Ultimo aggiornamento 28 gennaio 2025
Accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati (il “DPA”) fa parte di, ed è soggetto a, i Termini e condizioni consultabili all’indirizzo https://servicechannel.com/terms-and-conditions (“Accordo”) tra ServiceChannel.com, Inc. (di seguito “ServiceChannel”) e l’Appaltatore (come definito nell’Accordo). Il Cliente e ServiceChannel sono indicati come una “parte” e congiuntamente come le “parti”.
PREMESSO CHE
(i) L’Appaltatore e ServiceChannel hanno stipulato l’Accordo Quadro sui Servizi ai sensi del quale ServiceChannel fornirà all’Appaltatore i Servizi.
(ii) ServiceChannel tratterà i Contenuti dell’Appaltatore (che possono contenere Dati personali) nel corso della fornitura dei Servizi;
(iii) Le parti ora desiderano stipulare il presente DPA che disciplina il trattamento da parte di ServiceChannel di tali Dati personali presenti nei Contenuti dell’Appaltatore.
TUTTO CIÒ PREMESSO, le parti convengono quanto segue:
1. Definizioni:
Nel presente Accordo sul trattamento, i termini definiti nell’Accordo hanno lo stesso significato di quando vengono utilizzati qui. Inoltre, i seguenti termini avranno i seguenti significati:
(a) “Dati di amministrazione” indica: (i) i dati di contatto relativi a, e il contenuto di, la corrispondenza con il principale titolare o amministratore dell’account del Cliente; (ii) le richieste di supporto inviate dagli utenti autorizzati del Cliente in relazione al Servizio;
(b) “Affiliate” indica qualsiasi entità controllata da, che controlla o che è in comune controllo con ServiceChannel;
(c) “Dati anonimizzati” indica dati creati utilizzando Dati personali dell’Appaltatore che: (i) non possono essere utilizzati per dedurre informazioni su un individuo o essere altrimenti collegati ad un individuo; (ii) non si riferiscono altrimenti a una persona fisica identificata o identificabile;
(d) “CCPA” indica il California Consumer Privacy Act (Legge sulla privacy dei consumatori della California) del 2018, codice civile della California cpv. 1798.100 e seguenti, comprese le sue normative di attuazione e il California Privacy Rights Act (Legge sui diritti di privacy della California) del 2020;
(e) “Finalità del Titolare del trattamento” indica lo svolgimento di ricerche e sviluppo interni per sviluppare, testare, migliorare e alterare la funzionalità dei prodotti e servizi di ServiceChannel; (b) la creazione di serie di Dati anonimizzati per la formazione o la valutazione di prodotti e servizi di ServiceChannel; (c) la gestione del rapporto di ServiceChannel con l’Appaltatore ai sensi dell’Accordo;
(f) “Appaltatore” indica l’Appaltatore che ha sottoscritto l’Accordo Quadro sui Servizi;
(g) “Dati personali dell’Appaltatore” indica i Dati personali presenti nei Contenuti dell’Appaltatore, come ulteriormente descritto nell’Allegato I al presente DPA;
(h) “Leggi sulla protezione dei dati” indica tutte le leggi, le norme, i regolamenti e i requisiti governativi applicabili in materia di privacy, riservatezza o sicurezza dei Dati personali (come eventualmente modificati o altrimenti aggiornati di volta in volta), inclusi (a titolo non esaustivo) il Regolamento generale sulla protezione dei dati (GDPR), il GDPR del Regno Unito e le Leggi statunitensi sulla protezione dei dati;
(i) “Interessato” indica: (i) una persona fisica a cui si riferiscono i Dati personali; e (ii) un soggetto “Interessato”, un “consumatore” o qualsiasi termine equivalente ai sensi delle Leggi sulla protezione dei dati;
(j) “GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR dell’UE”) oppure, ove applicabile, il “GDPR del Regno Unito” come definito nella sezione 3(10) del Data Protection Act (Legge sulla protezione dei dati) 2018 del Regno Unito;
(k) “Dati personali” indica le informazioni che: (i) si riferiscono, sono collegate o ragionevolmente riconducibili a una persona fisica identificata o identificabile; o (ii) siano altrimenti considerate “dati personali”, “informazioni personali”, “informazioni di identificazione personale” o dati o informazioni definiti in modo simile ai sensi delle Leggi sulla protezione dei dati;
(l) “Trattamento” indica qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza mezzi automatici, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o altra messa a disposizione, il raffronto o l’interconnessione, il blocco, la cancellazione o la distruzione (“Trattare”, “Tratta” e “Trattato” avranno lo stesso significato);
(m) “Vendita” o “Vendere” ha il significato attribuitogli nel CCPA;
(n) “Azioni” ha il significato attribuitogli nel CCPA;
(o) “Violazione della sicurezza” indica una violazione della sicurezza che comporta l’accidentale o illecita distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati personali dell’Appaltatore;
