Termini e condizioni per il trattamento dei dati personali

Termini e condizioni per il trattamento dei dati personali

1. Introduzione

I presenti Termini e condizioni si applicano ai servizi forniti dal soggetto venditore ZF, identificato nel Contratto di servizio e per conto delle sue affiliate (di seguito denominate collettivamente "Responsabile del trattamento") al Cliente che utilizza i Servizi come di seguito definiti (di seguito denominato "Cliente" o "Titolare del trattamento").

Il Titolare del trattamento e il Responsabile del trattamento sono di seguito denominati congiuntamente le “Parti” e individualmente la “Parte”.

Poiché il Responsabile del trattamento fornisce servizi IoT, soluzioni per la gestione della flotta e altri prodotti e servizi (i "Servizi") al Cliente, come descritto nel Contratto di servizio e nei Termini e condizioni per la fornitura di servizi telematici e di internet degli oggetti (collettivamente il "Contratto di servizio") stipulato tra il Processore e il Cliente.

Considerato che la fornitura dei Servizi richiede la condivisione e il trattamento di Dati personali tra le rispettive Parti, i presenti Termini e condizioni particolari specificano in base a quali criteri le Parti potranno ricevere, accedere ed elaborare ulteriormente i Dati personali dell’altra Parte se, e per quanto, il Responsabile elabora i Dati personali in qualità di Responsabile del trattamento per conto del Cliente in relazione ai Servizi forniti dal Responsabile al Cliente ai sensi del Contratto di servizio. ZF, gruppo globale del settore automobilistico, industriale e tecnologico, sviluppa, produce e vende, tra l'altro, soluzioni telematiche e di connettività Internet of Things (IoT) basate sul cloud per vari settori. Queste soluzioni possono includere una combinazione di hardware, software e servizi corrispondenti che consentono di collegare in rete veicoli e altri oggetti e permettono ai clienti di gestire digitalmente le loro flotte e di monitorare veicoli e merci. Il Cliente utilizza un sistema corrispondente a una soluzione digitale basata sul cloud (di seguito "Prodotto"). Se disponibili e nella misura specificata, i dati raccolti tramite il Prodotto possono essere archiviati, consultati e gestiti nella piattaforma cloud fornita dal Responsabile del trattamento. A seconda della soluzione specifica e nella misura in cui è disponibile, il Prodotto può offrire impostazioni di gestione dei dati che possono essere attivate o disattivate, come la raccolta di dati basata su eventi, modalità di privacy per interrompere qualsiasi elaborazione dei dati, oscuramento dei dati accessibili nella piattaforma cloud o periodi di archiviazione limitati. Indipendentemente dalle impostazioni predefinite, il Cliente è pienamente responsabile dell'uso legalmente conforme del Prodotto, comprese le impostazioni di gestione dei dati. Pertanto, il Cliente garantisce al Responsabile del trattamento che effettuerà l'elaborazione dei dati in qualità di Titolare del trattamento sempre nel rispetto della normativa vigente in materia di protezione dei dati e che garantirà una base giuridica efficace per il trattamento dei dati personali, come ad esempio un consenso esplicito dell'interessato, se richiesto dalla legge locale. Il Cliente garantisce inoltre di regolare le impostazioni di gestione dei dati prima del primo utilizzo del Prodotto, se necessario, per garantire un uso legalmente conforme del Prodotto. I presenti Termini e condizioni per il trattamento di Dati personali sono applicabili salvo che le Parti non

abbiano sottoscritto un contratto separato per il trattamento dei dati (DPA). Qualora fosse stato sottoscritto, tale DPA avrebbe la prevalenza su eventuali termini conflittuali nei presenti Termini e condizioni.

2. Definizioni

a. I termini definiti nel Contratto di servizio tra il Responsabile del trattamento e il Titolare del trattamento hanno lo stesso significato allorché utilizzati nei Termini e condizioni per il trattamento dei dati (“Termini”).

b. Ai fini dei presenti Termini, “Dati personali”, “Categorie di dati speciali”, “Elaborazione

/ Trattamento”, “Titolare” (o “Titolare dei dati”), “Responsabile” (o “Responsabile dei dati”), “Subcontraente”, “Soggetto interessato” e “Violazione dei dati personali” hanno lo stesso significato stipulato dalle leggi sulla protezione dei dati in vigore.

c. Per “Leggi sulla protezione dei dati” si intende il Regolamento generale sulla protezione dei dati 2016/679 (“GDPR”) e le normative nazionali degli stati membri del SEE, la Direttiva UE 2002/58/EC del 12 luglio 2002 riguardante il trattamento dei Dati personali e la protezione della privacy nel settore delle comunicazioni elettroniche, come implementato nelle leggi nazionali degli stati membri del SEE, che possono periodicamente essere corrette, abrogate, sostituite o integrate, nonché altre leggi o direttive inerenti la protezione dei dati e la privacy e relative ai Dati personali controllati da ciascuna Parte.

