Clausola (1) Scopo e ambito

a. Lo scopo delle presenti Clausole è garantire che, in assenza di un livello adeguato di protezione di dati personali al di fuori del Regno, venga applicato un livello di protezione di dati personali equivalente a quello previsto dalla Legge sulla protezione di dati personali e dai relativi Regolamenti di attuazione, specificando gli obblighi delle parti coinvolte nel trasferimento di dati personali verso un Paese o un'organizzazione internazionale che non dispone di un livello adeguato di protezione di dati personali. L'Allegato (1) riporta i dati relativi sia agli esportatori che agli importatori di dati.

b. Le presenti Clausole si applicano al trasferimento di dati personali come specificato nell'Allegato (2) ("dati personali trasferiti o divulgati").

Clausola (2) Modifica e impatto 

a. Le presenti Clausole forniscono garanzie adeguate, incluso il diritto di presentare reclamo dall'Interessato, e non possono essere modificate, salvo che per la selezione del modello appropriato o per l'integrazione o l'aggiornamento delle informazioni riportate nell'allegato.

b. Le parti possono integrare le presenti Clausole in un accordo generale o aggiungere ulteriori disposizioni o garanzie, a condizione che queste non risultino in contrasto, diretto o indiretto, con le presenti Clausole né ledano i diritti fondamentali dell'Interessato.

c. Le presenti Clausole non esonerano nessuna delle parti dagli obblighi previsti dalla Legge e dai Regolamenti applicabili, né pregiudicano le disposizioni delle normative vigenti nel Regno o degli accordi internazionali cui il Regno aderisce.

Clausola (3) Diritti dell'Interessato

a. Le presenti Clausole contrattuali standard non pregiudicano i diritti dell'Interessato ai sensi della Legge e dei Regolamenti.

b. L'Interessato, i cui dati personali sono trasferiti dalle parti in conformità alle presenti Clausole contrattuali standard, ha facoltà di informare l'Autorità competente ("Autorità Saudita per i dati e l'intelligenza artificiale") qualora venga a conoscenza di qualsiasi violazione delle presenti Clausole.

Clausola (4) Interpretazione

a. Salvo ove diversamente richiesto dal contesto, i termini e le espressioni utilizzati nelle presenti Clausole assumono il significato loro attribuito dall'articolo 1 della Legge sulla protezione di dati personali, emanata con decreto reale n. (M/19) del 9/2/1443 AH e successivamente modificata dal decreto reale n. (M/148) del 5/9/1444 AH, nonché dall'articolo 1 del Regolamento di attuazione di PDPL e dall'articolo 1 del Regolamento sul trasferimento di dati personali al di fuori del Regno.

b. Le presenti Clausole devono essere lette e interpretate in conformità alle disposizioni della Legge e dei Regolamenti richiamati al paragrafo (a) del presente Articolo e non possono essere interpretate in modo difforme o in contrasto con tali disposizioni.

Clausola (5) Conflitto 

In caso di conflitto tra le presenti Clausole e qualsiasi altra disposizione contenuta in un diverso accordo tra le parti, prevarranno le presenti Clausole.

Clausola (6) Dettagli dei trasferimenti

I trasferimenti, unitamente alle categorie di dati personali e alle finalità degli stessi, sono descritti nell'Allegato.

Clausola (7) Aggiunta di nuove parti

a. Qualsiasi Importatore o Esportatore di dati personali che non sia originariamente parte delle presenti Clausole contrattuali standard può aderirvi compilando e sottoscrivendo l'Allegato (1), previa approvazione da parte delle parti già aderenti. L'Entità aderente assumerà lo status di Importatore o di Esportatore di dati personali.

b. Una volta completata e sottoscritta l'adesione tramite l'Allegato (1), l'Entità aderente diventerà parte integrante delle presenti Clausole e, a decorrere dalla data di adesione, assumerà le responsabilità connesse alla natura delle operazioni di trattamento e trasferimento di dati personali effettuate alla data di adesione o successivamente, nonché i diritti e gli obblighi previsti per il proprio ruolo ai sensi delle presenti Clausole.

Clausola (8) Legge e giurisdizione applicabile

Le presenti Clausole contrattuali standard sono disciplinate dalle leggi applicabili del Regno dell'Arabia Saudita. Qualsiasi controversia relativa all'applicazione delle disposizioni delle presenti Clausole sarà di competenza esclusiva del Regno e sottoposta alla giurisdizione dei suoi tribunali. L'Importatore di dati personali, ai sensi delle presenti Clausole contrattuali standard, accetta espressamente di sottoporsi alla giurisdizione del Regno dell'Arabia Saudita.

