Accordo di Trattamento dei Dati
Questo Contratto di Elaborazione dei Dati, comprese le appendici, (“DPA”) fa parte dell'Accordo tra noi e il Cliente per l'acquisto di servizi di comunicazione (online) da noi per riflettere l'accordo delle Parti riguardo all'elaborazione dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo” o “Cliente” si riferiscono a te come nostro Cliente (soggetto alla Sezione 1.2 qui sotto), e i termini “noi”, “ci” o “nostro” si riferiscono a noi come Fornitore (come definito di seguito). I termini in maiuscolo utilizzati in questo DPA ma non definiti di seguito sono definiti nei nostri Termini e Condizioni Generali o in altro Accordo con noi che regolano il tuo utilizzo dei Servizi.
1.1 Ambito
Questo DPA regola il trattamento dei Dati Personali del Cliente da parte nostra in qualità di processore.
1.2 Affiliati del cliente
Il Cliente entra in questo DPA a nome proprio e, nella misura richiesta dalle Leggi sulla Protezione dei Dati, a nome e per conto delle proprie Affiliate (come definito nei Termini), se e nella misura in cui tu fornisca tali Affiliate con accesso ai Servizi e noi elaboriamo i Dati Personali del Cliente per i quali tali Affiliate si qualificano come titolare del trattamento (“Affiliate del Cliente”). Ai fini di questo DPA solo, e salvo dove indicato diversamente, i termini “Cliente” e “tu” includeranno il Cliente e le Affiliate del Cliente.
1.3 Termini
Questo DPA rimarrà in vigore finché tratteremo i Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione del Contratto.
2. Definizioni
Dati dell'account
“Account Data” è qualsiasi Dati Personali forniti da te o per tuo conto a noi in relazione all'ingresso e alla gestione del Contratto e del tuo account, inclusi ma non limitati a informazioni di contatto, dettagli di fatturazione e corrispondenza riguardante l'ingresso e la gestione del Contratto e dei Servizi correlati.
CCPA
"CCPA" significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento adottato in tal senso, in ciascun caso, modificato di volta in volta.
Dati del Cliente
Il termine “Dati del Cliente” si riferisce a qualsiasi dato e ad altre informazioni o contenuti inviati da te o per tuo conto (o da un utente della tua Applicazione Cliente) ai sensi del Contratto e elaborati o archiviati dai Servizi.
Dati personali del cliente
"Dati Personali del Cliente" indica i Dati Personali contenuti nei Dati del Cliente elaborati da noi in qualità di processor, salvo diversa indicazione in questo DPA.
Leggi sulla protezione dei dati
“Le leggi sulla protezione dei dati” significano tutte le leggi e regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, alla privacy, alla sicurezza o al trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ad esempio e dove applicabile, il GDPR o il CCPA.
SEE
“EEA” si riferisce, ai fini di questo DPA, allo Spazio Economico Europeo e alla Svizzera.
GDPR
“GDPR” significa sia (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche in relazione al trattamento dei dati personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati); oppure (ii) esclusivamente con riferimento al Regno Unito, il Data Protection Act 2018.
Dati personali
“Dati Personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente, sia essa da sola che in combinazione con altre informazioni.
Violazione dei dati personali
«Violazione dei Dati Personali» significa qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illecito ai Dati Personali del Cliente e qualsiasi altro termine simile ai sensi delle normative sulla protezione dei dati applicabili, come «Violazione della Sicurezza».}
Servizi
"Servizi" indica tutti i prodotti e servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te sotto qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
Fornitore
"Fornitore" significa la nostra entità contrattuale che è parte di questo DPA, essendo l'entità contrattuale elencata nella Sezione 15 dei Termini e Condizioni Generali (Entità Contrattuale), salvo diversa indicazione nel tuo Modulo d'Ordine. Tu o il Fornitore potreste essere anche indicati individualmente come "Parte" e insieme come "Parti" in questo DPA.
Clausole Contrattuali Standard
Sotto-processore
"Sub-processore" si riferisce a un'entità terza che elabora i Dati Personali del Cliente per conto del Fornitore, dove il Fornitore agisce come un elaboratore di dati o un sub-processore.
Standard Contractual Clauses del Regno Unito
Le "Standard Contractual Clauses" del Regno Unito si riferiscono a uno o tutti i seguenti: (i) accordo per il trasferimento internazionale di dati emesso dal Commissario per l'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) l'addendum per il trasferimento internazionale di dati alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario per l'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario per l'Informazione del Regno Unito o dalla Commissione Europea che possono sostituirle di volta in volta. Termini come “elaborazione”, “titolare del trattamento”, “responsabile del trattamento”, “oggetto del trattamento”, ecc. avranno il significato loro attribuito ai sensi del GDPR. La definizione di “titolare del trattamento” include “impresa”, “consumatore”, “controllore” e “organizzazione”; "responsabile del trattamento" include “fornitore di servizi”, “processore” e “intermediario dei dati”; “oggetto del trattamento” include “consumatore” e “individuo”; e “Dati Personali” include “informazioni personali”, in ciascun caso come definito ai sensi del CCPA e di altre leggi sulla protezione dei dati applicabili. I termini “propósito commerciale”, “propósito commerciale”, “vendere” e “condividere” avranno lo stesso significato delle leggi sulla protezione dei dati applicabili e, in ciascun caso, i loro termini correlati saranno interpretati di conseguenza.
3. Trattamento dei dati personali dei clienti
3.1 Scopi
Tratteremo i Dati Personali dei Clienti solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione di comunicazioni, garantire la sicurezza dei servizi, fornire report tecnici e di consegna, fornire supporto e sviluppare e implementare miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate forniteci come responsabili del trattamento dei dati come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri legittimi scopi aziendali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento, e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni per il cliente
Il Contratto e questo DPA costituiscono le tue istruzioni complete nei nostri confronti come titolare del trattamento al momento della firma di questo DPA. Ci conformeremo ad altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini del Contratto.
3.3 Dettagli del trattamento
L'Allegato I, Parte B (Descrizione del trasferimento) dell'Appendice I di questo DPA specifica la natura e lo scopo del trattamento da parte nostra come titolare del trattamento o Sottotitolare, le attività di trattamento, la durata del trattamento, i tipi di dati personali e le categorie di interessati.
3.4 Legittimi scopi commerciali
Riconosci che trattiamo i Dati Personali dei Clienti come titolari del trattamento dei dati indipendenti nella misura necessaria per i seguenti legittimi scopi commerciali: fatturazione, gestione dell'account, reporting finanziario e interno, prevenzione e contrasto delle minacce alla sicurezza, attacchi informatici e crimine informatico che possono riguardarti, noi o i nostri servizi, modellazione aziendale (ad es. previsione, pianificazione della capacità e dei ricavi, strategia di prodotto), prevenzione e rilevamento di frodi, spam e abusi, miglioramento della nostra gamma di prodotti e servizi, e per ottemperare ai nostri obblighi legali.
4. Obblighi del cliente
4.1 Legalità
Quando agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano lecite, abbiano uno scopo specifico e che siano in atto tutte le comunicazioni e i consensi necessari o altre basi legali appropriate per consentire il trasferimento lecito dei Dati Personali del Cliente. Se sei un responsabile del trattamento (caso in cui agiremo come Sub-responsabile), garantirai che il titolare del trattamento pertinente garantisca che le condizioni elencate nella Sezione 4.1 siano soddisfatte.
4.2 Conformità
Sei esclusivamente responsabile per (a) assicurarti di conformarti alle Leggi sulla Protezione dei Dati applicabili al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali dei Clienti, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano i tuoi requisiti, e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi ma non limitati a password, dispositivi utilizzati con i Servizi e Applicazioni per i Clienti).
5. Sicurezza
5.1 Misure di Sicurezza
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementeremo e manterremo misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali dei Clienti da violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati dei Clienti che i nostri sistemi utilizzano per trattare i Dati Personali dei Clienti. Le misure di sicurezza applicate da noi sono descritte nell'Appendice II.
5.2 Aggiornamenti alle Misure di Sicurezza
Sei responsabile della revisione delle informazioni rese disponibili da noi relative alla sicurezza dei Dati Personali dei Clienti e della valutazione indipendente se tali informazioni soddisfano i tuoi requisiti e obblighi legali ai sensi delle Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progressi e sviluppi tecnici e che potremmo aggiornare o modificare le nostre misure di sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino una degradazione della sicurezza complessiva dei Dati Personali dei Clienti.
5.3 Controlli di accesso
Applichiamo i principi di "necessità di sapere" e "minimo privilegio" garantendo che l'accesso ai Dati Personali dei Clienti sia limitato al personale necessario per la fornitura dei Servizi e in linea con l'Accordo, inclusa questa DPA.
5.4 Riservatezza del trattamento
Ci assicureremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali dei Clienti (inclusi il nostro personale, agenti e Sub-processori) sia informata della natura riservata di tali Dati Personali dei Clienti e sarà soggetta a un appropriato obbligo di riservatezza (sia essa un dovere contrattuale o legale) che sopravvive alla cessazione del loro incarico.
5.5 Risposta e Notifica della Violazione dei Dati Personali
Una volta venuti a conoscenza di una violazione dei dati personali, provvederemo senza indebiti ritardi a (i) notificarti, (ii) indagare sulla violazione dei dati personali, (iii) fornire informazioni tempestive relative alla violazione dei dati personali man mano che diventano note o come ragionevolmente richiesto da te, e (iv) adottare misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della violazione dei dati personali.
6. Assistenza
6.1 Assistenza alla Protezione dei Dati
Vi forniremo assistenza ragionevolmente richiesta al fine di consentirvi di adempiere ai vostri obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, la valutazione del livello appropriato di sicurezza del trattamento e l'assistenza nello svolgimento di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con i diritti degli interessati
Ti forniremo assistenza ragionevole per consentirti di soddisfare i tuoi obblighi nei confronti dei soggetti interessati che esercitano i propri diritti ai sensi delle Leggi sulla Protezione dei Dati, rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare equivoci, tu, in qualità di titolare del trattamento, sei responsabile dell'elaborazione di qualsiasi richiesta o reclamo da parte dei soggetti interessati relativamente ai Dati Personali del Cliente di un soggetto interessato.
7. Divulgazione e richieste di divulgazione
7.1 Limitazioni sulla divulgazione e accesso
Non forniremo accesso o divulgheremo i Dati Personali dei Clienti tranne (i) come indicato da te, (ii) come previsto nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione
Ti informeremo non appena ragionevolmente possibile se riceviamo una richiesta da un ente governativo o regolamentare per divulgare i Dati Personali del Cliente, a meno che tale avviso non sia vietato dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica di richiesta di divulgazione, disponibile sul nostro sito web qui.
8. Sub-processori
8.1 Elenco degli attuali sub-processori
8.2 Nomina di Sub-processori
Con questo DPA, ci fornisci un'autorizzazione scritta generale per coinvolgere Sub-processori per il trattamento dei Dati Personali dei Clienti, soggetti alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Restrigiamo l'accesso ai Dati Personali dei Clienti da parte dei Sub-processori a quanto è strettamente necessario per fornire i servizi specificati nell'accordo con il sub-processore;
Concordiamo obblighi di protezione dei dati con il Sub-processore che sono sostanzialmente gli stessi degli obblighi previsti in questo DPA; e
Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'adempimento degli obblighi di protezione dei dati del Sub-processore.
8.3 Notifica delle modifiche ai subappaltatori e diritto di opposizione
Prima di sostituire o coinvolgere nuovi Sub-processori ("Cambiare Sub-processore"), ti daremo la possibilità di opporsi al Cambiamento del Sub-processore. Puoi opporsi a un Cambiamento del Sub-processore a condizione che (i) l'opposizione sia fatta per iscritto entro dieci (10) giorni lavorativi dalla nostra comunicazione del Cambiamento del Sub-processore e (ii) l'opposizione si basi e spieghi chiaramente le ragioni ragionevoli relative alla protezione dei Dati Personali del Cliente. Quando ti opponi a un Cambiamento proposto del Sub-processore, collaboreremo con te in buona fede per apportare una modifica ragionevole dal punto di vista commerciale nella fornitura dei Servizi che eviti l'uso del relativo Sub-processore. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni lavorativi dalla ricezione della tua comunicazione di opposizione, o se la modifica è commercialmente irragionevole per noi, ciascuna parte può terminare le funzionalità applicabili dei Servizi che non possono essere fornite senza l'uso del relativo Sub-processore. Questo diritto di terminazione è il tuo unico e esclusivo rimedio se ti opponi a un Cambiamento del Sub-processore.
9. Trasferimenti transfrontalieri di dati personali dei clienti
9.1 Trasferimenti di Dati Personali dei Clienti
Possiamo trasmettere i Dati Personali dei Clienti a condizione che siano in atto tutte le appropriate salvaguardie richieste dalle leggi sulla protezione dei dati. Questo può includere una valutazione d'impatto sulla trasmissione dei dati precedente, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti dei soggetti interessati attuabili e che siano disponibili rimedi legali efficaci per i soggetti interessati.
9.2 Clausole Contrattuali Standard per Sub-processori
A meno che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, come il quadro per la privacy dei dati UE-USA, abbiamo stipulato e manterremo Clausole Contrattuali Standard con Sub-processori (compresi i nostri Affiliati) situati al di fuori dello Spazio Economico Europeo, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di trasferimento per il trasferimento dei dati personali dei clienti
Nella misura in cui l'utilizzo dei Servizi richiede un meccanismo di trasferimento dei dati transfrontaliero per esportare legalmente i Dati Personali del Cliente da una giurisdizione (ad es. EEA, California, Singapore, Svizzera o Regno Unito) a noi situati al di fuori di tale giurisdizione, questa sezione si applicherà. Se, nell'esecuzione dei Servizi, i Dati Personali del Cliente soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA vengono trasferiti a un'entità Fornitore situata in paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento indicati di seguito si applicheranno a tali trasferimenti e possono essere direttamente applicati dalle parti nella misura in cui tali trasferimenti siano soggetti alle Leggi sulla Protezione dei Dati.
9.3.1
Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali del Cliente che vengono trasferiti tramite i Servizi dall'EEE o dalla Svizzera, sia direttamente che tramite ulteriore trasferimento, a un ente Fornitore situato in un paese al di fuori dell'EEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un livello adeguato di protezione per i dati personali.
9.3.1.1
Quando agisci come titolare del trattamento e noi siamo un responsabile del trattamento, il Modulo Due delle Clausole Contrattuali Standard dell'UE per il trasferimento da Titolare a Responsabile si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE. Quando agisci come responsabile del trattamento e noi siamo un sub-responsabile, il Modulo Tre delle Clausole Contrattuali Standard dell'UE per il trasferimento tra Responsabili del Trattamento si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.2
Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard. La firma di questo DPA da parte di ciascuna parte sarà trattata come la firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti secondo l'Allegato 1 e l'Allegato 2 delle Clausole Contrattuali Standard sono disponibili nell'Allegato I e nell'Allegato II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente in relazione a un trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.3
Dove le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di fornire informazioni, le parti lo hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Uso di sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore di dati ha l'autorizzazione generale del titolare per l'impegno di sub-processore(i) da un elenco concordato. L'importatore di dati deve informare specificamente il titolare per iscritto di eventuali cambiamenti previsti a tale elenco attraverso l'aggiunta o la sostituzione di sub-processori con almeno 10 giorni lavorativi di preavviso, offrendo così al titolare tempo sufficiente per poter obiettare a tali cambiamenti prima dell'impegno del sub-processore(i). L'importatore di dati deve fornire all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il proprio diritto di obiezione. L'importatore di dati deve informare l'esportatore di dati dell'impegno del sub-processore(i).”
iii. Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'Opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiario terzo. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le Parti concordano che queste saranno le corti dei Paesi Bassi.”
9.3.2
Le parti concordano che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali del Cliente che vengono trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite trasferimento successivo, a un'entità Fornitrice situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità di regolamentazione competente del Regno Unito o da un organismo governativo per il Regno Unito come fornitore di un livello adeguato di protezione dei dati personali.
9.3.2.1
Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard del Regno Unito. La firma di ciascuna parte di questo DPA sarà considerata come la firma delle Clausole Contrattuali Standard del Regno Unito, che saranno ritenute incorporate in questo DPA. I dettagli richiesti ai sensi delle Clausole Contrattuali Standard del Regno Unito sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard del Regno Unito, le Clausole Contrattuali Standard del Regno Unito prevarranno esclusivamente rispetto al trasferimento dei Dati Personali dei Clienti dal Regno Unito.
10. Audit
10.1 Rapporto di Audit
La nostra piattaforma di comunicazione sarà regolarmente sottoposta a audit secondo lo standard ISO 27001 (o equivalente). L'audit può, a nostra esclusiva discrezione, essere un audit interno o un audit eseguito da una terza parte. Su richiesta scritta, ti forniremo un riepilogo del/i rapporto/i di audit (“Rapporto di Audit”), in modo che tu possa verificare la nostra conformità con gli standard di audit e questo DPA. Tali Rapporti di Audit, così come eventuali conclusioni o riscontri ivi specificati, sono informazioni riservate.
10.2 Richieste di informazioni sui clienti
Metteremo a vostra disposizione tutte le informazioni ragionevolmente necessarie a dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni effettuate da voi, comprese le risposte a questionari sulla sicurezza delle informazioni e audit che siano ragionevoli nella portata e necessarie a confermare la conformità a questo DPA, a condizione che voi (i) abbiate prima fatto un ragionevole sforzo per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non esercitiate questo diritto più di una volta all'anno, a meno che una violazione dei dati personali o un cambiamento significativo nelle nostre attività di trattamento in relazione ai Servizi non richiedano che venga eseguito un questionario aggiuntivo. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del Cliente
Se un rapporto di audit fornito da noi a voi vi dà motivi fondati per credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da voi, permetteremo a un revisore indipendente e qualificato nominato da voi e approvato da noi, di esaminare le attività di trattamento dei Dati Personali applicabili, a condizione che nella misura massima consentita dalla legge applicabile, siano soddisfatti i seguenti requisiti:
Dovrete fornirci un preavviso ragionevole di almeno sessanta (60) giorni prima di esercitare il diritto di audit;
Il revisore accetta obblighi di riservatezza standard di mercato con noi;
Voi e il revisore adottate misure per minimizzare le interruzioni alle nostre operazioni commerciali;
La revisione sarà svolta durante l'orario lavorativo regolare;
Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o sistemi non coinvolti nella fornitura dei Servizi; e
Dovrete pagare tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Al termine o alla scadenza dell'Accordo, noi (a tua scelta) elimineremo o ti restituiremo tutti i Dati Personali del Cliente (comprese le copie) in nostro possesso o controllo, salvo che questo requisito non si applicherà nella misura in cui siamo obbligati dalla legge a trattenere alcuni o tutti i Dati Personali del Cliente. Se ci istruisci ad eliminare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati sui nostri sistemi di backup saranno protetti da ulteriori elaborazioni e verranno eliminati quando il periodo di retention richiesto sarà scaduto.
12. Comunicazione e diritti dell'affiliato cliente
L'ingresso in questo DPA a nome e per conto di un Affiliato del Cliente come indicato nella Sezione 1.2 costituisce un DPA separato tra noi e quel Affiliato del Cliente, soggetto alle seguenti condizioni:
12.1. Comunicazione
Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile del coordinamento di tutta la comunicazione con noi ai sensi di questo DPA e avrà il diritto di fare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto delle sue Affiliate Cliente.
12.2 Diritti degli Affiliati del Cliente
Quando un Affiliato del Cliente diventa parte del DPA con noi, avrà, nella misura in cui richiesto dalle Leggi sulla Protezione dei Dati, il diritto di esercitare i diritti e cercare rimedi ai sensi di questo DPA, soggetto ai seguenti:
(i) Salvo che le Leggi sulla Protezione dei Dati richiedano all'Affiliato del Cliente di esercitare un diritto o cercare un rimedio ai sensi di questo DPA contro di noi direttamente da solo, le parti concordano che (i) solo il Cliente che è la parte contraente dell'Accordo eserciterà qualsiasi diritto o cercherà qualsiasi rimedio per conto dell'Affiliato del Cliente e (ii) il Cliente che è la parte contraente dell'Accordo eserciterà diritti ai sensi di questo DPA non separatamente per ciascun Affiliato del Cliente individualmente ma in modo combinato per se stesso e per tutti i suoi Affiliati del Cliente insieme.
(ii) Le parti concordano che il Cliente che è la parte contraente dell'Accordo dovrà, quando viene effettuata un'auditing in loco delle procedure pertinenti alla protezione dei Dati Personali del Cliente a suo nome come stabilito nella Sezione 10.3 di questo DPA, adottare tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di se stesso e di tutti i suoi Affiliati del Cliente in un unico audit.
Per chiarezza, un Affiliato del Cliente non diventa una parte contraente dell'Accordo.
13. Legge sulla privacy dei consumatori della California
Nella misura in cui è applicabile, facciamo i seguenti impegni aggiuntivi nei vostri confronti relativamente al trattamento dei Dati Personali dei Clienti nell'ambito del CCPA.
13.1 I nostri obblighi ai sensi delle leggi statunitensi sulla protezione dei dati
I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" come utilizzati in questa Sezione 13.1 hanno i significati loro assegnati nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre Leggi Americane sulla Protezione dei Dati ("Dati Personali Statunitensi") in conformità con le disposizioni del CCPA e di altre Leggi Americane sulla Protezione dei Dati. Riguardo ai Dati Personali Statunitensi, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi di altre Leggi Americane sulla Protezione dei Dati. Non venderemo Dati Personali Statunitensi. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale Statunitense (i) per scopi diversi da quelli commerciali specificati nell'Accordo (inclusa la conservazione, l'uso o la divulgazione dei Dati Personali Statunitensi per uno scopo commerciale diverso da quello commerciale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della diretta relazione commerciale tra te e noi.
13.2 Obblighi del Cliente
Dichiari e garantisci di aver fornito notifica all'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità alle leggi sulla protezione dei dati applicabili. Sei responsabile del rispetto dei requisiti delle leggi sulla protezione dei dati nella misura in cui ti siano applicabili come titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie
Qualsiasi controversia, richiesta o contestazione (“Controversie”) derivante o correlata a questo DPA sarà regolata e interpretata in conformità con le leggi dei Paesi Bassi. Ogni Parte concorda che i tribunali competenti di Amsterdam avranno giurisdizione esclusiva per risolvere qualsiasi Controversia derivante o correlata a questo DPA.
13.1 I nostri obblighi ai sensi delle leggi statunitensi sulla protezione dei dati
I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" come utilizzati in questa Sezione 13.1 hanno i significati loro assegnati nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre Leggi Americane sulla Protezione dei Dati ("Dati Personali Statunitensi") in conformità con le disposizioni del CCPA e di altre Leggi Americane sulla Protezione dei Dati. Riguardo ai Dati Personali Statunitensi, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi di altre Leggi Americane sulla Protezione dei Dati. Non venderemo Dati Personali Statunitensi. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale Statunitense (i) per scopi diversi da quelli commerciali specificati nell'Accordo (inclusa la conservazione, l'uso o la divulgazione dei Dati Personali Statunitensi per uno scopo commerciale diverso da quello commerciale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della diretta relazione commerciale tra te e noi.
ALLEGATO I - DETTAGLI DEL TRATTAMENTO
Dove applicabile, questo Allegato I servirà come Allegato I alle Clausole Contrattuali Standard SEE.
Allegato I, Parte A. Elenco delle Parti
I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" come utilizzati in questa Sezione 13.1 hanno i significati loro assegnati nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre Leggi Americane sulla Protezione dei Dati ("Dati Personali Statunitensi") in conformità con le disposizioni del CCPA e di altre Leggi Americane sulla Protezione dei Dati. Riguardo ai Dati Personali Statunitensi, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi di altre Leggi Americane sulla Protezione dei Dati. Non venderemo Dati Personali Statunitensi. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale Statunitense (i) per scopi diversi da quelli commerciali specificati nell'Accordo (inclusa la conservazione, l'uso o la divulgazione dei Dati Personali Statunitensi per uno scopo commerciale diverso da quello commerciale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della diretta relazione commerciale tra te e noi.
Esportatore di dati
Cliente
Dettagli di contatto dell'esportatore di dati
L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo/i email per i quali il Cliente sceglie di ricevere notifiche ai sensi dell'Accordo.
Ruolo di esportatore dati
Il ruolo dell'esportatore di dati è descritto nella Sezione 4 del DPA.
Firma e data
Se e quando applicabile, l'esportatore di dati si considera firmatario delle Clausole Contrattuali Standard incorporate nel presente atto a partire dalla Data Efficace del DPA.
Importatore di dati
Fornitore
Dettagli di contatto dell'importatore dati
Responsabile della Protezione dei Dati - privacy@bird.com
Ruolo di importatore di dati
L'importatore dei dati agisce come responsabile del trattamento dei dati.
Firma e data
Se e quando applicabile, l'importatore dei dati si considera aver firmato le Clausole Contrattuali Standard incorporate nel presente documento a partire dalla Data di Efficacia del DPA.
Allegato I, Parte B. Descrizione del trasferimento
1. Categorie di soggetti i cui Dati Personali vengono trasferiti.
Utenti. Persone di contatto (persone fisiche) o dipendenti, appaltatori o lavoratori temporanei (attuali, prospettivi, ex) del Cliente che utilizzano i Servizi (“Utenti”);
Utenti finali. Qualsiasi individuo (i) i cui dettagli di contatto sono inclusi nell'elenco dei contatti del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite i Servizi, o (ii) a cui il Cliente invia comunicazioni o con cui interagisce o comunica tramite i Servizi (collettivamente, “Utenti finali”). Tu, in qualità di Cliente, determini esclusivamente le categorie di soggetti interessati incluse nella comunicazione inviata tramite la nostra piattaforma di comunicazione.
2. Categorie di dati personali trasferiti
Dati personali del cliente contenuti in, contenuto della comunicazione, dati di traffico, dati dell'utente finale e dati di utilizzo del cliente.
Contenuto della comunicazione, che può includere dati personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te in qualità di Cliente.
Dati di traffico, che possono includere dati personali del cliente riguardanti il routing, la durata o il momento di una comunicazione come una chiamata vocale, SMS o email, sia che riguardi un individuo o un'azienda.
Dati dell'utente finale, come numero di telefono, indirizzo email, nome, cognome, nome del profilo, paese, identificatore del canale.
I dati di utilizzo del cliente possono contenere dati che possono essere collegati a te come individuo inclusi nei dati statistici e nelle informazioni relative al tuo account e alle attività del servizio, approfondimenti relativi al servizio e report analitici riguardanti le comunicazioni inviate e il supporto clienti.
3. Dati sensibili trasferiti
Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio rigorose limitazioni di scopo, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro degli accessi ai dati, restrizioni per trasferimenti ulteriori o misure di sicurezza aggiuntive.
Contenuto della comunicazione. I dati sensibili possono, di tanto in tanto, essere trattati tramite i Servizi dove tu o i tuoi Utenti Finali scegliete di includere dati sensibili nelle comunicazioni che vengono trasmesse utilizzando i Servizi. Sei responsabile per assicurarti che siano in atto misure di protezione adeguate prima di trasmettere o elaborare, o prima di consentire ai tuoi Utenti Finali di trasmettere o elaborare dati sensibili tramite i Servizi, in conformità con la Sezione 3.2 del Contratto.
Dati di traffico, dati degli utenti finali e dati di utilizzo dei clienti. Non ci sono dati sensibili nei dati di traffico, nei dati degli utenti finali o nei dati di utilizzo dei clienti.
4. La frequenza del trasferimento
La frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o su base continua): i Dati Personali del Cliente vengono trasferiti su base continua per la durata dell'Accordo.
5. Natura del trattamento
Tratteremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, compresi i Dati Personali del Cliente, e non condividiamo Dati Personali con terze parti in cambio di compensi o per gli interessi commerciali di queste terze parti.
6. Scopo(i) del trasferimento dei dati e ulteriore elaborazione
Tratteremo i Dati Personali del Cliente come data processor in conformità alle istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento sia necessario per conformarsi a un obbligo legale a cui siamo soggetti, nel qual caso ci qualificheremo come data controller.
Contenuto della comunicazione, dati di traffico, Dati degli Utenti Finali e dati di utilizzo del cliente. I Dati Personali contenuti nel contenuto della comunicazione, nei dati di traffico, nei dati degli Utenti Finali e nei dati di utilizzo del cliente saranno soggetti alle seguenti attività di trattamento di base:
Contenuto della comunicazione. La fornitura di prodotti e servizi di comunicazione programmabili, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, incluso il trasferimento al o dal software del Cliente dalla o alla nostra piattaforma di comunicazione e ad altre reti di comunicazione.
Dati di traffico. I dati di traffico vengono elaborati al fine di trasmettere comunicazioni su una rete di comunicazione elettronica o per la fatturazione in relazione a quella comunicazione. Ciò può includere Dati Personali del Cliente relativi al routing, alla durata o al tempismo di una comunicazione come una chiamata vocale, SMS o email, che si tratti di un individuo o di un'azienda.
Dati degli Utenti Finali. I Dati Personali degli Utenti Finali sono necessari al fine di eseguire i Servizi e saranno trattati solo ai fini della trasmissione della comunicazione, supporto clienti e garantire la conformità con i nostri obblighi legali.
Dati di utilizzo del cliente. I Dati Personali contenuti nei dati di utilizzo del cliente saranno soggetti alle attività di elaborazione per fornire i Servizi ai sensi del Contratto, con l'obiettivo di fornire al Cliente approfondimenti e report analitici relativi alla comunicazione inviata, supporto clienti e miglioramento continuo dei Servizi.
7. Periodo di conservazione dei dati personali
Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: Contenuto della comunicazione e dati di traffico. Per il contenuto delle comunicazioni e i dati di traffico contenuti nei Servizi SMS e Voice si applica un periodo di conservazione di sei mesi; Per i Servizi Video, il contenuto della comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te; Per i servizi email, il contenuto della comunicazione e i dati di traffico sono conservati per 72 ore; Per tutti gli altri servizi, il contenuto della comunicazione e i dati di traffico sono conservati per la durata dei Servizi, salvo se elimini il contenuto della comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi. Dati dell'End-User. I dati dell'End-User saranno elaborati per la durata determinata dal Cliente, quando i dati dell'End-User sono inclusi nei tuoi profili di contatto, il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B. Dati di utilizzo del Cliente. Alla risoluzione del Contratto, potremo conservare, utilizzare e divulgare i Dati di Utilizzo del Cliente per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B, soggetto agli obblighi di riservatezza stabiliti nel Contratto. Anonimizzare o eliminare i dati di utilizzo del cliente quando non ne abbiamo più bisogno per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B.
7. Conservazione dei Dati Personali
Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
Contenuto della comunicazione e dati di traffico;
Per il contenuto della comunicazione e i dati di traffico contenuti nei Servizi SMS e Voce si applica un periodo di conservazione di sei mesi;
Per i Servizi Video il contenuto della comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per i servizi Email il contenuto della comunicazione e i dati di traffico sono conservati per 72 ore;
Per tutti gli altri servizi, il contenuto della comunicazione e i dati di traffico sono conservati per la durata dei Servizi, salvo se tu elimini il contenuto della comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi.
I dati degli Utenti Finali saranno trattati per la durata determinata dal Cliente, quando i dati degli Utenti Finali sono inclusi nei tuoi profili di contatto il periodo di conservazione predefinito è per la durata dei Servizi, fatto salvo il Punto 6(c) di questo Allegato I, Parte B.
Dati di utilizzo del Cliente: Alla risoluzione dell'Accordo, potremmo conservare, utilizzare e divulgare i Dati di Utilizzo del Cliente per le finalità indicate nel Punto 6(d) di questo Allegato I, Parte B, fatto salvo gli obblighi di riservatezza stabiliti nell'Accordo. Anonimizzeremo o elimineremo i dati di utilizzo del cliente quando non ne avremo più bisogno per le finalità indicate nel Punto 6(d) di questo Allegato I, Parte B.
8. Per trasferimenti a (Sub-)processori
Per i trasferimenti a (Sub-)elaboratori, specificare anche l'oggetto, la natura e la durata del trattamento: Per i trasferimenti a Sub-elaboratori, l'oggetto e la natura del trattamento sono delineati nella nostra panoramica dei Sub-elaboratori e la durata è per la durata dell'Accordo.
Allegato I, Parte C. Autorità di Vigilanza Competente
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di supervisione competente.
APPENDICE II - Misure Tecniche e Organizzative di Sicurezza
Dove applicabile, questo Allegato II servirà come Allegato II alle Clausole Contrattuali Standard. Di seguito vengono fornite ulteriori informazioni riguardanti le nostre misure di sicurezza tecniche e organizzative indicate di seguito.
Misure di Sicurezza Tecniche e Organizzative
Misure di pseudonimizzazione e protezione dei Dati Personali in archiviazione e transito:
Tutti i dati personali sono crittografati durante il transito e a riposo e, per quanto rilevante dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate di default.
Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione:
Entriamo in accordi che contengono disposizioni di riservatezza con i nostri dipendenti, appaltatori, fornitori e Sub-processori. La nostra politica di continuità aziendale è quella di preparare la nostra attività e i nostri servizi in caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e di ripristinare i servizi nella massima misura possibile in un intervallo di tempo minimo. Comprendiamo che i servizi che forniamo sono mission critical per i nostri clienti e pertanto tolleriamo molto poco le interruzioni di servizio. I nostri tempi di recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti.
Processi per il test regolare, la valutazione e la valutazione dell'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento:
L'obiettivo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner, i clienti e i sistemi informatici (autorizzati), e minimizzare il rischio di danni prevenendo incidenti di sicurezza e gestendo le minacce e le vulnerabilità di sicurezza. Il nostro team legale, il Data Protection Officer e il team di sicurezza si assicurano che le normative e gli standard applicabili siano integrati nei nostri framework di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti:
Seguiamo i principi di “necessità di sapere” e “minimo privilegio”. Promuoviamo l'uso del controllo degli accessi basato sui ruoli. La fornitura e la revoca sono supervisionate dal team di sicurezza, con Single-Sign-On e 2FA di default. Sono stati definiti i proprietari per ciascun asset informativo che sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e rivisto regolarmente. Quando trattiamo informazioni sensibili o intraprendiamo azioni critiche, utilizziamo il principio delle quattro occhi.
Misure per garantire il logging degli eventi:
I registri di audit sono archiviati e monitorati centralmente su base regolare per eventi di sicurezza e vengono mantenuti sicuri per evitare il rischio di manomissioni. La Politica di Gestione degli Incidenti applica il piano di risposta agli incidenti e le sue procedure. Queste linee guida vengono seguite se si verifica un qualsiasi tipo di incidente di sicurezza o tecnico.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita:
Seguiamo un processo di gestione dei cambiamenti coerente per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come Servizio. Per elaborare ulteriormente, tutte le richieste di modifica (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo di controllo delle modifiche formale. Il processo di controllo assicura che le modifiche proposte siano riesaminate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ogni modifica proposta venga monitorato. Vengono seguite le configurazioni di base per configurare in modo sicuro i sistemi seguendo le migliori pratiche. Inoltre, all'interno del dipartimento Ingegneria, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dei dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica
Promuoviamo attivamente una politica di "Lavoro da qualsiasi luogo" affinché i nostri dipendenti possano lavorare da qualunque posto desiderino. Tuttavia, abbiamo ancora i nostri uffici. Non abbiamo aree sicure/centri dati nei nostri locali poiché siamo un'azienda completamente basata sul cloud. I nostri piani degli uffici sono protetti da controlli di accesso fisico, CCTV e sicurezza con personale.
Misure per la governance e la gestione della sicurezza IT interna:
Manteniamo un programma di sicurezza basato su una valutazione del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, integrità e disponibilità dei Dati dei Clienti. Il nostro programma di sicurezza informatica è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, integrità e disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner e i clienti. Tutto ciò si traduce nelle nostre politiche, procedure e linee guida di sicurezza informatica. Abbiamo un Comitato di Direzione della Sicurezza che è responsabile a livello tattico della sicurezza informatica. Questo comporta il coordinamento delle attività di sicurezza informatica e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il nostro continuo mantenimento della conformità normativa. Tutti i dipendenti sono responsabili della salvaguardia dei beni aziendali. Tutti i nostri dipendenti vengono selezionati per competenza, esperienza e integrità. I dipendenti vengono informati sulla sicurezza e sulla protezione dei dati durante la fase di assunzione, così come attraverso una formazione regolare specifica per il team e altre presentazioni aziendali di massa sull'importanza della protezione dei dati e della conformità alla sicurezza. Siamo certificati ISO 27001, gli standard di sicurezza informatica riconosciuti a livello globale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri fornitori di hosting sono certificati ISO 27001.
Siamo anche registrati presso l'Autorità Olandese per i Consumatori e i Mercati. Questo significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo un Membro Associato del Groupe Speciale Mobile Association (GSMA). Il GSMA rappresenta gli interessi degli operatori mobili in tutto il mondo.
Siamo sempre aggiornati su tutte le leggi e normative applicabili, inclusa la Regolazione Generale sulla Protezione dei Dati, e il Quadro per la Protezione dei Dati EU-USA.
Misure per certificazioni/garantia di processi e prodotti:
Sottoponiamo a rigorosa sorveglianza e a audit di certificazione come parte della nostra conformità alla ISO/IEC 27001 e eseguiamo regolarmente test di vulnerabilità delle applicazioni e di penetrazione.
Misure per garantire la responsabilità:
Implementiamo politiche di sicurezza delle informazioni e protezione dei dati in conformità con le leggi applicabili e pubblichiamo una panoramica delle informazioni rilevanti del nostro ISMS (link). Abbiamo nominato un Direttore della Sicurezza, un Responsabile della Sicurezza delle Informazioni, un Responsabile della Conformità e un Responsabile della Protezione dei Dati e manteniamo documentazione delle nostre attività di trattamento, inclusa la registrazione e la segnalazione degli incidenti di sicurezza che coinvolgono Dati Personali, se applicabile.
Misure per garantire l'eliminazione dei dati:
Garantiamo l'eliminazione dei dati attraverso un processo di cancellazione automatizzato all'interno del nostro ambiente di comunicazione e infrastruttura. Questo processo di cancellazione dei dati assicura che tutti i dati che non sono più necessari per soddisfare uno scopo specifico vengano rimossi dai nostri sistemi dopo l'elaborazione.