(p) “Clausole contrattuali tipo” o “SCC” indica le clausole contrattuali allegate alla Decisione esecutiva della Commissione europea 2021/914 del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali a Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come di volta in volta aggiornate o sostituite;
(q) “Sub-responsabile del trattamento” indica qualsiasi entità esterna incaricata da ServiceChannel di trattare le Informazioni personali per conto dell’Appaltatore o al fine di fornire i servizi specificati nell’Accordo;
(r) “Addendum del Regno Unito” indica il modello di addendum, versione B.1.0, emesso dal Commissario per le informazioni del Regno Unito ai sensi dell’S119A (1) del Data Protection Act del Regno Unito del 2018 e presentato dinanzi al Parlamento del Regno Unito il 2 febbraio 2022, ed eventuali emendamenti ai sensi della Sezione 18 dell’Addendum del Regno Unito;
(s) “Leggi statunitensi sulla protezione dei dati” indica tutte le norme, normative e requisiti governativi federali e statali applicabili relativi alla protezione dei dati, il trattamento dei Dati personali, privacy e/o protezione dei dati in vigore di volta in volta negli Stati Uniti, tra cui (senza limitazioni): il CCPA, la Legge sulla protezione dei dati dei consumatori della Virginia, Codice della Virginia Titolo 59.1 Capitolo 52 cpv. 59.1-571 e seguenti, la Legge sulla privacy del Colorado, Statuto Revisionato del Colorado Titolo 6 Articolo 1 Parte 13 cpv. 6-1-1301 e seguenti, la Legge sulla privacy dello Utah, Codice dello Utah cpv. 13-6-101 e seguenti, Legge del Senato del Connecticut 6, una legge relativa alla privacy e al monitoraggio online dei dati personali (in base al capitolo assegnato a tale legge e a come essa viene inserita);
(t) “Dati di utilizzo” indica le informazioni diagnostiche, di utilizzo e sulle prestazioni raccolte da ServiceChannel in relazione all’uso dei Servizi da parte dell’Appaltatore e dei suoi utenti autorizzati; e
(u) I termini “Titolare del trattamento”, “Responsabile del trattamento”, “Attività” e “Fornitore di servizi” hanno il significato loro attribuito nelle Leggi sulla protezione dei dati.
2. Rapporto tra le parti; Conformità alla legge
2.1 L’Appaltatore:
(a) nomina ServiceChannel per il Trattamento dei Dati personali dell’Appaltatore in qualità di Responsabile del trattamento o Fornitore di servizi;
(b) riconosce e accetta che ServiceChannel può:
(i) utilizzare i Dati di amministrazione e i Dati di utilizzo per le Finalità del Titolare del trattamento e che, ai fini del GDPR, lo fa in qualità di Titolare del trattamento;
(ii) utilizzare i Dati personali dell’Appaltatore per creare Dati anonimizzati e che, ai fini del GDPR, lo fa in qualità di Titolare del trattamento.
2.2 Ciascuna parte dovrà rispettare gli obblighi ad essa applicabili ai sensi delle Leggi sulla protezione dei dati e fornire lo stesso livello di protezione della privacy richiesto dalle stesse.
2.3 L’Appaltatore dovrà garantire che le sue istruzioni per il Trattamento dei Dati personali dell’Appaltatore siano conformi alle Leggi sulla protezione dei dati. L’Appaltatore avrà la responsabilità esclusiva dell’accuratezza, della qualità e della legittimità dei Dati personali dell’Appaltatore e dei mezzi con cui li ha ottenuto.
2.4 ServiceChannel informerà tempestivamente l’Appaltatore se stabilisce di non essere più in grado di adempiere ai propri obblighi ai sensi delle Leggi sulla protezione dei dati.
2.5 L’Appaltatore può adottare misure ragionevoli e appropriate per:
(a) garantire che ServiceChannel utilizzi i Dati personali dell’Appaltatore in modo coerente con gli obblighi di quest’ultimo ai sensi delle Leggi sulla protezione dei dati; e
(b) con ragionevole preavviso, interrompere e ovviare all’uso non autorizzato dei Dati personali dell’Appaltatore.
3. Trattamento dei Dati personali dell’Appaltatore
3.1 ServiceChannel tratterà i Dati personali dell’Appaltatore solo per conto di e in conformità con l’Accordo, il presente DPA e le istruzioni documentate dell’Appaltatore (diverse da qualsiasi Trattamento per le Finalità del Titolare del trattamento). L’Appaltatore dà istruzioni a ServiceChannel di trattare i Dati personali dell’Appaltatore per le seguenti finalità: (i) Trattamento in conformità con l’Accordo e qualsiasi ordine applicabile; e (ii) Trattamento per conformarsi ad altre istruzioni ragionevoli fornite dall’Appaltatore laddove tali istruzioni siano coerenti con i termini dell’Accordo. ServiceChannel informerà immediatamente l’Appaltatore se non è in grado di seguire tali istruzioni o se, a suo parere, un’istruzione dell’Appaltatore viola le Leggi sulla protezione dei dati.