Clausola (9) Conformità alle richieste dell'Autorità competente

a. Ciascuna parte si impegna a soddisfare qualsiasi richiesta proveniente dall'Autorità competente in relazione alle presenti Clausole contrattuali standard o al trattamento di dati personali oggetto di trasferimento.

b. L'Importatore di dati personali accetta di collaborare pienamente con l'Autorità competente e si impegna a soddisfare tutte le sue richieste e domande, fornendo la documentazione e le informazioni necessarie a garantire il rispetto delle presenti Clausole contrattuali standard.

c. L'Importatore di dati personali si impegna a rispettare le misure adottate dall'Autorità competente, incluse le misure correttive e i provvedimenti risarcitori.

Clausola (10) Compensazione

a. In caso di controversia tra l'Interessato e una delle parti in merito all'osservanza delle presenti Clausole contrattuali standard, la parte coinvolta si impegna a compiere ogni sforzo necessario per risolvere la controversia in via amichevole con l'Interessato. Inoltre, tutte le parti si impegnano a informarsi reciprocamente dell'esistenza di tale controversia al fine di garantire una risoluzione collaborativa.

b. L'Interessato può presentare reclamo all'Autorità competente in relazione all'applicazione delle presenti Clausole contrattuali standard, secondo le modalità e le procedure previste dalla Legge e dai Regolamenti vigenti.

c. L'Interessato ha il diritto di richiedere al tribunale competente il risarcimento dei danni, materiali o morali, subiti in misura proporzionale all'entità del pregiudizio derivante dall'applicazione delle presenti Clausole contrattuali standard.

Clausola (11) Sicurezza di dati personali

a. Tutte le parti adottano le misure organizzative, amministrative e tecniche necessarie a garantire la riservatezza di dati personali e a prevenire qualsiasi violazione in tutte le fasi del trattamento, inclusa la sicurezza di dati personali durante il trasferimento.  Nel determinare il livello di sicurezza appropriato, le parti terranno conto dello stato della tecnologia, dei costi di attuazione, della natura di dati personali trasferiti, nonché della natura, dell'ambito, del contesto, delle finalità e dei rischi associati al trattamento di dati personali. Particolare attenzione sarà riservata all'eventuale applicazione di misure di crittografia o anonimizzazione, anche durante il trasferimento, ove tali misure risultino idonee al conseguimento delle finalità del trattamento.

b. L'Esportatore di dati personali fornirà assistenza all'Importatore di dati personali per garantire l'adempimento dei requisiti di sicurezza previsti in materia di protezione di dati. In caso di violazione di dati personali connessa ai dati trasferiti e trattati dall'Esportatore di dati personali ai sensi delle presenti Clausole contrattuali standard, l'Esportatore informerà senza indugio l'Importatore non appena venuto a conoscenza della violazione e fornirà l'assistenza necessaria per contenerne gli effetti.

c. L'Esportatore di dati personali garantisce che tutte le persone autorizzate al trattamento di dati personali trasferiti siano vincolate da un adeguato obbligo legale di riservatezza e non divulgazione.

Clausola (12) Durata e risoluzione

a. Qualora, per qualsiasi motivo, l'Importatore di dati personali non sia in grado di adempiere agli obblighi previsti dalle presenti Clausole contrattuali standard, è tenuto a informare l'Esportatore di dati personali entro 24 (ventiquattro) ore dal momento in cui ne viene a conoscenza.

b. Nel caso in cui l'Importatore di dati personali violi le presenti Clausole contrattuali standard o non sia in grado di garantirne il rispetto, l'Esportatore di dati personali dovrà sospendere immediatamente il trasferimento di dati personali verso l'Importatore fino a quando quest'ultimo non dimostri di aver ripristinato la conformità. All'Importatore sarà concesso un termine di 30 (trenta) giorni, prorogabile per un ulteriore periodo massimo di pari durata, per comprovare la propria capacità di adempiere alle presenti Clausole; decorso inutilmente tale termine, le parti convengono di risolvere il contratto senza che ciò comporti alcuna responsabilità per l'Esportatore di dati personali o per il Titolare del trattamento, a seconda dei casi.

c. L'Esportatore di dati personali o il Titolare del trattamento, a seconda dei casi, garantisce che tutti i dati personali precedentemente trasferiti all'Importatore siano integralmente distrutti prima della cessazione delle presenti Clausole contrattuali standard, come previsto dal paragrafo (b) che precede. Garantirà altresì la distruzione di ogni eventuale copia in suo possesso di tali dati personali.

d. L'Importatore di dati personali dovrà documentare l'avvenuta distruzione di dati, fornendo tale documentazione all'Esportatore o al Titolare del trattamento su richiesta.

e. L'Importatore di dati personali è tenuto a garantire il pieno rispetto delle presenti Clausole contrattuali standard fino al completamento della distruzione di dati.

