller/processor): Controller

Importatore:

Nome: ▇▇▇▇▇▇▇ Research & Development, LLC

Indirizzo: ▇▇▇ ▇▇▇▇▇ ▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇

▇▇▇▇, ▇▇▇▇▇▇▇▇▇ e dati di contatto del referente: ▇▇▇▇▇▇▇ Research & Development, L.L.C.

Admin, Contracting and Compliance Services

▇▇▇▇ ▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇

▇▇▇▇▇▇▇▇▇▇, ▇▇ ▇▇▇▇▇ ▇▇▇

Facsimile: ▇▇ ▇▇▇-▇▇▇-▇▇▇▇

Attività pertinenti ai dati trasferiti a norma delle presenti clausole: sperimentazione clinica e ricerche scientifiche.

Firma e data:

▇▇▇▇▇ ▇▇▇▇▇▇

Global Site Contracting Director

Data importer(s):

Name: ▇▇▇▇▇▇▇ Research & Development, LLC

Address: ▇▇▇ ▇▇▇▇▇ ▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇

Contact person’s name, position and contact details: ▇▇▇▇▇▇▇ Research & Development, L.L.C.

Admin, Contracting and Compliance Services

▇▇▇▇ ▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇

▇▇▇▇▇▇▇▇▇▇, ▇▇ ▇▇▇▇▇ ▇▇▇

Facsimile: ▇▇ ▇▇▇-▇▇▇-▇▇▇▇

Activities relevant to the data transferred under these Clauses: See Clinical Trial Agreement.

Signature and date:

▇▇▇▇▇ ▇▇▇▇▇▇

Global Site Contracting Director

Digitally signed by: ▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇▇▇▇▇

Date: 18/02/2025 08:21:37

Digitally signed by: ▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇▇▇▇▇

Date: 18/02/2025 08:21:38

▇▇▇▇▇ (titolare del

trattamento/responsabile del trattamento): titolare del trattamento

Dati di contatto del responsabile della protezione dei dati sensibili dell’importatore: ▇▇▇▇▇▇▇▇▇▇▇@▇▇▇.▇▇▇.▇▇▇

Role (controller/processor): Controller Contact information to the Data Importer(s) DPO:

▇▇▇▇▇▇▇▇▇▇▇@▇▇▇.▇▇▇.▇▇▇

B. DESCRIZIONE DEL TRASFERIMENTO

B. DESCRIPTION OF TRANSFER

Categorie di interessati i cui dati personali sono trasferiti

I dati personali trasferiti fanno riferimento alle seguenti categorie di interessati:

• Soggetti scientifici e di ricerca medica.

Categories of data subjects whose personal data is transferred

The personal data transferred concern the following categories of data subjects:

• Scientific and medical research subjects.

• Sperimentatori scientifici e medici e relativo personale, ivi compresi, in via esemplificativa ma non esaustiva, medici e altri professionisti sanitari coinvolti nell’amministrazione della ricerca scientifica.

• Scientific and medical research investigators and their staff, including, but not limited to, physicians and other health care professionals involved in administration of scientific research.

• Altri soggetti coinvolti nella ricerca scientifica e medica dell’esportatore (tra cui consulenti, rappresentanti dei fornitori di servizi e partner aziendali, funzionari governativi e soggetti che segnalano eventi avversi e reclami relativi alla qualità del prodotto, tra gli altri).

Categorie di dati personali trasferiti

I dati personali trasferiti fanno riferimento alle seguenti categorie di dati:

• Per i soggetti coinvolti nella ricerca scientifica e medica, i dettagli personali possono includere: informazioni con codice cifrato, altri identificativi pertinenti (per es. numero paziente); sesso; età o fascia di età (per es. adolescente, adulto, anziano) o data di nascita (se necessario), condizioni di salute associate, anamnesi medica e storia familiare pertinente.

• Per il personale sanitario o altri punti di contatto, sperimentatori scientifici e medici e relativo personale, nonché per gli altri soggetti coinvolti nella ricerca scientifica e medica, i dettagli personali possono includere: informazioni di contatto e altre informazioni pertinenti, tra cui nome, indirizzo, e-mail e telefono, sesso e licenze professionali e affiliazioni fornite nell’ambito delle proprie credenziali.

Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all’accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari.

