In vigore dal: 18 maggio 2026 Stipulato tra: il Cliente (come identificato nell'Order Form pertinente), in qualità di Titolare del trattamento, e Ovysion Technologies Ltd, società registrata in Inghilterra e Galles con numero di registrazione [NUMERO REGISTRAZIONE], sede legale [INDIRIZZO SEDE LEGALE], in qualità di Responsabile del trattamento.
Il presente Contratto di Trattamento dei Dati ("DPA") è incorporato per riferimento ai Termini di Servizio Delia stipulati tra le parti e ne costituisce parte integrante. In caso di conflitto, il presente DPA prevale sui Termini per quanto concerne il trattamento di dati personali.
1. Definizioni
Salvo diversa definizione, i termini utilizzati nel presente DPA hanno il significato loro attribuito dal Regolamento (UE) 2016/679 ("GDPR"), dall'omologa normativa britannica ("UK GDPR") e dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, di seguito "Codice Privacy").
In particolare:
- "Titolare" o "Cliente" indica la parte che determina le finalità e i mezzi del trattamento dei Dati Personali del Cliente.
- "Responsabile" o "Ovysion" indica la parte che tratta i Dati Personali del Cliente per conto del Titolare.
- "Dati Personali del Cliente" indica qualsiasi dato personale, come definito dal GDPR, trattato da Ovysion per conto del Cliente in relazione al servizio Delia.
- "Sub-processor" indica qualsiasi terzo incaricato da Ovysion del trattamento di Dati Personali del Cliente.
- "Cliente Finale" indica la persona fisica che interagisce con Delia tramite le superfici del Cliente (sito web, telefono, ecc.).
- "Violazione dei Dati Personali" ha il significato attribuito dall'art. 4(12) GDPR.
- "Autorità di Controllo" indica l'autorità di vigilanza competente, ovvero — per i trattamenti soggetti alla giurisdizione italiana — il Garante per la protezione dei dati personali.
2. Oggetto e ambito
2.1 Ruoli delle parti
Per i Dati Personali del Cliente trattati nell'ambito del servizio Delia, il Cliente agisce in qualità di Titolare del trattamento e Ovysion in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR. Le parti riconoscono che, ove la natura del trattamento richieda l'intervento di un soggetto terzo identificato come Sub-processor, quest'ultimo agirà in qualità di sub-responsabile sotto la responsabilità di Ovysion.
2.2 Categorie di dati e di interessati
Il dettaglio delle categorie di dati personali, delle categorie di interessati, della natura, finalità e durata del trattamento è riportato nell'Allegato I del presente DPA.
2.3 Esclusioni
Il presente DPA si applica esclusivamente al trattamento dei Dati Personali del Cliente. Non si applica a:
- Dati personali per i quali Ovysion agisce in qualità di Titolare (es. dati di contatto delle persone autorizzate del Cliente per la gestione del rapporto contrattuale), che sono disciplinati dalla nostra Informativa sulla privacy.
- Dati anonimi o aggregati che non consentano l'identificazione di alcun interessato.
3. Istruzioni del Titolare
3.1 Trattamento secondo istruzioni
Ovysion tratta i Dati Personali del Cliente esclusivamente sulla base di istruzioni documentate del Cliente, inclusi i trasferimenti di dati personali in un Paese terzo o a un'organizzazione internazionale, salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro a cui Ovysion è soggetta. In tal caso, Ovysion informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che la legge non vieti tale informazione per importanti motivi di interesse pubblico.
3.2 Istruzioni documentate
Le istruzioni documentate del Cliente comprendono:
- Il presente DPA e i suoi Allegati.
- I Termini di Servizio Delia, l'Order Form e qualsiasi documentazione di configurazione del servizio (knowledge base, regole di escalation, prompt di persona, ecc.).
- Le configurazioni effettuate dal Cliente tramite la propria dashboard amministrativa.
- Eventuali ulteriori istruzioni scritte trasmesse dal Cliente a Ovysion all'indirizzo privacy@ovysion.com.
