Addendum all'MSA sul trattamento dei dati

Il presente Addendum sul trattamento dei dati (“DPA”) è incorporato ed è parte integrante del Contratto di abbonamento Avetta (“Contratto principale”) tra Avetta e il Cliente e stabilisce i termini, i requisiti e le condizioni aggiuntivi in base ai quali Avetta otterrà, gestirà, tratterà, divulgherà, trasferirà o conserverà i Dati personali nella fornitura dei servizi previsti dal Contratto principale. Tutti i termini in maiuscolo non definiti nel presente DPA avranno il significato ad essi attribuito nel Contratto principale.

1. Definizioni e interpretazione.

1.1 Definizioni.

Per "Legislazione vigente in materia di protezione dei dati" si intendono le leggi e i regolamenti applicabili al trattamento dei Dati personali da parte della rispettiva Parte in relazione al Contratto principale, tra cui, ove applicabile, (i) il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio (“GDPR”), modificato e integrato, a seconda dei casi, dalle leggi e dai regolamenti pertinenti degli Stati Membri dell'UE in cui opera direttamente o indirettamente il Cliente, (ii) il Data Protection Act del Regno Unito del 2018 e il UK General Data Protection Regulation (“GDPR del Regno”), (iii) l'Australian Privacy Act del 1988 e gli Australian Privacy Principles, (iv) il California Consumer Privacy Act del 2018, modificato dal California Privacy Rights Act del 2020, e qualsiasi regolamento o guida correlato (collettivamente, il "CCPA"), (v) il Canadian Personal Information Protection and Electronic Documents Act (“PIPEDA”) e (vi) qualsiasi altra legge, norma, regolamento, direttiva e requisito governativo internazionale, federale, statale, territoriale, provinciale e locale sulla privacy o sulla protezione dei dati attualmente in vigore e che entrerà in vigore.

Per “Interessato si intende una persona alla quale i Dati personali si riferiscono o dalla quale è direttamente o indirettamente identificabile.

Il “Data Privacy Framework” comprende il Data Privacy Framework UE-USA, la UK Extension to the EU-US Data Privacy Framework e il Swiss-US Data Privacy Framework, elaborati rispettivamente dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione europea, dal governo del Regno Unito e dall'Amministrazione federale svizzera al fine di promuovere il commercio transatlantico e fornire alle organizzazioni statunitensi meccanismi affidabili per il trasferimento dei Dati personali verso gli Stati Uniti provenienti dal SEE, dal Regno Unito (e Gibilterra) e dalla Svizzera, garantendo nel contempo una protezione dei dati conforme alla legislazione dell'UE, del Regno Unito e della Svizzera.

Per “SEE” si intende lo Spazio economico europeo costituito da tutti gli Stati membri dell’Unione Europea e da Islanda, Norvegia e Liechtenstein.

Per "SCC dell'UE" si intendono le clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a paesi terzi, come stabilito nell'Appendice alla decisione (UE) 2021/914 della Commissione, una copia delle quali è disponibile all'indirizzo https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

Per "Dati personali" si intendono tutte le informazioni trattate da Avetta che (i) identificano o si riferiscono a una persona che può essere identificata, direttamente o indirettamente,sulla base di tali dati da soli o in combinazione con altre informazioni in possesso o sotto il controllo di Avetta, oppure che (ii) la Legislazione vigente in materia di protezione dei dati definisce altrimenti come dati personali o informazioni personali protette.

Per “Trattare, trattamento, trattamenti” si intende qualsiasi attività che comporti l’uso di Dati personali, o qualsiasi altra definizione dei termini “trattare", "trattamento” o ‘trattamenti’ prevista dalla normativa vigente in materia di protezione dei dati. Ciò comprende la raccolta, la registrazione o la conservazione dei dati, nonché l'esecuzione di qualsiasi operazione o insieme di operazioni sui dati, tra cui l'organizzazione, la modifica, il recupero, l'utilizzo, la comunicazione, la cancellazione o la distruzione degli stessi. Il trattamento include anche il trasferimento di dati personali a soggetti terzi.

Per “Violazione della sicurezza” si intende una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali, in modo accidentale o illecito.

Per “Richiesta di esercizio dei diritti dell'interessato” si intende l’esercizio da parte di un Interessato dei propri diritti ai sensi della Legislazione vigente in materia di protezione dei dati.

Per “UK Addendum” si intende l’Addendum internazionale dello UK Information Commissioner’s Office sul trasferimento dei dati alle Clausole contrattuali standard della Commissione europea, una copia del quale è disponibile all’indirizzo https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance.

1.2 Gli Allegati costituiscono parte integrante del presente DPA e hanno effetto come se fossero integralmente riprodotti nel corpo del presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.

1.3 Un riferimento alla forma scritta include l'e-mail.

1.4 In caso di conflitto o ambiguità tra una qualsiasi delle disposizioni del presente DPA e le disposizioni del Contratto principale, prevarranno le disposizioni del presente DPA; in caso di conflitto tra le disposizioni del presente DPA e le disposizioni contenute nell'Allegato A, prevarranno le disposizioni applicabili dell'Allegato A.

