Addendum sull'elaborazione dei dati

1. Introduzione

ULTEH si impegna a garantire la privacy, la sicurezza e la conformità dei dati dei clienti. Il presente Addendum al Trattamento dei Dati (DPA) definisce i termini che regolano il trattamento, l'archiviazione e la protezione dei dati personali in conformità con le leggi e i regolamenti applicabili in materia di protezione dei dati. Il presente DPA è un'estensione del nostro accordo principale con i Clienti e si applica quando ULTEH tratta i dati personali per conto del Cliente in qualità di responsabile del trattamento. Stabilisce chiare responsabilità per entrambe le parti in merito al trattamento dei dati, garantendo il rispetto delle leggi sulla privacy applicabili. Utilizzando ULTEH, I clienti riconoscono e accettano i termini stabiliti nel presente DPA. Se necessitate di una copia firmata del presente accordo per motivi di conformità, vi preghiamo di contattarci.

2. Definizioni

Affiliato si riferisce a qualsiasi entità che controlla, è controllata o è sottoposta a controllo comune con una parte. Per "controllo" si intende la proprietà diretta o indiretta di almeno il 50% delle azioni con diritto di voto, delle partecipazioni azionarie o di diritti simili nell'entità, che conferisce la capacità di influenzarne la gestione e le politiche. Le affiliate sono considerate vincolate dagli obblighi e dalle responsabilità delineati nel presente DPA nella misura in cui si occupano del trattamento dei Dati Personali.

Sub-responsabile autorizzato indica qualsiasi fornitore terzo, fornitore di servizi o appaltatore incaricato dal Fornitore di Servizi di trattare i Dati Personali del Cliente esclusivamente per conto e secondo le istruzioni del Fornitore di Servizi. I Sub-Responsabili Autorizzati assistono nell'adempimento degli obblighi previsti dal presente DPA e dal Contratto principale. Tutti i Sub-Responsabili devono rispettare gli stessi obblighi di protezione dei dati, garantendo la sicurezza, la riservatezza e la conformità normativa.

Dati dell'account Si riferisce a tutte le informazioni aziendali raccolte, archiviate ed elaborate dal Fornitore di Servizi in relazione al rapporto contrattuale con il Cliente. Ciò include, a titolo esemplificativo ma non esaustivo, nomi, indirizzi e-mail, numeri di telefono, dettagli di pagamento e credenziali di accesso delle persone autorizzate dal Cliente a gestire e utilizzare il proprio account sulla piattaforma del Fornitore di Servizi. I Dati dell'Account vengono utilizzati esclusivamente per scopi amministrativi, di fatturazione e di supporto.

Leggi sulla protezione dei dati Comprende tutte le leggi, i regolamenti e i quadri normativi applicabili che disciplinano la raccolta, il trattamento, l'archiviazione, il trasferimento e la protezione dei Dati Personali. Ciò include, a titolo esemplificativo ma non esaustivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, il GDPR del Regno Unito applicabile al Regno Unito, il California Consumer Privacy Act (CCPA) e qualsiasi altra legge nazionale o internazionale sulla privacy pertinente alle attività di trattamento dei dati ai sensi del presente Contratto. Il rispetto di tali leggi garantisce che i Dati Personali siano trattati in modo lecito, trasparente e sicuro.

Dati personali si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Interessato"). Una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare tramite riferimento a identificativi quali nome, indirizzo email, numero di telefono, dati sulla posizione, un identificativo online (come indirizzo IP o cookie) o altri fattori univoci che definiscono la sua identità. I Dati Personali escludono i dati anonimizzati o aggregati che non possono essere utilizzati per identificare un individuo.

Elaborazione indica qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, sia con mezzi automatizzati che manualmente. Ciò include, a titolo esemplificativo ma non esaustivo, la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione, l'utilizzo, la divulgazione, la trasmissione, la limitazione, la cancellazione o la distruzione dei Dati Personali. Il trattamento viene effettuato in conformità con le istruzioni del Cliente e le Leggi applicabili in materia di protezione dei dati.

Misure di sicurezza si riferiscono alle misure di sicurezza tecniche e organizzative implementate per garantire la riservatezza, l'integrità e la disponibilità dei Dati Personali. Tali misure includono crittografia, controlli di accesso, firewall, mascheramento dei dati, pseudonimizzazione, audit di sicurezza periodici e meccanismi di notifica delle violazioni. Le Misure di Sicurezza sono progettate per prevenire l'accesso non autorizzato, la perdita accidentale o il trattamento illecito dei Dati Personali.

Autorità di vigilanza Si riferisce a un'autorità pubblica indipendente responsabile del monitoraggio e dell'applicazione delle normative sulla protezione dei dati. Tra gli esempi figurano l'**Comitato europeo per la protezione dei dati (EDPB)** per le questioni relative al GDPR, l'**Information Commissioner's Office (ICO) del Regno Unito** per il GDPR del Regno Unito e la **California Privacy Protection Agency (CPPA)** per l'applicazione del CCPA. L'Autorità di controllo ha il potere legale di esaminare i reclami, emanare linee guida e imporre sanzioni in caso di inosservanza.

Diritti dell'interessato si riferiscono ai diritti garantiti agli interessati ai sensi delle Leggi applicabili in materia di protezione dei dati. Tali diritti possono includere il diritto di accesso, rettifica, cancellazione, limitazione o trasferimento dei propri Dati Personali, nonché il diritto di opporsi al trattamento e di presentare reclami a un'Autorità di Controllo. Il Fornitore di Servizi assiste i Clienti nel facilitare l'esercizio di tali diritti, ove applicabile.

3. Trattamento dei dati

Il cliente può agire come un Titolare del trattamento dei dati o un Responsabile del trattamento dei dati, a seconda del rapporto con l'Interessato e delle finalità per cui i Dati Personali vengono trattati. In tutti i casi, ULTEH agisce come un Responsabile del trattamento dei dati, elaborazione dei Dati Personali per conto e secondo le istruzioni del Cliente.

Il Cliente è responsabile di garantire che tutte le attività di elaborazione dei dati condotte utilizzando i nostri Servizi siano conformi a Leggi applicabili sulla protezione dei dati, incluso ma non limitato a Regolamento generale sulla protezione dei dati (GDPR), GDPR del Regno Unito, California Consumer Privacy Act (CCPA) e altre normative sulla privacy applicabili. Il Cliente riconosce di avere la base giuridica per elaborare i Dati Personali e ci indennizza da qualsiasi reclamo, responsabilità o danno derivante dal mancato rispetto di tali requisiti legali.

Elaboreremo i dati personali solo in conformità con le istruzioni scritte del Cliente e solo nella misura necessaria per fornire i Servizi, salvo diversa disposizione di legge. Non utilizzeremo, divulgheremo o condivideremo i Dati Personali per scopi diversi da quelli autorizzati dal Cliente o esplicitamente indicati nel presente Contratto.

Su risoluzione del Contratto o richiesta del Cliente, a discrezione del Cliente, potremo:: (a) Elimina in modo sicuro tutti i Dati Personali trattati ai sensi del presente Contratto, assicurando che non ne rimangano copie a meno che non sia richiesto dalla legge, o (b) Restituire i dati personali al Cliente in un formato strutturato, di uso comune e leggibile da dispositivo automatico prima della cancellazione. Il Cliente è tenuto a fornire tali richieste entro un termine ragionevole prima della risoluzione.

Se siamo legalmente tenuti a conservare i Dati personali oltre la risoluzione del contratto, ne daremo comunicazione al Cliente (a meno che non ci venga vietato dalla legge) e garantiremo che tali dati rimangano protetti in conformità con le Leggi sulla protezione dei dati.

4. Sicurezza e riservatezza

ULTEH si impegna a proteggere la sicurezza e la riservatezza di Dati personali elaborati per conto del Cliente. Per garantire l'integrità e la sicurezza dei dati, implementiamo e manteniamo misure di sicurezza leader del settore progettato per impedire l'accesso non autorizzato, la divulgazione, l'alterazione o la distruzione dei Dati Personali.

Questi misure di sicurezza includono, ma non sono limitati a:

• Crittografia dei dati: I dati personali vengono crittografati sia in transito che a riposo, utilizzando protocolli di crittografia standard del settore per proteggerli da accessi non autorizzati.
• Controlli di accesso: Rigorose politiche di gestione degli accessi garantiscono che solo il personale autorizzato abbia accesso ai dati personali, in base al principio del privilegio minimo.
• Sicurezza di rete e di sistema: Firewall, sistemi di rilevamento delle intrusioni e monitoraggio continuo aiutano a prevenire accessi non autorizzati e minacce informatiche.
• Anonimizzazione e pseudonimizzazione dei dati: Laddove applicabile, i Dati Personali possono essere resi anonimi o pseudonimizzati per ridurre i rischi associati all'esposizione dei dati.
• Controlli di sicurezza regolari: Effettuiamo periodicamente valutazioni della sicurezza, test di vulnerabilità e controlli di conformità per identificare e mitigare i rischi.
• Piano di risposta agli incidenti: Un protocollo strutturato di risposta agli incidenti garantisce che qualsiasi violazione della sicurezza venga prontamente identificata, mitigata e segnalata in conformità con le leggi applicabili in materia di protezione dei dati.

Qualsiasi individuo, inclusi dipendenti, appaltatori e fornitori di servizi autorizzati, che elabora i dati personali per nostro conto è vincolato da rigorosi obblighi di riservatezza. Ciò include la firma legalmente vincolante accordi di non divulgazione (NDA) e aderendo alle politiche interne di gestione dei dati per garantire la conformità agli standard di sicurezza e riservatezza dei dati.

Informeremo tempestivamente il Cliente di qualsiasi **violazione della sicurezza confermata** che possa comportare la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illecito ai Dati Personali. Tali notifiche includeranno i dettagli dell'incidente, il potenziale impatto e le misure correttive adottate per mitigare i rischi.

Esaminiamo e aggiorniamo costantemente le nostre misure di sicurezza in conformità con standard di settore e requisiti normativi in evoluzione per garantire la protezione continua dei dati del Cliente.

5. Sub-responsabili del trattamento

ULTEH può impegnarsi sub-responsabili terzi per assistere nella fornitura e nel mantenimento dei Servizi. Questi Sub-Responsabili svolgono funzioni specifiche come l'archiviazione dei dati, l'hosting dell'infrastruttura, l'analisi o l'assistenza clienti. Garantiamo che tutti i Sub-Responsabili coinvolti aderiscano a rigorosi obblighi di protezione dei dati equivalenti a quelli delineati nel presente DPA.

Manteniamo un elenco aggiornato dei Sub-Responsabili del Trattamento, inclusi i loro ruoli e le sedi di trattamento. I clienti possono richiedere informazioni sui Sub-Responsabili del Trattamento attuali in qualsiasi momento contattandoci.

Diritti e obiezioni del cliente:

• Informeremo i Clienti di eventuali **nuovi impegni di Sub-Processor** almeno 10 giorni in anticipo.
• I clienti possono presentare un'**obiezione** scritta all'utilizzo di un nuovo Sub-responsabile del trattamento entro questo periodo di 10 giorni se hanno legittime **preoccupazioni** in materia di protezione dei dati.
• Dopo aver ricevuto un'obiezione, avvieremo **discussioni in buona fede** per affrontare le preoccupazioni, il che potrebbe includere la ricerca di soluzioni alternative.
• Se non si raggiunge una soluzione reciprocamente accettabile, il Cliente può avere il diritto di **interrompere i Servizi interessati** in conformità con il Contratto.

Noi restiamo pienamente responsabile e passibile di responsabilità per le azioni dei nostri Sub-Processori e garantire che siano conformi a:

• Leggi sulla protezione dei dati, compresi GDPR, CCPA e altre normative applicabili.
• Accordi di riservatezza per proteggere i dati personali.
• Misure di sicurezza standard del settore per impedire l'accesso non autorizzato o l'uso improprio dei dati.

Ci riserviamo il diritto di **aggiornare o sostituire** i nostri Sub-responsabili del trattamento secondo necessità, tenendo in debita considerazione le preoccupazioni del Cliente e gli obblighi di conformità in corso.

6. Trasferimenti di dati personali

ULTEH può trasferire Dati personali fuori dal Spazio economico europeo (SEE), Regno Unito (UK) o Svizzera per facilitare la fornitura dei Servizi. Quando si verificano tali trasferimenti, ci assicuriamo che vengano forniti dati appropriati garanzie legali sono in atto per proteggere i dati trasferiti in conformità con le leggi applicabili sulla protezione dei dati.

Facciamo affidamento su meccanismi di trasferimento dati riconosciuti, inclusi ma non limitati a:

• Clausole contrattuali standard (SCC): Integriamo le SCC approvate dalla Commissione Europea o da altre autorità competenti per garantire trasferimenti di dati legittimi.
• Misure supplementari: Laddove necessario, applichiamo ulteriori misure di sicurezza tecniche, organizzative e contrattuali per migliorare la protezione dei dati.
• Norme vincolanti d'impresa (BCR): Laddove applicabile, le nostre entità affiliate aderiscono alle BCR, garantendo un elevato livello di protezione dei dati nelle operazioni internazionali.
• Altri meccanismi di trasferimento approvati: Ci atteniamo a tutti gli ulteriori quadri normativi, certificazioni o strumenti giuridici riconosciuti per i trasferimenti transfrontalieri di dati legittimi.

Diritti e assistenza del cliente: Ci impegniamo ad assistere il Cliente nel garantire la conformità con le diritti degli interessati ai sensi delle leggi applicabili sulla protezione dei dati. Ciò include, ma non è limitato a:

• Richieste di accesso: Consentire agli interessati di accedere ai propri dati personali.
• Richieste di rettifica: Consentire la correzione di dati inesatti o incompleti.
• Richieste di cancellazione ("Diritto all'oblio"): Assistenza nella cancellazione dei dati personali su richiesta, ove legalmente consentito.
• Opposizione e limitazione del trattamento: Supportare gli interessati nell'esercizio dei loro diritti di opposizione o limitazione delle attività di trattamento dei dati.
• Portabilità dei dati: Facilitare il trasferimento dei Dati Personali a un altro titolare del trattamento, ove applicabile.

Monitoriamo costantemente le normative globali sulla privacy per garantire la conformità ai **requisiti relativi al trasferimento transfrontaliero dei dati** e informeremo il Cliente qualora eventuali modifiche al quadro giuridico incidano sui nostri obblighi di elaborazione dei dati.

7. Diritti dell'interessato

ULTEH riconosce e rispetta i diritti degli **Interessati** ai sensi delle **Leggi sulla Protezione dei Dati** applicabili. Assisteremo il **Cliente**, in qualità di Titolare del Trattamento dei Dati, nel rispondere alle richieste degli interessati in merito ai loro **Dati Personali**.

Gli interessati possono esercitare i seguenti diritti:

• Diritto di accesso: La possibilità di richiedere e ottenere conferma che i propri dati siano o meno in corso di trattamento, nonché di accedere agli stessi.
• Diritto di rettifica: Il diritto di correggere o aggiornare i Dati Personali inesatti o incompleti.
• Diritto alla cancellazione ("diritto all'oblio"): Il diritto di richiedere la cancellazione dei Dati Personali, fatti salvi gli obblighi legali e contrattuali.
• Diritto di limitazione del trattamento: La possibilità di limitare il trattamento dei Dati Personali in determinate condizioni.
• Diritto alla portabilità dei dati: La possibilità di ottenere e trasferire Dati Personali a un altro fornitore di servizi, ove tecnicamente fattibile.
• Diritto di opposizione: Il diritto di opporsi al trattamento basato su interessi legittimi, marketing diretto o processi decisionali automatizzati.
• Diritto di revoca del consenso: Se il trattamento è basato sul consenso, l'interessato può revocare il consenso in qualsiasi momento.

Responsabilità del cliente: Il Cliente, in qualità di Titolare del trattamento dei dati, è responsabile della gestione delle richieste degli Interessati. Forniremo **assistenza ragionevole** su richiesta, assicurando che le risposte siano gestite **tempestivamente e nel rispetto** delle leggi applicabili.

Non risponderemo direttamente alla richiesta di un Interessato, a meno che non siamo legalmente obbligati a farlo o espressamente autorizzati dal Cliente.

8. Notifica di violazione dei dati

ULTEH prende sul serio la sicurezza e implementa **misure preventive** per salvaguardare i Dati Personali. Tuttavia, in caso di **violazione dei Dati Personali**, agiremo **rapidamente e in modo trasparente**.

Piano di risposta alle violazioni dei dati: Se veniamo a conoscenza di una **violazione confermata dei dati personali** che potrebbe comportare l'**accesso non autorizzato, la perdita, l'alterazione o la divulgazione** dei dati personali, provvederemo a:

• **Valutare l'impatto** della violazione e adottare misure immediate per mitigare i rischi.
• **Avvisare il Cliente senza indebito ritardo** (in genere entro 48 ore dalla conferma).
• Fornire dettagli tra cui:
  • La natura e la portata della violazione.
  • Il tipo di dati interessati.
  • Le possibili conseguenze.
  • Misure adottate o proposte per porre rimedio alla violazione.
• **Assistere il Cliente** nell'adempimento di qualsiasi obbligo normativo, comprese le notifiche alle autorità e ai soggetti interessati, ove richiesto.
• **Implementare azioni correttive** per prevenire future violazioni.

Responsabilità del cliente: Il Cliente è responsabile della decisione se informare le autorità di regolamentazione e gli interessati in conformità con le leggi applicabili in materia di protezione dei dati.

Documenteremo tutte le violazioni e conserveremo i registri delle nostre **indagini, degli sforzi di mitigazione e delle azioni correttive**.

9. Conservazione ed eliminazione dei dati

ULTEH conserva i **Dati personali solo per il tempo necessario** ad adempiere ai propri obblighi ai sensi del presente Contratto o come richiesto dalle leggi applicabili.

Politica di conservazione dei dati:

• Seguiamo i **principi di minimizzazione dei dati**, assicurandoci che i dati vengano conservati solo per **legittime esigenze aziendali e di conformità**.
• I dati saranno cancellati o resi anonimi quando **non saranno più necessari** ai fini del trattamento.
• I periodi di conservazione possono variare a seconda dei **requisiti legali, contrattuali o normativi**.

Cancellazione dei dati controllata dal cliente:

• I clienti possono richiedere in qualsiasi momento la **cancellazione dei dati personali**.
• Al termine dei servizi, **cancelleremo o restituiremo i Dati personali** in conformità con le istruzioni del Cliente.
• Se non viene inoltrata alcuna richiesta di cancellazione, elimineremo **automaticamente** i Dati personali entro un lasso di tempo ragionevole, a meno che non siamo legalmente tenuti a conservarli.

Eccezioni alla cancellazione dei dati: In alcuni casi, potremmo **conservare i Dati Personali** oltre il periodo di conservazione concordato, incluso:

• Per ottemperare agli **obblighi legali** (ad esempio, requisiti fiscali, di revisione contabile o normativi).
• Per **interessi legittimi**, come la prevenzione delle frodi o le indagini sulla sicurezza.
• Quando richiesto da una **richiesta legale vincolante** (ad esempio, un ordine del tribunale).

Garantiamo che vengano rispettate **procedure di cancellazione sicura**, impedendo qualsiasi recupero non autorizzato o uso improprio dei Dati personali.

10. Legge applicabile e risoluzione delle controversie

Il presente Addendum sul trattamento dei dati (DPA) sarà regolato e interpretato in conformità con le **stesse leggi e giurisdizione** definite nell'accordo principale tra ULTEH e il Cliente.

Processo di risoluzione delle controversie: In caso di controversia relativa al presente DPA, entrambe le parti concordano di seguire un processo di risoluzione strutturato, che include:

• Negoziazione in buona fede: Le parti cercheranno innanzitutto di risolvere le controversie attraverso discussioni e negoziazioni dirette.
• Mediazione o arbitrato: Se la negoziazione fallisce, la controversia può essere sottoposta a mediazione o arbitrato, come indicato nell'accordo principale.
• Procedimenti legali: Se non si raggiunge una soluzione, le controversie potranno essere risolte tramite procedimenti legali formali nella giurisdizione competente.

In caso di conflitto tra il presente DPA e l'accordo principale, **i termini del presente DPA avranno la precedenza** esclusivamente per quanto riguarda le questioni relative alla protezione dei dati, garantendo la conformità con le normative applicabili. Leggi sulla protezione dei dati.

11. Disposizioni finali

Il presente Addendum sul trattamento dei dati costituisce parte integrante dell'accordo complessivo tra ULTEH e il Cliente. Continuando a utilizzare i Servizi, il Cliente riconosce e **accetta i termini del presente DPA**.

Qualora una qualsiasi disposizione del presente DPA dovesse risultare **invalida o inapplicabile**, le restanti disposizioni continueranno ad avere piena validità ed efficacia. Le parti concordano di sostituire qualsiasi disposizione inapplicabile con una che rifletta il più fedelmente possibile l'intento originale, pur rimanendo conforme alle leggi applicabili.

Modifiche e aggiornamenti: Ci riserviamo il diritto di **modificare o aggiornare il presente DPA** per riflettere eventuali cambiamenti nelle **Leggi sulla protezione dei dati, nelle pratiche del settore o nelle esigenze operative** applicabili. I clienti saranno informati di eventuali modifiche sostanziali e l'utilizzo continuato dei Servizi costituisce accettazione dei termini aggiornati.

Informazioni sui contatti: Per qualsiasi domanda, dubbio o per richiedere una copia firmata del presente DPA, i clienti possono contattarci all'indirizzo: [email protected].