3.3 Istruzioni illecite
Ove Ovysion ritenga che un'istruzione del Cliente violi il GDPR, l'UK GDPR, il Codice Privacy italiano o altra normativa applicabile in materia di protezione dei dati, Ovysion informa tempestivamente il Cliente per iscritto. Ovysion ha facoltà di sospendere l'esecuzione dell'istruzione contestata fino a quando il Cliente non la confermi, modifichi o ritiri per iscritto, fermo restando il diritto di Ovysion di rifiutare l'esecuzione di istruzioni manifestamente illecite.
4. Obblighi di Ovysion
4.1 Riservatezza del personale
Ovysion assicura che le persone autorizzate al trattamento dei Dati Personali del Cliente:
- Si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
- Siano formate sui principi del GDPR e sulle policy interne di sicurezza e protezione dei dati.
- Accedano ai Dati Personali del Cliente esclusivamente nella misura necessaria per l'esecuzione delle proprie mansioni (principio del privilegio minimo).
4.2 Misure di sicurezza
Ovysion mette in atto le misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio. Tali misure sono dettagliate nell'Allegato II del presente DPA.
4.3 Assistenza al Titolare
Ovysion assiste il Cliente, tenendo conto della natura del trattamento e tramite misure tecniche e organizzative adeguate, nella misura possibile, per:
- Rispondere alle richieste degli interessati che esercitano i diritti previsti dagli articoli 12-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
- Garantire la sicurezza del trattamento ai sensi dell'art. 32 GDPR.
- Notificare le violazioni all'Autorità di Controllo ai sensi dell'art. 33 GDPR e, ove applicabile, comunicarle agli interessati ai sensi dell'art. 34 GDPR.
- Effettuare valutazioni di impatto sulla protezione dei dati ai sensi dell'art. 35 GDPR e consultazioni preventive ai sensi dell'art. 36 GDPR.
Per assistenza eccezionale che richieda risorse significative al di fuori dell'ordinaria operatività del servizio, Ovysion può addebitare al Cliente le proprie tariffe orarie, previa comunicazione di un preventivo e accettazione del Cliente.
4.4 Restituzione e cancellazione
Alla cessazione del rapporto, Ovysion, a scelta del Cliente, restituisce o cancella tutti i Dati Personali del Cliente, salvo che il diritto dell'Unione o dello Stato membro richieda la conservazione di tali dati. Le modalità di restituzione e cancellazione sono indicate nella Sezione 11.4 dei Termini di Servizio Delia.
4.5 Disponibilità di informazioni
Ovysion mette a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, inclusa la documentazione delle misure tecniche e organizzative e dei sub-processor di cui all'Allegato III.
4.6 Designazione di un referente
Ovysion designa un referente interno per la protezione dei dati, raggiungibile all'indirizzo privacy@ovysion.com. Ovysion non ha designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR poiché il proprio trattamento non rientra nelle soglie ivi previste.
5. Sub-processor
5.1 Autorizzazione generale
Il Cliente concede a Ovysion un'autorizzazione generale a coinvolgere Sub-processor per il trattamento dei Dati Personali del Cliente, a condizione del rispetto degli obblighi di cui alla presente sezione.
5.2 Elenco dei Sub-processor
L'elenco attuale dei Sub-processor è riportato nell'Allegato III. La versione live di tale elenco è mantenuta su delia.ovysion.com/subprocessors e prevale in caso di discrepanza con la versione qui allegata.
5.3 Procedura di modifica
Ovysion notifica al Cliente qualsiasi modifica all'elenco dei Sub-processor (aggiunta o sostituzione) con almeno 30 giorni di preavviso. La notifica avviene tramite:
- Email all'indirizzo del referente privacy indicato dal Cliente nell'Order Form;
- Pubblicazione della modifica sulla pagina dedicata di cui sopra.
