Accordo sul trattamento dei dati

Valido a partire da 09/04/2020

Ultimo aggiornamento: 15.11.2021

Il presente Accordo sul trattamento dei dati (“DPA”) fa parte integrante ed è soggetto alle disposizioni dei Termini di E-commerce di SumUp (“Accordo”, i “Termini aggiuntivi”), dell'Informativa sulla privacy e di eventuali altri termini e condizioni applicabili di SumUp (nel prosieguo “Termini”, “Informativa sulla privacy”) stipulati e concordati da e tra l'utente in quanto commerciante di SumUp (“Utente”) e SumUp Payments Limited, 16-20 Shorts Gardens, Londra, WC2H 9US, UK (“SumUp”, “noi”, “Responsabile del trattamento”), facente parte del gruppo SumUp S.A.R.L. – Gruppo SumUp.

Ciascuna parte conviene e garantisce che i termini del presente DPA saranno pienamente applicabili anche agli affiliati che potrebbero essere coinvolti nel trattamento dei dati personali per i Servizi definiti nei Termini aggiuntivi. Nello specifico, SumUp garantirà che tutti i sub-responsabili operino entro gli stessi termini del presente DPA durante il trattamento dei Dati dei Clienti dell'Utente.

Al fine di fornire all'utente i Servizi previsti nei Termini aggiuntivi, SumUp tratta i dati dei clienti o dei visitatori del sito o dei servizi dell'utente ("Clienti dell'utente", "Clienti"). Nel prosieguo, il trattamento di tali dati da parte di SumUp è denominata "trattamento" (secondo la definizione del termine ai sensi della Normativa in materia di protezione dei dati personali). L'Accordo sul trattamento dei dati enuncia di seguito i termini riferiti a tale trattamento da parte di SumUp.

1. Definizioni

1.1. Per "Normativa in materia di protezione dei dati personali" si intendono tutte le leggi relative al trattamento dei dati personali ai sensi del Contratto e del presente Accordo, inclusi, a titolo esemplificativo, il Data Protection Act 2018, il Regolamento generale sulla protezione dei dati dell'UE 2016/679 ("GDPR", "il Regolamento"), la Direttiva UE sulla privacy e le comunicazioni elettroniche 2002/58/CE, come implementato in ciascuna giurisdizione, e tutte le modifiche, o qualsiasi altra legge, regolamento o linea guida normativa sulla protezione dei dati internazionale, regionale o nazionale applicabile o sostitutiva.

1.2. I termini "titolare"interessato""dati personali", "trattare", "trattamento" e "responsabile del trattamento" assumono i significati loro attribuiti nella Normativa in materia di protezione dei dati personali.

1.3. "Contenuto" indica i Contenuti dell'utente e qualsiasi contenuto fornito a SumUp dai clienti dell'utente, ivi compresi, a titolo esemplificativo, testo, foto, immagini, audio, video, codice, informazioni da cookie o tecnologie di tracciamento simili e qualsiasi altro materiale.

1.4. I "Dati dei clienti dell'utente" indicano i dati personali all'interno dei Contenuti del/dei Clienti dell'Utente, per conto del quale vengono trattati da SumUp, in quanto facenti parte dei Servizi. I Dati dei clienti dell'utente non includono i dati personali, laddove detti dati siano controllati da SumUp. Tutte le definizioni adottate nel presente DPA, ma che non abbiano una descrizione esplicita in questa sezione, avranno il significato enunciato nei Termini aggiuntivi. Se non esiste alcuna definizione specifica nei Termini o nei Termini aggiuntivi, il loro significato sarà quello fornito nella Normativa in materia di protezione dei dati personali.

2. Applicabilità. Il presente DPA trova applicazione esclusivamente con riferimento ai Dati dei clienti dell'utente. Si conviene che SumUp non è responsabile dei dati personali che l'utente ha scelto di elaborare attraverso servizi di terze parti o al di fuori dei Servizi, compresi i sistemi di servizi cloud di altre terze parti, nonché l'archiviazione offline o in sede.

3. Dettagli sul Trattamento dei dati

3.1. Oggetto. Costituiscono oggetto di trattamento, nell'ambito del presente DPA, i Dati dei Clienti dell'Utente.

3.2. Durata. Come stabilito tra noi e l'Utente, la durata del trattamento dei dati nell'ambito del presente DPA è determinata dall'Utente ed è relativa al periodo scelto per l'utilizzo dei nostri Servizi.

3.3. Finalità. La finalità del trattamento dei dati nell'ambito del presente DPA è la fornitura e il miglioramento dei Servizi avviati dall'Utente. 

3.4. Natura del trattamento. I Servizi così come descritti nei Termini aggiuntivi e così come avviati di volta in volta dall'Utente.

3.5. Tipo di Dati personali. I Dati dei Clienti dell'Utente riguardanti l'Utente, i suoi Clienti o altri soggetti i cui dati personali siano inclusi nei Contenuti elaborati in quanto facenti parte dei Servizi, in conformità con le istruzioni fornite. Questi dati includono, a titolo esemplificativo ma non esaustivo, i nomi dei Clienti dell'Utente, l'indirizzo di posta elettronica, il numero di telefono/cellulare, l'indirizzo fisico, le coordinate bancarie, la cronologia delle transazioni, l'indirizzo IP. Le categorie speciali di dati personali, compresi quelli relativi ai reati e alle condanne penali, non sono ritenute passibili di trattamento nell'ambito dei Servizi, pertanto sono escluse dai termini del presente DPA. Qualora tali dati fossero trattati durante l'utilizzo dei nostri Servizi, ciò avverrebbe all'insaputa di SumUp e l'Utente è tenuto a eliminare dette informazioni immediatamente dopo aver identificato tale trattamento.

3.6. Categorie di Interessati. L'Utente, i Clienti dell'Utente, i potenziali clienti dei Clienti dell'Utente e qualsiasi altro soggetto i cui dati personali sono inclusi nei Contenuti.

4. Diritti e obblighi

4.1. Nella misura in cui i Dati dei clienti dell'utente siano elaborati per suo conto da SumUp e questo trattamento sia soggetto alla Normativa in materia di protezione dei dati personali, l'utente riconosce e accetta, ai fini della fornitura dei Servizi da parte di SumUp, di essere il titolare del trattamento di detti dati personali e, utilizzando i Servizi di SumUp, di aver incaricato SumUp di elaborare i Dati dei clienti per suo conto, conformemente al presente DPA.

4.2. L'utente può revocare in qualsiasi momento l'accettazione del presente DPA, ma in questo modo SumUp non sarà più in grado di fornirgli il Servizio.

4.3. Nella sua qualità di responsabile del trattamento dei dati, SumUp:

A. tratta i Dati dei clienti dell'utente solo per gli scopi specificati nel DPA e in conformità con la legge applicabile e con il DPA;

B. può operare ed elaborare i Dati dei clienti dell'utente soltanto in conformità con le istruzioni documentate di quest'ultimo, salvo che non ne sia esonerato per legge, per provvedimento giudiziario o per disposizione legislativa. Le istruzioni dell'utente, al momento della stipulazione del presente DPA, prevedono che SumUp possa trattare i Dati dei clienti dell'utente soltanto allo scopo di fornire i Servizi così come descritti nel DPA e nei Termini aggiuntivi. Fatti salvi i termini del presente DPA, e con l'accordo reciproco di entrambe le parti, l'utente può emettere ulteriori istruzioni scritte, coerenti con le condizioni del presente DPA;

C. garantisce che i soggetti autorizzati al trattamento dei dati personali si siano assunti l'obbligo di riservatezza o siano legalmente tenuti a mantenere gli obblighi di riservatezza;

