Termini contrattuali per il trattamento dei dati di Google
Google e la controparte accettante i presenti termini contrattuali ("Cliente") hanno stipulato un accordo per la fornitura dei Servizi del Responsabile del trattamento (come di volta in volta modificato, il "Contratto").
I Termini contrattuali per il trattamento dei dati degli Annunci di Google (comprensivi degli allegati, "Termini contrattuali per il trattamento dei dati") sono stipulati tra Google e il Cliente e sono parte integrante del Contratto. I presenti Termini contrattuali per il trattamento dei dati entreranno in vigore a decorrere dalla Data di efficacia degli stessi e sostituiranno i precedenti termini applicabili alla materia in oggetto (incluse eventuali Emendamenti o Allegati per il Trattamento dei Dati pertinenti i Servizi del Responsabile del trattamento).
Nel caso in cui la controparte stia accettando i presenti Termini contrattuali per il trattamento dei dati in nome e per conto del Cliente, garantisce di: (a) detenere i poteri legali necessari per vincolare il Cliente ai presenti Termini contrattuali per il trattamento dei dati; (b) aver letto e compreso i presenti Termini contrattuali per il trattamento dei dati; e (c) accettare, per conto del Cliente, i presenti Termini contrattuali per il trattamento dei dati. Nel caso in cui la controparte non dovesse detenere le piene facoltà legali per vincolare il Cliente agli stessi, non dovrà accettare i presenti Termini contrattuali per il trattamento dei dati.
1. Introduzione
I presenti Termini contrattuali per il trattamento dei dati riflettono il pieno accordo tra le parti con riguardo all'elaborazione di alcuni dati in conformità alla Normativa europea sulla protezione dei dati e ad alcune Normative non-europee sulla protezione dei dati.
2. Definizioni e Interpretazione
2.1 Nei presenti Termini contrattuali per il trattamento dei dati:
Per "Prodotto aggiuntivo" si intende un prodotto, servizio o applicazione fornito da Google o terzi, che: (a) non fa parte dei Servizi del Responsabile del trattamento; è (b) accessibile e può essere utilizzato dall'interfaccia utente dei Servizi del Responsabile del trattamento oppure è integrato in altro modo tra i Servizi del Responsabile del trattamento.
Per "Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati" si intendono i termini contrattuali aggiuntivi riferiti all'interno dell'Allegato 3, che riflettono il pieno accordo tra le parti con riguardo ai termini che regolano il trattamento di alcuni dati in connessione con alcune Normative non-europee sulla protezione dei dati.
Per "Affiliata" si intende una societàche, direttamente o indirettamente, controlla, è controllata o è sotto il controllo congiunto di una parte.
Per "Dati personali del cliente" si intendono i dati personali trattati da Google per conto del Cliente per la fornitura, da parte di Google, dei Servizi del responsabile del trattamento.
Per "Incidente relativo ai dati" si intende una violazione pertinente il sistema di sicurezza di Google che ha condotto alla distruzione accidentale o dolosa, alla perdita, alterazione, divulgazione non autorizzata o all'accesso ai Dati personali del Cliente presenti nei sistemi gestiti da Google o altrimenti controllati dalla stessa. Gli "Incidenti relativi ai dati" non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali del Cliente, tra cui i tentativi di accesso falliti, ping, port scan, attacchi DoS, e altri tipi di attacchi a firewall o sistemi di rete.
Per "Strumento dell'Interessato" si intende uno strumento (se esistente) messo a disposizione degli interessati daa Società Google per poter rispondere in modo diretto e standardizzato a determinate richieste provenienti dagli interessati, relative ai Dati personali del Cliente (per esempio, le impostazioni relative agli annunci online o a un componente aggiuntivo del browser per la disattivazione).
Per "SEE" si intende lo Spazio Economico Europeo.
Per "EU GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Per "Normativa europea sulla protezione dei dati" si intende, ove pertinente: (a) il GDPR (Regolamento generale sulla protezione dei dati) e/o (b) la legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).
Per "Leggi Europee o Nazionali" si intende, a seconda dei casi: (a) le leggi dell'UE o dei suoi Stati Membri (se l'EU GDPR si applica al trattamento dei dati personali del Cliente); e/o (b) la legge del Regno Unito o di una parte del Regno Unito (se il GDPR del Regno Unito si applica al trattamento dei dati personali del Cliente).
Per "GDPR" si intende, a seconda dei casi: (a) l'EU GDPR; e/o (b) il GDPR del Regno Unito.
Per "Google" si intende la Società Google parte del Contratto.
Per "Subresponsabile affiliato di Google" si intende la figura descritta all'articolo 11.1 (Autorizzazione alla nomina di un Subresponsabile).
Per "Società Google" si intende Google LLC (nota in precedenza come Google Inc.), Google Ireland Limited o qualsiasi altra Affiliata di Google LLC.
Per "Normativa non-europea sulla protezione dei dati" si intendono le leggi in materia di protezione dei dati o privacy in vigore al di fuori dello Spazio Economico Europeo, della Svizzera e del Regno Unito.
Per "Indirizzo email di notifica" si intende l'indirizzo email (se esistente) indicato dal Cliente, tramite l'interfaccia dei Servizi del Responsabile del trattamento o altri mezzi simili forniti da Google, per la ricezione di determinate notifiche concernenti i presenti Termini contrattuali per il trattamento dei dati trasmesse da Google.
Per "Privacy Shield" si intende il quadro giuridico dello Scudo UE-USA per la privacy e il quadro giuridico dello Scudo Svizzera-USA per la privacy e ogni altro equivalente quadro giuridico applicabile tra il Regno Unito e gli Stati Uniti.
Per "Servizi del Responsabile del trattamento" si intendono i servizi pertinenti elencati sul sito privacy.google.com/businesses/adsservices.
Per "Misure di sicurezza" si intendono le misure definite dall'articolo 7.1.1 (Misure di sicurezza di Google).
Per "Subresponsabili" si intendono i terzi autorizzati, nell'ambito dei presenti Termini contrattuali per il trattamento dei dati, a eseguire l'accesso logico e al trattamento dei dati personali del Cliente al fine di fornire parte dei Servizi del Responsabile del trattamento e il relativo supporto tecnico.
Per "Autorità di Controllo" si intende, a seconda dei casi: (a) una "autorità di controllo" così come definita nell'EU GDPR; e/o (b) il "Commissioner" così come definito nel GDPR del Regno Unito.
Per "Termine" si intende il periodo compreso tra la Data di efficacia dei Termini contrattuali fino all'interruzione della fornitura da parte di Google dei Servizi del Responsabile nell'ambito del Contratto.
