Accordo per il Trattamento dei Dati Personali

---

Ultima versione: 11 ottobre 2023
PARTI E CONTESTO

(A) Il cliente (“Cliente”) ha stipulato un Contratto con Klaviyo, Inc. (“Klaviyo“) (ciascuna “Parte” e
collettivamente le “Parti“) in base al quale Klaviyo ha accettato di fornire i Servizi in conformità a tale
Contratto (il “Contratto“). Il presente Accordo per il Trattamento dei Dati Personali (“DPA“) è
incorporato e fa parte del Contratto e sarà effettivo alla data di entrata in vigore del Contratto, ad
eccezione del fatto che per i clienti che hanno stipulato un Contratto prima della data di
aggiornamento del DPA di cui sopra, il DPA sarà effettivo a partire dall’ 11 ottobre 2023 e sostituirà
qualsiasi accordo relativo al trattamento dei dati e alla sicurezza precedentemente concordato.
(B) Nella misura in cui Klaviyo tratta qualsiasi Dato Personale del Cliente (come definito di seguito)
per conto del Cliente (o, se applicabile, dell’Affiliato del Cliente) in relazione alla fornitura dei Servizi,
le Parti hanno concordato che lo farà secondo i termini del presente DPA.

1. DEFINIZIONI
   
   1.1 I termini in maiuscolo utilizzati ma non definiti nel presente DPA avranno il significato stabilito nel
   Contratto. I seguenti termini in maiuscolo utilizzati nel presente DPA sono definiti come segue:
   
   “Informazioni sull’account” indica le informazioni dell’Cliente, inclusi i Dati personali degli utenti
   del Cliente e dell’Affiliato del Cliente, fornite per la creazione, l’accesso, l’amministrazione e la
   manutenzione dell’account, e potrebbero includere nomi, nome utente, credenziali di accesso, numeri
   di telefono, indirizzi e-mail e informazioni di fatturazione associati a un account Klaviyo.
   
   “Affiliato” indica un’entità che, direttamente o indirettamente, possiede o controlla, è posseduta o
   controllata da, o è sottoposta a proprietà o controllo comune con una Parte ed è beneficiaria del
   Contratto.
   
   “Leggi applicabili in materia di protezione dei dati personali” indica tutte le leggi, le norme, i
   regolamenti e i requisiti governativi applicabili in materia di privacy, riservatezza o sicurezza dei dati
   personali, così come possono essere modificati o altrimenti aggiornati di volta in volta.
   
   “Addendum approvato” indica il modello di addendum, versione B.1.0, emesso dal Commissario
   per l’Informazione del Regno Unito ai sensi della S119A(1) del Data Protection Act 2018 e depositato
   presso il Parlamento del Regno Unito il 2 febbraio 2022, come può essere rivisto ai sensi della Sezione
   18 delle Clausole Obbligatorie;
   
   “Dati Personali del Cliente” indica i Dati Personali trattati da Klaviyo per conto del Cliente o
   dell’Affiliato del Cliente in relazione alla fornitura dei Servizi, che, tuttavia, esclude specificamente i
   Dati Personali contenuti nelle Informazioni sull’Account.
   
   “DPF” o “Data Privacy Framework” indica l’EU-U.S. Data Privacy Framework o, ove applicabile, la
   UK Extension to the EU-U.S. Data Privacy Framework e lo Swiss-U.S. Data Privacy Framework;
   
   “SEE” indica lo Spazio Economico Europeo.
   
   “Data di efficacia” indica la data di entrata in vigore del DPA, come indicato nella precedente
   clausola (A).
   
   “GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR UE”) o, ove applicabile, il “GDPR del Regno
   Unito” come definito nella sezione 3 del Data Protection Act 2018.

“Clausole Obbligatorie” indica la “Parte 2: Clausole Obbligatorie” dell’Addendum approvato.

“Stato membro” indica uno Stato membro del SEE, uno Stato membro dell’Unione Europea,
l’Islanda, la Norvegia o il Liechtenstein.

“Dati personali” indica qualsiasi informazione relativa a un individuo o a un dispositivo identificato o
identificabile, o altrimenti conosciuti come “dati personali“, “informazioni personali“,
“informazioni di identificazione personale” e termini simili, e tali termini avranno lo stesso
significato definito dalle leggi applicabili sulla protezione dei dati.

“Incidente di sicurezza” indica una violazione della sicurezza che comporta la distruzione
accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non
autorizzato ai Dati personali del Cliente.

“Clausole contrattuali standard” o “SCC” indicano il Modulo Due (da titolare del trattamento a
responsabile del trattamento) e/o il Modulo Tre (da responsabile del trattamento a responsabile del
trattamento) delle clausole contrattuali standard allegate alla decisione di esecuzione (UE) 2021/914
della Commissione Europea.

“Sub-responsabile” indica le Affiliate di Klaviyo e i processori terzi nominati da Klaviyo per elaborare
i Dati Personali del Cliente.

“Regno Unito” indica il Regno Unito di Gran Bretagna e Irlanda del Nord; e

“Leggi statunitensi sulla protezione dei dati” indica, nella misura in cui sono applicabili, le leggi
federali e statali relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alla
protezione dei dati in vigore di volta in volta negli Stati Uniti.

1.2 I termini “titolare del trattamento”, “responsabile del trattamento”, “interessato”,
“trattare”, “autorità di controllo”, “vendita” e “fornitore di servizi” avranno lo stesso
significato di cui alle Leggi applicabili in materia di protezione dei dati.

2. INTERAZIONE CON IL CONTRATTO
   
   2.1 Il presente DPA integra e (in caso di contraddizioni) sostituisce il Contratto per quanto riguarda il
   trattamento dei Dati personali del Cliente.
   
   2.2 Per quanto riguarda gli Affiliati del Cliente, con la stipula del Contratto il Cliente garantisce di
   essere debitamente autorizzato a stipulare il presente DPA in nome e per conto di tali Affiliati del
   Cliente e, fatta salva la clausola 2.3, ogni Affiliato del Cliente sarà vincolato dai termini del presente
   DPA come se fosse il Cliente.
   
   2.3 Il Cliente garantisce di essere debitamente autorizzato da qualsiasi Affiliato del Cliente per conto
   del quale Klaviyo tratta i Dati Personali del Cliente in conformità con il presente DPA per (a) applicare i
   termini del presente DPA per conto degli Affiliati del Cliente, e per agire per conto degli Affiliati del
   Cliente nell’amministrazione e nella conduzione di qualsiasi reclamo relative al presente DPA; e (b)
   ricevere e rispondere a qualsiasi avviso o comunicazione ai sensi del presente DPA per conto degli
   Affiliati del Cliente.
   