3. Oggetto e Termine

I presenti Termini si applicano a qualsiasi raccolta, uso, condivisione e ulteriore elaborazione di Dati personali da parte del Responsabile del trattamento e nella misura in cui il Responsabile elabora i Dati personali come Responsabile per conto del Cliente in relazione ai Servizi forniti dal Responsabile al Cliente definiti nel Contratto di servizio.

I presenti Termini prevalgono, senza annullarlo, su qualsiasi precedente contratto sottoscritto tra le Parti nei suoi aspetti relativi al trattamento di Dati personali, salvo sottoscrizione di un eventuale contratto separato specifico per il trattamento dei dati tra le Parti. I presenti Termini costituiscono parte integrante del Contratto di servizio sottoscritto fra il Responsabile del trattamento e il Cliente. I presenti Termini saranno ritenuti in vigore dalla data della firma del Contratto di servizio e rimarranno pienamente validi e in vigore per tutta la durata del Contratto di servizio. Il Responsabile del trattamento ha facoltà di aggiornare periodicamente i presenti Termini. L’ultima versione in vigore sarà sempre disponibile sul sito

sito web del Responsabile del trattamento: xxxxx://xxx.xx.xxx/xx/xxxxx/XX-Xxxxxxxxxx-xx- processing-personal-data

4. Ambito

Le Parti, ciascuna nella sua rispettiva veste, trattano i Dati personali conformemente alla Legge sulla protezione dei dati in vigore e a qualsiasi altra normativa in vigore cui siano soggetti le rispettive Parti.

Tipo di dati

Il Titolare del trattamento specificherà che una o più delle seguenti categorie di dati saranno raccolte, elaborate e utilizzate dal Responsabile nell’ambito dei presenti Termini.

A seconda dei servizi richiesti dal Titolare del trattamento, i Dati personali trasmessi, archiviati, inviati o ricevuti dal Cliente o dai suoi utenti finali

mediante la Soluzione per la gestione della flotta comprendono:

• Nome, titolo, numero patente di guida, qualifica, date in servizio / non in servizio, data di scadenza del certificato medico

• Indirizzi professionali, commerciali o legali

• Data / anno / data di nascita

• Dati relativi alle telecomunicazioni (x.xx. connessione, localizzazione, uso e traffico dei dati)

• Numero di telefono, numero di cellulare

• Indirizzo email

• Dati tachigrafo (ore di guida, riposo, lavoro)

• Messaggi

• Indirizzi IP

• Dati Eco

• Dati di pianificazione e controllo

• Dati di localizzazione precisa (posizioni GPS)

• Targa del veicolo e del rimorchio

• Dati diagnostici relativi a dispositivi e servizi

• Foto

• Sesso

• Xxxxxxxx (autista / visitatore / spedizioniere / amministratore)

• Lingua dell'autista come utente

• Scheda tachigrafo: ID

• Scheda tachigrafo: Paese di emissione

• Attività (guida, fermata, riposo ecc.)

• Allarmi

• Data di ultima lettura del tachigrafo

• Prestazione / tendenza ECO: Folle, RPM alto, Velocità eccessiva, Moto per inerzia, Frenata brusca, Cruise control, Consumo medio del carburante

• Integrazione dei dati di monitoraggio TracKing (Thermo King) per rimorchi: temperatura zona, stato porte, pressione pneumatici, allarmi

• Dati FMS del veicolo / dati sull’uso del veicolo, tra cui: distanza coperta, ora, durata della guida, velocità della vettura, giri / min. del motore, carico del motore, temperatura del motore; manovre in frenata / curva / accelerazione, durata e distanza del viaggio, tensione della batteria

• Dati sull’uso del rimorchio, tra cui: distanza coperta, ora, durata della guida, velocità del rimorchio, carico del rimorchio, frenata (EBS) / distanza, TPMS,