3.2 ServiceChannel non dovrà:
(a) vendere o condividere i Dati personali dell’Appaltatore;
(b) conservare, utilizzare o divulgare i Dati personali dell’Appaltatore per alcuna finalità che non sia quella aziendale specifica di erogare i Servizi specificati nell’Accordo o come altrimenti consentito dalle Leggi sulla protezione dei dati;
(c) conservare, utilizzare o divulgare i Dati personali dell’Appaltatore al di fuori del rapporto commerciale diretto tra le parti; e
(d) combinare i Dati personali dell’Appaltatore con i Dati personali che riceve da, o per conto di, un’altra persona o persone, o che raccoglie dalla propria interazione con l’Interessato, a meno che non sia espressamente consentito da, e condotto in conformità con, le Leggi sulla protezione dei dati.
3.3 L’Appaltatore garantisce e si impegna a far sì che i Dati personali dell’Appaltatore non contengano alcuno dei seguenti elementi:
(a) Dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacati, le condanne penali e qualsiasi altra categoria speciale di Dati personali identificati negli articoli 9 o 10 del GDPR o Dati personali altrimenti sensibili ai sensi delle Leggi applicabili in materia di protezione dei dati;
(b) identificatori o modelli biometrici;
(c) informazioni finanziarie (comprese, a titolo non esaustivo, le informazioni di fatturazione e i dati di autenticazione sensibili o dei titolari di carta, come tali termini sono definiti ai sensi dello Standard di sicurezza dei dati del settore delle carte di pagamento);
(d) informazioni finanziarie di identificazione personale, come definite e soggette al Gramm-Leach-Bliley Financial Modernization Act (Legge sulla modernizzazione finanziaria di Gramm-Leach-Biley) del 1999;
(e) numeri di identificazione nazionale (inclusi, a titolo non esaustivo, numeri di previdenza sociale, patente di guida o passaporto o altri numeri di identificazione emessi dal governo);
(f) informazioni relative a persone di età inferiore ai 13 anni;
(g) registri didattici, come definiti ai sensi del Family Educational Rights and Privacy Act (Legge sulla privacy e sui diritti delle famiglie alla tutela dei dati scolastici) del 1974;
(h) informazioni sanitarie protette come definite e soggette all’Health Insurance Portability and Accountability Act (Legge sulla portabilità e responsabilità dell’assicurazione sanitaria).
4. Riservatezza del trattamento/personale di ServiceChannel
4.1 ServiceChannel garantirà che qualsiasi persona autorizzata a trattare i Dati personali dell’Appaltatore (una “Persona autorizzata”) protegga i Dati personali dell’Appaltatore in conformità agli obblighi di riservatezza di ServiceChannel ai sensi del presente Accordo.
4.2 ServiceChannel garantirà che il proprio personale impegnato nel Trattamento dei Dati personali dell’Appaltatore sia informato della natura riservata dei Dati personali dell’Appaltatore e sia soggetto a obblighi di riservatezza.
4.3 ServiceChannel garantirà che l’accesso ai Dati personali dell’Appaltatore sia limitato al personale che richiede tale accesso per erogare i Servizi.
5. Gestione e notifica di sicurezza/violazione
5.1 ServiceChannel implementerà adeguate misure tecniche e organizzative per la protezione della sicurezza, riservatezza e integrità dei Dati personali dell’Appaltatore come stabilito nell’Allegato II.
5.2 Se ServiceChannel viene a conoscenza di qualsiasi Violazione della sicurezza, dovrà: (i) informare tempestivamente l’Appaltatore di tale Violazione della sicurezza secondo le tempistiche richieste dalle Leggi applicabili sulla protezione dei dati; (ii) indagare sulla Violazione della sicurezza e fornire all’Appaltatore informazioni al riguardo; e (iii) adottare misure ragionevoli per mitigarne gli effetti e ridurre al minimo eventuali danni derivanti dalla Violazione della sicurezza.
5.3 ServiceChannel, su richiesta dell’Appaltatore, fornirà a quest’ultimo ragionevole assistenza nell’adempimento da parte dell’Appaltatore dei propri obblighi ai sensi delle Leggi sulla protezione dei dati in relazione a una Violazione della sicurezza notificata all’Appaltatore da ServiceChannel.
5.4 ServiceChannel non avrà alcun obbligo di notificare all’Appaltatore eventuali tentativi non riusciti di ottenere un accesso non autorizzato ai Dati personali dell’Appaltatore o a qualsiasi apparecchiatura o struttura di ServiceChannel che archivia i Dati personali dell’Appaltatore, inclusi, a titolo non esaustivo, ping e altri attacchi di trasmissione su firewall o server periferici, scansioni delle porte, tentativi di accesso non riusciti, attacchi di negazione del servizio o incidenti simili.
5.5 La o le notifiche delle eventuali Violazioni della sicurezza saranno consegnate a uno o più contatti aziendali, tecnici o amministrativi dell’Appaltatore con qualsiasi mezzo selezionato da ServiceChannel, anche via e-mail. È esclusiva responsabilità dell’Appaltatore assicurare che sui sistemi di supporto di ServiceChannel siano presenti informazioni accurate in qualsiasi momento.
5.6 La notifica o la risposta di ServiceChannel a una Violazione della sicurezza ai sensi della presente Sezione 5 non sarà interpretata come un riconoscimento da parte di ServiceChannel di qualsiasi colpa o responsabilità in relazione alla violazione stessa.
6. Attività di sub-trattamento
6.1 L’Appaltatore riconosce e accetta che (i) ServiceChannel può nominare Affiliate come suoi Sub-responsabili del trattamento; e (ii) ServiceChannel può incaricare Sub-responsabili del trattamento terzi in relazione alla fornitura dei Servizi. A tali Sub-responsabili del trattamento sarà consentito ottenere i Dati personali dell’Appaltatore solo per fornire i servizi che ServiceChannel ha affidato loro e non è loro consentito utilizzare i Dati personali dell’Appaltatore per alcuna altra finalità. ServiceChannel stipulerà un accordo scritto che imponga ai Sub-responsabili del trattamento obblighi che siano sostanzialmente simili a quelli imposti a ServiceChannel ai sensi del presente Accordo. ServiceChannel rimarrà pienamente responsabile nei confronti dell’Appaltatore per l’adempimento degli obblighi del Sub-responsabile del trattamento ai sensi del suo contratto con ServiceChannel.
6.2 ServiceChannel potrà continuare ad avvalersi di tali Sub-responsabili del trattamento, già incaricati da ServiceChannel o da qualsiasi Affiliata di ServiceChannel alla data del presente Accordo, elencati all’indirizzo https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel darà all’Appaltatore un preavviso scritto che comunichi la nomina di un eventuale nuovo Sub-responsabile del trattamento, compresi tutti i dettagli del Trattamento che lo stesso dovrà svolgere. Se, entro 10 giorni dalla ricezione di tale notifica, l’Appaltatore notifica per iscritto a ServiceChannel qualsiasi obiezione (per motivi ragionevoli) alla nomina proposta, ServiceChannel non nominerà tale Sub-responsabile del trattamento proposto fino a quando non siano state adottate misure ragionevoli per rispondere alle obiezioni sollevate dall’Appaltatore e all’Appaltatore sia stata fornita una ragionevole spiegazione scritta delle misure adottate. Il Cliente riconosce che in alcuni casi potrebbe non essere in grado di fornire tutti i Servizi senza avvalersi del nuovo Sub-responsabile del trattamento.
7. Trasferimenti limitati
7.1 Le parti concordano che quando il trasferimento dei Dati personali del Cliente dal Cliente a ServiceChannel è un Trasferimento limitato, esso sarà soggetto alle Clausole contrattuali tipo appropriate come segue:
(a) in relazione ai Dati personali del Cliente protetti dal GDPR dell’UE, le SCC dell’UE si applicheranno compilate come segue:
(i) si applicherà il Modulo Due;
(ii) nella Clausola 7, la clausola di adesione postuma si applica;
(iii) nella Clausola 9, si applicherà l’Opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al sub-responsabile del trattamento sarà quello stabilito nella Clausola 6.3 del presente Accordo;
(iv) nella Clausola 11, la dicitura facoltativa non si applicherà;
(v) nella Clausola 17, si applicherà l’Opzione 1 e le SCC dell’UE saranno disciplinate dalla legge irlandese;
(vi) nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
(vii) l’Allegato I delle SCC dell’UE sarà considerato compilato con le informazioni di cui all’Allegato I al presente Accordo;
(viii) l’Allegato II delle SCC dell’UE sarà considerato compilato con le informazioni di cui all’Allegato I al presente Accordo; e
(b) in relazione ai Dati personali del Cliente protetti dal GDPR del Regno Unito, l’Addendum del Regno Unito si applicherà compilato come segue:
(i) Le SCC dell’UE, compilate come indicato sopra nella clausola 7.1(a) del presente Accordo, si applicheranno anche ai trasferimenti di tali Dati personali del Cliente, fatti salvi i casi previsti dalla sotto-clausola
(ii) di seguito;
(ii) le Tabelle da 1 a 3 dell’Addendum del Regno Unito saranno considerate compilate con le informazioni pertinenti delle Clausole contrattuali tipo dell’UE, come stabilito nella sezione 7.2 di cui sopra e l’opzione “nessuna delle parti” sarà considerata selezionata nella Tabella 4. La data di inizio dell’Addendum del Regno Unito (come indicato nella Tabella 1) è la data del presente Accordo; e
(c) nel caso in cui una qualsiasi disposizione del presente Accordo sia in contrasto, direttamente o indirettamente, con le Clausole contrattuali tipo, queste ultime prevarranno.
7.2 Nel caso in cui l’attuale Addendum del Regno Unito o le SCC dell’UE siano sostituite da nuove clausole contrattuali standard, le parti concordano che tali nuove clausole contrattuali standard si applicheranno automaticamente al trasferimento dei Dati personali del Cliente dal Cliente a ServiceChannel e saranno considerate compilate mutatis mutandis come descritto nella Clausola 7.1 di cui sopra.
8. Collaborazione e diritti degli Interessati
8.1 ServiceChannel dovrà, nella misura consentita dalla legge, informare tempestivamente l’Appaltatore se riceve una richiesta da parte di un Interessato di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati. ServiceChannel non risponderà a tali richieste dell’Interessato senza il previo consenso scritto dell’Appaltatore, salvo per confermare che la richiesta si riferisce all’Appaltatore.
8.2 Nella misura in cui l’Appaltatore, nel suo utilizzo o nella ricezione dei Servizi, non abbia la capacità di correggere, modificare, limitare, bloccare o eliminare i Dati personali dell’Appaltatore, come richiesto dalle Leggi sulla protezione dei dati, ServiceChannel compirà ogni sforzo commercialmente ragionevole per soddisfare le ragionevoli richieste dell’Appaltatore di facilitare tali azioni nella misura in cui sia legalmente autorizzata a farlo.
8.3 ServiceChannel fornirà ragionevole collaborazione all’Appaltatore (a spese dell’Appaltatore) in relazione a qualsiasi valutazione d’impatto sulla protezione dei dati eventualmente prevista dalla Legge sulla protezione dei dati.
9. Dati deidentificati
9.1 Per quanto riguarda i Dati anonimizzati creati da ServiceChannel, ServiceChannel dovrà:
(a) adottare misure ragionevoli per garantire che le informazioni non possano essere associate a un Interessato;
(b) impegnarsi pubblicamente a trattare tali Dati anonimizzati esclusivamente in forma deidentificata e a non tentare di reidentificare le informazioni; e
(c) obbligare contrattualmente i destinatari dei Dati anonimizzati a rispettare i requisiti di cui sopra ai sensi delle Leggi sulla protezione dei dati.
10. Risoluzione; cancellazione o restituzione dei Dati
10.1 Il presente Accordo si risolverà automaticamente alla cancellazione o all’anonimizzazione da parte di ServiceChannel di tutti i Dati personali dell’Appaltatore.
10.2 Alla risoluzione o scadenza dell’Accordo, ServiceChannel dovrà
(a) se richiesto dall’Appaltatore entro trenta (30) giorni dalla scadenza dell’Accordo (il “Periodo di conservazione”) fornire una copia di tutti i Dati personali dell’Appaltatore in un formato di uso comune richiesto dall’Appaltatore oppure un’opzione self-service che consenta all’Appaltatore di scaricarli;
(b) alla scadenza del Periodo di conservazione, eliminare tutte le copie dei Dati personali dell’Appaltatore trattati da ServiceChannel o da uno qualsiasi dei suoi Sub-responsabili del trattamento, diversi da:
(i) i Dati di amministrazione o i Dati di utilizzo trattati per le Finalità del Titolare del trattamento o i Dati personali dell’Appaltatore che ServiceChannel è tenuta a conservare ai sensi della legge applicabile; o
(ii) i Dati personali dell’Appaltatore archiviati su sistemi di backup, che ServiceChannel isolerà e proteggerà in modo sicuro da qualsiasi ulteriore Trattamento, salvo nella misura richiesta da tale legge fino a quando non sarà possibile eliminarli.
11. Revisione
11.1 L’Appaltatore può condurre una revisione della conformità di ServiceChannel al presente DPA. Le parti convengono che tali revisioni saranno condotte:
(a) non più di una volta all’anno, a meno che non ne siano richieste di più frequenti per rispettare le Leggi sulla protezione dei dati o richieste da un’autorità di controllo con giurisdizione sul Trattamento dei Dati personali dell’Appaltatore;
(b) con ragionevole preavviso a ServiceChannel;
(c) solo durante il normale orario di lavoro di ServiceChannel; e
(d) in maniera da non interrompere materialmente l’attività o le operazioni di ServiceChannel.
11.2 In relazione a qualsiasi revisione condotta ai sensi della Sezione 10.1:
(a) l’Appaltatore può incaricare un revisore terzo di condurre la revisione per suo conto, salvo che ServiceChannel possa ragionevolmente opporsi all’incarico del revisore terzo se tale revisore terzo è un concorrente di ServiceChannel;
(b) ServiceChannel non sarà tenuta a facilitare o assistere in alcuna revisione a meno che e fino a quando le parti non abbiano concordato per iscritto l’ambito e la tempistica di tale revisione e le tariffe di rimborso ai sensi della Sezione 10.3.
11.3 L’Appaltatore rimborserà ServiceChannel per il tempo eventualmente dedicato a tale revisione alle tariffe concordate dalle parti. Prima dell’inizio di tale revisione, l’Appaltatore e ServiceChannel fisseranno di comune accordo l’ambito, la tempistica e la durata della revisione in aggiunta alla tariffa di rimborso di cui l’Appaltatore sarà responsabile. Tutte le tariffe di rimborso saranno ragionevoli e terranno conto delle risorse impiegate da ServiceChannel. L’Appaltatore dovrà informare tempestivamente ServiceChannel di qualsiasi difformità rilevata nel corso di una revisione.
11.4 L’Appaltatore riconosce che ServiceChannel viene regolarmente sottoposta a revisioni rispetto allo standard SSAE 18 SOC 1 da parte di revisori terzi indipendenti. Su richiesta, ServiceChannel fornirà o potrà fornire all’Appaltatore, in risposta a una richiesta di revisione, una copia riepilogativa della/e propria/e relazione/i di revisione all’Appaltatore, che sarà/saranno oggetto delle disposizioni di riservatezza dell’Accordo. Se una revisione richiesta dall’Appaltatore viene trattata nella relazione della revisione fornita da ServiceChannel, l’Appaltatore accetta tale relazione in luogo di una revisione fisica dei controlli contemplati nella relazione pertinente.
12. Limitazione di responsabilità
Il presente DPA è soggetto alle limitazioni di responsabilità e alle esclusioni di responsabilità contenute nell’Accordo.
13. Parti del presente Accordo
Fatto salvo quanto stabilito nelle Clausole contrattuali standard, nulla nel presente DPA conferirà alcun beneficio o diritto a persone o entità che non siano le parti del presente DPA.
14. Effetto giuridico
Il presente DPA integra l’Accordo e fa parte dello stesso.
15. Disposizioni generali
15.1 Il presente DPA sarà disciplinato e interpretato sotto tutti gli aspetti in conformità con le disposizioni di legge e giurisdizione vigenti nell’Accordo, a condizione che, in caso di conflitto tra l’Accordo e il presente DPA in relazione al trattamento dei Dati personali, prevarrà il presente DPA.
15.2 Il presente Accordo può essere perfezionato in un numero qualsiasi di copie, ciascuna delle quali è un originale e tutte attestano lo stesso accordo tra le parti.
15.3 Oltre a quanto stabilito nel presente DPA, l’Accordo rimarrà pienamente valido ed efficace.
ALLEGATO I
A. ELENCO DELLE PARTI
|
Nome |
Indirizzo |
Nome, posizione e dettagli di contatto del referente |
Attività pertinenti ai dati trasferiti |
Ruolo |
|
|
Esportatore dei dati |
Appaltatore (indicato in fase di registrazione per i Servizi) |
Indicato in fase di registrazione per i Servizi |
Indicato in fase di registrazione per i Servizi |
Ricezione dei Servizi |
Titolare del trattamento |
|
Importatore dei dati |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, Stati Uniti |
Brian Chase, Responsabile degli Affari legali, [email protected] |
Fornitura dei Servizi |
Responsabile del trattamento |
B. DESCRIZIONE DEL TRASFERIMENTO
|
Interessati |
Categorie di dati personali |
Dati personali sensibili |
Frequenza di trasferimento |
Natura e finalità del trattamento |
Periodo di conservazione |
|
Utenti Finali dell’Appaltatore |
Nome, indirizzo e-mail, ruolo presso l’Appaltatore, credenziali. |
Nessuno |
Continua |
Concedere l’accesso ai Servizi agli Utenti Finali. |
Per tutto il tempo in cui l’Appaltatore autorizza l’Utente Finale ad accedere ai Servizi. |
|
Utenti Finali dell’Appaltatore |
Nome, numero di telefono, servizi di gestione della struttura da indicare. |
Nessuno |
Continua |
Facilitare il contatto tra gli Utenti Finali e i Clienti per l’adempimento dei Contratti di acquisto. |
Per tutto il tempo in cui l’Appaltatore autorizza l’Utente Finale ad accedere ai Servizi. |
|
Utenti Finali dell’Appaltatore |
Nome, geolocalizzazione precisa, orario di check-in, orario di check-out. |
Nessuno |
Continua |
Fornire informazioni al Cliente in merito alla fornitura di servizi di gestione delle strutture ai sensi di un Contratto di acquisto. |
Per il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore |
Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. |
Nessuno |
Continua |
Facilitare il calcolo degli importi dovuti ai sensi dell’Accordo di acquisto. |
Per il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore Utenti autorizzati dei Clienti che richiedono servizi di gestione delle strutture |
Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. |
Nessuno |
Continua |
Invio di fatture ai sensi dei Contratti di acquisto al Cliente. |
Per il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore Utenti autorizzati dei Clienti che richiedono servizi di gestione delle strutture |
Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e sede dei servizi forniti. |
Nessuno |
Continua |
Mantenere registri delle transazioni dei servizi forniti dall’Appaltatore ai sensi dei Contratti di acquisto. |
Per il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore |
Nome, servizi di gestione delle strutture forniti dall’Utente finale, data e posizione dei servizi forniti, geolocalizzazione precisa. |
Nessuno |
Continua |
Facilitare la gestione degli Utenti Finali dell’Appaltatore, tra cui la pianificazione e il personale. |
Per il periodo di validità dell’Accordo. |
|
Punti di contatto chiave presso l’Appaltatore |
Nome, indirizzo e-mail, numero di telefono. |
Nessuno |
Continua |
Promozione dei servizi dell’Appaltatore attraverso il Catalogo. |
Fintanto che l’individuo rimane un punto di contatto chiave e in ogni caso non oltre il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore |
Domande di assistenza presentate dall’utente finale. |
Nessuno |
Continua |
Fornire supporto tecnico. |
Per il periodo di validità dell’Accordo. |
|
Utenti Finali dell’Appaltatore |
Dati di log relativi all’utilizzo dei Servizi da parte dell’Utente finale. |
Nessuno |
Continua |
Fornire l’accesso ai Servizi. |
Per la durata della sessione di navigazione dell’Utente Finale. |
Sub-responsabili del trattamento
Come descritto all’indirizzo https://bit.ly/SC_Subprocessors
C. AUTORITÀ DI CONTROLLO COMPETENTE
Commissario irlandese per la protezione dei datiALLEGATO II
Misure di sicurezza
ServiceChannel rimarrà sempre responsabile per le seguenti misure di sicurezza di trasferimento commercialmente ragionevoli:
|
MISURE DI SICUREZZA DEL TRASFERIMENTO |
MISURE INTRODOTTE |
|
Misure di pseudonimizzazione e crittografia dei dati personali |
Pseudonimizzazione • mascheramento dei caratteri • scambio • k-anonimato Crittografia • Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) su ogni interfaccia di accesso, utilizzando algoritmi e certificati conformi agli standard di settore. • Crittografia dei dati a riposo utilizzando l’algoritmo AES-256 conforme agli standard di settore |
|
Misure per garantire riservatezza, integrità, disponibilità e resilienza continue dei sistemi e dei servizi di trattamento |
Riservatezza • Rete privata virtuale (VPN) • Autenticazione a più fattori (MFA) • Sistema di diritti differenziati basato su gruppi di sicurezza ed elenchi di controllo degli accessi. • Trasmissione sicura delle credenziali utilizzando TLS 1.2 (o superiore) • Per le password è prevista una complessità minima definita. Le password iniziali devono essere modificate dopo il primo accesso. • Blocco automatico dell’account • Linee guida per la gestione delle password • Controlli degli accessi all’infrastruttura ospitata dal fornitore di servizi cloud • Gestione dei diritti di accesso, comprensiva di concetto di autorizzazione, implementazione delle restrizioni di accesso, implementazione del principio della “necessità di sapere”, gestione di diritti di accesso individuali. • Accordi su formazione e riservatezza per il personale interno e esterno • Separazione della rete • Separazione delle responsabilità e dei doveri • Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Integrità • Interconnessioni di rete sicure garantite da firewall, ecc. • Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali • Registrazione dell’autenticazione e dell’accesso logico monitorato al sistema • Registrazione dell’accesso ai dati, inclusi, a titolo non esaustivo, accesso, modifica, inserimento ed eliminazione dei dati • Documentazione dei diritti di immissione dei dati e registrazione delle voci relative alla sicurezza • Firewall per applicazioni web (WAF) Disponibilità e resilienza • I dati degli appaltatori vengono sottoposti a backup in più archivi di dati durevoli e replicati in più zone di disponibilità. • Protezione dei supporti di backup archiviati |
|
Misure per garantire la capacità di ripristinare la disponibilità e l’accesso ai Dati personali in modo tempestivo in caso di incidente fisico o tecnico |
• Pianificazione della continuità e piano di recupero in caso di emergenza• Processi di recupero in caso di emergenza per ripristinare dati e processi• Obiettivo del tempo di recupero (RTO)
• Obiettivo del punto di recupero (RPO) • Tempo di inattività massimo tollerabile (MTD) • Misure di gestione della capacità per monitorare il consumo di risorse dei sistemi e la pianificazione di esigenze future in termini di risorse. • Procedure per la gestione e la segnalazione degli incidenti (gestione degli incidenti), tra cui rilevamento e reazione a possibili incidenti di sicurezza. • I dati produttivi vengono sottoposti a backup incrementale ogni ora e a back-up completo ogni giorno. Tutti i backup sono ridondanti e in forma crittografata (AES-256). |
|
Processi per testare, valutare ed esaminare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento |
• Test delle apparecchiature di emergenza• Documentazione delle interfacce e dei campi di dati personali• Revisioni interne ed esterne
• Controlli di sicurezza (ad es. test di penetrazione) condotti da parti esterne • Revisioni SOC 1 e 2 • Benchmarking e test regolari con standard di settore, ad es. Controlli SANS Top 20 per la sicurezza di internet, linee guida del National Institute of Standards and Technology (NIST), ecc. |
|
Misure per l’identificazione e l’autorizzazione dell’utente |
• Interconnessioni di rete sicure garantite da VPN, MFA, firewall, ecc.• Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali• Registrazione dell’autenticazione e accesso monitorato al sistema
• L’accesso ai dati necessari per l’esecuzione di una particolare mansione è garantito all’interno dei sistemi e delle applicazioni dalla corrispondenza del ruolo e da un concetto di autorizzazione basato sul principio della “necessità di sapere”. • Firewall per applicazioni web (WAF) |
|
Misure per la protezione dei Dati durante la trasmissione |
• Accesso remoto alla rete tramite tunnel VPN e crittografia end-to-end• Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) |
|
Misure per la protezione dei Dati durante la conservazione |
• Input di sistema registrati tramite file di registro• Elenchi di controllo degli accessi (ACL)• Autenticazione a più fattori (MFA) |
|
Misure per garantire la sicurezza fisica delle sedi in cui vengono trattati i Dati personali |
• Suddivisione della struttura in singole zone con autorizzazioni di accesso diverse;• Protezione dell’accesso fisico (ad es. porte in acciaio, stanze prive di finestre o finestre protette);• Sistema elettronico di controllo degli accessi per proteggere le aree di sicurezza;
• Monitoraggio della struttura mediante servizi di sicurezza e registrazione degli accessi alla stessa; • Videosorveglianza di tutte le aree di sicurezza rilevanti per la sicurezza, come ingressi, uscite di emergenza e sale server; • Assegnazione e revoca centrali delle autorizzazioni all’accesso; • Identificazione di tutti i visitatori mediante verifica della loro carta d’identità e registrazione (si conserva un registro dei visitatori); • Identificazione obbligatoria all’interno delle aree di sicurezza per tutti i dipendenti e visitatori; • I visitatori devono essere sempre accompagnati dai dipendenti. |
|
Misure per garantire la registrazione degli eventi |
• Registrazione remota• Hash con concatenazione• Replicazione
• Sistema SIEM (Central Security Event and Information Management [Gestione centrale delle informazioni e degli eventi relativi alla sicurezza]) |
|
Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita |
• Politica e procedure sul controllo degli accessi• Indicazione della configurazione di base• Pianificazione e gestione della configurazione
• Gestione delle modifiche alla configurazione • Registrazione dello stato di configurazione • Verifica e revisioni della configurazione • Gestione dei dispositivi mobili |
|
Misure per la gestione e la governance interne della sicurezza IT e del reparto IT |
• Persona dedicata e indicata per sovrintendere al programma di sicurezza e conformità delle informazioni della società• Revisione SOC 1 e 2 |
|
Misure per la certificazione/verifica di processi e prodotti |
• Certificazioni di sicurezza delle informazioni o gestione della qualità, come SSAE 18 Tipo 2 SOC 1 e SSAE18 Tipo 2 SOC2 |
|
Misure per garantire la minimizzazione dei dati |
• Barriere tecnologiche al collegamento non autorizzato di fonti indipendenti di dati.• Limitazione al livello di dettaglio utilizzato nel trattamento dei dati personali: ad esempio, attraverso tecniche come k-anonimato e offuscamento.• Eliminazione dei metadati generati durante determinati processi che non sono necessari per l’obiettivo perseguito. |
|
Misure per garantire la qualità dei dati |
• Trattamento per l’esercizio dei diritti di protezione dei dati (diritto di modificare e aggiornare le informazioni)• Documentazione chiara dei requisiti per tutte le condizioni e gli scenari di dati• Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Rigorosa profilazione dei dati e controllo dei dati in entrata
• Progettazione della pipeline di dati per evitare dati duplicati • Team per la garanzia di qualità • Applicazione dell’integrità dei dati |
|
Misure per garantire una conservazione limitata dei dati |
• Esistenza di programmi e politiche di conservazione chiari• Test di efficacia |
|
Misure per garantire la responsabilità |
• Assegnare la responsabilità di garantire la privacy dell’Utente Finale per tutto il ciclo di vita del prodotto e attraverso processi aziendali applicabili.• Le valutazioni d’impatto sulla protezione dei dati come parte integrante di qualsiasi nuova iniziativa di trattamento.• Documentare tutte le decisioni adottate all’interno dell’organizzazione dal punto di vista di un “pensiero progettuale della privacy”. |
|
Misure per consentire la portabilità dei dati e garantirne la cancellazione |
• Processi documentati in relazione all’esercizio da parte degli utenti dei loro diritti alla privacy (ad es. diritto di cancellazione o diritto alla portabilità dei dati)• Utilizzo di formati aperti come CSV, XML o JSON. |
|
Restrizioni o misure di salvaguardia applicate per i dati sensibili (se applicabile) |
• La crittografia o l’hashing di dati di categorie speciali, sebbene non sia un requisito legale esplicito, dovrebbe essere la normalità |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar