Contratto Catalate Pricing as a Service

Ultimo aggiornamento: 17 novembre 2022

Il presente Contratto Catalate Pricing as a Services (il “Contratto”) viene stipulato alla data del Modulo d’ordine iniziale del Partner o alla data dell’utilizzo iniziale dei Servizi da parte del Partner, a seconda di quale sia la data precedente (la “Data di entrata in vigore”), tra Catalate Commerce, Inc., una società del Delaware (“Catalate”), e il cliente che utilizza i Servizi (“Partner”) (ciascuno, una “Parte”, e collettivamente, le “Parti”) e regola la fornitura da parte di Catalatedei servizi online qui descritti.

Accordo

1. Definizioni.

1.1 Per “Affiliato” si intende una persona o un’entità direttamente o indirettamente controllata, controllante o sottoposta a controllo comune con una Parte.

1.2 Per “API” si intendono le API di Catalateattraverso le quali i Partner possono accedere all’inventario e ai prezzi dei Biglietti.

1.3 Per “Percentuale di margine” si intende il compenso di Catalateper la fornitura dei Servizi, calcolato come percentuale del Prezzo al dettaglio. Il Modulo d’ordine elenca le percentuali di margine per i Biglietti venduti sull’API.

1.4 Per “Modulo d’ordine” si intende il presente foglio di copertura e qualsiasi modulo d’ordine successivo per prodotti o servizi aggiuntivi che sia stato sottoscritto da entrambe le parti.

1.5 Per “Prezzo al dettaglio” si intende il prezzo effettivo pagato da un Utente finale per un Biglietto acquistato tramite l’API.

1.6 Per “Servizi” si intendono i servizi professionali di consulenza, marketing, promozione e vendita al dettaglio online di Catalatee il relativo Software per consentire al Partner di promuovere e vendere i propri prodotti online a potenziali Utenti finali, compresa l’API.

1.7 Per “Software” si intende il software e altri codici sorgente, codici oggetto o strutture sottostanti, idee, know-how o algoritmi utilizzati per fornire l’API e altre parti dei Servizi.

1.8 Per “Biglietti” si intendono i biglietti d’ingresso o d’uso per la proprietà del Partner e altri prodotti associati che il Partner desidera vendere attraverso i Servizi;

2. Servizi; concessione della licenza.

2.1 Con la presente il Partner incarica Catalate di fornire i Servizi in conformità e ai sensi dei termini dell’Allegato A.

2.2 Durante il periodo e in base ai termini del presente Contratto, Catalate concede al Partner una licenza limitata, revocabile, non esclusiva e non trasferibile per accedere e integrare l’API al fine di rendere disponibile l’inventario dei biglietti ai sensi dell’Allegato A.

3. Compensazione. Il Partner pagherà Catalate come indicato nell’Allegato A e in ciascun Modulo d’ordine. I prezzi al dettaglio includono tutte le tasse, imposte, dazi, IVA e simili imposte governative applicabili da qualsiasi giurisdizione locale, statale, provinciale, federale o estera (collettivamente, “Tasse”). Il Partner sarà l’unico responsabile del pagamento di tutte le imposte associate alla vendita dei Biglietti. Se un’autorità fiscale applicabile richiede a Catalate di pagare le imposte che avrebbero dovuto essere pagate dal Partner, Catalate informerà il Partner per iscritto e il Partner rimborserà prontamente a Catalate gli importi pagati.

4. Uso della proprietà intellettuale.

4.1 Catalate conserva tutti i diritti, titoli e interessi, compresi tutti i diritti di proprietà intellettuale incorporati o associati ai Servizi e ai marchi Catalate.

4.2 Restrizioni. Il Partner non consentirà e non permetterà ai suoi utenti di (senza limitazioni):

(A) fornire i Servizi a terzi per scopi di service bureau o time-sharing o in qualsiasi altro modo consentire a terzi di sfruttare i Servizi;

(B) consentire a terzi di accedere o utilizzare i Servizi in qualsiasi altro modo;

(C) vendere, rivendere, trasferire, assegnare, inquadrare, rispecchiare o distribuire i Servizi;

(D) introdurre software o agenti o script automatizzati nei Servizi al fine di produrre account multipli, generare ricerche, richieste o interrogazioni automatizzate, o per rimuovere, raschiare o estrarre dati dai Servizi;

(E) copiare o decodificare il software, il modello di determinazione dei prezzi o le strategie di determinazione dei prezzi utilizzati per fornire i Servizi per qualsiasi motivo; oppure

(F) accedere ai Servizi per costruire un prodotto o un servizio concorrente, per costruire un prodotto che utilizzi idee, caratteristiche, funzioni o grafica simili a quelle dei Servizi, o per copiare qualsiasi idea, caratteristica, funzione o grafica dei Servizi.

5. Standard di sicurezza. Le reti, i sistemi operativi, i server Web, i router e i sistemi informatici del Partner devono essere adeguatamente configurati secondo gli standard del settore in modo da prevenire qualsiasi intrusione o divulgazione non autorizzata o perdita di dati. In caso di violazione della sicurezza che coinvolga l’API o altri Servizi, il Partner deve informare immediatamente Catalate e lavorare diligentemente per porre rimedio a tale violazione della sicurezza non appena possibile.

6. Uso accettabile. Il Partner si impegna a non utilizzare i Servizi, i suoi dipendenti e i suoi agenti, per:

6.1 trasmettere qualsiasi materiale che contenga adware, malware, spyware, virus software o qualsiasi altro codice informatico, file o programma progettato per interrompere, distruggere o limitare la funzionalità di qualsiasi software o hardware o apparecchiatura di telecomunicazione;

6.2 interferire o interrompere i server Catalate o le reti collegate a Catalate, o disobbedire a qualsiasi requisito, procedura, politica o regolamento delle reti collegate a Catalate;

6.3 tentare di accedere ad altri sistemi Catalate che non fanno parte dei Servizi; oppure

6.4 violare leggi, diritti di terzi o obblighi previsti dal presente Contratto.