EBPMS, GNSS

• Registrazione video (attivazione necessaria da parte del Cliente)

Categorie di Soggetti interessati

Il Titolare del trattamento ha definito le seguenti categorie di Soggetti interessati i cui Dati personali come definiti più sopra saranno raccolti, trattati e utilizzati dal Responsabile del trattamento nell’ambito del presente Contratto per il trattamento dei dati:

• i dipendenti del Cliente;

• gli appaltatori del Cliente;

• il personale di clienti, fornitori e subappaltatori del Cliente;

• qualunque altra persona che trasmette i dati tramite la Soluzione di gestione della

flotta, inclusi singoli che collaborano e comunicano con gli utenti finali del Cliente.

Conservazione dei dati

Il Responsabile non conserverà i Dati personali in una forma che permetta l’identificazione dei Soggetti interessati per un periodo superiore a quello necessario e per gli scopi previsti dal trattamento dei Dati personali tramite la Soluzione di gestione della flotta (FMS), se non richiesto o autorizzato diversamente dalle leggi che regolano la protezione dei dati o altre direttive applicabili. Utilizzando i Servizi, i Clienti dovranno determinare e istruire espressamente il Responsabile del trattamento in merito ai periodi di conservazione, utilizzando il periodo predefinito del prodotto o, se applicabile, un periodo gestibile che può essere determinato dal Cliente attraverso un modulo sulla privacy dei dati nella strumentazione. Dopo questi periodi di conservazione, il Responsabile del trattamento ha la possibilità di cancellare o deidentificare i dati personali. Prima della scadenza di tale periodo, il Cliente esporta tutti i dati necessari tramite la strumentazione. Per almeno 6 mesi dopo la creazione, il Responsabile del trattamento non ha l’obbligo di cancellare le copie dei Dati personali, che sono custodite nei suoi file di backup, e che saranno conservate per la massima durata possibile a fini di continuità. Tali copie di backup restano soggette ai presenti Termini fino alla loro distruzione. Le Parti riconoscono e accettano che il Responsabile del trattamento possa deidentificare i Dati personali raccolti, generati e/o archiviati come parte della fornitura dei Servizi e di usare tali dati deidentificati per scopi statistici, di analisi, di ricerca e sviluppo, commerciali, di benchmarking e per altri scopi simili, in conformità alle leggi sulla protezione dei dati.

5. Obblighi del Responsabile del trattamento

Laddove il Responsabile del trattamento (operando come Responsabile) elabora i Dati personali per conto del Cliente (operando come Titolare dei dati), dovrà:

a. Elaborare o avere elaborato tali Dati personali nel rispetto delle Leggi vigenti sulla protezione dei dati come Responsabile dei dati.

b. Elaborare - e indirizzare qualsiasi persona che agisca sotto la sua autorità a elaborare - i Dati Personali per conto del Titolare del trattamento, in conformità alle relative istruzioni documentate, salvo espressamente richiesto dalle norme UE o di uno stato membro dell’UE a cui è soggetto il Responsabile. In tal caso, il Responsabile dovrà informare il Titolare di tale requisito di legge prima di procedere al trattamento, a meno che la legge non vieti tali informazioni sulla base di importanti motivi di pubblico interesse. I presenti Termini costituiscono istruzioni documentate fornite dal Titolare del trattamento al Responsabile. Inoltre, su istruzione del Titolare, il Responsabile corregge, rettifica o blocca i Dati personali e fornisce l'accesso a tali dati soltanto al personale qualificato.

c. Tenendo in considerazione la natura del trattamento e delle informazioni disponibili al Responsabile, fornisce al Titolare del trattamento un'assistenza commercialmente ragionevole per aiutarlo a garantire la conformità agli obblighi legali previsti dalla Legge sulla protezione dei dati, includendo una valutazione d’impatto sulla protezione dei Dati personali.

d. Implementare appropriate misure tecniche e organizzative, come richiesto dalla Legge sulla protezione dei dati, al fine di proteggere i Dati personali contro distruzione accidentale o dolosa, perdita, alterazione, divulgazione, accesso, trasmissione, uso improprio non autorizzati e contro qualsiasi altra forma di trattamento illecito adottando almeno le seguenti misure di sicurezza in modo adeguato:

i. Pseudonimizzazione e crittografia;

ii. Misure finalizzate a mantenere costantemente la riservatezza, l’integrità, la disponibilità e il recupero dei servizi e dei sistemi di elaborazione;

iii. Misure finalizzate a ripristinare tempestivamente la disponibilità e l’accesso ai Dati personali in caso di incidente fisico e tecnico;

iv. Un regolare processo per testare, accertare e valutare l’efficacia delle misure tecniche e organizzative per garantire la sicurezza.

