Addendum all'EUSA sul trattamento dei dati

Il presente Addendum sul trattamento dei dati (“DPA”) è incorporato ed è parte integrante del Contratto di servizio con l'utente finale (“EUSA”) tra Avetta e il Fornitore e stabilisce i termini, i requisiti e le condizioni aggiuntivi in base ai quali Avetta otterrà, gestirà, tratterà, divulgherà, trasferirà o conserverà i Dati personali nella fornitura dei servizi previsti dall'EUSA. Tutti i termini in maiuscolo non definiti nel presente DPA avranno il significato ad essi attribuito nell'EUSA.

1. Definizioni e interpretazione.

1.1 Definizioni.

Per "Legislazione vigente in materia di protezione dei dati" si intendono le leggi e i regolamenti applicabili al trattamento dei Dati personali da parte della rispettiva Parte in relazione all'EUSA, tra cui, ove applicabile, (i) il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio (“GDPR”), modificato e integrato, a seconda dei casi, dalle leggi e dai regolamenti pertinenti degli Stati Membri dell'UE in cui opera direttamente o indirettamente il Fornitore, (ii) il Data Protection Act del Regno Unito del 2018 e il UK General Data Protection Regulation (“UK GDPR”), (iii) l'Australian Privacy Act del 1988 e gli Australian Privacy Principles, (iv) il California Consumer Privacy Act del 2018, modificato dal California Privacy Rights Act del 2020, e qualsiasi regolamento o guida correlato (collettivamente, il "CCPA"), (v) il Canadian Personal Information Protection and Electronic Documents Act (“PIPEDA”), (vi) la Lei Geral de Proteção de Dados Pessoais del Brasile, Legge n. 13.709/2018, e qualsiasi regolamento, risoluzione o linea guida emanata dall’Autorità brasiliana per la protezione dei dati (ANPD, acronimo portoghese) (collettivamente, la “LGPD”) e (vii) qualsiasi altra legge, norma, regolamento, direttiva e requisito governativo internazionale, federale, statale, territoriale, provinciale e locale sulla privacy o sulla protezione dei dati attualmente in vigore e che entrerà in vigore.

Con "BR SCC" si intendono le clausole contrattuali standard per i trasferimenti internazionali di dati approvate dall'ANPD ai sensi della Delibera CD/ANPD n. 19/2024 (e successive modifiche o sostituzioni periodiche).

Per “Interessato si intende la persona fisica alla quale si riferiscono i Dati personali che è identificata o identificabile, direttamente o indirettamente, da tali Dati personali.

Il “Data Privacy Framework” comprende il Data Privacy Framework UE-USA, la UK Extension to the EU-US Data Privacy Framework e il Swiss-US Data Privacy Framework, elaborati rispettivamente dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione europea, dal governo del Regno Unito e dall'Amministrazione federale svizzera al fine di promuovere il commercio transatlantico e fornire alle organizzazioni statunitensi meccanismi affidabili per il trasferimento dei Dati personali verso gli Stati Uniti provenienti dal SEE, dal Regno Unito (e Gibilterra) e dalla Svizzera, garantendo nel contempo una protezione dei dati conforme alla legislazione dell'UE, del Regno Unito e della Svizzera.

Per “SEE” si intende lo Spazio economico europeo costituito da tutti gli Stati membri dell’Unione Europea e da Islanda, Norvegia e Liechtenstein.

Per "SCC dell'UE" si intendono le clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a paesi terzi, come stabilito nell'Appendice alla decisione (UE) 2021/914 della Commissione, una copia delle quali è disponibile all'indirizzo https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

Per "Dati personali" si intendono tutte le informazioni trattate da Avetta che (i) identificano o si riferiscono a una persona che può essere identificata, direttamente o indirettamente,sulla base di tali dati da soli o in combinazione con altre informazioni in possesso o sotto il controllo di Avetta, oppure che (ii) la Legislazione vigente in materia di protezione dei dati definisce altrimenti come dati personali o informazioni personali protette.

Per “Trattare, trattamento, trattamenti” si intende qualsiasi attività che comporti l’uso di Dati personali, o qualsiasi altra definizione dei termini “trattare", "trattamento” o ‘trattamenti’ prevista dalla normativa vigente in materia di protezione dei dati. Ciò comprende la raccolta, la registrazione o la conservazione dei dati, nonché l'esecuzione di qualsiasi operazione o insieme di operazioni sui dati, tra cui l'organizzazione, la modifica, il recupero, l'utilizzo, la comunicazione, la cancellazione o la distruzione degli stessi. Il trattamento include anche il trasferimento di dati personali a soggetti terzi.

Per “Violazione della sicurezza” si intende una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali, in modo accidentale o illecito.

Per “Richiesta di esercizio dei diritti dell'interessato” si intende l’esercizio da parte di un Interessato dei propri diritti ai sensi della Legislazione vigente in materia di protezione dei dati.

Per “UK Addendum” si intende l’Addendum internazionale dello UK Information Commissioner’s Office sul trasferimento dei dati alle Clausole contrattuali standard della Commissione europea, una copia del quale è disponibile all’indirizzo https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/appropriate-safeguards/what-are-standard-data-protection-clauses-the-uk-idta-and-the-addendum/.

1.2 Gli Allegati costituiscono parte integrante del presente DPA e hanno efficacia come se fossero riportati integralmente nel corpo del presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.