Il Cliente ha facoltà di opporsi a una modifica entro 14 giorni dalla notifica, motivando l'opposizione su basi ragionevoli e oggettive di protezione dei dati. In caso di opposizione, le parti negozieranno in buona fede una soluzione. Ove non sia possibile raggiungere un accordo, il Cliente ha diritto di recedere dal contratto entro la data di entrata in vigore della modifica, con rimborso pro-rata dei corrispettivi pagati in anticipo per il periodo non utilizzato.
5.4 Obblighi del Sub-processor
Ovysion impone a ciascun Sub-processor, mediante contratto scritto, gli stessi obblighi di protezione dei dati previsti dal presente DPA, in particolare quelli necessari a garantire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ai sensi del GDPR. Ovysion rimane integralmente responsabile nei confronti del Cliente dell'adempimento degli obblighi del Sub-processor.
6. Trasferimenti internazionali di dati
6.1 Limitazione
Ovysion non trasferisce Dati Personali del Cliente al di fuori del Regno Unito o dello Spazio Economico Europeo se non in conformità con il Capo V del GDPR (e/o normativa equivalente per i trasferimenti dal Regno Unito).
6.2 Meccanismi di trasferimento
Per i trasferimenti verso Paesi privi di decisione di adeguatezza della Commissione Europea, Ovysion e il Cliente concludono:
- Le Clausole Contrattuali Standard della Commissione Europea (Decisione di Esecuzione (UE) 2021/914), modulo Titolare-Responsabile o Responsabile-Sub-responsabile a seconda dello scenario applicabile (le selezioni vincolanti sono riportate nell'Allegato IV); e
- Ove rilevante, l'International Data Transfer Addendum ("IDTA") dell'Information Commissioner's Office del Regno Unito, allegato alle Clausole Contrattuali Standard, per i trasferimenti di origine britannica.
6.3 Misure supplementari
Per ciascun trasferimento verso gli Stati Uniti, Ovysion ha condotto una valutazione di impatto sui trasferimenti (Transfer Impact Assessment) e implementato le seguenti misure supplementari:
- Cifratura in transito (TLS 1.2 o superiore) e a riposo (AES-256).
- Pseudonimizzazione ove tecnicamente fattibile.
- Restrizioni contrattuali sull'accesso governativo, inclusi obblighi di trasparenza in capo al Sub-processor.
- Impegni contrattuali di non utilizzo dei Dati Personali del Cliente per l'addestramento di modelli di intelligenza artificiale, ove tale opzione sia disponibile presso il Sub-processor.
Una copia delle valutazioni di impatto sui trasferimenti è disponibile su richiesta a privacy@ovysion.com.
7. Violazioni dei Dati Personali
7.1 Notifica a Ovysion
Ovysion notifica al Cliente qualsiasi Violazione dei Dati Personali di cui Ovysion sia venuta a conoscenza, senza ingiustificato ritardo e in ogni caso entro 48 ore dalla conoscenza della violazione. La notifica è effettuata via email al referente privacy del Cliente indicato nell'Order Form.
7.2 Contenuto della notifica
La notifica contiene, nella misura nota al momento e per quanto possibile:
- Descrizione della natura della violazione, incluse — ove possibile — le categorie e il numero approssimativo di interessati e di registrazioni di dati personali coinvolte.
- Nome e dati di contatto del referente privacy di Ovysion.
- Descrizione delle probabili conseguenze della violazione.
- Misure adottate o proposte da Ovysion per affrontare la violazione e mitigarne i possibili effetti negativi.
Ove non sia possibile fornire tutte le informazioni contestualmente, Ovysion le fornirà man mano che si rendano disponibili, senza ulteriore ingiustificato ritardo.
7.3 Responsabilità del Titolare
Spetta al Cliente, in qualità di Titolare, valutare se la violazione richieda notifica all'Autorità di Controllo competente ai sensi dell'art. 33 GDPR (entro 72 ore dalla conoscenza, salvo che la violazione non comporti probabilmente un rischio per i diritti e le libertà delle persone fisiche) e/o comunicazione agli interessati ai sensi dell'art. 34 GDPR. Ovysion assiste il Cliente in tale valutazione e nell'esecuzione delle conseguenti notifiche, fornendo le informazioni necessarie nella sua disponibilità.
