Trasferimenti in entrata di dati personali

Per offrirti servizi in modo efficace, i dati personali che fornisci all'entità Shopify con cui hai un contratto vengono trasferiti ai seguenti destinatari:

• Altre entità Shopify, e
• Società subincaricate selezionate accuratamente e affidabili

Questa sezione fornisce informazioni sulle modalità di gestione dei trasferimenti in entrata.

Trasferimenti in entrata di dati personali provenienti dallo Spazio economico europeo (SEE) e dal Regno Unito (UK)

Shopify International Limited, un'ente registrato in Irlanda, è l'entità contraente principale di Shopify con i merchant nell'area EMEA (Europa, Medio Oriente e Africa) e nell'area LATAM (America Centrale). Shopify International Limited agisce anche come principale istituzione di Shopify ai fini del Regolamento generale sulla protezione dei dati (GDPR).

Secondo il GDPR e il suo equivalente nel Regno Unito, quando i dati personali vengono condivisi con un'entità al di fuori dell'area SEE e del Regno Unito, il paese di destinazione deve avere di fatto un livello di protezione equivalente. Per questo motivo, tali trasferimenti internazionali devono essere protetti da meccanismi legali solidi.

In che modo Shopify soddisfa i requisiti GDPR per i trasferimenti internazionali dei dati

Per soddisfare questo requisito, Shopify si basa sulla decisione di adeguatezza della Commissione europea per il Canada quando Shopify International Limited trasferisce i dati personali a Shopify Inc, la società capogruppo registrata in Canada. Scopri di più sulle decisioni di adeguatezza.

Oltre a ciò, Shopify si avvale anche di Accordi sul trasferimento e il trattamento dei dati (DPA) che includono l'ultima versione delle Clausole contrattuali tipo (SCC) approvate dalla Commissione europea per disciplinare:

• eventuali trasferimenti all'interno del gruppo Shopify; e
• trasferimenti in entrata alle società subincaricate.

Valutiamo con attenzione le società subincaricate per assicurarci che siano in grado di adottare adeguate misure tecniche e organizzative per proteggere i dati personali, e di eseguire valutazioni adeguate sull'impatto dei trasferimenti. Scopri di più sulle clausole contrattuali tipo

Sia la decisione di adeguatezza che le SCC sono considerate meccanismi di trasferimento legalmente validi e sufficienti da parte delle autorità per la protezione dei dati nell'area SEE e nel Regno Unito.

Come misura integrativa, Shopify ha anche applicato le Norme vincolanti d'impresa per disciplinare ulteriormente i trasferimenti all'interno del gruppo Shopify. Tale richiesta è stata avanzata alla principale autorità di controllo di Shopify ai fini del GDPR, la Commissione irlandese per la protezione dei dati. Si tratta di un ulteriore meccanismo di trasferimento legale per garantire i trasferimenti all'interno del nostro gruppo di aziende. Siamo nelle fasi finali della richiesta e ci aspettiamo che sia approvata a breve.

Trasferimenti in entrata di dati personali da tutte le altre aree geografiche

Alcune leggi sulla privacy in giurisdizioni diverse dalla SEE e dal Regno Unito richiedono anche protezioni specifiche in materia di trasferimenti internazionali di dati personali. Per soddisfare questi requisiti, le DPA di Shopify che regolano i trasferimenti all'interno del gruppo Shopify e i suoi DPA che regolano i trasferimenti in entrata alle nostre società subincaricate, includono protezioni appropriate per garantire il rispetto delle leggi sulla privacy in Canada, negli Stati Uniti e a Singapore, se applicabili. Aggiorniamo e manteniamo tali DPA come richiesto.

Sedi di data hosting

Shopify riordina dinamicamente l'archiviazione tra più regioni di Google Cloud Platform, garantendo un'infrastruttura affidabile e scalabile in grado di gestire volumi imprevedibili nell'intero database dei merchant. Per garantire i nostri servizi, dobbiamo essere in grado di trasferire i dati geograficamente e abbiamo attivato delle misure per operare nel rispetto dell leggi e dei regolamenti applicabili, incluso il GDPR.

Shopify ora memorizza alcuni dati personali dei merchant e dei clienti in Europa (cioè nel SEE, nel Regno Unito e/o in Svizzera), come indicato di seguito:

• I nuovi merchant in Europa si avvalgono automaticamente di questa nuova infrastruttura e ora dispongono per impostazione predefinita dei dati del negozio, dei dati degli ordini e dei dati personali dei clienti archiviati a riposo in Europa.
• Tutte le funzionalità esistenti di Shopify continueranno a funzionare.
• Anche nel caso in cui i dati personali dei clienti dei merchant siano archiviati in Europa, ci affideremo a trasferimenti di dati internazionali per l'elaborazione dei dati personali.

In che modo Shopify sceglie i subincaricati

In linea con il GDPR e le altre leggi applicabili in materia di protezione dei dati, Shopify adotta una serie di misure sulla base di best practice per la scelta delle società subincaricate:

• Scegliamo con attenzione le aziende con cui collaboriamo.
• Ci avvaliamo di un numero limitato di fornitori di servizi di terze parti.
• Chiediamo ai subincaricati di firmare un DPA completo, includendo SCC oltre a misure di protezione adeguate per garantire il rispetto delle leggi sulla privacy in Canada, negli Stati Uniti e a Singapore.
• Ricorriamo ai subincaricati solo per i servizi tecnici: cloud hosting, registrazione errori, bilanciamento del carico, consegna contenuti, consegna della mappatura, analisi dei dati e registrazione interna (file di log).
• Il trasferimento avviene in modo continuo e sicuro.
• Nessuna categoria di dati personali sensibili o speciali viene elaborata volutamente, salvo espressamente richiesto dal titolare del trattamento.
• Controlliamo con attenzione i programmi dei subincaricati in materia di privacy e sicurezza.

Maggiori informazioni sui Subincaricati principali di Shopify.