   2.4 Le Parti concordano che qualsiasi avviso o comunicazione inviata da Klaviyo al Cliente soddisferà
   qualsiasi obbligo di inviare tale avviso o comunicazione ad un Affiliato del Cliente.
   
3. RUOLO DELLE PARTI
   
   3.1 Le Parti riconoscono e concordano che:

(a) ai fini del GDPR, Klaviyo agisce come “responsabile” o “subresponsabile” del trattamento. La
funzione di Klaviyo come responsabile o subresponsabile del trattamento sarà determinata dalla
funzione del Cliente:

(i) In generale, il Cliente agisce come titolare del trattamento, mentre Klaviyo agisce come
responsabile del trattamento.

(ii) In alcuni casi, il Cliente agisce quale responsabile del trattamento per conto dei clienti del Cliente
laddove il Cliente e il cliente del Cliente abbiano concluso un Accordo per il trattamento dei dati
personali relativo al trattamento dei dati personali dei clienti del Cliente; e

(b) ai fini delle leggi sulla protezione dei dati degli Stati Uniti, Klaviyo agirà come “fornitore di
servizi” o “responsabile del trattamento” nell’esecuzione dei suoi obblighi ai sensi del presente
Contratto.

(c) Informazioni sull’account, non sono regolate dal presente DPA e sono soggette alla Informativa
Privacy di Klaviyo.

4. DETTAGLI DEL TRATTAMENTO DEI DATI PRESONALI
   
   4.1 I dettagli del trattamento dei dati personali (quali l’oggetto, la natura e la finalità del trattamento,
   le categorie di Dati personali e gli interessati) sono descritti nel Contratto e nell’Allegato 1.
   
   4.2 I Dati Personali del Cliente saranno trattati solo per conto e secondo le istruzioni del Cliente e in
   conformità alle Leggi Applicabili sulla Protezione dei Dati. Il Contratto e il presente DPA costituiscono
   le istruzioni del Cliente per il trattamento dei Dati personali del Cliente. Il Cliente potrebbe impartire
   ulteriori istruzioni scritte in conformità al presente DPA.
   
   4.3 Qualora le istruzioni del Cliente richiedessero che Klaviyo trattasse i Dati Personali del Cliente in
   violazione delle Leggi Applicabili in materia di protezione dei Dati o al di fuori dell’ambito del Contratto
   o del DPA, Klaviyo informerà prontamente il Cliente, a meno che non sia proibito dalle Leggi
   Applicabili in materia di protezione dei Dati (senza pregiudizio per le SCC).
   
   4.4 Klaviyo potrebbe archiviare e trattare i Dati Personali del Cliente ovunque Klaviyo o i suoi
   subresponsabili del trattamento abbiano delle strutture, in base alla clausola 5 del presente DPA.
   
5. SUBRESPONSABILI DEL TRATTAMENTO
   
   5.1 Il Cliente concede a Klaviyo l’autorizzazione generale a ricorrere a subresponsabili del trattamento,
   soggetti alla clausola 5.2, scegliendoli da una lista concordata, così come gli attuali subresponsabili
   del trattamento di Klaviyo elencati alll’indirizzo: https://www.klaviyo.com/legal/subprocessors alla
   Data di efficacia.
   
   5.2 Klaviyo dovrà (i) stipulare un Contratto scritto con ogni subresponsabile del trattamento che
   imponga obblighi di protezione dei dati personali del Cliente che non forniscano una tutela inferiore
   degli obblighi di Klaviyo ai sensi del presente DPA, nella misura in cui ciò sia applicabile alla natura dei
   servizi forniti da tale subresponsabile del trattamento; e (ii) rimarrà responsabile della conformità di
   ogni subresponsabile del trattamento agli obblighi ai sensi del presente DPA.
   
   5.3 Klaviyo fornirà al Cliente almeno quindici (15) giorni di preavviso per qualsiasi modifica proposta
   alla lista dei subresponsabili del trattamento che utilizza per trattare i Dati Personali del Cliente
   (inclusa qualsiasi aggiunta o sostituzione di subresponsabili del trattamento). Il Cliente potrebbe
   ragionevolmente opporsi all’utilizzo da parte di Klaviyo di un nuovo subresponsabile del trattamento
   (anche quando esercita il suo diritto di obiezione ai sensi della clausola 9(a) delle SCC) fornendo a
   Klaviyo una notifica scritta dell’obiezione entro dieci (10) giorni dopo che Klaviyo ha fornito una notifica al Cliente di tale modifica proposta (una “Obiezione“). Nel caso in cui il Cliente dovesse opporsi all’utilizzo da parte di Klaviyo di un nuovo subresponsabile del trattamento, il Cliente e Klaviyo collaboreranno in buona fede per trovare una soluzione reciprocamente accettabile per risolvere tale obiezione. Se le parti non sono in grado di raggiungere una risoluzione reciprocamente accettabile entro un periodo di tempo ragionevole, ciascuna parte può, come unico ed esclusivo rimedio, risolvere il Contratto fornendo una notifica scritta all’altra parte. Durante tale periodo di Obiezione, Klaviyo potrebbe sospendere la parte interessata dei Servizi.

6. RICHIESTE DI DIRITTI DELL’INTERESSATO
   
   6.1 Tra le Parti, il Cliente avrà la sola discrezione e responsabilità di rispondere ai diritti rivendicati da
   qualsiasi individuo in relazione ai Dati personali del Cliente (“Richiesta dell’interessato“).
   
   6.2 Klaviyo inoltrerà al Cliente senza indebiti ritardi qualsiasi Richiesta dell’interessato ricevuta da
   Klaviyo o da qualsiasi subresponsabile del trattamento da parte di un individuo in relazione ai suoi
   Dati personali del Cliente e può consigliare all’individuo di presentare la sua richiesta direttamente al
   Cliente.
   
   6.3 Klaviyo (tenendo conto della natura del trattamento dei Dati Personali del Cliente) fornirà al
   Cliente funzionalità di self-service attraverso i Servizi o altra ragionevole assistenza necessaria al
   Cliente per adempiere all’obbligo di rispondere alle Richieste del Cliente ai sensi delle Leggi Applicabili
   in materia di protezione dei Dati. Klaviyo potrebbe addebitare al Cliente, e il Cliente dovrà rimborsare
   Klaviyo, qualsiasi assistenza che vada oltre la fornitura di funzionalità di self-service incluse come
   parte dei Servizi.
   
7. SICUREZZA E AUDIT
   
   7.1 Klaviyo implementerà e manterrà misure tecniche e organizzative appropriate di protezione e
   sicurezza dei dati progettate per garantire la sicurezza dei Dati Personali del Cliente, inclusa, senza
   limitazioni, la protezione contro trattamenti non autorizzati o illegali (inclusa, senza limitazioni, la
   divulgazione non autorizzata o illegale, l’accesso e/o l’alterazione dei Dati Personali del Cliente) e
   contro la perdita accidentale, la distruzione o il danneggiamento di o ad essi.
   