Nell'Appendice 1 il Responsabile del trattamento documenta l’attuazione delle misure tecniche e organizzative.

e. Mettere a disposizione del Titolare del trattamento tutte le informazioni ragionevoli necessarie a dimostrare la sua conformità agli obblighi imposti al Responsabile del trattamento dalla Legge sulla protezione dei dati in vigore, acconsentire e contribuire agli audit, ispezioni comprese, condotti dal Titolare o da altri auditor nominati dal Titolare. Il Responsabile del trattamento fornirà informazioni ai sensi della presente sezione solo nella misura in cui tali informazioni riguardino il Trattamento dei Dati Personali da parte del Responsabile per conto del Titolare del trattamento e tali informazioni siano in possesso del Responsabile e non violino la legge vigente o gli obblighi di riservatezza o le protezioni legali del Responsabile o compromettano in altro modo la sicurezza o l'integrità dei suoi sistemi o dati.

f. Il diritto di audit del Titolare del trattamento è soggetto a una notifica trasmessa al Responsabile del trattamento almeno quattro

(4) settimane prima dell’audit e può essere esercitato non più di una volta all'anno, tranne nel caso di una richiesta specifica da parte di un'autorità di regolamentazione della protezione dei dati di effettuare tale verifica. Qualsiasi verifica sarà condotta durante il normale orario di lavoro e sarà soggetta (i) a una società di revisione terza concordata da entrambe le parti e assunta a spese esclusive del Titolare del trattamento (ii) a un piano di verifica scritto dettagliato e all'ambito di applicazione rivisto e approvato dal Responsabile del trattamento; e (iii) alle politiche di sicurezza in loco del Responsabile del trattamento. Tali verifiche avranno luogo solo in presenza di un rappresentante designato del Responsabile del trattamento. Il Titolare del trattamento fornirà una copia del rapporto di revisione al Responsabile del trattamento che sarà trattato come informazione riservata del Responsabile del trattamento. In conformità al Contratto di servizio, qualsiasi verifica sarà soggetta al pagamento da parte del Titolare del trattamento

di tutti gli onorari e le spese del Responsabile del trattamento associati a tale verifica.

g. Riguardo al punto (e) precedente, informare tempestivamente il Titolare del trattamento nel caso in cui un’istruzione ricevuta dal Titolare violi le Leggi sulla protezione dei dati.

h. Tenendo conto della natura del trattamento e delle informazioni a disposizione, assistere ragionevolmente il Titolare del trattamento con adeguate misure tecniche e organizzative, nella misura in cui ragionevolmente possibile e in conformità alla legge vigente, per adempiere ai suoi obblighi di fornire informazioni sulla raccolta, trattamento e uso dei Dati personali ai Soggetti interessati e nel rispondere alle richieste di esercizio dei diritti dei Soggetti interessati ai dati. Qualsiasi richiesta inviata da un Soggetto interessato direttamente al Responsabile del trattamento sarà immediatamente indirizzata al Titolare. Il Titolare del trattamento è l'unico responsabile della risposta a tali richieste.

i. Avvisare senza indebiti ritardi il Titolare dei Dati personali di eventuali violazioni di tali dati elaborati dal Responsabile e, tenendo conto della natura del trattamento e delle informazioni a disposizione, assistere il Titolare del trattamento, per quanto possibile, nel rispettare i propri doveri non appena si verifica una violazione dei Dati personali.

j. A scelta del Titolare del trattamento, eliminare o restituire tutti i Dati personali al termine della fornitura dei servizi inerenti il trattamento ed eliminare le copie esistenti, se non diversamente richiesto o consentito dalle leggi dell'Unione o degli Stati membri. Le Parti riconoscono e concordano che, se il Titolare del trattamento non istruisce il Responsabile del trattamento entro [30 giorni] dalla fine della fornitura dei servizi per cancellare o restituire i dati personali in questione, si riterrà che il Titolare del trattamento incarichi il Responsabile del trattamento di cancellare o rendere anonimi i dati personali in conformità alle politiche e alle procedure del Responsabile del trattamento. Se il Titolare del trattamento opta per la restituzione di tutti i dati personali, il Titolare del trattamento esporterà i dati necessari tramite la strumentazione prima della cessazione dei Servizi.

k. Garantire che le persone (ad es. i dipendenti) autorizzate ad elaborare i Dati personali abbiano sottoscritto un impegno di riservatezza o siano vincolate da adeguati obblighi legali di riservatezza.

