Appendice sul trattamento dei dati

1. Introduzione

ULTEH si impegna a garantire la privacy, la sicurezza e la conformità dei dati dei clienti. Questo Addendum per il Trattamento dei Dati (DPA) illustra i termini che regolano come trattiamo, conserviamo e proteggiamo i dati personali in conformità alle leggi e ai regolamenti applicabili in materia di protezione dei dati. Questo DPA è un'estensione del nostro accordo principale con i clienti e si applica quando ULTEH Elabora dati personali per conto del Cliente in qualità di responsabile del trattamento. Stabilisce responsabilità chiare per entrambe le parti riguardo alla gestione dei dati, garantendo il rispetto delle leggi sulla privacy pertinenti. Utilizzando ULTEH, I clienti riconoscono e accettano i termini stabiliti nel presente DPA. Se per motivi di conformità necessita di una copia firmata di questo accordo, la preghiamo di contattarci.

2. Definizioni

Affiliato Indica qualsiasi entità che controlla, è controllata da o è soggetta a controllo comune con una parte, direttamente o indirettamente. 'Controllo' significa la proprietà diretta o indiretta di almeno il 50% delle azioni con diritto di voto, delle partecipazioni o di diritti simili nell'entità, conferendo la capacità di influenzarne la gestione e le politiche. Le affiliate sono considerate vincolate dagli obblighi e dalle responsabilità indicate nel presente DPA nella misura in cui partecipano al trattamento dei Dati Personali.

Sottoprocessore autorizzato indica qualsiasi fornitore terzo, prestatore di servizi o appaltatore incaricato dal Fornitore del Servizio di trattare i Dati Personali del Cliente esclusivamente per conto e su istruzione del Fornitore del Servizio. I sottoprocessori autorizzati assistono nell'adempimento degli obblighi previsti dal presente DPA e dal Contratto principale. Tutti i sottoprocessori devono rispettare gli stessi obblighi di protezione dei dati, garantendo sicurezza, riservatezza e conformità normativa.

Dati dell'account si riferisce a tutte le informazioni relative all'attività raccolte, memorizzate e trattate dal Fornitore del Servizio in relazione al rapporto contrattuale con il Cliente. Ciò include, a titolo esemplificativo ma non esaustivo, i nomi, gli indirizzi e-mail, i numeri di telefono, i dati di pagamento e le credenziali di accesso delle persone autorizzate dal Cliente a gestire e amministrare il proprio account sulla piattaforma del Fornitore del Servizio. I Dati dell'Account sono utilizzati esclusivamente per scopi amministrativi, di fatturazione e di supporto.

Leggi sulla protezione dei dati comprendono tutte le leggi, i regolamenti e i quadri normativi applicabili che disciplinano la raccolta, il trattamento, l'archiviazione, il trasferimento e la protezione dei Dati Personali. Ciò include, ma non si limita a, il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, il UK GDPR applicabile nel Regno Unito, il California Consumer Privacy Act (CCPA) e qualsiasi altra legge nazionale o internazionale sulla privacy pertinente alle attività di trattamento dei dati ai sensi del presente Accordo. La conformità a tali leggi garantisce che i Dati Personali siano trattati in modo lecito, trasparente e sicuro.

Dati personali indica qualsiasi informazione relativa a una persona fisica identificata o identificabile ('Interessato'). Una persona identificabile è chi può essere identificato, direttamente o indirettamente, in particolare facendo riferimento a identificatori quali nome, indirizzo e‑mail, numero di telefono, dati di localizzazione, un identificatore online (come indirizzo IP o cookie) o altri fattori unici che definiscono la sua identità. I dati personali escludono dati anonimizzati o aggregati che non possono essere utilizzati per identificare un individuo.

Elaborazione in corso indica qualsiasi operazione o insieme di operazioni effettuate su Dati Personali, sia con mezzi automatizzati sia manualmente. Ciò include, a titolo esemplificativo ma non esaustivo, la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, il recupero, la consultazione, l'utilizzo, la divulgazione, la trasmissione, la limitazione, la cancellazione o la distruzione dei Dati Personali. Il trattamento è effettuato in conformità alle istruzioni del Cliente e alle leggi applicabili in materia di protezione dei dati.

Misure di sicurezza Si riferiscono alle misure tecniche e organizzative adottate per garantire la riservatezza, l'integrità e la disponibilità dei Dati Personali. Tali misure comprendono la crittografia, i controlli di accesso, i firewall, il masking dei dati, la pseudonimizzazione, audit di sicurezza periodici e meccanismi di notifica delle violazioni. Le misure di sicurezza sono progettate per prevenire accessi non autorizzati, perdite accidentali o trattamenti illeciti dei Dati Personali.

Autorità di vigilanza si riferisce a un'autorità pubblica indipendente responsabile del monitoraggio e dell'applicazione della conformità alle leggi sulla protezione dei dati. Esempi includono il **European Data Protection Board (EDPB)** per questioni relative al GDPR, il **UK Information Commissioner's Office (ICO)** per il GDPR del Regno Unito e la **California Privacy Protection Agency (CPPA)** per l'applicazione della CCPA. L'autorità di controllo ha il potere legale di indagare sui reclami, fornire orientamenti e imporre sanzioni in caso di non conformità.

Diritti dell'interessato si riferiscono ai diritti riconosciuti agli individui ai sensi delle leggi applicabili in materia di protezione dei dati. Tali diritti possono includere il diritto di accedere, rettificare, cancellare, limitare o trasferire i propri Dati Personali, nonché il diritto di opporsi al trattamento e di presentare reclami a un'Autorità di controllo. Il Fornitore del Servizio assiste i Clienti nel facilitare l'esercizio di tali diritti, quando applicabile.

3. Elaborazione dei dati

Il cliente può agire come l'uno o l'altro Titolare del trattamento o un Responsabile del trattamento, a seconda del suo rapporto con l'interessato e delle finalità per le quali i dati personali sono trattati. In tutti i casi, ULTEH funge da Responsabile del trattamento, trattamento dei dati personali per conto del Cliente e secondo le sue istruzioni.

Il Cliente è responsabile di garantire che tutte le attività di trattamento dei dati effettuate mediante i nostri Servizi siano conformi a Leggi applicabili sulla protezione dei dati, inclusi, ma non limitati a Regolamento generale sulla protezione dei dati (RGPD/GDPR), UK GDPR, la California Consumer Privacy Act (CCPA) e altre normative sulla privacy applicabili. Il Cliente riconosce di avere la base giuridica per trattare i Dati Personali e ci tiene indenne da qualsiasi reclamo, responsabilità o danno derivante dalla mancata conformità a tali obblighi legali.

Tratteremo i dati personali. solo in conformità alle istruzioni scritte del Cliente e soltanto nella misura necessaria a fornire i Servizi, salvo diverso obbligo di legge. Non utilizzeremo, divulgheremo né condivideremo Dati Personali per scopi diversi da quelli autorizzati dal Cliente o espressamente indicati nel presente Accordo.

al risoluzione del contratto o su richiesta del cliente, provvederemo, a discrezione del Cliente, oppure: (a) Elimina in modo sicuro tutti i Dati Personali trattati ai sensi del presente Accordo, garantendo che non rimangano copie salvo ove richiesto dalla legge, o (b) Restituire i dati personali al Cliente in un formato strutturato, comunemente utilizzato e leggibile da macchina prima dell'eliminazione. Il Cliente deve inoltrare tali richieste entro un termine ragionevole prima della cessazione.

Qualora fossimo legalmente tenuti a conservare Dati Personali oltre la cessazione, comunicheremo al Cliente (salvo divieto legale) e ci assicureremo che tali dati rimangano protetti in conformità alle leggi sulla protezione dei dati.

4. Sicurezza e riservatezza

ULTEH si impegna a proteggere la sicurezza e la riservatezza di Dati personali elaborato per conto di Cliente. Per garantire l'integrità e la sicurezza dei dati, implementiamo e manteniamo misure di sicurezza all'avanguardia nel settore Progettato per prevenire l'accesso, la divulgazione, la modifica o la distruzione non autorizzata dei dati personali.

Questi Misure di sicurezza includono, ma non si limitano a:

• Crittografia dei dati: I dati personali sono crittografati sia in transito che a riposo mediante protocolli di crittografia conformi agli standard del settore, per proteggerli da accessi non autorizzati.
• Controlli di accesso: Politiche rigorose di gestione degli accessi garantiscono che solo il personale autorizzato abbia accesso ai dati personali, in base al principio del privilegio minimo.
• Sicurezza di rete e dei sistemi: I firewall, i sistemi di rilevamento delle intrusioni e il monitoraggio continuo aiutano a prevenire accessi non autorizzati e minacce informatiche.
• Anonimizzazione e pseudonimizzazione dei dati: Quando applicabile, i dati personali possono essere anonimizzati o pseudonimizzati per ridurre i rischi associati all'esposizione dei dati.
• Audit di sicurezza regolari: Effettuiamo valutazioni di sicurezza periodiche, test delle vulnerabilità e verifiche di conformità per individuare e mitigare i rischi.
• Piano di risposta agli incidenti: Un protocollo strutturato di risposta agli incidenti assicura che qualsiasi violazione della sicurezza venga prontamente identificata, mitigata e segnalata nel rispetto delle leggi sulla protezione dei dati vigenti.

Qualsiasi individuo, compresi dipendenti, appaltatori e fornitori di servizi autorizzati, che tratta Dati Personali per nostro conto è vincolato da rigorosi obblighi di riservatezza. Ciò include la firma di documenti legalmente vincolanti accordi di riservatezza (NDA) e rispettare le politiche interne di gestione dei dati per garantire la conformità agli standard di privacy e sicurezza dei dati.

Notificheremo tempestivamente il Cliente di qualsiasi violazione di sicurezza confermata che possa comportare la distruzione, perdita, alterazione, divulgazione non autorizzata o l'accesso ai Dati Personali in modo accidentale o illecito. Tali notifiche comprenderanno i dettagli dell'incidente, l'impatto potenziale e le azioni correttive intraprese per mitigare i rischi.

Revisioniamo e aggiorniamo continuamente le nostre misure di sicurezza in conformità con standard di settore e requisiti normativi in evoluzione per garantire la protezione continua dei dati del cliente.

5. Sub-responsabili

ULTEH può interagire sottoprocessori di terze parti per assistere nella fornitura e nel mantenimento dei Servizi. Questi sub-responsabili svolgono funzioni specifiche come l'archiviazione dei dati, l'hosting dell'infrastruttura, le analisi o l'assistenza clienti. Ci assicuriamo che tutti i sub-responsabili coinvolti rispettino rigorosi obblighi di protezione dei dati equivalenti a quelli descritti in questo DPA.

Manteniamo un elenco aggiornato dei sub‑responsabili del trattamento, comprendente i loro ruoli e le sedi di trattamento. I clienti possono richiedere informazioni sui sub‑responsabili attuali in qualsiasi momento contattandoci.

Diritti e obiezioni del cliente:

• Informeremo i clienti di qualsiasi **nuovo coinvolgimento di sub-responsabili** almeno 10 giorni di anticipo.
• I clienti possono presentare, entro questo periodo di 10 giorni, un'obiezione scritta all'utilizzo di un nuovo sub-responsabile se hanno legittime preoccupazioni in materia di protezione dei dati.
• Al ricevimento di un'obiezione, avvieremo discussioni in buona fede per affrontare le preoccupazioni, il che può includere la ricerca di soluzioni alternative.
• Se non si giunge a una soluzione reciprocamente accettabile, il Cliente può avere il diritto di **terminare i Servizi interessati** in conformità all'Accordo.

Rimaniamo pienamente responsabile e giuridicamente responsabile per le azioni dei nostri sub-responsabili e garantire che rispettino:

• Leggi sulla protezione dei dati, inclusi GDPR, CCPA e altre normative applicabili.
• Accordi di riservatezza per proteggere i dati personali
• Misure di sicurezza conformi agli standard del settore per prevenire l'accesso non autorizzato o l'uso improprio dei dati.

Ci riserviamo il diritto di **aggiornare o sostituire** i nostri sub‑processori, se necessario, tenendo debito conto delle preoccupazioni dei clienti e degli obblighi di conformità in corso.

6. Trasferimenti di dati personali

ULTEH può trasferire Dati personali fuori dal Spazio economico europeo (SEE), il Regno Unito (RU) o la Svizzera per agevolare la prestazione dei Servizi. Quando avvengono tali trasferimenti, ci assicuriamo che siano messe in atto adeguate garanzie. garanzie legali Sono in atto misure per proteggere i dati trasferiti in conformità alle leggi applicabili sulla protezione dei dati.

Facciamo affidamento su meccanismi riconosciuti di trasferimento dei dati, inclusi, ma non limitati a:

• Clausole contrattuali standard (SCCs): Integriamo le clausole contrattuali standard approvate dalla Commissione europea o da altre autorità competenti per garantire trasferimenti di dati leciti.
• Misure integrative: Quando necessario, applichiamo ulteriori misure di tutela tecniche, organizzative e contrattuali per rafforzare la protezione dei dati.
• Regole aziendali vincolanti (BCRs): Quando applicabile, le nostre entità affiliate si attenengono alle Regole Aziendali Vincolanti (BCR), garantendo un elevato livello di protezione dei dati nelle operazioni internazionali.
• Altri meccanismi di trasferimento approvati: Ci conformiamo a qualsiasi quadro, certificazione o strumento giuridico aggiuntivo riconosciuto per i trasferimenti transfrontalieri di dati leciti.

Diritti e assistenza del cliente: Ci impegniamo ad assistere il Cliente nel garantire la conformità a diritti degli interessati in base alle leggi applicabili sulla protezione dei dati. Ciò include, ma non si limita a:

• Richieste di accesso: Consentire agli interessati l'accesso ai propri dati personali.
• Richieste di rettifica: Consentire la correzione di dati inesatti o incompleti.
• Richieste di cancellazione («diritto all'oblio»): Supporto per la cancellazione dei dati personali su richiesta, quando consentito dalla legge.
• Opposizione e limitazione del trattamento: Supportare gli interessati nell'esercizio del diritto di opporsi o di limitare le attività di trattamento dei dati.
• Portabilità dei dati: Facilitare il trasferimento dei Dati Personali a un altro titolare del trattamento, se applicabile.

Monitoriamo costantemente le normative sulla privacy a livello globale per garantire la conformità ai requisiti di trasferimento transfrontaliero dei dati e informeremo il Cliente se modifiche nel quadro normativo incidono sui nostri obblighi di trattamento dei dati.

7. Diritti dell'interessato

ULTEH Riconosce e rispetta i diritti dei **soggetti interessati** ai sensi delle **leggi applicabili in materia di protezione dei dati**. Assisteremo il **Cliente**, in qualità di Titolare del trattamento, nel rispondere alle richieste degli interessati relative ai loro **Dati Personali**.

Gli interessati possono esercitare i seguenti diritti:

• Diritto di accesso: La possibilità di richiedere e ottenere la conferma che i propri dati siano trattati, nonché l'accesso a tali dati.
• Diritto di rettifica: Il diritto di correggere o aggiornare i dati personali inesatti o incompleti.
• Diritto alla cancellazione ('diritto all'oblio'): Il diritto di richiedere la cancellazione dei Dati Personali, fatto salvo gli obblighi legali e contrattuali.
• Diritto di limitare il trattamento: La possibilità di limitare il trattamento dei dati personali in determinate condizioni.
• Diritto alla portabilità dei dati: La possibilità di ottenere e trasferire i Dati Personali a un altro fornitore di servizi quando tecnicamente fattibile.
• Diritto di opposizione: Il diritto di opporsi al trattamento basato su interessi legittimi, al marketing diretto o al processo decisionale automatizzato.
• Diritto di revocare il consenso: Se il trattamento si basa sul consenso, l'interessato può revocare il consenso in qualsiasi momento.

Responsabilità del cliente: Il Cliente, in qualità di Titolare del trattamento, è responsabile della gestione delle richieste degli interessati. Su richiesta forniremo un'assistenza ragionevole, garantendo che le risposte siano gestite tempestivamente e nel rispetto della normativa applicabile.

Non risponderemo direttamente a una richiesta dell'interessato, salvo che non siamo legalmente tenuti a farlo o che il Cliente non ci autorizzi esplicitamente.

8. Notifica di violazione dei dati

ULTEH prende la sicurezza sul serio e mette in atto misure preventive per tutelare i dati personali. Tuttavia, in caso di violazione dei dati personali, agiremo con rapidità e trasparenza.

Piano di risposta alle violazioni dei dati: Se veniamo a conoscenza di una violazione confermata di dati personali che possa comportare l'accesso non autorizzato, la perdita, la modifica o la divulgazione di dati personali, adotteremo le misure appropriate.:

• Valuti l'impatto della violazione e prenda immediatamente provvedimenti per mitigare i rischi.
• Notificare il cliente senza indebito ritardo (di norma entro 48 ore dalla conferma).
• Fornisca dettagli, includendo::
  • La natura e l'entità della violazione.
  • Tipo di dati interessati
  • Le possibili conseguenze.
  • Misure adottate o proposte per affrontare la violazione.
• Assistere il Cliente nell'adempimento di eventuali obblighi normativi, comprese, quando richiesto, le notifiche alle autorità e agli interessati.
• Attuare azioni correttive per prevenire future violazioni.

Responsabilità del cliente: Il Cliente è responsabile di determinare se notificare le autorità di regolamentazione e gli interessati in conformità alle leggi applicabili sulla protezione dei dati.

Documenteremo tutte le violazioni e conserveremo i registri delle nostre indagini, delle attività di mitigazione e delle azioni di ripristino.

9. Conservazione e cancellazione dei dati

ULTEH conserva **i Dati Personali solo per il tempo necessario** a soddisfare i propri obblighi ai sensi del presente Accordo o se richiesto dalle leggi applicabili.

Politica di conservazione dei dati:

• Seguiamo i principi della minimizzazione dei dati, garantendo che i dati vengano conservati solo per esigenze aziendali legittime e di conformità.
• I dati saranno cancellati o anonimizzati non appena non saranno più necessari per le finalità del trattamento.
• I periodi di conservazione possono variare in base a requisiti legali, contrattuali o normativi.

Cancellazione dei dati controllata dal cliente:

• I clienti possono richiedere in qualsiasi momento la **cancellazione dei dati personali**.
• Al termine dei servizi, cancelleremo o restituiremo i dati personali in conformità alle istruzioni del cliente.
• Se non viene fatta una richiesta di cancellazione, cancelleremo i Dati Personali **automaticamente** entro un periodo di tempo ragionevole, salvo obbligo legale di conservarli.

Eccezioni alla cancellazione dei dati: In alcuni casi, potremmo **conservare i dati personali** oltre il periodo di conservazione concordato, inclusi:

• Per rispettare gli **obblighi legali** (ad es., requisiti fiscali, di revisione o normativi).
• Per **interessi legittimi**, come la prevenzione delle frodi o le indagini di sicurezza.
• Quando richiesto da un atto legale vincolante (ad es., un'ordinanza del tribunale).

Garantiamo che vengano seguite le **procedure di cancellazione sicura**, prevenendo qualsiasi recupero non autorizzato o uso improprio dei Dati Personali.

10. Legge applicabile e risoluzione delle controversie

Il presente Addendum per il Trattamento dei Dati (DPA) sarà disciplinato e interpretato in conformità alle **stesse leggi e alla stessa giurisdizione** definite nel contratto principale tra ULTEH e il cliente.

Procedura di risoluzione delle controversie: Qualora sorga una controversia relativa a questo DPA, entrambe le parti concordano di seguire una procedura strutturata di risoluzione, che include::

• Negoziazione in buona fede: Le parti tenteranno prima di risolvere le controversie mediante discussioni e negoziazioni dirette.
• Mediazione o arbitrato: Se la negoziazione fallisce, la controversia può essere deferita alla mediazione o all'arbitrato, come previsto dal contratto principale.
• Procedimenti legali: Qualora non si giunga a una risoluzione, le controversie possono essere risolte mediante procedimenti giudiziari formali nella giurisdizione competente.

In caso di conflitto tra questo DPA e l'accordo principale, le disposizioni di questo DPA avranno priorità esclusivamente per le questioni relative alla protezione dei dati, garantendo il rispetto delle leggi applicabili. Leggi sulla protezione dei dati.

11. Disposizioni finali

Il presente Addendum sul Trattamento dei Dati costituisce parte integrante dell'accordo complessivo tra ULTEH e il Cliente. Continuando a utilizzare i Servizi, il Cliente prende atto e accetta i termini del presente DPA.

Se una qualsiasi disposizione del presente DPA dovesse risultare invalida o non applicabile, le restanti disposizioni continueranno ad avere pieno vigore ed efficacia. Le parti concordano di sostituire qualsiasi disposizione non applicabile con una che rifletta il più fedelmente possibile l'intenzione originale, rimanendo conforme alle leggi applicabili.

Modifiche e aggiornamenti: Ci riserviamo il diritto di modificare o aggiornare il presente DPA per riflettere cambiamenti nelle leggi sulla protezione dei dati applicabili, nelle prassi del settore o nelle esigenze operative. I clienti saranno informati di qualsiasi modifica sostanziale e l'uso continuato dei Servizi costituisce accettazione dei termini aggiornati.

Informazioni di contatto: Per qualsiasi domanda, dubbio o per richiedere una copia firmata di questo DPA, i clienti possono contattarci al seguente indirizzo:: [email protected].