Ultimo aggiornamento: 28 gennaio 2025
Accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati (il “DPA”) fa parte dell’Accordo Quadro sui Servizi (“MSA”) stipulato tra ServiceChannel.com, Inc. (di seguito “ServiceChannel”) e il Cliente (come definito nell’MSA). Il Cliente e ServiceChannel sono indicati come una “parte” e congiuntamente come le “parti”.
PREMESSO CHE
(i) il Cliente e ServiceChannel hanno stipulato l’Accordo Quadro sui Servizi ai sensi del quale ServiceChannel fornirà al Cliente i Servizi.
(ii) ServiceChannel tratterà i Dati del Cliente (che possono contenere Dati personali) mentre gli fornisce i Servizi;
(iii) Le parti ora desiderano stipulare il presente DPA che disciplina il trattamento da parte di ServiceChannel di tali Dati personali contenuti nei Dati del Cliente.
TUTTO CIÒ PREMESSO, le parti convengono quanto segue:
1. Definizioni:
Nel presente Accordo sul trattamento, i termini definiti nell’MSA hanno lo stesso significato di quando vengono utilizzati qui. Inoltre, i seguenti termini avranno i seguenti significati:
(a) “Dati di amministrazione” indica: (i) i dati di contatto relativi a, e il contenuto di, la corrispondenza con il principale titolare o amministratore dell’account del Cliente; (ii) le richieste di supporto inviate dagli utenti autorizzati del Cliente in relazione al Servizio;
(b) “Affiliate” indica qualsiasi entità controllata da, che controlla o che è in comune controllo con ServiceChannel;
(c) “CCPA” indica il California Consumer Privacy Act (Legge sulla privacy dei consumatori della California) del 2018, codice civile della California cpv. 1798.100 e seguenti, comprese le sue normative di attuazione e il California Privacy Rights Act (Legge sui diritti di privacy della California) del 2020;
(d) “Finalità del Titolare del trattamento” indica lo svolgimento di ricerche e sviluppo interni per sviluppare, testare, migliorare e alterare la funzionalità dei prodotti e servizi di ServiceChannel; (b) la creazione di set di dati anonimizzati per la formazione o la valutazione dei prodotti e servizi di ServiceChannel; (c) la gestione del rapporto di ServiceChannel con il Cliente ai sensi dell’MSA;
(e) “Cliente” indica il cliente che ha sottoscritto ill’Accordo Quadro sui Servizi;
(f) “Dati personali del Cliente” indica, diversi da Valutazioni e Recensioni, i Dati personali contenuti nei Dati del Cliente, come ulteriormente descritto nell’Allegato I al presente DPA;
(g) “Leggi sulla protezione dei dati” indica tutte le leggi, le norme, i regolamenti e i requisiti governativi applicabili in materia di privacy, riservatezza o sicurezza dei Dati personali (come eventualmente modificati o altrimenti aggiornati di volta in volta), inclusi (a titolo non esaustivo) il Regolamento generale sulla protezione dei dati (GDPR), il GDPR del Regno Unito e le Leggi statunitensi sulla protezione dei dati;
(h) “Interessato” indica: (i) una persona fisica a cui si riferiscono i Dati personali; e (ii) un soggetto “Interessato”, un “consumatore” o qualsiasi termine equivalente ai sensi delle Leggi sulla protezione dei dati;
(i) “GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR dell’UE”) oppure, ove applicabile, il “GDPR del Regno Unito” come definito nella sezione 3(10) del Data Protection Act (Legge sulla protezione dei dati) 2018 del Regno Unito;
(j) “Dati personali” indica le informazioni che: (i) si riferiscono, sono collegate o ragionevolmente riconducibili a una persona fisica identificata o identificabile; o (ii) siano altrimenti considerate “dati personali”, “informazioni personali”, “informazioni di identificazione personale” o dati o informazioni definiti in modo simile ai sensi delle Leggi sulla protezione dei dati;
(k) “Trattamento” indica qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza mezzi automatici, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o altra messa a disposizione, il raffronto o l’interconnessione, il blocco, la cancellazione o la distruzione (“Trattare”, “Tratta” e “Trattato” avranno lo stesso significato);
(l) “Valutazioni e Recensioni” ha il significato attribuitogli nella Sezione 0;
(m) “Vendita” o “Vendere” ha il significato attribuitogli nel CCPA;
(n) “Azioni” ha il significato attribuitogli nel CCPA;
(o) “Violazione della sicurezza” indica una violazione della sicurezza che comporta l’accidentale o illecita distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati personali del Cliente;