• Per i soggetti di ricerca, i dati sensibili possono includere: informazioni con codice cifrato relative a determinate condizioni di salute e trattamenti, informazioni relative alla salute riguardanti eventi avversi e reclami sulla qualità del prodotto (se fornite dall’esportatore), e dati demografici che possono includere razza, etnia o altri dati sensibili che possono essere pertinenti

• Other individuals involved in data exporter’s scientific and medical research (who may include consultants, representatives of service providers and business partners, government officials, and individuals who report adverse events and product quality complaints, among others). Categories of personal data transferred

The personal data transferred concern the following categories of data:

• For scientific and medical research subjects, personal details may include: key- coded information, other relevant identifiers (e.g., patient number); gender; age or age category (e.g., adolescent, adult, elderly) or date of birth (if necessary), associated health condition(s), medical history, and relevant family history.

• For health care providers, or other points of contact, scientific and medical investigators and their staff, and other individuals involved in scientific and medical research, personal details may include: contact information and other related information, such as name, address, e-mail and telephone details, gender, and professional licenses and affiliations provided as part of their credentials.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

• For research subjects, sensitive data may include: key-coded information concerning certain health conditions and treatments, health-related information concerning adverse events and product quality complaints (if provided to the data exporter), and demographic information that may include race, ethnicity or other sensitive

all’evento avverso (se forniti dall’esportatore).

• Consultare le misure di sicurezza nell’Allegato II. Le misure di sicurezza includono l’accesso solo per il personale che si è sottoposto a una formazione specializzata, che conserva la documentazione di accesso ai dati, che attua restrizioni per trasferimenti successivi e che codifica con codice cifrato le informazioni. La frequenza del trasferimento: su base continua.

• I dati vengono trasferiti continuamente come richiesto ai sensi del protocollo dello studio.

Natura del trattamento

• Il trattamento riguarda l’esecuzione di studi clinici, come specificato ulteriormente nel protocollo dello studio. Finalità del trasferimento dei dati e dell’ulteriore trattamento

• Il trasferimento dei dati personali che coinvolgono soggetti di ricerca viene eseguito per le finalità di esecuzione di studi clinici, come specificato ulteriormente nel protocollo dello studio.

• I dati personali riguardanti altre categorie di soggetti interessati vengono trattati per le finalità di esecuzione di attività ai sensi del Contratto e come richiesto al fine di soddisfare eventuali obblighi legali o normativi.

Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo

• Eventuali dati personali verranno conservati per tutto il periodo necessario tenendo conto dei requisiti normativi e legali per conservare la documentazione associata alla sperimentazione clinica e per soddisfare gli obiettivi di ricerca associati allo studio clinico.

Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento

• Eventuali trasferimenti ai (sub)- responsabili del trattamento vengono eseguiti per la stessa materia disciplinata e natura, come descritto in precedenza. Un

data that may be relevant to the adverse event (if provided to the data exporter).

• See security measures in Annex II. Security measures include access only for staff having followed specialised training, keeping a record of access to the data, restrictions for onward transfers, and key- coding the information.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

• Data is transferred continuously in as required under the study protocol.

Nature of the processing

• The processing concerns the execution of a clinical trail, as further specified in the study protocol.

Purpose(s) of the data transfer and further processing

• The transfer of personal data concerning research subjects is performed for the purpose of executing a clinical trail, as further specified in the study protocol.

• Personal data concerning other categories of data subjects is processed for the purpose of performing activities under the Agreement and as required to satisfy any legal or regulatory obligations.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

• Any personal data will be retained as long as required considering the regulatory and legal requirement to retain records associated with the clinical trial and to satisty the research objectives associated with the clinical trial.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

• Any transfer to (sub-) processors is made for the same subject matter, and nature as described above. A (sub-) processor will only process personal data as long as necessary in order for such a (sub-) processor to deliver the services to the controller, and

(sub-)responsabile del trattamento tratterà i dati personali esclusivamente per il tempo necessario al fine di poter fornire i servizi al titolare del trattamento ed è tenuto successivamente a restituire o cancellare eventuali dati personali in base alle istruzioni del titolare del trattamento, il quale tiene fede al contratto con il (sub-)responsabile del trattamento.

C. AUTORITÀ DI CONTROLLO COMPETENTE

shall thereafter return or delete any personal data based on the instructions of the controller, which holds to contract with the (sub-) processor.

C. COMPETENT SUPERVISORY AUTHORITY

Identificare la o le autorità di controllo competenti conformemente alla clausola 13 Fare riferimento all’Autorità di protezione dei dati del Paese dell’ENTE:

Garante per la protezione dei dati personali (“GPDP”)

Garante per la protezione dei dati personali, ▇▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇ -▇▇▇▇▇ ▇▇▇▇ (▇▇▇▇▇▇)

Telefono +39 ▇▇.▇▇▇▇▇▇

e-mail ▇▇▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇

link: https// ▇▇▇.▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇/▇▇▇/▇▇▇▇▇▇▇-▇▇▇▇▇▇▇- en.