Per i Clienti soggetti alla giurisdizione italiana, la notifica al Garante avviene attraverso il portale telematico del Garante o tramite PEC, secondo le indicazioni dell'Autorità.
7.4 Registro delle violazioni
Ovysion mantiene un registro interno di tutte le Violazioni dei Dati Personali, accessibile al Cliente su richiesta motivata.
8. Audit
8.1 Diritto di audit
Il Cliente ha diritto, una volta per anno solare e a proprie spese, di effettuare un audit per verificare il rispetto da parte di Ovysion degli obblighi del presente DPA. L'audit può essere svolto:
- Tramite revisione della documentazione e dei certificati che Ovysion mette a disposizione (SOC 2, ISO 27001 ove conseguiti, valutazioni di impatto, policy di sicurezza); oppure
- Tramite questionario scritto a cui Ovysion risponde entro 30 giorni; oppure
- Tramite ispezione in loco, solo ove le modalità precedenti non siano sufficienti e previa motivata richiesta scritta con almeno 60 giorni di anticipo. Eventuali ispezioni in loco sono soggette a obblighi di riservatezza e devono essere condotte in modo da non interferire con le operazioni di Ovysion.
8.2 Audit aggiuntivi
Audit ulteriori sono ammessi in caso di:
- Sospetto fondato di violazione del presente DPA;
- Notifica di una Violazione dei Dati Personali con impatto significativo;
- Richiesta motivata di un'Autorità di Controllo;
con le stesse modalità di cui sopra.
8.3 Costi
Salvo casi di violazione accertata del presente DPA da parte di Ovysion (nel qual caso i costi ragionevoli sono a carico di Ovysion), i costi dell'audit sono a carico del Cliente, inclusi i costi del personale Ovysion impiegato per supportare l'audit alle tariffe orarie standard di Ovysion.
8.4 Riservatezza dei risultati
I risultati di qualsiasi audit costituiscono informazioni riservate di entrambe le parti e sono soggetti agli obblighi di riservatezza dei Termini di Servizio.
9. Responsabilità
La responsabilità delle parti ai sensi del presente DPA è soggetta alle limitazioni di responsabilità previste dai Termini di Servizio Delia, ferma restando l'inderogabilità delle previsioni del GDPR e del Codice Privacy italiano in materia di responsabilità verso gli interessati.
10. Durata e cessazione
Il presente DPA ha decorrenza dalla data di entrata in vigore dei Termini di Servizio Delia e cessa alla cessazione di questi ultimi. Le obbligazioni di Ovysion che per natura sopravvivono alla cessazione (in particolare quelle relative alla restituzione/cancellazione dei dati, alla riservatezza, alla cooperazione su richieste in corso degli interessati o delle Autorità) sopravvivono.
11. Legge applicabile e foro
Il presente DPA è regolato dalla legge inglese e dai Regolamenti dell'Unione europea (GDPR), e per i Clienti soggetti alla giurisdizione italiana, dal Codice Privacy italiano. Il foro competente è quello dei tribunali di Inghilterra e Galles, fermo restando il diritto degli interessati di rivolgersi all'Autorità di Controllo del proprio Stato membro di residenza o del luogo di lavoro o del luogo della presunta violazione.
Per i Clienti italiani, è disponibile la procedura di reclamo presso il Garante per la protezione dei dati personali (www.gpdp.it).
Allegato I — Dettagli del trattamento
A. Categorie di interessati
I Dati Personali del Cliente trattati riguardano le seguenti categorie di interessati:
- Clienti Finali del Cliente che interagiscono con Delia (visitatori del sito, chiamanti, utenti del prodotto/servizio del Cliente).
- Utenti Autorizzati del Cliente (dipendenti, collaboratori del Cliente che accedono alla dashboard).