Per "Data di efficacia dei termini contrattuali" si intende, ove pertinente:
(a) il 25 maggio 2018, qualora il Cliente abbia cliccato sull'opzione "accettare" o le parti abbiano acconsentito in altra sede ai presenti Termini contrattuali per il trattamento dei dati in tale data o precedentemente; oppure
(b) la data in cui il Cliente abbia cliccato sull'opzione "accettare" o le parti abbiano accettato in altra sede i presenti Termini contrattuali per il trattamento dei dati, qualora tale data sia successiva al 25 maggio 2018.
Per "Subresponsabile esterno" si intende la figura descritta dall'articolo 11.1 (Autorizzazione all'incarico di un Subresponsabile).
Per "GDPR del Regno Unito" si intende la versione adattata e incorporata nella legislazione del Regno Unito dell'EU GDPR alla luce dello "UK European Union (Withdrawal) Act 2018, se in vigore.
2.2 I termini "titolare del trattamento", "interessato" (persona interessata), "dati personali", "trattamento" e "responsabile del trattamento" utilizzati nei presenti Termini contrattuali per il trattamento dei dati possiedono il significato definito dal GDPR.
2.3 I termini "incluso" e "comprensivo" hanno il significato di "incluso ma non limitato a". Gli esempi addotti nei presenti Termini contrattuali per il trattamento sono a mero titolo illustrativo e non intendono incarnare concetti specifici.
2.4 Qualsiasi riferimento a quadri giuridici, normative o altre disposizioni di legge include le relative modifiche e riemanazioni.
2.5 Qualora questi Termini contrattuali per il trattamento dei dati siano tradotti in qualsiasi altra lingua, e vi fosse una discrepanza tra la versione in inglese e quella tradotta, la versione in inglese avrà prevalenza.
3. Durata dei presenti Termini contrattuali per il trattamento dei dati
I presenti Termini contrattuali per il trattamento dei dati entreranno in vigore a decorrere dalla Data di efficacia degli stessi e, indipendentemente dal Termine di scadenza, decadranno automaticamente e resteranno in vigore fino all'eliminazione di tutti i Dati personali del Cliente da parte di Google, come descritto dai presenti Termini contrattuali per il trattamento dei dati.
4. Applicazione dei presenti Termini contrattuali per il trattamento dei dati
4.1 Applicazione della Normativa europea sulla protezione dei dati. Le Sezioni da 5 (Trattamento dei dati) a 12 (Contattare Google - Registri dei dati trattati) (comprensivo) si applicheranno esclusivamente nella misura sancita dalla Normativa europea sulla protezione dei dati in materia di trattamento dei Dati personali del Cliente, anche se:
(a) il trattamento dei dati è realizzato nell'ambito delle attività di una sede del Cliente nello SEE o nel Regno Unito; e/o
(b) i Dati personali del Cliente si riferiscono a titolari ubicati nello SEE o nel Regno Unito e il trattamento implica l'offerta di beni o servizi, o il monitoraggio del loro comportamento nello SEE o nel Regno Unito.
4.2 Applicazione dei Servizi del responsabile del trattamento. I presenti Termini contrattuali per il trattamento dei dati si applicano esclusivamente ai Servizi forniti dal Responsabile del trattamento, convenuti dalle parti nell'ambito dei presenti termini contrattuali (per esempio: (a) i Servizi forniti dal Responsabile del trattamento selezionati dal Cliente al momento dell'accettazione dei presenti Termini contrattuali per il trattamento dei dati, oppure, (b) qualora il Contratto includa per riferimento i presenti Termini contrattuali per il trattamento dei dati, i Servizi forniti dal Responsabile del trattamento oggetto del Contratto).
4.3 Inclusione dei Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati. I Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati integrano i presenti Termini contrattuali per il trattamento dei dati.
5. Trattamento dei dati
5.1 Ruoli e Conformità normativa. Autorizzazioni.
5.1.1 Responsabilità del Titolare del trattamento e del Responsabile del trattamento. Le parti prendono atto e accettano che:
(a) l'Allegato 1 descrive l'oggetto e i particolari relativi al trattamento dei Dati personali del Cliente;
(b) Google è responsabile del trattamento dei Dati personali del Cliente ai sensi della Normativa europea sulla protezione dei dati;
(c) il Cliente è titolare o responsabile del trattamento, a seconda dei casi, dei Dati personali del Cliente ai sensi della Normativa europea sulla protezione dei dati; e
(d) ciascuna parte adempirà gli obblighi pertinenti ai sensi della Normativa europea sulla protezione dei dati in materia di trattamento dei Dati personali del Cliente.
5.1.2 Autorizzazione del Titolare del trattamento esterno. Se il Cliente è responsabile del trattamento, garantisce a Google che le proprie istruzioni e azioni con riguardo ai Dati personali del Cliente, incluso la nomina di Google come responsabile del trattamento, sono state autorizzate dal titolare del trattamento.
5.2 Istruzioni del Cliente. Con la stipula dei presenti Termini contrattuali per il trattamento dei dati, il Cliente mette Google in condizione di trattare i Dati personali del Cliente in assoluta conformità alle leggi in vigore, cioè: (a) di fornire i Servizi del responsabile del trattamento e il relativo supporto tecnico, (b) come ulteriormente specificato in merito alla fruizione da parte del Cliente dei Servizi del responsabile del trattamento (incluse le impostazioni e altre funzionalità dei Servizi del responsabile del trattamento), e del relativo supporto tecnico; (c) come documentato nel modulo del Contratto, comprensivo dei presenti Termini contrattuali per il trattamento dei dati; e (d) come ulteriormente documentato in ogni altra istruzione scritta fornita dal Cliente e riconosciuta da Google in quanto istruzioni costitutive ai fini dei presenti Termini contrattuali per il trattamento dei dati.
5.3 Adempimento delle istruzioni da parte di Google. Google adempirà alle istruzioni riportate all'articolo 5.2 (Istruzioni del Cliente) (incluso per quanto riguarda il trasferimento dei dati) salvo che le Leggi Europee o Nazionali a cui Google è vincolata, richiedano un diverso trattamento dei Dati personali del Cliente da parte di Google. In tal caso, Google provvederà a informare il Cliente (salvo che nessuna di queste Leggi impedisca a Google di agire in tali termini per rilevanti motivi di interesse pubblico).
5.4 Prodotti aggiuntivi. Se il Cliente utilizza dei Prodotti aggiuntivi, i Servizi del Responsabile del trattamento potrebbero consentire l'accesso di tali Prodotti aggiuntivi ai Dati personali del Cliente, secondo quanto richiesto ai fini dell'interazione tra i Prodotti Aggiuntivi e i Servizi del Responsabile del trattamento. Per maggiore chiarezza, i presenti Termini contrattuali per il trattamento dei dati non si applicano al trattamento dei dati personali correlati alla fornitura dei Prodotti Aggiuntivi utilizzati dal Cliente, inclusi i dati personali inviati o ricevuti dai Prodotti Aggiuntivi.
6. Eliminazione dei dati
6.1 Eliminazione durante il periodo di validità del contratto.
6.1.1 Servizi del Responsabile del trattamento provvisti della funzionalità di eliminazione. Durante il periodo di validità del contratto, se:
(a) la funzionalità dei Servizi del Responsabile del trattamento comprende l'opzione per il Cliente di eliminare i Dati personali del Cliente;
(b) il Cliente utilizza i Servizi del Responsabile del trattamento per eliminare determinati Dati personali del Cliente; e
(c) i Dati personali del Cliente eliminati non possono essere recuperati dal Cliente (per esempio, dal "cestino"),
Google eliminerà tali Dati personali del Cliente dai propri sistemi in tempi ragionevolmente brevi ed entro un periodo massimo di 180 giorni, salvo che le Leggi Europee o Nazionali ne richiedano la conservazione.
6.1.2 Servizi del Responsabile del trattamento sprovvisti della funzionalità di eliminazione. Durante il periodo di validità del contratto, se la funzionalità dei Servizi del Responsabile del trattamento non comprende l'opzione per il Cliente di eliminare i Dati personali del Cliente, Google si atterrà alle:
(a) richieste, purché ragionevoli, del Cliente per facilitare tale eliminazione, per quanto ciò sia possibile, tenuto conto della natura e della funzionalità dei Servizi del Responsabile del trattamento e sempre che le Leggi Europee o Nazionali ne richiedano la conservazione; e
(b) pratiche di ritenzione dei dati descritte sulla pagina policies.google.com/technologies/ads.
Google potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da Google) per gli interventi di eliminazione dei dati di cui all'articolo 6.1.2(a). Google fornirà ulteriori dettagli sulle commissioni applicabili e i criteri di calcolo delle stesse al Cliente, prima di ogni intervento di eliminazione.
6.2 Eliminazione alla scadenza del periodo di validità del contratto. Alla scadenza del Periodo di validità del contratto, il Cliente richiede a Google di eliminare tutti i Dati personali del Cliente (incluse le copie esistenti) dai sistemi di Google, ai sensi delle leggi vigenti. Google adempirà tale istruzione in tempi ragionevolmente brevi ed entro un periodo massimo di 180 giorni, salvo che le Leggi Europee o Nazionali ne richiedano la conservazione.
7. Sicurezza dei dati
7.1 Misure di sicurezza di Google e Assistenza.
7.1.1 Misure di sicurezza di Google. Google attuerà e manterrà misure tecniche e organizzative per prevenire la distruzione, accidentale o dolosa, la perdita, l'alterazione, la divulgazione e l'accesso non autorizzato ai Dati personali del Cliente, come descritto nell'Allegato 2 (le "Misure di sicurezza"). Come descritto nell'Allegato 2, le Misure di sicurezza includono misure che: (a) portano alla crittografia dei dati personali; (b) contribuiscono al mantenimento della riservatezza, integrità, disponibilità e capacità di recupero su base continua dei sistemi e servizi di Google; (c) contribuiscono all ripristino tempestivo dell'accesso ai dati personali in seguito a un incidente; e (d) sono volte all'esecuzione di test di efficienza regolari. Google potrà di volta in volta aggiornare o modificare le Misure di sicurezza, sempre che tali interventi di aggiornamento o modifica non comportino un deterioramento della sicurezza generale dei Servizi del Responsabile del trattamento.
7.1.2 Adempimento della sicurezza da parte del Personale di Google. Google adotterà provvedimenti conformi a garantire l'adempimento delle Misure di sicurezza da parte dei propri dipendenti, appaltatori e Sub-responsabili in base alla portata delle proprie prestazioni, garantendo inoltre che tutte le persone autorizzate al trattamento dei dati personali del Cliente si siano obbligate alla riservatezza ai sensi di un congruo obbligo normativo.
7.1.3 Assistenza di Google in materia di sicurezza. Il Cliente conviene che Google (tenendo conto della natura del trattamento dei Dati personali del Cliente e delle informazioni a cui Google ha accesso) fornirà assistenza al Cliente e garantirà l'adempimento degli obblighi del Cliente relativamente alla sicurezza dei dati personali e violazione degli stessi, inclusi (qualora applicabili) gli obblighi del Cliente ai sensi degli articoli 32, 33 e 34 del GDPR:
(a) tramite l'attuazione e il mantenimento delle Misure di sicurezza di cui all'articolo 7.1.1 (Misure di sicurezza di Google);
(b) tramite l'adempimento dei termini di cui all'articolo 7.2 (Incidenti relativi ai dati); e
(c) tramite la fornitura al Cliente della Documentazione in materia di sicurezza di cui all'articolo 7.5.1 (Valutazioni della documentazione in materia di sicurezza) e le informazioni contenute nei presenti Termini contrattuali di trattamento dei dati.
7.2 Incidenti relativi ai dati.
7.2.1 Notifica dell'Incidente. Se Googla viene a conoscenza di un Incidente relativo ai dati: (a) ne trasmetterà tempestiva comunicazione al Cliente; e (b) adotterà tempestivamente i provvedimenti necessari a minimizzare i danni e a salvaguardare i Dati personali del Cliente.
7.2.2 Dettagli dell'Incidente relativo ai dati. Le notifiche di cui all'articolo 7.2.1 (Notifica dell'Incidente) descriveranno, nei limiti del possibile, i dettagli dell'Incidente relativo ai dati, inclusi i provvedimenti adottati per mitigare i rischi potenziali e i provvedimenti consigliati da Google al Cliente per far fronte all'Incidente relativo ai dati.
7.2.3 Metodo di notifica. Google farà pervenire la notifica dell'Incidente relativo ai dati all'Indirizzo email di notifica o, a discrezione di Google (anche qualora il Cliente non abbia fornito un Indirizzo email di notifica) per mezzo di altra comunicazione diretta (per esempio, tramite chiamata telefonica o incontro dn persona). Il Cliente è il solo responsabile della fornitura di un Indirizzo email di notifica valido.
7.2.4 Notifiche a terzi. Il Cliente è responsabile per la sola 'osservanza delle leggi applicabili allo stesso sulla notifica degli incidenti e per l'adempimento degli obblighi di notifica a terzi concernente l'Incidente relativo ai dati.
7.2.5 Riconoscimento di colpa da parte di Google. La notifica o la risposta diGoogle che concerne un Incidente relativo ai dati ai sensi del presente articolo 7.2 (Incidenti relativi ai dati) non dovranno interpretarsi come un riconoscimento di colpa o responsabilità da parte di Google rispetto all'Incidente relativo ai dati.
7.3 Responsabilità e valutazione del Cliente in materia di sicurezza.
7.3.1 Responsabilità del Cliente in materia di sicurezza. Il Cliente conviene che, fermi restando gli obblighi di Google di cui all'articolo 7.1 (Misure di sicurezza di Google e Assistenza) e 7.2 (Incidenti relativi ai dati):
(a) il Cliente è responsabile solamente dell'uso dei Servizi del Responsabile del trattamento, incluso di:
(i) un uso adeguato dei Servizi del Responsabile del trattamento per garantire un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente; e
(ii) salvaguardare le credenziali di autenticazione dell'account, sistemi e dispositivi utilizzati dal Cliente per accedere ai Servizi del Responsabile del trattamento; e
(b) Google non ha l'obbligo di tutelare i Dati personali del Cliente che quest'ultimo decida di trasferire all'infuori di Google o dei sistemi dei suoi Sub-responsabili.
7.3.2 Valutazione della sicurezza da parte del Cliente. Il Cliente riconosce e acconsente che (tenuto conto delle tecnologie d'avanguardia, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e del fine del trattamento dei Dati personali del Cliente, nonché dei rischi per le persone fisiche) le Misure di sicurezza attuate e mantenute da Google secondo quanto disposto dall'articolo 7.1.1 (Misure di sicurezza di Google) forniscono un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente.
7.4 Certificazione in materia di Sicurezza. Per valutare e contribuire a garantire l'efficacia ininterrotta delle Misure di sicurezza, Google manterrà valida la Certificazione ISO 27001.
7.5 Revisione e Audit di conformità.
7.5.1 Revisione della documentazione in materia di sicurezza. Al fine di provare l'adempimento degli obblighi di cui ai presenti Termini contrattuali di trattamento dei dati, Google metterà a disposizione del Cliente, per sua revisione, la Documentazione in materia di sicurezza.
7.5.2 Diritti del Cliente all'audit.
(a) Google consentirà al Cliente o a un revisore esterno nominato dal Cliente di condurre le procedure di audit (comprensivo di ispezioni) atte a verificare l'adempimento da parte di Google degli obblighi di cui ai presenti Termini per il trattamento dei dati ai sensi dell'articolo 7.5.3 (Termini di contratto aggiuntivi in materia di audit). Google contribuirà all'esecuzione degli audit come descritto dall'articolo 7.4 (Certificazione in materia di sicurezza) e dal presente articolo 7.5 (Valutazioni e Audit di conformità).
(b) Il Cliente potrà condurre inoltre un audit atto a verificare l'adempimento da parte di Google degli obblighi di cui ai presenti Termini per il trattamento dei dati per mezzo della valutazione del certificato emesso ai fini della Certificazione ISO 27001 (il quale rispecchia l'esito di un audit condotto da un revisore esterno).
7.5.3 Termini di contratto aggiuntivi in materia di audit.
(a) Il Cliente farà pervenire qualsiasi richiesta di audit di cui all'articolo 7.5.2(a) a Google come descritto dall'articolo 12.1 (Contattare Google).
(b) In seguito al ricevimento da parte di Google della richiesta di cui all'articolo 7.5.3(a), Google e il Cliente converranno in anticipo, una reagionevole data di inizio, la portata, la durata e le verifiche applicabili in materia di sicurezza e riservatezza deglii audit di cui all'articolo 7.5.2(a).
(c) Google potrebbe addebitare una somma (calcolata in base alle spese ragionevolmente sostenute da Google) per gli audit di cui all'articolo 7.5.2(a). Google fornirà al Cliente ulteriori dettagli concernenti tale somma e i parametri di calcolo della stessa, prima della realizzazione degli audit. Il Cliente dovrà farsi carico delle spese comportate dai revisori esterni nominati dal Cliente per l'esecuzione di tali audit.
(d) Google potrà sollevare obiezioni riguardo qualsiasi revisore nominato dal Cliente per condurre l'audit ai sensi dell'articolo 7.5.2(a) qualora il revisore non possieda, sulla base di ragioni plausibili addotte da Google, le adeguate qualifiche o indipendenza, sia un concorrente di Google o sia palesemente inadatto per altri motivi. Qualora Google sollevi una di tali obiezioni, il Cliente dovrà nominare un altro revisore o condurre l'audit per proprio conto.
(e) Nulla di quanto disposto dai presenti Termini contrattuali di trattamento dei dati presuppone il consenso di Google alla divulgazione al Cliente o al revisore esterno, nonché l'accesso del Cliente o del revisore esterno a:
(i) dati di clienti di Società di Google;
(ii) dati interni contabili o finanziari di Societàdi Google;
(iii) segreti commerciali di Società di Google;
(iv) informazioni che, sulla base di ragioni plausibili di Google, potrebbero: (A) compromettere la sicurezza di sistemi o uffici delle Società di Google; o (B) comportare la violazione degli obblighi delle Società di Google di cui alla Normativa europea sulla protezione dei dati o degli obblighi di queste in materia di sicurezza e/o riservatezza nei confronti del Cliente o di terzi; oppure
(v) informazioni a cui il Cliente o il revisore esterno da questi nominato cerchino di accedere per ragioni estranee al dovere di buona fede nell'adempimento degli obblighi del Cliente di cui alla Normativa europea sulla protezione dei dati.
8. Valutazione dell'impatto e Consulenze
Il Cliente acconsente a che Google (considerata la natura del trattamento e delle informazioni a sua disposizione) lo assista al fine di garantire l'adempimento degli obblighi dello stesso con riguardo alla valutazione dell'impatto della protezione dei dati e della consulenza preliminare, includendo(se applicabili) gli obblighi del Cliente ai sensi degli Articoli 35 e 36 del GDPR tramite la fornitura:
(a) della Documentazione in materia di sicurezza di cui all'articolo 7.5.1 (Revisione della documentazione in materia di sicurezza);
(b) delle informazioni contenute nei presenti Termini contrattuali di trattamento dei dati; e
(c) lo la diversa messa a disposizione, secondo le procedure standard di Google, di altri materiali attinenti alla natura dei Servizi del Responsabile del trattamento e al trattamento dei Dati personali del Cliente (per esempio, materiali del centro di assistenza).
9. Diritti dell'Interessato
9.1 Risposte alle richieste dell'Interessato. Nel caso in cui Google riceva una richiesta da parte di un interessato relativamente ai dati personali del Cliente:
(a) se la richiesta è stata elaborata mediante uno Strumento dell'Interessato, risponderà direttamente alla suddetta richiesta, secondo la funzionalità standard di tale Strumento dell'Interessato; oppure
(b) se la richiesta non è stata elaborata mediante uno Strumento dell'Interessato, indicherà all'interessato di inoltrare la propria richiesta al Cliente, il quale sarà incaricato di evadere tale richiesta.
9.2 Richiesta di assistenza dell'Interessato a Google. Il Cliente acconsente a che Google (tenuto conto della natura del trattamento dei Dati personali del Cliente e, se pertinente, dell'Articolo 11 del GDPR) lo assista al fine di garantire l'adempimento degli obblighi dello stesso per quanto riguarda la risposta alle richieste elaborate dall'interessato, incluso (se applicabile) l'obbligo del Cliente di evadere le richieste in applicazione dei diritti dell'interessato stabiliti nel capitolo III del GDPR tramite:
(a) la fornitura della funzionalità dei Servizi del Responsabile del trattamento;
(b) l'adempimento degli impegni fissati dall'articolo 9.1 (Risposte alle richieste dell'Interessato); e
(c) se applicabile ai Servizi del Responsabile del trattamento, la messa a disposizione degli Strumenti dell'Interessato.
10. Trasferimento dei dati
10.1 Archiviazione dei dati e Sedi del trattamento. Il Cliente acconsente che Google possa, ai sensi dall'articolo 10.2 (Trasferimento di dati), archiviare o trattare i dati personali del Cliente negli Stati Uniti d'America e negli altri Paesi in cui Google o i suoi Sub-responsabili del trattamento possiedono delle sedi.
10.2 Trasferimento di dati. Google garantisce che:
(a) la capogruppo del gruppo Google, Google LLC, manterrà la sua autocertificazione relativa al Privacy Shield; e che
(b) l'ambito di applicazione della certificazione relativa al Privacy Shield comprende i Dati personali del Cliente.
10.3 Informazioni relative al data centre. Le informazioni relative alle sedi dei centri elaborazione dati di Google sono disponibili alla pagina www.google.com/about/datacenters/inside/locations/index.html.
11. Sub-responsabili del trattamento
11.1 Consenso all'incarico di Sub-responsabili del trattamento. Il Cliente autorizza espressamente l'incarico delle Affiliate di Google in qualità di Sub-responsabili del trattamento ("Sub-responsabili del trattamento affiliate di Google"). Inoltre, il Cliente autorizzerà il generale incarico di terzi in qualità di Sub-responsabili del trattamento ("Subresponsabili esterni del trattamento").
11.2 Informazioni relative ai Sub-responsabili del trattamento. Le informazioni relative ai Sub-responsabili del trattamento sono disponibili alla pagina privacy.google.com/businesses/subprocessors.
11.3 Requisiti per l'incarico dei Sub-responsabili del trattamento. Qualora incarichi un Sub-responsabile del trattamento, Google:
(a) garantirà tramite contratto scritto:
(i) l'accesso e uso da parte del Sub-responsabile del trattamento dei dati personali del Cliente esclusivamente nella misura necessaria a soddisfare gli obblighi riaffidati allo stesso, conformemente al Contratto (comprensivo dei presenti Termini contrattuali per il trattamento dei dati) e al Privacy Shield; e
(ii) qualora il GDPR sia applicabile al trattamento dei dati personali del Cliente, che gli obblighi in materia di protezione dei dati ai sensi dell'Articolo 28(3) del GDPR vengano imposti al Sub-responsabile del trattamento; e
(b) assumerà la piena responsabilità rispetto ad atti, omissioni e obblighi affidati al Sub-responsabile del trattamento.
11.4 Facoltà di reagire ai cambiamenti di Sub-responsabile del trattamento.
(a) Quando viene incaricato un nuovo Sub-responsabile del trattamento esterno durante il periodo di validità del contratto, Google ne informerà il Cliente almeno 30 giorni prima che il nuovo Sub-responsabile esterno del trattamento tratti i Dati personali del Cliente (notificando anche il nome e la sede del sub-responsabile del trattamento rilevante e le attività da questi svolte) tramite l'invio di un'email all'Indirizzo email di notifica.
(b) Il Cliente potrà reagire all'incarico di un nuovo Sub-responsabile del trattamento esterno recedendo dal contratto con effetto immediato, tramite notifica scritta a Google, sempre che questa sia fatta pervenire entro 90 giorni dalla comunicazione dell'incarico del nuovo Sub-responsabile del trattamento esterno, come descritto dall'articolo 11.4(a). Il diritto del Cliente di recedere dal contratto costituisce l'unico rimedio a sua disposizione in caso di disapprovazione di un nuovo Sub-responsabile esterno del trattamento .
12. Contattare Google - Registri dei dati trattati
12.1 Contattare Google. Il Cliente potrà contattare Google in merito all'esercizio dei propri diritti ai sensi dei presenti Termini contrattuali di trattamento dei dati, avvalendosi dei metodi descritti alla pagina privacy.google.com/businesses​/processorsupport o dei mezzi forniti da Google di volta in volta.
12.2 Registri dei dati trattati tenuti da Google. Il Cliente riconosce che, ai sensi del GDPR, Google è obbligata a: (a) predisporre un registro di determinati dati, tra cui nomi e informazioni di contatto di ogni responsabile e/o titolare del trattamento, per conto del quale agisce e (se rilevante) dei rappresentanti locali e responsabili della protezione dei dati di tali responsabili e/o titolari del trattamento; e (b) mettere tali informazioni a disposizione di qualsiasi Autorità di Controllo. Di conseguenza, il Cliente fornirà, laddove gliene venga fatta richiesta e sia applicabile , tali informazioni a Google tramite l'interfaccia utente dei Servizi del responsabile del trattamento o attraverso altri mezzi forniti da Google, e utilizzando quest'ultimi per garantire che tutte le informazioni fornite siano accurate e aggiornate.
13. Responsabilità
Se il Contratto è disciplinato dalle leggi di:
(a) uno degli Stati Uniti d'America, nonostante quanto concordato nel Contratto, la responsabilità complessiva di una delle due parti nei confronti dell'altra, derivante o inerente ai presenti Termini contrattuali per il trattamento dei dati, sarà limitata a un risarcimento di importo massimo pari al tetto di responsabilità della parte in questione fissato dal Contratto (per maggiore chiarezza, l'esclusione di pretese di risarcimento derivanti dalla limitazione di responsabilità inerente al Contratto non potrà essere applicata alle pretese di risarcimento nell'ambito del Contratto riguardanti la Normativa europea sulla protezione dei dati o la Normativa non-europea sulla protezione dei dati); oppure
(b) una giurisdizione non appartenente a uno degli Stati Uniti d'America, la responsabilità delle parti, derivante o inerente ai presenti Termini contrattuali per il trattamento dei dati, sarà soggetta alle esclusioni e limitazioni di responsabilità del Contratto.
14. Efficacia dei presenti Termini contrattuali per il trattamento dei dati
In caso di conflitto o incongruenza tra i termini dei Termini aggiuntivi relativi alla Normativa non euroepa sulla protezione dei dati, il resto dei presenti Termini contrattuali al trattamento dei dati ed il resto di quelli del Contratto, si applicherà il seguente ordine di precedenza: (a) i Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati; (b) il resto dei presenti Termini contrattuali per il trattamento dei dati; (c) il resto dei termini del Contratto. Il Contratto, fatte salve successive modifiche ai presenti Termini contrattuali per il trattamento dei dati, rimarrà pienamente valido ed efficace.
15. Modifiche ai presenti Termini contrattuali di trattamento dei dati
15.1 Modifiche degli URL. Google si riserva di modificare di volta in volta gli URL riportati nei presenti Termini contrattuali per il trattamento dei dati, così come il contenuto di tali URL. Google può modificare solo l'elenco dei Servizi potenziali forniti dal Responsabile del trattamento sul sito privacy.google.com/businesses/adsservices unicamente per:
(a) riportare una modifica al nome di un servizio;
(b) aggiungere un nuovo servizio; oppure
(c) rimuovere un servizio laddove: (i) sia sopraggiunta la risoluzione di tutti i contratti per la fornitura del suddetto servizio; oppure (ii) Google disponga del consenso del Cliente.
15.2 Modifiche ai presenti Termini contrattuali per il trattamento dei dati. Google potrà modificare i presenti Termini contrattuali per il trattamento dei dati:
(a) se espressamente consentito dai presenti Termini contrattuali per il trattamento dei dati, e così come descritto dall'articolo 15.1 (Modifiche agli URL);
(b) per riportare una modifica nel nome o nella forma di un'entità giuridica;
(c) se necessario ai fini dell'adempimento di leggi e regolamenti in vigore, ordinanze del tribunale o direttive emesse da organismi di vigilanza o agenzie governative; oppure
(d) qualora non: (i) determini una diminuzione della sicurezza complessiva dei Servizi del Responsabile del trattamento; (ii) ampli l'ambito di applicazione o elimini le limitazioni in materia di (x) in caso di Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati, diritto di Google di utilizzare o altrimenti trattare i dati nell'ambito dei Temrini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati, oppure (v) nel caso del resto dei presenti Termini contrattuali al trattamento dei dati, trattamento dei Dati personali del Cliente da parte di Google, come descritto dall'articolo 5.3 (Adempimento delle istruzioni da parte di Google); oppure (iii) si ripercuota in maniera sfavorevole sui diritti del Cliente di cui ai presenti Termini contrattuali per il trattamento dei dati, come ragionevolmente valutato da Google.
15.3Notifica delle modifiche. Qualora Google intenda modificare i presenti Termini contrattuali per il trattamento dei dati ai sensi dell'articolo 15.2(c) o (d), ne informerà il Cliente con un preavviso di almeno 30 giorni (o inferiore, se così prescritto in adempimento delle leggi e regolamenti in vigore, di ordinanze del tribunale o direttive emesse da organismi di vigilanza o agenzie governative) rispetto all'entrata in vigore della modifica, a mezzo di: (a) email inviata all'Indirizzo email di notifica; o (b) avviso fatto pervenire al Cliente tramite l'interfaccia utente dei Servizi del Responsabile del trattamento. Qualora il Cliente si opponga alle suddette modifiche, potrà terminare il Contratto trasmettendone comunicazione scritta a Google entro 90 giorni a decorrere dalla notifica della modifica da parte di Google.
Allegato 1: Oggetto e Particolari del trattamento di dati
Oggetto
La prestazione, da parte di Google, dei Servizi del Responsabile del trattamento e della inerente assistenza tecnica al Cliente.
Durata del Trattamento di dati
Il Periodo di validità, oltre al periodo compreso dalla scadenza del Periodo di validità fino all'eliminazione di tutti i Dati personali del Cliente da parte di Google, ai sensi dei presenti Termini contrattuali di trattamento dei dati.
Natura e finalità del Trattamento di dati
Google tratterà (includendo, se applicabile ai Servizi del responsabile del trattamento e alle istruzioni descritte dall'articolo 5.2 (Istruzioni del Cliente), la raccolta, la registrazione, l'organizzazione, la struttura, l'archivio, le modifiche, il recupero, l'uso, la divulgazione, le combinazioni, la cancellazioni e la distruzione) i Dati personali del Cliente al fine di fornire i Servizi del Responsabile del trattamento e la relativa assistenza tecnica al Cliente ai sensi dei presenti Termini contrattuali per il trattamento dei dati.
Tipologie di Dati personali
I Dati personali del Cliente possono includere le tipologie di dati personali descritte alla pagina privacy.google.com/businesses/adsservices.
Categorie di Interessati
I Dati personali del Cliente possono riferirsi alle seguenti categorie di interessati:
 di cui Google raccoglie i dati personali nella fornitura dei Servizi del Responsabile del trattamento; e/o
 i cui dati personali vengono trasferiti a Google dal Cliente, dietro sue istruzioni o per suo conto, in relazione ai Servizi del Responsabile del trattamento.
A seconda della natura dei Servizi del Responsabile del trattamento, gli interessati potrebbero essere degli individui: (a) a cui viene o sarà rivolta la pubblicità online; (b) che hanno visitato siti web o applicazioni specifiche in rapporto a cui Google presta i Servizi del Responsabile del trattamento; e/o (c) sono clienti o utenti dei prodotti o dei servizi del Cliente.
Allegato 2: Misure di sicurezza
A partire dalla Data di efficacia dei Termini contrattuali, Google attuerà e manterrà le Misure di sicurezza fissate nel presente Allegato 2. Google potrà di volta in volta aggiornare o modificare tali Misure di sicurezza, sempre che tali interventi di aggiornamento o modifica non comportino un deterioramento della sicurezza generale dei Servizi del Responsabile del trattamento.
1. Data centre e Sicurezza della rete
(a) Centri elaborazione dati.
Infrastruttura. Google possiede dei centri elaborazione dati distribuiti in diverse aree geografiche. Google archivia i dati in data centre sicuri.
Ridondanza. L'infrastruttura IT è stata concepita per eliminare i singoli punti di vulnerabilità e minimizzare l'impatto dei rischi ambientali prevedibili. Circuiti doppi, commutatori, reti o altri dispositivi necessari contribuiscono alla realizzazione della ridondanza. I Servizi del Responsabile del trattamento sono concepiti per consentire a Google di attuare determinate tipologie di manutenzione preventiva e correttiva su base continua. Tutte le attrezzature ambientali e sedi hanno attestato le procedure di manutenzione preventiva che descrivono il processo e la frequenza di performance in base alle specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei centri elaborazione dati è programmata per mezzo di un procedimento standard conforme alle procedure attestate.
Sistemi di alimentazione. I sistemi elettrici del data centre sono concepiti per essere ridondanti e sostenibili senza avere impatto sulla continua operatività , 24 ore al giorno, sette giorni su sette. Nella maggior parte dei casi, una fonte di energia primaria e una fonte di energia alternativa, entrambe con pari capacità, vengono fornite per i settori sensibili delle infrastrutture dei centri elaborazione dati. Una fonte di alimentazione di riserva è fornita da vari meccanismi, quali i gruppi statici di continuità (UPS), che forniscono una protezione energetica altamente affidabile durante gli sbalzi di tensione della rete, blackout, sovratensione, sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se la fornitura di energia elettrica viene interrotta, l'energia di riserva è concepita per fornire un'alimentazione transitoria al data centre , al pieno della capacità, per un massimo di 10 minuti, finché non viene rilevata dai sistemi di generazione diesel. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il centro elaborazione dati al pieno delle proprie capacità, generalmente per una durata di giorni.
Sistemi operativi del server. I server di Google utilizzano sistemi operativi sottoposti a stress-test e adattati alle esclusive esigenze delle attività del server. I dati vengono archiviati utilizzando algoritmi proprietari al fine di accrescere la sicurezza e la ridondanza. Google impiega un procedimento di revisione del codice per aumentare la sicurezza del codice fornito ai Servizi del Responsabile del trattamento e potenziare i prodotti di sicurezza negli ambienti di produzione..
Continuità operativa. Google riproduce i dati su molteplici sistemi per favorire la protezione contro le perdite o la distruzione accidentali. Google ha concepito i propri programmi di pianificazione del disaster recovery/continuità operativa e li controlla e testa regolarmente.
(b) Network e Trasmissione.
Trasmissione dei dati. I centri di elaborazione dati sono generalmente connessi tramite collegamenti privati ad alta velocità in grado di fornire il trasferimento rapido e sicuro dei dati tra i centri di elaborazione. Tale trasmissione è stata concepita per prevenire la lettura, copia, alterazione o estrazione dei dati senza autorizzazione durante il trasferimento elettronico o il trasporto, ovvero la copia su supporti di memorizzazione dei dati. Google trasferisce i dati impiegando protocolli di rete standardizzati.
Superficie di attacco esterna. Google impiega dispositivi di rete e di rilevamento delle intrusioni a vari livelli per proteggere la propria superficie di attacco esterna. Google prevede i potenziali vettori di attacco e integra tecnologie progettate a tal fine nei sistemi rivolti verso l'esterno.
Rilevamento delle intrusioni. Il rilevamento delle intrusioni mira a fornire una panoramica delle attività di attacco in corso e le informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di Google prevede:
1. il controllo minuzioso delle dimensioni e del camuffamento della superficie di attacco di Google attraverso misure preventive;
2. l'impiego di comandi di rilevamento intelligenti nei punti d'ingresso dei dati; e
3. l'impiego di tecnologie in grado di rimediare automaticamente a determinate situazioni di pericolo.
Risposta all'incidente. Google monitora una varietà di canali di comunicazione per gli incidenti che intaccano la sicurezza, e il personale addetto alla sicurezza di Google reagisce tempestivamente agli incidenti di cui viene a conoscenza.
Tecnologie di crittografia. Google mette a disposizione la crittografia del protocollo HTTPS (noto anche come connessione SSL o TLS). I server di Google supportano lo scambio di chiave Diffie Hellman su curve ellittiche firmato RSA ed ECDSA. Tali metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e minimizzano l'impatto di una chiave compromessa o di una penetrazione crittografica.
2. Accesso e verifiche dei luoghi
(a) Verifiche dei luoghi.
Unità operativa di sicurezza dei centri di elaborazione dati I centri di elaborazione dati di Google possiedono un'unità operativa di sicurezza in loco responsabile della sicurezza fisica di tutti i dati del centro, funzionante 24 ore al giorno, sette giorni su sette. Il personale dell'unità operativa in loco esegue il monitoraggio di telecamere e sistemi di allarme a Circuito chiuso ("TVCC"). Il personale di sicurezza dell'unità operativa in loco esegue delle regolari perlustrazioni interne ed esterne del data centre.
Procedure di accesso al data centre. Google dispone di procedure di accesso formali per consentire l'accesso di persone fisiche ai centri di elaborazione dati. I centri di elaborazione dati sono ospitati da strutture munite di accesso mediante carta magnetica e di sistemi di allarme collegati all'unità operativa di sicurezza in loco. I visitatori del data centre devono identificarsi e attestare la propria identità all'unità operativa di sicurezza in loco. Solo ai dipendenti autorizzati, ai dipendenti di imprese appaltatrici e ai visitatori è consentito entrare nel centro di elaborazione dati. Solo i dipendenti autorizzati e i dipendenti di imprese appaltatrici esterne possono richiedere una scheda magnetica di accesso a tali strutture. La richiesta della scheda magnetica di accesso al data centre deve essere trasmessa in anticipo e per iscritto, dovendo essere approvata dal gestore delle istanze e dal responsabile del data centre. I rimanenti visitatori che hanno bisogno di un accesso temporaneo al data centre devono: (i) ottenere la previa approvazione dei dirigenti del data centre in questione per le specifiche aree interne che si richiede di visitare; (ii) registrarsi presso l'unità operativa di sicurezza in loco; e (iii) rifarsi a un registro di accesso al data centre approvato che permetta di identificare l'individuo come approvato.
Dispositivi di sicurezza ospitati nel centro di elaborazione dati. I centri di elaborazione dati di Google impiegano un sistema di controllo dell'accesso mediante scheda magnetica e riconoscimento biometrico, collegato al sistema di allarme. Il sistema di controllo dell'accesso verifica e registra le schede magnetiche di ogni individuo, l'accesso alle porte perimetrali, di spedizione e ricezione, e ad altre aree sensibili. Le attività non autorizzate e i tentativi di accesso falliti vengono rilevati dal sistema di controllo dell'accesso e opportunamente studiati. L'accesso autorizzato ai centri delle operazioni commerciali e di elaborazione dati è limitato in base alle aree e responsabilità professionali degli individui. Le porte antincendio dei centri di elaborazione dati sono dotate di allarme. Le telecamere TVCC sono in funzione all'interno e all'esterno del centro di elaborazione dati. Il posizionamento delle telecamere è stato progettato per coprire le aree strategiche, tra cui il perimetro, le porte di accesso agli edifici del data centre, e le porte utilizzate per la spedizione/ricezione. Il personale operativo di sicurezza in loco gestisce le attrezzature di monitoraggio, registrazione e controllo del sistema TVCC. Un sistema di cablaggio sicuro connette le attrezzature TVCC attraverso i centri di elaborazione dati. Le telecamere in loco effettuano riprese video digitali che registrano durante 24 ore al giorno, sette giorni su sette. Le registrazioni di sorveglianza vengono conservate per almeno sette giorni, a seconda dell'attività.
(b) Controllo dell'accesso.
Personale preposto alla sicurezza dell'infrastruttura. Google ha e una politica di sicurezza per il proprio personale, e richiede che il pacchetto formativo dello stesso venga integrato da corsi di formazione in materia di sicurezza. Il personale preposto alla sicurezza dell'infrastruttura di Google è responsabile del monitoraggio costante della sicurezza delle infrastrutture di Google, della verifica dei Servizi del Responsabile del trattamento e della risposta agli incidenti relativi alla sicurezza.
Controllo dell'accesso e Concessione dei privilegi. Gli amministratori e gli utenti del Cliente devono identificarsi per mezzo di un sistema di autenticazione centrale o di un singolo sistema di registrazione per poter usare i Servizi del responsabile del trattamento.
Politiche e procedimenti per l'accesso ai dati interni - Politica di accesso. Le politiche e i procedimenti per l'accesso ai dati interni di Google sono concepiti per impedire l'accesso di persone e/o sistemi non autorizzati ai sistemi utilizzati per il trattamento dei dati personali. Google intende concepire sistemi che: (i) consentano l'accesso ai dati solo alle persone autorizzate a tal fine; e (ii) salvaguardino i dati personali dalla lettura, riproduzione, alterazione o estrazione non autorizzata durante il trattamento e l'uso, e dopo la registrazione. I sistemi sono stati progettati per rilevare ogni tipo di accesso non autorizzato. Google adopera un sistema di gestione centralizzato per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo a un numero limitato di personale autorizzato. LDAP, Kerberos e un sistema proprietario che impiega i certificati SSH sono progettati per fornire a Google meccanismi di accesso sicuri e flessibili. Tali meccanismi sono progettati per concedere solo diritti di accesso convalidati alle sedi di host, registrazioni, dati e informazioni di configurazione. Google richiede l'uso di ID utente unici, password sicure, autenticazione a due fattori ed elenchi di monitoraggio dell'accesso estremamente accurati per ridurre l'eventualità di un uso non autorizzato dell'account. La concessione o la revisione dei diritti di accesso si basa: sulle responsabilità professionali del personale autorizzato; sulle esigenze legate alle mansioni lavorative in funzione della realizzazione dei compiti autorizzati; e sulla necessità di entrare a conoscenza delle basi. La concessione o la revisione dei diritti di accesso deve inoltre essere conforme alle politiche di accesso ai dati interni e di formazione. Le approvazioni sono gestite da strumenti del flusso di lavoro che mantengono registrazioni di audit per ogni modifica. L'accesso ai sistemi viene registrato per creare un audit trail ai fini della responsabilità. Qualora le password vengano impiegate per l'autenticazione (per esempio, per l'accesso a delle postazioni di lavoro), vengono attuate delle politiche relative alle password che seguano almeno gli standard minimi delle pratiche del settore. Tali standard includono il divieto al riutilizzo delle password e un livello di sicurezza adeguato.
3. Dati
(a) Memorizzazione di dati, isolamento e autenticazione.
Google archivia i dati in un ambiente multipiattaforma all'interno dei propri server. I dati, le basi di dati dei Servizi del Responsabile del trattamento e l'architettura dei file di sistema vengono replicati tra centri elaborazione dati sparpagliati in diverse aree geografiche. Google isola logicamente tutti i dati del cliente. Un sistema di autenticazione centrale viene usato per tutti i Servizi del Responsabile del trattamento per ottenere una maggiore uniformità nella sicurezza dei dati.
(b) Linee guida per i dischi ritirati e la distruzione dei dischi.
Alcuni dischi contenenti dati potrebbero presentare delle carenze a livello di performance, dell'hardware o degli errori che potrebbero condurre al loro ritiro ("Dischi ritirati"). Ogni Disco ritirato viene sottoposto a delle procedure per la distruzione dei dati (le "Linee guida per la distruzione dei dati") prima di abbandonare i locali di Google, ai fini del riutilizzo o della distruzione. I Dischi ritirati vengono cancellati mediante un procedimento composto da varie fasi, la cui compiutezza viene verificata da almeno due ispettori indipendenti. I risultati della cancellazione vengono registrati mediante il numero di serie del disco ritirato ai fini della tracciabilità. In fine, il Disco ritirato viene rilasciato per essere inventariato per il riutilizzo o la ridistribuzione. Qualora il Disco ritirato non possa essere cancellato a causa di danneggiamento dell'hardware, verrà conservato in un luogo sicuro fino alla distruzione dello stesso. Tutte le strutture vengono sottoposte regolarmente ad audit al fine di monitorare la conformità alle Linee guide sulla distruzione dei dati.
4. Sicurezza del personale
Google richiede al proprio personale di adottare una condotta coerente con le linee guida dell'azienda in materia di riservatezza, etica commerciale, uso adeguato e standard professionali. Google conduce un controllo esaustivo delle referenze nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro.
Google richiede al personale di attenersi a un accordo di riservatezza della cui ricezione e conformità alla Politica sulla privacy e la riservatezza di  [omissis] o. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione dei Dati personali del cliente deve soddisfare delle esigenze aggiuntive inerenti al proprio ruolo. Il personale di Google non tratterà i Dati personali del cliente senza autorizzazione.
5. Sicurezza del Sub-responsabile del trattamento
Allegato 3: Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati
I seguenti Termini aggiuntivi relativi alla Normativa non-europea sulla protezione dei dati integrano i presenti Termini contrattuali sul trattamento dei dati:
 Addendum ai CCPA relativi al fornitore di servizi  [omissis]  disponibili a privacy.google.com/business/processorterms/ccpa (del 1 gennaio 2020)
Termini contrattuali per il trattamento dei dati degli Annunci di Google, versione 1.4
1 gennaio 2020