Appendice Sul Trattamento Dei Dati
La presente Appendice sul trattamento dei dati (Data Processing Addendum, qui “DPA”) modifica e costituisce parte dell’Accordo quadro di sottoscrizione o altro accordo (l’“Accordo”) tra il Cliente e Absolute che governa la fornitura da parte di Absolute dei Prodotti e Servizi al Cliente. In caso di conflitto tra itermini del presente DPA e l’Accordo, i termini del presente DPA controlleranno.
1. Definizioni. I termini in maiuscolo utilizzati ma non definiti nel presente DPA avranno il significato dato a tali termini all’interno dell’Accordo.
1.1. “Azienda”, “Scopo commerciale”, “raccogliere”, “raccolti”, “raccolta”, “Consumatore”, “Informazioni prive di identificazione”, “Informazioni personali”, “vendita”, “vendere”, e “Fornitore di servizi” hanno il significato stabilito all’interno del CCPA; e “vendere” sarà interpretato di conseguenza;
1.2. “Titolare del trattamento”, “Soggetto interessato”, “Dati personali”, “trattamento”, “Responsabile del trattamento”, e “Autorità di vigilanza” hanno il significato stabilito all’interno del GDPR, e “trattamento”, “trattamenti” e “trattati” saranno interpretati di conseguenza;
1.3. “Dati personali del cliente” indica qualsiasi Dato del cliente che costituisce un’Informazione personale o un Dato personale che viene raccolto o trattato da Absolute come Fornitore di servizi o Responsabile del trattamento (come applicabile) a nome del Cliente per fornire i Prodotti e Servizi, come ulteriormente spiegato nell’Allegato I di questo DPA;
1.4. “Legge sulla protezione dei dati” indica il California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., e le relative regole di attuazione (“CCPA”), Regolamento generale sulla protezione dei dati (EU) 2016/679 (“GDPR”), e la e-Privacy Directive 2002/58/EC (come modificata dalla Direttiva 2009/136/EC) e le loro implementazioni nazionali nello Spazio Economico Europeo (“SEE”), il Federal Data Protection Act svizzero, il General Data Protection Regulation e il Data a Protection Act 2018 britannici, ciascuno come applicabile, e potrebbe essere occasionalmente modificato o sostituito;
1.5. “Diritti dei soggetti interessati” indica i diritti del Cliente o dei Soggetti interessati all’informazione, ad accedere, rettificare, eliminare, cancellare, limitare, alla portabilità, all’obiezione, di rinunciare alla vendita, a non subire discriminazioni per l’esercizio di determinati diritti, e a non essere soggetti a decisioni individuali automatizzate, in conformità con e ciascuno nella misura richiesta dalla Legge sulla protezione dei dati.
1.6. “Europa” indica lo Spazio Economico Europeo (SEE) e la Svizzera;
1.7. “Trasferimento internazionale dei dati” indica qualsiasi trasferimento di Dati personali del cliente dall’Europa o dal Regno Unito verso un paese al di fuori dell’Europa e del Regno Unito;
1.8. “Violazione dei dati personali” indica qualsiasi violazione della sicurezza di Absolute a seguito della quale si verifica, in modo illegale o accidentale, una distruzione, perdita, alterazione, divulgazione non autorizzata dei o accesso ai Dati personali del cliente trasmessi, conservati o altrimenti trattati da Absolute o dai suoi Sub-responsabili.
1.9. “Sub-responsabile” indica un Responsabile del trattamento ingaggiato da Absolute per il trattamento dei Dati personali del cliente;
1.10. “Clausole contrattuali standard” indica le clausole allegate alla Decisione della commissione UE 2021/914 del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento dei dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo (OJ L 199, 7.6.2021, p. 31-61) laddove applicabili e che possono essere occasionalmente modificate o sostituite.
2. Ruolo delle parti e ambito del trattamento
2.1. Ambito. Il presente DPA e ciascuna delle disposizioni e obbligazioni qui presenti si applicano nella misura in cui Absolute tratta i Dati personali del cliente in qualità di Fornitore di servizi o Responsabile del trattamento.
2.2. Ruolo delle parti. Il Cliente è un’Azienda o Titolare del trattamento e nomina Absolute come Fornitore di servizi o Responsabile del trattamento a nome del Cliente. Entrambe le parti raccoglieranno, conserveranno utilizzeranno, divulgheranno e tratteranno i Dati personali del cliente tramite i o in connessione dei Prodotti e Servizi in conformità con l’applicabile Legge sulla protezione dei dati.
2.3. Responsabilità del cliente. Il Cliente ha la responsabilità di rispettare gli applicabili requisiti di avvisare i Soggetti interessati dell’utilizzo di Absolute come Responsabile del trattamento. L’argomento, la natura e lo scopo dell’elaborazione, le tipologie di Dati personali dei clienti e le categorie di Soggetti interessati sono delineati nell’Allegato I.
2.4. Responsabilità di Absolute. Absolute tratterà i Dati personali dei clienti per fornire i Prodotti e Servizi in conformità con le istruzioni legali documentate del Cliente, che sono considerate come fornite per i seguenti scopi: (i) il trattamento in conformità del presente DPA, l’Accordo e qualsiasi dichiarazione di lavoro applicabile; (ii) il trattamento avviato dagli Utenti autorizzati all’utilizzo dei Prodotti e Servizi; e (iii) il trattamento per rispettare altre ragionevoli istruzioni documentate fornite dal Cliente (ad es., via e-mail) laddove tali istruzioni siano consistenti con i termini del presente DPA, l’Accordo e qualsiasi dichiarazione di lavoro applicabile. Salvo divieti previsti dalla normativa applicabile, Absolute informerà il Cliente nel caso in cui venga a conoscenza che, o ritenga che, le istruzioni del Cliente violino la Legge sulla protezione dei dati. Ad esempio, se Absolute riceve una citazione in giudizio o un’ingiunzione da parte delle forze dell’ordine, informerà il Cliente della richiesta a meno che ciò non sia vietato a norma di legge.
2.5. Cooperazione con le richieste del cliente. Absolute, prendendo in considerazione la natura del trattamento e le informazioni disponibili a Absolute, assisterà in modo ragionevole il Cliente nel (a) rispondere alle richieste di esercitare i Diritti dei soggetti interessati; (b) condurre valutazioni sull’impatto della protezione dei dati e consultazioni preventive con le Autorità di vigilanza; e (c) avvisare un Soggetto interessato colpito da una Violazione dei dati personali qualora sia richiesto dalla legge. Il Cliente sarà responsabile di qualsiasi ragionevole costo derivante dal supporto di Absolute.
3. Sicurezza e audit
3.1. Misure di sicurezza. Absolute implementerà misure tecniche e organizzative, appropriate al rischio, per proteggere i Dati personali del cliente da accesso, distruzione, utilizzo, modifica o divulgazione non autorizzati, come stabilito negli Standard di sicurezza di Absolute a cui si fa riferimento nell’Allegato II. Absolute potrebbe modificare occasionalmente gli Standard di sicurezza di Absolute, ma continuerà a fornire quantomeno il medesimo livello di sicurezza descritto negli Standard di sicurezza di Absolute. Absolute garantirà che tutto il personale autorizzato a trattare i Dati personali dei clienti è soggetto a un obbligo di riservatezza.
3.2. Risposta alla violazione dei dati personali. Absolute avviserà tempestivamente il Cliente dopo essere venuta a conoscenza di una Violazione dei dati personali. Absolute compirà degli sforzi commercialmente ragionevoli per identificare la causa della Violazione dei dati personali e adotterà le misure che riterrà necessarie e ragionevoli per rimediare alla causa della Violazione dei dati personali nella misura in cui tale rimedio rientri nel controllo ragionevole di Absolute. Tale disposizione non si applica alle Violazioni dei dati personali causate dal Cliente o dagli utenti del Cliente.
3.3. Audit. Come richiesto dalla Legge sulla protezione dei dati, Absolute fornirà al Cliente un riepilogo dei relazione di audit di Absolute, compresa qualsiasi informazione ragionevolmente necessaria per dimostrare il rispetto da parte di Absolute degli obblighi del presente DPA, posto che Absolute ha la facoltà di censurare qualsiasi informazione confidenziale o commercialmente sensibile in suddette relazioni.
4. Subcontratto
4.1. Sub-incaricati autorizzati. Il Cliente riconosce e accetta che Absolute può ingaggiare dei Sub-responsabili. Una lista degli attuali Sub-responsabili di Absolute è disponibile all’indirizzo www.absolute.com/company/legal/absolute-sub-processors. Absolute stipulerà un accordo scritto con i Sub-responsabili che sostanzialmente impone ai Sub-responsabili i medesimi obblighi imposti ad Absolute ai sensi del presente DPA.
4.2. Modifiche ai Sub-incaricati. Il Cliente riconosce e accetta che Absolute avviserà il Cliente di qualsiasi intenzione di aggiungere o sostituire i Sub-responsabili aggiornando la lista dei Sub-responsabili a cui si far riferimento nella Sezione 4.1. Il Cliente può opporsi all’aggiunta o alla sostituzione di un Sub-responsabile entro trenta (30) giorni a seguito dell’aggiornamento della lista di Sub-responsabili di Absolute. Se l’obiezione del Cliente si basa su motivi ragionevoli relativi a una violazione potenziale o effettiva della Legge sul trattamento dei dati, allora il Cliente e Absolute collaboreranno in buona fede per affrontare l’obiezione del Cliente.
5. Trasferimenti di dati
5.1. Trasferimenti internazionali dei dati. Il Cliente accetta che Absolute può eseguire dei Trasferimenti internazionali dei dati: (a) verso qualsiasi nazione ritenuta adeguata dalla Commissione UE o dal governo del Regno Unito, laddove applicabile, incluso il Canada; (b) sulla base delle appropriate tutele in conformità con la Legge sul trattamento dei dati; o (c) ai sensi delle Clausole contrattuali standard a cui si fa riferimento nella Sezione 5.2 o nella Sezione 5.3. Se il rispetto da parte di Absolute delle Leggi sul trattamento dei dati applicabili ai Trasferimenti internazionali dei dati è influenzata da circostanze che esulano dal suo controllo, compreso uno strumento legale per i Trasferimenti internazionali dei dati cessa di essere valido, viene modificato o sostituito, allora il Cliente e Absolute collaboreranno in buona fede per risolvere tale inadempienza.
5.2. Trasferimenti di dati dall’Europa. Firmando il DPA, il Cliente e Absolute accettano i termini del MODULO DUE delle Clausole contrattuali standard, i quali sono incorporati mediante riferimento al presente DPA. Con il presente documento, le Parti accettano che laddove si applicano le Clausole contrattuali standard, dovranno essere completate nei seguenti modi: (a) la Clausola 7, opzionale, viene mantenuta; (b) nella Clausola 9, l’Opzione 1 viene depennata e l’Opzione 2 viene mantenuta; (c) nella Clausola 11, il linguaggio opzionale viene cancellato; (d) nelle Clausole 17 e 18, la Normativa vigente e i tribunali competenti sono quelli dell’Irlanda; e (e) l’Allegato I e II alle Clausole contrattuali standard sono l’Allegato I e II al presente DPA, rispettivamente. Nel caso in cui Absolute trasferisca i Dati personali del cliente dall’Europa verso un paese che non fornisce un livello adeguato di protezione come determinato dalla Commissione UE per fornire i Prodotti al Cliente, allora si applicheranno le Clausole contrattuali standard.
5.3. Trasferimenti di dati dal Regno Unito. Firmando il DPA, il Cliente e Absolute accettano i termini del MODULO DUE delle Clausole contrattuali standard e la Parte 2 (Clausole obbligatorie) dell’Appendice sul trasferimento internazionale dei dati alle Clausole contrattuali standard, disponibile all’indirizzo https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (l’“Appendice sul Regno Unito”), ivi incorporata mediante riferimento. Nel caso in cui Absolute trasferisca i Dati personali del cliente dal Regno Unito verso un paese che non fornisce un livello adeguato di protezione come determinato dal Regno Unito per fornire i Prodotti al Cliente, allora si applicherà l’Appendice sul Regno Unito.
6. California Consumer Privacy Act
6.1. Considerazione. Absolute riconosce che lo scambio dei Dati personali del cliente tra il Cliente e Absolute non forma parte di alcun corrispettivo monetario tra il Cliente e Absolute a fronte dell’Accordo o del presente DPA.
6.2. Utilizzo dei Dati personali del cliente. Fatto salvo quanto permesso dalla normativa applicabile, Absolute: (a) non conserverà, utilizzerà o divulgherà i Dati personali del cliente se non per eseguire Servizi e fornire i Prodotti specificati nell’Accordo; e (b) non venderà i Dati personali del cliente. Nonostante qualsiasi disposizione contraria dell’Accordo o del presente DPA, i termini del presente DPA non saranno applicati al trattamento da parte di Absolute dei Dati personali del cliente che siano esenti dalla Legge sul trattamento dei dati, nel contesto, fra l’altro, del Cal Civ. Code § 1798.145(a).
7. Cessazione e restituzione o eliminazione dei Dati personali del cliente
7.1. Il presente DPA cessa alla risoluzione dell’Accordo. Il Cliente può ottenere la restituzione dei Dati personali del cliente utilizzando le funzionalità o le funzioni accessibili nell’account del Cliente per i Prodotti applicabili, o nel caso in cui tali funzionalità o funzioni non siano disponibili, il Cliente può richiedere la restituzione dei Dati personali del cliente fino a novanta (90) giorni dopo la risoluzione dell’Accordo. Fatto salvo nei casi in cui sia richiesto o permesso dalla normativa applicabile, Absolute eliminerà o anonimizzerà tutte le copie restanti dei Dati personali del cliente a seguito della risoluzione dell’Accordo.
8. Limitazione di responsabilità
8.1. La responsabile di ciascuna parte che deriva da o sia collegata al presente DPA, comprese le Clausole contrattuali standard, laddove applicabili, nel caso del diritto contrattuale, della responsabilità civile o nel caso di un’altra teoria della responsabilità, è soggetta alla sezione sulla Limitazione di responsabilità dell’Accordo.
9. Invalidità e separabilità
9.1. Se qualsiasi disposizione del presente DPA viene giudicata invalida o inapplicabile da qualsiasi tribunale od organo amministrativo, allora l’invalidità o l’inapplicabilità di tale disposizione non interessa nessun’altra disposizione del presente DPA e tutte le disposizioni non interessate da suddetta invalidità o inapplicabilità rimarranno pienamente in vigore ed effettivo.
ALLEGATO I
- LISTA DELLE PARTI (MODULO DUE: Trasferimento dal titolare del trattamento al responsabile del trattamento)
Esportatore/i dei dati: Cliente
Il Cliente, in qualità di Titolare del trattamento, può scegliere di trasferire i dati ad Absolute in relazione alla ricezione dei Prodotti e Servizi identificati nel Modulo d’ordine applicabile. Il nome, le informazioni di contatto e la firma del Cliente sono stabilite nel Modulo d’ordine applicabile o nell’account del Cliente per i Prodotti e servizi.
Importatore/i dei dati: Absolute
Absolute, in qualità di Responsabile del trattamento, tratta i dati ricevuti dal Cliente in relazione alla fornitura dei Prodotti e Servizi identificati nel Modulo d’ordine applicabile.
Indirizzo: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Contatto: [email protected]
- DESCRIZIONE DEL TRASFERIMENTO (MODULO DUE: Trasferimento dal titolare del trattamento al responsabile del trattamento)
Categorie di Soggetti interessati i cui dati personali sono trasferiti in connessione con i Prodotti e Servizi:
# | Categoria |
1 | Gli utenti dei dispositivi end-point del Cliente |
2 | Il personale amministrativo del Cliente responsabile del mantenimento dell’account del Cliente tramite il Servizio ospitato. |
Categorie di Dati personali trasferiti in connessione con i Servizi Absolute:
# | Categoria |
1 | Laddove applicabile, le informazioni del dispositivo end-point, compresa la marca e il modello del computer, il numero di serie del computer, la versione del BIOS di sistema, il nome del computer, le informazioni sul sistema operativo, il numero di serie del disco rigido, il modello del disco rigido, la versione del firmware del disco rigido, l’ID della batteria, l’IDUU del computer, le stringhe del gateway, il numero di serie della RAM, l’indirizzo MAC, il nome dell’adattatore NIC, l’indirizzo IP, la posizione del dispositivo e le informazioni sull’utilizzo del dispositivo. |
Le informazioni sull’account del Servizio ospitato, inclusi il nome, le informazioni di contatto e le credenziali di accesso. |
Categorie di dati sensibili trasferiti in connessione con i Prodotti e Servizi:
# | Categoria |
1 | Nessuna, |
Frequenza e natura del trattamento:
I dati sono trasferiti su base continuativa. I dati personali trasferiti saranno soggetti alle seguenti operazioni di trattamento.
- per fornire i Prodotti e Servizi, inclusa la memorizzazione dei dati per i Prodotti e Servizi;
- per risolvere problemi tecnici o amministrativi o per la fatturazione e altrimenti rispettare gli obblighi normativi; e
- ottimizzare e migliorare i Prodotti e Servizi e altri scopi commerciali come descritto all’interno del DPA.
Scopi del trasferimenti di dati e ulteriore trattamento
Lo scopo del trasferimenti di dati è fornire i Prodotti e Servizi.
Periodo di conservazione.
Diversi periodi di conservazione dei dati si applicano a seconda del servizio applicabile. Al momento di determinare il periodo di conservazione specifico, Absolute considererà diversi fattori, come il tipo di servizio fornito al Cliente, la natura e la lunghezza della nostra relazione con il Cliente e i periodo di conservazione obbligatori stabiliti dalla normativa e dal termine di prescrizione.
Trasferimento ai (sub-) responsabili del trattamento
La descrizione di cui sopra in questa Sezione B si applica ai dati trasferiti ai Sub-responsabili.
- AUTORITÀ DI VIGILANZA COMPETENTE. (MODULO DUE: Trasferimento dal titolare del trattamento al responsabile del trattamento)
L’autorità di vigilanza competente come definita dal Cliente.
ALLEGATO II
MISURE TECNICHE E ORGANIZZATIVE CHE INCLUDONO MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
Dominio
|
Pratiche |
Organizzazione della sicurezza delle informazioni | · Absolute dispone di un team dedicato alla Sicurezza delle informazioni.
· Il programma di Sicurezza delle informazioni è supportato dal team dirigenziale di Absolute · Absolute pubblica una politica sulla sicurezza delle informazioni approvata dalla dirigenza |
Sicurezza delle risorse umane | · Esegue controlli pre-assunzione sul personale
· Esegue regolari corsi di formazione relativi alla sicurezza delle informazioni |
Sicurezza fisica e ambientale | · Solo gli utenti autorizzati possono accedere fisicamente ai centri che si occupano di elaborare i dati dei clienti
· Utilizza data center e provider di hosting con controlli fisici e ambientali |
Gestione delle comunicazioni e delle operazioni | · Cripta i dati dei clienti in transito e inattivi
· Implementa protezione di rete tra cui firewall, VPN, IDS e, laddove possibile, IPS |
Controllo dell’accesso | · Accesso principale minimo alle reti e ai sistemi
· Richiede l’MFA per l’accesso da remoto |
Implementa la gestione degli incidenti di sicurezza | · Implementa un programma formalizzato di Risposta agli incidenti di privacy e sicurezza |
Operazioni di sicurezza | · Penetration test annuale
· Gestione delle vulnerabilità costanti · Controlli per rilevare e prevenire i malware · Generazione e monitoraggio delle informazioni del registro degli eventi |
Gestione della continuità operativa | · Mantiene piani BCP e DR per supportare la continuità delle operazioni
· Testa piani almeno su base annuale |
Gestione dei fornitori di terze parti | · Mantiene un programma di fornitori di terze parti per rivedere e valutare e monitorare i controlli di sicurezza e privacy dei fornitori di terze parti. |
Sviluppo del sistema | · Fornisce formazione di codifica sicura ai programmatori
· Implementa test di sicurezza come componente del SDLC · Ambienti segregati di sviluppo, test e produzione |