- Ove configurati dal Cliente, ulteriori contatti gestiti tramite integrazioni CRM.
B. Categorie di Dati Personali
- Dati di contatto: nome, email, numero di telefono, indirizzo (ove forniti dall'interessato a Delia).
- Dati di conversazione: registrazioni audio della conversazione tra il Cliente Finale e Delia.
- Dati di trascrizione: trascrizione testuale della conversazione.
- Dati di intent e qualificazione: classificazioni, etichette, note generate da Delia sull'esito della conversazione.
- Dati di prenotazione/lead: appuntamenti, preferenze, indicazioni espresse dall'interessato durante la conversazione.
- Dati tecnici: timestamp, identificativi di sessione, lingua, durata.
- Eventuali ulteriori categorie di dati immessi dal Cliente nella knowledge base e che possano essere oggetto del trattamento conversazionale.
C. Categorie particolari di dati (art. 9 GDPR)
Per impostazione predefinita, Ovysion non sollecita né tratta categorie particolari di dati. Tuttavia, in deployment in settori regolamentati (es. cliniche estetiche), il Cliente Finale può menzionare incidentalmente informazioni sulla salute. In tali deployment, il Cliente garantisce di disporre di idonea base giuridica ex art. 9 GDPR (di norma art. 9(2)(h) per la prestazione di assistenza sanitaria) e istruisce Ovysion al trattamento di tali dati nei limiti strettamente necessari all'erogazione del servizio.
D. Natura del trattamento
Il trattamento consiste nell'erogazione del servizio di concierge AI vocale Delia, e comprende: ricezione delle chiamate in ingresso, trascrizione, elaborazione conversazionale tramite modelli linguistici, sintesi vocale delle risposte, registrazione e archiviazione delle conversazioni, generazione di trascrizioni e lead, esposizione di tali dati al Cliente tramite la dashboard e/o tramite integrazioni configurate.
E. Finalità del trattamento
Erogazione del servizio Delia secondo le configurazioni del Cliente; miglioramento operativo del servizio specifico configurato per il Cliente; obblighi legali in capo a Ovysion (es. risposta a richieste di Autorità competenti). I Dati Personali del Cliente non sono utilizzati per finalità diverse, e in particolare non sono utilizzati per addestrare i modelli di intelligenza artificiale di Ovysion né, nella misura contrattualmente possibile, dei Sub-processor.
F. Durata del trattamento
Per la durata del rapporto contrattuale tra il Cliente e Ovysion, salvo periodi di conservazione specifici:
- Registrazioni audio: 30 giorni dalla data della chiamata, poi cancellazione automatica.
- Trascrizioni: periodo configurato dal Cliente (default 12 mesi), poi cancellazione.
- Lead e dati di prenotazione: periodo configurato dal Cliente (default 24 mesi dall'ultima attività).
- Backup: ulteriori 30 giorni dopo la cancellazione nei sistemi di produzione, poi cancellazione definitiva.
Allegato II — Misure tecniche e organizzative
Ovysion implementa le seguenti misure di sicurezza in attuazione dell'art. 32 GDPR. La presente lista è descrittiva e non esaustiva; le misure possono essere aggiornate a seguito di valutazioni di rischio o evoluzioni tecnologiche, ferma restando l'equivalenza del livello di protezione.
A. Misure di sicurezza fisica
- Le infrastrutture di produzione sono ospitate presso datacenter di livello professionale dei Sub-processor (Hostinger EU, Stripe, Google Cloud), che mantengono certificazioni di sicurezza fisica internazionalmente riconosciute (ISO 27001, SOC 2).
- Gli accessi fisici agli ambienti di lavoro Ovysion sono limitati al personale autorizzato; i dispositivi sono cifrati a riposo.
B. Controllo degli accessi
- Autenticazione a più fattori obbligatoria per tutti gli accessi amministrativi alla produzione.
- Principio del privilegio minimo: ciascun membro del team ha accesso solo a ciò che è strettamente necessario per il proprio ruolo.