1.3 Ogni riferimento al termine “scritto” o “per iscritto” include le e-mail.

1.4 In caso di conflitto o ambiguità tra una qualsiasi delle disposizioni del presente DPA e le disposizioni dell'EUSA, prevarranno le disposizioni del presente DPA; in caso di conflitto tra le disposizioni del presente DPA e le disposizioni contenute nell'Allegato A, prevarranno le disposizioni applicabili dell'Allegato A.

2. Ruoli e ambito del trattamento.

Il presente DPA si applica esclusivamente ai Dati Personali divulgati, trasferiti, inviati o resi disponibili in altro modo da o per conto del Fornitore ad Avetta in relazione ai Servizi.

2.1 Ruoli delle Parti. Il Fornitore e Avetta prendono atto e accettano che:

(a) Avetta agisce in qualità di responsabile del trattamento nella misura in cui il trattamento dei Dati personali viene effettuato per conto e sotto la direzione del Fornitore, ad esempio il trattamento dei Dati personali del Fornitore (compresi i Dati personali del proprio personale e dei propri lavoratori) contenuti nei moduli di qualifica preliminare/conformità e in qualsiasi documentazione o altro contenuto caricato dal Fornitore (anche tramite i propri Utenti autorizzati) sul Sito per la condivisione con i propri Clienti.

(b) Avetta agisce in qualità di titolare del trattamento nella misura in cui il trattamento dei Dati personali è effettuato per le proprie finalità in relazione alla fornitura dei Servizi di Avetta o ai suoi legittimi interessi commerciali, quali la fatturazione, la gestione dell'account, l'assistenza tecnica, la prevenzione e il rilevamento di minacce alla sicurezza, lo sviluppo dei prodotti, l'analisi dei dati e le attività di vendita e marketing (ad esempio, l'invio di newsletter agli utenti amministratori del Fornitore).

2.2 Trattamento dei Dati personali da parte del Fornitore. Il Fornitore prende atto e accetta che:

(a) Il Fornitore sarà l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali inviati ad Avetta e/o al Sito (sia dal Fornitore sia dai suoi Interessati);

(b) Il Fornitore dovrà caricare e inviare ad Avetta e/o al Sito solo i Dati personali ottenuti dagli Interessati in conformità alla Legislazione vigente in materia di protezione dei dati;

(c) Il Fornitore deve assicurarsi di disporre di tutti i consensi e di tutte le comunicazioni necessarie e di avere soddisfatto tutti gli altri requisiti previsti dalla Legislazione vigente in materia di protezione dei dati, al fine di consentire il trasferimento legale dei Dati personali (compresi i dati sensibili) ad Avetta e di autorizzare il trattamento di tali Dati da parte di Avetta in varie giurisdizioni, in conformità con l’EUSA e il presente DPA;

(d) Laddove il consenso costituisca la base giuridica per il trattamento dei Dati personali o sia altrimenti richiesto per l’utilizzo dei Servizi Avetta, il Fornitore dovrà, in ogni momento, mettere a disposizione e mantenere (i) un meccanismo per ottenere tale consenso dagli Interessati e (ii) un meccanismo che consenta agli Interessati di revocare tale consenso, in entrambi i casi in conformità con la Legislazione vigente in materia di protezione dei dati; e

(e) L'utilizzo dei Servizi Avetta da parte del Fornitore non violerà i diritti di alcun Interessato.

2.3 Dettagli sul trattamento dei dati. L'Allegato B descrive le Categorie generali di Dati personali, i tipi di Interessati e altri dettagli relativi al trattamento che Avetta attuerà nell'ambito della fornitura dei Servizi Avetta in conformità con l'EUSA.

3. Obblighi di Avetta.

3.1 Avetta tratterà i Dati personali solo per le finalità specifiche del trasferimento, come indicato nell'Allegato B. Avetta potrà trattare i Dati personali per finalità diverse (i) ove abbia ottenuto il previo consenso dell'Interessato, (ii) ove necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, normativi o giudiziari; oppure (iii) ove la Legislazione vigente in materia di protezione dei dati consenta di utilizzare i Dati personali per finalità ulteriori rispetto a quelle specifiche indicate nell'Allegato B senza il consenso dell'Interessato. Ove Avetta agisca in qualità di responsabile del trattamento del Fornitore, Avetta tratterà i Dati personali conformemente alle istruzioni del Fornitore. Le Parti concordano che le istruzioni del Fornitore rientrano nell'ambito di applicazione dell'EUSA e che il Fornitore deve ottenere il previo consenso scritto di Avetta per eventuali istruzioni aggiuntive. Avetta informerà tempestivamente il Fornitore qualora, a suo giudizio, tali istruzioni violino la Legislazione vigente in materia di protezione dei dati e, qualora il Fornitore non fornisca istruzioni o non adotti azioni correttive entro 10 giorni da tale notifica, Avetta potrà, esclusivamente nella misura necessaria per ottemperare alla Legislazione vigente in materia di protezione dei dati, sospendere il trattamento, disabilitare l’accesso, rimuovere dal Sito o, se necessario, cancellare in modo sicuro i Dati personali interessati. Avetta darà documentate motivazioni di tale azione e informerà il Fornitore senza ingiustificati ritardi. Ove applicabile, il Fornitore sarà responsabile di tutte le comunicazioni, notifiche, assistenza e/o autorizzazioni che dovessero essere necessarie in relazione ai propri Interessati.