2. Ruoli e ambito del trattamento.

2.1 Ruoli delle Parti. Il Cliente e Avetta prendono atto e accettano che:

(a) Avetta agisce in qualità di responsabile del trattamento nella misura in cui il trattamento dei Dati personali viene effettuato per conto e sotto la direzione del Cliente; e

(b) Avetta agisce in qualità di titolare del trattamento nella misura in cui il trattamento dei Dati personali è effettuato per le proprie finalità in relazione alla fornitura dei Servizi o ai suoi legittimi interessi commerciali, quali la fatturazione, la gestione dell'account, l'assistenza tecnica, la prevenzione e il rilevamento di minacce alla sicurezza, lo sviluppo dei prodotti, l'analisi dei dati e le attività di vendita e marketing (ad esempio, l'invio di newsletter agli utenti amministratori del Cliente).

2.2 Trattamento dei dati personali da parte del Cliente. Il Cliente prende atto e accetta che:

(a) Il Cliente sarà l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali inviati ad Avetta (sia dal Cliente sia dai suoi Interessati);

(b) Il Cliente dovrà caricare e inviare ad Avetta solo i Dati personali ottenuti dagli Interessati in conformità alla Legislazione vigente in materia di protezione dei dati;

(c) Il Cliente deve assicurarsi di disporre di tutti i consensi e di tutte le comunicazioni necessarie e di avere soddisfatto tutti gli altri requisiti previsti dalla Legislazione vigente in materia di protezione dei dati per consentire il trasferimento legale dei Dati personali (compresi i dati sensibili) ad Avetta e consentire ad Avetta di trattare i Dati personali in diverse giurisdizioni ai sensi del Contratto principale e del presente DPA;

(d) Laddove il consenso costituisca la base giuridica per il trattamento dei Dati personali o sia altrimenti richiesto per l’utilizzo dei Servizi, il Cliente dovrà, in ogni momento, mettere a disposizione e mantenere (i) un meccanismo per ottenere tale consenso dagli Interessati e (ii) un meccanismo affinché gli Interessati revochino tale consenso, in ogni caso in conformità con la Legislazione vigente in materia di protezione dei dati; e

(e) L'utilizzo dei Servizi da parte del Cliente non violerà i diritti di alcun Interessato.

2.3 Dettagli del Trattamento dei dati. L'Allegato B descrive le Categorie generali di Dati personali, i tipi di Interessati e altri dettagli del trattamento che Avetta effettuerà in relazione alla fornitura dei Servizi in conformità con il Contratto principale.

3. Obblighi di Avetta.

3.1 Avetta tratterà i Dati personali solo per le finalità specifiche del trasferimento come indicato nell'Allegato B. Avetta potrà trattare i Dati personali per una finalità diversa (i) ove abbia ottenuto il consenso preventivo dell'Interessato, (ii) ove necessario per l'istituzione, l'esercizio o la difesa di azioni legali nel contesto di specifici procedimenti amministrativi, normativi o giudiziari; oppure (iii) ove la Legislazione vigente in materia di protezione dei dati consenta di utilizzare i Dati personali per finalità ulteriori rispetto a quelle specifiche indicate nell'Allegato B senza il consenso dell'Interessato. Ove Avetta agisca in qualità di responsabile del trattamento del Cliente, Avetta tratterà i Dati personali conformemente alle istruzioni del Cliente. Le Parti concordano che le istruzioni del Cliente rientrano nell'ambito di applicazione del Contratto principale e che il Cliente deve ottenere il preventivo consenso scritto di Avetta per qualsiasi istruzione aggiuntiva. Avetta informerà prontamente il Cliente se, a suo avviso, tale istruzione viola una qualsiasi Legislazione vigente in materia di protezione dei dati. Ove applicabile, il Cliente sarà responsabile di tutte le comunicazioni, notifiche, assistenza e/o autorizzazioni che dovessero essere richieste in relazione ai propri Interessati.

3.2 Avetta, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assisterà, nei limiti del possibile, il Cliente nell'adempiere agli obblighi di conformità previsti dalla Legislazione vigente in materia di protezione dei dati, a condizione che il Cliente copra tutti i costi sostenuti da Avetta in relazione alla fornitura di tale assistenza. Tali obblighi di conformità possono includere l'obbligo di effettuare una valutazione dell'impatto delle operazioni di trattamento sulla protezione dei Dati personali (una "Valutazione d'impatto sulla protezione dei dati") qualora il Trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

4. Dipendenti di Avetta.

4.1 Avetta garantirà che tutti i dipendenti che hanno accesso o sono coinvolti nel Trattamento dei Dati personali (i) abbiano seguito una formazione sulla Legislazione vigente in materia di protezione dei dati relativa al Trattamento dei Dati personali e siano consapevoli dei doveri di Avetta e dei propri doveri e obblighi personali ai sensi della Legislazione vigente in materia di protezione dei dati e del presente DPA; e (ii) siano soggetti a un adeguato obbligo di riservatezza (sia esso contrattuale o legale).