(p) “Clausole contrattuali tipo” o “SCC” indica le clausole contrattuali allegate alla Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come di volta in volta aggiornate o sostituite;
(q) “Sub-responsabile del trattamento” indica qualsiasi entità esterna incaricata da ServiceChannel di trattare le Informazioni personali per conto del Cliente o al fine di fornire i servizi specificati nell’Accordo;
(r) “Addendum del Regno Unito” indica il modello di addendum, versione B.1.0, emesso dal Commissario per le informazioni del Regno Unito ai sensi dell’S119A (1) del Data Protection Act del Regno Unito del 2018 e presentato dinanzi al Parlamento del Regno Unito il 2 febbraio 2022, ed eventuali emendamenti ai sensi della Sezione 18 dell’Addendum del Regno Unito;
(s) “Leggi statunitensi sulla protezione dei dati” indica tutte le norme, normative e requisiti governativi federali e statali applicabili relativi alla protezione dei dati, il trattamento dei Dati personali, privacy e/o protezione dei dati in vigore di volta in volta negli Stati Uniti, tra cui (senza limitazioni): il CCPA, la Legge sulla protezione dei dati dei consumatori della Virginia, Codice della Virginia Titolo 59.1 Capitolo 52 cpv. 59.1-571 e seguenti, la Legge sulla privacy del Colorado, Statuto Revisionato del Colorado Titolo 6 Articolo 1 Parte 13 cpv. 6-1-1301 e seguenti, la Legge sulla privacy dello Utah, Codice dello Utah cpv. 13-6-101 e seguenti, Legge del Senato del Connecticut 6, una legge relativa alla privacy dei dati personali e al monitoraggio online (in base al capitolo assegnato a tale legge e a come essa viene inserita);
(t) “Dati di utilizzo” indica le informazioni diagnostiche, di utilizzo e sulle prestazioni raccolte da ServiceChannel in relazione all’uso dei Servizi da parte del Cliente e dei suoi utenti autorizzati; e
(u) I termini “Titolare del trattamento”, “Responsabile del trattamento”, “Attività” e “Fornitore di servizi” hanno il significato loro attribuito nelle Leggi sulla protezione dei dati.
2. Rapporto tra le parti; Conformità alla legge
2.1 Il Cliente:
(a) nomina il ServiceChannel per il trattamento dei Dati personali del Cliente come suo Responsabile del trattamento o Fornitore di servizi;
(b) riconosce e accetta che ServiceChannel può:
(i) utilizzare i Dati di amministrazione e i Dati di utilizzo per le Finalità del titolare del trattamento e che, ai fini del GDPR, lo fa in qualità di titolare del trattamento.
(ii) raccogliere e visualizzare commenti, feedback e valutazioni inviati a ServiceChannel dagli utenti autorizzati del Cliente in relazione ai fornitori di servizi incaricati dal Cliente (“Valutazioni e Recensioni”) e che, ai fini delle Leggi sulla protezione dei dati, lo fa in qualità di Titolare del trattamento o Azienda.
2.2 Ciascuna parte dovrà rispettare gli obblighi ad essa applicabili ai sensi delle Leggi sulla protezione dei dati e fornire lo stesso livello di protezione della privacy richiesto dalle stesse.
2.3 Il Cliente dovrà garantire che le sue istruzioni per il Trattamento dei Dati personali del Cliente siano conformi alle Leggi sulla protezione dei dati. Il Cliente avrà la responsabilità esclusiva dell’accuratezza, della qualità e della legalità dei Dati personali del Cliente e dei mezzi con cui ha ottenuto i Dati personali del Cliente.
2.4 ServiceChannel informerà tempestivamente il Cliente qualora determini che non può più adempiere ai propri obblighi ai sensi delle Leggi sulla protezione dei dati.
2.5 Il Cliente può adottare misure ragionevoli e appropriate per:
(a) garantire che ServiceChannel utilizzi i Dati personali del Cliente in modo coerente con i propri obblighi ai sensi delle Leggi sulla protezione dei dati; e
(b) con ragionevole preavviso, interrompere e porre rimedio all’uso non autorizzato dei Dati personali del Cliente.
3. Trattamento dei Dati personali del Cliente
3.1 ServiceChannel tratterà i Dati personali del Cliente solo per conto di e in conformità con l’MSA, il presente DPA e le istruzioni documentate del Cliente (diverse da qualsiasi Trattamento per le Finalità del Titolare del trattamento). Il Cliente ordina a ServiceChannel di trattare i propri Dati personali per le seguenti finalità: (i) Trattamento in conformità con l’MSA e qualsiasi ordine applicabile; e (ii) Trattamento per conformarsi ad altre istruzioni ragionevoli fornite dal Cliente laddove tali istruzioni siano coerenti con i termini dell’MSA. ServiceChannel informerà immediatamente il Cliente se non è in grado di seguire tali istruzioni o se, a suo parere, un’istruzione del Cliente viola le Leggi sulla protezione dei dati.
3.2 ServiceChannel non dovrà:
(a) vendere o condividere i Dati personali del Cliente;
(b) conservare, utilizzare o divulgare i Dati personali del Cliente per alcuna finalità che non sia quella aziendale specifica di erogare i Servizi specificati nell’MSA o come altrimenti consentito dalle Leggi sulla protezione dei dati;
(c) conservare, utilizzare o divulgare i Dati personali del Cliente al di fuori del rapporto commerciale diretto tra le parti; e
(d) combinare i Dati personali del Cliente con i Dati personali che riceve da, o per conto di, un’altra persona o persone, o che raccoglie dalla propria interazione con l’Interessato, a meno che non sia espressamente consentito da e condotto in conformità con le Leggi sulla protezione dei dati.
3.3. Il Cliente garantisce e si impegna a non contenere i Dati personali del Cliente:
(a) Dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacati, le condanne penali e qualsiasi altra categoria speciale di Dati personali identificati negli articoli 9 o 10 del GDPR o Dati personali altrimenti sensibili ai sensi delle Leggi applicabili in materia di protezione dei dati;
(b) identificatori o modelli biometrici;
(c) informazioni finanziarie (comprese, a titolo non esaustivo, le informazioni di fatturazione e i dati di autenticazione sensibili o dei titolari di carta, come tali termini sono definiti ai sensi dello Standard di sicurezza dei dati del settore delle carte di pagamento);
(d) informazioni finanziarie di identificazione personale, come definite e soggette al Gramm-Leach-Bliley Financial Modernization Act (Legge sulla modernizzazione finanziaria di Gramm-Leach-Biley) del 1999;
(e) numeri di identificazione nazionale (inclusi, a titolo non esaustivo, numeri di previdenza sociale, patente di guida o passaporto o altri numeri di identificazione emessi dal governo);
(f) informazioni relative a persone di età inferiore ai 13 anni;
(g) registri didattici, come definiti ai sensi del Family Educational Rights and Privacy Act (Legge sulla privacy e sui diritti delle famiglie alla tutela dei dati scolastici) del 1974;
(h) informazioni sanitarie protette come definite e soggette all’Health Insurance Portability and Accountability Act (Legge sulla portabilità e responsabilità dell’assicurazione sanitaria).
4. Riservatezza del trattamento/personale di ServiceChannel
4.1 ServiceChannel garantirà che qualsiasi persona autorizzata a trattare i Dati personali del Cliente (una “Persona autorizzata”) protegga tali dati in conformità agli obblighi di riservatezza di ServiceChannel ai sensi del presente Accordo.
4.2 ServiceChannel garantirà che il proprio personale impegnato nel Trattamento dei Dati personali del Cliente sia informato della natura riservata di tali dati e sia soggetto a degli obblighi di riservatezza.
4.3 ServiceChannel garantirà che l’accesso ai Dati personali del Cliente sia limitato al personale che richiede tale accesso per eseguire i Servizi.
5. Gestione e notifica di sicurezza/violazione
5.1 Il ServiceChannel implementerà misure tecniche e organizzative appropriate per la protezione della sicurezza, della riservatezza e dell’integrità dei Dati personali del Cliente come stabilito nell’Allegato II.
5.2 Se ServiceChannel viene a conoscenza di qualsiasi Violazione della sicurezza, dovrà: (i) informare tempestivamente il Cliente di tale Violazione della sicurezza secondo le tempistiche richieste dalle Leggi applicabili sulla protezione dei dati; (ii) indagare sulla Violazione della sicurezza e fornire al Cliente informazioni al riguardo; e (iii) adottare misure ragionevoli per mitigarne gli effetti e ridurre al minimo eventuali danni derivanti dalla Violazione della sicurezza.
5.3 ServiceChannel, su richiesta del Cliente, fornirà a quest’ultimo ragionevole assistenza nell’adempimento da parte del Cliente dei propri obblighi ai sensi delle Leggi sulla protezione dei dati in relazione a una Violazione della sicurezza notificata al Cliente da ServiceChannel.
5.4 ServiceChannel non avrà alcun obbligo di notificare al Cliente eventuali tentativi non riusciti di ottenere l’accesso non autorizzato ai Dati personali del Cliente o a qualsiasi apparecchiatura o struttura di ServiceChannel che archivia i Dati personali del Cliente, inclusi, a titolo esemplificativo ma non esaustivo, ping e altri attacchi di trasmissione su firewall o server periferici, scansioni delle porte, tentativi di accesso non riusciti, attacchi di negazione del servizio o incidenti simili.