3.2 Avetta, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assisterà, nei limiti del possibile, il Fornitore nell'adempimento degli obblighi di conformità previsti dalla legislazione vigente in materia di protezione dei dati, a condizione che il Fornitore copra tutti i costi sostenuti da Avetta in relazione alla fornitura di tale assistenza. Tali obblighi di conformità possono includere l'obbligo di effettuare una valutazione dell'impatto delle operazioni di trattamento sulla protezione dei Dati personali (una "Valutazione d'impatto sulla protezione dei dati") qualora il Trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

4. Dipendenti di Avetta.

4.1 Avetta garantirà che tutti i dipendenti che hanno accesso o sono coinvolti nel Trattamento dei Dati personali (i) abbiano seguito una formazione sulla Legislazione vigente in materia di protezione dei dati relativa al Trattamento dei Dati personali e siano consapevoli dei doveri di Avetta e dei propri doveri e obblighi personali ai sensi della Legislazione vigente in materia di protezione dei dati e del presente DPA; e (ii) siano soggetti a un adeguato obbligo di riservatezza (sia esso contrattuale o legale).

4.2 Avetta adotterà misure adeguate a garantire l'affidabilità, l'integrità e l'attendibilità di qualsiasi dipendente di Avetta che abbia accesso ai Dati personali.

5. Sicurezza.

5.1 Tenendo conto della natura, dell'ambito, del contesto e delle finalità del Trattamento, dei costi di attuazione, nonché del rischio, in termini di probabilità e gravità, per i diritti e le libertà degli Interessati, Avetta ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, comprese le misure di sicurezza descritte nell'Appendice II dell'Allegato B. Avetta può revisionare e aggiornare l'Appendice II periodicamente, a condizione che tali aggiornamenti non compromettano in maniera sostanziale la sicurezza complessiva dei Servizi Avetta o dei Dati personali.

5.2 Il Fornitore è tenuto a verificare le informazioni messe a disposizione da Avetta in merito alla sicurezza dei dati e a stabilire in modo indipendente se i Servizi soddisfano i requisiti e gli obblighi legali del Cliente ai sensi della Legislazione vigente in materia di protezione dei dati.

6. Violazione della sicurezza e perdita di Dati personali.

6.1 Avetta notificherà al Fornitore qualsiasi Violazione della sicurezza senza ingiustificato ritardo non appena ne verrà a conoscenza e fornirà tutta l'assistenza necessaria per consentire al Fornitore di adempiere agli obblighi di segnalazione delle violazioni ai sensi e nei tempi richiesti dalla Legislazione vigente in materia di protezione dei dati. La notifica di Avetta verrà inviata all'e-mail registrata dal Fornitore all'interno dei Servizi Avetta e, qualora non sia stata registrata alcuna e-mail, il Fornitore accetta che le modalità di notifica saranno a insindacabile discrezione di Avetta e che la capacità di notifica tempestiva di Avetta potrebbe risultare compromessa. Avetta adotterà tempestivamente tutte le misure adeguate a contenere,esaminare e mitigare qualsiasi Violazione della sicurezza. Qualora il Fornitore sospetti una Violazione della sicurezza, è pregato di segnalarla immediatamente all'indirizzo infosec@avetta.com.

6.2 Nei limiti del possibile, Avetta fornirà al Fornitore informazioni tempestive sulla Violazione della sicurezza, tra cui, a titolo esemplificativo e non esaustivo, la natura e le conseguenze della Violazione della sicurezza, le misure adottate e/o proposte da Avetta per attenuare o contenere la Violazione della sicurezza, lo stato dell'indagine di Avetta, un recapito a cui rivolgersi per ottenere ulteriori informazioni e le categorie e il numero approssimativo dei record di dati interessati. Le comunicazioni da parte o per conto di Avetta con il Fornitore in relazione a una Violazione della sicurezza non devono essere interpretate come un'accettazione da parte di Avetta di qualsiasi colpa o responsabilità in relazione alla Violazione della sicurezza.

7. Trasferimenti transfrontalieri di dati personali; clausole contrattuali obbligatorie.

7.1 Il Fornitore prende atto e accetta che Avetta possa trasferire, accedere e trattare i Dati personali su base globale, se necessario per la fornitura di Servizi.

7.2 Laddove la Legislazione vigente in materia di protezione dei dati abbia previsto strumenti specifici per il trasferimento di Dati personali ad Avetta e/o clausole contrattuali per il trattamento dei Dati Personali da parte di Avetta (collettivamente, "Strumenti di trasferimento"), Avetta metterà a disposizione tali Strumenti di trasferimento specifici (nella misura in cui siano adottati da Avetta) nell'Allegato A.

7.3 Se la Legislazione applicabile in materia di protezione dei dati prevede requisiti aggiuntivi per il trasferimento e/o clausole contrattuali per il trattamento dei Dati personali, Avetta accetta di collaborare ragionevolmente con il Fornitore per consentirgli di conformarsi a tali requisiti e aggiornerà gli Strumenti di trasferimento nell'Allegato A, ove opportuno. Il Fornitore accetta di sottoscrivere gli ulteriori documenti e di intraprendere le ulteriori azioni necessarie per dare piena validità giuridica allo Strumento di trasferimento aggiuntivo o modificato.

8. Responsabili (secondari) del trattamento.

8.1 Il Fornitore accetta che, ove Avetta agisca in qualità di responsabile del trattamento, Avetta possa avvalersi di responsabili (secondari) del trattamento elencati alla sezione Responsabili (secondari) del trattamento di Avetta per il trattamento dei Dati personali in relazione alla fornitura dei Servizi Avetta. Almeno 10 giorni prima di autorizzare un nuovo responsabile secondario del trattamento o di sostituire un responsabile secondario del trattamento, Avetta informerà il Fornitore delle modifiche pubblicando i nomi dei nuovi responsabili (secondari) del trattamento proposti nella sezione Responsabili (secondari) del trattamento di Avetta. È responsabilità del Fornitore controllare regolarmente questo Sito web per verificare la presenza di eventuali aggiornamenti. Qualora il Fornitore abbia una legittima obiezione alla nomina di un nuovo responsabile secondario del trattamento in relazione alla conformità di Avetta al presente DPA, Avetta si adopererà per rispondere in maniera ragionevole all'obiezione del Fornitore. In caso di mancato accordo, Avetta, a sua esclusiva discrezione, non nominerà il nuovo responsabile secondario del trattamento oppure consentirà al Fornitore di sospendere o risolvere l'EUSA senza alcuna responsabilità per entrambe le parti. Avetta non sarà tenuta a rimborsare alcuna somma versata ai sensi dell’EUSA.

8.2 Il Fornitore prende atto e accetta inoltre che, ove Avetta agisca in qualità di titolare del trattamento, Avetta possa avvalersi di fornitori di servizi aggiuntivi descritti nella sezioneResponsabili (secondari)del trattamento di Avetta per le finalità ivi indicate.

9. Richieste di esercizio dei diritti da parte degli Interessati

9.1 Le parti concordano di fornire l'assistenza necessaria per consentire alla controparte di ottemperare a qualsiasi richiesta di esercizio dei diritti da parte degli Interessati entro i termini previsti dalla Legislazione vigente in materia di protezione dei dati.

10. Richiesta di accesso ai dati da parte di terzi.

10.1 Avetta notificherà al Fornitore qualsiasi richiesta di divulgazione dei Dati personali del Fornitore da parte di un ente governativo o normativo o di un'autorità giudiziaria, salvo ove diversamente vietato dalla legge o da un provvedimento giuridicamente vincolante di tale ente o autorità.

11. Durata e cessazione.

11.1 Il presente DPA acquisterà efficacia alla data di sottoscrizione dell'EUSA o alla prima fornitura di Dati personali ad Avetta (a seconda di quale evento si verificherà per primo) e rimarrà in vigore per tutta la durata dell'EUSA.

11.2 Qualsiasi disposizione del presente DPA che, espressamente o implicitamente, dovesse entrare in vigore o continuare ad avere efficacia alla scadenza o dopo la cessazione dell'EUSA al fine di proteggere i Dati personali rimarrà in vigore a tutti gli effetti.

12. Restituzione e distruzione dei dati.

12.1 Su richiesta del Fornitore, Avetta fornirà al Fornitore una copia dei Dati Personali del Fornitore in suo possesso o sotto il suo controllo, o l'accesso agli stessi, nel formato standard di Avetta, a condizione che la richiesta sia presentata prima che Avetta proceda allo smaltimento dei Dati Personali.

12.2 Dopo la cessazione dell'EUSA, Avetta provvederà, entro un periodo di tempo ragionevole, a cancellare o distruggere in modo sicuro i Dati Personali del Fornitore presenti nel Sito. Tale requisito non si applica (i) nella misura in cui la conservazione dei Dati personali sia finalizzata all’adempimento di obblighi legali, normativi, fiscali, contabili o di rendicontazione, oppure sia necessaria per l’accertamento, l’esercizio o la difesa di diritti in sede giudiziaria qualora Avetta ritenga ragionevolmente che sussista la possibilità di un contenzioso; e (ii) ai Dati Personali presenti nei sistemi di backup fino a quando i backup non siano stati sovrascritti o cancellati in conformità con la politica di backup di Avetta, nel qual caso Avetta isolerà e proteggerà i Dati Personali da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile, fino a quando non sia possibile la cancellazione.

13. Verifica.

13.1 Su richiesta scritta e senza alcun costo aggiuntivo per il Fornitore, Avetta concederà al Fornitore e/o al suo rappresentante terzo adeguatamente qualificato (collettivamente, il "Revisore"), l'accesso alla documentazione richiesta che attesti la conformità di Avetta agli obblighi previsti dal presente DPA, sotto forma di verifiche o certificazioni pertinenti elencate nell'Appendice II dell'Allegato B, quali ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificazioni ISO") e SOC 2 Tipo II. Avetta risponderà inoltre ai questionari di verifica scritti presentati dal Revisore e parteciperà a una chiamata o si incontrerà di persona (a spese del Fornitore) per rispondere a eventuali domande di chiarimento, a condizione che (i) tali questionari di verifica non riguardino alcun argomento o ambito già contemplato dalle certificazioni ISO o dal rapporto di verifica SOC 2 di tipo II e (ii) il Fornitore non eserciti tale diritto più di una volta all'anno, salvo ove richiesto da disposizioni di un'autorità competente in materia di protezione dei dati o in caso di Violazione della sicurezza. Avetta potrà richiedere al Revisore di sottoscrivere un Accordo di riservatezza separato con Avetta prima di qualsiasi esame della documentazione o verifica di Avetta e potrà opporsi per iscritto a tale Revisore qualora, a giudizio di Avetta, il Revisore non sia adeguatamente qualificato o sia un diretto concorrente di Avetta. Tali obiezioni da parte di Avetta comporteranno la nomina di un altro Revisore da parte del Fornitore. Qualsiasi spesa sostenuta da un Revisore in relazione a un eventuale esame della documentazione o a una verifica sarà a carico esclusivo del Fornitore, salvo nei casi in cui tale esame o verifica siano necessari a seguito di una Violazione della sicurezza.

14. Disposizioni generali.

14.1 Le parti concordano che il presente DPA sostituisce e annulla qualsiasi addendum, allegato o clausola contrattuale standard sul trattamento dei dati che Avetta e il Fornitore abbiano precedentemente stipulato in relazione ai Servizi. Avetta può aggiornare il presente DPA periodicamente (ad esempio, in risposta a modifiche della Legislazione vigente in materia di protezione dei dati, a seguito di una fusione, acquisizione, riorganizzazione aziendale o altro evento analogo, ovvero in caso di introduzione di nuove funzionalità, prodotti o servizi o di modifiche significative a uno qualsiasi dei Servizi Avetta esistenti), a condizione che tale aggiornamento non riduca in modo significativo la tutela della privacy o la sicurezza dei Dati personali. Avetta pubblicherà la versione aggiornata nell'Addendum all'EUSA sul trattamento dei dati, o in un sito web sostitutivo designato da Avetta.

14.2 La responsabilità di Avetta ai sensi del presente DPA, o in relazione ad esso, ivi compresa quella derivante dalle Clausole contrattuali standard dell'UE, è soggetta alle esclusioni e alle limitazioni di responsabilità contenute nell'EUSA. In nessun caso Avetta limita né esclude la propria responsabilità nei confronti degli Interessati o quella imposta dalle autorità competenti in materia di protezione dei dati.

14.3 Salvo ove espressamente previsto nelle SCC dell'UE o imposto dalla Legislazione vigente in materia di protezione dei dati, il presente DPA non conferisce alcun diritto a favore di terzi; è inteso esclusivamente a beneficio delle parti e dei rispettivi successori e aventi causa autorizzati, e non è a vantaggio di altri soggetti, né le sue disposizioni possono essere fatte valere da altri soggetti.

14.4 Il presente DPA e qualsiasi azione ad esso correlata saranno regolati e interpretati in conformità con le leggi specificate nell'EUSA, senza dar luogo ad alcun principio di conflitto giuridico. Le parti accettano la giurisdizione personale e la competenza territoriale dei tribunali specificati nell'EUSA.

14.5 Se una qualsiasi disposizione del presente DPA sarà ritenuta, per qualsiasi motivo, non valida o inapplicabile, le altre disposizioni del DPA rimarranno in vigore. Fermo restando quanto sopra, il Fornitore accetta che la Sezione 14.2 (Limitazione di responsabilità) rimanga in vigore nonostante l'inapplicabilità di qualsiasi disposizione del presente DPA.

ALLEGATO A

STRUMENTI DI TRASFERIMENTO E CLAUSOLE CONTRATTUALI OBBLIGATORIE

Il presente Allegato A illustra gli Strumenti di trasferimento supportati da Avetta. Uno Strumento di trasferimento non si applicherà e non sarà integrato nel presente DPA qualora non sia applicabile ai trasferimenti dal Fornitore ad Avetta. Se uno Strumento di trasferimento elencato è, o diventa, applicabile ai sensi della Legislazione vigente in materia di protezione dei dati, esso si considererà sottoscritto dalle parti (qualora siano richieste le firme) e integrato nel presente DPA.

1. Data Privacy Framework. Per quanto riguarda i trasferimenti di Dati personali verso gli Stati Uniti, Avetta si è autocertificata ai sensi del Data Privacy Framework UE-USA, della UK Extension to the EU-US Data Privacy Framework e dello Swiss-US Data Privacy Framework gestiti dal Dipartimento del Commercio degli Stati Uniti. Per ulteriori informazioni, consultare la Comunicazione di Avetta sul Data Privacy Framework, disponibile nella sezione Politiche sul Data Privacy Framework.

2. Clausole contrattuali standard dell'UE (EU SCC). Quando il trattamento comporta trasferimenti di Dati personali fuori dal SEE verso Avetta e non sussiste un altro fondamento legittimo per i trasferimenti internazionali (ad esempio, qualora il Data Privacy Framework applicabile non sia valido), tali trasferimenti sono soggetti alle SCC dell'UE, in particolare:

a. Nei casi in cui Avetta agisce in qualità di titolare del trattamento, ai trasferimenti di Dati personali tra Fornitore e Avetta si applica il Modulo Uno delle SCC dell'UE (per i trasferimenti da titolare a titolare del trattamento), integrato dai termini riportati di seguito:

i. Si utilizza la formulazione facoltativa della clausola 7 (clausola di adesione successiva).

ii. La formulazione facoltativa della clausola 11(a) (ricorso) non viene utilizzata.

iii. Per la clausola 17 si utilizza la prima opzione e la legge applicabile è quella del Belgio.

iv. Per la clausola 18(b), il foro competente è quello del Belgio.

b. Qualora il Fornitore sia il titolare del trattamento e Avetta sia il responsabile del trattamento, si applicherà il Modulo 2 delle SCC dell'UE (per i trasferimenti da titolare a responsabile del trattamento), integrato dai termini riportati di seguito:

i. Si utilizza la formulazione facoltativa della clausola 7 (clausola di adesione successiva).

ii. Per la clausola 9, lettera a), è selezionata l'opzione 2 (autorizzazione scritta generale) e il periodo di tempo specificato è di dieci (10) giorni.

iii. La formulazione facoltativa della clausola 11(a) (ricorso) non viene utilizzata.

iv. Per la clausola 17 si utilizza la prima opzione e la legge applicabile è quella del Belgio.

v. Per la clausola 18(b), il foro competente è quello del Belgio.

c. Gli Allegati I, II e III delle SCC dell’UE si intendono compilati con le informazioni di cui all'Allegato B.

3. UK Addendum. Quando il trattamento comporta trasferimenti di Dati personali al di fuori dal Regno Unito verso Avetta e non sussiste un altro fondamento legittimo per i trasferimenti internazionali (ad esempio, qualora il Data Privacy Framework applicabile non sia valido), tali trasferimenti sono soggetti allo UK Addendum, integrato dai termini riportati di seguito:

a. Le parti del presente UK Addendum sono le parti del DPA.

b. Le SCC dell'UE modificate dal presente UK Addendum sono le SCC dell'UE applicabili di cui alla sezione 2 del presente Allegato A e le tabelle da 1 a 3 dell'UK Addendum sono compilate con le relative informazioni.

c. Per quanto riguarda la tabella 4 dello UK Addendum, selezionare “Importatore”.

d. La parte 2 dello UK Addendum è la seguente: "Parte 2: Clausole obbligatorie dell'Addendum approvato, ossia il modello di Addendum B.1.0 emesso dall'ICO e presentato al Parlamento ai sensi della s119A del Data Protection Act 2018 il 2 febbraio 2022, come modificato ai sensi della Sezione 18 di tali Clausole obbligatorie."

4. Clausole contrattuali standard della Svizzere. Quando il trattamento comporta trasferimenti di Dati personali al di fuori della Svizzera verso Avetta e non sussiste un altro fondamento legittimo per i trasferimenti internazionali (ad esempio, qualora il Data Privacy Framework applicabile non sia più uno strumento di trasferimento valido), tali trasferimenti sono soggetti alle SCC dell'UE di cui alla sezione 2 del presente Allegato A, con le seguenti modifiche:

a. Il termine "stato membro" non deve essere interpretato in modo tale da escludere gli Interessati residenti in Svizzera dalla possibilità di far valere i propri diritti nel luogo di residenza effettivo (Svizzera) in conformità con la clausola 18(c) delle clausole contrattuali standard dell'UE.

b. Nei casi in cui i trasferimenti siano soggetti esclusivamente alla Legge federale sulla protezione dei dati ("LPD"), i riferimenti al GDPR devono essere intesi come riferimenti alla LPD.

c. Nei casi in cui i trasferimenti siano soggetti sia alla LPD che al GDPR, i riferimenti al GDPR devono essere intesi come riferimenti alla LPD, per la parte di trasferimento soggetta alla LPD.

5. Clausole contrattuali standard del Brasile (BR SCC). Quando il trattamento comporta trasferimenti di dati personali al di fuori del Brasile verso Avetta e non sussiste alcuna decisione di adeguatezza dell'ANPD in vigore nei confronti del paese di destinazione né altro fondamento legittimo per i trasferimenti internazionali, tali trasferimenti sono soggetti alle BR SCC, disponibili integralmente all'indirizzo https://www.avetta.com/legal/eusa-br-sccs.

6. Clausole contrattuali CCPA. Qualora il trattamento dei Dati personali riguardi persone residenti in California, le parti dovranno inoltre ottemperare quanto segue:

a. Avetta: (i) raccoglierà, utilizzerà, conserverà o divulgherà i Dati personali solo per gli scopi consentiti e descritti nell'EUSA e nel CCPA e per nessun'altra finalità commerciale; (ii) non venderà né condividerà Dati personali per la pubblicità comportamentale intercontestuale; (iii) non raccoglierà, utilizzerà, conserverà o divulgherà Dati personali al di fuori del rapporto commerciale diretto tra Avetta e il Fornitore , salvo quanto necessario per fornire i Servizi Avetta; (iv) non combinerà i Dati personali ricevuti da o per conto del Fornitore con i Dati personali raccolti per conto di un'altra persona o di altre persone, salvo per finalità commerciale consentite dal CCPA e che non implichino pubblicità comportamentale intercontestuale; e (v) fornirà un livello di protezione della privacy pari almeno a quello richiesto dal CCPA in materia di Dati personali. Avetta dichiarerà di aver compreso tali restrizioni e di impegnarsi a rispettarle.

b. Il Fornitore ha il diritto (i) di monitorare il rispetto di Avetta del presente DPA e (ii) di adottare misure adeguate e opportune per garantire che i Dati personali siano utilizzati da Avetta in conformità con il CCPA. Avetta informerà il Fornitore qualora ritenga di non poter più adempiere a nessuno degli obblighi previsti dal CCPA, e in tal caso Avetta collaborerà con il Fornitore e adotterà tutte le misure adeguate e opportune per sospendere e adeguare qualsiasi Trattamento finché non il Trattamento non sarà conforme al CCPA e al presente DPA.

7. Altri Strumenti di trasferimento Nella misura in cui la Legislazione applicabile in materia di protezione dei dati di una giurisdizione non espressamente contemplata nella presente Appendice A richieda strumenti di trasferimento a livello contrattuale per i trasferimenti di Dati personali dal Fornitore ad Avetta, il modulo applicabile delle CCT dell’UE sarà, nei limiti consentiti dalla Legislazione vigente in materia di protezione dei dati, considerato parte integrante del presente DPA e adattato esclusivamente nella misura necessaria per tali trasferimenti, anche sostituendo i riferimenti all’“Unione Europea”, “Unione” e “Stati membri dell’UE”, e adattando i riferimenti alle leggi dell’UE sulla protezione dei dati (compreso il GDPR dell’UE), con i corrispondenti riferimenti alla giurisdizione di riferimento e alla legislazione vigente in materia di protezione dei dati di detta giurisdizione.

ALLEGATO B

DETTAGLI SUL TRATTAMENTO DEI DATI PERSONALI

Il presente Allegato B costituisce parte integrante del DPA e descrive i trattamenti che Avetta eseguirà in relazione alla fornitura dei Servizi Avetta.

APPENDICE I – DESCRIZIONE DEL TRATTAMENTO DEI DATI

A. ELENCO DELLE PARTI

Esportatore dei dati:

Importatore dei dati:

B. DESCRIZIONE DEL TRASFERIMENTO

C. AUTORITÀ DI CONTROLLO COMPETENTE

APPENDICE II – MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

Panoramica

Le applicazioni software-as-a-service di Avetta (“Servizi SaaS”) sono state progettate fin dall’inizio mettendo al centro la sicurezza. I servizi SaaS Connect e Workforce Management sono strutturati con un insieme di controlli di sicurezza a ogni livello del trattamento, al fine di contrastare i principali rischi in materia di sicurezza. Questi controlli di sicurezza sono soggetti a modifiche; tuttavia, qualsiasi modifica sarà volta a mantenere o migliorare il livello complessivo di sicurezza della piattaforma SaaS..

Le principali aree dei controllo di sicurezza descritte di seguito sono applicabili a ciascuno dei componenti dei servizi SaaS Avetta Connect e Workforce Management. Avetta ospita i propri servizi SaaS su piattaforme di fornitori di servizi cloud utilizzando principalmente Amazon Web Services (AWS) e, in rari casi, Equinix.

Verifiche e certificazioni

I servizi SaaS di Avetta sono certificati ai sensi delle norme ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificazioni ISO"). Avetta riesamina annualmente la propria Conformità alle certificazioni ISO eseguendo una verifica dei sistemi di controllo interni. Tale verifica viene esaminata dal Comitato per i sistemi di gestione della sicurezza delle informazioni e della privacy, composto da membri del gruppo dirigente di Avetta.

Avetta utilizza principalmente data center AWS distribuiti a livello globale per l'elaborazione e l'archiviazione dei servizi SaaS. AWS offre strutture all'avanguardia che hanno ottenuto diversi accreditamenti, tra cui SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Queste strutture AWS forniscono inoltre misure di protezione fisica all'avanguardia nei luoghi in cui vengono archiviati ed elaborati i dati dei clienti di Avetta. Avetta utilizza Equinix come fornitore di servizi cloud per Workforce Management in alcune aree geografiche. Anche Equinix è certificata secondo diversi standard, tra cui ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, SOC 1 Tipo II e SOC 2 Tipo II. Per ulteriori informazioni sui fornitori di servizi cloud, consultare https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Disaster Recovery e continuità operativa

Per garantire che i suoi servizi SaaS mantengano un elevato grado di disponibilità del sistema, Avetta utilizza un data center AWS dedicato al backup/failover situato in un'area geografica diversa rispetto al data center di produzione principale. In questo modo, Avetta può reagire rapidamente a qualsiasi evento di natura ambientale, fisica o accidentale che possa causare un'interruzione dell'attività del data center AWS di produzione.

Avetta dispone di un piano completo di Disaster recovery e continuità operativa che viene sottoposto a revisione almeno una volta all'anno. Tale revisione consente al personale Avetta di familiarizzare con le procedure di emergenza da seguire in caso di eventi che potrebbero causare l'interruzione delle normali attività aziendali di Avetta.

I sistemi di Avetta sono progettati per garantire un Recovery Point Objective (RPO) inferiore a 2 ore e un Recovery Time Objective (RTO) inferiore a 4 ore.

Inoltre, Avetta conduce regolarmente un'approfondita valutazione dei rischi per garantire l'attuazione di adeguate strategie di mitigazione del rischio e controlli all'interno dell’organizzazione.

Risposta agli incidenti

Avetta dispone di un piano completo di risposta agli incidenti. Questo piano, insieme ai processi e alle procedure correlate, consente al personale di Avetta di rispondere rapidamente a una sospetta o potenziale violazione della sicurezza o ad altre attività sospette in ambito di sicurezza informatica all'interno dell'ambiente Avetta. Un team responsabile della risposta agli incidenti, guidato da membri qualificati del team di sicurezza, eseguirà una valutazione della situazione e svilupperà piani d'azione e strategie di mitigazione appropriati. Se viene confermata una sospetta violazione, il team di risposta agli incidenti seguirà i protocolli designati per intervenire tempestivamente, mitigare l'attività dannosa e preservare le prove digitali utili nell'ambito della digital forensics. Saranno seguite anche le procedure di notifica.

Crittografia

I servizi SaaS Avetta garantiscono la crittografia dei dati inattivi tramite AES-256. Anche ulteriori elementi di dati vengono crittografati mediante la tecnica del salting. Questi processi di crittografia assicurano un elevato grado di riservatezza e integrità dei dati dei clienti. Nei Servizi SaaS di Avetta è garantita la separazione logica dei dati, in modo che non sia possibile accedere ai dati dei clienti da fonti non autorizzate. L'accesso ai dati del cliente è controllato tramite un sistema di gestione delle identità e degli accessi con attributi che impediscono agli utenti non autorizzati di accedere ai dati del cliente.

Le misure di sicurezza di Avetta sono implementate secondo il principio del "privilegio minimo", ovvero solo i dipendenti che hanno una necessità aziendale possono accedere a dati e funzioni di sistema specifici.

Controlli di sicurezza delle applicazioni Web

L'accesso dei clienti ai Servizi SaaS avviene esclusivamente tramite protocolli di comunicazione sicuri, quali TLS 1.2 o versioni successive. In questo modo viene stabilito un canale di crittografia per consentire la trasmissione sicura dei dati tra un utente finale e i Servizi SaaS. Questo protegge i dati del cliente durante i processi di trasmissione dei dati.

Gli amministratori del cliente possono abilitare e disabilitare gli utenti dei Servizi SaaS e i relativi accessi, in base alle necessità. I Servizi SaaS consentono ai clienti di abilitare l'autenticazione a più fattori per l'accesso agli account dei Servizi SaaS utilizzando il Single Sign-On tramite provider di identità SAML 2.0. I Servizi SaaS consentono ai clienti di abilitare criteri personalizzabili per le password in modo da adeguare le password dei Servizi SaaS alle policy aziendali del cliente.

Rete

I Servizi SaaS utilizzano i controlli di rete dei fornitori di servizi cloud per limitare il traffico in entrata e in uscita dalla rete. Vengono utilizzati gruppi di sicurezza per limitare l'attività di rete agli endpoint autorizzati. I Servizi SaaS utilizzano un'architettura di rete a più livelli, che comprende diversi ambienti virtuali Cloudflare separati logicamente, sfruttando zone private, DMZ e zone non affidabili all'interno dell'infrastruttura dei servizi cloud.

Monitoraggio e verifica

I sistemi e le reti dei Servizi SaaS vengono monitorati per verificare la presenza di problemi di sicurezza, lo stato di salute dei sistemi, eventuali anomalie di rete, l'attività di elaborazione, i livelli di elaborazione dell'infrastruttura e la disponibilità. Avetta utilizza un sistema di rilevamento delle intrusioni per monitorare l'attività della rete, che invierà avvisi ai membri designati del team Avetta in caso di comportamenti sospetti. Sono stati inoltre implementati firewall per le applicazioni Web su tutti i servizi Web pubblici.

Avetta registra gli eventi relativi ad applicazioni, rete, utenti e sistema operativo su un server syslog locale e su un sistema SIEM (Security Information and Event Management). Questi registri vengono analizzati e riesaminati automaticamente per individuare attività sospette e minacce. Qualsiasi anomalia nelle attività di sistema viene segnalata e vengono intraprese le opportune azioni correttive. Avetta utilizza sistemi SIEM che forniscono un'analisi continua della sicurezza delle reti e dell'ambiente di sicurezza Avetta, registrando avvisi e segnalazioni relativi a indicatori di attività sospette o potenzialmente anomale. Tutte queste funzionalità e attività sono gestite dal personale DevOps e Sicurezza informatica di Avetta.

Gestione delle vulnerabilità

Avetta esegue periodicamente valutazioni relative alla vulnerabilità delle applicazioni web, analisi statiche del codice e valutazioni di sicurezza esterne nell'ambito del suo programma di sicurezza completo, al fine di garantire che siano implementati in modo efficace adeguati controlli di sicurezza e che siano operativi. A cadenza semestrale, Avetta incarica specialisti indipendenti di vulnerability assessment e penetration test di eseguire valutazioni relative alla vulnerabilità della rete e del Web. L'ambito di queste verifiche esterne include la conformità all'OWASP Top 10 (Open Web Application Security Project), ovvero le dieci principali vulnerabilità delle applicazioni web. I risultati della valutazione relativa alla vulnerabilità sono integrati nel ciclo di vita dello sviluppo software Avetta ("SDLC") al fine di correggere le vulnerabilità individuate. Le vulnerabilità più critiche vengono classificate come prioritarie e inserite nel sistema di ticketing interno di Avetta per essere monitorate fino alla loro risoluzione.

Sviluppo sicuro del software

Avetta segue prassi di sviluppo sicuro nell'ambito del proprio SDLC. Tali prassi includono strumenti di analisi statica e in tempo reale del codice. Vengono inoltre condotte revisioni tra pari prima che il codice venga distribuito nell'ambiente di produzione. In Avetta sono stati implementati ambienti operativi separati: produzione, test/QA e demo. Gli sviluppatori di software di Avetta sono tenuti a seguire ogni anno corsi di formazione sul secure coding.

Team di Sicurezza informatica di Avetta

Avetta dispone di un team dedicato alla sicurezza guidato da un Cybersecurity Manager in possesso di una laurea magistrale in Sicurezza informatica. Il team organizza regolarmente corsi di formazione sulla sicurezza a livello aziendale, esercitazioni sulla sicurezza e test periodici di vulnerabilità e penetrazione. Grazie a queste attività, il team di Sicurezza informatica garantisce che l'efficacia delle misure tecniche e organizzative venga regolarmente testata, misurata e valutata, assicurando la sicurezza del trattamento dei dati dei clienti.

Il team Sicurezza informatica partecipa inoltre a verifiche e certificazioni annuali e frequenta seminari sulla sicurezza informatica.

Privacy e protezione dei dati

Avetta applica rigorose politiche in materia di sicurezza delle informazioni e protezione dei dati personali. Tali politiche definiscono le procedure adottate per garantire la tutela delle informazioni dei clienti Esse delineano inoltre i controlli implementati, tra cui le linee guida relative alla conservazione dei dati, all'accessibilità e all'autenticazione, all'uso corretto e alla riservatezza dei dati.

APPENDICE III - ELENCO DEI -RESPONSABILI SECONDARI DEL TRATTAMENTO

L'elenco attuale dei responsabili secondari del trattamento dei dati di Avetta è disponibile qui: Responsabili (secondari) del trattamento di Avetta.