- Revoca immediata degli accessi alla cessazione del rapporto di lavoro o all'assegnazione di nuovo ruolo.
- Revisione trimestrale degli accessi.
- Separazione degli ambienti di sviluppo, staging e produzione.
C. Cifratura
- In transito: TLS 1.2 o superiore per tutte le comunicazioni client-server e tra microservizi.
- A riposo: cifratura AES-256 per le basi dati e per i file di registrazione audio.
- Gestione delle chiavi affidata al provider cloud (KMS) con rotazione periodica.
D. Resilienza e continuità
- Backup automatici quotidiani delle basi dati di produzione con ritenzione di 30 giorni.
- Procedure di disaster recovery documentate, con obiettivi di RTO (Recovery Time Objective) inferiore a 24 ore e RPO (Recovery Point Objective) inferiore a 24 ore.
- Test annuali delle procedure di ripristino.
- Monitoraggio continuo della disponibilità con allerta automatica.
E. Sicurezza applicativa
- Sviluppo conforme alle best practice OWASP Top 10.
- Code review obbligatoria per ogni modifica al codice di produzione.
- Scansione automatica delle dipendenze per vulnerabilità note.
- Test di penetrazione annuali su componenti critici.
- Protezione DDoS e WAF a livello di edge.
F. Logging e monitoraggio
- Log di accesso e di sistema centralizzati, con conservazione di almeno 90 giorni.
- Alerting automatico su pattern anomali (accessi falliti ripetuti, accessi da geografie inusuali, picchi di traffico).
- Tracciamento immutabile delle azioni amministrative significative.
G. Misure organizzative
- Tutti i membri del team Ovysion firmano accordi di riservatezza specifici sui dati dei clienti.
- Formazione annuale obbligatoria sulla protezione dei dati e sulla sicurezza.
- Procedura di gestione degli incidenti documentata, con simulazioni periodiche.
- Designazione di un referente interno per la privacy.
- Registro dei trattamenti aggiornato ai sensi dell'art. 30 GDPR.
H. Privacy by design
- Pseudonimizzazione applicata dove tecnicamente fattibile (es. identificativi di sessione al posto di dati identificativi diretti nei log applicativi).
- Configurazioni di default orientate alla minimizzazione (es. retention più breve possibile compatibile con la funzionalità).
- Disclosure AI obbligatoria al Cliente Finale prima dell'avvio della chiamata: il widget standard Delia mostra una finestra di disclosure che il Cliente non può disabilitare.
- Nessuna acquisizione di dati di pagamento da parte di Delia, per design.
I. Gestione dei Sub-processor
- Due diligence pre-onboarding su ciascun Sub-processor (verifica delle policy di sicurezza e protezione dati, certificazioni, contratti tipo).
- Contratti scritti con ciascun Sub-processor che riproducono gli obblighi rilevanti del presente DPA.
- Revisione periodica della lista e degli impegni dei Sub-processor.
Allegato III — Elenco dei Sub-processor
I seguenti Sub-processor sono autorizzati al trattamento dei Dati Personali del Cliente. La versione live e aggiornata è mantenuta su delia.ovysion.com/subprocessors.
