Addendum sul trattamento dei dati all'informativa legale e aitermini di utilizzo di MyScript

1.1 Se non diversamente definito nel presente documento, i termini e le espressioni in maiuscolo utilizzati nel presente DPA avranno il seguente significato:

“Data Protection Laws” means laws and regulations of the European Union, the EEA and their Member States, Switzerland and the United Kingdom, applicable to the Processing of Personal Data, including the GDPR;

“Data Transfer” means:

• un trasferimento di Dati personali dell'Utente dall'Utente al Responsabile del trattamento; oppure
• un trasferimento successivo di Dati personali dell'Utente dal Responsabile del trattamento a un Sub-responsabile, o tra due stabilimenti del Responsabile del trattamento, in ogni caso, laddove tale trasferimento sia vietato dalle Leggi sulla protezione dei dati (o dai termini degli accordi di trasferimento dei dati messi in atto per rispondere alle restrizioni al trasferimento di dati previste dalle Leggi sulla protezione dei dati);

“DPA” means this Data Processing Agreement including all Schedules;

“EEA” means the European Economic Area;

“GDPR” means EU General Data Protection Regulation 2016/679;

“End-User” means the physical person(s) granted access by You to use MyScript Cloud recognition through the developer portal;

“Services”means the services MyScript provides either (i) through MyScript apps’ cloud features or (ii) managing and replying to Nebo for Windows’, Nebo’ or MyScript Math’s support requests or (iii) through the MyScript developer portal for text recognition. These Services are only accessible once You have created a MyScript account;

“Sub-processor” means any natural or legal person appointed by or on behalf of Processor to process User Personal Data on Your behalf in connection with the provision of the Services or this DPA;

“User Personal Data” means any Personal Data contained in any files, notes or documents that is uploaded to/sent to the Processor through the Services, such as any of Your content that You upload using MyScript apps’ cloud features. (This may include Your own personal data but also any personal data of any other natural person that you share with the Processor through the Service.)

1.2 The terms “Controller”, “Data Subject”, “Member State”, “Personal Data”, “Personal Data Breach”, “Processing” and “Processor” shall have the same meaning as in the GDPR, and their related terms shall be construed accordingly.

2.1 Ai fini del presente DPA, e in base alle definizioni del GDPR, MyScript agisce come Responsabile del trattamento e l'Utente come Titolare del trattamento.

2.2 Il Responsabile del trattamento deve:

• rispettare tutte le leggi applicabili in materia di protezione dei dati nel trattamento dei Dati personali dell'Utente; e
• non trattare i Dati personali dell'Utente se non in base a istruzioni documentate dell'Utente.

2.3 Con il presente documento l'Utente incarica il Responsabile del trattamento di trattare i Dati personali dell'Utente al fine di fornire i Servizi.

Processor shall take reasonable steps to ensure the reliability of any employee, agent or contractor of the Processor who may have access to User Personal Data, ensuring in each case that access is strictly limited to those individuals who need to access the relevant User Personal Data for the provision of the Services or to carry out their role within Processor’s organization, and to comply with applicable laws in the context of that individual’s duties to the Processor, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4.1 Processor’s Security Responsibilities

4.1.1 Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'oggetto, del contesto e delle finalità del Trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento mette in atto, in relazione ai Dati personali dell'Utente, misure tecniche e organizzative opportune per garantire un livello di sicurezza adeguato a tale rischio, comprese, se del caso, le misure di cui all'articolo 32, paragrafo 1, del GDPR.

4.1.2 Nel valutare l'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto, in particolare, dei rischi che il Trattamento comporta, soprattutto in caso di Violazione dei dati personali.

4.1.3 Processor’s security measures are further detailed in Schedule 2 of this DPA.

4.2 Le responsabilità dell'Utente in materia di sicurezza

4.2.1. You agree that, without prejudice to Processor’s obligations under Section 4.1 (Security Measures) and Section 7 (Personal Data Breach):

4.2.1.1 L'Utente è l'unico responsabile del proprio utilizzo del Servizio, ivi compreso (i) l'accertamento di aver ottenuto tutte le necessarie autorizzazioni da parte delle persone fisiche i cui Dati Personali sono trattati attraverso il Servizio, e (ii) la conservazione di tutte le proprie credenziali di accesso e password in modo sicuro e la loro regolare modifica.