Identify the competent supervisory authority/ies in accordance with Clause 13 Please refer to the Data Protection Authority of the country of ENTITY:

Garante per la protezione dei dati personali (“GPDP”)

Garante per la protezione dei dati personali, ▇▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇ -▇▇▇▇▇ ▇▇▇▇ (▇▇▇▇▇▇)

Telefono +39 ▇▇.▇▇▇▇▇▇

e-mail ▇▇▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇

▇▇▇▇▇://▇▇▇▇.▇▇▇▇▇▇.▇▇/▇▇▇▇▇-▇▇▇▇/▇▇▇▇▇- edpb/members_en

ALLEGATO II MISURE TECNICHE E

ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

NOTA ESPLICATIVA:

ANNEX II TECHNICAL AND

ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

EXPLANATORY NOTE:

Le misure tecniche e organizzative devono essere descritte in termini specifici (e non generici). Si veda anche la nota esplicativa nella prima pagina dell’appendice, in particolare riguardo alla necessità di indicare chiaramente quali misure si applicano a ciascun trasferimento/insieme di trasferimenti.

Descrizione delle misure tecniche e organizzative messe in atto dal o dagli importatori (comprese le eventuali certificazioni pertinenti) per garantire un

The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.

Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature,

adeguato livello di sicurezza, tenuto conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.	scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
1. Politiche e standard sulla sicurezza delle informazioni	1. Information Security Policies and Standards
L’importatore implementerà i requisiti di sicurezza per il personale e per tutti i subappaltatori, fornitori di servizi o agenti che hanno accesso ai dati personali. Essi hanno lo scopo di:	The Data Importer will implement security requirements for staff and all subcontractors, Service Providers, or agents who have access to Personal Data. These are designed to:
• evitare che le persone non autorizzate ottengano l’accesso ai sistemi di trattamento dei dati personali (controllo dell’accesso fisico); • evitare che i sistemi di trattamento dei dati personali siano utilizzati senza autorizzazione (controllo dell’accesso logico); • garantire che le persone che hanno diritto a utilizzare il sistema di trattamento dei dati personali ottengano l’accesso esclusivamente a tali dati personali poiché ne hanno diritto conformemente ai propri diritti di accesso e che, nel corso del trattamento o dell’uso e in seguito alla conservazione, i dati personali non possano essere letti, copiati, modificati o eliminati senza autorizzazione (controllo dell’accesso ai dati); • garantire che i dati personali non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante la trasmissione elettronica, il trasporto o la conservazione e che le entità interessate per eventuali trasferimenti di dati personali mediante strutture di trasmissione dei dati possano essere istituite e verificate (controllo del trasferimento dei dati); – garantire un percorso di verifica per documentare se e da chi sono stati inseriti, modificati o rimossi i dati personali dal trattamento dei dati personali (controllo dell’inserimento); – garantire che i dati personali siano trattati esclusivamente in conformità con le Istruzioni (controllo delle istruzioni);	• Prevent unauthorized persons from gaining access to Personal Data processing systems (physical access control); • Prevent Personal Data processing systems being used without authorization (logical access control); • Ensure that persons entitled to use a Personal Data processing system gain access only to such Personal Data as they are entitled to access in accordance with their access rights and that, in the course of Processing or use and after storage, Personal Data cannot be read, copied, modified or deleted without authorization (data access control); • Ensure that Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage, and that the target entities for any transfer of Personal Data by means of data transmission facilities can be established and verified (data transfer control); – Ensure the establishment of an audit trail to document whether and by whom Personal Data have been entered into, modified in, or removed from Personal Data Processing (entry control); – Ensure that Personal Data are Processed solely in accordance with the Instructions (control of instructions);

• garantire che i dati personali siano protetti da distruzioni o perdite accidentali (controllo di disponibilità); e • garantire che i dati personali raccolti per diverse finalità possano essere trattati separatamente (controllo di separazione).	• Ensure that Personal Data are protected against accidental destruction or loss (availability control); and • Ensure that Personal Data collected for different purposes can be processed separately (separation control).
Le presenti regole vengono aggiornate e riviste ogniqualvolta vengono apportate modifiche al sistema di informazioni che utilizza o archivia i dati personali, o alla modalità di organizzazione dello stesso.	These rules are kept up to date and revised whenever relevant changes are made to the information system that uses or houses Personal Data, or to how that system is organized.
2. Sicurezza fisica	2. Physical Security
L’importatore manterrà sistemi di sicurezza commercialmente ragionevoli presso tutti i propri centri nei quali è collocato un sistema di informazioni che utilizza o archivia dati personali. L’importatore restringe ragionevolmente l’accesso a tali dati personali in modo adeguato.	The Data Importer will maintain commercially reasonable security systems at all Data Importer sites at which an information system that uses or houses Personal Data is located. The Data Importer reasonably restricts access to such Personal Data appropriately.
Il controllo dell’accesso fisico è stato implementato per tutti i data center. L’accesso non autorizzato è proibito mediante personale in loco, scansione biometrica e monitoraggio con telecamere di sicurezza 24 ore su 24, 7 giorni su 7.	Physical access control has been implemented for all data centers. Unauthorized access is prohibited through 24x7 onsite staff, biometric scanning and security camera monitoring.
È installata una telecamera di sorveglianza sulla porta di ingresso ed è implementato un monitoraggio di sicurezza da parte della gestione dell’edificio.	Surveillance camera on entry door is installed and security monitoring by building management is implemented.
3. Sicurezza organizzativa	3. Organizational Security
Qualora sia necessario smaltire o riutilizzare i mezzi, sono state implementate procedure volte a evitare eventuali recuperi successivi di dati personali archiviati prima che possano essere sottratti dall’inventario. Qualora i mezzi debbano abbandonare la sede presso la quale sono ubicati i file come conseguenza di operazioni di manutenzione, sono state implementate procedure volte a evitare recuperi illeciti di dati personali archiviati.	When media are to be disposed of or reused, procedures have been implemented to prevent any subsequent retrieval of any Personal Data stored on them before they are withdrawn from the inventory. When media are to leave the premises at which the files are located as a result of maintenance operations, procedures have been implemented to prevent undue retrieval of Personal Data stored on them.
L’importatore ha implementato politiche e procedure di sicurezza volte a classificare le	Data Importer implemented security policies and procedures to classify sensitive

risorse di informazioni sensibili, a chiarire le responsabilità di sicurezza e a promuovere la consapevolezza dei dipendenti.

Tutti gli incidenti di sicurezza dei dati personali sono gestiti conformemente alle adeguate procedure di risposta agli incidenti.

Tutti i dati sensibili trasmessi dal fornitore di servizi sono codificati mentre sono in transito e quando si trovano su dispositivi o mezzi portatili.

information assets, clarify security responsibilities and promote awareness for employees.

All Personal Data security incidents are managed in accordance with appropriate incident response procedures.

All sensitive data transmitted by Service Provider are encrypted while in transit and when on portable devices or media.

4. Sicurezza di rete 4. Network Security

L’importatore garantisce la sicurezza di rete mediante l’uso di attrezzature commercialmente disponibili e tecniche standard del settore, tra cui firewall, sistemi di rilevamento delle intrusioni, elenchi di controllo degli accessi e protocolli di routing.

5. Controllo dell’accesso

The Data Importer maintains network security using commercially available equipment and industry standard techniques, including firewalls, intrusion detection systems, access control lists and routing protocols.

5. Access Control

Solo il personale autorizzato può concedere, modificare o revocare l’accesso a un sistema di informazioni che utilizza o archivia dati personali.

Le procedure di amministrazione dell’utente definiscono i ruoli dell’utente e i rispettivi privilegi, in che modo è concesso, modificato o cessato l’accesso, garantisce un’adeguata separazione delle responsabilità e definisce i requisiti di accesso/monitoraggio e i meccanismi.

A tutti i dipendenti dell’importatore sono assegnati ID utente univoci.

I diritti di accesso sono implementati in linea con l’approccio del “privilegio minimo”.

L’importatore implementa una sicurezza fisica ed elettronica commercialmente ragionevole al fine di creare e proteggere le password.

6. Controlli di virus e malware

Only authorized staff can grant, modify or revoke access to an information system that uses or houses Personal Data.

User administration procedures define user roles and their privileges, how access is granted, changed and terminated; addresses appropriate segregation of duties; and defines the logging/monitoring requirements and mechanisms.

All employees of the Data Importer are assigned unique User-IDs.

Access rights are implemented adhering to the “least privilege” approach.

The Data Importer implements commercially reasonable physical and electronic security to create and protect passwords.

6. Virus and Malware Controls

L’importatore installa e mantiene software di protezione anti-virus e malware sul sistema.

The Data Importer installs and maintains anti-virus and malware protection software on the system.

7. Personale	7. Personnel
L’importatore implementa un programma di sensibilizzazione in materia di sicurezza al fine di formare il personale in merito agli obblighi di sicurezza. Questo programma prevede una formazione relativa agli obblighi di classificazione dei dati; controlli di sicurezza fisici, pratiche di sicurezza e segnalazione di incidenti di sicurezza.	The Data Importer implements a security awareness program to train personnel about their security obligations. This program includes training about data classification obligations; physical security controls; security practices and security incident reporting.
Il fornitore di servizi ha chiaramente definito i ruoli e le responsabilità dei dipendenti. È stato implementato uno screening prima dell’assunzione e le condizioni e modalità di impiego vengono applicati adeguatamente.	Service Provider has clearly defined roles and responsibilities for the employees. Screening is implemented before employment with terms and conditions of employment applied appropriately.
Il fornitore di servizi si attiene rigorosamente alle politiche e procedure di sicurezza definite. In caso di violazione di sicurezza da parte di dipendenti si applicherà una procedura disciplinare.	Service Provider employees strictly follow established security policies and procedures. Disciplinary process will be applied if employees committed a security breach.
8. Continuità aziendale	8. Business Continuity
L’importatore implementa adeguati piani di recupero dalle calamità e di ripresa delle attività. L’importatore rivede sia il piano di continuità aziendale sia la valutazione dei rischi su base regolare. I piani di continuità aziendale sono stati verificati e aggiornati regolarmente al fine di garantirne l’aggiornamento e l’efficacia.	The Data Importer implements appropriate disaster recovery and business resumption plans. Data Importer reviews both business continuity plan and risk assessment regularly. Business continuity plans are being tested and updated regularly to ensure that they are up to date and effective.
Per i trasferimenti ai (sub-)responsabili del trattamento, descrivono inoltre le misure tecniche e organizzative da adottare da parte del (sub-)responsabile del trattamento al fine di fornire assistenza al titolare del trattamento e, per i trasferimenti da responsabile a (sub-)responsabile del trattamento, all’esportatore Nel caso in cui i (sub-)responsabili del trattamento siano coinvolti nel trattamento di dati personali, è necessario adottare misure tecniche e organizzative come descritto in precedenza.	For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter In the event any (sub-) processors are engaged in the processing of personal data technical and organizational measures as outlined above are to be applied.
1 Qualora l’esportatore sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679	1 Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union

che agisce per conto di un’Ente o di un organo dell’Unione in qualità di titolare del trattamento, l’utilizzo delle presenti clausole quando è fatto ricorso a un altro responsabile del trattamento (sub- responsabile del trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Si tratta, in particolare, del caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella decisione 2021/915.

2 Questo richiede di rendere anonimi i dati in modo

tale che la persona non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679, e che tale processo sia irreversibile.

3 L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.

4 Tale termine può essere prorogato al massimo di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. L’importatore informa debitamente e prontamente l’interessato di tale proroga.

5 Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle presenti clausole, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale. Tali elementi possono includere un’esperienza pratica pertinente e documentata in casi precedenti di richieste di comunicazione da parte di autorità pubbliche, o l’assenza di tali richieste, per un periodo di tempo sufficientemente rappresentativo. Si tratta in particolare di registri interni o altra documentazione, elaborati su base continuativa conformemente alla dovuta diligenza e certificati a

Entity or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union Entitys, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018,

p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915.

2 This requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.

3 The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.

4 That period may be extended by a maximum of two more months, to the extent necessary taking into account the complexity and number of requests. The data importer shall duly and promptly inform the data subject of any such extension.

5As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and

it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

livello di alta dirigenza, sempre che tali informazioni possano essere lecitamente condivise con ▇▇▇▇▇. Qualora per concludere che all’importatore non sarà impedito di rispettare le presenti clausole si faccia affidamento su questa esperienza pratica, essa deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se tali elementi, congiuntamente, abbiano un peso sufficiente in termini di affidabilità e rappresentatività per sostenere tale conclusione. In particolare, le parti devono considerare se la loro esperienza pratica è corroborata e non contraddetta da informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti.

ECRETO DEL DIRETTORE GENERALE - N. 180-DG del 07/03/2025 - Allegato Utente 2 (A02)

Document Metadata

Document Metadata

Table of Contents