7. Rapporti dei partner. Il Partner conserverà tutti i registri relativi agli ordini elaborati tramite l’API, come richiesto dal presente Contratto e dalla legge applicabile. Il partner invierà a Catalate un rapporto settimanale di tutti gli ordini elaborati utilizzando l’API in un formato fornito da Catalate. Se c’è uno scostamento superiore al 5% tra le prenotazioni fornite dal Partner in un formato fornito da Catalate e i sistemi di Catalate, il Partner avrà due settimane di tempo dalla notifica di Catalatedi tale scostamento per modificare la configurazione API in modo tale che lo scostamento sia ridotto a meno del 5%. Se il problema non viene risolto entro il periodo di due settimane, Catalate tornerà alla tariffazione statica fino alla risoluzione del problema. Al fine di verificare l’accuratezza di tali rapporti, Catalate può ispezionare i registri e i materiali del Partner relativi al presente Contratto. Tali verifiche saranno condotte durante il normale orario di lavoro del Partner, con un preavviso scritto di almeno cinque giorni. Catalate sarà responsabile dei costi di revisione, a meno che la revisione non riveli un pagamento insufficiente pari o superiore al 5%, nel qual caso il Partner pagherà le spese ragionevoli di Catalateper la revisione oltre a tutte le tariffe dovute.

8. Riservatezza.

8.1 Fatte salve le limitazioni di cui alla Sezione 8.2, tutte le informazioni divulgate da una parte all’altra durante il periodo di validità del presente Contratto, in forma orale, scritta, grafica o elettronica, saranno considerate “Informazioni riservate”. Le informazioni riservate comprendono, a titolo esemplificativo, il software Catalate utilizzato per fornire i Servizi, la relativa documentazione, le specifiche, i prezzi, le divulgazioni in relazione alla fornitura dei Servizi, le divulgazioni fatte dal Partner in merito alle sue operazioni, alle vendite di biglietti e ad altre metriche non pubbliche, nonché i termini e le condizioni del presente Contratto. Le informazioni riservate rimarranno di esclusiva proprietà della parte che le ha divulgate o dei suoi licenziatari.

8.2 Eccezioni. Le informazioni non saranno considerate informazioni riservate se la parte ricevente può stabilire con prove documentali che le informazioni sono o sono state: (A) legittimamente disponibili al pubblico senza alcun atto o omissione della parte ricevente; (B) in legittimo possesso della parte ricevente prima della divulgazione da parte della parte divulgante e non ottenuti direttamente o indirettamente dalla parte divulgante; (C) legittimamente divulgati alla parte ricevente da un terzo senza limitazioni alla divulgazione; oppure (D) sviluppato in modo indipendente dalla parte ricevente.

8.3 Non divulgazione. Le parti si impegnano, durante la durata e dopo la cessazione del presente Contratto, a mantenere riservate le informazioni riservate dell’altra parte e a non divulgarle in alcuna forma a terzi senza l’esplicito consenso scritto della parte che le ha divulgate, fatta eccezione per i dipendenti e i consulenti che prestano servizi a beneficio della parte ricevente e che sono soggetti a un accordo scritto di non divulgazione che protegge le informazioni riservate applicabili in modo non meno restrittivo del presente Contratto. Ciascuna parte si impegna ad adottare tutte le misure ragionevoli per garantire che le Informazioni riservate non vengano divulgate o distribuite dai propri dipendenti o agenti in violazione del presente Accordo. Una parte ricevente che affronti un’azione legale per la divulgazione di informazioni riservate della parte divulgante dovrà prontamente notificare e fornire alla parte divulgante l’opportunità di opporsi a tale divulgazione o di ottenere un ordine di protezione e continuerà a trattare tali informazioni come informazioni riservate. La presente Sezione 9 non deve essere interpretata come una concessione o un conferimento di diritti a una delle parti, tramite licenza o altro, in modo esplicito o implicito, su qualsiasi Informazione Riservata.

8.4 Terzi autorizzati. A scanso di equivoci, il Partner riconosce e acconsente alla condivisione delle sue informazioni sui prezzi con il sistema operativo del Partner e altri partner tecnologici allo scopo di fornire i Servizi.

9. Termine. A meno che non venga rescisso prima o non sia diversamente indicato nel Modulo d’ordine, la durata iniziale del presente Contratto sarà di un anno. Successivamente, il presente Accordo si rinnoverà automaticamente per periodi successivi di un anno ciascuno, a meno che una delle parti non notifichi all’altra il mancato rinnovo del presente Accordo almeno 30 giorni prima della scadenza del termine in corso.

10. Cessazione.

10.1 Catalate può sospendere o terminare l’Accordo, l’accesso a tutti o a una parte dei Servizi e/o le licenze qui concesse immediatamente dopo la notifica nel caso in cui il Partner utilizzi o permetta l’utilizzo dei Servizi per scopi impropri o illegali o per scopi non autorizzati dal presente Accordo.

10.2 Ciascuna parte può risolvere il presente Contratto (compresi tutti i relativi Moduli d’Ordine) se l’altra parte: (A) non riesce a porre rimedio a qualsiasi violazione sostanziale del presente Contratto entro 30 giorni dalla notifica scritta di tale violazione; (B) cessa l’attività senza un successore; o (C) chiede protezione nell’ambito di un fallimento, di un’amministrazione controllata, di un atto fiduciario, di un concordato preventivo o di un procedimento analogo, o se un tale procedimento viene avviato nei confronti di tale parte (e non viene archiviato entro 60 giorni)).