Clausola (13) Protezione di dati personali trasferiti

L'Esportatore di dati personali e l'Importatore di dati personali tratteranno i dati personali trasferiti conformemente alla natura e alle finalità del trasferimento, come specificato di seguito:

Clausole da titolare a titolare del trattamento

1. Restrizioni al trattamento

L'Importatore di dati personali è tenuto a trattare i dati personali trasferiti in conformità con le finalità indicate nell'Allegato (2).

2. Conformità alle richieste dell'Autorità competente 

2.1 Le parti si impegnano a fornire, su richiesta e senza indebito ritardo, una copia delle presenti Clausole all'Autorità competente, al fine di consentirle di esercitare i propri poteri ai sensi della Legge e dei Regolamenti. L'Autorità competente potrà altresì richiedere ulteriori informazioni relative al trasferimento di dati personali.

2.2 Ciascuna parte si impegna a soddisfare qualsiasi richiesta avanzata dall'Autorità competente in relazione alle presenti Clausole o al trattamento di dati personali trasferiti. 

2.3 Su richiesta, l'Importatore di dati personali, direttamente o tramite l'Esportatore di dati personali, fornirà all'Interessato l'identità e i recapiti dell'Importatore, le categorie di dati personali oggetto del trattamento, nonché una copia delle suddette informazioni

3. Quantità minima di dati personali necessaria al raggiungimento delle finalità 

Tutte le parti garantiscono che i dati personali trasferiti siano limitati alla quantità minima necessaria per il raggiungimento delle finalità indicate nell'Allegato (2). Qualora una parte venga a conoscenza di un trasferimento di dati personali eccedenti rispetto a quanto necessario, ne informerà tempestivamente le altre parti.

4. Conservazione di dati personali 

L'Importatore di dati personali conserverà i dati personali trasferiti solo nella misura necessaria per adempiere alle finalità indicate nell'Allegato (2), a condizione che provveda, senza indebito ritardo, alla cancellazione o all'anonimizzazione di dati personali trasferiti, salvo nei seguenti casi: 

4.1 Qualora tale conservazione sia giustificata da un obbligo legale ai sensi delle leggi del Regno e della Legge sulla protezione di dati personali e dei relativi Regolamenti; in tal caso, i dati saranno distrutti al termine del periodo previsto o una volta raggiunto lo scopo per cui sono stati raccolti, a seconda di quale dei due termini risulti più lungo. 

4.2 Se la conservazione per un periodo aggiuntivo è direttamente connessa a un procedimento pendente dinanzi a un'autorità giudiziaria e risulta necessaria per tale finalità; i dati saranno distrutti al completamento del procedimento giudiziario relativo. 

4.3 Qualora la conservazione sia necessaria per proteggere la vita o gli interessi vitali dell'Interessato.

5. Sicurezza di dati personali e notifiche relative alla violazione di dati personali

Le parti garantiscono che le misure organizzative, amministrative e tecniche indicate nell'Allegato (3) assicurino un livello di protezione adeguato per i dati personali trasferiti, in conformità ai requisiti previsti dall'articolo 19 della Legge e dall'articolo 23 del Regolamento di attuazione. 

5.1 L'Importatore di dati personali si impegna ad attuare le misure di sicurezza specificate nell'Allegato (3) e ad applicarle a tutti i dati personali trasferiti, al fine di garantire la protezione e la sicurezza contro qualsiasi violazione che possa arrecare danno all'Interessato, compresi atti illeciti, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai dati personali.

5.2 L'Importatore di dati personali dovrà rivedere periodicamente le misure di sicurezza previste nell'Allegato (3) per verificarne l'effettiva attuazione e aggiornarle qualora necessario, assicurando così la conformità con l'articolo 19 della Legge e l'articolo 23 del Regolamento di attuazione. 

5.3 Qualora l'Importatore di dati personali venga a conoscenza di un evento imprevisto che possa compromettere i dati personali trasferiti o i diritti e gli interessi degli Interessati, è tenuto a informare l'Autorità competente entro 72 (settantadue) ore dal momento della conoscenza dell'evento, in conformità con quanto previsto dall'articolo 24 del Regolamento di attuazione della Legge. 

6. Dati sensibili 

Fatte salve le restrizioni relative ai dati sensibili previste dalla Legge e dai Regolamenti di attuazione, l'Esportatore di dati personali garantisce che l'Importatore di dati personali adotti misure di sicurezza supplementari commisurate alla natura di dati sensibili, assicurandone la protezione contro qualsiasi rischio durante il trattamento. L'Esportatore assicura altresì l'applicazione delle restrizioni e delle misure di sicurezza aggiuntive specificate nell'Allegato (2). 

7. Successivo trasferimento

7.1 L'Importatore di dati personali non trasferirà né divulgherà i dati personali ricevuti a terzi al di fuori del Regno, salvo che tali terzi abbiano aderito alle presenti Clausole in conformità al modello appropriato e alle disposizioni della Clausola (7) sopra richiamata. 

7.2 Fatte salve le disposizioni degli articoli 8 e 15 della Legge e dell'articolo 17 del Regolamento di attuazione, le norme contenute nella Legge e nei Regolamenti si applicano anche ai trasferimenti successivi di dati personali precedentemente trasferiti o divulgati a soggetti al di fuori del Regno.

8. Assegnazione dei responsabili del trattamento di dati 

L'Importatore di dati personali è tenuto a nominare un Responsabile del trattamento che fornisca garanzie adeguate a tutela di dati personali trasferiti. L'accordo con il Responsabile del trattamento dovrà includere tutti i requisiti previsti dall'articolo 17 del Regolamento di attuazione e prevedere che il trattamento venga effettuato esclusivamente su istruzioni dell'Importatore, a condizione che tali istruzioni siano conformi ai requisiti stabiliti nelle presenti Clausole.

9. Conformità alle presenti Clausole 

9.1 Tutte le parti sono tenute a dimostrare, su richiesta della competente Autorità, la piena conformità alle presenti Clausole. L'Importatore di dati personali dovrà conservare la documentazione relativa alle attività di trattamento di dati personali effettuate sotto la propria supervisione, inclusi i registri delle attività di trattamento previsti dall'Articolo (33) del Regolamento. 

9.2 L'Importatore di dati personali è obbligato a fornire tale documentazione alla competente Autorità su richiesta. 

10. Responsabilità 

10.1 Ciascuna parte sarà responsabile nei confronti dell'altra per qualsiasi danno causato in seguito alla violazione di una qualsiasi delle presenti Clausole contrattuali standard. 

10.2 Ciascuna parte sarà altresì responsabile nei confronti dell'Interessato, fatto salvo quanto previsto in merito alla responsabilità dell'Esportatore di dati personali ai sensi della Legge e dei Regolamenti. L'Interessato avrà diritto al risarcimento dei danni materiali e morali subiti a causa della negligenza della parte responsabile. Qualora più parti siano ritenute responsabili del danno subito dall'Interessato in conseguenza della violazione delle presenti Clausole, esse saranno considerate responsabili in solido o individualmente, e l'Interessato potrà agire legalmente contro una qualsiasi di esse. 

10.3 Le parti concordano che, qualora una parte si faccia carico della responsabilità di cui al punto (b), avrà il diritto di rivalersi sulle altre parti per la quota di risarcimento corrispondente alla loro rispettiva responsabilità.

10.4 L'Importatore di dati personali non potrà sottrarsi alla propria responsabilità invocando il comportamento del Responsabile del trattamento o del sub-Responsabile del trattamento. 

11. Diritti degli Interessati 

11.1 L'Importatore di dati personali, con il supporto dell'Esportatore di dati personali, dovrà rispondere tempestivamente a qualsiasi domanda o richiesta ricevuta dall'Interessato riguardo al trattamento di dati personali e all'esercizio dei diritti previsti dalla Legge e dai Regolamenti applicabili, entro e non oltre trenta (30) giorni dalla ricezione della richiesta. Tale termine potrà essere prorogato per un ulteriore periodo massimo di trenta (30) giorni qualora l'evasione della richiesta richieda uno sforzo straordinario o in caso di numerose richieste da parte dell'Interessato. L'Interessato dovrà essere tempestivamente informato della proroga e dei motivi che la giustificano. 

11.2 Tutte le comunicazioni rivolte all'Interessato dovranno essere formulate in modo chiaro, leggibile e facilmente accessibile.

Allegato

Per le informazioni contenute negli Allegati 1, 2 e 3, fare riferimento ai Termini sulla privacy dell'Arabia Saudita.