Addendum sul Trattamento dei Dati

1. Introduzione

ULTEH è impegnata a garantire la privacy, la sicurezza e la conformità dei dati dei clienti. Questo Addendum sul Trattamento dei Dati (DPA) delinea i termini che regolano come trattiamo, conserviamo e proteggiamo i dati personali in conformità con le leggi e i regolamenti applicabili sulla protezione dei dati. Questo DPA è un'estensione del nostro accordo principale con i Clienti e si applica quando ULTEH tratta dati personali per conto del Cliente come responsabile del trattamento dei dati. Stabilisce responsabilità chiare per entrambe le parti riguardo alla gestione dei dati, garantendo la conformità con le leggi sulla privacy pertinenti. Utilizzando ULTEH, , i Clienti riconoscono e accettano i termini stabiliti in questo DPA. Se hai bisogno di una copia firmata di questo accordo per scopi di conformità, contattaci.

2. Definizioni

Affiliato si riferisce a qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto controllo comune con una parte. "Controllo" significa la proprietà diretta o indiretta di almeno il 50% delle azioni con diritto di voto, interessi azionari o diritti simili nell'entità, dando la capacità di influenzarne la gestione e le politiche. Gli Affiliati sono considerati vincolati dagli obblighi e dalle responsabilità delineate in questo DPA nella misura in cui si impegnano con il trattamento dei Dati Personali.

Sub-Responsabile Autorizzato significa qualsiasi fornitore terzo, fornitore di servizi o contraente ingaggiato dal Fornitore di Servizi per trattare i Dati Personali del Cliente strettamente per conto e sotto le istruzioni del Fornitore di Servizi. I Sub-Responsabili Autorizzati assistono nell'adempimento degli obblighi secondo questo DPA e l'Accordo principale. Tutti i Sub-Responsabili devono rispettare gli stessi obblighi di protezione dei dati, mantenendo sicurezza, confidenzialità e conformità normativa.

Dati dell'Account si riferisce a tutte le informazioni relative al business raccolte, conservate e trattate dal Fornitore di Servizi in relazione al suo rapporto contrattuale con il Cliente. Questo include, ma non è limitato a, nomi, indirizzi email, numeri di telefono, dettagli di pagamento e credenziali di accesso di individui autorizzati dal Cliente a gestire e operare il loro account sulla piattaforma del Fornitore di Servizi. I Dati dell'Account sono utilizzati strettamente per scopi amministrativi, di fatturazione e di supporto.

Leggi sulla Protezione dei Dati comprendono tutte le leggi, i regolamenti e i quadri normativi applicabili che governano la raccolta, il trattamento, la conservazione, il trasferimento e la protezione dei Dati Personali. Questo include, ma non è limitato a, il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, il GDPR del Regno Unito applicabile al Regno Unito, il California Consumer Privacy Act (CCPA), e qualsiasi altra legge sulla privacy nazionale o internazionale rilevante per le attività di trattamento dei dati in base a questo Accordo. La conformità con queste leggi garantisce che i Dati Personali siano gestiti legalmente, in modo trasparente e sicuro.

Dati Personali si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Interessato"). Una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a identificatori come un nome, un indirizzo email, un numero di telefono, dati di localizzazione, un identificativo online (come indirizzo IP o cookie), o altri fattori unici che definiscono la sua identità. I Dati Personali escludono dati anonimizzati o aggregati che non possono essere utilizzati per identificare un individuo.

Trattamento significa qualsiasi operazione o insieme di operazioni eseguite su Dati Personali, sia con mezzi automatizzati che manualmente. Questo include, ma non è limitato a, raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, alterazione, recupero, consultazione, uso, divulgazione, trasmissione, limitazione, cancellazione o distruzione di Dati Personali. Il Trattamento è condotto in conformità con le istruzioni del Cliente e le Leggi sulla Protezione dei Dati applicabili.

Misure di Sicurezza si riferiscono alle salvaguardie tecniche e organizzative implementate per garantire la riservatezza, l'integrità e la disponibilità dei Dati Personali. Queste misure includono crittografia, controlli di accesso, firewall, mascheramento dei dati, pseudonimizzazione, audit di sicurezza regolari e meccanismi di notifica delle violazioni. Le Misure di Sicurezza sono progettate per prevenire accessi non autorizzati, perdite accidentali o trattamento illecito di Dati Personali.

Autorità di Controllo si riferisce a un'autorità pubblica indipendente responsabile del monitoraggio e dell'applicazione della conformità con le Leggi sulla Protezione dei Dati. Esempi includono il **Comitato Europeo per la Protezione dei Dati (EDPB)** per questioni relative al GDPR, l'**Ufficio del Commissario per l'Informazione del Regno Unito (ICO)** per il GDPR del Regno Unito, e l'**Agenzia per la Protezione della Privacy della California (CPPA)** per l'applicazione del CCPA. L'Autorità di Controllo ha il potere legale di indagare sui reclami, emettere linee guida e imporre sanzioni per non conformità.

Diritti dell'Interessato si riferiscono ai diritti concessi agli individui in base alle Leggi sulla Protezione dei Dati applicabili. Questi diritti possono includere il diritto di accedere, rettificare, cancellare, limitare o trasferire i propri Dati Personali, così come il diritto di opporsi al trattamento e presentare reclami presso un'Autorità di Controllo. Il Fornitore di Servizi assiste i Clienti nel facilitare l'esercizio di questi diritti quando applicabile.

3. Trattamento dei Dati

Il Cliente può agire sia come Titolare del Trattamento che come Responsabile del Trattamento, , a seconda della sua relazione con l'Interessato e degli scopi per cui i Dati Personali vengono trattati. In tutti i casi, ULTEH agisce come Responsabile del Trattamento, , trattando i Dati Personali per conto e sotto le istruzioni del Cliente.

Il Cliente è responsabile di garantire che tutte le attività di trattamento dei dati condotte utilizzando i nostri Servizi siano conformi alle Leggi sulla Protezione dei Dati Applicabili, , inclusi ma non limitati al Regolamento Generale sulla Protezione dei Dati (GDPR), GDPR del Regno Unito, California Consumer Privacy Act (CCPA), e altre normative sulla privacy applicabili. . Il Cliente riconosce di avere la base legale per trattare i Dati Personali e ci indennizza contro qualsiasi reclamo, responsabilità o danno derivante dalla non conformità con questi requisiti legali.

Tratteremo i Dati Personali solo in conformità con le istruzioni scritte del Cliente e solo come richiesto per fornire i Servizi, a meno che non sia diversamente richiesto dalla legge. Non utilizzeremo, divulgheremo o condivideremo Dati Personali per scopi diversi da quelli autorizzati dal Cliente o esplicitamente delineati in questo Accordo.

Alla risoluzione dell'Accordo o su richiesta del Cliente, , noi, a discrezione del Cliente, dovremo:: (a) Cancellare in modo sicuro tutti i Dati Personali trattati in base a questo Accordo, assicurando che non rimangano copie a meno che non sia richiesto dalla legge, o (b) Restituire i Dati Personali al Cliente in un formato strutturato, comunemente usato e leggibile da una macchina prima della cancellazione. Il Cliente deve fornire tali richieste entro un periodo di tempo ragionevole prima della risoluzione.

Se siamo legalmente obbligati a conservare i Dati Personali oltre la risoluzione, lo notificheremo al Cliente (a meno che non ci sia legalmente proibito farlo) e garantiremo che tali dati rimangano protetti in conformità con le Leggi sulla Protezione dei Dati.

4. Sicurezza e Riservatezza

ULTEH è impegnata a proteggere la sicurezza e la riservatezza dei Dati Personali trattati per conto del Cliente. . Per garantire l'integrità e la sicurezza dei dati, implementiamo e manteniamo misure di sicurezza all'avanguardia progettate per prevenire l'accesso, la divulgazione, l'alterazione o la distruzione non autorizzati di Dati Personali.

Queste misure di sicurezza includono, ma non sono limitate a::

• Crittografia dei Dati: I Dati Personali sono crittografati sia in transito che a riposo utilizzando protocolli di crittografia standard del settore per proteggerli da accessi non autorizzati.
• Controlli di Accesso: Rigorose politiche di gestione degli accessi garantiscono che solo il personale autorizzato abbia accesso ai Dati Personali basandosi sul principio del privilegio minimo.
• Sicurezza di Rete e Sistema: Firewall, sistemi di rilevamento delle intrusioni e monitoraggio continuo aiutano a prevenire l'accesso non autorizzato e le minacce informatiche.
• Anonimizzazione e Pseudonimizzazione dei Dati: Dove applicabile, i Dati Personali possono essere anonimizzati o pseudonimizzati per ridurre i rischi associati all'esposizione dei dati.
• Audit di Sicurezza Regolari: Conduciamo valutazioni periodiche della sicurezza, test di vulnerabilità e controlli di conformità per identificare e mitigare i rischi.
• Piano di Risposta agli Incidenti: Un protocollo di risposta agli incidenti strutturato garantisce che qualsiasi violazione della sicurezza sia prontamente identificata, mitigata e segnalata in conformità con le Leggi sulla Protezione dei Dati applicabili.

Qualsiasi individuo, inclusi dipendenti, contraenti e fornitori di servizi autorizzati, che tratta Dati Personali per nostro conto è vincolato da rigorosi obblighi di riservatezza. Questo include la firma di accordi di non divulgazione (NDA) legalmente vincolanti e l'adesione alle politiche interne di gestione dei dati per garantire la conformità con gli standard di privacy e sicurezza dei dati.

Notificheremo prontamente al Cliente qualsiasi **violazione di sicurezza confermata** che possa comportare la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso accidentale o illecito ai Dati Personali. Tali notifiche includeranno dettagli sull'incidente, l'impatto potenziale e gli sforzi di correzione intrapresi per mitigare i rischi.

Rivediamo e aggiorniamo continuamente le nostre misure di sicurezza in conformità con standard del settore in evoluzione e requisiti normativi per garantire la protezione continua dei dati del Cliente.

5. Sub-Responsabili

ULTEH può ingaggiare Sub-Responsabili terzi per assistere nella fornitura e nel mantenimento dei Servizi. Questi Sub-Responsabili svolgono funzioni specifiche come lo storage dei dati, l'hosting dell'infrastruttura, l'analisi o il supporto clienti. Garantiamo che tutti i Sub-Responsabili ingaggiati aderiscano a rigorosi obblighi di protezione dei dati equivalenti a quelli delineati in questo DPA.

Manteniamo un elenco aggiornato di Sub-Responsabili, inclusi i loro ruoli e le località di trattamento. I Clienti possono richiedere informazioni sui Sub-Responsabili attuali in qualsiasi momento contattandoci.

Diritti e Obiezioni del Cliente:

• Notificheremo ai Clienti di qualsiasi **nuovo ingaggio di Sub-Responsabili** almeno 10 giorni in anticipo.
• I Clienti possono presentare una **obiezione** scritta all'uso di un nuovo Sub-Responsabile entro questo periodo di 10 giorni se hanno legittime **preoccupazioni sulla protezione dei dati**.
• Al ricevimento di un'obiezione, avvieremo **discussioni in buona fede** per affrontare le preoccupazioni, che potrebbero includere la ricerca di soluzioni alternative.
• Se non viene raggiunta una risoluzione mutualmente accettabile, il Cliente potrebbe avere il diritto di **terminare i Servizi interessati** in conformità con l'Accordo.

Rimaniamo pienamente responsabili per le azioni dei nostri Sub-Responsabili e garantiamo che rispettino::

• Leggi sulla Protezione dei Dati, , inclusi GDPR, CCPA e altre normative applicabili.
• Accordi di riservatezza per proteggere i Dati Personali.
• Misure di sicurezza standard del settore per prevenire l'accesso non autorizzato o l'uso improprio dei dati.

Ci riserviamo il diritto di **aggiornare o sostituire** i nostri Sub-Responsabili secondo necessità, con dovuta considerazione per le preoccupazioni dei Clienti e gli obblighi di conformità continui.

6. Trasferimenti di Dati Personali

ULTEH potrebbe trasferire Dati Personali al di fuori dello Spazio Economico Europeo (SEE), del Regno Unito (UK) o della Svizzera per facilitare la fornitura di Servizi. Quando tali trasferimenti avvengono, garantiamo che appropriate garanzie legali siano in atto per proteggere i dati trasferiti in conformità con le Leggi sulla Protezione dei Dati applicabili.

Facciamo affidamento su meccanismi di trasferimento dati riconosciuti, inclusi ma non limitati a::

• Clausole Contrattuali Standard (SCC): Incorporiamo SCC approvate dalla Commissione Europea o da altre autorità competenti per garantire trasferimenti di dati legali.
• Misure Supplementari: Ove necessario, applichiamo garanzie tecniche, organizzative e contrattuali aggiuntive per migliorare la protezione dei dati.
• Norme Vincolanti d'Impresa (BCRs): Quando applicabile, le nostre entità affiliate aderiscono a BCRs che garantiscono un alto livello di protezione dei dati nelle operazioni internazionali.
• Altri Meccanismi di Trasferimento Approvati: Rispettiamo qualsiasi framework, certificazione o strumento legale aggiuntivo riconosciuto per i trasferimenti di dati transfrontalieri legali.

Diritti del Cliente e Assistenza: Ci impegniamo ad assistere il Cliente nel garantire la conformità con i diritti degli Interessati ai sensi delle Leggi sulla Protezione dei Dati applicabili. Questo include, ma non è limitato a::

• Richieste di Accesso: Consentire agli Interessati di accedere ai propri Dati Personali.
• Richieste di Rettifica: Permettere correzioni a dati inaccurati o incompleti.
• Richieste di Cancellazione ("Diritto all'Oblio"): Assistere con la cancellazione dei Dati Personali su richiesta, dove legalmente consentito.
• Obiezione e Limitazione del Trattamento: Supportare gli Interessati nell'esercizio dei loro diritti di opporsi o limitare le attività di trattamento dei dati.
• Portabilità dei Dati: Facilitare il trasferimento dei Dati Personali a un altro titolare del trattamento, ove applicabile.

Monitoriamo continuamente le normative globali sulla privacy per garantire la conformità con i **requisiti di trasferimento dei dati transfrontalieri** e notificheremo al Cliente se cambiamenti nel quadro legale impattano i nostri obblighi di trattamento dei dati.

7. Diritti dell'Interessato

ULTEH riconosce e rispetta i diritti degli **Interessati** ai sensi delle **Leggi sulla Protezione dei Dati** applicabili. Assisteremo il **Cliente**, in qualità di Titolare del Trattamento, nel rispondere alle richieste degli individui riguardanti i loro **Dati Personali**.

Gli Interessati possono esercitare i seguenti diritti::

• Diritto di Accesso: La capacità di richiedere e ottenere conferma se i loro dati sono in fase di trattamento, insieme all'accesso ai dati.
• Diritto di Rettifica: Il diritto di correggere o aggiornare Dati Personali inaccurati o incompleti.
• Diritto alla Cancellazione ("Diritto all'Oblio"): Il diritto di richiedere la cancellazione dei Dati Personali, soggetto a obblighi legali e contrattuali.
• Diritto alla Limitazione del Trattamento: La capacità di limitare il trattamento dei Dati Personali in determinate condizioni.
• Diritto alla Portabilità dei Dati: La capacità di ottenere e trasferire i Dati Personali a un altro fornitore di servizi dove tecnicamente fattibile.
• Diritto di Opposizione: Il diritto di opporsi al trattamento basato su interessi legittimi, marketing diretto o processi decisionali automatizzati.
• Diritto di Revocare il Consenso: Se il trattamento è basato sul consenso, l'Interessato può revocare il consenso in qualsiasi momento.

Responsabilità del Cliente: Il Cliente, agendo come Titolare del Trattamento, è responsabile della gestione delle richieste degli Interessati. Forniremo **assistenza ragionevole** su richiesta, assicurando che le risposte siano gestite **prontamente e in conformità** con le leggi applicabili.

Non risponderemo direttamente a una richiesta dell'Interessato a meno che non siamo legalmente obbligati a farlo o esplicitamente autorizzati dal Cliente.

8. Notifica di Violazione dei Dati

ULTEH prende sul serio la sicurezza e implementa **misure preventive** per salvaguardare i Dati Personali. Tuttavia, in caso di **Violazione dei Dati Personali**, agiremo **rapidamente e in modo trasparente**.

Piano di Risposta alle Violazioni dei Dati: Se veniamo a conoscenza di una **Violazione dei Dati Personali confermata** che potrebbe comportare **accesso non autorizzato, perdita, alterazione o divulgazione** di Dati Personali, noi::

• **Valuteremo l'impatto** della violazione e adotteremo misure immediate per mitigare i rischi.
• **Notificheremo al Cliente senza indebito ritardo** (tipicamente entro 48 ore dalla conferma).
• Forniremo dettagli che includono::
  • La natura e la portata della violazione.
  • Il tipo di dati interessati.
  • Le potenziali conseguenze.
  • Misure adottate o proposte per affrontare la violazione.
• **Assisteremo il Cliente** nell'adempimento di eventuali obblighi normativi, comprese le notifiche alle autorità e agli Interessati coinvolti, ove richiesto.
• **Implementeremo azioni correttive** per prevenire future violazioni.