   7.2 Klaviyo implementerà e manterrà come standard minimo le misure stabilite nell’Allegato 2. Klaviyo
   potrebbe aggiornare o modificare le misure di sicurezza stabilite nell’Allegato 2 di volta in volta,
   incluso (se applicabile) a seguito di qualsiasi revisione da parte di Klaviyo di tali misure in conformità
   con la clausola 8.6 delle SCC, a condizione che tali aggiornamenti e/o modifiche non riducano il livello
   complessivo di protezione fornito ai Dati Personali del Cliente da Klaviyo ai sensi del presente DPA.
   
   7.3 Il Cliente o il suo revisore terzo indipendente ragionevolmente accettabile per Klaviyo (che non
   includerà revisori non adeguatamente qualificati o indipendenti o concorrenti di Klaviyo) potrebbe
   verificare la conformità di Klaviyo con i suoi obblighi ai sensi del presente DPA fino a una volta
   all’anno, o più frequentemente nel caso in cui si sia verificato un Incidente di Sicurezza o nella misura
   richiesta dalle leggi applicabili sulla protezione dei dati, incluso quando richiesto dall’autorità
   normativa o governativa del Cliente.
   
   7.4 Per richiedere un audit, il Cliente deve inviare un piano di audit dettagliato a Klaviyo almeno due
   settimane prima della data di audit proposta. Klaviyo esaminerà il piano di audit proposto e lavorerà
   in collaborazione con il Cliente per concordare un piano di audit finale. Tutti questi audit devono
   essere condotti durante il normale orario di lavoro, nel rispetto del piano di audit finale concordato e
   delle politiche di salute e sicurezza di Klaviyo o di altre politiche pertinenti, e non possono interferire
   in modo irragionevole con le attività commerciali di Klaviyo. Nulla nella presente clausola 7.4
   richiederà a Klaviyo di violare qualsiasi dovere di riservatezza.
   
   7.5 Qualora l’ambito di audit richiesto fosse affrontato in una certificazione ISO 27001, in un rapporto
   SOC 2 di tipo 2 o in un rapporto di audit simile eseguito da un revisore terzo qualificato entro dodici (12) mesi dalla richiesta di audit del Cliente e Klaviyo conferma che non ci sono cambiamenti materiali noti nei controlli verificati, il Cliente accetta di accettare tali risultati invece di richiedere un audit dei controlli coperti dal rapporto.
   
   7.6 Il Cliente comunicherà tempestivamente a Klaviyo qualsiasi non conformità scoperta nel corso di un audit e fornirà a Klaviyo qualsiasi rapporto di audit generato in relazione a qualsiasi audit, a meno che non sia proibito dalla legge applicabile o altrimenti istruito da un’autorità normativa o governativa. Il Cliente potrebbe utilizzare i rapporti di audit solo per soddisfare i requisiti di audit regolamentari del Cliente e/o per confermare la conformità ai requisiti del presente DPA.
   
   7.7 Qualsiasi audit è a spese del Cliente. Il Cliente rimborserà Klaviyo per qualsiasi tempo speso da Klaviyo o dai suoi subresponsabili del trattamento in relazione a tali verifiche.
   
   7.8 Klaviyo controllerà i suoi subresponsabili del trattamento su base regolare e, su richiesta del Cliente, confermerà la loro conformità con la legge sulla protezione dei dati e gli obblighi imposti ai subresponsabili del trattamento in base all’Accordo per il trattamento dei dati personali concluso con loro. Il Cliente potrebbe richiedere a Klaviyo di condurre ulteriori audit solo nel caso in cui sia ragionevolmente giustificato, e in tali casi Klaviyo condurrà ulteriori audit nella misura consentita.
   
   7.9 Il Cliente riconosce e concorda che, tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, le misure di sicurezza indicate nell’Allegato 2 sono adeguate a garantire la sicurezza dei Dati Personali del Cliente.

8. INCIDENTI DI SICUREZZA
   
   Klaviyo notificherà prontamente per iscritto al Cliente in caso di violazione del presente DPA, delle
   Leggi Applicabili in merito alla protezione dei Dati o di qualsiasi istruzione da parte del Cliente in
   relazione al trattamento dei Dati Personali del Cliente ai sensi del presente DPA. Senza limitare quanto
   sopra, Klaviyo notificherà il Cliente per iscritto senza indebito ritardo dopo essere venuto a
   conoscenza di qualsiasi incidente di sicurezza, e coopererà ragionevolmente nell’investigazione di
   qualsiasi Incidente di sicurezza e in relazione a qualsiasi obbligo del Cliente in base alle Leggi
   Applicabili in merito alla protezione dei Dati di fare qualsiasi notifica a individui, autorità di vigilanza,
   autorità governative o altre autorità di regolamentazione, o al pubblico in relazione a tale incidente di
   sicurezza. Klaviyo adotterà misure ragionevoli per contenere, investigare e mitigare qualsiasi Incidente
   di sicurezza e, senza ritardi ingiustificati, invierà al Cliente informazioni tempestive sull’Incidente di
   sicurezza, incluso, ma non limitato a, la natura dell’Incidente di sicurezza, le misure adottate per
   mitigare o contenere l’Incidente di sicurezza, e lo stato dell’investigazione. La notifica o la risposta di
   Klaviyo a un Incidente di sicurezza ai sensi della presente clausola 8 non sarà interpretata come un
   riconoscimento da parte di Klaviyo di qualsiasi colpa o responsabilità in relazione all’Incidente di
   sicurezza.
   
9. CANCELLAZIONE E RESTITUZIONE
   Klaviyo (a) qualora gli fosse richiesto dal Cliente entro la data di risoluzione o scadenza del Contratto,
   restituirà una copia di tutti i Dati Personali del Cliente o fornirà una funzionalità self-service che
   consenta al Cliente di fare lo stesso; e (b) entro 90 giorni dalla risoluzione o scadenza del Contratto,
   cancellerà e farà ogni ragionevole sforzo per procurare la cancellazione di tutte le altre copie dei Dati
   Personali del Cliente trattati da Klaviyo o da qualsiasi subresponsabile del trattamento.
   
10. DURATA DEL CONTRATTO
    Il presente DPA avrà inizio alla Data di efficacia e, nonostante qualsiasi event oche porti alla
    cessazione del Contratto, rimarrà in vigore fino alla cancellazione da parte di Klaviyo di tutti i Dati
    personali del Cliente come descritto nel presente DPA e scadrà automaticamente.
    
11. TRASFERIMENTI TRANSFRONTALIERI DI DATI
    
    11.1 Clausole contrattuali standard
    
    Le Parti concordano che i termini delle Clausole Contrattuali Standard Modulo Due (da titolare del
    trattamento a responsabile del trattamento) e Modulo Tre (da titolare del trattamento a titolare dle
    trattamento), come ulteriormente specificato nell’Allegato 3 del presente DPA, sono qui incorporati
    per riferimento e saranno considerati come eseguiti dalle Parti e si applicheranno a qualsiasi
    trasferimento di Dati Personali del Cliente che rientra nell’ambito del GDPR dal Cliente (come
    esportatore di dati) a Klaviyo (come importatore di dati) nella misura e per tutto il tempo in cui
    Klaviyo non può fare affidamento sul DPF ai sensi della clausola 11.2.
    
    11.2 Data Privacy Framework (“DPF”)
    
    Klaviyo è autocertificato ai sensi del DPF e rispetta i principi di privacy dei dati in esso contenuti.
    Nella misura e per tutto il tempo in cui il DPF è riconosciuto come un meccanismo di trasferimento
    valido nel paese/regione pertinente, i dati personali provenienti dal SEE, dal Regno Unito o dalla
    Svizzera, o altrimenti soggetti al GDPR, saranno trasferiti sulla base del DPF.
    
    11.3 Supporto per i trasferimenti transfrontalieri di dati
    
    Klaviyo fornirà al Cliente un supporto ragionevole per consentire al Cliente di conformarsi ai requisiti
    imposti sul trasferimento di dati personali a paesi terzi per quanto riguarda gli interessati situati nel
    SEE, Svizzera e Regno Unito. Klaviyo, su richiesta del Cliente, fornirà informazioni al Cliente che sono
    ragionevolmente necessarie al Cliente per completare una valutazione dell’impatto del trasferimento
    (“TIA“). Klaviyo accetta inoltre di implementare le misure supplementari concordate e stabilite
    nell’Allegato 4 del presente DPA al fine di consentire la conformità del Cliente ai requisiti imposti sul
    trasferimento dei dati personali a paesi terzi. Klaviyo potrebbe addebitare al Cliente, e il Cliente
    rimborserà Klaviyo, qualsiasi assistenza fornita da Klaviyo in relazione a qualsiasi TIA, valutazione
    dell’impatto sulla protezione dei dati o consultazione con qualsiasi autorità di vigilanza del Cliente.
    
12. DATI PERSONALI DEL CLIENTE SOGGETTI ALLE LEGGI BRITANNICHE E SVIZZERE
    SULLA PROTEZIONE DEI DATI PERSONALI
    
    Nella misura in cui il trattamento dei Dati Personali del Cliente è soggetto alle leggi britanniche o
    svizzere in materia di protezione dei dati, si applicherà l’Addendum britannico e/o l’Addendum svizzero
    (a seconda dei casi) di cui all’Allegato 5.
    
13. DATI PERSONALI DEI CLIENTI SOGGETTI ALLE LEGGI SULLA PRIVACY
    STATUNITENSI
    
    Nella misura in cui il trattamento dei Dati Personali del Cliente è soggetto alle leggi sulla protezione
    dei dati, si applicherà l’Addendum statunitense di cui all’Allegato 6.
    
14. GENERALE
    
    14.1 Le Parti dichiarano di aver compreso i requisiti del presente DPA e di volerli rispettare.
    
    14.2 Il presente DPA ed il Contratto costituiscono l’intero accordo tra le Parti in relazione all’oggetto
    del presente DPA.

─────────────────

Allegato 1
DETTAGLI DEL TRATTAMENTO

Parte 1
ELENCO DELLE PARTI

1. Esportatore di dati
   
   Il Cliente e/o gli Affiliati del Cliente che operano in paesi che comprendono lo Spazio Economico
   Europeo, il Regno Unito e/o la Svizzera e/o – nella misura concordata dalle Parti – il Cliente e/o gli
   Affiliati del Cliente in qualsiasi altro paese nella misura in cui si applica il GDPR o la corrispondente
   legge svizzera.
   
   La posizione e i dettagli di contatto del Cliente e degli Affiliati del Cliente, nonché (se nominato) il
   responsabile della protezione dei dati e (se pertinente) i dettagli di contatto del rappresentante
   saranno notificati a Klaviyo prima del trattamento dei dati personali tramite e-mail a
   privacy@klaviyo.com o un modulo disponibile fornito da Klaviyo nell’account del Cliente disponibile nei
   Servizi.
   
   Le attività rilevanti per il trasferimento dei dati ai sensi delle presenti Clausole sono definite dal
   Contratto e dall’esportatore di dati che decide l’ambito del trattamento dei dati personali in relazione
   ai Servizi ulteriormente descritti nel presente Allegato 1 e nel Contratto.
   
2. Importatore di dati
   Klaviyo, Inc.,
   125 Summer Street, Floor 6,
   Boston, MA, 02110,
   Stati Uniti,
   
   Il referente dell’importatore di dati può essere contattato all’indirizzo privacy@klaviyo.com.
   
   Le attività dell’importatore di dati rilevanti per il trasferimento dei dati ai sensi delle presenti Clausole
   sono le seguenti: l’importatore di dati tratta i dati personali forniti dall’esportatore di dati per conto
   dell’esportatore di dati in relazione alla fornitura dei Servizi all’esportatore di dati, come ulteriormente
   specificato nel presente Allegato 1 e nel Contratto.
   
   

Parte 2

DESCRIZIONE DEL TRASFERIMENTO

1. Categorie di interessati
   
   Le categorie di interessati i cui dati personali vengono trasferiti:
   Gli abbonati del Cliente e degli Affiliati del Cliente che sono destinatari di comunicazioni di marketing e
   altri soggetti destinatari di altre attività di marketing del Cliente e/o degli Affiliati del Cliente o dei loro
   clienti.
   
2. Categorie di dati personali
   
   Le categorie di dati personali trasferite sono:
   
   Determinate dalla configurazione dei Servizi da parte del Cliente, e potrebbero includere nome,
   numero di telefono, indirizzo e-mail, dati dell’indirizzo, indirizzo IP, identificatori del dispositivo, dati di utilizzo (come le interazioni tra un Cliente e il sistema online di Klaviyo, il sito web o l’e-mail, il browser utilizzato, il sistema operativo utilizzato, l’URL di riferimento). Inoltre, il Cliente e l’Affiliato del Cliente potrebbero includere ulteriori dati personali degli interessati come sopra specificato (in particolare in forma non strutturata) in relazione al loro utilizzo dei Servizi secondo il Contratto.
3. Categorie particolari di dati personali (se applicabile)
   
   I dati personali trasferiti includono le seguenti categorie particolari di dati: N/A – La Politica d’Uso di
   Klaviyo proibisce al Cliente di utilizzare i Servizi per sollecitare, visualizzare, memorizzare, trattare,
   inviare o trasmettere categorie particolari di dati.
   