4.2.1.2. Processor has no obligation to protect User Personal Data that You elect to store or transfer outside of Processor’s (or Sub-processors’) systems.

4.2.2. You are solely responsible for reviewing the security measures and evaluating for yourself whether the Service, the security measures, the additional security information and Processor’s commitments under this Section 4 (Data Security) will meet Your needs, including with respect to any security obligations of Your jurisdiction’s applicable data protection laws.

5.1 Il Responsabile del trattamento non trasferisce i Dati personali dell'Utente a terzi e non nomina (né divulga i Dati personali dell'Utente ad) alcun Sub-responsabile, a meno che non sia richiesto o autorizzato dall'Utente.

5.2 Con il presente documento, l'Utente autorizza i Sub-responsabili elencati nell'Allegato 1 del presente DPA a ricevere e trattare i Dati personali dell'Utente necessari per la fornitura dei Servizi. Il Responsabile del trattamento deve informare l'Utente di qualsiasi modifica all'Allegato 1 prima del Trattamento dei Suoi Dati personali da parte di un nuovo Sub-responsabile e l'Utente può cessare di utilizzare i Servizi.

5.3 Il Responsabile del trattamento è responsabile degli atti e delle omissioni dei suoi Sub-responsabili nella stessa misura in cui sarebbe responsabile se eseguisse direttamente i servizi di ciascun Sub-responsabile ai sensi del presente DPA e dell'Informativa legale e dei Termini di utilizzo.

6.1 Taking into account the nature of the Processing, Processor shall assist You by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of Your obligations, as reasonably understood by Processor, to respond to requests to exercise Data Subject rights under the Data Protection Laws, namely right of access, right to rectification, restriction of Processing, erasure, data portability, objection to the Processing, or its right not to be subject to an automated individual decision making (hereinafter “Data Subject Request”).

6.2 Il Responsabile del trattamento deve:

• informare tempestivamente l'Utente qualora riceva una richiesta da parte di un Interessato ai sensi di qualsiasi Legge sulla protezione dei dati in relazione ai Dati personali dell'Utente; e
• assicurarsi di non rispondere a tale richiesta se non su istruzioni documentate dell'Utente o come richiesto dalle leggi applicabili a cui il Responsabile del trattamento è soggetto, nel qual caso il Responsabile del trattamento deve, nella misura consentita dalle leggi applicabili, informare l'Utente di tale requisito legale prima che il Responsabile del trattamento risponda alla richiesta.

6.3 Taking into account the nature of the Processing, Processor will assist You by appropriate technical and organizational measures, insofar as it is possible, for the fulfillment of Your obligation to respond to a Data Subject Request under European Data Protection Laws. In addition, to the extent You, in Your use of the Service, do not have the ability to address a Data Subject Request, Processor shall, upon Your written request, provide You with reasonable cooperation and assistance to facilitate Your response to such Data Subject Request, to the extent Processor is legally permitted to do so and the response to such Data Subject Request is required under European Data Protection Laws. To the extent legally permitted, You shall be responsible for any costs arising from Processor’s provision of such assistance.

7.1 Il Responsabile del trattamento deve informare l'Utente e l'Autorità di vigilanza competente senza indebito ritardo nel momento in cui viene a conoscenza di una Violazione dei dati personali dell'Utente, fornendogli informazioni sufficienti per consentirgli di adempiere agli obblighi di segnalazione o informazione degli Interessati della Violazione dei dati personali ai sensi delle Leggi sulla protezione dei dati.

7.2 Il Responsabile del trattamento collabora con l'Utente e adotta le misure commerciali ragionevoli da Lui richieste per contribuire alle indagini, alla mitigazione e alla riparazione di ciascuna Violazione dei dati personali.

