INTRODUZIONE 3
Contratti Multilicenza
Addendum relativo alla
Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft
Ultimo Aggiornamento: 2° gennaio 2024
Condizioni e Aggiornamenti dell’Addendum Applicabili 3
Comunicazioni in Formato Elettronico 3
CONDIZIONI PER LA PROTEZIONE DEI DATI PERSONALI 5
Natura del Trattamento dei Dati; Titolarità 5
Comunicazione dei Dati Trattati 6
Trattamento dei Dati Personali; GDPR 7
Comunicazione di Eventi Imprevisti relativi alla Protezione 9
Trasferimenti e Posizione dei Dati 10
Conservazione ed Eliminazione dei Dati 10
Impegno di Riservatezza del Responsabile del Trattamento 11
Comunicazione e Controlli relativi all’Impiego di Sub-Responsabili del Trattamento 11
Contratto della Società per CJIS 12
Dati dei Servizi di Telecomunicazione 12
California Consumer Privacy Act (CCPA) 12
Servizi Professionali Supplementari 12
APPENDICE A. MISURE DI SICUREZZA 14
APPENDICE B - INTERESSATI E CATEGORIE DI DATI PERSONALI 17
APPENDICE C - ADDENDUM RELATIVO ALLE MISURE DI SICUREZZA AGGIUNTIVE 19
ALLEGATO 1: CONDIZIONI DEL REGOLAMENTO GENERALE
DELL’UNIONE EUROPEA SULLA PROTEZIONE DEI DATI 20
Le parti accettano che il presente Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (“Addendum”) stabilisca
le rispettive obbligazioni in merito al trattamento e alla protezione dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali in
relazione ai Prodotti e ai Servizi. L’Addendum è incorporato nelle Condizioni per l’Utilizzo dei Prodotti e in altri contratti Microsoft in virtù di questo riferimento. Le parti accettano inoltre che, fatta salva l’esistenza di un contratto separato per i Servizi Professionali, il presente Addendum disciplini il trattamento e la sicurezza dei Dati dei Servizi Professionali. L’utilizzo di Prodotti Non Microsoft da parte della Società è disciplinato da condizioni specifiche, che includono condizioni relative al diritto alla protezione dei dati personali e alla sicurezza diverse.
Nell’eventualità di discrepanze o incoerenze tra le Condizioni dell’Addendum e qualsiasi altra condizione del contratto multilicenza della Società
o di altri contratti applicabili in relazione ai Prodotti e ai Servizi (“contratto della Società”), le Condizioni dell’Addendum avranno prevalenza. Le disposizioni delle Condizioni dell’Addendum hanno prevalenza su eventuali altre disposizioni discrepanti definite nell’Informativa sulla Privacy di Microsoft che potrebbero in altro modo essere applicate al trattamento dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali secondo la definizione fornita nel presente documento.
Microsoft rende effettivi gli impegni presi nel presente Addendum per tutte le Società con un contratto della Società in essere. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalle Condizioni per l’Utilizzo dei Prodotti che sono comunque applicabili a qualsiasi licenza o sottoscrizione specifica dei Prodotti o (2) da qualsiasi altro contratto che faccia riferimento alle Condizioni per l’Utilizzo dei Prodotti.
Condizioni e Aggiornamenti dell’Addendum Applicabili
Limitazioni relative agli Aggiornamenti
Quando la Società rinnova o acquista una nuova sottoscrizione di un Prodotto o stipula un ordine di lavoro per un Servizio Professionale, si applicano le Condizioni dell’Addendum in vigore in quel momento, che non cambieranno nel corso della sottoscrizione del suddetto Prodotto o durante il periodo di validità del Servizio Professionale interessato. Quando la Società ottiene una licenza perpetua per il Software, si applicheranno le Condizioni dell’Addendum in vigore in quel momento (in conformità alla stessa disposizione per la determinazione delle Condizioni per l’Utilizzo dei Prodotti in vigore in quel momento e applicabili a tale Software nel contratto della Società) e non cambieranno durante il periodo di validità della licenza della Società per tale Software.
Funzionalità, Supplementi o Prodotti Software Correlati Nuovi
Nonostante le suddette limitazioni relative agli aggiornamenti, quando Microsoft presenta funzionalità, offerte, supplementi o prodotti software correlati nuovi (vale a dire non precedentemente inclusi nei Prodotti o Servizi), potrà fornire condizioni o effettuare aggiornamenti all’Addendum che si applicano all’utilizzo da parte della Società di tali funzionalità, offerte, supplementi o prodotti software correlati nuovi. Qualora tali condizioni includano modifiche sostanziali sfavorevoli alle Condizioni dell’Addendum, Microsoft darà alla Società la possibilità di utilizzare funzionalità, offerte, supplementi o prodotti software correlati nuovi, senza perdere la funzionalità esistente di un Prodotto o Servizio Professionale già disponibile sul mercato. Qualora la Società non installi né utilizzi le funzionalità, le offerte, i supplementi o i prodotti
software correlati nuovi, le nuove condizioni corrispondenti non si applicheranno.
Regolamento e Requisiti per gli Enti Pubblici
Nonostante le suddette limitazioni relative agli aggiornamenti, Microsoft potrà modificare o interrompere un Prodotto o un Servizio
Professionale in qualsiasi paese o giurisdizione in cui esista un’obbligazione o un requisito di legge corrente o futuro che (1) assoggetti Microsoft a regolamenti o requisiti che a livello generale non trovano applicazione nei confronti delle aziende che operano in tale paese, (2) renda difficile per Microsoft continuare a gestire il Prodotto o a offrire il Servizio Professionale senza apportarvi modifiche e/o (3) faccia ritenere a Microsoft che il Prodotto o il Servizio Professionale o le Condizioni dell’Addendum possano essere in discrepanza con tali obbligazioni o requisiti.
Comunicazioni in Formato Elettronico
Microsoft potrà fornire alla Società informazioni e comunicazioni in formato elettronico sui Prodotti e i Servizi, ad esempio tramite e-mail, il portale di un Servizio Online o un sito Web che Microsoft avrà cura di segnalare. Le comunicazioni vengono trasmesse da Microsoft a partire dalla data in cui sono disponibili.
Versioni Precedenti
Le Condizioni dell’Addendum definiscono le condizioni applicabili ai Prodotti e ai Servizi attualmente disponibili. Per le versioni precedenti delle Condizioni dell’Addendum, la Società potrà fare riferimento alla pagina xxxxx://xxx.xx/xxxxxxxxxxxxx o contattare il rivenditore o l’Account Manager designato da Microsoft.
Sommario / Condizioni Generali
I termini in maiuscolo utilizzati, ma non definiti, nel presente Addendum avranno il significato attribuito loro nel contratto della Società. Nel presente Addendum vengono utilizzate le seguenti definizioni:
“Dati della Società” indica tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software forniti a Microsoft dalla o per conto della
Società tramite l’utilizzo dei Servizi Online. I Dati della Società non includono i Dati dei Servizi Professionali.
“Requisiti Relativi alla Protezione dei Dati Personali” indica il GDPR, le Leggi in materia di Protezione dei Dati Personali UE/SEE Locali, qualsiasi legge
e regolamento applicabile e altri requisiti legali relativi (a) al diritto alla protezione dei dati personali e alla sicurezza dei dati e (b) all’utilizzo, alla raccolta, alla conservazione, all’archiviazione, alla sicurezza, alla divulgazione, al trasferimento, allo smaltimento e ad altro tipo di trattamento dei Dati Personali.