Il Titolare del trattamento sarà responsabile del pagamento di eventuali onorari e spese del Responsabile del trattamento derivanti dalla fornitura di assistenza da parte del Responsabile del trattamento ai sensi dei presenti Termini.

6. Subtrattamento

a. Con i presenti Termini e con il Contratto di servizio, il Titolare concede al Responsabile un’autorizzazione scritta generale per incaricare un altro responsabile per il trattamento completo o parziale specificato nei presenti Termini.

b. Si conviene che ogni Subcontraente elencato nell’Appendice 2 è espressamente autorizzato.

c. Il Responsabile notificherà al Titolare qualsiasi eventuale cambiamento in relazione

all’aggiunta o alla sostituzione di altri responsabili del trattamento sul suo sito web e utilizzando il link riportato nell'Appendice 2.

d. Qualora il Responsabile del trattamento dovesse concordare o contemplare il trasferimento e l'elaborazione di Dati personali detenuti ai sensi dei presenti Termini a un subcontraente, saranno applicate le seguenti condizioni:

i. Il Responsabile del trattamento procederà in tal senso solo previo accordo scritto con il subcontraente che imponga essenzialmente al subcontraente gli stessi obblighi previsti per il Responsabile del trattamento e specificati nei presenti Termini, in particolare l’obbligo di adottare misure tecniche e organizzative adeguate affinché il trattamento risulti conforme ai requisiti di legge in vigore sulla protezione dei dati.

ii. Nel caso in cui i dati personali siano o saranno trasferiti al di fuori del SEE in un paese che non offre un livello adeguato di protezione dei dati, le Clausole contrattuali standard dell'UE (nell'ambito del modulo appropriato) o qualsiasi altro meccanismo adeguato di trasferimento dei dati saranno messi in atto in conformità con le leggi vigenti sulla protezione dei dati.

iii. Qualora il subcontraente non dovesse rispettare i propri obblighi di protezione dei dati ai sensi di tale contratto scritto, il Responsabile rimarrà pienamente imputabile nei confronti del Titolare per l’adempimento degli obblighi contrattuali di quel subcontraente, fatte salve le limitazioni di responsabilità concordate nei presenti Termini.

7. Obblighi del Titolare del trattamento

a. Il Titolare del trattamento determina i fini e i mezzi per il trattamento dei Dati personali tramite FMS.

b. Il Titolare del trattamento dichiara, garantisce e si impegna affinché venga rispettato quanto segue:

i. Il Responsabile del trattamento è autorizzato a utilizzare i Dati personali ai fini del trattamento come stabilito nei presenti Termini.

ii. I Dati personali devono essere raccolti ed elaborati nel rispetto delle Leggi sulla protezione dei dati.

iii. Quando il Titolare del trattamento trasmette i Dati personali al Responsabile del trattamento, è garantita la conformità con le leggi vigenti sulla protezione dei dati e con i presenti Termini, anche quando impartisce istruzioni al Responsabile in merito al trattamento dei Dati personali.

c. Le Parti riconoscono e concordano che il Titolare del trattamento è l'unico responsabile della comunicazione e dell'ottenimento del consenso da parte degli individui in merito all'utilizzo dei Servizi, come richiesto dalla legge vigente.

d. Il Titolare del trattamento si accerta che i dati siano trattati in modo da garantirne un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, contro trattamenti non autorizzati o illeciti e contro perdita, distruzione o danni accidentali.

e. Il Titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità ai sensi del GDPR nel quale dovrebbe essere coperta la FMS.

f. Il Titolare del trattamento collaborerà, secondo quanto ragionevolmente richiesto dal Responsabile del trattamento, alla verifica di tale conformità da parte del Titolare e dei suoi utenti e informerà tempestivamente il Responsabile del trattamento, senza ritardi ingiustificati, se in qualsiasi momento il Titolare del trattamento dovesse rendersi conto di aver violato o di non essere più in grado di adempiere agli obblighi di conformità previsti dal presente documento.

8. Cessione

Il Titolare riconosce che il Responsabile del trattamento può cedere i propri obblighi in qualità di Responsabile del trattamento a una società controllata, affiliata o a una terza parte nel caso in cui venda o trasferisca tutta o parte della propria attività o dei propri beni, anche in caso di fusione, acquisizione, riorganizzazione, scioglimento o liquidazione.

9. Trasferimento dei dati

Nel caso in cui i Dati personali vengano trasferiti al Cliente al di fuori dello Spazio Economico Europeo, le Parti concordano che il trasferimento transfrontaliero dei Dati personali dal Responsabile del trattamento è disciplinato dalle Clausole contrattuali standard dell'UE ("SCC", nel modulo appropriato), a meno che il trasferimento non sia coperto da una decisione di adeguatezza della Commissione Europea.

10. CCPA

Nella misura in cui il Responsabile del trattamento riceve informazioni personali dei consumatori soggette al CCPA in relazione all'utilizzo del DCS da parte del Cliente, le Parti riconoscono e concordano che: (i) il Responsabile del trattamento agisce come fornitore di servizi al Cliente nell'elaborazione dei Dati personali ottenuti tramite i Servizi; (ii) i Dati personali vengono comunicati al Responsabile del trattamento per gli scopi commerciali specificati nel Contratto di servizio; (iii) il Responsabile del trattamento non venderà i dati personali né, se non diversamente consentito o richiesto dalla legge vigente, conserverà, utilizzerà o divulgherà i Dati personali (a) per scopi diversi dalla fornitura dei Servizi, o (b) al di fuori del rapporto commerciale diretto tra il Responsabile del trattamento e il Cliente; o (iv) a meno che non sia consentito dalla legge, il Responsabile del trattamento non combinerà i Dati personali ricevuti dal Cliente con quelli che il Responsabile riceve da o per conto di un'altra persona, o che raccoglie dalla propria interazione con un Consumatore interessato. Ciascuna Parte si atterrà ai propri obblighi applicabili ai sensi del CCPA nell'adempimento delle rispettive responsabilità ai sensi del Contratto di servizio e informerà tempestivamente l'altra Parte qualora ritenga di non poter più adempiere ai propri obblighi ai sensi del CCPA. Ciascuna Parte può esercitare i rispettivi diritti specificati nel Contratto di servizio o nei presenti Termini per (i) adottare misure commercialmente ragionevoli per contribuire a garantire che l'altra Parte utilizzi i Dati personali in modo coerente con i propri obblighi ai sensi del CCPA e (ii) su comunicazione scritta, adottare misure commercialmente ragionevoli per interrompere e porre rimedio all'uso non autorizzato di tali Dati personali. Ai fini della presente Sezione, per "CCPA" si intende il California

Consumer Privacy Act del 2018, come modificato dal California Privacy Rights Act del 2020 (quando in vigore), e i termini "Scopo commerciale", "Consumatore", "Dati personali", "Vendita" e "Fornitore di servizi" avranno il significato ad essi attribuito nel CCPA.

11. Responsabilità

Le rispettive reciproche responsabilità delle Parti in caso di violazione dei presenti Termini Particolari e il rispettivo obbligo di indennizzo reciproco in caso di reclami di terzi verso una delle Parti, in seguito a violazione contrattuale o non contrattuale dei presenti Termini o delle leggi sulla protezione dei dati da parte dell’altra Parte, sono disciplinate dai termini di responsabilità e indennizzo definiti nel Contratto di servizio stipulato tra il Responsabile del trattamento e il Cliente per i Servizi in questione. Inoltre, il Cliente manleva il Responsabile del trattamento da qualsiasi responsabilità per eventuali danni diretti o indiretti degli interessati derivanti dalla violazione da parte del Cliente dei presenti Termini e condizioni o causati dal trattamento dei dati personali da parte del Cliente in contrasto con le leggi applicabili in materia di protezione dei dati, a meno che il Cliente non dimostri di non essere in alcun modo responsabile della circostanza a causa della quale l'interessato ha subito il danno. Il Cliente esonera inoltre il Responsabile del trattamento dalla responsabilità per eventuali danni rivendicati da terzi nei confronti del Responsabile stesso in conseguenza della violazione da parte del Cliente dei presenti Termini e Condizioni o causati dal trattamento dei dati personali da parte del Cliente in contrasto con le leggi vigenti in materia di protezione dei dati. Lo stesso vale nel caso in cui al Responsabile del trattamento sia stata comminata una sanzione amministrativa, per cui l'entità dell'indennizzo dipenderà dalla quota di responsabilità che il Cliente si assume in relazione alla violazione sancita da tale sanzione.