7.3 La notifica di qualsiasi Violazione dei dati personali sarà recapitata all'Utente tramite comunicazione diretta. L'Utente è l'unico responsabile di garantire che le informazioni di contatto, compreso l'indirizzo e-mail di notifica, fornite al Responsabile del trattamento siano aggiornate e valide.

7.4 Il Responsabile del trattamento non valuterà il contenuto dei Dati personali dell'Utente al fine di identificare le informazioni soggette a requisiti legali specifici. L'Utente è l'unico responsabile della conformità alle leggi applicabili in materia di notifica degli incidenti e dell'adempimento a qualsiasi obbligo di notifica da parte di terzi in relazione a qualsiasi Violazione dei dati personali.

7.5 Processor’s notification of, or response to, a Personal data Breach under this Section 7.1 (Personal Data Breach) will not be construed as an acknowledgement by Processor of any fault or liability with respect to the Personal Data Breach.

Il Responsabile del trattamento fornisce all'Utente un'assistenza ragionevole per le valutazioni d'impatto sulla protezione dei dati e per le consultazioni preventive con le autorità di controllo o altre autorità competenti in materia di privacy dei dati, che l'Utente ritiene ragionevolmente necessarie ai sensi degli articoli 35 o 36 del GDPR o di disposizioni equivalenti di qualsiasi altra Legge sulla protezione dei dati, in ogni caso esclusivamente in relazione al trattamento dei Dati personali dell'Utente da parte del Responsabile del trattamento, e tenendo conto della natura del trattamento e delle informazioni disponibili al Responsabile del trattamento.

9.1 Su espressa richiesta dell'Utente o in seguito alla cancellazione del Suo account da parte Sua, il Responsabile del trattamento cancella i Dati personali dell'Utente che sono o sono stati trattati dal Responsabile del trattamento. La cancellazione è definitiva e il Responsabile del trattamento non conserva alcuna copia di tali Dati personali dell'Utente.

9.2 Alla cessazione dei Servizi, il Responsabile del trattamento deve prontamente, e in ogni caso entro 12 mesi dalla data di cessazione di qualsiasi Servizio che comporti l'elaborazione di Dati personali dell'Utente, cancellare e far cancellare tutte le copie (se esistenti) di tali Dati personali dell'Utente che sono state trasferite al Responsabile del trattamento (o a eventuali Sub-responsabili) durante la fornitura del Servizio.

10.1 Il Responsabile del trattamento effettua regolarmente audit e si assicura che tutti i Sub-responsabili facciano lo stesso, al fine di garantire il rispetto del presente DPA e dei suoi obblighi ai sensi delle Leggi applicabili sulla protezione dei dati.

10.2 Ai sensi della presente Sezione 10, il Responsabile del trattamento mette a disposizione dell'Utente, su richiesta, e a condizione che sia in vigore un accordo di riservatezza sufficiente, tutte le informazioni necessarie a dimostrare la conformità al presente DPA, in relazione al trattamento dei Dati personali dell'Utente da parte del Responsabile e/o dei Sub-responsabili del trattamento.

10.3 L'Utente può richiedere di effettuare qualsiasi audit, comprese le ispezioni, che ha il diritto di richiedere o incaricare per proprio conto, e per conto dei Suoi titolari del trattamento quando agisce in qualità di Responsabile del trattamento, ai sensi della Legge sulla protezione dei dati applicabile, incaricando il Responsabile del trattamento di effettuare l'audit descritto nella Sezione 10.1.

10.4 If You wish to change this instruction regarding the audit, then You have the right to request a change to this instruction by sending Processor a written notice to legal@myscript.com. If Processor declines to follow any request and/or instruction requested by You regarding audits, including inspections, You are entitled to terminate the Services immediately.

11.1 The Processor may not transfer, or authorize the transfer of, User Personal Data to countries outside the EU and/or the EEA without Your prior written consent. If Personal Data processed under this DPA is transferred from a country within the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the User Personal Data is adequately protected. To achieve this, the Parties shall, unless agreed otherwise, rely on EU adequacy decisions for non-EU countries and/or on EU approved standard contractual clauses for the transfer of Personal Data.

11.2 L'elenco dei Sub-responsabili che ricevono i Dati personali dell'Utente, nonché i paesi in cui hanno sede, è riportato nell'Allegato 1 del presente DPA. Ai fini della Sezione 11.1 di cui sopra, l'Utente acconsente al trasferimento dei Dati Personali dell'Utente ai Sub-responsabili elencati nell'Allegato 1.

12.1 Duration. This DPA takes effect upon Your acceptation of the Legal Notice and Terms of Use and shall remain in effect for as long as the Processor provides You the Services.

12.2 Notices. All notices and communications given under this DPA must be in writing and sent through email to the address used to create a MyScript account in the case of MyScript contacting You, and must be sent to legal@myscript.com in case You wish to notify MyScript.

12.3 Law and jurisdiction. This DPA is governed by the laws of France, excluding its conflict of law provisions. Any dispute arising out of or in connection with this DPA, which the Parties will not be able to resolve amicably, will be submitted to the exclusive jurisdiction of the competent French courts or authorities.

12.4 Severance. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provision shall be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties' intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

12.5 L'Autorità di vigilanza competente da contattare in caso di reclamo, lamentela o richiesta è la Commission Nationale des Informations et des Libertés (CNIL) e può essere contattata tramite il link https://www.cnil.fr/fr/plaintes/.

1.1 MyScript apps' cloud features

1.2 MyScript Cloud recognition through the developer portal

Il Responsabile del trattamento implementerà e manterrà le seguenti misure di sicurezza tecniche e organizzative quando tratterà i Dati personali dell'Utente per conto dell'Utente:

Controlli di accesso fisico

Il Responsabile del trattamento adotta misure ragionevoli per impedire l'accesso fisico, come edifici e sale server protetti, per impedire a persone non autorizzate di accedere ai Dati personali dell'Utente, o garantire che i Sub-responsabili che gestiscono centri dati per suo conto aderiscano a tali controlli.

Controlli di accesso al sistema

Il Responsabile del trattamento adotta misure ragionevoli per impedire che i Dati personali dell'Utente vengano utilizzati senza autorizzazione. Tali controlli variano in base alla natura del Trattamento effettuato e possono includere, tra gli altri controlli, l'autenticazione tramite password, combinata con l'autenticazione a più fattori ove applicabile, processi di autorizzazione documentati, firewall, processi di gestione delle modifiche documentati e/o registro degli accessi a più livelli e aggiornamenti automatici della sicurezza.

Controlli di accesso al sistema

Il Responsabile del trattamento adotta misure ragionevoli per impedire che i Dati personali dell'Utente vengano utilizzati senza autorizzazione. Tali controlli variano in base alla natura del Trattamento effettuato e possono includere, tra gli altri controlli, l'autenticazione tramite password, combinata con l'autenticazione a più fattori ove applicabile, processi di autorizzazione documentati, firewall, processi di gestione delle modifiche documentati e/o registro degli accessi a più livelli e aggiornamenti automatici della sicurezza.

Controlli di accesso ai dati

Il Responsabile del trattamento adotta misure ragionevoli per garantire che i Dati personali dell'Utente siano accessibili e gestibili solo da personale debitamente autorizzato, che l'accesso diretto alle consultazioni del database sia limitato e che i diritti di accesso alle applicazioni siano stabiliti e applicati in modo da garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso solo ai Dati personali dell'Utente per i quali hanno privilegi di accesso, e che i Dati personali dell'Utente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento.

Controlli di trasmissione

Il Responsabile del trattamento adotta misure ragionevoli per garantire che sia possibile controllare e stabilire a quali entità è previsto il trasferimento dei Dati personali dell'Utente tramite strutture di trasmissione dati, in modo che i Dati personali dell'Utente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trasporto o la trasmissione elettronica. Tali misure includono l'utilizzo di connessioni server sicure certificate e la limitazione della condivisione di risorse tra origini diverse su tutte le API.

Controlli di inserimento

Il Responsabile del trattamento adotta misure ragionevoli per garantire la possibilità di verificare e stabilire se sono stati inseriti, modificati o rimossi metadati nei sistemi di trattamento dei dati. Il Titolare del trattamento utilizza le migliori pratiche del settore, in particolare i protocolli crittografici per l'autenticazione e il registro di audit sicuri.

Backup dei dati

I backup dei database del Servizio vengono eseguiti regolarmente, sono protetti e crittografati a riposo per garantire che i Dati personali dell'Utente siano protetti da perdita o distruzione accidentale. Istantanea ogni 12 ore (AWS). Il backup crittografato avviene ogni tre giorni sui nostri server.

Nome:MyScript SAS

Indirizzo:3 rue de la Rainière 44339, Nantes, France

Contact person’s name, position and contact details:

Emilie Fowell, DPO, legal@myscript.com

Attività correlate ai dati trasferiti:Prestazioni dei Servizi

Ruolo (titolare del trattamento/responsabile del trattamento):Responsabile del trattamento

3.1 MyScript apps' cloud features

1. Categorie di interessati i cui dati personali vengono trasferiti:

L'utente può inviare ai Servizi i Suoi Dati personali, la cui entità è determinata e controllata esclusivamente dall'Utente.

2. Categorie di dati personali trasferiti:

• Unstructured User Personal Data contained in Nebo’ or MyScript Math content sent by You to the Processor through the Service for sharing with MyScript or for storing through MyScript apps’ cloud features.

3. Categorie speciali di dati:

MyScript non raccoglie categorie speciali di dati (come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici o biometrici, la salute o la vita sessuale). Ciò nonostante, il contenuto dei Dati personali dell'Utente non strutturati, come descritto sopra, non è noto a MyScript.

4. Frequenza del trasferimento

I Dati personali dell'Utente non strutturati vengono trasferiti ai nostri Sub-responsabili del trattamento elencati nell'Allegato 1 e in forma continua a seconda della frequenza di utilizzo del Servizio da parte dell'Utente.

5. Natura del trattamento

La natura del trattamento è la prestazione dei Servizi.

6. Scopo/i del trasferimento dei dati e del successivo Trattamento

MyScript tratterà i Dati personali dell'Utente nella misura necessaria per prestare i Servizi richiesti dall'Utente.

7. Periodo durante il quale i dati personali saranno conservati o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo

Unstructured User Personal Data is transferred to Processor’s servers for as long as You decide to store or share User Personal Data through MyScript apps’ cloud features. If You delete Your MyScript account then all User Personal Data is automatically deleted from all storage points.

8. Per trasferimenti a (Sub-)responsabili del Trattamento, specificare anche oggetto, natura e durata del Trattamento

Il Sub-responsabile del trattamento tratterà i Dati personali dell'Utente nella misura necessaria per prestare i Servizi. Il Sub-responsabile del trattamento tratterà i Dati personali dell'Utente per tutto il tempo in cui l'Utente avrà un account MyScript, a meno che non sia stato concordato diversamente per iscritto o se l'Utente ha richiesto la cancellazione preventiva dei Suoi Dati personali. Le identità dei Sub-responsabili del trattamento utilizzati per la fornitura dei Servizi e il paese in cui si trovano sono elencati nell'Allegato 1 del presente DPA.

3.2 Funzioni di intelligenza artificiale generativa di Nebo

1. Categorie di interessati i cui dati personali vengono trasferiti:

L'utente può inviare ai Servizi i Suoi Dati personali, la cui entità è determinata e controllata esclusivamente dall'Utente.

2. Categorie di dati personali trasferiti:

• Dati personali dell'Utente non strutturati contenuti nei blocchi note inviati dall'Utente al Responsabile del trattamento tramite il Servizio per generare contenuti e importarli nei blocchi note dell'Utente.

3. Categorie speciali di dati:

MyScript non raccoglie categorie speciali di dati (come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici o biometrici, la salute o la vita sessuale). Ciò nonostante, il contenuto dei Dati personali dell'Utente non strutturati, come descritto sopra, non è noto a MyScript.

4. Frequenza del trasferimento

I Dati personali dell'Utente non strutturati vengono trasferiti ai nostri Sub-responsabili del trattamento elencati nell'Allegato 1 e in forma continua a seconda della frequenza di utilizzo del Servizio da parte dell'Utente.

5. Natura del trattamento

La natura del trattamento è la prestazione dei Servizi.

6. Scopo/i del trasferimento dei dati e del successivo Trattamento

MyScript tratterà i Dati personali dell'Utente nella misura necessaria per prestare i Servizi richiesti dall'Utente.

7. Periodo durante il quale i dati personali saranno conservati o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo

Unstructured User Personal Data is temporarily transferred to Sub-processor’s servers when You include it in a request to generate content through the articifial intelligent features.

8. Per trasferimenti a (Sub-)responsabili del Trattamento, specificare anche oggetto, natura e durata del Trattamento

Le identità dei Sub-responsabili del trattamento utilizzati per la fornitura dei Servizi e il paese in cui si trovano sono elencati nell'Allegato 1 del presente DPA. I Sub-responsabili del trattamento tratteranno i Dati personali dell'Utente nella misura necessaria per prestare i Servizi. Il Sub-responsabile del trattamento OpenAI conserva una registrazione di tutte le richieste (compresi i Dati personali dell'Utente) per 30 giorni al fine di monitorare la presenza di contenuti illegali e/o abusivi, dopodiché vengono eliminate. Le richieste (compresi i Dati personali dell'Utente) transitano solo dai server di AWS e vengono eliminate all'istante.

3.2 MyScript Cloud recognition through the developer portal

1. Categorie di interessati i cui dati personali vengono trasferiti:

L'utente può inviare ai Servizi i Suoi Dati personali, la cui entità è determinata e controllata esclusivamente dall'Utente.

2. Categorie di dati personali trasferiti:

• Dati personali dell'Utente non strutturati contenuti nei documenti inviati dall'Utente al Responsabile del trattamento tramite il Servizio per trasformarli da note scritte a mano in testo digitato.
• Indirizzo IP dell'Utente finale.

3. Categorie speciali di dati:

MyScript non raccoglie categorie speciali di dati (come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici o biometrici, la salute o la vita sessuale). Ciò nonostante, il contenuto dei Dati personali dell'Utente non strutturati, come descritto sopra, non è noto a MyScript.

4. La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una volta o in modo continuativo)

Tutte le categorie di dati sopra elencati vengono trasferiti ai nostri Sub-responsabili del trattamento elencati nell'Allegato 1 e in forma continua a seconda dell'utilizzo del Servizio.

5. Natura del trattamento

La natura del trattamento è la prestazione dei Servizi.

6. Scopo/i del trasferimento dei dati e del successivo Trattamento

MyScript tratterà i Dati personali nella misura necessaria per prestare i Servizi.

7. Periodo durante il quale i dati personali saranno conservati o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo

Unstructured User Personal Data is transferred to Processor’s servers the time for the Processing to take place, is then returned to the End-User and is not stored by the Processor. IP addresses are kept in log records for 12 months. Unstructured User Personal Data is not stored by the Processor unless specifically & expressly requested by You in writing.

8. Per trasferimenti a (Sub-)responsabili del Trattamento, specificare anche oggetto, natura e durata del Trattamento

Il Sub-responsabile del trattamento tratterà i Dati personali dell'Utente nella misura necessaria per prestare i Servizi. Il Sub-responsabile tratta i Dati personali per tutto il tempo in cui l'Utente utilizza i Servizi, salvo diverso accordo scritto. Le identità dei Sub-responsabili del trattamento utilizzati per la fornitura dei Servizi e il paese in cui si trovano sono elencati nell'Allegato 1 del presente DPA.

Autorità di vigilanza competente

L'Autorità di vigilanza competente da contattare in caso di reclamo, lamentela o richiesta è la Commission Nationale des Informations et des Libertés (CNIL) e può essere contattata tramite il link https://www.cnil.fr/fr/plaintes/.