“Condizioni dell’Addendum” indica le condizioni disponibili nell’Addendum e le condizioni specifiche per Prodotto contenute nelle Condizioni per l’Utilizzo dei Prodotti che integrano o modificano espressamente le condizioni relative al diritto alla protezione dei dati personali e alla sicurezza
riportate nell’Addendum per un Prodotto specifico (o una funzionalità di un Prodotto). Nell’eventualità di discrepanze o incoerenze tra l’Addendum e
tali condizioni specifiche per Prodotto, queste ultime avranno prevalenza per quanto riguarda il Prodotto applicabile (o la funzionalità di tale Prodotto).
“Regolamento Generale sulla Protezione dei Dati” o “GDPR” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
“Leggi in materia di Protezione dei Dati Personali UE/SEE Locali” indica qualsiasi legislazione subordinata e regolamento di attuazione del GDPR.
“Condizioni del GDPR” indica le condizioni contenute nell’Allegato 1, ai sensi delle quali Microsoft si assume impegni vincolanti relativamente al trattamento da parte sua dei Dati Personali, in base a quanto stabilito dall’Articolo 28 del GDPR.
“Dati Personali” indica qualsiasi dato relativo a una persona fisica identificata o identificabile. Si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Prodotto” ha il significato definito nel contratto multilicenza. Allo scopo di facilitare la consultazione, “Prodotto” include i Servizi Online e il Software, ciascuno secondo la definizione fornita nel contratto multilicenza.
“Prodotti e Servizi” indica i Prodotti e i Servizi Professionali. La disponibilità dei Prodotti e dei Servizi Professionali potrà variare in base all’area geografica e l’applicabilità del presente Addendum a Prodotti e Servizi Professionali specifici è soggetta alle limitazioni riportate nell’Articolo Ambito di Validità del presente Addendum.
“Servizi Professionali” indica i seguenti servizi: (a) servizi di consulenza di Microsoft, che consistono in servizi di pianificazione, supporto, consulenza, migrazione dei dati, distribuzione e sviluppo di soluzioni/software forniti ai sensi di un Ordine di Lavoro per i Servizi Enterprise di Microsoft o, quando concordato nella Descrizione del Progetto, ai sensi di un contratto Cloud Workload Acceleration Agreement in cui il presente Addendum è incorporato in virtù di questo riferimento e (b) servizi di supporto tecnico forniti da Microsoft per aiutare le società a individuare
e risolvere le problematiche che riguardano i Prodotti, inclusi il supporto tecnico erogato nell’ambito dei Servizi Microsoft Unified Support o dei Servizi di Supporto Tecnico Premier, e qualsiasi altro servizio di supporto tecnico commerciale. I Servizi Professionali non includono i Prodotti o, solo ai fini dell’interpretazione dell’Addendum, i Servizi Professionali Supplementari.
“Dati dei Servizi Professionali” indica tutti i dati, inclusi tutti i file di testo, audio, video, immagine o software, che vengono forniti a Microsoft dalla o per conto di una Società (o che la Società autorizza Microsoft a ottenere da un Prodotto) oppure in altro modo ricevuti o trattati da e per conto di Microsoft attraverso un impegno con Microsoft per ottenere i Servizi Professionali.
“Clausole Contrattuali Tipo 2021” indica le clausole tipo di protezione dei dati personali (modulo da responsabile del trattamento a responsabile del trattamento) che si applicano tra Microsoft Ireland Operations Limited e Microsoft Corporation per il trasferimento dei dati personali dai responsabili del trattamento nello Spazio Economico Europeo ai responsabili del trattamento con sede in paesi terzi che non garantiscono un adeguato livello di protezione dei dati personali, come descritto all’Articolo 46 del GDPR e approvato dalla Commissione Europea con la decisione 2021/914/CE del 4 giugno 2021.
“Sub-Responsabile del Trattamento” indica altri responsabili del trattamento utilizzati da Microsoft per trattare i Dati della Società, i Dati dei Servizi
Professionali e i Dati Personali, come descritto all’Articolo 28 del GDPR.
“Servizi Professionali Supplementari” indica richieste di supporto tecnico di cui è stata effettuata l’escalation dal team di supporto tecnico a un team di progettazione del Prodotto per la risoluzione e altri servizi di consulenza e supporto tecnico di Microsoft erogati unitamente a un contratto multilicenza o a Prodotti che non sono inclusi nella definizione di Servizi Professionali.
I termini in lettere minuscole utilizzati, ma non definiti nel presente Addendum, ad esempio “violazione dei dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “profiling”, “dati personali” e “interessato” avranno la stessa accezione attribuita nell’Articolo 4 del GDPR, anche se quest’ultimo non è applicabile.
Sommario / Condizioni Generali
Conformità alle Leggi
Microsoft si atterrà a tutte le leggi e a tutti i regolamenti applicabili all’erogazione dei Prodotti e dei Servizi, tra cui la legge applicabile in materia di notifica dell’inadempimento delle obbligazioni di protezione e i Requisiti Relativi alla Protezione dei Dati Personali. Microsoft non è tuttavia responsabile della conformità alle leggi o ai regolamenti applicabili alla Società o al settore di appartenenza della Società che non siano a livello generale applicabili ai provider di servizi informatici. Microsoft non determina se i dati della Società includono dati soggetti a leggi o regolamenti specifici. Tutti gli Eventi Imprevisti relativi alla Protezione sono soggetti alle condizioni previste nella Comunicazione di Eventi Imprevisti relativi alla Protezione che segue.
La Società dovrà conformarsi a tutte le leggi e a tutti i regolamenti applicabili relativamente all’utilizzo di Prodotti e Servizi, tra cui le leggi in materia di dati biometrici, riservatezza delle comunicazioni e i Requisiti Relativi alla Protezione dei Dati Personali. La Società ha la responsabilità di stabilire se i Prodotti e i Servizi sono appropriati per l’archiviazione e il trattamento di dati soggetti a leggi o regolamenti specifici e di utilizzare i Prodotti e
i Servizi conformemente agli obblighi di leggge e alla normativa applicabile alla Società. La Società ha la responsabilità di rispondere alle richieste formulate da terzi in merito all’utilizzo dei Prodotti e dei Servizi, ad esempio alla richiesta di rimuovere il contenuto ai sensi del Digital Millennium Copyright Act degli Stati Uniti o di altre leggi applicabili.
Condizioni per la Protezione dei Dati Personali
Nel presente Articolo dell’Addendum sono inclusi i seguenti sottoparagrafi:
• Ambito di Validità
• Natura del Trattamento dei Dati; Titolarità
• Divulgazione dei Dati Trattati
• Trattamento dei Dati Personali; GDPR
• Sicurezza dei Dati
• Comunicazione di Eventi Imprevisti relativi alla Protezione
• Trasferimenti e Posizione dei Dati
• Conservazione ed Eliminazione dei Dati
• Impegno di Riservatezza del Responsabile del Trattamento
• Comunicazione e Controlli relativi all’Impiego di Sub- Responsabili del Trattamento
• Istituti Didattici
• Contratto della Società per CJIS
• Società in Affari HIPPA
• Dati dei Servizi di Telecomunicazione
• California Consumer Privacy Act (CCPA)
• Dati Biometrici
• Servizi Professionali Supplementari
• Come Contattare Microsoft
• Appendice A. Misure di Sicurezza
• Appendice B - Interessati e Categorie di Dati Personali
• Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive.
Ambito di Validità
Le Condizioni dell’Addendum si applicano a tutti i Prodotti e i Servizi, ad eccezione di quelli descritti nel presente Articolo.
Le Condizioni dell’Addendum non si applicheranno ai Prodotti o ai Servizi Professionali specificatamente indicati come esclusi, o nella misura in cui sono indicati come esclusi, nelle Condizioni per l’Utilizzo dei Prodotti o nell’ordine di lavoro applicabile, che sono disciplinati dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza nelle condizioni applicabili pertinenti per Prodotto o per ordine di lavoro.
Per maggiore chiarezza, le Condizioni dell’Addendum si applicano solo al trattamento dei dati in ambienti controllati da Microsoft e da Sub- Responsabili del Trattamento di Microsoft. Sono inclusi i dati inviati a Microsoft dai Prodotti e dai Servizi, ma non i dati che rimangono nei locali della Società o in alcuni ambienti operativi di terzi della Società.
Per i Servizi Professionali Supplementari, Microsoft si assume solo gli impegni indicati all’Articolo Servizi Professionali Supplementari che segue.
Le Anteprime potranno adottare misure di protezione dei dati personali e di sicurezza minori o differenti rispetto a quelle in genere presenti nei Prodotti e nei Servizi. Salvo quanto altrimenti stabilito, la Società non dovrebbe utilizzare le Anteprime per trattare i Dati Personali o altri dati che sono soggetti a requisiti di conformità alla legge e ai regolamenti. Per quanto riguarda i Prodotti, le seguenti condizioni del presente Addendum non si applicano alle Anteprime: Trattamento dei Dati Personali; GDPR, Sicurezza dei Dati e Società in Affari HIPPA. Per quanto riguarda i Servizi Professionali, le offerte designate come Anteprime o Versione Limitata sono conformi solo alle condizioni dei Servizi Professionali Supplementari.
Natura del Trattamento dei Dati; Titolarità
Microsoft utilizzerà e tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali secondo quanto descritto e ai sensi delle limitazioni indicate di seguito (a) per fornire alla Società i Prodotti e i Servizi in conformità alle istruzioni documentate della Società e (b) per le attività aziendali connesse all’erogazione dei Prodotti e dei Servizi alla Società. Per ciò che concerne le parti, la Società conserva tutti i diritti, la titolarità e gli interessi relativi ai Dati della Società e ai Dati dei Servizi Professionali. Riguardo ai Dati della Società e ai Dati dei Servizi Professionali
Microsoft non acquisisce alcun diritto, fatti salvi i diritti che la Società le concede nel presente Articolo. Il presente paragrafo non riguarda i diritti di Microsoft relativi al software o ai servizi che Microsoft concede in licenza alla Società.
Trattamento per laFornitura alla Società dei Prodotti e dei Servizi
Ai fini del presente Addendum, la“fornitura” di un Prodotto include le seguenti attività:
• offerta di funzionalità concesse in licenza, configurate e usate dalla Società e dai relativi utenti, incluse esperienze utente personalizzate;
• risoluzione dei problemi (prevenzione, rilevamento e correzione di problemi) e
• aggiornamento continuo e mantenimento delle prestazioni dei Prodotti, nonché miglioramento della produttività, dell’affidabilità, dell’efficacia, della qualità e della sicurezza dell’utente.
Ai fini dell’interpretazione del presente Addendum, la“fornitura” dei Servizi Professionali include le seguenti attività:
• erogazione dei Servizi Professionali, inclusi servizi di supporto tecnico e servizi professionali di pianificazione, consulenza, migrazione dei dati, deployment e sviluppo di soluzioni/software;
• risoluzione dei problemi (prevenzione, rilevamento, indagine, mitigazione e correzione di problemi, inclusi Eventi Imprevisti relativi alla Protezione e problemi individuati nei Servizi Professionali o nei relativi Prodotti durante l’erogazione dei Servizi Professionali) e
• miglioramento dell’erogazione, dell’efficacia, della qualità e della sicurezza dei Servizi Professionali e dei Prodotti sottostanti in base ai problemi identificati durante l’erogazione dei Servizi Professionali, tra cui la correzione di difetti del software e comunque l’aggiornamento continuo e il mantenimento delle prestazioni dei Prodotti e dei Servizi.
In ogni caso, la fornitura dei Prodotti e dei Servizi avviene nel rispetto delle obbligazioni di sicurezza previste dai Requisiti di Protezione dei Dati Personali.
Nell’ambito della fornitura di Prodotti e Servizi, Microsoft non utilizzerà né tratterà in altro modo i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profilazione degli utenti, (b) fini pubblicitari o commerciali né per (c) ricerche di mercato con lo scopo di creare nuove funzionalità, servizi o prodotti o per qualsiasi altro scopo, a meno che tale utilizzo o trattamento sia in conformità alle istruzioni documentate della Società.
Trattamento per Attività Aziendali connesse alla Fornitura dei Prodotti e dei Servizi alla Società
Ai fini dell’interpretazione del presente Addendum, “attività aziendali” indica i trattamenti autorizzati dalla Società nel presente Articolo. La Società autorizza Microsoft:
(i.) a creare dati statistici aggregati, non personali da dati contenenti identificatori pseudonomizzati (come log sull’utilizzo contenenti
identificatori pseudonomizzati univoci) e
(ii.) a calcolare statistiche correlate ai Dati della Società o ai Dati dei Servizi Professionali
in ciascun caso senza accedere o analizzare il contenuto dei Dati della Società o dei Dati dei Servizi Professionali e limitatamente al raggiungimento degli scopi indicati di seguito, ciascuno dei quali è connesso all’erogazione dei Prodotti e dei Servizi alla Società.
Tali scopi sono:
• gestione account e fatturazioni;
• compenso, ad esempio calcolo delle commissioni dei dipendenti e degli incentivi per i partner;
• creazione di report e modelli aziendali interni, ad esempio previsioni, ricavi, pianificazione delle capacità, strategia dei prodotti e
• reporting finanziario.
Durante il trattamento ai fini delle suddette attività aziendali Microsoft applicherà i principi della minimizzazione dei dati e non utilizzerà né in altro modo tratterà i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profilazione degli utenti, (b) fini pubblicitari o commerciali analoghi né per (c) altri scopi che non siano quelli stabiliti nel presente Articolo. Inoltre, come per tutti i trattamenti previsti dal presente Addendum, il trattamento dei dati per le attività aziendali rimane soggetto alle obbligazioni e agli impegni di riservatezza di Microsoft ai sensi della disposizione “Comunicazione dei Dati Trattati”.
Comunicazione dei Dati Trattati
Microsoft non comunicherà né consentirà l’accesso ai Dati Trattati, tranne nel caso in cui ciò sia: (1) consentito dalla Società, (2) conforme a quanto descritto nell’Addendum o (3) previsto dalla legge. Ai fini dell’interpretazione del presente Articolo, “Dati Trattati” indica: (a) Dati della Società,
(b) Dati dei Servizi Professionali, (c) Dati Personali e (d) altri dati trattati da Microsoft in relazione ai Prodotti e ai Servizi che sono informazioni riservate della Società ai sensi del contratto della Società. Tutte le operazioni relative ai Dati Trattati sono soggette all’obbligazione di riservatezza di Microsoft ai sensi del contratto della Società.