5.5. La o le notifiche delle eventuali Violazioni della sicurezza saranno consegnate a uno o più contatti aziendali, tecnici o amministrativi del Cliente con qualsiasi mezzo selezionato da ServiceChannel, anche via e-mail. È esclusiva responsabilità del Cliente garantire che mantenga sempre informazioni di contatto accurate sui sistemi di supporto di ServiceChannel.
5.6 La notifica o la risposta di ServiceChannel a una Violazione della sicurezza ai sensi della presente Sezione 5 non sarà interpretata come un riconoscimento da parte di ServiceChannel di qualsiasi colpa o responsabilità in relazione alla violazione stessa.
6. Attività di sub-trattamento
6.1 Il Cliente riconosce e accetta che (i) ServiceChannel può nominare le sue Affiliate come Sub-responsabili del trattamento; e (ii) ServiceChannel può incaricare Sub-responsabili del trattamento terzi in relazione alla fornitura dei Servizi. A tali Sub-responsabili del trattamento sarà consentito ottenere i Dati personali del Cliente solo per fornire i servizi che ServiceChannel ha affidato loro e non è loro consentito utilizzare i Dati personali del Cliente per alcuna altra finalità. ServiceChannel stipulerà un accordo scritto che imponga ai Sub-responsabili del trattamento obblighi che siano sostanzialmente simili a quelli imposti a ServiceChannel ai sensi del presente Accordo. ServiceChannel rimarrà pienamente responsabile nei confronti del Cliente per l’adempimento degli obblighi del Sub-responsabile del trattamento ai sensi del suo contratto con ServiceChannel.
6.2 ServiceChannel potrà continuare ad avvalersi di tali Sub-responsabili del trattamento, già incaricati da ServiceChannel o da qualsiasi Affiliata di ServiceChannel alla data del presente Accordo, elencati all’indirizzo https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel dovrà dare al Cliente un preavviso scritto della nomina di qualsiasi nuovo Sub-responsabile del trattamento, compresi i dettagli completi del Trattamento che il Sub-responsabile del trattamento deve intraprendere. Se, entro 10 giorni dalla ricezione di tale notifica, il Cliente notifica per iscritto a ServiceChannel qualsiasi obiezione (per motivi ragionevoli) alla nomina proposta, ServiceChannel non nominerà tale Sub-responsabile del trattamento proposto fino a quando non siano state adottate misure ragionevoli per rispondere alle obiezioni sollevate dal Cliente e al Cliente sia stata fornita una ragionevole spiegazione scritta delle misure adottate. Il Cliente riconosce che in alcuni casi potrebbe non essere in grado di fornire tutti i Servizi senza avvalersi del nuovo Sub-responsabile del trattamento.
7. Trasferimenti limitati
7.1 Le parti concordano che quando il trasferimento dei Dati personali del Cliente dal Cliente a ServiceChannel è un Trasferimento limitato, esso sarà soggetto alle Clausole contrattuali tipo appropriate come segue:
(a) in relazione ai Dati Personali del Cliente protetti dal GDPR UE, le SCC dell’UE si applicheranno compilate come segue:
(i) si applicherà il Modulo Due;
(ii) nella Clausola 7, la clausola di adesione postuma si applica;
(iii) nella Clausola 9, si applicherà l’Opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al sub-responsabile del trattamento sarà quello stabilito nella Clausola 6.3 del presente Accordo;
(iv) nella Clausola 11, la dicitura facoltativa non si applicherà;
(v) nella Clausola 17, si applicherà l’Opzione 1 e le SCC dell’UE saranno disciplinate dalla legge irlandese;
(vi) nella Clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
(vii) l’Allegato II delle SCC dell’UE sarà considerato compilato con le informazioni di cui all’Allegato II al presente Accordo;
(viii) l’Allegato II delle SCC dell’UE sarà considerato compilato con le informazioni di cui all’Allegato II al presente Accordo; e
(b) in relazione ai Dati Personali del Cliente protetti dal GDPR del Regno Unito, l’Addendum del Regno Unito si applicherà compilato come segue:
(i) Le SCC dell’UE, completate come indicato sopra nella clausola 7.1(a) del presente Accordo, si applicheranno anche ai trasferimenti di tali Dati personali del Cliente, fatti salvi i casi previsti dalla sotto-clausola
(ii) di seguito;
(ii) le Tabelle da 1 a 3 dell’Addendum del Regno Unito saranno considerate compilate con le informazioni pertinenti delle SCC dell’UE, come stabilito sopra e l’opzione “nessuna delle parti” sarà considerata selezionata nella Tabella 4. La data di inizio dell’Addendum del Regno Unito (come indicato nella Tabella 1) è la data del presente Accordo; e
(c) nel caso in cui una qualsiasi disposizione del presente Accordo sia in contrasto, direttamente o indirettamente, con le Clausole contrattuali tipo, queste ultime prevarranno.