Responsabilità del Cliente: Il Cliente è responsabile di determinare se notificare le autorità di regolamentazione e gli Interessati in conformità con le Leggi sulla Protezione dei Dati applicabili.

Documenteremo tutte le violazioni e manterremo registri della nostra **indagine, degli sforzi di mitigazione e delle azioni di correzione**.

9. Conservazione e Cancellazione dei Dati

ULTEH conserva **i Dati Personali solo per il tempo necessario** per adempiere ai propri obblighi ai sensi del presente Accordo o come richiesto dalle leggi applicabili.

Politica di Conservazione dei Dati:

• Seguiamo **principi di minimizzazione dei dati**, garantendo che i dati siano conservati solo per **esigenze aziendali e di conformità legittime**.
• I dati saranno cancellati o anonimizzati una volta che **non siano più necessari** per gli scopi di trattamento.
• I periodi di conservazione possono variare a seconda dei **requisiti legali, contrattuali o normativi**.

Cancellazione dei Dati Controllata dal Cliente:

• I Clienti possono richiedere **la cancellazione dei Dati Personali** in qualsiasi momento.
• Alla risoluzione dei servizi, **cancelleremo o restituiremo i Dati Personali** in conformità con le istruzioni del Cliente.
• Se non viene effettuata alcuna richiesta di cancellazione, **cancelleremo automaticamente** i Dati Personali entro un periodo di tempo ragionevole, a meno che non siamo legalmente obbligati a conservarli.

Eccezioni alla Cancellazione dei Dati: In alcuni casi, potremmo **conservare i Dati Personali** oltre il periodo di conservazione concordato, tra cui::

• Per adempiere a **obblighi legali** (ad es., fiscali, di controllo o requisiti normativi).
• Per **interessi legittimi**, come la prevenzione delle frodi o le indagini sulla sicurezza.
• Quando richiesto da una **richiesta legale vincolante** (ad es., ordinanza del tribunale).

Garantiamo che vengano seguite **procedure di cancellazione sicure**, impedendo qualsiasi recupero o uso improprio non autorizzato dei Dati Personali.

10. Legge Applicabile e Risoluzione delle Controversie

Questo Addendum sul Trattamento dei Dati (DPA) sarà regolato e interpretato in conformità con le **stesse leggi e giurisdizione** definite nell'accordo principale tra ULTEH e il Cliente.

Processo di Risoluzione delle Controversie: Se sorge una controversia in merito a questo DPA, entrambe le parti accettano di seguire un processo di risoluzione strutturato, includendo::

• Negoziazione in Buona Fede: Le parti tenteranno prima di risolvere le controversie attraverso discussioni e trattative dirette.
• Mediazione o Arbitrato: Se la negoziazione fallisce, la controversia può essere deferita a mediazione o arbitrato, come delineato nell'accordo principale.
• Procedimenti Legali: Se non viene raggiunta alcuna risoluzione, le controversie possono essere risolte attraverso procedimenti legali formali nella giurisdizione applicabile.

In caso di conflitto tra questo DPA e l'accordo principale, **i termini di questo DPA avranno la precedenza** esclusivamente per quanto riguarda le questioni di protezione dei dati, garantendo la conformità con le applicabili Leggi sulla Protezione dei Dati.

11. Disposizioni Finali

Questo Addendum sul Trattamento dei Dati forma parte integrante dell'accordo complessivo tra ULTEH e il Cliente. Continuando a utilizzare i Servizi, il Cliente riconosce e **accetta i termini di questo DPA**.

Se una qualsiasi disposizione di questo DPA è ritenuta **non valida o inapplicabile**, le restanti disposizioni continueranno a essere pienamente efficaci. Le parti concordano di sostituire qualsiasi disposizione inapplicabile con una che rifletta l'intento originale il più possibile, pur rimanendo conforme alle leggi applicabili.

Modifiche e Aggiornamenti: Ci riserviamo il diritto di **modificare o aggiornare questo DPA** per riflettere cambiamenti nelle **Leggi sulla Protezione dei Dati applicabili, nelle pratiche del settore o nelle esigenze operative**. I Clienti saranno informati di eventuali modifiche sostanziali, e l'uso continuato dei Servizi costituisce l'accettazione dei termini aggiornati.

Informazioni di Contatto: Per qualsiasi domanda, preoccupazione o per richiedere una copia firmata di questo DPA, i Clienti possono contattarci a:: [email protected].