   Le restrizioni o le salvaguardie applicate che tengono pienamente conto della natura dei dati e dei
   rischi coinvolti, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso
   (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un
   registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive
   sono: N/A
   
4. Frequenza del trasferimento
   
   La frequenza del trasferimento è: Il trasferimento viene eseguito su base continuativa ed è
   determinato dalla configurazione dei Servizi da parte del Cliente.
   
5. Oggetto e natura del trattamento
   
   L’oggetto del trattamento è: fornire una piattaforma di data analytics e marketing automation al
   Cliente.
   
6. Finalità del trasferimento e dell’ulteriore trattamento dei dati
   
   Le finalità del trasferimento e dell’ulteriore trattamento dei dati sono: fornire i Servizi al Cliente ai
   sensi del Contratto, in modo che il Cliente possa analizzare i dati dei clienti, migliorare le proprie
   relazioni con i clienti e inviare comunicazioni di marketing e di altro tipo ai propri clienti.
   
7. Durata
   
   Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per
   determinare tale periodo: la durata è definita nella clausola 10 del DPA.
   
8. Subresponsabili del trattamento (se applicabile)
   
   Per i trasferimenti a subresponsabili del trattamento, specificare l’oggetto, la natura e la durata del
   trattamento: come stabilito nella clausola 5.1 del DPA, subresponsabili del trattamento potrebbero
   avere accesso ai Dati Personali per la durata di questo DPA o fino a quando il contratto di servizio con
   il rispettivo subresponsabile del trattamento termini o l’accesso da parte del subresponsabile del
   trattamento sia stato escluso come concordato tra Klaviyo e il Cliente.

Parte 3

AUTORITÀ DI SUPERVISIONE COMPETENTE

Identificare l’autorità o le autorità di vigilanza competenti in conformità alla clausola 13 delle SCC.
Qualora l’esportatore di dati sia stabilito in uno Stato membro dell’UE: L’autorità di vigilanza del paese
in cui ha sede l’esportatore di dati è l’autorità competente.

Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di
applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2, e abbia nominato un
rappresentante ai sensi dell’articolo 27, paragrafo 1, del GDPR: L’autorità di controllo competente è
quella dello Stato membro in cui è stabilito il rappresentante.

Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di
applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2, senza tuttavia dover nominare
un rappresentante ai sensi dell’articolo 27, paragrafo 2, del GDPR: L’autorità di controllo competente è
l’autorità di controllo in Irlanda, ovvero la Data Protection Commission
(https://www.dataprotection.ie/).

─────────────────

Tabella 2

MISURE TECNICHE E ORGANIZZATIVE

Klaviyo ha implementato le seguenti misure tecniche e organizzative (comprese le certificazioni
pertinenti) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito, del
contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche:

1. Gestione organizzativa e personale dedicato responsabile dello sviluppo, dell’implementazione e del
   mantenimento del programma di sicurezza delle informazioni di Klaviyo.
   
2. Procedure di audit e di valutazione del rischio ai fini della revisione periodica e della valutazione dei
   rischi per l’organizzazione di Klaviyo, del monitoraggio e del mantenimento della conformità con le
   politiche e le procedure di Klaviyo e della segnalazione delle condizioni della sicurezza delle
   informazioni e della conformità al senior management interno.
   
3. Utilizzo di tecnologie di crittografia disponibili in commercio e standard industriali per i Dati
   personali dei cCienti che sono:
   
   (a) trasmessi da Klaviyo su reti pubbliche (ad esempio, Internet) o trasmessi in modalità wireless; o
   
   (b) a riposo o memorizzati su supporti portatili o rimovibili (ad esempio, computer portatili, CD/DVD,
   unità USB, nastri di backup).
   
4. Controlli di sicurezza dei dati che comprendono almeno, ma non solo, la segregazione logica dei
   dati, i controlli di accesso logico progettati per gestire l’accesso elettronico ai dati e alle funzionalità
   del sistema in base ai livelli di autorità e alle funzioni lavorative (ad esempio, la concessione
   dell’accesso in base alla necessità di sapere e al minimo privilegio, l’uso di ID e password unici per
   tutti gli utenti, la revisione periodica e la revoca/modifica tempestiva dell’accesso in caso di cessazione
   del rapporto di lavoro o di cambiamento delle funzioni lavorative).
   
5. Controlli sulle password progettati per gestire e controllare la forza, la scadenza e l’utilizzo delle
   password, incluso il divieto per gli utenti di condividere le password e la richiesta che le password di
   Klaviyo assegnate ai suoi dipendenti: (i) siano di almeno otto (8) caratteri, (ii) non siano memorizzate
   in formato leggibile sui sistemi informatici di Klaviyo; (iii) debbano avere una complessità definita; (iv)
   debbano avere una soglia di cronologia per prevenire il riutilizzo di password recenti; e (v) le
   password di nuova emissione debbano essere cambiate dopo il primo utilizzo.
   
6. Registrazione di eventi o di audit del sistema e relative procedure di monitoraggio per registrare in
   modo proattivo l’accesso degli utenti e l’attività del sistema ai fini di una revisione di routine.
   
7. Sicurezza fisica e ambientale del centro dati, delle sale server e di altre aree contenenti Dati
   Personali, progettata per: (i) proteggere le risorse informative da accessi fisici non autorizzati, (ii) gestire, monitorare e registrare i movimenti delle persone all’interno e all’esterno delle strutture di
   
8. Klaviyo e (iii) proteggersi da rischi ambientali quali calore, incendio e danni causati dall’acqua.
   
9. Procedure e controlli operativi per fornire la configurazione, il monitoraggio e la manutenzione della
   tecnologia e dei sistemi informativi secondo gli standard interni prescritti e quelli adottati dal settore,
   compreso lo smaltimento sicuro dei sistemi e dei supporti per rendere tutte le informazioni o i dati in
   essi contenuti indecifrabili o irrecuperabili prima dello smaltimento finale o del rilascio dal possesso di
   Klaviyo.
   
10. Procedure di gestione delle modifiche e meccanismi di tracciamento progettati per testare,
    approvare e monitorare tutte le modifiche alla tecnologia e alle risorse informative di Klaviyo.
    
11. Procedure di gestione degli incidenti/problemi progettate per consentire a Klaviyo di investigare,
    rispondere, mitigare e notificare eventi relativi alla tecnologia e alle risorse informative di Klaviyo.
    
12. Controlli di sicurezza della rete che prevedono l’uso di sistemi firewall, sistemi di rilevamento delle
    intrusioni e altre procedure di correlazione del traffico e degli eventi progettate per proteggere i
    sistemi dalle intrusioni e limitare la portata degli attacchi qualora dovessero riuscire.
    
13. Valutazione delle vulnerabilità, gestione delle patch e tecnologie di protezione dalle minacce e
    procedure di monitoraggio programmate per identificare, valutare, mitigare e proteggere dalle
    minacce alla sicurezza, dai virus e da altri codici maligni.
    
14. Procedure di resilienza/continuità aziendale e di ripristino in caso di disastro, nel tentativo di
    mantenere il servizio e/o di recupero da situazioni di emergenza o disastri prevedibili.

─────────────────

Allegato 3

CLAUSOLE CONTRATTUALI STANDARD

Ai fini delle Clausole contrattuali standard:

1. Il modulo due si applica in caso di trattamento ai sensi della clausola 3.1(a)(i) della DPA e il modulo
   tre si applica in caso di trattamento ai sensi della clausola 3.1(a)(ii) della DPA.
   
2. La clausola 7 delle Clausole contrattuali standard (clausola di attracco) non si applica.
   
3. Viene selezionata la clausola 9(a) Opzione 2 (Autorizzazione scritta generale) e il periodo di tempo
   da specificare è determinato nella clausola 5.3 del DPA.
   
4. L’opzione di cui alla clausola 11(a) delle Clausole contrattuali standard (Organismo indipendente di
   risoluzione delle controversie) non si applica.
   
5. Per quanto riguarda la clausola 17 delle Clausole contrattuali standard (Legge applicabile), le Parti
   convengono che si applicherà l’opzione uno. Le parti concordano che la legge applicabile sarà quella
   della Repubblica d’Irlanda.
   
6. Nella clausola 18 delle Clausole contrattuali standard (Scelta del foro e della giurisdizione), le Parti
   si sottopongono alla giurisdizione dei tribunali della Repubblica d’Irlanda.
   
7. Ai fini dell’Allegato I delle Clausole contrattuali standard, l’Allegato 1 contiene le specifiche relative
   alle parti, alla descrizione del trasferimento e all’autorità di vigilanza competente.
   
8. Ai fini dell’Allegato II delle Clausole Contrattuali Standard, l’Allegato 2 contiene le misure tecniche e
   organizzative.
   
9. Le specifiche per l’Allegato III delle Clausole Contrattuali Standard sono determinate dalla clausola
   5.1 del DPA. Il nome, la posizione e i dettagli di contatto del subresponsabile del trattamento saranno
   forniti da Klaviyo su richiesta.

─────────────────

Tabella 4

MISURE SUPPLEMENTARI AGGIUNTIVE

Klaviyo si impegna inoltre ad implementare misure aggiunive basate sulle linee guida fornite dalle
autorità di vigilanza dell’Unione Europea al fine di migliorare la protezione dei Dati Personali del
Cliente in relazione al trattamento in un paese terzo, come descritto nel presente Allegato 4.

1. Misure tecniche supplementari (crittografia)
   
   1.1 I dati personali sono trasmessi (tra le Parti e da Klaviyo tra I data center così come a un
   subresponsabile del trattamento e viceversa) utilizzando una forte crittografia.
   
   1.2 I dati personali a riposo sono conservati da Klaviyo utilizzando una forte crittografia.
   
2. Misure organizzative aggiuntive
   
   2.1 Politiche interne per la governance dei trasferimenti, in particolare con i gruppi di imprese
   
   (a) Adozione di politiche interne adeguate con una chiara attribuzione delle responsabilità per il
   trasferimento dei dati, dei canali di segnalazione e delle procedure operative standard per i casi di
   richiesta formale o informale di accesso ai dati da parte delle autorità pubbliche.
   
   (b) elaborazione di procedure di formazione specifiche per il personale responsabile di gestire le
   richieste di accesso ai dati personali da parte delle autorità pubbliche, che dovrebbero essere
   aggiornate periodicamente per riflettere i nuovi sviluppi legislativi e giurisprudenziali nel paese terzo e
   nel SEE.
   
   2.2 Misure di trasparenza e responsabilità
   
   Pubblicazione regolare di rapporti di trasparenza o di sintesi sulle richieste governative di accesso ai
   dati e sul tipo di risposta fornita, nella misura in cui la pubblicazione è consentita dalla legge locale.
   
   2.3 Metodi organizzativi e misure di minimizzazione dei dati
   
   Sviluppo e attuazione delle migliori pratiche da parte di entrambe le Parti per coinvolgere in modo
   appropriato e tempestivo e fornire accesso alle informazioni ai rispettivi responsabili della protezione
   dei dati, se esistenti, e ai loro servizi legali e di revisione interna su questioni relative ai trasferimenti
   internazionali di dati personali.
   
   2.4 Altri
   
   Adozione e revisione regolare da parte di Klaviyo di politiche interne per valutare l’adeguatezza delle
   misure complementari implementate e identificare e implementare soluzioni aggiuntive o alternative
   quando necessario, per assicurare che venga mantenuto un livello di protezione sostanzialmente
   equivalente a quello garantito all’interno dello SEE dei dati personali trasferiti.
   
3. Misure contrattuali aggiuntive
   
   3.1 Obblighi di trasparenza
   
   (a) Klaviyo dichiara che (1) non ha creato di proposito backdoor o programmi simili che potrebbero
   essere utilizzati per accedere al sistema e/o ai dati personali, (2) non ha creato o modificato di
   proposito i propri processi aziendali in modo da facilitare l’accesso ai dati personali o ai sistemi, e (3)
   che la legge nazionale o la politica governativa non richiede che Klaviyo crei o mantenga backdoor o
   faciliti l’accesso ai dati personali o ai sistemi o che Klaviyo sia in possesso o consegni la chiave di
   crittografia.
   
   (b) Klaviyo verificherà la validità delle informazioni fornite per il questionario TIA su base regolare e
   fornirà una notifica senza indugio al Cliente in caso di modifiche. La clausola 14(e) delle SCC rimarrà
   inalterata.
   
   3.2 Obblighi di intraprendere azioni specifiche
   
   In caso di un qualsiasi ordine di divulgazione o di accesso ai dati personali, Klaviyo si impegna a
   informare l’autorità pubblica richiedente dell’incompatibilità dell’ordine con le garanzie contenute nello
   strumento di trasferimento dell’articolo 46 del GDPR e del conseguente conflitto di obblighi per
   Klaviyo.
   
   3.3 Consentire agli interessati di esercitare i propri diritti
   
   (a) Klaviyo si impegna a risarcire equamente l’interessato per qualsiasi danno materiale e non
   materiale subito a causa della divulgazione dei suoi dati personali trasferiti con lo strumento di
   trasferimento scelto in violazione degli impegni in esso contenuti.
   
   (b) Nonostante quanto sopra, Klaviyo non avrà l’obbligo di risarcire l’interessato nella misura in cui
   l’interessato abbia già ricevuto un risarcimento per lo stesso danno.
   
   (c) Il risarcimento è limitato ai danni materiali e non materiali come previsto dal GDPR ed esclude i
   danni conseguenti e tutti gli altri danni non derivanti dalla violazione del GDPR da parte di Klaviyo.
   
4. Obblighi aggiuntivi in caso di richieste o accesso da parte di autorità pubbliche
   
   4.1 Klaviyo informerà tempestivamente il Cliente:
   
   (a) di qualsiasi richiesta legalmente vincolante da parte di un’autorità preposta all’applicazione della
   legge o di un’altra autorità governativa (“Autorità pubblica”) di divulgare i dati personali condivisi
   dal Cliente (“Dati personali trasferiti”); tale notifica includerà informazioni sui dati personali
   richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita. Tale
   notifica dovrà avvenire prima della divulgazione di qualsiasi dato personale in risposta a tali richieste.
   
   (b) qualora venisse a conoscenza di un accesso diretto da parte delle autorità pubbliche al
   trasferimento dei dati personali in conformità con le leggi del paese di destinazione, tale notifica
   includerà tutte le informazioni disponibili a Klaviyo.
   
   (c) qualora a Klaviyo venisse vietato di notificare il Cliente e/o l’interessato, Klaviyo accetta di fare del
   suo meglio per ottenere una deroga al divieto, con l’obiettivo di comunicare il maggior numero di
   informazioni e il più presto possibile. Klaviyo si impegna a documentare i propri sforzi al fine di poterli
   dimostrare su richiesta dell’esportatore dei dati.
   
   4.2 Klaviyo accetta di esaminare, in base alle leggi del paese di destinazione, la legalità della richiesta
   dell’autorità pubblica, in particolare qualora dovesse rimanere all’interno dei poteri concessi all’autorità pubblica richiedente e di esaurire tutti i rimedi disponibili per contestare la richiesta qualora, dopo un’attenta valutazione, Klaviyo dovesse concludere che ci sono motivi in base alle leggi del paese di destinazione per farlo. Ciò include le richieste ai sensi della sezione 702 del Tribunale din Sorveglianza dei Servizi Segreti Esteri degli Stati Uniti o dell’Ordine Esecutivo 12333. Quando si contesta una richiesta, Klaviyo cercherà di ottenere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando il tribunale non avrà deciso nel merito. Klaviyo non divulgherà o fornirà accesso ai dati personali richiesti fino a quando non sarà obbligato a farlo secondo le regole procedurali applicabili e, in quel momento, fornirà solo la quantità minima di informazioni necessarie per soddisfare la richiesta, sulla base di una ragionevole interpretazione della richiesta.
   
   4.3 Klaviyo si impegna a conservare le informazioni richieste per conformarsi al presente Allegato 4 per la durata del Contratto e, a meno che non sia proibito dalla legge applicabile, a renderle disponibili all’autorità di vigilanza competente su richiesta e quando richiesto dalla legge applicabile.

─────────────────

Allegato 5

ADDENDUM DEL REGNO UNITO E DELLA SVIZZERA

1. ADDENDUM DEL REGNO UNITO
   
   Per quanto riguarda qualsiasi trasferimento di Dati personali del Cliente che rientrano nell’ambito del
   GDPR del Regno Unito dal Cliente (come esportatore di dati) a Klaviyo (come importatore di dati):
   
   1.1 L’Addendum approvato, come meglio specificato nel presente Allegato 5, costituirà parte
   integrante del presente DPA e le Clausole Contrattuali Standard dovranno essere lette e interpretate
   alla luce delle disposizioni dell’Addendum approvato, nella misura necessaria ai sensi della clausola 12
   delle Clausole Obbligatorie.
   
   1.2 In deroga alla Tabella 1 dell’Addendum approvato e in conformità alla clausola 17 delle Clausole
   obbligatorie, le parti sono ulteriormente specificate nell’Allegato 1, Parte 1, del presente DPA.
   
   1.3 I moduli e le clausole selezionati da determinare in base alla Tabella 2 dell’Addendum approvato
   sono ulteriormente specificati nell’Allegato 3 del presente DPA, come modificato dalle Clausole
   obbligatorie.
   
   1.4 L’Allegato 1 A e B della Tabella 3 dell’Addendum approvato è specificato dall’Allegato 1 del
   presente DPA, l’Allegato II dell’Addendum approvato è ulteriormente specificato dall’Allegato 2 del
   presente DPA e l’Allegato III dell’Addendum approvato è ulteriormente specificato dall’Allegato 1,
   clausola B.10, del presente DPA.
   
   1.5 Klaviyo (come importatore di dati) potrebbe porre fine al presente DPA, nella misura in cui si
   applica l’Addendum approvato, in conformità alla clausola 19 delle Clausole obbligatorie.
   
   1.6 La clausola 16 delle Clausole Obbligatorie non si applica.
   
2. ADDENDUM SVIZZERO
   
   Come stabilito nella clausola 13 della LPD, il presente Addendum svizzero si applica a qualsiasi
   trattamento dei Dati personali del Cliente soggetto alla legge svizzera sulla protezione dei dati o sia
   alla legge svizzera sulla protezione dei dati che al GDPR.
   
   2.1 Interpretazione del presente Addendum

(a) Laddove il presente Addendum utilizzi termini definiti nelle Clausole Contrattuali Standard, come
ulteriormente specificato nell’Allegato 3 del presente DPA, tali termini avranno lo stesso significato di
cui alle Clausole Contrattuali Standard. Inoltre, i seguenti termini hanno il seguente significato:

(i) “Il presente Addendum” indica il presente Addendum alle Clausole.

(ii) “Clausole” indica le Clausole Contrattuali Standard come meglio specificato nell’Allegato 3 del
presente DPA.

(iii) “Leggi svizzere sulla protezione dei dati” indica la Legge federale svizzera sulla protezione
dei dati del 19 giugno 1992 e l’Ordinanza svizzera alla Legge federale svizzera sulla protezione dei dati
del 14 giugno 1993, nonché qualsiasi versione nuova o rivista di tali leggi che possa entrare in vigore
di volta in volta.

(b) Il presente Addendum deve essere letto e interpretato alla luce delle disposizioni delle Leggi
svizzere sulla protezione dei dati, e in modo da soddisfare l’intenzione di fornire le garanzie
appropriate come richiesto dall’articolo 46 del GDPR e/o dall’articolo 6, paragrafo 2, lettera a) delle
Leggi svizzere sulla protezione dei dati, a seconda dei casi.

(c) Il presente Addendum non potrà essere interpretato in modo da entrare in conflitto con i diritti e
gli obblighi previsti dalle leggi svizzere sulla protezione dei dati.

(d) Qualsiasi riferimento alla legislazione (o a specifiche disposizioni legislative) indica tale legislazione
(o specifica disposizione) così come può cambiare nel tempo. Ciò include il caso in cui tale legislazione
(o specifica disposizione) sia stata consolidata, riattualizzata e/o sostituita dopo la stipula del presente
Addendum.

2.2 Gerarchia

In caso di conflitto o incongruenza tra il presente Addendum e le disposizioni delle Clausole o di altri
accordi correlati tra le Parti, esistenti al momento della stipula del presente Addendum o stipulati
successivamente, prevarranno le disposizioni che forniscono la maggiore protezione agli interessati.

2.3 Incorporazione delle clausole

(a) In relazione a qualsiasi trattamento di dati personali soggetti alle Leggi svizzere sulla protezione
dei dati o ad entrambe le Leggi svizzere sulla protezione dei dati e al GDPR, il presente Addendum
modifica il DPA, compreso quanto ulteriormente specificato nell’Allegato 3 del presente DPA, nella
misura necessaria per il loro funzionamento:

(i) per i trasferimenti effettuati dall’esportatore di dati all’importatore di dati, nella misura in cui le
leggi svizzere sulla protezione dei dati o le leggi svizzere sulla protezione dei dati e il GDPR si
applicano al trattamento dei dati da parte dell’esportatore al momento del trasferimento; e

(ii) fornire garanzie adeguate per i trasferimenti ai sensi dell’articolo 46 del GDPR e/o dell’articolo 6,
paragrafo 2, lettera a), della legge svizzera sulla protezione dei dati, a seconda dei casi.

(b) Nella misura in cui qualsiasi trattamento di dati personali è soggetto esclusivamente alle leggi
svizzere sulla protezione dei dati, le modifiche al DPA, comprese le SCC, come ulteriormente
specificato nell’Allegato 3 del presente DPA e come richiesto dalla clausola 2.1 del presente
Addendum svizzero, includono (senza limitazioni):

(i) I riferimenti alle “Clausole” o alle “SCC” indicano il presente Addendum Svizzero in quanto modifica
le SCC e

(ii) La clausola 6 Descrizione del/i trasferimento/i è sostituita da:

“I dettagli del trasferimento (o dei trasferimenti), e in particolare le categorie di dati personali che
vengono trasferiti e lo scopo (o gli scopi) per cui vengono trasferiti, sono quelli specificati nell’Allegato
1 della presente DPA, laddove le Leggi svizzere sulla protezione dei dati si applicano al trattamento
dei dati da parte dell’esportatore al momento del trasferimento.”

(iii) I riferimenti al “Regolamento (UE) 2016/679” o a “tale Regolamento” o al “GDPR” sono sostituiti
da “Leggi svizzere sulla protezione dei dati” e i riferimenti a specifici articoli del “Regolamento (UE)
2016/679″ o del “GDPR” sono sostituiti con l’articolo o la sezione equivalente delle Leggi svizzere sulla
protezione dei dati nella misura in cui sono applicabili.

(iv) I riferimenti al Regolamento (UE) 2018/1725 sono eliminati.

(v) I riferimenti a “Unione europea”, “Unione”, “UE” e “Stato membro dell’UE” sono tutti sostituiti da
“Svizzera”.

(vi) La clausola 13(a) e la parte C dell’Allegato I non sono utilizzate; l’”autorità di controllo
competente” è il Responsabile federale della protezione dei dati e delle informazioni (“IFPDT”) nella
misura in cui i trasferimenti sono disciplinati dalle leggi svizzere sulla protezione dei dati;

(vii) La clausola 17 è sostituita dalla seguente:

“Le presenti clausole sono disciplinate dalle leggi svizzere nella misura in cui i trasferimenti sono
disciplinati dalle leggi svizzere sulla protezione dei dati”.

(viii) La clausola 18 è sostituita dalla seguente:

“Qualsiasi controversia derivante dalle presenti clausole relative alle leggi svizzere sulla protezione dei
dati sarà risolta dai tribunali della Svizzera. Una persona interessata può anche intentare un’azione
legale contro l’esportatore e/o l’importatore di dati davanti ai tribunali della Svizzera in cui ha la
residenza abituale. Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali.”

Fino all’entrata in vigore delle nuove leggi svizzere sulla protezione dei dati, le Clausole proteggeranno
anche i dati personali delle persone giuridiche e le persone giuridiche riceveranno la stessa protezione
delle persone fisiche.

2.4 Nella misura in cui qualsiasi trattamento di dati personali è soggetto sia alle Leggi svizzere sulla
protezione dei dati che al GDPR, il DPA, comprese le Clausole come ulteriormente specificato
nell’Allegato 3 del presente DPA, si applicherà (i) così com’è e (ii) in aggiunta, nella misura in cui un
trasferimento è soggetto alle Leggi svizzere sulla protezione dei dati, come modificato dalle clausole

2.1 e 2.3 del presente Addendum svizzero, con l’unica eccezione che la clausola 17 delle SCC non sarà
sostituita come stabilito dalla clausola 2.3(b)(vii) del presente Addendum svizzero.

2.5 Il Cliente garantisce che lui e/o le sue Affiliate hanno effettuato tutte le notifiche all’IFPDT
richieste dalle leggi svizzere sulla protezione dei dati.

─────────────────

Schema 6
ADDENDUM USA

Come stabilito nella clausola 14 della DPA, il presente Addendum per gli Stati Uniti si applicherà a
qualsiasi trattamento dei Dati personali del Cliente soggetto alle leggi statunitensi sulla protezione dei
dati personali.

Nella misura richiesta dalle leggi sulla protezione dei dati personali degli Stati Uniti, a Klaviyo è
vietato:

(a) vendere i Dati personali del Cliente o rendere altrimenti disponibili i Dati personali del Cliente a
terzi per un corrispettivo monetario o di altro valore;

(b) condividere i Dati personali del Cliente con terze parti per la pubblicità comportamentale
incrociata;

(c) conservare, utilizzare o divulgare i Dati personali del Cliente per scopi diversi da quelli commerciali
specificati nel Contratto o come altrimenti consentito dalle leggi statunitensi sulla protezione dei dati;

(d) conservare, utilizzare o divulgare i Dati Personali del Cliente al di fuori del rapporto commerciale
diretto tra le Parti; e

(e) salvo quanto diversamente consentito dalle leggi sulla protezione dei dati degli Stati Uniti,
combinare i dati personali del Cliente con i dati personali che Klaviyo riceve da o per conto di un’altra
persona o persone, o raccoglie dalla propria interazione con l’interessato.