10.3 La risoluzione non è un rimedio esclusivo e l’esercizio da parte di una delle parti di qualsiasi rimedio ai sensi del presente Contratto non pregiudica qualsiasi altro rimedio di cui possa disporre ai sensi del presente Contratto, della legge o di altro tipo.

11. Dichiarazioni e garanzie. Ciascuna Parte dichiara e garantisce di avere il diritto, il potere e l’autorità di stipulare il presente Contratto e di adempiere a tutti i rispettivi obblighi previsti dal presente Contratto, che la persona che esegue o acconsente a ciascun Modulo d’ordine per conto di una Parte è stata autorizzata da quest’ultima a farlo e che l’adempimento di tali obblighi non è in conflitto con alcun accordo di cui è parte o è altrimenti vincolata, né comporta una violazione di tale accordo. Catalate dichiara e garantisce che i Servizi elaborano e memorizzano le informazioni di pagamento della carta di credito o di debito in conformità con gli standard di sicurezza dei dati dell’industria delle carte di pagamento (PCI-DSS).

12. Esclusione di garanzie. AD ECCEZIONE DI QUANTO DIVERSAMENTE STABILITO NEL PRESENTE DOCUMENTO, CATALATE DECLINA ESPRESSAMENTE TUTTE LE GARANZIE, LE DICHIARAZIONI E LE CONDIZIONI RELATIVE AL PRESENTE CONTRATTO, SIANO ESSE ESPRESSE, IMPLICITE, LEGALI O DI ALTRO TIPO, INCLUSE, A TITOLO ESEMPLIFICATIVO, LE GARANZIE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE, NON VIOLAZIONE DI DIRITTI DI TERZI O TITOLO. CATALATE NON GARANTISCE CHE I SERVIZI SIANO CONTINUAMENTE DISPONIBILI, PRIVI DI ERRORI O COMPLETAMENTE SICURI, NÉ CHE EVENTUALI DIFETTI VENGANO CORRETTI.

13. Indennizzo.

13.1 Il Partner accetta di difendere, indennizzare e tenere indenne Catalate, le sue Affiliate, i suoi successori, cessionari, membri, azionisti, funzionari, direttori e agenti (“Parti indennizzateCatalate “) da qualsiasi reclamo, responsabilità, danno, perdita, costo, spesa e onorario (comprese le ragionevoli spese legali) (“Richieste di risarcimento”) presentate contro Catalate per danni nella misura in cui ciò sia dovuto a qualsiasi uso o applicazione impropria, reale o presunta, dei Servizi.

13.2 Catalate accetta di difendere, indennizzare e tenere indenne il Partner, le sue Affiliate, i suoi successori, i suoi cessionari, i suoi membri, gli azionisti, i suoi funzionari, i suoi direttori e i suoi agenti (le “Parti indennizzate dal Partner”) da qualsiasi richiesta di risarcimento danni avanzata nei confronti del Partner, nella misura in cui ciò sia dovuto a un’effettiva o presunta violazione dei diritti del Partner: (A) reclamo che la piattaforma utilizzata da Catalate per gestire i Servizi violi o si appropri indebitamente dei diritti di proprietà intellettuale o dei diritti di privacy o pubblicità di terzi; oppure (B) violazione da parte di Catalate di qualsiasi legge, norma o regolamento applicabile nell’esecuzione dei Servizi.

13.3 La Parte indennizzata deve notificare tempestivamente per iscritto all’altra Parte qualsiasi reclamo ai sensi del presente documento e fornire, a spese dell’altra Parte, tutta l’assistenza, le informazioni e l’autorità ragionevolmente necessarie per consentire all’altra Parte di controllare la difesa e la risoluzione di tale reclamo. Ciascuna Parte si riserva il diritto, a proprie spese, di assumere la difesa e il controllo esclusivi di qualsiasi questione soggetta a indennizzo da parte di tale Parte ai sensi del presente articolo 13. Gli obblighi di indennizzo di cui al presente documento sopravvivono alla risoluzione del presente Contratto.

14. Limitazioni di responsabilità.

14.1 IN NESSUN CASO UNA DELLE PARTI SARÀ RESPONSABILE NEI CONFRONTI DELL’ALTRA PER DANNI SPECIALI, INDIRETTI, CONSEQUENZIALI O PUNITIVI DI QUALSIASI NATURA, QUALI, A TITOLO ESEMPLIFICATIVO E NON ESAUSTIVO, LA PERDITA DI RICAVI O DI PROFITTI PREVISTI, LA PERDITA DI PROFITTI O LA PERDITA DI DATI O DI UTILIZZO, ANCHE NEL CASO IN CUI TALE PARTE SIA STATA AVVISATA DELLA POSSIBILITÀ DI TALI DANNI. QUANTO SOPRA SI APPLICA INDIPENDENTEMENTE DALLA NEGLIGENZA O DA ALTRE COLPE DI UNA PARTE E INDIPENDENTEMENTE DAL FATTO CHE TALE RESPONSABILITÀ DERIVI DA CONTRATTO, NEGLIGENZA, ILLECITO CIVILE, RESPONSABILITÀ OGGETTIVA O QUALSIASI ALTRA TEORIA DI RESPONSABILITÀ.