Microsoft non comunicherà i Dati Trattati né fornirà l’accesso ad essi alle autorità giudiziarie o di polizia se non nei casi previsti dalla legge. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Microsoft i Dati Trattati, Microsoft tenterà di reindirizzare tali autorità alla Società stessa per la comunicazione diretta di tali dati. Nel caso in cui sia costretta a divulgare i Dati Trattati o a consentirne l’accesso alle autorità giudiziarie
o di polizia, Microsoft ne darà immediata comunicazione alla Società e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie.
Nel caso in cui riceva richieste di divulgazione dei Dati Trattati da parte di terzi, Microsoft ne darà immediata comunicazione alla Società, salvo disposizioni di legge contrarie. Microsoft respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Microsoft tenterà di reindirizzare tali terzi a rivolgerla direttamente alla Società.
Microsoft divulgherà i Dati Trattati o consentirà di accedervi solo in conformità a quanto previsto dalla legge, purché la legislazione e le prassi rispettino l’essenza dei diritti e delle libertà fondamentali e non vadano oltre quanto necessario e proporzionato in una società democratica e, a seconda dei casi, per salvaguardare uno degli obiettivi di cui all’Articolo 23(1) del GDPR.
Microsoft non fornirà a terzi: (a) l’accesso in modo diretto, indiretto, programmato o senza restrizioni ai Dati Trattati, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei Dati Trattati o gli strumenti per decrittografarli né (c) alcun tipo di accesso ai Dati Trattati qualora Microsoft sia a conoscenza del fatto che tali dati vengano usati per scopi diversi da quelli definiti nella richiesta avanzata dai terzi.
A sostegno di quanto sopra, Microsoft potrà fornire ai terzi le informazioni di contatto di base della Società.
Trattamento dei Dati Personali; GDPR
Tutti i Dati Personali trattati da Microsoft in relazione all’erogazione dei Prodotti e dei Servizi vengono acquisiti nell’ambito dei (a) Dati della Società, (b) Dati dei Servizi Professionali o (c) dati generati, derivati o raccolti da Microsoft, inclusi i dati inviati a Microsoft in seguito all’utilizzo da parte della Società delle funzionalità basate sui servizi o ottenute da Microsoft tramite il software installato in locale. I Dati Personali forniti
a Microsoft dalla Società, o per conto di essa, tramite l’utilizzo del Servizio Online sono anch’essi Dati della Società. I Dati Personali forniti a
Microsoft dalla Società, o per conto di essa, tramite l’utilizzo dei Servizi Professionali sono anch’essi Dati dei Servizi Professionali. Gli identificatori pseudonimizzati potranno essere inclusi nei dati trattati da Microsoft in relazione all’erogazione dei Prodotti e sono anch’essi Dati Personali. I Dati Personali pseudonimizzati o privi di identificazione, ma non forniti in formato anonimo, o i Dati Personali derivati dai Dati Personali sono anche Dati Personali.
Nella misura in cui Microsoft agisce come responsabile del trattamento o altro responsabile del trattamento dei Dati Personali soggetti al GDPR,
si applicano le Condizioni del GDPR contenute nell’Allegato 1 e il testo nel sottoparagrafo (“Trattamento dei Dati Personali; GDPR”) dovrà ritenersi un’integrazione:
Ruoli e Responsabilità del Titolare e del Responsabile del Trattamento
La Società e Microsoft accettano che la Società sia il titolare del trattamento dei Dati Personali e che Microsoft sia il responsabile del trattamento di tali dati, tranne nei casi in cui (a) la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento o (b) sia diversamente indicato nelle condizioni specifiche per Prodotto o nel presente Addendum. Qualora Microsoft agisca come responsabile o altro responsabile del trattamento dei Dati Personali, tratterà i Dati Personali soltanto in conformità alle istruzioni documentate della Società. La Società accetta che il contratto della Società, tra cui le Condizioni dell’Addendum e gli aggiornamenti applicabili, unitamente alla documentazione del prodotto e all’utilizzo e alla configurazione da parte sua delle funzionalità dei Prodotti, costituiscano l’insieme completo di istruzioni documentate fornite a Microsoft per il trattamento dei Dati Personali. Lo stesso vale con la documentazione dei Servizi
Professionali e l’utilizzo dei Servizi Professionali da parte della Società. Informazioni sull’utilizzo e la configurazione dei Prodotti sono disponibili all’indirizzo xxxxx://xxxx.xxxxxxxxx.xxx (o su un sito alternativo) o in un altro contratto in cui è incorporato il presente Addendum. Eventuali istruzioni aggiuntive o alternative dovranno essere concordate in conformità al processo di modifica del contratto della Società. In tutti i casi in cui si applica il GDPR e la Società è un responsabile del trattamento, la Società garantisce a Microsoft che le proprie istruzioni, inclusa la nomina di Microsoft a responsabile del trattamento o ad altro responsabile del trattamento, sono state autorizzate dal titolare del trattamento specifico.
Nella misura in cui Microsoft utilizza o tratta i Dati Personali soggetti al GDPR per le attività aziendali connesse alla fornituradei Prodotti e dei Servizi alla Società, per tale uso si conformerà alle obbligazioni in qualità di titolare indipendente del trattamento dei dati previste dal GDPR. Microsoft accetta le responsabilità supplementari di “titolare del trattamento” dei dati ai sensi del GDPR per eseguire tale trattamento per: (a) agire in conformità ai requisiti normativi, nella misura stabilita nel GDPR e (b) fornire maggiore trasparenza alla Società e confermare la propria responsabilità per quanto riguarda tale trattamento. Microsoft adotta misure di sicurezza per proteggere i Dati della Società, i Dati dei Servizi
Professionali e i Dati Personali durante tale trattamento, incluse quelle indicate nel presente Addendum e quelle contemplate all’Articolo 6(4) del GDPR. In merito al trattamento dei Dati Personali ai sensi del presente paragrafo, Microsoft si assume gli impegni stabiliti nell’Articolo Misure di Sicurezza Aggiuntive; per gli scopi specificati, (i) qualsiasi comunicazione da parte di Microsoft, nella modalità descritta nell’Articolo Misure di Sicurezza Aggiuntive, dei Dati Personali che sono stati trasferiti in relazione alle attività aziendali viene considerata una “Comunicazione
Pertinente” e (ii) gli impegni indicati nell’Articolo Misure di Sicurezza Aggiuntive si applicano a tali Dati Personali.
Dettagli sul Trattamento
Le parti danno atto e accettano quanto segue:
• Oggetto. L’oggetto del trattamento è limitato ai Dati Personali che rientrano nell’ambito di applicazione dell’Articolo del presente
Addendum dal titolo “Natura del Trattamento; Titolarità” di cui sopra e del GDPR.
• Durata del Trattamento dei Dati. La durata del trattamento sarà conforme a quanto definito dalle istruzioni della Società e dalle condizioni
dell’Addendum.
• Natura e Finalità del Trattamento dei Dati. La natura e la finalità del trattamento consisteranno nell’erogare i Prodotti e i Servizi ai sensi del contratto della Società e per le attività aziendali connesse all’erogazione dei Prodotti e dei Servizi alla Società in base a quanto ulteriormente indicato nell’Articolo del presente Addendum “Natura del Trattamento dei Dati; Titolarità”.
