Scegliete un altro Paese o una regione per vedere i contenuti specifici della vostra località.
ACCORDO SULLA PROTEZIONE DEI DATI
Il presente Accordo sulla protezione dei dati («DPA») costituisce parte integrante dell’accordo concluso tra Sonova AG, incluse le sue società controllate e affiliate che forniscono servizi ai sensi dell’Accordo (collettivamente, «Sonova») e il Cliente.
Ai fini del presente DPA, i riferimenti a «Sonova» o al «Gruppo» si applicano a qualsiasi entità del Gruppo che tratti dati personali in relazione all’Accordo con il Cliente.
Articolo 1 – Definizioni
1.1 “«Leggi Applicabili in materia di Protezione dei Dati» indica tutte le leggi e i regolamenti applicabili relativi alla riservatezza, alla sicurezza, alla protezione e alla gestione dei Dati Personali, inclusi, a titolo esemplificativo ma non esaustivo, ove applicabile: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) («GDPR»), la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; il Regolamento generale sulla protezione dei dati del Regno Unito (Regolamento (UE) 2016/679) («UK GDPR») e il Data Protection Act 2018; la Legge federale svizzera sulla protezione dei dati 235.1 del 25 settembre 2020; il California Consumer Privacy Act del 2018 («CCPA»), come modificato dal California Privacy Rights Act del 2020 («CPPA»); l’Health Insurance Portability and Accountability Act degli Stati Uniti («HIPAA»); la Legge sulla protezione delle informazioni personali della Repubblica Popolare Cinese («PIPL»); nonché qualsiasi altra normativa rilevante in materia di protezione dei dati nei territori in cui le Parti operano.
1.2 «Cliente» indica il professionista o la struttura di assistenza audiologica debitamente autorizzati che forniscono dispositivi acustici agli Utenti finali.
1.3 “Utenti finali” indica le persone che utilizzano direttamente un dispositivo acustico Sonova
1.4 "Dati Personali” ha il significato indicato nelle Leggi Applicabili in materia di Protezione dei Dati (ad esempio, qualsiasi dato relativo a una persona fisica identificata o identificabile) oppure come diversamente indicato nelle stesse (ad esempio, informazioni personali, informazioni di identificazione personale). Per chiarezza, i Dati Personali non comprendono le informazioni rese anonime o aggregate in modo tale che l’interessato non sia più identificabile.
1.5 Ai fini del presente DPA, i termini «Autorità di controllo», «Responsabile della protezione dei dati», «Dati Personali», «Interessati», «Pseudonimizzazione», «Titolare del trattamento», «Trattamento», «Trasferimento», «Responsabile del trattamento», «Vendita», «Condivisione» e «Condivisione di dati», nonché «Violazione dei dati personali» hanno il significato loro attribuito nelle Leggi Applicabili in materia di Protezione dei Dati.
Articolo 2 – Conformità alle Leggi Applicabili in materia di Protezione dei Dati
2.1 Sonova e il Cliente, di seguito anche congiuntamente «le Parti», si impegnano a rispettare tutte le Leggi Applicabili in materia di Protezione dei Dati e in conformità con i relativi termini e condizioni.
2.2 Ciascuna Parte è l’unica responsabile di garantire che il proprio Trattamento di Dati Personali ai sensi dell’Accordo sia effettuato in conformità con le Leggi Applicabili in materia di Protezione dei Dati a essa applicabili e in conformità con il presente DPA.
2.3 Ciascuna Parte garantisce che qualsiasi comunicazione di Dati Personali da essa effettuata all’altra Parte in relazione all’esecuzione dell’Accordo sia lecita, corretta e trasparente e che siano state fornite tutte le informative sulla privacy richieste e ottenuti tutti i consensi necessari o altre basi giuridiche prima della comunicazione.
2.4 Qualora nel presente DPA si faccia riferimento a specifiche disposizioni del Regolamento (UE) 2016/679 («GDPR»), incluse le basi giuridiche ai sensi dell’articolo 6 del GDPR, tali riferimenti si applicano esclusivamente nella misura in cui il GDPR è applicabile all’attività di trattamento interessata. Qualora il trattamento in questione sia disciplinato da altre Leggi Applicabili in materia di Protezione dei Dati, si applicano le disposizioni corrispondenti di tali leggi.
Articolo 3 – Ruoli delle Parti
3.1 A seconda della natura del prodotto e/o del servizio fornito, Sonova e il Cliente possono agire in qualità di Titolari del trattamento indipendenti oppure di Contitolari del trattamento, secondo le definizioni delle Leggi Applicabili in materia di Protezione dei Dati. Il ruolo applicabile è determinato in base alla specifica attività di trattamento e alle finalità e ai mezzi del trattamento definiti in relazione al prodotto o al servizio pertinenti.
3.2 Qualora le Parti agiscano come Contitolari del trattamento, tale trattamento è disciplinato dalla Sezione A del presente DPA (Articoli da 4 a 12).
3.3 Qualora le Parti agiscano come Titolari del trattamento indipendenti, tale trattamento è disciplinato dalla Sezione B del presente DPA (Articolo 13).
3.4 Nella misura in cui, nel corso del loro rapporto, una Parte tratti Dati Personali per conto dell’altra Parte e assuma pertanto la qualifica di Responsabile del trattamento che agisce per conto di un Titolare del trattamento ai sensi delle Leggi Applicabili in materia di Protezione dei Dati, le Parti convengono di stipulare un separato accordo di trattamento dei dati tra di loro.
Sezione A – Accordo tra Contitolari del trattamento
Articolo 4 – Contitolari del trattamento
4.1 Le Parti riconoscono che, nell’ambito dell’utilizzo dei prodotti e servizi di Sonova, possono agire come Contitolari del trattamento in relazione ai Dati Personali degli Utenti finali, qualora entrambe le Parti determinino congiuntamente le finalità e i mezzi del Trattamento.
4.2 Le Parti riconoscono e convengono che, di regola, le seguenti attività non richiedono la comunicazione o la condivisione dei Dati Personali degli Utenti finali con Sonova. Fermo restando quanto precede, qualora i Dati Personali siano effettivamente condivisi, le Parti agiscono come Contitolari del trattamento per il Trattamento dei Dati Personali per le seguenti finalità:
a) Servizio post‑vendita dei prodotti, inclusa la riparazione, sostituzione o manutenzione, qualora tale trattamento sia necessario per l’esecuzione del contratto con l’Utente finale. A seconda delle circostanze, il servizio post‑vendita dei prodotti può essere subordinato all’acquisizione di un ulteriore consenso o a un altro fondamento giuridico applicabile.
b) Utilizzo di strumenti e software connessi al prodotto, incluse gli aggiornamenti software, il monitoraggio remoto o la configurazione del dispositivo, qualora sia necessario per l’esecuzione del contratto con l’Utente finale o si fondi su una base giuridica lecita. Produzione del prodotto, compresa la personalizzazione o l’adattamento del prodotto all’Utente finale, qualora sia necessaria per l’esecuzione del contratto con l’Utente finale e si basi su un idoneo fondamento giuridico ai sensi delle Leggi Applicabili in materia di Protezione dei Dati
4.3 Qualora, per propria convenienza operativa, il Cliente scelga di comunicare o rendere disponibili a Sonova Dati Personali degli Utenti finali in misura eccedente quanto strettamente necessario per le finalità indicate all’Articolo 4.2, il Cliente dovrà:
a) garantire il rispetto del principio di minimizzazione dei dati previsto nelle Leggi Applicabili in materia di Protezione dei Dati;
b) identificare e documentare un’adeguata base giuridica, inclusa l’acquisizione di un consenso valido, ove richiesto;
c) fornire agli Interessati le informazioni richieste ai sensi delle Leggi Applicabili in materia di Protezione dei Dati, incluse informazioni chiare in merito alla comunicazione dei loro Dati Personali a Sonova, alle finalità di tale comunicazione e ai ruoli rispettivi delle Parti.
4.4 Il Cliente dichiara e garantisce che qualsiasi Dato Personale condiviso con Sonova nell’ambito del trattamento congiunto è stato raccolto lecitamente e può essere trattato lecitamente per le finalità indicate nel presente DPA, in qualsiasi documentazione sulla privacy aggiuntiva e in conformità con le Leggi Applicabili in materia di Protezione dei Dati.