4.2 Avetta adotterà misure adeguate a garantire l'affidabilità, l'integrità e l'attendibilità di qualsiasi dipendente di Avetta che abbia accesso ai Dati personali.

5. Sicurezza.

5.1 Tenendo conto della natura, dell'ambito, del contesto e delle finalità del Trattamento, dei costi di attuazione, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli Interessati, Avetta ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, comprese le misure di sicurezza descritte nell'Appendice II dell'Allegato B. Avetta può revisionare e aggiornare l'Appendice II periodicamente, a condizione che tali aggiornamenti non compromettano sostanzialmente la sicurezza generale dei Servizi o dei Dati personali.

5.2 Il Cliente è tenuto a verificare le informazioni messe a disposizione da Avetta in merito alla sicurezza dei dati e a stabilire in modo indipendente se i Servizi soddisfano i requisiti e gli obblighi legali del Cliente ai sensi della Legislazione vigente in materia di protezione dei dati.

6. Violazione della sicurezza e perdita di Dati personali.

6.1 Avetta notificherà al Cliente qualsiasi Violazione della sicurezza senza ingiustificato ritardo non appena ne verrà a conoscenza e fornirà tutta l'assistenza necessaria per consentire al Cliente di adempiere agli obblighi di segnalazione delle violazioni ai sensi e nei tempi richiesti dalla Legislazione vigente in materia di protezione dei dati. La notifica di Avetta verrà inviata all'e-mail registrata dal Cliente all'interno dei Servizi e, in assenza di tale e-mail, il Cliente riconosce che i mezzi di notifica saranno a discrezione di Avetta e che la capacità di notifica tempestiva di Avetta potrebbe risultare compromessa. Avetta adotterà tempestivamente misure adeguate a contenere, fare indagini su e mitigare qualsiasi Violazione della sicurezza. Nel caso in cui il Cliente sospetti una Violazione della sicurezza, dovrà segnalarla immediatamente a infosec@avetta.com.

6.2 Nei limiti del possibile, Avetta fornirà al Cliente informazioni tempestive sulla Violazione della sicurezza, tra cui, a titolo esemplificativo e non esaustivo, la natura e le conseguenze della Violazione della sicurezza, le misure adottate e/o proposte da Avetta per attenuare o contenere la Violazione della sicurezza, lo stato dell'indagine di Avetta, un referente presso il quale è possibile ottenere ulteriori informazioni e le categorie e il numero approssimativo di record di dati interessati. Le comunicazioni da parte o per conto di Avetta con il Cliente in relazione a una Violazione della sicurezza non devono essere interpretate come un'accettazione da parte di Avetta di qualsiasi colpa o responsabilità in relazione alla Violazione della sicurezza.

7. Trasferimenti transfrontalieri di dati personali; clausole contrattuali obbligatorie.

7.1 Il Cliente prende atto e accetta che Avetta possa trasferire, accedere e trattare i Dati personali su base globale, ove necessario per fornire i Servizi.

7.2 Laddove la Legislazione vigente in materia di protezione dei dati abbia prescritto strumenti specifici per il trasferimento di Dati personali ad Avetta e/o clausole contrattuali per il trattamento dei Dati Personali da parte di Avetta (collettivamente, "Strumenti di trasferimento"), Avetta metterà a disposizione tali Strumenti di trasferimento specifici (nella misura in cui siano adottati da Avetta) nell'Allegato A.

7.3 Se la Legislazione vigente in materia di protezione dei dati ha prescritto requisiti aggiuntivi per il trasferimento e/o clausole contrattuali per il trattamento dei Dati personali, Avetta accetta di collaborare nei limiti del possibile con il Cliente affinché questi possa adempiere a tali requisiti e aggiornerà gli Strumenti di trasferimento nell'Allegato A, ove opportuno. Il Cliente accetta di sottoscrivere gli ulteriori documenti e di intraprendere le ulteriori azioni necessarie per dare piena validità giuridica allo Strumento di trasferimento aggiuntivo o modificato.

8. Responsabili (secondari) del trattamento.

8.1 Il Cliente accetta che, ove Avetta agisca in qualità di responsabile del trattamento, Avetta possa avvalersi di responsabili (secondari) del trattamento elencati alla sezione Responsabili (secondari) del trattamento di Avetta per il trattamento dei Dati personali in relazione alla fornitura dei Servizi. Almeno 10 giorni prima di autorizzare un nuovo responsabile secondario del trattamento o di sostituire un responsabile secondario del trattamento, Avetta informerà il Cliente delle modifiche pubblicando i nomi dei nuovi responsabili (secondari) del trattamento proposti come Responsabili (secondari) del trattamento di Avetta. È responsabilità del Cliente controllare regolarmente questo Sito web per verificare la presenza di aggiornamenti. Qualora il Cliente abbia una legittima obiezione alla nomina di un nuovo responsabile secondario del trattamento in relazione alla conformità di Avetta al presente DPA, Avetta si adopererà per rispondere all'obiezione del Cliente. In caso di mancato accordo, Avetta, a sua esclusiva discrezione, non nominerà il nuovo responsabile secondario del trattamento oppure consentirà al Cliente di sospendere o sciogliere il Contratto principale senza alcuna responsabilità per entrambe le parti. Avetta non è tenuta a effettuare alcun rimborso delle somme pagate in base al Contratto principale. Il Cliente prende atto e accetta inoltre che, ove Avetta agisca in qualità di titolare del trattamento, Avetta possa avvalersi dei fornitori di servizi aggiuntivi descritti nella sezioneResponsabili (secondari)del trattamento di Avetta per le finalità ivi indicate.

9. Richieste di esercizio dei diritti da parte degli Interessati

9.1 Le parti concordano di fornire l'assistenza necessaria per consentire alla controparte di ottemperare a qualsiasi richiesta di esercizio dei diritti da parte degli Interessati entro i termini previsti dalla Legislazione vigente in materia di protezione dei dati.

10. Richiesta di accesso ai dati da parte di terzi.

10.1 Avetta notificherà al Cliente qualsiasi richiesta di divulgazione dei Dati personali del Cliente da parte di un ente governativo o normativo o di un'autorità preposta all'applicazione della legge, salvo ove diversamente vietato dalla legge o da un ordine legalmente vincolante di tale ente o agenzia.

11. Durata e scioglimento.

11.1 Il presente DPA acquisterà efficacia alla data di sottoscrizione del Contratto principale o alla prima fornitura di Dati personali ad Avetta (a seconda di quale evento si verificherà per primo) e resterà efficace per tutta la durata del Contratto principale.

11.2 Qualsiasi disposizione del presente DPA che espressamente o implicitamente dovesse entrare o continuare a essere in vigore alla scadenza o dopo lo scioglimento del Contratto principale al fine di proteggere i Dati personali rimarrà in vigore a tutti gli effetti.

12. Restituzione e distruzione dei dati.

12.1 Su richiesta scritta del Cliente, Avetta fornirà al Cliente accesso ai Dati personali che lo riguardano in suo possesso o sotto il suo controllo, o una copia degli stessi, in un formato concordato di comune accordo, se la richiesta viene presentata prima della loro distruzione da parte di Avetta.

12.2 Dopo lo scioglimento del Contratto principale, Avetta eliminerà o distruggerà in modo sicuro i Dati personali del Cliente relativi al presente DPA presenti nella piattaforma SaaS entro un termine congruo. Il presente requisito non si applica (i) nella misura in cui la conservazione dei Dati personali sia necessaria per soddisfare requisiti legali, normativi, fiscali, contabili o di rendicontazione, o sia necessaria per l'istituzione, l'esercizio o la difesa di azioni legali qualora Avetta ritenga fondatamente che sussista la probabilità di un contenzioso; e (ii) ai Dati personali nei sistemi di backup fino a quando i backup non siano stati sovrascritti o cancellati in conformità con la politica di backup di Avetta, nel qual caso Avetta isolerà e proteggerà i Dati personali da qualsiasi ulteriore Trattamento, salvo quanto richiesto dalla legislazione vigente, fino a quando non sarà possibile eliminarli.

13. Verifica.

13.1 Su richiesta scritta e senza alcun costo aggiuntivo per il Cliente, Avetta fornirà al Cliente e/o al suo rappresentante terzo adeguatamente qualificato (collettivamente, il "Revisore"), l'accesso alla documentazione richiesta che attesti la conformità di Avetta agli obblighi previsti dal presente DPA, sotto forma di verifiche o certificazioni pertinenti elencate nell'Appendice II dell'Allegato B, quali ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificazioni ISO") e SOC 2 Tipo II. Avetta risponderà inoltre ai questionari di verifica scritti presentati dal Revisore e parteciperà a una chiamata o si incontrerà di persona (a spese del Cliente) per rispondere alle domande di follow-up, a condizione che (i) tali questionari di verifica non riguardino alcun argomento o ambito già contemplato dalle certificazioni ISO o dal rapporto di verifica SOC 2 di tipo II e (ii) il Cliente non eserciti tale diritto più di una volta all'anno, salvo ove richiesto da istruzioni di un'autorità competente in materia di protezione dei dati. Avetta potrà richiedere al Revisore di sottoscrivere un Accordo di riservatezza separato con Avetta prima di qualsiasi esame della documentazione o verifica di Avetta e potrà opporsi per iscritto a tale Revisore qualora, a giudizio di Avetta, il Revisore non sia adeguatamente qualificato o sia un diretto concorrente di Avetta. Tali obiezioni da parte di Avetta comporteranno la nomina di un altro Revisore da parte del Cliente. Qualsiasi spesa sostenuta da un Revisore in relazione a qualsiasi esame della documentazione o a una verifica sarà a carico esclusivo del Cliente.

14. Generalità.

14.1 Le parti concordano che il presente DPA sostituisce e annulla qualsiasi addendum, allegato o clausola contrattuale standard sul trattamento dei dati che Avetta e il Cliente abbiano precedentemente stipulato in relazione ai Servizi. Avetta può aggiornare il presente DPA periodicamente (ad esempio, in risposta a modifiche della Legislazione vigente in materia di protezione dei dati, a seguito di una fusione, acquisizione, riorganizzazione aziendale o altro evento analogo, ovvero in caso di introduzione di nuove funzionalità, prodotti o servizi o di modifiche significative a uno qualsiasi dei Servizi esistenti), a condizione che tale aggiornamento non riduca in modo significativo la tutela della privacy o la sicurezza dei Dati personali. Avetta pubblicherà la versione aggiornata nell'Addendum all'MSA sul trattamento dei dati, o in un sito web sostitutivo designato da Avetta.

14.2 La responsabilità di Avetta ai sensi o in relazione al presente DPA, anche ai sensi delle SCC dell'UE, è soggetta alle esclusioni e limitazioni di responsabilità contenute nel Contratto principale. In nessun caso Avetta limita né esclude la propria responsabilità nei confronti degli Interessati o laddove ciò sia imposto dalle autorità competenti in materia di protezione dei dati.

14.3 Salvo ove espressamente previsto nelle SCC dell'UE o imposto dalla Legislazione vigente in materia di protezione dei dati, il presente DPA non conferisce alcun diritto a favore di terzi; è inteso esclusivamente a beneficio delle parti e dei rispettivi successori e aventi causa autorizzati, e non è a vantaggio di, né può essere fatto valere da, altre persone.

14.4 Il presente DPA e qualsiasi azione ad esso correlata saranno regolati e interpretati in conformità con le leggi specificate nel Contratto principale, senza dar luogo ad alcun principio di conflitto tra leggi. Le parti accettano la giurisdizione personale dei tribunali specificati nel Contratto principale e la loro sede.

14.5 Se una qualsiasi disposizione del presente DPA sarà ritenuta, per qualsiasi motivo, non valida o inapplicabile, le altre disposizioni del DPA rimarranno in vigore. 14.6 Fermo quanto sopra, il Cliente accetta che la Sezione 14.2 (Limitazione di responsabilità) rimanga in vigore nonostante l'inapplicabilità di qualsiasi disposizione del presente DPA.

ALLEGATO A

STRUMENTI DI TRASFERIMENTO E CLAUSOLE CONTRATTUALI OBBLIGATORIE

Il presente Allegato A illustra gli Strumenti di trasferimento supportati da Avetta. Uno Strumento di trasferimento non si applicherà e non sarà integrato nel presente DPA qualora non sia applicabile ai trasferimenti dal Cliente ad Avetta. Se uno Strumento di trasferimento elencato è o diventa applicabile ai sensi della Legislazione vigente in materia di protezione dei dati, si intende sottoscritto dalle parti (ove siano richieste firme) ed è incorporato nel presente DPA.

1. Data Privacy Framework. Per i trasferimenti di Dati personali verso gli Stati Uniti, Avetta si è autocertificata ai sensi del Data Privacy Framework UE-USA, della UK Extension to the EU-US Data Privacy Framework e dello Swiss-US Data Privacy Framework amministrato dal Department of Commerce degli Stati Uniti. Per ulteriori informazioni, consultare la Comunicazione di Avetta sul Data Privacy Framework, disponibile nella Politica sul Data Privacy Framework.

2. Clausole contrattuali standard dell'UE (EU SCC). Quando il trattamento comporta trasferimenti di Dati personali fuori dal SEE verso Avetta e non sussiste un altro fondamento legittimo per il trasferimento internazionale (ad esempio, qualora il Data Privacy Framework applicabile non sia valido), tali trasferimenti sono soggetti alle SCC dell'UE, in particolare:

1. Nei casi in cui Avetta agisce in qualità di titolare del trattamento, ai trasferimenti di Dati personali tra Cliente e Avetta si applica il Modulo Uno delle SCC UE (per i trasferimenti da titolare a titolare del trattamento), integrato dai termini riportati di seguito:
   1. Si utilizza la formulazione facoltativa della clausola 7 (clausola di adesione successiva).
   2. La formulazione facoltativa della clausola 11(a) (ricorso) non viene utilizzata.
   3. Per la clausola 17 si utilizza la prima opzione e la legge applicabile è quella del Belgio.
   4. Per la clausola 18(b), il foro competente è quello dei tribunali del Belgio.
2. Nei casi in cui il Cliente sia un titolare del trattamento e Avetta sia un responsabile del trattamento, si applicherà il Modulo 2 delle SCC UE (per i trasferimenti da titolare a responsabile del trattamento), integrato dai termini riportati di seguito:
   1. Si utilizza la formulazione facoltativa della clausola 7 (clausola di adesione successiva).
   2. Per la clausola 9, lettera a), è selezionata l'opzione 2 (autorizzazione scritta generale) e il periodo di tempo specificato è di dieci (10) giorni.
   3. La formulazione facoltativa della clausola 11(a) (ricorso) non viene utilizzata.
   4. Per la clausola 17 si utilizza la prima opzione e la legge applicabile è quella del Belgio.
   5. Per la clausola 18(b), il foro competente è quello dei tribunali del Belgio.
3. Gli Allegati I, II e III delle SCC dell’UE si intendono compilati con le informazioni di cui all'Allegato B.