12. Normativa applicabile e giurisdizione

I presenti Termini sono soggetti alla legge che disciplina il rispettivo Contratto di servizio (a meno che la scelta della legge non sia valida ai sensi della normativa in vigore nel paese in cui ha sede il Titolare del trattamento, nel qual caso la scelta ricadrà sulla legge del paese in cui risiede il Titolare del trattamento).

La giurisdizione competente per eventuali vertenze contrattuali o non contrattuali derivanti dai o in relazione ai presenti Xxxxxxx sarà la stessa stabilita nel relativo Contratto di servizio. Questo paragrafo, tuttavia, non ha effetto su nessun obbligo delle Parti stabilito dalle Leggi vigenti sulla protezione dei dati.

Allegato 1: Misure tecniche e operative La presente Appendice è diretta ai nostri clienti e business partner e definisce le misure tecniche e organizzative per proteggere i Dati personali contro accesso non autorizzato, alterazione e perdita conformemente alle Leggi sulla protezione dei dati.

Il presente documento fornisce ulteriori dettagli sulle misure tecniche e organizzative adottate dal responsabile del trattamento ai fini della protezione di dati.

CENTRO DATI E SICUREZZA DEL NETWORK

I centri dati utilizzati dal Responsabile del trattamento sono certificati. Tutti i servizi aziendali critici dispongono di strutture di backup in base ai requisiti del servizio aziendale.

La piattaforma dispone di funzionalità di correzione e di scalabilità automatiche per garantire gli elevati obiettivi dell'accordo SLA anche in condizioni di stress. La piattaforma utilizza anche i principi di isolamento e segregazione per localizzare i problemi ed evitare l'impatto sull'intero sistema.

GLI UFFICI DEL RESPONSABILE DEI DATI

1. Controllo dell'accesso (edificio / uffici

/ centro dati) Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per prevenire l’accesso ai sistemi di elaborazione dati dove vengono elaborati i Dati personali:

● Il personale ha una scheda/chiave personale di accesso individuale all’edificio.

● Alle persone non autorizzate è negato l’accesso fisico a strutture, edifici o locali dove si trovano i sistemi di elaborazione e/o uso dei Dati personali.

2. Controllo dell’accesso (sistemi)

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per prevenire l’uso dei sistemi di elaborazione dei dati personali da parte di persone non autorizzate:

● I sistemi informativi aziendali sono costantemente monitorati.

● I membri del personale hanno un terminale individuale con identificazione personale e password.

● L'accesso ai sistemi di produzione critici è possibile solo a un numero limitato di persone appositamente addestrate.

● L'accesso dell'amministratore richiede l'autenticazione a più fattori.

● Tutti gli accessi alla piattaforma sono completamente controllati e monitorati.

● Le autorizzazioni vengono concesse secondo il principio del minor privilegio.

● Il logout automatico è implementato al timeout di inattività.

● Cancellazione automatica dell’ID dell’utente se vengono introdotti più password, file di log o eventi errati (monitoraggio dei tentativi di forzatura).

● Tutti i membri del personale sono soggetti ad accordi di riservatezza e non divulgazione. L’eventuale accesso a dati non pubblici è autorizzato in caso di rigorosa necessità e monitorato. Formazione permanente degli utenti sull’importanza della sicurezza dei dati nell’attività.

● Il Responsabile del trattamento ha accesso per area funzionale di responsabilità, ad es. team R&D, team Hosting, team Service Desk, ecc. L’accesso è basato sulla funzione con revisioni regolari dei membri del team.

● Tutte le chiavi (segrete) utilizzate dalla piattaforma sono conservate in modo sicuro in un caveau protetto e sono previsti schemi di rotazione delle chiavi.

● Sono stati predisposti sistemi per rilevare in tempo reale gli accessi non autorizzati, generando allarmi nel sistema di gestione degli incidenti. Gli accessi non autorizzati possono essere facilmente bloccati dal sistema.

3. Controllo dell’accesso (dati)

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che gli utenti autorizzati di un sistema di elaborazione dati possano accedere solo ai dati per i quali sono autorizzati, e per prevenire la lettura non autorizzata dei Dati personali mentre sono in uso, in movimento o a riposo:

● Le connessioni dei clienti richiedono un’autenticazione a più fattori.

● Portale centrale di login con accesso protetto alle applicazioni del cliente in base al principio “single sign-on” combinabile con un’autenticazione a due fattori.

● Il sistema applica i più moderni sistemi di autorizzazione e di autenticazione per consentire un accesso sicuro ed evitare che non sia autorizzato.

4. Controllo del trasferimento

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che i Dati personali non possano essere letti, copiati o modificati durante la trasmissione elettronica o durante il trasporto o in un disco di archiviazione. Inoltre, per controllare e determinare a quali enti è permesso il trasferimento dei Dati personali forniti dal sistema di comunicazione dei dati:

● Tutte le interazioni con i clienti su Internet avvengono via connessioni sicure SSL / TLS. La versione del protocollo è monitorata e segue i requisiti di sicurezza aggiornati forniti dalla sicurezza aziendale.

● Tutte le connessioni al database sono criptate e l'accesso diretto al database (tranne che per gli utenti speciali) non è consentito a causa dell'area privata protetta.

● I backup e i dati a riposo sono criptati. 5. Controllo delle immissioni

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che sia possibile accertarsi, quindi controllare e determinare se e da chi i Dati personali sono stati letti, modificati o rimossi nei/dai sistemi di elaborazione:

● una politica di autorizzazione per l’introduzione di dati in memoria, nonché per la lettura, l'alterazione e la cancellazione dei dati archiviati;

● autenticazione del personale autorizzato;

● misure di protezione per l’introduzione di dati in memoria, nonché per la lettura, l'alterazione e la cancellazione dei dati archiviati;

● utilizzo dei codici utente (password);

● osservanza di una direttiva che stabilisce che tutto il personale addetto all'elaborazione con accesso ai Dati personali elaborati per il Cliente è tenuto a modificare la sua password almeno ogni 90 giorni;

● gli ingressi alle strutture di elaborazione dei dati (i locali che ospitano gli hardware informatici e le relative attrezzature) devono poter essere bloccati;

● logoff automatico degli ID degli utenti che non sono stati utilizzati per un certo periodo di tempo.

6. Controllo degli ordini

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che i Dati personali

elaborati da un responsabile del trattamento su richiesta del soggetto interessato siano trattati unicamente secondo le istruzioni impartite dal soggetto stesso:

Il soggetto interessato ha facoltà in qualsiasi momento di controllare la corretta esecuzione di tutto il lavoro che ha ordinato. Il Responsabile del trattamento fornirà al Cliente adeguate informazioni sul lavoro effettuato. 7. Controllo della disponibilità Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che i Dati personali siano protetti contro la distruzione o la perdita accidentale: Si rimanda alla sezione “Centro dati”.

8. Trattamento segregato

Il Responsabile del trattamento ha adottato, tra altre, le seguenti misure per garantire che i dati raccolti per finalità diverse possano essere trattati separatamente:

● I modelli di architettura applicati creano e consentono un'elaborazione segregata per i diversi servizi aziendali.

● L’accesso ai dati è separato mediante l’applicazione di sicurezza che identifica gli utenti autorizzati

● Esistono ambienti separati per Sviluppo, Organizzazione e Produzione.

● La rete non consente la connettività est- ovest e sono in atto altre misure di rete per garantire l'elaborazione separata.

● Gli ambienti “live” e “test” sono segregati.

9. Responsabile della protezione dei dati

Il Responsabile del trattamento ha incaricato un Responsabile della protezione dei dati in conformità al GDPR. Questa persona garantirà la conformità con il GDPR e con le altre Leggi sulla protezione dei dati. Per eventuali domande sul Responsabile della protezione dei dati, rivolgersi a xxxxxxx.xxxxxxx@xx.xxx.

Appendice 2: Elenco dei Subresponsabili

Per una panoramica dell’elenco attuale di subresponsabili utilizzati dal Responsabile, consultare il seguente link:: xxxxx://xx.xxx/xxxxx/xxxxxxxxxxxxx.