4.5 Il Cliente non deve vendere né condividere i Dati Personali degli Utenti finali, né utilizzare, conservare, comunicare o altrimenti trattare le informazioni riservate o proprietarie di Sonova al di fuori della propria relazione commerciale con Sonova o per qualsivoglia altra finalità commerciale, salvo ove richiesto dalla legge.
Articolo 5 – Caratteristiche del Trattamento dei Dati Personali
5.1 Le Parti convengono che il trattamento dei Dati Personali, le cui finalità e mezzi sono determinati congiuntamente, presenta le caratteristiche stabilite nell’informativa sulla privacy applicabile, che è richiamata nel presente DPA
5.2 Sonova può aggregare o rendere anonimi i Dati Personali in modo tale che i dati risultanti non costituiscano più Dati Personali ai sensi delle Leggi Applicabili in materia di Protezione dei Dati e purché tali dati non possano essere identificati né associati a un Interessato da parte di Sonova (collettivamente, i «Dati aggregati»). Sonova può utilizzare tali Dati aggregati per le proprie finalità interne (ad esempio, ricerca e miglioramento dei servizi, intelligenza artificiale generativa) nella misura consentita dal Contratto per l’Utente Professionale e dalle Leggi Applicabili in materia di Protezione dei Dati.
Articolo 6 – Obblighi generali delle Parti
6.1 Le Parti si impegnano a:
a) Garantire che il personale che, in virtù del presente Contratto, abbia accesso ai Dati Personali o sia coinvolto nel loro trattamento sia vincolato da un obbligo di riservatezza e riceva la formazione necessaria in materia di protezione dei Dati Personali;
b) Adottare tutte le misure necessarie per rispettare le Leggi Applicabili in materia di Protezione dei Dati, incluse la tenuta di un registro delle attività di trattamento e la cooperazione nella conduzione di valutazioni d’impatto sulla protezione dei dati in relazione al trattamento di Dati Personali, ove applicabile;
c) In caso di subappalto delle attività di trattamento, garantire che tutti i fornitori, subappaltatori o altri terzi rispettino gli obblighi derivanti dal presente DPA;
d) Cancellare o distruggere in modo sicuro tutti i Dati Personali, incluse tutte le copie e riproduzioni, salvo nella misura in cui la legge applicabile richieda la conservazione di tali dati.
Articolo 7 – Diritti degli Interessati
7.1 Il Cliente è responsabile di fornire informazioni sul trattamento dei Dati Personali agli Utenti finali interessati da tale trattamento, in conformità con le Leggi Applicabili in materia di Protezione dei Dati, e di ottenere e documentare qualsiasi consenso richiesto o altra base giuridica dall’Utente finale prima di condividere Dati Personali con Sonova.
7.2 Gli Interessati possono esercitare i propri diritti nei confronti di una qualsiasi delle Parti. Le Parti cooperano in buona fede per garantire risposte tempestive e conformi.
Articolo 8 – Sicurezza dei Dati Personali
8.1 Ciascuna Parte implementa misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio associato al Trattamento dei Dati Personali, tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del Trattamento.
8.2 Senza limitazione, tali misure comprendono, ove opportuno o richiesto dalla legge:
a) La pseudonimizzazione e la cifratura dei Dati Personali per proteggerli da accessi o divulgazioni non autorizzati
b) Misure volte a garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di Trattamento, incluse misure amministrative, tecniche e fisiche;
c) Procedure per ripristinare tempestivamente la disponibilità dei Dati Personali e l’accesso agli stessi in caso di incidente fisico o tecnico;
d) Test, valutazioni e verifiche periodiche dell’efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del Trattamento, inclusi test di vulnerabilità e test di penetrazione, ove opportuno;
e) Misure di controllo degli accessi per garantire che solo il personale autorizzato con un legittimo bisogno possa accedere ai Dati Personali;
f) Registrazione e monitoraggio delle attività di Trattamento, al fine di rilevare, prevenire e gestire accessi non autorizzati o incidenti di sicurezza;
g) Programmi di formazione e sensibilizzazione per i dipendenti, al fine di garantire che il personale coinvolto nel Trattamento comprenda i propri obblighi ai sensi delle Leggi Applicabili in materia di Protezione dei Dati e del presente DPA.
8.3 Ciascuna Parte è responsabile di implementare le misure di sicurezza nel rispettivo ambito di responsabilità e deve informare tempestivamente l’altra Parte di qualsiasi incidente di sicurezza che possa ragionevolmente incidere sui Dati Personali condivisi o trattati congiuntamente.
Articolo 9 – Responsabili del trattamento
9.1 Le Parti possono avvalersi di Responsabili del trattamento, fatto salvo il rispetto delle disposizioni del presente Articolo 9.
9.2 Qualsiasi Trattamento eseguito da Responsabili del trattamento è disciplinato da un accordo scritto tra la Parte interessata e i Responsabili del trattamento che imponga a questi ultimi il rispetto degli stessi obblighi e restrizioni previsti nel presente DPA, incluse garanzie espresse da parte dei Responsabili del trattamento di implementare misure tecniche e organizzative atte a garantire che il Trattamento soddisfi tutti i requisiti delle Leggi Applicabili in materia di Protezione dei Dati.
9.3 Ciascuna Parte mantiene un elenco aggiornato dei propri Responsabili del trattamento coinvolti nel trattamento dei Dati Personali ai sensi del presente DPA. Su ragionevole richiesta scritta dell’altra Parte, tale elenco è messo a disposizione, fermo restando che la Parte che lo fornisce può oscurare o limitare alcune informazioni nella misura necessaria a proteggere informazioni riservate o la sicurezza..
9.4 Ciascuna Parte rimane responsabile del Trattamento dei Dati Personali e di qualsiasi atto o omissione dei propri Responsabili del trattamento come se tali atti o omissioni fossero stati posti in essere dalla Parte stessa.
Articolo 10 – Violazione dei Dati Personali
10.1 In caso di Violazione dei Dati Personali, le Parti si impegnano a cooperare e a informarsi reciprocamente senza ingiustificato ritardo dopo essere venute a conoscenza di una Violazione dei Dati Personali che interessi Dati Personali trattati ai sensi del presente DPA. Tale notifica deve includere tutte le informazioni ragionevolmente necessarie per consentire all’altra Parte di adempiere ai propri obblighi previsti dalle Leggi Applicabili in materia di Protezione dei Dati.
10.2 Le Parti cooperano in buona fede per valutare l’entità, la natura e le probabili conseguenze della Violazione dei Dati Personali e determinare se la violazione sia suscettibile di comportare un rischio o un rischio elevato per i diritti e le libertà delle persone fisiche
10.3 La Parte interessata dalla Violazione dei Dati Personali effettua un’indagine e un’analisi al fine di determinarne le conseguenze e, in particolare, se essa sia suscettibile di comportare un rischio per i diritti e le libertà degli Interessati. A tal fine:
a) la Parte interessata è responsabile della notifica all’Autorità di controllo competente e, se necessario, agli Interessati interessati, salvo diversa previsione delle Leggi Applicabili in materia di Protezione dei Dati. L’altra Parte fornisce tutta l’assistenza e le informazioni necessarie per consentire che tale notifica sia effettuata entro i termini applicabili;
b) la Parte interessata attua quanto prima le misure necessarie a porre rimedio alla Violazione dei Dati Personali;
c) la Parte interessata documenta la Violazione dei Dati Personali al fine di garantirne la tracciabilità, indipendentemente dal fatto che l’analisi evidenzi o meno un rischio per i diritti e le libertà degli Interessati.
Articolo 11 – Trasferimenti transfrontalieri di dati
11.1 In caso di Trasferimento di Dati Personali al di fuori del paese in cui i Dati Personali sono raccolti e qualora il paese importatore non sia considerato dotato di un livello adeguato di protezione dei dati ai sensi della Legge Applicabile in materia di protezione dei dati, le Parti convengono di cooperare per garantire:
a) l’attuazione di procedure adeguate per conformarsi alla normativa in materia di Dati Personali, in particolare quando è necessaria una richiesta di autorizzazione all’Autorità di controllo competente;
b) l’attuazione di adeguate misure organizzative, tecniche e giuridiche per disciplinare tale trasferimento e garantire il livello necessario e adeguato di protezione ai sensi della normativa in materia di Dati Personali;
c) se necessario, l’attuazione di meccanismi leciti per i trasferimenti transfrontalieri, quali le clausole contrattuali tipo adottate dalla Commissione europea (Decisione 2010/87/UE del 5 febbraio 2010 o versioni più recenti, incluse le clausole contrattuali tipo di cui alla Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021), l’International Data Transfer Agreement o l’International Data Transfer Addendum emessi dall’Information Commissioner’s Office del Regno Unito, le clausole contrattuali tipo o altri meccanismi di trasferimento riconosciuti dal diritto svizzero in materia di protezione dei dati, oppure i regolamenti dell’Autoridade Nacional de Proteção de Dados, anche tra tutte le controllate interessate, se necessario.
11.2 A seconda del paese terzo importatore, le Parti si impegnano ad adottare misure supplementari, quali la realizzazione di una valutazione di adeguatezza del trasferimento dei dati, qualora, dopo la valutazione delle circostanze del trasferimento e della normativa del paese terzo, ciò sia necessario per la protezione dei Dati Personali trasferiti.
Articolo 12 – Responsabile della protezione dei dati
12.1 Le Parti si comunicano reciprocamente, su richiesta, i dati di contatto dei rispettivi Responsabili della protezione dei dati.
Sezione B – Trattamento come Titolari del trattamento indipendenti
Articolo 13 – Caratteristiche delle attività di Trattamento e obblighi generali delle Parti
13.1 Sonova agisce in qualità di Titolare del trattamento indipendente per il trattamento dei Dati Personali relativi al Cliente e/o ai suoi rappresentanti, dipendenti o persone di contatto per le seguenti finalità. Ove il GDPR sia applicabile, si applicano le basi giuridiche di seguito indicate:
a) Sonova agisce in qualità di Titolare del trattamento indipendente per il trattamento dei Dati Personali relativi al Cliente e/o ai suoi rappresentanti, dipendenti o persone di contatto per le seguenti finalità. Ove il GDPR sia applicabile, si applicano le basi giuridiche di seguito indicate:;
b) gestione del rapporto con il Cliente e riscontro alle richieste (articolo 6, paragrafo 1, lettera b), GDPR);
c) gestione amministrativa del fascicolo del Cliente (articolo 6, paragrafo 1, lettera b), e articolo 6, paragrafo 1, lettera f), GDPR);
d) gestione del rapporto e del conto del Cliente (articolo 6, paragrafo 1, lettera b), e articolo 6, paragrafo 1, lettera f),
e) contabilità e gestione finanziaria (articolo 6, paragrafo 1, lettera b), e articolo 6, paragrafo 1, lettera f), GDPR);
f) operazioni di assistenza post‑vendita (articolo 6, paragrafo 1, lettera b), e articolo 6, paragrafo 1, lettera f), GDPR);;
g) attività di vendita e marketing (articolo 6, paragrafo 1, lettera f), GDPR)
h) concorsi e iniziative promozionali (articolo 6, paragrafo 1, lettera a), GDPR);;
i) organizzazione di eventi professionali (articolo 6, paragrafo 1, lettera a), GDPR).
13.2 Sonova agisce in qualità di Titolare del trattamento indipendente per il trattamento dei Dati Personali relativi agli Utenti finali (inclusi i pazienti) del Cliente per le seguenti finalità. Ove il GDPR sia applicabile, si applicano le basi giuridiche di seguito indicate:
a) adempimento degli obblighi legali e regolamentari applicabili, inclusi quelli derivanti dal Regolamento (UE) 2017/745 sui dispositivi medici («MDR») (articolo 6, paragrafo 1, lettera c), GDPR);
b) utilizzo di strumenti e software ausiliari ai prodotti sviluppati da Sonova, come meglio descritto nell’informativa o nella policy sulla privacy applicabile.
13.3 Il Cliente agisce in qualità di Titolare del trattamento indipendente per il trattamento dei Dati Personali relativi ai propri Utenti finali (inclusi i pazienti) per le proprie finalità, inclusa la gestione del rapporto commerciale e l’erogazione delle cure, nel rispetto dei propri obblighi legali e regolamentari.