3. UK Addendum. Quando il trattamento comporta trasferimenti di Dati personali fuori dal Regno Unito verso Avetta e non sussiste un altro fondamento legittimo per il trasferimento internazionale (ad esempio, qualora il Data Privacy Framework applicabile non sia valido), tali trasferimenti sono soggetti allo UK Addendum, integrato dai termini riportati di seguito:

1. Le parti del presente UK Addendum sono le parti del DPA.
2. Le SCC dell'UE modificate dal presente UK Addendum sono le SCC dell'UE applicabili di cui alla sezione 2 del presente Allegato A e le tabelle da 1 a 3 dell'UK Addendum sono compilate con le relative informazioni.
3. Ai fini della tabella 4 dello UK Addendum, selezionare “importatore”.
4. La parte 2 dello UK Addendum è la seguente: "Parte 2: Clausole obbligatorie dell'Addendum approvato, ossia il modello di Addendum B.1.0 emesso dall'ICO e presentato al Parlamento ai sensi della s119A del Data Protection Act 2018 il 2 febbraio 2022, come modificato ai sensi della Sezione 18 di tali Clausole obbligatorie."

4. Clausole contrattuali tipo svizzere. Quando il trattamento comporta trasferimenti di Dati personali al di fuori della Svizzera verso Avetta e non sussiste un altro fondamento legittimo per il trasferimento internazionale (ad esempio, qualora il Data Privacy Framework applicabile non sia più uno strumento di trasferimento valido), tali trasferimenti sono soggetti alle SCC dell'UE di cui alla sezione 2 del presente Allegato A, con le seguenti modifiche:

1. Il termine "stato membro" non deve essere interpretato in modo tale da escludere gli Interessati in Svizzera dalla possibilità di far valere i propri diritti nel luogo di domicilio abituale (Svizzera) in conformità con la clausola 18(c) delle clausole contrattuali standard dell'UE.
2. Nei casi in cui i trasferimenti siano soggetti esclusivamente alla Legge federale sulla protezione dei dati ("LPD"), i riferimenti al GDPR devono essere intesi come riferimenti alla LPD.
3. Nei casi in cui i trasferimenti siano soggetti sia alla LPD sia al GDPR, i riferimenti al GDPR devono essere intesi come riferimenti alla LPD, per la parte di trasferimento soggetta alla LPD.

5. Clausole contrattuali CCPA. Laddove il trattamento riguardi Dati personali di persone residenti in California, le parti dovranno inoltre attenersi a quanto segue:

1. Avetta: (i) raccoglierà, utilizzerà, conserverà o divulgherà i Dati personali solo per gli scopi consentiti descritti nel Contratto principale e nel CCPA e per nessun altro fine commerciale; (ii) non venderà né condividerà Dati personali per la pubblicità comportamentale cross-context; (iii) non raccoglierà, utilizzerà, conserverà o divulgherà Dati personali al di fuori del rapporto commerciale diretto tra Avetta e il Cliente, salvo quanto necessario per fornire i Servizi; (iv) non combinerà i Dati personali ricevuti da o per conto del Cliente con i Dati personali raccolti per conto di un'altra persona o di altre persone, salvo per uno scopo commerciale consentito ai sensi del CCPA che non implichi pubblicità comportamentale cross-context; e (v) fornirà almeno lo stesso livello di protezione della privacy richiesto dal CCPA in materia di Dati personali. Avetta dichiarerà di aver compreso tali restrizioni e di volerle rispettare.
2. Il Cliente ha il diritto (i) di monitorare la conformità di Avetta al presente DPA e (ii) di adottare misure adeguate e appropriate per garantire che i Dati personali siano utilizzati da Avetta in conformità al CCPA. Avetta informerà il Cliente qualora ritenga di non poter più adempiere a nessuno degli obblighi previsti dal CCPA, e in tal caso Avetta collaborerà con il Cliente e adotterà tutte le misure adeguate e appropriate per interrompere e porre rimedio a qualsiasi Trattamento fino a quando il Trattamento non sarà conforme al CCPA e al presente DPA.

ALLEGATO B

DETTAGLI DEL TRATTAMENTO DEI DATI PERSONALI

Il presente Allegato B è parte integrante del DPA e descrive i trattamenti che Avetta eseguirà in relazione alla fornitura dei Servizi.

APPENDICE I – DESCRIZIONE DEL TRATTAMENTO DEI DATI

A. ELENCO DELLE PARTI

Esportatore dei dati:

Importatore dati:

B. DESCRIZIONE DEL TRASFERIMENTO

C. AUTORITÀ DI CONTROLLO COMPETENTE

APPENDICE II – MISURE TECNICHE E ORGANIZZATIVE

Panoramica

Le applicazioni software-as-a-service di Avetta (“Servizi SaaS”) sono state progettate fin dall’inizio mettendo al centro la sicurezza. I servizi SaaS Connect e Workforce Management sono strutturati con un insieme di controlli di sicurezza a ogni livello del trattamento, al fine di contrastare i principali rischi in materia di sicurezza. Questi controlli di sicurezza sono soggetti a modifiche; tuttavia, qualsiasi modifica sarà volta a mantenere o migliorare il livello complessivo di sicurezza della piattaforma SaaS..

Le principali aree dei controllo di sicurezza descritte di seguito sono applicabili a ciascuno dei componenti dei servizi SaaS Avetta Connect e Workforce Management. Avetta ospita i propri servizi SaaS su piattaforme di fornitori di servizi cloud utilizzando principalmente Amazon Web Services (AWS) e, in rari casi, Equinix.

Verifiche e certificazioni

I servizi SaaS Avetta sono certificati ai sensi delle norme ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (di seguito "Certificazioni ISO"); Avetta riesamina annualmente la propria conformità alle certificazioni ISO effettuando un audit dei controlli interni. Detto audit è soggetto al riesame da parte del comitato per la sicurezza delle informazioni e i sistemi di gestione della privacy, composto da membri dell’alta dirigenza di Avetta.

Avetta utilizza principalmente data center AWS distribuiti a livello globale per l'elaborazione e l'archiviazione dei servizi SaaS. AWS offre strutture all'avanguardia che hanno ottenuto diversi accreditamenti, tra cui SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Queste strutture AWS forniscono inoltre misure di protezione fisica all'avanguardia nei luoghi in cui vengono archiviati ed elaborati i dati dei clienti di Avetta. Avetta utilizza Equinix come fornitore di servizi cloud per Workforce Management in alcune aree geografiche. Anche Equinix è certificata secondo diversi standard, tra cui ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, SOC 1 Tipo II e SOC 2 Tipo II. Per ulteriori informazioni sui fornitori di servizi cloud, consultare https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Disaster Recovery e continuità operativa

Per garantire che i suoi servizi SaaS mantengano un elevato grado di disponibilità del sistema, Avetta utilizza un data center AWS dedicato al backup/failover situato in un'area geografica diversa rispetto al data center di produzione principale. In questo modo, Avetta può reagire rapidamente a qualsiasi evento di natura ambientale, fisica o accidentale che possa causare un'interruzione dell'attività del data center AWS di produzione.

Avetta dispone di un piano completo di Disaster recovery e continuità operativa che viene sottoposto a revisione almeno una volta all'anno. Tale revisione consente al personale Avetta di familiarizzare con le procedure di emergenza da seguire in caso di eventi che potrebbero causare l'interruzione delle normali attività aziendali di Avetta.

I sistemi di Avetta sono progettati per garantire un Recovery Point Objective (RPO) inferiore a 2 ore e un Recovery Time Objective (RTO) inferiore a 4 ore.

Inoltre, Avetta conduce regolarmente un'approfondita valutazione dei rischi per garantire l'attuazione di adeguate strategie di mitigazione del rischio e controlli all'interno dell’organizzazione.

Risposta agli incidenti

Avetta dispone di un piano completo di risposta agli incidenti. Questo piano, insieme ai processi e alle procedure correlate, consente al personale di Avetta di rispondere rapidamente a una sospetta o potenziale violazione della sicurezza o ad altre attività sospette in ambito di sicurezza informatica all'interno dell'ambiente Avetta. Un team responsabile della risposta agli incidenti, guidato da membri qualificati del team di sicurezza, eseguirà una valutazione della situazione e svilupperà piani d'azione e strategie di mitigazione appropriati. Se viene confermata una sospetta violazione, il team di risposta agli incidenti seguirà i protocolli designati per intervenire tempestivamente, mitigare l'attività dannosa e preservare le prove digitali utili nell'ambito della digital forensics. Saranno seguite anche le procedure di notifica.

Crittografia

I servizi SaaS Avetta garantiscono la crittografia dei dati inattivi tramite AES-256. Anche ulteriori elementi di dati vengono crittografati mediante la tecnica del salting. Questi processi di crittografia assicurano un elevato grado di riservatezza e integrità dei dati dei clienti. Nei Servizi SaaS di Avetta è garantita la separazione logica dei dati, in modo che non sia possibile accedere ai dati dei clienti da fonti non autorizzate. L'accesso ai dati del cliente è controllato tramite un sistema di gestione delle identità e degli accessi con attributi che impediscono agli utenti non autorizzati di accedere ai dati del cliente.

Le misure di sicurezza di Avetta sono implementate secondo il principio del "privilegio minimo", ovvero solo i dipendenti che hanno una necessità aziendale possono accedere a dati e funzioni di sistema specifici.

Controlli di sicurezza delle applicazioni Web

L'accesso dei clienti ai Servizi SaaS avviene esclusivamente tramite protocolli di comunicazione sicuri, quali TLS 1.2 o versioni successive. In questo modo viene stabilito un canale di crittografia per consentire la trasmissione sicura dei dati tra un utente finale e i Servizi SaaS. Questo protegge i dati del cliente durante i processi di trasmissione dei dati.

Gli amministratori del cliente possono abilitare e disabilitare gli utenti dei Servizi SaaS e i relativi accessi, in base alle necessità. I Servizi SaaS consentono ai clienti di abilitare l'autenticazione a più fattori per l'accesso agli account dei Servizi SaaS utilizzando il Single Sign-On tramite provider di identità SAML 2.0. I Servizi SaaS consentono ai clienti di abilitare criteri personalizzabili per le password in modo da adeguare le password dei Servizi SaaS alle policy aziendali del cliente.

Rete

I Servizi SaaS utilizzano i controlli di rete dei fornitori di servizi cloud per limitare il traffico in entrata e in uscita dalla rete. Vengono utilizzati gruppi di sicurezza per limitare l'attività di rete agli endpoint autorizzati. I Servizi SaaS utilizzano un'architettura di rete a più livelli, che comprende diversi ambienti virtuali Cloudflare separati logicamente, sfruttando zone private, DMZ e zone non affidabili all'interno dell'infrastruttura dei servizi cloud.

Monitoraggio e verifica

I sistemi e le reti dei Servizi SaaS vengono monitorati per verificare la presenza di problemi di sicurezza, lo stato di salute dei sistemi, eventuali anomalie di rete, l'attività di elaborazione, i livelli di elaborazione dell'infrastruttura e la disponibilità. Avetta utilizza un sistema di rilevamento delle intrusioni per monitorare l'attività della rete, che invierà avvisi ai membri designati del team Avetta in caso di comportamenti sospetti. Sono stati inoltre implementati firewall per le applicazioni Web su tutti i servizi Web pubblici.

Avetta registra gli eventi relativi ad applicazioni, rete, utenti e sistema operativo su un server syslog locale e su un sistema SIEM (Security Information and Event Management). Questi registri vengono analizzati e riesaminati automaticamente per individuare attività sospette e minacce. Qualsiasi anomalia nelle attività di sistema viene segnalata e vengono intraprese le opportune azioni correttive. Avetta utilizza sistemi SIEM che forniscono un'analisi continua della sicurezza delle reti e dell'ambiente di sicurezza Avetta, registrando avvisi e segnalazioni relativi a indicatori di attività sospette o potenzialmente anomale. Tutte queste funzionalità e attività sono gestite dal personale DevOps e Sicurezza informatica di Avetta.

Gestione delle vulnerabilità

Avetta esegue periodicamente valutazioni relative alla vulnerabilità delle applicazioni web, analisi statiche del codice e valutazioni di sicurezza esterne nell'ambito del suo programma di sicurezza completo, al fine di garantire che siano implementati in modo efficace adeguati controlli di sicurezza e che siano operativi. A cadenza semestrale, Avetta incarica specialisti indipendenti di vulnerability assessment e penetration test di eseguire valutazioni relative alla vulnerabilità della rete e del Web. L'ambito di queste verifiche esterne include la conformità all'OWASP Top 10 (Open Web Application Security Project), ovvero le dieci principali vulnerabilità delle applicazioni web. I risultati della valutazione relativa alla vulnerabilità sono integrati nel ciclo di vita dello sviluppo software Avetta ("SDLC") al fine di correggere le vulnerabilità individuate. Le vulnerabilità più critiche vengono classificate come prioritarie e inserite nel sistema di ticketing interno di Avetta per essere monitorate fino alla loro risoluzione.

Sviluppo sicuro del software

Avetta segue prassi di sviluppo sicuro nell'ambito del proprio SDLC. Tali prassi includono strumenti di analisi statica e in tempo reale del codice. Vengono inoltre condotte revisioni tra pari prima che il codice venga distribuito nell'ambiente di produzione. In Avetta sono stati implementati ambienti operativi separati: produzione, test/QA e demo. Gli sviluppatori di software di Avetta sono tenuti a seguire ogni anno corsi di formazione sul secure coding.

Team di Sicurezza informatica di Avetta

Avetta dispone di un team dedicato alla sicurezza guidato da un Cybersecurity Manager in possesso di una laurea magistrale in Sicurezza informatica. Il team organizza regolarmente corsi di formazione sulla sicurezza a livello aziendale, esercitazioni sulla sicurezza e test periodici di vulnerabilità e penetrazione. Grazie a queste attività, il team di Sicurezza informatica garantisce che l'efficacia delle misure tecniche e organizzative venga regolarmente testata, misurata e valutata, assicurando la sicurezza del trattamento dei dati dei clienti.

Il team Sicurezza informatica partecipa inoltre a verifiche e certificazioni annuali e frequenta seminari sulla sicurezza informatica.

Privacy e protezione dei dati

Avetta applica rigorose politiche in materia di sicurezza delle informazioni e protezione dei dati personali. Tali politiche definiscono le procedure adottate per garantire la tutela delle informazioni dei clienti Esse delineano inoltre i controlli implementati, tra cui le linee guida relative alla conservazione dei dati, all'accessibilità e all'autenticazione, all'uso corretto e alla riservatezza dei dati.

APPENDICE III - ELENCO DEI -RESPONSABILI SECONDARI DEL TRATTAMENTO

L'elenco attuale dei responsabili secondari del trattamento dei dati di Avetta è disponibile qui: Responsabili (secondari) del trattamento di Avetta.