• Categorie di Dati. I tipi di Dati Personali trattati da Microsoft durante l’erogazione dei prodotti e dei Servizi includono: (i) i Dati Personali
che la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali e (ii) quelli espressamente indicati all’Articolo 4 del GDPR che potranno essere generati, derivati o raccolti da Microsoft, tra cui i dati inviati a Microsoft in seguito all’utilizzo delle funzionalità basate sui servizi di una Società o acquisiti da Microsoft tramite il software installato in locale. I tipi di Dati Personali che la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali potranno rientrare in qualsiasi categoria di Dati Personali identificati nei record gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di Dati Personali definite nell’Appendice B.
• Interessati. Le categorie di interessati sono i rappresentanti e gli utenti finali della Società, ad esempio dipendenti, appaltatori, collaboratori e clienti. Possono essere incluse altre categorie di interessati identificate nei registri gestiti dalla Società che agisce come titolare del
trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di interessati definite nell’Appendice B.
Diritti degli Interessati; Assistenza con le Richieste
Microsoft metterà a disposizione della Società, conformemente alla funzionalità dei Prodotti e dei Servizi e al suo ruolo di responsabile del
trattamento dei Dati Personali degli interessati, la capacità di soddisfare le loro richieste in merito all’esercizio dei loro diritti ai sensi del GDPR. Microsoft suggerirà all’interessato della Società, che chiede di esercitare uno o più dei propri diritti ai sensi del GDPR in relazione ai Prodotti e ai Servizi di cui Microsoft è un responsabile del trattamento o un altro responsabile del trattamento, di presentare la richiesta direttamente alla Società. La Società sarà tenuta a rispondere a tali richieste, laddove necessario, utilizzando la funzionalità dei Prodotti e dei Servizi. Microsoft si conformerà alle richieste di assistenza ragionevoli della Società per soddisfare tale esigenza dell’interessato.
Registri delle Attività di Trattamento
Nella misura in cui Microsoft è tenuta ai sensi del GDPR a raccogliere determinate informazioni relative alla Società e a conservarne i registri, la Società dovrà, laddove richiesto, fornire tali informazioni a Microsoft, mantenendole accurate e aggiornate. Microsoft potrà rendere tali informazioni disponibili all’autorità di controllo, se richiesto dal GDPR.
Sicurezza dei Dati
Procedure e Criteri di Sicurezza
Microsoft adotterà e assicurerà misure organizzative e tecniche appropriate per proteggere i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali da distruzione, perdita e alterazione accidentale o illegale, da divulgazione non autorizzata dei dati personali trasmessi, archiviati o in altro modo trattati oppure dall’accesso ad essi. Tali misure dovranno essere stabilite nei Criteri di Sicurezza di Microsoft.
Microsoft metterà a disposizione della Società tali criteri, unitamente ad altri dati ragionevolmente richiesti dalla Società riguardanti le procedure e i criteri di sicurezza di Microsoft.
Inoltre, tali misure dovranno conformarsi ai requisiti stabiliti negli standard ISO 27001, ISO 27002 e ISO 27018. Per le Società è disponibile una descrizione dei controlli di sicurezza per tali requisiti.
Ciascun Servizio Online Core è conforme anche agli standard e ai framework di controllo riportati nella tabella delle Condizioni per l’Utilizzo dei Prodotti. Ciascun Servizio Online Core e ciascun Servizio Professionale adottano e si impegnano a garantire le misure di sicurezza stabilite nell’Appendice A per la protezione dei Dati della Società e dei Dati dei Servizi Professionali.
Microsoft implementa e conserva le misure di sicurezza definite nell’Allegato II delle Clausole Contrattuali Tipo 2021 per la protezione dei Dati Personali che rientrano nell’ambito di validità del GDPR.
Microsoft potrà aggiungere standard del settore o governativi in qualsiasi momento. Microsoft eliminerà gli standard ISO 27001, ISO 27002, ISO 27018 oppure gli standard o i framework della tabella per i Servizi Online Core riportata nelle Condizioni per l’Utilizzo dei Prodotti solo qualora non siano più in uso nel settore e vengano eventualmente sostituiti da altri.
Crittografia dei Dati
I Dati della Società e i Dati dei Servizi Professionali (inclusi i Dati Personali in essi contenuti) in transito sulle reti pubbliche tra la Società e Microsoft o tra i data center di Microsoft sono crittografati per impostazione predefinita.
Microsoft crittografa anche i Dati della Società inattivi archiviati nei Servizi Online e i Dati dei Servizi Professionali inattivi archiviati. Nel caso dei Servizi Online sui quali la Società o un terzo che agisce per conto della Società potrà sviluppare applicazioni (ad esempio, altri Servizi Azure), la crittografia dei dati archiviati in tali applicazioni potrà essere applicata a discrezione della Società, utilizzando le funzionalità fornite da Microsoft o ottenute dalla Società tramite terzi.
Accesso ai Dati
Microsoft ricorre a una quantità minima di meccanismi di accesso con privilegi per controllare l’accesso ai Dati della Società e ai Dati dei Servizi Professionali (inclusi i Dati Personali ivi contenuti). I controlli degli accessi basati sui ruoli vengono effettuati per garantire che l’accesso ai Dati della Società e ai Dati dei Servizi Professionali necessario per il funzionamento dei servizi avvenga per uno scopo appropriato e approvato con la supervisione dirigenziale. Per quanto riguarda i Servizi Online Core e i Servizi Professionali, Microsoft gestisce i meccanismi di Controllo degli Accessi descritti nella tabella “Misure di Sicurezza” nell’Appendice A e non è contemplato alcun accesso permanente da parte del personale di Microsoft ai Dati della Società e nessun accesso richiesto è per un periodo di tempo limitato.
Responsabilità della Società
La responsabilità della Società consiste unicamente nel determinare in modo autonomo se le misure organizzative e tecniche dei Prodotti e dei Servizi soddisfino i propri requisiti, incluse le proprie obbligazioni di sicurezza previste ai sensi dei Requisiti Relativi alla Protezione dei Dati
Personali applicabili. La Società dà atto e accetta che (tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di validità, del contesto e delle finalità del trattamento dei suoi Dati Personali, come anche dei rischi nei confronti delle persone fisiche) le procedure e i criteri di sicurezza adottati e assicurati da Microsoft garantiscono un livello di sicurezza adeguato al rischio per quanto riguarda i suoi Dati Personali. La Società è tenuta ad adottare e a garantire misure di tutela del diritto alla protezione dei dati personali e misure di sicurezza per i componenti che la Società fornisce o controlla, come i dispositivi registrati in Microsoft Intune oppure in una macchina virtuale o in un’applicazione di Microsoft Azure.
Verifica della Conformità
Microsoft svolgerà audit della sicurezza dei computer, dell’ambiente informatico e dei data center fisici utilizzati per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, come di seguito indicato:
• Nei casi in cui uno standard o un framework verrà sottoposto ad audit, un audit di tale standard o framework di controllo verrà avviato almeno con cadenza annuale.
• Ciascun audit verrà eseguito in conformità agli standard e alle regole dell’ente normativo o accreditato per ogni standard o framework di controllo applicabile.
• Ciascun audit sarà eseguito da auditor della sicurezza terzi qualificati e indipendenti a spese e a scelta di Microsoft.
Ciascun audit si concluderà con la generazione di un rapporto di audit (“Rapporto di Audit di Microsoft”), che Microsoft renderà disponibile all’indirizzo xxxxx://xxxxxxxxxxxx.xxxxxxxxx.xxx/ o in un’altra posizione che Microsoft avrà cura di segnalare. Il Rapporto di Audit di Microsoft sarà classificato come Informazioni Riservate di Microsoft e descriverà chiaramente gli eventuali risultati rilevanti ottenuti dal revisore. Microsoft rimedierà immediatamente ai problemi sollevati da qualsiasi Rapporto di Audit di Microsoft per adempiere alle segnalazioni del revisore. Qualora la Società lo richieda, Microsoft le fornirà ciascun Rapporto di Audit di Microsoft. Il Rapporto di Audit di Microsoft sarà soggetto alle limitazioni di non divulgazione e di distribuzione di Microsoft e del revisore.
Nella misura in cui i requisiti di audit della Società ai sensi dei Requisiti Relativi alla Protezione dei Dati Personali non possano essere ragionevolmente soddisfatti tramite i rapporti di audit, la documentazione o le informazioni di conformità che Microsoft mette a livello generale a disposizione dei propri clienti, Microsoft dovrà prontamente rispondere alle istruzioni di audit aggiuntive della Società. Prima dell’inizio di un audit, la Società e Microsoft concorderanno sull’ambito, sui tempi, sulla durata, sui requisiti di controllo e di prova e sui corrispettivi per l’audit, a condizione che il mancato raggiungimento di tale accordo non comporti per Microsoft di ritardare irragionevolmente l’esecuzione dell’audit.
Nella misura necessaria per l’esecuzione dell’audit, Microsoft renderà disponibili i sistemi di trattamento, le strutture e la documentazione di supporto per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali da parte di Microsoft, delle sue Consociate e di Sub Responsabili del Trattamento. Tale audit sarà condotto da una società di audit terza indipendente e accreditata, durante il normale orario lavorativo, previo ragionevole preavviso a Microsoft e nel rispetto di ragionevoli procedure di riservatezza. Né la Società né il responsabile dell’audit avranno accesso ai dati di altre società di Microsoft né alle strutture o ai sistemi Microsoft che non sono coinvolti nella fornitura dei Prodotti e dei Servizi applicabili. La Società è responsabile di tutti i costi e i corrispettivi correlati a tale audit, compresi tutti i ragionevoli costi
e corrispettivi per il tempo dedicato da Microsoft per tale audit, in aggiunta alle tariffe associate ai servizi erogati da Microsoft. Qualora il
rapporto di audit generato a seguito dell’audit della Società includa l’individuazione di una mancata conformità sostanziale, la Società dovrà condividere con Microsoft tale rapporto di audit e Microsoft dovrà prontamente porre rimedio a qualsiasi mancata conformità sostanziale.
Nessuna disposizione del presente Articolo dell’Addendum varia o modifica le Condizioni del GDPR né altera i diritti dell’autorità di controllo o dell’interessato previsti dai Requisiti Relativi alla Protezione dei Dati Personali. Microsoft Corporation è un terzo beneficiario del presente Articolo.
Comunicazione di Eventi Imprevisti relativi alla Protezione
Qualora Microsoft venga a conoscenza di un inadempimento della sicurezza con conseguente distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali oppure accesso ad essi non
autorizzato durante il trattamento da parte di Microsoft (ciascuno un “Evento Imprevisto relativo alla Protezione”), Microsoft, tempestivamente e senza ingiustificato ritardo, (1) comunicherà alla Società l’Evento Imprevisto relativo alla Protezione, (2) analizzerà l’Evento Imprevisto relativo
alla Protezione e fornirà alla Società informazioni dettagliate riguardo ad esso e (3) adotterà misure ragionevoli per mitigare gli effetti e ridurre eventuali danni derivanti da esso.
Le comunicazioni degli Eventi Imprevisti relativi alla Protezione verranno trasmesse alla Società con qualsiasi mezzo scelto da Microsoft, anche tramite e-mail. È responsabilità esclusiva della Società tenere sempre aggiornate le informazioni di contatto con Microsoft per ciascun Prodotto e Servizio Professionale applicabile. La Società è l’unica responsabile della conformità alle proprie obbligazioni previste dalle leggi in materia di comunicazione degli eventi imprevisti applicabili alla Società e del rispetto di qualsiasi obbligazione riguardante le comunicazioni di terzi in caso di Eventi Imprevisti relativi alla Protezione.
Microsoft porrà in essere ogni sforzo ragionevole per aiutare la Società ad adempiere all’obbligazione, ai sensi dell’Articolo 33 del GDPR o di altra
legge o altro regolamento applicabile, di comunicare all’autorità di controllo e agli interessati specifici tale Evento Imprevisto relativo alla Protezione.
La comunicazione di Microsoft relativa a un Evento Imprevisto relativo alla Protezione o la relativa risposta a tale evento ai sensi del presente
Articolo non costituisce un’accettazione di responsabilità rispetto a tale evento.
La Società dovrà comunicare tempestivamente a Microsoft eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali eventi imprevisti riguardanti i Prodotti e i Servizi.
Trasferimenti e Posizione dei Dati Trasferimenti dei Dati
I Dati della Società, i Dati dei Servizi Professionali e i Dati Personali sottoposti al trattamento da parte di Microsoft per conto della Società
potranno essere trasferiti, archiviati e trattati in un’area geografica solo in conformità alle Condizioni dell’Addendum e alle misure di sicurezza esposte più avanti nel presente Articolo. Tenendo conto di tali misure di sicurezza, la Società autorizza Microsoft a trasferire i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali negli Stati Uniti o in qualunque altro paese in cui Microsoft o gli Altri suoi Responsabili del
Trattamento sono presenti e di archiviare e trattare i Dati della Società e i Dati Personali per fornire i Prodotti, fatto salvo quanto descritto in altri
Articoli delle Condizioni dell’Addendum.
Tutti i trasferimenti dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali fuori dall’Unione Europea, dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera per erogare i Prodotti e i Servizi sono soggetti alle condizioni delle Clausole Contrattuali Tipo 2021 attuate da Microsoft. Inoltre, i trasferimenti dal Regno Unito sono soggetti alle condizioni dell’IDTA attuate da Microsoft. Ai fini
dell’interpretazione del presente Addendum, “IDTA” indica l’addendum relativo ai trasferimenti internazionali di dati alle clausole contrattuali tipo della Commissione Europea per i trasferimenti internazionali di dati emesso dall’Information Commissioner’s Office del Regno Unito ai sensi dell’Articolo 119A(1) del Data Protection Xxx 0000 del Regno Unito. Microsoft rispetterà i requisiti di legge in materia di protezione dei dati
personali dello Spazio Economico Europeo, del Regno Unito e della Svizzera relativamente alla raccolta, all’utilizzo, al trasferimento, alla conservazione e ad altro tipo di trattamento dei Dati Personali provenienti dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera.
Tutti i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle misure di sicurezza
appropriate descritte nell’Articolo 46 del GDPR e tali trasferimenti e misure di sicurezza saranno documentati conformemente all’Articolo 30(2)
del GDPR.
Inoltre, Microsoft è certificata e aderisce agli Accordi Quadro Scudo UE-U.S.A. e Svizzera-U.S.A. per la Privacy dei Dati Personali, all’Estensione per il Regno Unito dell’Accordo Quadro Scudo UE-U.S.A. per la Privacy dei Dati Personali e agli impegni che comportano. Microsoft accetta di informare la Società qualora stabilisca di non poter più adempiere all’obbligazione di fornire lo stesso livello di protezione richiesto dai principi degli Accordi Quadro per la Privacy dei Dati Personali.
Posizione dei Dati della Società
Per quanto riguarda i Servizi Online Core, Microsoft archivierà i Dati della Società inattivi in alcune aree geografiche importanti (ciascuna,
un’Area Geografica) in base a quanto definito nelle Condizioni per l’Utilizzo dei Prodotti.
Per quanto riguarda i Servizi Online, ai quali viene applicata la soluzione EU Data Boundary, Microsoft archivierà e tratterà i Dati della Società e i Dati Personali all’interno dell’Unione Europea come stabilito nelle Condizioni per l’Utilizzo dei Prodotti.
Microsoft non controlla né limita le aree da cui la Società o i suoi utenti finali potranno accedere o trasferire i Dati della Società.
Conservazione ed Eliminazione dei Dati
Durante il periodo di validità della propria sottoscrizione o dell’impegno applicabile nei Servizi Professionali la Società avrà sempre la possibilità di accedere ai Dati della Società archiviati in ciascun Servizio Online, di estrarli e di eliminarli. Tale possibilità varrà anche per i Dati dei Servizi Professionali.
Fatta eccezione per le versioni di valutazione gratuite e i servizi LinkedIn, Microsoft conserverà i Dati della Società che restano archiviati nei Servizi Online in un account con funzioni limitate per 90 giorni dalla data di scadenza o di risoluzione della sottoscrizione della Società, in modo tale che la Società possa estrarli. Al termine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l’account ed eliminerà i Dati della Società e i Dati
Personali archiviati nei Servizi Online entro un ulteriore periodo di 90 giorni, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli.
Per quanto riguarda i Dati Personali relativi al Software e i Dati dei Servizi Professionali, Microsoft eliminerà tutte le copie dopo il conseguimento degli scopi commerciali per cui i dati sono stati raccolti o trasferiti oppure in un momento precedente, su richiesta della Società, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli.
Il Servizio Online potrebbe non supportare la conservazione o l’estrazione del software fornito dalla Società. Microsoft non è da considerarsi in alcun modo responsabile dell’eliminazione dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali che verrà eseguita secondo quanto descritto nel presente Articolo.
Impegno di Riservatezza del Responsabile del Trattamento
Microsoft assicurerà che il proprio personale impegnato nel trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali
(i) tratterà tali dati solo se istruito dalla Società o come descritto nel presente Addendum e (ii) sarà obbligato a garantire la riservatezza e la sicurezza di tali dati anche al termine del proprio impegno. Microsoft fornirà ai propri dipendenti con accesso ai Dati della Società, ai Dati dei Servizi Professionali e ai Dati Personali una formazione periodica e obbligatoria sul diritto alla protezione dei dati personali e sulla sicurezza in conformità ai Requisiti Relativi alla Protezione dei Dati Personali e agli standard di settore applicabili.
Comunicazione e Controlli relativi all’Impiego di Sub-Responsabili del Trattamento
Microsoft potrà incaricare Sub-Responsabili del Trattamento di fornire alcuni servizi limitati o accessori per suo conto. La Società acconsente a tale impegno e a incaricare le Consociate Microsoft come Sub-Responsabili del Trattamento. Le autorizzazioni di cui sopra costituiranno il preventivo consenso scritto della Società al subappalto da parte di Microsoft del trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, qualora tale consenso sia necessario ai sensi delle Clausole Contrattuali Tipo o delle Condizioni del GDPR.
Microsoft è responsabile della conformità dei Sub-Responsabili del Trattamento che ha incaricato alle proprie obbligazioni contenute nel predente Addendum. Microsoft rende disponibili i dati riguardanti i Sub-Responsabili del Trattamento su un suo sito Web. Quando incaricherà un qualsiasi Sub-Responsabile del Trattamento, Microsoft si assicurerà tramite un contratto scritto che il Sub-Responsabile del Trattamento possa accedere ai Dati della Società, ai Dati dei Servizi Professionali o ai Dati Personali e possa usarli solo per fornire i servizi per i quali è stato incaricato da Microsoft, con il divieto di utilizzarli per qualsiasi altro scopo. Microsoft garantirà che i Sub-Responsabili del Trattamento siano vincolati da contratti scritti che li obblighino a fornire almeno lo stesso livello di protezione dei dati personali che le viene richiesto dall’Addendum, incluse le limitazioni relative alla divulgazione dei Dati Trattati. Microsoft accetta di vigilare sui Sub-Responsabili del Trattamento al fine di garantire l’adempimento di tali obbligazioni contrattuali.
Di tanto in tanto Microsoft potrà incaricare nuovi Sub-Responsabili del Trattamento. Microsoft informerà la Società (a seconda dei casi, aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Sub-Responsabile del Trattamento con un preavviso di almeno 6 mesi prima di consentire a tale Sub-Responsabile del Trattamento l’accesso ai Dati della Società. Inoltre, Microsoft informerà la Società (a seconda dei casi, aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Sub-Responsabile del Trattamento con un preavviso di almeno 30 giorni, prima di consentire a tale Sub-Responsabile del Trattamento l’accesso ai Dati dei Servizi Professionali o ai Dati Personali, che non siano quelli contenuti nei Dati della Società. Qualora Microsoft affidi l’incarico di un nuovo Prodotto o Servizio Professionale, in cui vengono trattati i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali, a un nuovo Sub-Responsabile del Trattamento, lo comunicherà alla Società prima che il Prodotto o il Servizio Professionale diventi disponibile.
Qualora la Società non approvi un nuovo Sub-Responsabile del Trattamento per un Servizio Online o per i Servizi Professionali, potrà risolvere qualsiasi sottoscrizione del Servizio Online interessato o le Attestazioni di Servizi applicabili per il Servizio Professionale in questione, rispettivamente, senza dover pagare alcuna penale o alcun corrispettivo per la risoluzione, fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso. Qualora la Società non approvi un nuovo Sub-Responsabile del Trattamento per il Software e non possa ragionevolmente evitare il ricorso al Sub-Responsabile del Trattamento limitando il trattamento dei dati come stabilito nella documentazione o nel presente Addendum, potrà risolvere qualsiasi licenza per il prodotto software interessato senza dover pagare alcuna penale fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso specifico. La Società potrà anche includere in tale comunicazione una spiegazione dei motivi alla base della mancata approvazione, al fine di consentire a Microsoft di rivalutare il nuovo Altro Responsabile del Trattamento alla luce dei dubbi sorti. Qualora il Prodotto interessato faccia parte di una famiglia di prodotti (o di un acquisto singolo simile di servizi), la risoluzione si applicherà all’intera famiglia. Dopo la risoluzione Microsoft rimuoverà dalle fatture successive indirizzate alla Società o al suo rivenditore le obbligazioni di pagamento relative alle sottoscrizioni o ad altri lavori applicabili non pagati per i Prodotti o i Servizi oggetto della risoluzione.