D. garantisce che l'accesso ai dati personali sia concesso in base alla necessità di conoscere le prestazioni dei Servizi ai sensi dei Termini aggiuntivi;

E. ha la responsabilità di garantire che i dipendenti/subappaltatori e/o eventuali agenti che elaborano i Dati dei clienti dell'utente possano trattare i dati personali soltanto in conformità con le istruzioni dell'utente;

F. informerà immediatamente l'utente, nel caso in cui riteniamo che alcune sue istruzioni siano in contrasto con la Normativa in materia di protezione dei dati personali;

G. si obbliga, nell'ambito del presente DPA, a proteggere i Dati dei clienti dell'utente da qualsiasi distruzione, alterazione, perdita o da qualsiasi altro trattamento non autorizzato. A tal fine, SumUp adotta adeguate misure di sicurezza, in conformità con la legge applicabile. Le misure tecniche e organizzative intraprese da SumUp dipendono dal progresso tecnico. È possibile che SumUp possa introdurre alcune misure alternative adeguate. Non è possibile ridurre il livello delle misure di sicurezza definite quando si introducono tali alternative. SumUp assisterà l'utente con idonee misure tecniche e organizzative secondo necessità e, in considerazione della natura del trattamento e della categoria di informazioni a sua disposizione, farà in modo di garantire il rispetto degli obblighi dell'utente, ai sensi della Normativa in materia di protezione dei dati personali.

H. su ragionevole richiesta dell'utente, rende disponibili le certificazioni che dimostrano la conformità di SumUp con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali; e/o rende disponibili le informazioni necessarie a dimostrare la conformità con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali. Le informazioni che SumUp può rendere disponibili, tenendo conto della natura dei Servizi e delle informazioni a sua disposizione, devono limitarsi esclusivamente a quelle necessarie ad assistere l'utente nell'adempimento dei propri obblighi, in particolare con riferimento agli obblighi in materia di valutazioni d'impatto sulla protezione dei dati, consultazione preventiva e garanzia della sicurezza dei dati personali;

I. assisterà l'utente, entro tempi ragionevoli, con misure adeguate e, per quanto ragionevolmente possibile (considerata la natura del trattamento), nel rispetto dei diritti dell'interessato e di tutti gli altri obblighi pertinenti, ai sensi dei regolamenti sulla privacy dei dati;

J. fornirà all'utente un avviso, se consentito dalla legge applicabile, dopo aver ricevuto una richiesta o un reclamo da parte di un individuo i cui dati personali sono inclusi nei Contenuti o una richiesta vincolante da parte di un governo, delle forze dell'ordine, di un organismo di regolamentazione o di un altro ente, in relazione ai Dati dei clienti dell'utente che trattiamo per suo conto e seguendo le sue istruzioni.

4.4. Nella sua qualità di titolare del trattamento dei dati, l'Utente:

A. potrà raccogliere, utilizzare ed elaborare i dati personali dei Contenuti in conformità con qualsiasi Normativa in materia di protezione dei dati personali;

B. ha la responsabilità esclusiva dell'accuratezza, della qualità e della liceità del trattamento dei Dati dei propri clienti, nonché dei mezzi con cui sono stati ottenuti;

C. assicura il livello adeguato di sicurezza durante l'utilizzo dei Servizi, tenendo in considerazione eventuali rischi in relazione ai Dati dei propri clienti;

D. riconosce che qualsiasi archiviazione e/o trasferimento dei Dati dei propri clienti verso terze parti o piattaforme, diverse da SumUp, avviene a suo esclusivo rischio e responsabilità;

E. si assicura che le istruzioni relative al trattamento dei dati personali, riguardanti i Dati dei propri clienti, siano conformi a tutte le leggi, i regolamenti e le norme applicabili. Si assicurerà inoltre che il trattamento dei Dati dei propri clienti, in conformità con le proprie istruzioni, non causi o provochi, da parta nostra o sua, alcuna violazione di qualsiasi legge, norma o regolamento.

5. Notifica di violazioni. La parte informerà immediatamente l'altra parte (ma non più tardi di 48 ore) una volta a conoscenza di una violazione dei dati personali in relazione ai dati personali trattati ai sensi del presente DPA. SumUp assisterà l'utente nell'adempiere ai suoi obblighi di notifica di violazione dei dati, gli fornirà informazioni su tale violazione, per quanto sia ragionevolmente possibile divulgare, tenendo conto della natura dei Servizi, delle informazioni a nostra disposizione e di qualsiasi limitazione alla divulgazione delle informazioni, quale ad esempio la riservatezza. Nonostante quanto sopra, gli obblighi di SumUp nell'ambito di questa sezione non si applicano agli incidenti causati dall'utente, da qualsiasi attività sul suo account e/o dai servizi di terze parti. SumUp si obbliga a collaborare e supportare l'utente con riguardo alle indagini, alla massima riduzione delle conseguenze negative e alla rettifica della violazione dei dati personali, nonché alla prevenzione di simili violazioni future di dati. La notifica di SumUp di una violazione dei dati personali non sarà considerata come un riconoscimento da parte di SumUp di qualsiasi colpa o responsabilità in relazione a tale incidente. In caso di violazione dei dati personali, l'utente sarà obbligato a adottare le misure necessarie ai sensi delle leggi applicabili in relazione ai dati dei propri clienti.

6. Sub-responsabili del trattamento. Con il presente, l'utente concede a SumUp l'autorizzazione generale ad avvalersi di sub-responsabili al fine di fornire i Servizi senza ottenere ulteriori autorizzazioni specifiche scritte. SumUp darà esecuzione a un accordo con ciascun sub-responsabile, garantendone la conformità con termini che assicurino almeno lo stesso livello di protezione e sicurezza di quelli stabiliti nel presente DPA. Se l'utente si oppone a un sub-responsabile del trattamento e l'obiezione è ragionevole e correlata alle preoccupazioni relative alla protezione dei dati, faremo ogni ragionevole sforzo commerciale per evitare il trattamento dei Dati dei suoi clienti da parte di tale sub-responsabile. Se non siamo in grado di realizzare tali modifiche suggerite entro un periodo di tempo ragionevole, informeremo l'utente e, se quest'ultimo continua ad opporsi al nostro utilizzo di tale sub-responsabile, potrà cancellare o chiudere il suo account o, se possibile, le parti dei Servizi che comportano l'uso di tale sub-responsabile.

7. Trasferimento di dati personali. Il trattamento dei Dati dei clienti dell'utente avverrà all'interno del territorio dello Spazio economico europeo ("SEE") e del Regno Unito. Qualsiasi trasferimento e trattamento in un paese terzo al di fuori dell'UE/SEE e del Regno Unito che non garantisca un livello adeguato di protezione, adottato il regolamento di adeguatezza del Regno Unito, secondo la normativa applicabile sulla protezione dei dati, deve essere effettuato in conformità con le Clausole contrattuali standard o altri meccanismi appropriati che garantiscano un livello adeguato di sicurezza dei dati personali secondo i requisiti della Normativa in materia di protezione dei dati personali.

8. Verifiche. L'utente ha il diritto di avviare una volta all'anno una revisione degli obblighi di SumUp ai sensi del presente DPA. Se SumUp è tenuta a farlo ai sensi della normativa vigente, le verifiche possono essere ripetute una volta all'anno. Entrambe le parti decidono insieme se una terza parte dovrebbe condurre la verifica. Tuttavia, l'utente può consentirci di far eseguire la revisione della sicurezza da una terza parte neutrale di nostra scelta, se si tratta di un ambiente di trattamento in cui vengono trattati più dati del titolare del trattamento. Se l'ambito proposto della verifica segue un rapporto di certificazione ISO o analogo condotto da un revisore qualificato di terze parti negli ultimi dodici mesi, e SumUp conferma che non sono state apportate modifiche sostanziali alle misure in corso di revisione, questo soddisferà tutte le richieste ricevute entro tale periodo di tempo. Le verifiche possono non interferire irragionevolmente con la consueta attività di business di SumUp. Saranno a carico dell'utente tutti i costi associati alla sua richiesta di revisione della verifica.

9. Responsabilità. La responsabilità di ciascuna parte, nell'ambito del presente DPA, è soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nei Termini e/o nei Termini aggiuntivi. L'utente accetta che qualsivoglia penale o rivendicazione legale da parte di soggetti interessati o di altri soggetti, sostenuta da SumUp in relazione ai Dati dei suoi Clienti derivanti o in relazione al mancato rispetto degli obblighi previsti dal presente DPA o dalla Legge sulla protezione dei dati applicabile ridurrà la massima responsabilità aggregata di SumUp nei confronti dell'utente ai sensi dei Termini aggiuntivi e/o dei Termini dello stesso importo della multa e/o della responsabilità sostenuta da SumUp di conseguenza.

10. Risoluzione. Il presente DPA rimarrà in vigore per tutto il tempo in cui verranno utilizzati i Servizi di SumUp. Tuttavia, se SumUp, in base ai termini del presente DPA o di uno qualsiasi dei Termini e delle Condizioni di SumUp, è obbligato a conservare i dati personali dei clienti dell'utente a seguito della risoluzione dei Servizi, il presente DPA continuerà a rimanere in vigore per tutto il tempo in cui SumUp è tenuto a conservare tali dati personali. Al termine dell'utilizzo dei Servizi, e salvo che SumUp non sia tenuto a conservare i Dati dei clienti dell'utente nel rispetto dei propri Termini e/o dei Termini aggiuntivi, di qualsiasi accordo o legge applicabile, SumUp dovrà, anche su richiesta scritta dell'utente, eliminare i Dati dei clienti dell'utente non appena sia ragionevolmente fattibile, in conformità con i Termini di SumUp e le leggi applicabili.

11. Varie.

11.1. In caso di contraddizione tra il presente DPA e una qualsiasi dei Termini e/o dei Termini aggiuntivi di SumUp, prevarranno le disposizioni del presente DPA.

11.2. L'utente si accollerà eventuali costi e spese derivanti dall'adesione, da parte di SumUp, alle istruzioni o alle richieste dell'utente nell'ambito dei Termini aggiuntivi (compreso il presente DPA) che non rientrino nelle funzionalità standard messe generalmente a disposizione da SumUp tramite i Servizi.

11.3. SumUp avrà il diritto di emendare e/o modificare uno qualsiasi dei termini del presente DPA, secondo quanto periodicamente previsto. Le modifiche all'Accordo potrebbero essere apportate da SumUp in un allegato separato o in un altro mezzo visibile e saranno comunicate in modo appropriato.

11.4. Eventuali domande riguardanti il presente DPA o altre richieste relative al trattamento dei dati personali devono essere indirizzate alla nostra attenzione tramite dpo@sumup.com. SumUp tenterà di risolvere eventuali reclami riguardanti l'utilizzo dei Dati dei clienti dell'utente in conformità con il presente DPA, con i Termini e le politiche interne di SumUp.

11.5. Qualora una delle disposizioni del DPA fosse ritenuta non valida, ciò non pregiudica le restanti disposizioni. Le parti sostituiranno le disposizioni non valide con una disposizione legale che rifletta lo scopo della disposizione non valida.

11.6. Il presente Accordo è disciplinato e interpretato in conformità e ai sensi delle leggi di Inghilterra e Galles. Qualsiasi controversia, derivante o in connessione al presente Accordo, andrà sottoposta e risolta dai Tribunali d'Inghilterra e Galles.