| Sub-processor | Ruolo nel trattamento | Sede / Region | Meccanismo di trasferimento (se extra-UE/UK) |
|---|---|---|---|
| Vapi Inc. | Orchestrazione vocale (infrastruttura di chiamata real-time, WebRTC) | Stati Uniti, con routing UE ove disponibile | SCC UE (modulo Responsabile-Sub-responsabile) + UK IDTA |
| OpenAI Ireland Ltd / OpenAI LLC | Inferenza LLM per la generazione conversazionale | UE e Stati Uniti | SCC UE + UK IDTA. OpenAI dichiara zero retention per uso API. |
| Anthropic PBC | Inferenza LLM (provider alternativo per la generazione conversazionale) | Stati Uniti | SCC UE + UK IDTA |
| ElevenLabs Inc. | Sintesi vocale text-to-speech | Stati Uniti | SCC UE + UK IDTA |
| Deepgram Inc. | Trascrizione speech-to-text | Stati Uniti | SCC UE + UK IDTA |
| Hostinger International Ltd | Hosting applicativo, database Postgres, infrastruttura di backup | Lituania (UE) | Trasferimento intra-UE — nessun meccanismo aggiuntivo richiesto |
| Stripe Payments Europe Ltd | Fatturazione abbonamenti e gestione pagamenti per Ovysion (NB: non riceve dati conversazionali dei Clienti Finali) | Irlanda (UE) primario; infrastruttura USA per copertura globale | SCC UE per fallback USA |
| Google Workspace (Google Ireland Ltd) | Email interne Ovysion e collaborazione documentale | UE e USA | SCC UE + UK IDTA per infrastruttura USA |
Eventuali modifiche a tale elenco sono notificate al Cliente secondo la procedura di cui alla Sezione 5.3.
Allegato IV — Selezioni per le Clausole Contrattuali Standard
In relazione alle Clausole Contrattuali Standard della Commissione Europea (Decisione di Esecuzione (UE) 2021/914), le parti concordano le seguenti selezioni vincolanti:
Modulo
Modulo selezionato: Modulo Due — Titolare a Responsabile (Modulo Three — Responsabile a Sub-responsabile per il sub-trasferimento ai Sub-processor di cui all'Allegato III).
Clausola 7 — Clausola di adesione (docking clause)
Le parti rinunciano alla facoltà di adesione di ulteriori parti tramite docking clause; eventuali nuove parti aderiscono al presente DPA mediante separata sottoscrizione.
Clausola 9 — Uso di sub-responsabili
Le parti scelgono l'Opzione 2 — Autorizzazione generale scritta, secondo la procedura di cui alla Sezione 5.3 del presente DPA. Il periodo di preavviso per le modifiche all'elenco è di 30 giorni.
Clausola 11 — Diritto di reclamo dell'interessato
Le parti non offrono agli interessati l'opzione di ricorrere a un organismo indipendente di risoluzione delle controversie. Gli interessati conservano integri tutti i diritti di reclamo presso le Autorità di Controllo competenti e di ricorso giurisdizionale.
Clausola 17 — Legge applicabile
Le SCC sono regolate dalla legge dello Stato membro in cui ha sede il titolare-esportatore. Per i Clienti italiani, la legge applicabile alle SCC è la legge italiana.
Clausola 18 — Foro competente
Per i Clienti italiani, il foro competente per le controversie derivanti dalle SCC è il foro italiano del luogo di residenza del Cliente.
Annex I.A delle SCC — Lista delle parti
- Titolare-esportatore: il Cliente, come identificato nell'Order Form pertinente.
- Responsabile-importatore: Ovysion Technologies Ltd, come identificata nell'intestazione del presente DPA.
Annex I.B delle SCC — Descrizione del trasferimento
Si veda l'Allegato I del presente DPA per le categorie di interessati, di dati, di trattamento e durata.
Annex I.C delle SCC — Autorità di Controllo competente
Per i Clienti italiani: il Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, www.gpdp.it.
Annex II delle SCC — Misure tecniche e organizzative
Si veda l'Allegato II del presente DPA.
Annex III delle SCC — Elenco dei sub-responsabili
Si veda l'Allegato III del presente DPA.
Clausole vessatorie (art. 1341 e 1342 c.c. italiani)
Il Cliente, ove italiano, dichiara di approvare specificamente, ai sensi e per gli effetti degli articoli 1341 e 1342 del Codice Civile italiano, le seguenti clausole del presente DPA: 4.3 (Assistenza al Titolare, inclusa la facoltà di Ovysion di addebitare costi per assistenza eccezionale), 5 (Sub-processor, inclusa l'autorizzazione generale), 8 (Audit, inclusi i limiti di frequenza e le modalità di esecuzione), 9 (Responsabilità, inclusa l'applicabilità dei limiti dei Termini), 11 (Legge applicabile e foro).