Istituti Didattici
Qualora la Società sia un ente o istituto didattico, al quale si applicano i regolamenti Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g (FERPA), Microsoft dà atto che ai fini dell’interpretazione dell’Addendum, Microsoft verrà indicata come “dirigente scolastico” con “interessi educativi legittimi” nei Dati della Società e nei Dati dei Servizi Professionali, poiché tali condizioni sono state definite ai sensi del FERPA e dei relativi
regolamenti di attuazione e Microsoft accetta di attenersi alle limitazioni e ai requisiti imposti dal documento 34 CFR 99.33(a) sui dirigenti scolastici.
La Società comprende che Microsoft potrebbe non avere a disposizione alcuna informazione di contatto o avere solo informazioni limitate relativamente agli studenti della Società e ai loro genitori. Di conseguenza, la Società avrà la responsabilità di ottenere l’autorizzazione dei genitori per l’eventuale utilizzo dei Prodotti e dei Servizi da parte degli utenti finali in conformità alla legge applicabile e di presentare per conto di Microsoft agli studenti (o, nel caso di uno studente di età inferiore ai 18 anni e che non frequenti un istituto di studi superiori, al genitore dello
studente) l’eventuale ordine di comparizione in tribunale o ordinanza legalmente emanata che richieda la divulgazione dei Dati della Società e dei Dati dei Servizi Professionali in possesso di Microsoft in conformità alla legge applicabile.
Contratto della Società per CJIS
Microsoft eroga determinati servizi cloud per enti pubblici (“Servizi Coperti”) in conformità ai Criteri di Sicurezza dell’FBI Criminal Justice Information Services (“CJIS”) (“Criteri CJIS”). I Criteri CJIS disciplinano l’utilizzo e la trasmissione dei dati in ambito di giustizia penale. Tutti i Servizi Coperti CJIS di Microsoft verranno disciplinati dalle condizioni del Contratto di Gestione CJIS.
Società in Affari HIPPA
Qualora la Società sia una “persona giuridica con copertura” o una “società in affari” e includa “informazioni sanitarie protette” nei Dati della Società o nei Dati dei Servizi Professionali, secondo la definizione riportata nella legge Health Insurance Portability and Accountability (Portabilità e Responsabilità in materia di Assicurazione Sanitaria) del 1996, e relative modifiche, e nei regolamenti approvati in tale ambito (collettivamente, “HIPAA”), la sottoscrizione del contratto della Società comprende la sottoscrizione del Contratto di Società in Affari HIPAA (“BAA”), il cui testo
integrale identifica i Servizi Online o i Servizi Professionali cui si applica ed è disponibile all’indirizzo xxxx://xxx.xx/XXX. La Società potrà rifiutare esplicitamente il contratto BAA, inviando a Microsoft una comunicazione scritta con le seguenti informazioni, ai sensi delle condizioni del contratto della Società:
• la ragione sociale completa della Società e dell’eventuale Consociata che ha deciso di rifiutarle e
• nel caso in cui la Società abbia sottoscritto più contratti, il contratto della Società cui si applica il rifiuto esplicito.
Dati dei Servizi di Telecomunicazione
Nella misura in cui Microsoft tratta traffico, contenuti e altri Dati Personali nell’ambito dell’erogazione di Prodotti e Servizi che si qualificano come servizi di telecomunicazione ai sensi della legge in vigore, è possibile che vengano applicate specifiche obbligazioni di legge. Microsoft si conformerà a tutte le leggi e a tutti i regolamenti specifici per i servizi di telecomunicazione applicabili all’erogazione dei Prodotti e dei Servizi, tra cui la notifica dell’inadempimento delle obbligazioni di protezione, i Requisiti Relativi alla Protezione dei Dati Personali e la segretezza delle telecomunicazioni.
California Consumer Privacy Act (CCPA)
Qualora Microsoft tratti i Dati Personali nell’ambito di validità del CCPA, si assumerà, nei confronti della Società, gli impegni aggiuntivi che seguono.
Microsoft tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali per conto della Società e non conserverà, utilizzerà né
divulgherà tali dati per scopi diversi da quelli stabiliti nelle Condizioni dell’Addendum e in base a quanto consentito ai sensi del CCPA, incluso ai sensi di eventuali esenzioni di “vendita”. In nessun caso Microsoft venderà tali dati. Le presenti Condizioni del CCPA non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni dell’Addendum, nelle Condizioni per l’Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la Società.
Dati Biometrici
La Società, che utilizza i Prodotti e i Servizi per trattare i Dati Biometrici, dovrà: (i) comunicarlo agli interessati, in particolare per ciò che concerne i periodi di conservazione e la distruzione dei dati; (ii) ottenere il consenso degli interessati e (iii) eliminare i Dati Biometrici, il tutto nella modalità appropriata e necessaria in base ai Requisiti applicabili relativi alla Protezione dei Dati Personali. Microsoft tratterà tali Dati Biometrici attenendosi alle istruzioni documentate della Società (secondo quanto descritto nel precedente Articolo “Ruoli e Responsabilità del Titolare e del Responsabile del Trattamento”) e proteggerà tali Dati Biometrici in conformità alle condizioni per la protezione e la sicurezza dei dati prevista dal presente Addendum. Ai fini dell’interpretazione del presente Articolo, “Dati Biometrici” avrà il significato stabilito nell’Articolo 4 del GDPR e, a seconda
dei casi, di termini equivalenti in altri Requisiti Relativi alla Protezione dei Dati Personali.
Servizi Professionali Supplementari
Quando viene utilizzata negli Articoli elencati di seguito, la definizione “Servizi Professionali” include i Servizi Professionali Supplementari e la definizione “Dati dei Servizi Professionali” include i dati acquisiti per i Servizi Professionali Supplementari.
Per quanto riguarda i Servizi Professionali Supplementari, i seguenti Articoli dell’Addendum si applicano allo stesso modo in cui si applicano ai
Servizi Professionali: “Introduzione”, “Conformità alle Leggi”, “Natura del Trattamento; Titolarità”, “Comunicazione dei Dati Trattati”, “Trattamento dei Dati Personali; GDPR”, il primo paragrafo di “Procedure e Criteri di Sicurezza”, “Responsabilità della Società”, “Comunicazione di Eventi
Imprevisti relativi alla Protezione”, “Trasferimento dei Dati” (incluse le condizioni relative alle Clausole Contrattuali Tipo 2021), il terzo paragrafo
di “Conservazione ed Eliminazione dei Dati”, “Impegno di Riservatezza del Responsabile del Trattamento”, “Comunicazione e Controlli relativi
all’Impiego di Sub-Responsabili del Trattamento”, “Società in Affari HIPPA” (nella misura applicabile al contratto BAA), “California Consumer Privacy Act (CCPA)”, “Dati Biometrici”, “Come Contattare Microsoft”, “Appendice B - Interessati e Categorie di Dati Personali” e “Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive”.
Come Contattare Microsoft
Qualora la Società ritenga che Microsoft non adempia ai propri impegni di tutela della protezione dei dati personali o di sicurezza, potrà contattare il supporto tecnico o utilizzare il modulo Web relativo al Diritto alla Protezione dei Dati Personali, disponibile all’indirizzo xxxx://xx.xxxxxxxxx.xxx/?xxxxxxx0000000. L’indirizzo postale di Microsoft è:
Microsoft Enterprise Service Privacy
Microsoft Corporation One Microsoft Way
Xxxxxxx, Washington 98052 USA
Microsoft Ireland Operations Limited è la società Microsoft incaricata della protezione dei dati personali provenienti dallo Spazio Economico Europeo e dalla Svizzera. