Clausole di Switching, Exit, Termination, Security & Business Continuity

Ai fini del presente Addendum, i termini di seguito riportati hanno il significato indicato. Per quanto non espressamente definito, i termini hanno il significato loro assegnato dal Data Act ovvero, in mancanza, dall’Accordo. Restano ferme, per quanto applicabili, le definizioni del Regolamento (UE) 2016/679 (“GDPR”).

Asset Digitali: indica gli elementi in formato digitale, comprese le applicazioni, di cui il Cliente abbia diritto d’uso indipendentemente dal rapporto contrattuale con il Servizio di Trattamento Dati da cui intende effettuare lo Switching, ai sensi dell’art. 2(32) Data Act.

Dati: indica qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi compilazione di tali atti, fatti o informazioni, anche sotto forma di registrazioni sonore, visive o audiovisive, ai sensi dell’art. 2(1) Data Act.

Dati Esportabili: indica i dati di input e output, inclusi i metadati, generati direttamente o indirettamente, ovvero co-generati, dall’utilizzo del Servizio di Trattamento Dati da parte del Cliente, esclusi gli asset o i dati protetti da diritti di proprietà intellettuale o costituenti segreti commerciali del Provider o di terzi, ai sensi dell’art. 2(38) Data Act.

Infrastruttura ICT On-Premises: indica l’infrastruttura ICT e le risorse di calcolo possedute, affittate o locate dal Cliente, situate nel data center del Cliente medesimo e gestite dal Cliente o da un terzo per suo conto, ai sensi dell’art. 2(33) Data Act.

Parti: indica congiuntamente il Provider e il Cliente; il termine “Parte” indica ciascuno dei due singolarmente.

Periodo di Preavviso: indica il periodo di due (2) mesi, decorrente dalla ricezione da parte del Provider dell’avviso di switching trasmesso dal Cliente, durante il quale l’Accordo continua a produrre i propri effetti in attesa dell’avvio del Periodo Transitorio.

Periodo di Recupero Dati: indica il periodo di trenta (30) giorni di calendario, decorrente dalla fine del Periodo Transitorio, durante il quale il Cliente può recuperare i propri Dati Esportabili e Asset Digitali, ai sensi dell’art. 25(2)(g) Data Act.

Periodo Transitorio: indica il periodo, pari a trenta (30) giorni di calendario, durante il quale il processo di Switching deve essere completato, decorrente dalla fine del Periodo di Preavviso.

Provider di Destinazione: indica il provider di destinazione di servizi di trattamento dati, diverso da Compri s.r.l., in occasione del passaggio del Cliente dall’utilizzo dei Servizi di Trattamento Dati del Provider all’utilizzo di un altro servizio di trattamento dati dello Stesso Tipo di Servizio.

Servizio di Trattamento Dati: indica un servizio digitale fornito al Cliente che consente l’accesso di rete ubiquo e on-demand a un pool condiviso di risorse di calcolo configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita, che possono essere rapidamente predisposte e rilasciate con un minimo sforzo gestionale o interazione del fornitore di servizi, ai sensi dell’art. 2(8) Data Act.

Stesso Tipo di Servizio: indica un insieme di Servizi di Trattamento Dati che condividono lo stesso obiettivo principale, lo stesso modello di servizio di trattamento dati e le stesse funzionalità principali, ai sensi dell’art. 2(9) Data Act.

Switching: indica il processo che coinvolge il Provider, il Cliente di un servizio di trattamento dati e, ove rilevante, un Provider di Destinazione, mediante il quale il Cliente passa dall’utilizzo di un servizio di trattamento dati all’utilizzo di un altro servizio dello Stesso Tipo di Servizio o di un servizio diverso offerto da un differente provider, ovvero a un’Infrastruttura ICT On-Premises, anche tramite estrazione, trasformazione e caricamento dei Dati, ai sensi dell’art. 2(34) Data Act.

Tariffe di Passaggio: indica gli oneri, diversi dai Service Fee standard o dalle penali di risoluzione anticipata, applicati dal Provider al Cliente per le azioni richieste dal Data Act ai fini dello Switching verso il sistema di un differente provider o verso un’Infrastruttura ICT On-Premises.

2.1 L’Allegato A al presente Addendum contiene una specificazione esaustiva di tutte le categorie di Dati e Asset Digitali che possono essere oggetto di esportazione durante il processo di Switching, nonché delle categorie di dati specifici al funzionamento interno del Servizio di Trattamento Dati del Provider che sono esentati dall’obbligo di esportazione ai sensi dell’art. 30(6) Data Act.

3.1 Nella misura e nei limiti previsti dal Capo VI del Data Act, il Cliente ha diritto di richiedere al Provider lo Switching.

3.2 Il Cliente comunica al Provider la propria volontà di procedere mediante apposito avviso scritto di switching, trasmesso anche con mezzi elettronici adeguati, con cui dà avvio al processo nel rispetto del Periodo di Preavviso. Qualora il Cliente intenda effettuare lo Switching solo con riguardo a determinati servizi, Dati o Asset Digitali, deve specificarlo nell’avviso di Switching.

3.3 Nell’avviso di Switching, il Cliente comunica se intende: (a) trasferirsi presso un diverso fornitore di Servizi di Trattamento Dati, in tal caso fornendo i necessari dettagli del Provider di Destinazione; (b) trasferirsi presso una propria Infrastruttura ICT On-Premises; (c) non effettuare lo Switching e procedere esclusivamente alla cancellazione dei propri Dati Esportabili e Asset Digitali.

3.4 Il Provider conferma al Cliente la ricezione dell’Avviso di Switching entro tre (3) giorni lavorativi, utilizzando lo stesso canale di comunicazione adottato dal Cliente.

4.1 Il processo di Switching è completato entro il Periodo Transitorio, di durata pari a trenta (30) giorni di calendario decorrenti dalla fine del Periodo di Preavviso.

4.2 Qualora il rispetto del Periodo Transitorio standard di cui alla clausola 4.1 non sia tecnicamente fattibile, il Provider notifica al Cliente l’impossibilità tecnica per iscritto, anche con mezzi elettronici adeguati, entro quattordici (14) giorni lavorativi dalla ricezione dell’Avviso di Switching e indica un Periodo Transitorio alternativo, che non può eccedere sette (7) mesi dalla data dell’Avviso di Switching. Il Provider fornisce adeguata giustificazione dell’impossibilità tecnica e garantisce la continuità del Servizio durante il Periodo Transitorio alternativo. Il Cliente conferma la ricezione dell’avviso di proroga entro tre (3) giorni lavorativi.

4.3 Indipendentemente dall’eventuale estensione tecnica di cui alla clausola 4.2, il Cliente ha diritto di prorogare il Periodo Transitorio una sola volta, per il periodo che il Cliente medesimo ritenga più adeguato ai propri scopi. In tal caso, il Cliente notifica al Provider per iscritto, anche con mezzi elettronici adeguati, la propria intenzione entro la fine del Periodo Transitorio originario, indicando il Periodo Transitorio alternativo. Il Provider conferma la ricezione di tale avviso di proroga entro tre (3) giorni lavorativi.

5.1 Il Provider fornisce ragionevole assistenza al Cliente e ai terzi autorizzati dal Cliente non appena il processo di Switching ha inizio e per tutta la sua durata, di modo che il Cliente possa effettuare lo Switching entro il Periodo Transitorio. A tal fine, il Provider in particolare:

• (a) fornisce le capacità, le informazioni adeguate (compresa la documentazione necessaria per completare lo Switching) e il supporto tecnico richiesti per l’effettiva esecuzione del processo. Qualora vengano rilevati problemi, il Provider e il Cliente analizzano in buona fede le cause e concordano le soluzioni;
• (b) agisce con la dovuta diligenza per mantenere la continuità operativa e continuare a fornire le funzioni o i servizi previsti dall’Accordo;
• (c) fornisce informazioni chiare sui rischi noti per la continuità nella fornitura delle funzioni o dei servizi del Provider d’Origine;
• (d) mantiene un alto livello di sicurezza per tutta la durata del processo di Switching, in coerenza con quanto previsto alla successiva clausola 10.

5.2 Il Provider supporta la exit strategy del Cliente con riferimento ai servizi contrattualizzati, fornendo tutte le informazioni rilevanti.

6.1 Il Cliente adotta tutte le misure ragionevoli per realizzare uno Switching efficace. Il Cliente è responsabile dell’importazione e dell’implementazione dei Dati e degli Asset Digitali nei propri sistemi o nei sistemi del Provider di Destinazione.

6.2 Il Cliente, ovvero i terzi da esso autorizzati — ivi incluso il Provider di Destinazione — rispettano i diritti di proprietà intellettuale di qualunque materiale fornito nel processo di Switching da parte del Provider, nonché i segreti commerciali del Provider. Il Cliente fornisce l’accesso e, se necessario, sub-licenzia l’uso di tali materiali a terzi o al Provider di Destinazione esclusivamente nella misura necessaria a completare il processo di Switching entro la fine del Periodo Transitorio concordato (incluso l’eventuale Periodo Transitorio alternativo), nel rispetto degli impegni di riservatezza e dei diritti di proprietà intellettuale concessi dal Provider.

6.3 Le Parti, ivi incluso il Provider di Destinazione ove rilevante, cooperano in buona fede ai sensi dell’art. 27 Data Act, al fine di rendere efficace il processo di Switching, abilitare il trasferimento tempestivo dei Dati e mantenere la continuità dei servizi.

7.1 Il Cliente può recuperare o cancellare i propri Dati Esportabili e Asset Digitali durante il Periodo di Recupero Dati, di durata pari a trenta (30) giorni di calendario decorrenti dalla fine del Periodo Transitorio (incluso l’eventuale Periodo Transitorio alternativo). Le Parti possono concordare per iscritto un periodo di durata superiore.

7.2 Al termine del Periodo di Recupero Dati, e qualora il processo di Switching sia stato completato con successo, il Provider cancella tutti i Dati Esportabili e gli Asset Digitali generati dal Cliente o direttamente riferibili al Cliente e ne conferma la cancellazione al Cliente, fatta eccezione per i Dati Esportabili che il Provider sia obbligato a conservare ai sensi del diritto dell’Unione Europea o nazionale.

8.1 Il Provider non applica al Cliente alcuna Tariffa di Passaggio in relazione al processo di Switching.

9.1 Ai sensi dell’art. 25(2)(c) Data Act, l’Accordo si intende risolto automaticamente, senza necessità di alcun atto delle Parti, al verificarsi di uno dei seguenti eventi:

• (a) il Cliente notifica al Provider il completamento positivo del processo di Switching;
• (b) decorre il termine del Periodo di Preavviso, qualora il Cliente abbia notificato al Provider — ai sensi della clausola 3.3, lettera (c) del presente Addendum — l’intenzione di non effettuare lo Switching ma esclusivamente di cancellare i propri Dati Esportabili e Asset Digitali.

9.2 A seguito del verificarsi di uno degli eventi di cui alla precedente clausola 9.1, il Provider conferma per iscritto al Cliente l’intervenuta risoluzione dell’Accordo entro tre (3) giorni lavorativi. Tale conferma del Provider ha valore informativo: resta inteso che l’Accordo è risolto di diritto al momento del verificarsi dell’evento.

9.3 Qualora il Cliente non comunichi al Provider il completamento positivo o negativo del processo di Switching, e il Provider abbia fondati motivi per ritenere che lo Switching sia stato completato con successo, il Provider può richiedere al Cliente conferma in tal senso. In assenza di conferma del Cliente entro trenta (30) giorni lavorativi dalla richiesta, lo Switching si considera non riuscito e l’Accordo prosegue alle condizioni esistenti, in conformità con il principio di buona fede. In tal caso, le Parti analizzano in buona fede le cause del fallimento e concordano le misure necessarie per il completamento del processo.

10.1 Il Provider mantiene un alto livello di sicurezza per tutta la durata del processo di Switching e durante il Periodo di Recupero Dati, in coerenza con le misure tecniche e organizzative concordate nell’Accordo, ivi compresi gli Service Level Agreement (SLA), le politiche di sicurezza interna del Provider e le previsioni applicabili al trattamento dei dati personali.

10.2 Il Provider notifica al Cliente, senza indebito ritardo e in ogni caso entro 48 ore dalla constatazione dell’evento, qualsiasi incidente di sicurezza significativo che si verifichi durante il processo di Switching o durante il Periodo di Recupero Dati e che possa avere conseguenze sulla riservatezza, integrità o disponibilità dei Dati e degli Asset Digitali del Cliente.

10.3 Il Provider adotta le misure tecniche, organizzative e contrattuali ragionevoli per prevenire l’accesso internazionale o intergovernativo non autorizzato ai Dati del Cliente conservati nell’Unione Europea, qualora tale accesso si ponga in conflitto con il diritto dell’Unione o con il diritto nazionale di uno Stato Membro. Il Provider notifica al Cliente, senza indebito ritardo, ogni richiesta ricevuta da autorità di Stati terzi che riguardi i Dati o gli Asset Digitali del Cliente, fatto salvo quanto eventualmente vietato da norme imperative.

11.1 Qualora la risoluzione dell’Accordo intervenga prima della scadenza naturale della durata inizialmente concordata dell’Accordo, il Cliente corrisponde al Provider una penale di risoluzione anticipata calcolata come somma dei seguenti elementi:

• (a) i corrispettivi maturati relativi all’annualità in corso (intesa come periodo di dodici (12) mesi consecutivi nel quale ricade la data di risoluzione, calcolato a decorrere dalla data di sottoscrizione dell’Accordo o dell’ultimo rinnovo), se non ancora integralmente corrisposti;
• (b) un importo pari al 70% (settanta per cento) del valore residuo dell’Accordo, calcolato come somma dei canoni annuali che sarebbero maturati dalla data di risoluzione fino alla scadenza naturale della durata inizialmente concordata.

11.2 La penale di risoluzione di cui alla precedente clausola 11.1 non costituisce una Tariffa di Passaggio ai sensi dell’art. 29 Data Act ed è qualificata come penale di risoluzione anticipata ai sensi dell’art. 29(4) Data Act, in quanto correlata all’investimento iniziale del Provider e non al processo di Switching.

11.3 I corrispettivi maturati fino alla data di risoluzione restano dovuti. Nessun rimborso è dovuto per i corrispettivi già pagati per il periodo antecedente alla risoluzione.

12.1 Qualora il Cliente richieda lo Switching solo per una parte dei servizi forniti ai sensi dell’Accordo, l’Accordo si intende risolto unicamente con riferimento ai servizi oggetto di Switching e prosegue alle condizioni esistenti per gli altri servizi.

12.2 Le Parti sottoscrivono l’eventuale documentazione integrativa necessaria a recepire la modifica del perimetro dei servizi, fermo restando che le condizioni economiche e operative dei servizi residui non possono essere modificate unilateralmente dal Provider in conseguenza dello Switching parziale.

13.1 Per quanto non espressamente disciplinato dal presente Addendum, restano applicabili le previsioni dell’Accordo. In caso di conflitto con l’Accordo, le previsioni del presente Addendum prevalgono limitatamente alle materie qui disciplinate.

13.2 Il presente Addendum è disciplinato dal diritto italiano. Per ogni controversia derivante dalla sua interpretazione, esecuzione o validità è competente in via esclusiva il Foro di Milano, fatte salve eventuali competenze inderogabili di legge.

13.3 Le Parti possono concordare modifiche al presente Addendum esclusivamente per iscritto e a firma di entrambe.

Riferimento: artt. 2.1 e 2.2 dell’Addendum (artt. 25(2)(e) e 25(2)(f) Data Act)

Sezione 1 — Categorie di Dati Esportabili

Le seguenti categorie di Dati e Asset Digitali sono integralmente oggetto di porting durante il processo di Switching:

• Dati di input: tutti i dati e contenuti caricati o immessi dal cliente nel servizio.
• Dati di output: i dati prodotti dal servizio in esito all’uso da parte del cliente.
• Metadati: quelli associati ai dati del cliente, generati direttamente/indirettamente o co-generati dall’uso (non i metadati interni di gestione del provider: v. sotto).
• Dati derivati e co-generati dall’attività del cliente, purché non protetti da privativa o segreto del provider/di terzi.
• Digital assets del cliente: applicazioni, configurazioni ed elementi in formato digitale su cui il cliente vanta un diritto d’uso indipendente dal rapporto contrattuale con Compri. Rientrano qui anche le applicazioni/asset migrabili verso altro provider o on-premise.

Sezione 2 — Categorie esentate per trade secrets / IP

Le seguenti categorie di dati specifici al funzionamento interno del Servizio di Trattamento Dati del Provider sono esentate dall’obbligo di esportazione, in quanto la loro divulgazione comporterebbe rischio di violazione di segreti commerciali o diritti di proprietà intellettuale del Provider o di terzi, fermo restando che tali esenzioni non possono impedire o ritardare il processo di Switching:

• Dati specifici al funzionamento interno del servizio Compri — esclusi solo dove sussista un rischio di violazione di segreti commerciali del provider, e a condizione che tali esclusioni non ostacolino né ritardino il processo di switching.
• Asset o dati protetti da diritti di proprietà intellettuale del provider o di terzi.
• Asset o dati che costituiscono segreto commerciale del provider o di terzi.