14.2 IN NESSUN CASO L’IMPORTO MASSIMO DEI DANNI PAGABILI DA UNA DELLE PARTI PER QUALSIASI VIOLAZIONE DEL PRESENTE ACCORDO O PER QUALSIASI DANNO O LESIONE DERIVANTE DALLA FORNITURA DEI SERVIZI DA PARTE DI CATALATE SUPERERÀ LE TARIFFE PAGATE DAL PARTNER A CATALATE AI SENSI DEL PRESENTE ACCORDO DURANTE I DODICI MESI IMMEDIATAMENTE PRECEDENTI A TALE RECLAMO.

15. Modifica dei programmi di servizio di prenotazione. Catalate può aggiungere, eliminare o modificare in altro modo qualsiasi Servizio, a condizione che Catalate notifichi al Partner qualsiasi modifica materiale che comporti il degrado dei Servizi.

16. Forza maggiore. Né Catalate né il Partner saranno responsabili di eventuali ritardi o mancate prestazioni ai sensi del presente Accordo dovuti a cause al di fuori del loro ragionevole controllo.

17. Legge applicabile, giurisdizione e foro competente. Il presente Contratto e tutte le questioni relative al presente Contratto saranno disciplinate e interpretate in base alle leggi dello Stato della California senza l’applicazione di principi di conflitto di leggi. Ciascuna delle Parti accetta irrevocabilmente e incondizionatamente che qualsiasi procedimento legale derivante da o relativo al presente Contratto possa essere intentato presso il Tribunale distrettuale degli Stati Uniti per il Distretto settentrionale della California o, se tale tribunale è privo di giurisdizione, presso qualsiasi tribunale della giurisdizione competente nella Contea di San Francisco; e (b) acconsente alla giurisdizione di ciascuno di tali tribunali in qualsiasi procedimento. In caso di azioni, cause o procedimenti relativi al presente Contratto, la parte prevalente, oltre ai diritti e ai rimedi altrimenti disponibili, avrà diritto a ricevere il rimborso di ragionevoli onorari e spese legali e giudiziarie.

18. Assegnazione. Il Partner non può cedere o sublicenziare, per legge o in altro modo, il presente Accordo o qualsiasi dovere, diritto o obbligo previsto dal presente Accordo senza il previo consenso scritto di Catalate; fermo restando che ciascuna parte può cedere il presente Accordo alla sua Affiliata o al suo successore in caso di fusione, acquisizione o vendita di tutte o sostanzialmente tutte le attività di tale parte. Qualsiasi altra presunta cessione sarà nulla. Fatto salvo quanto sopra, il presente Accordo sarà vincolante per le Parti e andrà a beneficio delle stesse e dei rispettivi successori e cessionari autorizzati.

19. Separabilità; nessuna rinuncia. Se una disposizione del presente Contratto è ritenuta non valida da un tribunale della giurisdizione competente, tale disposizione sarà interpretata, per quanto possibile, in modo da riflettere le intenzioni delle Parti, mentre le altre disposizioni rimarranno pienamente valide ed efficaci. Il mancato esercizio o la mancata applicazione di un diritto o di una disposizione del presente Accordo da parte di una delle Parti non costituirà una rinuncia a tale diritto o disposizione, a meno che tale rinuncia non sia formulata per iscritto e sia stata eseguita dalla Parte nei confronti della quale la rinuncia viene rivendicata.

20. Avvisi. Qualsiasi comunicazione richiesta o consentita ai sensi del presente Contratto dovrà essere effettuata per iscritto e sarà considerata consegnata quando: (A) verificata da una ricevuta scritta se inviata tramite corriere personale, corriere notturno o posta ordinaria; oppure (B) confermato o risposto dal destinatario se inviato via e-mail. Le comunicazioni devono essere recapitate a ciascuna Parte al rispettivo indirizzo specificato nel presente Accordo, o all’altro indirizzo che tale Parte può specificare con comunicazione scritta all’altra.

21. Nessuna agenzia o terzo beneficiario. Il Partner e Catalate sono contraenti indipendenti e nulla di quanto contenuto nel presente Contratto (compreso l’uso del termine definito “Partner”) deve essere interpretato come la creazione di un rapporto di partnership, joint venture, franchising o agenzia tra il Partner e Catalate. Nessuna delle Parti ha l’autorità di stipulare accordi di qualsiasi tipo per conto dell’altra Parte. Catalate e il Partner concordano che non vi siano terzi beneficiari del presente Contratto, compresi, ma non solo, gli Utenti finali.

22. Varie. Il presente Contratto, unitamente agli Allegati, costituisce l’intero accordo tra le Parti in relazione al suo oggetto, sostituendo tutte le precedenti o contemporanee comunicazioni orali e scritte, proposte, trattative, dichiarazioni, intese, rapporti, accordi, contratti e simili tra le Parti a tale riguardo, ad eccezione delle clausole contenute in un Modulo d’ordine che sostituiranno le analoghe disposizioni del presente Contratto per il periodo indicato nel Modulo d’ordine. I titoli delle sezioni del presente Contratto sono solo per comodità e non hanno alcun effetto legale o contrattuale. Il presente Accordo: (A) può essere eseguito in un numero qualsiasi di copie, ciascuna delle quali, se eseguita da entrambe le Parti del presente Accordo, sarà considerata un originale e tutte le copie costituiranno un unico strumento; e (B) non può essere emendato o modificato dal Partner, a meno che tale emendamento o modifica non sia stato firmato per iscritto da entrambe le Parti. I termini di tutte le sezioni che, per loro natura, sono destinati a estendersi oltre la cessazione del contratto, sopravvivranno alla cessazione del presente Contratto per qualsiasi motivo.