7.2 Nel caso in cui l’attuale Addendum del Regno Unito o le SCC dell’UE siano sostituite da nuove clausole contrattuali standard, le parti concordano che tali nuove clausole contrattuali standard si applicheranno automaticamente al trasferimento dei Dati personali del Cliente dal Cliente a ServiceChannel e saranno considerate compilate mutatis mutandis come descritto nella Clausola 7.1 di cui sopra.
8. Collaborazione e diritti degli Interessati
8.1 ServiceChannel dovrà, nella misura consentita dalla legge, informare tempestivamente il Cliente se riceve una richiesta da parte di un Interessato di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati. ServiceChannel non risponderà a tali richieste dell’Interessato senza il previo consenso scritto del Cliente, salvo per confermare che la richiesta si riferisce al Cliente.
8.2 Nella misura in cui il Cliente, nel suo utilizzo o nella ricezione dei Servizi, non abbia la capacità di correggere, modificare, limitare, bloccare o eliminare i Dati personali del Cliente, come richiesto dalle Leggi sulla protezione dei dati, ServiceChannel compirà ogni sforzo commercialmente ragionevole per soddisfare le ragionevoli richieste del Cliente di facilitare tali azioni nella misura in cui ServiceChannel sia legalmente autorizzata a farlo.
8.3 ServiceChannel fornirà ragionevole collaborazione al Cliente (a spese del Cliente) in relazione a qualsiasi valutazione d’impatto sulla protezione dei dati che venga eventualmente richiesta ai sensi della Legge sulla protezione dei dati.
9. Risoluzione; cancellazione o restituzione dei Dati
9.1 Il presente Accordo si risolverà automaticamente alla cancellazione o all’anonimizzazione da parte di ServiceChannel di tutti i Dati personali del Cliente.
9.2 Alla risoluzione o scadenza dell’MSA, ServiceChannel dovrà:
(a) se richiesto dal Cliente entro trenta (30) giorni dalla scadenza dell’MSA (il “Periodo di conservazione”) fornire una copia di tutti i Dati personali del Cliente nel formato comunemente utilizzato come richiesto dal Cliente, o fornire una funzionalità self-service che consenta al Cliente di scaricare tali Dati personali del Cliente;
(b) alla scadenza del Periodo di conservazione, eliminare tutte le copie dei Dati personali del Cliente trattati da ServiceChannel o da uno qualsiasi dei suoi Sub-responsabili del trattamento, diversi da:
(i) i Dati di amministrazione o i Dati di utilizzo trattati per le Finalità del Titolare del trattamento o i Dati personali del cliente che ServiceChannel è tenuta a conservare ai sensi della legge applicabile; o
(ii) i Dati personali del Cliente archiviati su sistemi di backup, che ServiceChannel isolerà e proteggerà in modo sicuro da qualsiasi ulteriore Trattamento, salvo nella misura richiesta da tale legge fino a quando non sarà possibile eliminarli.
10. Revisione
10.1 Il Cliente può rivedere la conformità di ServiceChannel al presente DPA. Le parti convengono che tali revisioni saranno condotte:
(a) non più di una volta all’anno, a meno che non siano richieste revisioni più frequenti per rispettare le Leggi sulla protezione dei dati o richieste da un’autorità di controllo con giurisdizione sul Trattamento dei Dati personali del Cliente;
(b) con ragionevole preavviso a ServiceChannel;
(c) solo durante il normale orario di lavoro di ServiceChannel; e
(d) in maniera da non interrompere materialmente l’attività o le operazioni di ServiceChannel.
10.2 In relazione a qualsiasi revisione condotta ai sensi della Sezione 10.1:
(a) il Cliente può incaricare un revisore terzo di condurre la revisione per suo conto, salvo che ServiceChannel possa ragionevolmente opporsi all’incarico del revisore terzo se tale revisore terzo è un concorrente di ServiceChannel;
(b) ServiceChannel non sarà tenuta a facilitare o assistere in alcuna revisione a meno che e fino a quando le parti non abbiano concordato per iscritto l’ambito e la tempistica di tale revisione e le tariffe di rimborso ai sensi della Sezione 10.3.
10.3 Il Cliente rimborserà ServiceChannel per qualsiasi tempo dedicato a tale revisione alle tariffe concordate dalle parti. Prima dell’inizio di tale revisione, il Cliente e ServiceChannel concorderanno reciprocamente l’ambito, la tempistica e la durata della revisione oltre alla tariffa di rimborso di cui il Cliente sarà responsabile. Tutte le tariffe di rimborso saranno ragionevoli e terranno conto delle risorse impiegate da ServiceChannel. Il Cliente dovrà informare tempestivamente ServiceChannel di qualsiasi non conformità scoperta nel corso di una revisione.
10.4 Il Cliente riconosce che ServiceChannel viene sottoposta a regolari revisioni rispetto allo standard SSAE 18 SOC 1 da parte di revisori terzi indipendenti. ServiceChannel fornirà al Cliente su richiesta, o potrà fornire al Cliente in risposta a una richiesta di revisione, una copia riepilogativa della/e propria/e relazione/i di revisione al Cliente, che sarà/saranno oggetto delle disposizioni di riservatezza dell’Accordo. Se una revisione richiesta dal Cliente viene trattata nella relazione della revisione fornita da ServiceChannel, il Cliente accetta tale relazione al posto di condurre una revisione fisica dei controlli contemplati nella relazione pertinente.
11. Limitazione di responsabilità
Il presente DPA è soggetto alle limitazioni di responsabilità e alle esclusioni di responsabilità contenute nell’MSA.
12. Parti del presente Accordo
Fatto salvo quanto stabilito nelle Clausole contrattuali tipo, nulla nel presente DPA conferirà alcun beneficio o diritto a persone o entità che non siano le parti del presente DPA.
13. Effetto giuridico
Questa DPA integra e fa parte dell’MSA.
14. Disposizioni generali
14.1 Il presente DPA sarà disciplinato e interpretato sotto tutti gli aspetti in conformità con le disposizioni di legge e giurisdizione vigenti nell’MSA, a condizione che, in caso di conflitto tra l’MSA e il presente DPA in relazione al trattamento dei Dati personali, prevarrà il presente DPA.
14.2 Il presente Accordo può essere perfezionato in un numero qualsiasi di copie, ciascuna delle quali è un originale e tutte attestano lo stesso accordo tra le parti.
14.3 Oltre a quanto stabilito nel presente DPA, l’MSA rimarrà pienamente valido ed efficace.
ALLEGATO I
A. ELENCO DELLE PARTI
|
Nome |
Indirizzo |
Nome, posizione e dettagli di contatto del referente |
Attività pertinenti ai dati trasferiti |
Ruolo |
|
|
Esportatore dei dati |
Cliente (indicato nell’MSA) |
Indicato nell’MSA |
Indicato nell’MSA |
Ricezione dei Servizi |
Titolare del trattamento |
|
Importatore dei dati |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, Stati Uniti |
Brian Chase, Responsabile degli Affari legali, [email protected] |
Fornitura dei Servizi |
Responsabile del trattamento |
B. DESCRIZIONE DEL TRASFERIMENTO
|
Interessati |
Categorie di dati personali |
Dati personali sensibili |
Frequenza di trasferimento |
Natura e finalità del trattamento |
Periodo di conservazione |
|
Utenti autorizzati del Cliente |
Nome, indirizzo e-mail, indirizzo aziendale, credenziali di accesso. |
Nessuno |
Continua |
Concedere l’accesso ai Servizi agli utenti autorizzati del Cliente. |
Per tutto il tempo in cui il Cliente autorizza l’utente a ricevere i Servizi. |
|
Utenti autorizzati del Cliente |
Nome, indirizzo e-mail, numero di telefono, indirizzo aziendale. |
Nessuno |
Continua |
Facilitare il contatto tra l’utente autorizzato del Cliente e le persone contrattate dal Cliente attraverso i Servizi (“Appaltatori”) |
Per tutto il tempo in cui il Cliente autorizza l’utente a ricevere i Servizi. |
|
Utenti autorizzati del Cliente Personale dell’Appaltatore |
Servizi di gestione delle strutture richiesti tramite i Servizi, data e ora della richiesta. |
Nessuno |
Continua |
Invio di richieste di servizi di gestione delle strutture agli Appaltatori. |
Per la durata dell’MSA. |
|
Utenti autorizzati del Cliente Personale dell’Appaltatore |
Nome, servizi di gestione delle strutture forniti, data e sede dei servizi forniti. |
Nessuno |
Continua |
Manutenzione dei registri dei servizi di gestione della struttura ordinati dal Cliente e completati. |
Per la durata dell’MSA. |
|
Personale dell’Appaltatore |
Nome e recapiti (numero di telefono e indirizzo e-mail) inviati dagli utenti autorizzati del Cliente. |
Nessuno |
Continua |
Facilitare il contatto tra l’utente autorizzato del Cliente e i suoi contatti chiave presso gli Appaltatori. |
Per la durata dell’MSA. |
|
Utenti autorizzati del Cliente |
Richieste di supporto |
Nessuno |
Continua |
Fornire supporto tecnico. |
Per la durata dell’MSA. |
|
Utenti autorizzati del Cliente |
Dati di registro |
Nessuno |
Continua |
Fornire l’accesso ai Servizi. |
Per la durata della sessione di navigazione dell’utente autorizzato. |
Sub-responsabili del trattamento
Come descritto all’indirizzo https://bit.ly/SC_Subprocessors
C. AUTORITÀ DI CONTROLLO COMPETENTE
Commissario irlandese per la protezione dei dati
ALLEGATO II
Misure di sicurezza
ServiceChannel rimarrà sempre responsabile per le seguenti misure di sicurezza di trasferimento commercialmente ragionevoli:
|
MISURE DI SICUREZZA DEL TRASFERIMENTO |
MISURE INTRODOTTE |
|
Misure di pseudonimizzazione e crittografia dei dati personali |
Pseudonimizzazione • mascheramento dei caratteri • scambio • k-anonimato Crittografia • Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) su ogni interfaccia di accesso, utilizzando algoritmi e certificati conformi agli standard di settore. • Crittografia dei dati a riposo utilizzando l’algoritmo AES-256 conforme agli standard di settore |
|
Misure per garantire riservatezza, integrità, disponibilità e resilienza continue dei sistemi e dei servizi di trattamento |
Riservatezza • Rete privata virtuale (VPN) • Autenticazione a più fattori (MFA) • Sistema di diritti differenziati basato su gruppi di sicurezza ed elenchi di controllo degli accessi. • Trasmissione sicura delle credenziali utilizzando TLS 1.2 (o superiore) • Per le password è prevista una complessità minima definita. Le password iniziali devono essere modificate dopo il primo accesso. • Blocco automatico dell’account • Linee guida per la gestione delle password • Controlli degli accessi all’infrastruttura ospitata dal fornitore di servizi cloud • Gestione dei diritti di accesso, comprensiva di concetto di autorizzazione, implementazione delle restrizioni di accesso, implementazione del principio della “necessità di sapere”, gestione di diritti di accesso individuali. • Accordi su formazione e riservatezza per il personale interno e esterno • Separazione della rete • Separazione delle responsabilità e dei doveri • Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Integrità • Interconnessioni di rete sicure garantite da firewall, ecc. • Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali • Registrazione dell’autenticazione e dell’accesso logico monitorato al sistema • Registrazione dell’accesso ai dati, inclusi, a titolo non esaustivo, accesso, modifica, inserimento ed eliminazione dei dati • Documentazione dei diritti di immissione dei dati e registrazione delle voci relative alla sicurezza • Firewall per applicazioni web (WAF) Disponibilità e resilienza • I dati dei clienti vengono sottoposti a backup in più archivi di dati durevoli e replicati in più zone di disponibilità. • Protezione dei supporti di backup archiviati |
|
Misure per garantire la capacità di ripristinare la disponibilità e l’accesso ai Dati personali in modo tempestivo in caso di incidente fisico o tecnico |
• Pianificazione della continuità e piano di recupero in caso di emergenza• Processi di recupero in caso di emergenza per ripristinare dati e processi
• Obiettivo del tempo di recupero (RTO) • Obiettivo del punto di recupero (RPO) • Tempo di inattività massimo tollerabile (MTD) • Misure di gestione della capacità per monitorare il consumo di risorse dei sistemi e la pianificazione di esigenze future in termini di risorse. • Procedure per la gestione e la segnalazione degli incidenti (gestione degli incidenti), tra cui rilevamento e reazione a possibili incidenti di sicurezza. • I dati produttivi vengono sottoposti a backup incrementale ogni ora e a back-up completo ogni giorno. Tutti i backup sono ridondanti e in forma crittografata (AES-256). |
|
Processi per testare, valutare ed esaminare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento |
• Test delle apparecchiature di emergenza• Documentazione delle interfacce e dei campi di dati personali
• Revisioni interne ed esterne • Controlli di sicurezza (ad es. test di penetrazione) condotti da parti esterne • Revisioni SOC 1 e 2 • Benchmarking e test regolari con standard di settore, ad es. Controlli SANS Top 20 per la sicurezza di internet, linee guida del National Institute of Standards and Technology (NIST), ecc. |
|
Misure per l’identificazione e l’autorizzazione dell’utente |
• Interconnessioni di rete sicure garantite da VPN, MFA, firewall, ecc.• Registrazione delle trasmissioni di dati dal sistema IT che memorizza o tratta dati personali
• Registrazione dell’autenticazione e accesso monitorato al sistema • L’accesso ai dati necessari per l’esecuzione di una particolare mansione è garantito all’interno dei sistemi e delle applicazioni dalla corrispondenza del ruolo e da un concetto di autorizzazione basato sul principio della “necessità di sapere”. • Firewall per applicazioni web (WAF) |
|
Misure per la protezione dei Dati durante la trasmissione |
• Accesso remoto alla rete tramite tunnel VPN e crittografia end-to-end• Crittografia HTTPS per i dati in transito (utilizzando TLS 1.2 o superiore) |
|
Misure per la protezione dei Dati durante la conservazione |
• Input di sistema registrati tramite file di registro• Elenchi di controllo degli accessi (ACL)
• Autenticazione a più fattori (MFA) |
|
Misure per garantire la sicurezza fisica delle sedi in cui vengono trattati i Dati personali |
• Suddivisione della struttura in singole zone con autorizzazioni di accesso diverse;• Protezione dell’accesso fisico (ad es. porte in acciaio, stanze prive di finestre o finestre protette);
• Sistema elettronico di controllo degli accessi per proteggere le aree di sicurezza; • Monitoraggio della struttura mediante servizi di sicurezza e registrazione degli accessi alla stessa; • Videosorveglianza di tutte le aree di sicurezza rilevanti per la sicurezza, come ingressi, uscite di emergenza e sale server; • Assegnazione e revoca centrali delle autorizzazioni all’accesso; • Identificazione di tutti i visitatori mediante verifica della loro carta d’identità e registrazione (si conserva un registro dei visitatori); • Identificazione obbligatoria all’interno delle aree di sicurezza per tutti i dipendenti e visitatori; • I visitatori devono essere sempre accompagnati dai dipendenti. |
|
Misure per garantire la registrazione degli eventi |
• Registrazione remota• Hash con concatenazione
• Replicazione • Sistema SIEM (Central Security Event and Information Management [Gestione centrale delle informazioni e degli eventi relativi alla sicurezza]) |
|
Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita |
• Politica e procedure sul controllo degli accessi• Indicazione della configurazione di base
• Pianificazione e gestione della configurazione • Gestione delle modifiche alla configurazione • Registrazione dello stato di configurazione • Verifica e revisioni della configurazione • Gestione dei dispositivi mobili |
|
Misure per la gestione e la governance interne della sicurezza IT e del reparto IT |
• Persona dedicata e indicata per sovrintendere al programma di sicurezza e conformità delle informazioni della società• Revisione SOC 1 e 2 |
|
Misure per la certificazione/verifica di processi e prodotti |
• Certificazioni di sicurezza delle informazioni o gestione della qualità, come SSAE 18 Tipo 2 SOC 1 e SSAE18 Tipo 2 SOC2 |
|
Misure per garantire la minimizzazione dei dati |
• Barriere tecnologiche al collegamento non autorizzato di fonti indipendenti di dati.• Limitazione al livello di dettaglio utilizzato nel trattamento dei dati personali: ad esempio, attraverso tecniche come k-anonimato e offuscamento.
• Eliminazione dei metadati generati durante determinati processi che non sono necessari per l’obiettivo perseguito. |
|
Misure per garantire la qualità dei dati |
• Trattamento per l’esercizio dei diritti di protezione dei dati (diritto di modificare e aggiornare le informazioni)• Documentazione chiara dei requisiti per tutte le condizioni e gli scenari di dati
• Limitare l’accesso ai dati personali alle parti coinvolte nel trattamento in conformità al principio della “necessità di sapere” e in base alla funzione oltre al creare profili di accesso differenziati. Rigorosa profilazione dei dati e controllo dei dati in entrata • Progettazione della pipeline di dati per evitare dati duplicati • Team per la garanzia di qualità • Applicazione dell’integrità dei dati |
|
Misure per garantire una conservazione limitata dei dati |
• Esistenza di programmi e politiche di conservazione chiari• Test di efficacia |
|
Misure per garantire la responsabilità |
• Assegnare la responsabilità di garantire la privacy dell’Utente Finale per tutto il ciclo di vita del prodotto e attraverso processi aziendali applicabili.• Le valutazioni d’impatto sulla protezione dei dati come parte integrante di qualsiasi nuova iniziativa di trattamento.
• Documentare tutte le decisioni adottate all’interno dell’organizzazione dal punto di vista di un “pensiero progettuale della privacy”. |
|
Misure per consentire la portabilità dei dati e garantirne la cancellazione |
• Processi documentati in relazione all’esercizio da parte degli utenti dei loro diritti alla privacy (ad es. diritto di cancellazione o diritto alla portabilità dei dati)• Utilizzo di formati aperti come CSV, XML o JSON. |
|
Restrizioni o misure di salvaguardia applicate per i dati sensibili (se applicabile) |
• La crittografia o l’hashing di dati di categorie speciali, sebbene non sia un requisito legale esplicito, dovrebbe essere la normalità |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar