Appendice sul trattamento dei dati di Shopify

La presente Appendice sul trattamento dei dati di Shopify (“Appendice”) modifica i Termini e condizioni del servizio Shopify ed eventuali altri termini che includono la presente Appendice mediante riferimento (denominati congiuntamente “Accordo”) convenuti tra l’utente e Shopify Inc., società canadese con sede in 151 O’Connor Street, Ground floor, Ottawa, ON, K2P 2L8, in nome e per conto proprio e della sua consociata di Singapore Shopify Commerce Singapore Pte. Ltd., e la sua consociata irlandese Shopify International Ltd. (congiuntamente denominate “Shopify”).

1. Definizioni

(a) “Leggi europee in materia di protezione dei dati” indica il Regolamento dell’Unione europea 2016/679 (“Regolamento generale sulla protezione dei dati”), il Data Protection Act 2018 del Regno Unito (“DPA”), il Regolamento generale sulla protezione dei dati del Regno Unito come definito dal DPA e modificato dalle Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (denominate congiuntamente al DPA “GDPR del Regno Unito”) ed eventuali normative, statuti, regolamenti, norme o altri strumenti vincolanti pertinenti che implementano quanto sopra descritto o che fanno altresì riferimento alla protezione dei dati, alla privacy, alla sicurezza dei dati o al trattamento dei Dati personali in uno qualsiasi degli Stati membri dell’Unione europea o nel Regno Unito, in ciascun caso secondo quanto applicabile e in vigore e come di volta in volta modificato, codificato, nuovamente promulgato o sostituito.

(b) Il termine “Dati personali” dovrà essere interpretato in conformità con le Leggi europee e le Leggi degli Stati Uniti in materia di protezione dei dati, come applicabile, e in relazione a una persona identificabile o identificata che visita il tuo negozio o effettua transazioni attraverso lo stesso (un “Cliente”). Shopify elabora i dati in qualità di Responsabile del trattamento dei dati o Fornitore di servizi (secondo la definizione prevista da tali leggi) nel corso della fornitura dei Servizi nei tuoi confronti, in quanto Titolare del trattamento o Attività (come definito da tali leggi). Il termine “Dati personali” include inoltre le “Informazioni personali” come definito dalle Leggi degli Stati Uniti in materia di protezione dei dati. In deroga alla frase precedente, i Dati personali non includono dati elaborati da Shopify nell’ambito dei servizi forniti direttamente al consumatore, ad esempio attraverso applicazioni rivolte ai consumatori come Shop e Shop Pay.

(c) “Leggi degli Stati Uniti in materia di protezione dei dati” indica il California Consumer Privacy Act come modificato dal California Privacy Rights Act (“CCPA”), il Virginia Consumer Data Protection Act (“VCDPA”), il Colorado Privacy Act (“CPA”), lo Utah Consumer Privacy Act (“UCPA”), il Connecticut Act Concerning Personal Data Privacy and Online Monitoring (“CTDPA”) e altre leggi analoghe comprensive sulla privacy dei singoli Stati che impongono degli obblighi a un’Attività o un Titolare del trattamento in relazione ai Dati personali (secondo la definizione prevista da tali leggi) ed eventuali regolamenti, norme o altri strumenti vincolanti pertinenti che implementano tali leggi, in ciascun caso secondo quanto applicabile e in vigore e come di volta in volta modificato, codificato, nuovamente promulgato o sostituito.

(d) “Consumatore degli Stati Uniti” indica una persona che agisce in qualità di “consumatore” come definito dalle Leggi degli Stati Uniti in materia di protezione dei dati.

(e) Tutti gli altri termini maiuscoli nella presente Appendice avranno la stessa definizione prevista nell’Accordo.

2. Dettagli del trattamento

2.1. Le parti convengono che l’Appendice 1 della presente Appendice descrive l’oggetto e i dettagli del trattamento dei Dati personali. Shopify può aggregare, rendere anonimi o deidentificare i Dati personali ed elaborarli per gli scopi stabiliti nell’Appendice 1 o come altrimenti consentito dalla legislazione vigente. Nella misura in cui Shopify riceve da te i Dati personali deidentificati (come definito nella Sezione 5.1 della presente Appendice), Shopify si impegna a conservare e utilizzare i dati solamente in forma deidentificata.

3. Unione europea e Regno Unito

3.1. La presente sezione si applica soltanto nella misura in cui il Trattamento dei dati personali da parte di Shopify è soggetto alle Leggi europee in materia di protezione dei dati. Nella presente sezione, “Responsabile del trattamento dei dati”, “Titolare del trattamento”, “Soggetto di dati”, “Trattamento”, “Subincaricato” e “Autorità di controllo” dovranno essere interpretati in conformità con le Leggi europee in materia di protezione dei dati.

3.2. Prendi atto che Shopify agisce come Titolare del trattamento indipendente con riferimento ai dati personali raccolti dai consumatori in relazione alle sue applicazioni e i suoi servizi rivolti ai consumatori, come Shop e Shop Pay.

3.3. Laddove un Soggetto di dati si trovi nello Spazio economico europeo o nel Regno Unito, i suoi Dati personali saranno trattati dalla filiale irlandese di Shopify, Shopify International Ltd (“Shopify EU”). Nell’ambito dell’erogazione dei Servizi, tali Dati personali potranno essere trasferiti in altri paesi, tra cui il Canada e gli Stati Uniti. Tali trasferimenti saranno eseguiti in conformità con la Legislazione sulla protezione dei dati vigente.

3.4. Durante il trattamento dei Dati personali per l’erogazione dei Servizi, Shopify EU:

  • 3.4.1. elaborerà i Dati personali in qualità di Responsabile del trattamento dei dati e/o Fornitore dei servizi, al solo scopo di erogare i Servizi in conformità con le istruzioni da te specificate (a condizione che tali istruzioni siano commisurate alle funzionalità dei Servizi) e secondo quanto potrà essere successivamente accettato da parte tua. Qualora Shopify EU dovesse essere tenuta per legge a trattare i Dati personali per qualsiasi altro scopo, ti fornirà un preavviso riguardo tale necessità, salvo nel caso in cui a Shopify EU sia proibito per legge fornire tale avviso;

  • 3.4.2. ti informerà se dovesse ritenere che le tue istruzioni sul trattamento dei Dati personali violino le Leggi europee in materia di protezione dei dati vigenti;

  • 3.4.3. ti informerà tempestivamente, per quanto consentito dalla legge, se dovesse ricevere da un’Autorità di controllo una disputa o un reclamo per il Trattamento dei dati personali di Shopify EU;

  • 3.4.4. implementerà misure tecniche e organizzative appropriate per consentirti di adempiere alle richieste che sei tenuto a soddisfare in relazione ai Dati personali dei tuoi Clienti;

  • 3.4.5. implementerà e manterrà misure tecniche e organizzative appropriate per proteggere i Dati personali dai trattamenti non autorizzati o illeciti e da perdite accidentali, distruzione, danneggiamento, furto, alterazione o divulgazione. Queste misure dovranno essere appropriate in base al danno che potrebbe derivare da qualsiasi trattamento non autorizzato o illecito, dalla perdita accidentale, distruzione, danneggiamento o furto dei Dati personali e appropriate in base alla natura dei Dati personali da proteggere;

  • 3.4.6. su richiesta, fornirà dati ragionevoli per aiutarti a completare la valutazione d’impatto sulla protezione dei dati e consultazioni preliminari con le autorità di regolamentazione;

  • 3.4.7. su richiesta, ti fornirà attestazioni, report o estratti aggiornati se disponibili presso una fonte incaricata del controllo delle pratiche di protezione dei dati di Shopify EU (ad esempio, revisori esterni, revisori interni, revisori per la protezione dei dati) o certificazioni idonee a consentirti di valutare la conformità ai termini della presente Appendice;

  • 3.4.8. ti avviserà tempestivamente al momento in cui dovesse scoprire e accertare qualsiasi trattamento, divulgazione o accesso accidentale, non autorizzato o illegale ai Dati personali;

  • 3.4.9. si assicurerà che il proprio personale che accede ai Dati personali sia soggetto all’obbligo di riservatezza;

  • 3.4.10. dopo la risoluzione dell’Accordo, Shopify EU inizierà prontamente il processo di cancellazione, eliminando o rendendo anonimi i Dati personali. Puoi fare richiesta, entro 60 giorni dalla risoluzione, di restituzione di tali Dati personali da parte di Shopify.

3.5. Nel corso della fornitura dei Servizi, con la presente riconosci e concedi a Shopify EU l’autorizzazione scritta generale a utilizzare Subincaricati, elencati online all’indirizzo: https://help.shopify.com/it//manual/privacy-and-security/privacy/subprocessors (“Elenco dei subincaricati”), per il trattamento dei Dati personali. L’utilizzo da parte di Shopify EU di un determinato Subincaricato per il trattamento dei Dati personali deve avvenire in conformità con le Leggi europee in materia di protezione dei dati e deve essere disciplinato da un contratto tra Shopify EU e il Subincaricato che preveda tutele comparabili a quelle della presente Appendice sul trattamento dei dati. Qualora Shopify EU nomini un nuovo Subincaricato o intenda apportare modifiche riguardanti l’aggiunta o la sostituzione di subincaricati, tali modifiche saranno apportate all’Elenco dei subincaricati. Avrai sette (7) giorni di tempo dalla data dell’aggiornamento dell’Elenco dei subincaricati per contestare la modifica. Se contesti la nomina di un Subincaricato, puoi risolvere il presente Accordo e l’Accordo di Shopify Plus, se del caso.

3.6. Garantisci di aver rispettato e di continuare a rispettare le Leggi europee in materia di protezione dei dati, in particolare, di aver ottenuto tutti i consensi necessari o aver fornito eventuali avvisi necessari e di avere altrimenti un motivo legittimo per divulgare i dati a Shopify EU e consentire il trattamento dei Dati personali da parte di Shopify EU come stabilito nel presente Accordo.

4. Consumatori degli Stati Uniti

4.1. La presente sezione si applica soltanto nella misura in cui, per gli scopi definiti dalle Leggi degli Stati Uniti in materia di protezione dei dati, agisci in qualità di Attività o Titolare del trattamento e nel corso della fornitura dei Servizi, Shopify elabora i Dati personali relativi a Consumatori degli Stati Uniti soggetti alle Leggi degli Stati Uniti in materia di protezione dei dati. Nella presente sezione “Attività”, “Scopi aziendali”, “Scopi commerciali”, “Titolare del trattamento”, “Deidentificati”, “Responsabile del trattamento”, “Vendere”, “Vendita”, “Fornitore di servizi” avranno il significato a loro attribuito nelle Leggi degli Stati Uniti in materia di protezione dei dati e “Condividere” avrà il significato attribuitogli nel CCPA, ivi inclusi mediante riferimento.

4.2. In relazione a tali Dati personali e nella misura richiesta dalle Leggi degli Stati Uniti in materia di protezione dei dati vigenti, Shopify:

  • 4.2.1. elaborerà i Dati personali in qualità di Fornitore di servizi e/o Responsabile del trattamento per tuo conto al fine di fornire i Servizi o come altrimenti consentito dalle Leggi degli Stati Uniti in materia di protezione dei dati;

  • 4.2.2. non conserverà, utilizzerà o divulgherà i Dati personali al di fuori del rapporto commerciale diretto con te o per qualsiasi altro scopo diverso dalla fornitura dei Servizi, inclusi la conservazione, l’utilizzo o la divulgazione di tali Dati personali per Scopi commerciali diversi dall’esecuzione degli Scopi aziendali descritti nell’Accordo o come altrimenti consentito dalle Leggi degli Stati Uniti in materia di protezione dei dati;

  • 4.2.3. non Venderà o Condividerà tali Dati personali;

  • 4.2.3. non abbinerà i Dati personali raccolti in relazione all’esecuzione dei Servizi a Dati personali ricevuti da un’altra fonte o raccolti dalle sue interazioni con la persona, salvo per l’esecuzione dei Servizi, con consenso o indicazione o come altrimenti consentito dalle Leggi degli Stati Uniti in materia di protezione dei dati;

  • 4.2.4. in relazione al trattamento dei Dati personali, rispetterà le disposizioni delle Leggi degli Stati Uniti in materia di protezione dei dati applicabili ai Fornitori di servizi o ai Responsabili del trattamento, inclusa l’erogazione dello stesso livello di protezione della privacy richiesto alle Attività o ai Titolari del trattamento dalle Leggi degli Stati Uniti in materia di protezione dei dati e ti avviserà se riterrà di non poter più adempiere a tali obblighi. Alla ricezione di tale avviso, potrai adottare misure ragionevoli e appropriate al fine di interrompere e porre rimedio all’eventuale utilizzo non autorizzato dei Dati personali da parte di Shopify;

  • 4.2.5. incaricherà subappaltatori per l’elaborazione dei Dati personali per suo conto solo in virtù di un contratto scritto che preveda tutele comparabili a quelle della presente Appendice sul trattamento dei dati. Nel corso della fornitura dei Servizi, con la presente riconosci e concedi a Shopify l’autorizzazione scritta generale a utilizzare subappaltatori, elencati online all’indirizzo: https://help.shopify.com/it//manual/privacy-and-security/privacy/subprocessors (“Elenco dei subincaricati”), per il Trattamento dei dati personali. L’utilizzo da parte di Shopify di un determinato Subincaricato per l’elaborazione dei Dati personali deve avvenire in conformità con le Leggi degli Stati Uniti in materia di protezione dei dati e deve essere disciplinato da un contratto tra Shopify e il subappaltatore che preveda tutele comparabili a quelle della presente Appendice sul trattamento dei dati. Nel caso in cui Shopify nomini un nuovo subappaltatore o intenda apportare modifiche riguardanti l’aggiunta o la sostituzione di subappaltatori, tali modifiche saranno apportate all’Elenco dei subincaricati. Avrai sette (7) giorni di tempo dalla data dell’aggiornamento dell’Elenco dei subincaricati per contestare la modifica. Se non riceviamo una risposta da parte tua, la modifica sarà considerata accettata. Se contesti la nomina di un subappaltatore, puoi risolvere il presente Accordo e l’Accordo di Shopify Plus, se del caso;

  • 4.2.6. si assicurerà che il proprio personale che elabora i Dati personali sia soggetto all’obbligo della riservatezza in relazione a tali dati;

  • 4.2.7. adotterà misure ragionevoli e appropriate, con un ragionevole preavviso scritto da parte tua e nel rispetto degli obblighi di riservatezza stabiliti nel presente Accordo, al fine di aiutarti a confermare che l’utilizzo dei Dati personali da parte di Shopify sia compatibile con i tuoi obblighi previsti dalle Leggi degli Stati Uniti in materia di protezione dei dati;

  • 4.2.8. fornirà, su richiesta, un report relativo a una valutazione ragionevole delle politiche e delle misure tecniche e organizzative a supporto dei suoi obblighi previsti dalle Leggi degli Stati Uniti in materia di protezione dei dati vigenti utilizzando una norma o un quadro di controllo e una procedura di valutazione adeguati e accettati per tali valutazioni;

  • 4.2.9 dopo la risoluzione dell’Accordo, Shopify inizierà prontamente il processo di cancellazione, eliminando o deidentificando i Dati personali. Puoi fare richiesta, entro 60 giorni dalla risoluzione, di restituzione di tali Dati personali da parte di Shopify.

4.3. Dichiari e garantisci che:

  • 4.3.1. hai ottenuto tutti i consensi, i diritti e le autorizzazioni necessari e fornito eventuali avvisi necessari alle persone in relazione alla tua divulgazione dei Dati personali a Shopify al fine di consentire l’elaborazione di tali dati da parte di Shopify per la fornitura dei Servizi, come richiesto dalla legislazione vigente;

  • 4.3.2. non condividerai con Shopify nessuno dei Dati personali di qualsiasi persona soggetta alle Leggi degli Stati Uniti in materia di protezione dei dati la quale abbia esercitato la facoltà di opposizione che hai promesso di rispettare;

  • 4.3.3. non condividerai con Shopify dati sensibili di alcun Consumatore degli Stati Uniti il quale non abbia acconsentito al trattamento dei suoi dati sensibili;

  • 4.3.4. informerai Shopify in merito a qualsiasi richiesta relativa ai diritti effettuata dalle persone nei tuoi confronti ai sensi delle Leggi degli Stati Uniti in materia di protezione dei dati e alle quali Shopify deve ottemperare e fornirai i dati necessari affinché Shopify possa ottemperare alle richieste;

  • 4.3.5. sarai l’unico responsabile della tua conformità a tali leggi.

4.4 Tu e Shopify concordate che l’esistenza della presente Appendice non costituisce un’ammissione del fatto che la condivisione di Dati personali costituisca una Vendita o una Condivisione.

5. Disposizioni generali

5.1. In caso di conflitto o incongruenza tra le disposizioni dell’Accordo e quelle della presente Appendice, prevarranno le disposizioni dell’Appendice, a meno che tali disposizioni non contraddicano un obbligo imposto delle leggi vigenti, nel qual caso prevarrà tale obbligo. A scanso di equivoci e per quanto consentito dalla legislazione vigente, qualsiasi responsabilità ai sensi della presente Appendice, incluse le relative limitazioni, sarà regolata dalle disposizioni rilevanti dell’Accordo. Riconosci e accetti che Shopify possa sempre modificare la presente Appendice, pubblicando il testo applicabile con le integrazioni e modifiche sul sito web di Shopify all’indirizzo https://shopify.com/it/legal/atd e che tali modifiche all’Appendice siano efficaci a decorrere dalla data di pubblicazione. La tua prosecuzione nell’utilizzo dei Servizi dopo la pubblicazione dell’Appendice modificata sul sito web di Shopify equivale alla piena accettazione della stessa. Se non intendi accettare una qualsiasi modifica all’Appendice, non continuare a utilizzare il Servizio.

5.2. Salvo quanto specificamente modificato e integrato nella presente Appendice, tutti i termini, le disposizioni e i requisiti contenuti nell’Accordo rimarranno in vigore a tutti gli effetti e disciplineranno la presente Appendice. Se una qualsiasi disposizione dell’Appendice dovesse risultare illegale o inapplicabile in sede giudiziaria, tale disposizione sarà annullata e diverrà inoperante, mentre il resto della presente Appendice rimarrà operativo e vincolante per le parti.

5.3. I termini della presente Appendice saranno regolati e interpretati in conformità con le leggi della Provincia dell’Ontario e le leggi del Canada applicabili, senza riguardo ai principi di conflitto tra leggi. Le parti accettano irrevocabilmente e incondizionatamente di essere soggette alla giurisdizione esclusiva dei tribunali della Provincia dell’Ontario per qualsiasi controversia o reclamo insorgente da o in relazione alla presente Appendice.

Appendice 1: Dettagli del trattamento

Natura e scopo del trattamento: fornire e migliorare i Servizi ai sensi dei Termini e condizioni del servizio Shopify e di eventuali altri termini nei quali è inclusa la presente Appendice, fornire eventuale assistenza correlata al Cliente, come altrimenti consentito ai sensi delle Leggi europee e delle Leggi degli Stati Uniti in materia di protezione dei dati, come applicabile, o su tua richiesta di volta in volta.

Oggetto, tipi di Dati personali e categorie di Soggetti di dati: dati personali relativi ai Clienti.

Durata del trattamento: il termine della presente Appendice più il periodo dalla scadenza del termine fino all’eliminazione di tutti i Dati personali dei Clienti da parte di Shopify in conformità con i suoi obblighi ai sensi della presente Appendice.