API
L’API consente a terzi di accedere all’inventario dei biglietti e di venderli in altri ambienti (ad esempio, un altro motore di e-commerce, un ambiente di alloggio, applicazioni mobili native, altri canali di distribuzione di terzi, ecc.) Con l’API, un partner può accedere ai prezzi dei biglietti, alla quantità e alla disponibilità dell’inventario e creare ordini nel sistema Catalate. La gestione e l’analisi dell’inventario avvengono all’interno del sistema di Catalate.
Transazioni con l’utente finale. Catalate fornirà i prezzi dei biglietti solo tramite l’API e non sarà responsabile della vendita dei biglietti, dell’elaborazione dei pagamenti, dell’adempimento dei biglietti o di qualsiasi altro aspetto dei biglietti venduti, se non diversamente concordato per iscritto tra le parti. Il partner sarà responsabile delle interazioni post-acquisto con i propri clienti. Catalate non avrà alcuna responsabilità per le azioni o le mancate azioni del Partner in relazione a tali interazioni.
Pagamento. Le tariffe di Catalateper l’uso dell’API saranno indicate in ogni Modulo d’ordine. Salvo quanto diversamente previsto nel presente documento, tutte le tariffe non sono annullabili e non sono rimborsabili e il Partner pagherà tutte le tariffe entro 30 giorni dal ricevimento della fattura di Catalate. Gli importi non pagati sono soggetti a un addebito finanziario dell’1,5% al mese su qualsiasi saldo in sospeso, o il massimo consentito dalla legge, a seconda di quale sia il valore più basso, più tutte le spese di riscossione. Senza limitare gli altri rimedi, Catalate può sospendere i Servizi in caso di mancato pagamento delle tariffe.

Quando Catalate fornisce servizi di marketing e di evasione dei biglietti per i partner, in alcuni casi Catalate ha un rapporto diretto con gli utenti finali ed è il controllore dei dati personali da loro forniti. In altri casi, Catalate agirà come incaricato del trattamento, elaborando i Dati personali per conto del partner. Il presente Addendum si applica alle situazioni in cui il Partner è il controllore o il responsabile del trattamento dei Dati personali e Catalate è il responsabile del trattamento. Le parti convengono che il presente Addendum sarà incorporato nel Contratto e ne costituirà parte integrante e sarà soggetto alle disposizioni in esso contenute, comprese le limitazioni di responsabilità.
1 Definizioni e interpretazione. Ai fini del presente Addendum:
Per “Affiliato” si intende qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto controllo comune con una parte.
Per “Accordo” si intende l’accordo tra il Partner e Catalate a cui è allegato il presente Addendum.
“Violazione” indica una violazione della sicurezza da parte di Catalate che comporta la distruzione accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Dati personali trattati dai Servizi.
“Titolare del trattamento”, “Responsabile del trattamento” e “Soggetto interessato” (con o senza maiuscola) hanno il significato previsto dal GDPR e significati equivalenti ai sensi di altre leggi sulla protezione dei dati.
“Leggi sulla protezione dei dati” indica il Regolamento generale sulla protezione dei dati 2016/679 (“GDPR”), lo United Kingdom Data Protection Act 2018 e il GDPR come salvato nel diritto del Regno Unito in virtù della Sezione 3 dello United Kingdom’s European Union (Withdrawal) Act 2018 (“UK GDPR”), il California Consumer Privacy Act come modificato dal California Privacy Rights Act, i relativi regolamenti e i loro successori (“CPRA”) e tutte le altre leggi e regolamenti sulla protezione dei dati e sulla privacy degli Stati Uniti, del Regno Unito e del SEE applicabili al Trattamento dei dati personali ai sensi del Contratto.
Per “SEE” si intende lo Spazio Economico Europeo, che comprende gli Stati membri dell’Unione Europea e l’Islanda, il Liechtenstein, la Norvegia e la Svizzera.
“Dati personali” si riferisce ai dati elaborati dai Servizi per conto del Partner che corrispondono ai seguenti termini e alle Leggi sulla protezione dei dati: (A) Dati personali come definiti nel GDPR in riferimento ai residenti dello Spazio Economico Europeo e del Regno Unito, e (B) Informazioni personali come definite nel CPRA in riferimento ai residenti in California, e (C) termini equivalenti ai sensi di altre leggi applicabili ai Servizi in riferimento ai residenti di tali giurisdizioni.
“SCC” o “Clausole Contrattuali Standard” indica le Clausole Contrattuali Standard per il Trasferimento di Dati Personali a Responsabili del Trattamento stabiliti in Paesi Terzi ai sensi del GDPR, come (i) approvati dalla decisione di esecuzione 2021/914 della Commissione europea e (ii) come conforme alla legge del Regno Unito ai sensi dell’International Data Transfer Addendum (l'”IDTA”) emesso dall’Information Commissioner’s Office del Regno Unito (l'”ICO”) e depositato davanti al Parlamento ai sensi della s119A del Data Protection Act 2018 il 2 febbraio 2022.
Gli altri termini in maiuscolo qui utilizzati hanno il significato previsto dal Contratto.
2 Termini di elaborazione globale.
2.1 Condizioni generali di trattamento. Catalate tratterà i Dati personali per conto del Partner per gli scopi stabiliti nell’Accordo e solo in conformità alle istruzioni legittime e documentate del Partner, salvo ove diversamente richiesto dalla legge applicabile. Catalate può avere un diritto separato di trattare determinati Dati personali: (A) se Catalate riceve gli stessi Dati personali degli ospiti da più fonti e (B) se Catalate ha un rapporto diretto con un soggetto interessato ed è un controllore di tali dati personali. Catalate informerà tempestivamente il Partner se viene a conoscenza che l’elaborazione richiesta dal Partner viola le leggi sulla protezione dei dati.
2.2 Conformità. Il partner è responsabile di garantire che: (A) il suo utilizzo dei Servizi è conforme alle Leggi sulla protezione dei dati e a tutte le altre leggi applicabili in materia di privacy e protezione dei dati; e (B) ha, e continuerà ad avere, il diritto di trasferire, o di fornire l’accesso ai Dati personali a Catalate per il trattamento in conformità all’Accordo e alla presente DPA. Il partner deve informare Catalate se l’uso proposto dei Servizi sottopone Catalate a obblighi di protezione dei dati o della privacy ai sensi di leggi o regolamenti diversi dalle Leggi sulla protezione dei dati. Se e quando necessario in tale situazione, le parti possono stipulare un addendum di attuazione locale che disciplini le disposizioni di tali leggi.
2.3 Formazione. Catalate garantirà che i suoi dipendenti, agenti e appaltatori ricevano una formazione adeguata in merito alle loro responsabilità e ai loro obblighi in materia di trattamento, protezione e riservatezza dei dati personali.
2.4 Incidenti di sicurezza. Catalate informerà il Partner senza indebito ritardo quando viene a conoscenza di una violazione, inviando un’e-mail al contatto principale del Partner per il rapporto con Catalate. Inoltre, Catalate si impegna ad adottare tutte le misure ragionevoli per mitigare l’impatto di tali violazioni e a cooperare ragionevolmente con il Partner per consentirgli di adempiere ai suoi obblighi ai sensi delle leggi sulla protezione dei dati, anche assistendo il Partner nella notifica agli interessati o alle autorità di regolamentazione di una violazione. Catalate non darà tale avviso senza la previa approvazione scritta del Partner.
2.5 Obbligo di rettifica, aggiornamento e limitazione del trattamento dei dati personali del partner. Durante la durata dell’Accordo, Catalate dovrà: (A) garantire che i Dati Personali siano accurati e, ove necessario, aggiornati, in conformità alle istruzioni del Partner e (B) limitare il trattamento dei Dati personali identificati dal Partner.
2.6 Obbligo di cancellazione e restituzione dei dati personali. Al completamento dei suoi obblighi in relazione al trattamento dei Dati personali ai sensi dell’Accordo o su richiesta del Partner in qualsiasi momento durante il periodo di validità dell’Accordo, Catalate dovrà, a scelta del Partner, o: (A) restituire al Partner tutti o sottoinsiemi dei Dati Personali sotto il controllo di Catalate; oppure (B) cancellare definitivamente o rendere illeggibili i Dati personali. Nonostante quanto sopra: Catalate può conservare i Dati personali: (x) nella misura in cui ha un diritto o un obbligo legale distinto di farlo; e (y) nei sistemi di backup fino a quando i backup non sono stati sovrascritti o eliminati in conformità con la politica di backup di Catalate.
2.7 Diritti di revisione.
(A) Su richiesta scritta del Partner, Catalate fornirà al Partner un riepilogo del suo programma di sicurezza delle informazioni in vigore in quel momento per quanto riguarda la sicurezza e la riservatezza dei Dati personali condivisi nel corso dell’Accordo.
(B) Inoltre, il Partner può contattare Catalate per richiedere una verifica in loco, non più di una volta all’anno, delle procedure relative alla protezione dei Dati personali. Prima dell’inizio di tale revisione in loco, il Partner e Catalate concorderanno di comune accordo l’ambito, i tempi e la durata della revisione e il tasso di rimborso per qualsiasi viaggio o altra spesa sostenuta da Catalate nel corso di tale revisione. Tutti i tassi di rimborso devono essere ragionevoli, tenendo conto delle risorse spese da Catalate.
(C) Catalate accetta e concorda che le autorità di vigilanza possano richiedere informazioni a Catalate e svolgere indagini sotto forma di audit sulla protezione dei dati di Catalate, in conformità alle leggi sulla protezione dei dati.
3 Termini di trattamento specifici per il SEE e il Regno Unito
3.1 Sottoprocessori. Il Partner autorizza in generale la nomina da parte di Catalatedi alcuni Responsabili del trattamento dei dati personali ai sensi del presente Accordo (“Subprocessori”). Catalate conferma che: (A) abbia stipulato (o, per le nomine future, stipulerà) un contratto scritto con il Subprocessore che preveda termini sostanzialmente simili a quelli stabiliti nel presente Addendum; e (B) informerà il Partner di qualsiasi modifica prevista relativa all’aggiunta o alla sostituzione di altri Subprocessori, dando così al Partner la possibilità di opporsi a tali modifiche.
3.2 Trasferimenti al di fuori del SEE o del Regno Unito. Catalate non può trasferire i Dati personali a, o trattare tali dati in, un luogo al di fuori del SEE o del Regno Unito (a seconda dei casi) senza il previo consenso scritto del Partner (in ogni caso un “Trasferimento”). Fatto salvo quanto sopra, il Partner acconsente ai Trasferimenti laddove Catalate abbia implementato una soluzione di Trasferimento conforme alle leggi sulla protezione dei dati, che ad esempio può includere: (A) se tale trasferimento è soggetto a una decisione di adeguatezza da parte delle autorità applicabili; (B) Privacy Shield o un quadro di trasferimento valido equivalente; (C) le Clausole contrattuali standard; (D) un’altra salvaguardia adeguata ai sensi dell’articolo 46 del GDPR; oppure (E) una deroga ai sensi dell’articolo 49 del GDPR.
4 Termini di elaborazione specifici della California
4.1 Trattamento in conformità alla legge della California. Catalate non dovrà, ai sensi del CPRA e in relazione ai dati personali a cui si applica il CPRA: (A) vendere o condividere i Dati personali; (B) conservare, utilizzare o divulgare i Dati personali per qualsiasi scopo diverso dalla fornitura dei Servizi; (C) conservare, utilizzare o divulgare i Dati personali per uno scopo commerciale diverso dalla fornitura dei Servizi; oppure (D) conservare, utilizzare o divulgare i Dati personali al di fuori del rapporto commerciale diretto tra il Partner e Catalate; oppure (E) combinare i dati personali con i dati personali ricevuti da qualsiasi altra fonte, compresi gli stessi interessati, tranne che per scopi commerciali consentiti dal CPRA, ma in nessun caso Catalate può utilizzare i dati personali per scopi pubblicitari o di marketing.
5 Legge applicabile
Il presente DPA sarà disciplinato e interpretato in conformità alle leggi della giurisdizione che regola l’Accordo, a meno che non sia richiesto diversamente dal GDPR, nel qual caso il presente DPA sarà disciplinato dalle leggi francesi.
6 Inclusione di clausole contrattuali standard
Le parti convengono che le Clausole Contrattuali Standard sono qui incorporate per riferimento nel presente DPA come segue:
6.1 Il Modulo Uno si applica ai trasferimenti in cui il Partner è il responsabile del trattamento dei dati e Catalate è il responsabile del trattamento dei dati per le informazioni di contatto aziendali limitate relative ai singoli rappresentanti del Partner che forniscono istruzioni a Catalate.
6.2 Il Modulo Due si applica ai trasferimenti in cui il Partner è il responsabile del trattamento dei dati e Catalate è l’incaricato del trattamento dei dati.
6.3 Il Modulo Tre si applica ai trasferimenti in cui il Partner è il responsabile del trattamento dei dati e Catalate è il subincaricato.
6.4 La clausola 7 (clausola di attracco) è omessa;
6.5 Alle Clausole 8.9(b) e 8.9(e) si applicano le disposizioni in materia di revisione e audit di cui alla Sezione 2.7.
6.6 Nella Clausola 9(A) (Utilizzo di subprocessori) si applica l’opzione 2 (Autorizzazione scritta generale) in conformità alla Sezione 3.1 di cui sopra;
6.7 Nella Clausola 11(A) (Ricorso) – la disposizione opzionale NON si applica;
6.8 Nella clausola 16(B) (Sospensione dei trasferimenti), se Catalate è l’esportatore dei dati, sospenderà i trasferimenti dei dati personali solo se richiesto dalla legge e lo comunicherà al Cliente il più tempestivamente possibile (se possibile prima della sospensione) in modo che il Cliente possa porre rimedio alla condizione che richiede la sospensione;
6.9 Nella Clausola 17 (Legge applicabile) – si applicano le leggi della Repubblica francese; e
6.10 Nella Clausola 18 (Scelta del foro e della giurisdizione) – sono competenti i tribunali della Repubblica francese.
6.11 Le informazioni richieste dall’Allegato I (Descrizione del Trattamento) sono riportate nell’Allegato 1 allegato alla presente.
6.12 Le informazioni richieste dall’Allegato II (Misure di sicurezza tecniche e organizzative) sono riportate nell’Allegato 2 allegato alla presente.
7 Applicazione delle SCC ai trasferimenti dalla Svizzera
7.1 I trasferimenti di dati personali dalla Svizzera saranno regolati dalle SCC in conformità al diritto svizzero come segue:
(A) i riferimenti all’UE, agli Stati membri e al GDPR nelle SCC sono modificati, mutatis mutandis, per riferirsi alla Svizzera, alla Legge federale sulla protezione dei dati e all’Incaricato federale della protezione dei dati e delle informazioni; e
(B) Nella Clausola 17 (Legge applicabile) sono applicabili le leggi della Svizzera e nella Clausola 18 (Scelta del foro e della giurisdizione) sono competenti i tribunali della Svizzera.
8 Applicazione degli SCC ai trasferimenti dal Regno Unito
8.1 I trasferimenti di dati personali dal Regno Unito saranno regolati dalle SCC conformi alla legge GDPR del Regno Unito da parte dell’IDTA. Le informazioni richieste da ciascuna tabella dell’IDTA sono fornite come segue:
(A) Tabella 1 (Identificazione delle Parti): come descritto nell’Accordo e nelle Sezioni 6.1 – 6.3 di cui sopra.
(B) Tabella 2 (Selezione di SCC, moduli e clausole selezionate): Le parti concordano che l’IDTA è allegato agli SCC come modificato dalla Sezione 6. sopra. Sopra (Incorporazione di clausole contrattuali standard).
(C) Tabella 3:
(1) Allegato 1A (Identificazione delle Parti): come previsto dall’Accordo;
(2) Allegato 1B (Descrizione del trasferimento): Allegato 1 allegato alla presente;
(3) Allegato II (Misure di sicurezza tecniche e organizzative): Allegato 2 allegato alla presente;
(4) Allegato III (Elenco dei sub-trasformatori): Come descritto nella sezione 3.1.
(d) Tabella 4 (Effetto delle modifiche all’IDTA): In caso di modifica dell’IDTA, nessuna delle parti può porre fine al presente DPA o alle SCC, a meno che l’Accordo non venga contestualmente risolto.
(e) Nella Clausola 17 delle CCS (Legge applicabile) si applicano le leggi dell’Inghilterra e del Galles e nella Clausola 18 (Scelta del foro e della giurisdizione) sono competenti i tribunali di Londra, Inghilterra.

Le attività di trattamento dei dati svolte da Catalate ai sensi dell’Accordo possono essere descritte come segue:

Categorie di soggetti cui vengono trasferiti i dati personali

Il trattamento di Catalateriguarda il personale del Partner e gli Utenti finali.

Categorie di dati personali trasferiti

Catalate tratterà le seguenti categorie di Dati personali sugli interessati: nome e cognome, indirizzo e-mail, telefono e altre informazioni identificative degli Utenti finali, e le loro informazioni di pagamento quando acquistano Biglietti.

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo).

Continuo

Natura del trattamento

Catalate tratterà i Dati personali per fornire i Servizi identificati nell’Accordo.

Finalità del trasferimento e dell’ulteriore trattamento dei dati

Catalate trasferirà i Dati personali per fornire i Servizi identificati nell’Accordo.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo.

Durante il periodo di validità dell’Accordo

Per i trasferimenti a (sub)incaricati del trattamento, specificare anche l’oggetto, la natura e la durata del trattamento.

I subprocessori di cui alla sezione 3.1 forniscono parti della piattaforma utilizzata da Catalate per fornire i Servizi.

Descrizione delle misure di sicurezza tecniche e organizzative implementate da Catalate in conformità alla legge sulla protezione dei dati:

Controllo della politica

Catalate deve mantenere una politica di sicurezza delle informazioni documentata che, come minimo, sia conforme allo standard NIST 800 Series Information Security Management System più aggiornato. Catalate deve garantire che la sua politica di sicurezza delle informazioni e la relativa formazione siano fornite a tutto il personale coinvolto direttamente o indirettamente nella fornitura dello Scopo Approvato. Catalate deve implementare controlli per monitorare costantemente la conformità alla sua politica di sicurezza delle informazioni.

Controllo degli accessi in senso fisico

Catalate adotterà misure ragionevoli per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati per l’elaborazione e/o l’utilizzo dei dati personali, implementando controlli fisici tra cui:

  • un sistema di controllo degli accessi (lettore ID, carta magnetica, chip card);
  • chiavi;
  • personale di sicurezza, inservienti e
  • impianti di sorveglianza (sistema di allarme, monitor a circuito chiuso (CCTV))

Controllo degli accessi al sistema informatico

Catalate adotterà misure ragionevoli per impedire che i sistemi di elaborazione dei dati vengano utilizzati senza autorizzazione da parte dell’azienda:

  • procedure di password (inclusi caratteri speciali, lunghezza minima, modifica frequente delle password);
  • chiavi di autenticazione utente
  • segmentazione delle risorse per ruolo
  • blocco automatico (ad es. password o timeout); e
  • utilizzo a livello aziendale dell’applicazione 1Password.

Controllo dell’accesso ai dati del Titolare del trattamento dei dati

Catalate garantisce che le persone autorizzate a utilizzare il sistema di elaborazione dei dati abbiano accesso solo ai dati a cui sono autorizzate ad accedere e che i Dati personali non possano essere letti, copiati, alterati e/o rimossi senza autorizzazione durante l’elaborazione, l’utilizzo e dopo la registrazione da parte dell’implementazione:

  • diritti di accesso differenziati (profili, ruoli, transazioni e oggetti);
  • rapporti sull’accesso utilizzato;
  • livelli di accesso e controlli di accesso;
  • procedure di controllo delle modifiche; e
  • tracce di controllo.

Controllo della trasmissione

Catalate deve garantire che i Dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento elettronico o il trasporto. A tal fine Catalate attuerà:

  • crittografia/tunneling (VPN = Virtual Private Network);
  • controllo dell’accesso tramite login/password;
  • registrazione; e
  • sicurezza del trasporto tls.

Controllo in ingresso

Catalate deve garantire la possibilità di controllare e accertare a posteriori se i dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati e, in tal caso, da chi:

  • sistemi di registrazione e reporting; e
  • accesso e diritti allineati al ruolo.

Controllo del lavoro

Catalate dovrà garantire che i Dati personali trattati per conto del Partner siano trattati in stretta conformità con le istruzioni del Partner, richiedendo ai propri dipendenti di obbedire alle istruzioni del Partner e di trattare i Dati personali esclusivamente in conformità con le istruzioni del Partner.

Controllo della disponibilità

Catalate garantirà che i Dati Personali siano ragionevolmente protetti contro la distruzione o la perdita accidentale mediante l’implementazione:

  • procedure di backup;
  • mirroring dei dischi rigidi, ad esempio la tecnologia RAID;
  • gruppo di continuità (UPS);
  • archiviazione remota;
  • sistemi firewall; e
  • piano di ripristino in caso di disastro.

Controllo della separazione

Catalate deve garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente:

  • segregazione delle funzioni (produzione/test);
  • registrazione del consenso del Partner e della portata del consenso per qualsiasi dato fornito direttamente a Catalate

Gestione degli incidenti di sicurezza

Catalate deve implementare un appropriato processo di gestione degli incidenti di sicurezza allineato alle migliori pratiche del settore, che richieda, come minimo:

  • indagini tempestive su qualsiasi incidente di sicurezza;
  • notifica al Partner entro i termini specificati nel presente Addendum; e
  • fornire al Partner e/o al suo rappresentante designato tutto l’accesso ragionevole ai sistemi, ai dati e ai registri di Catalate, come necessario per comprendere le circostanze dell’incidente di sicurezza.

Controlli di accesso:

L’ufficio di Catalate è protetto da una guardia all’ingresso dell’edificio e da chiavi elettroniche alla porta dell’edificio e a quella dell’ufficio.

I servizi Catalate sono ospitati su AWS. Tutti gli accessi ad AWS avvengono tramite autenticazione a più fattori. Catalate abilita anche l’MFA, ove possibile, per accedere ad altre risorse cloud in uso.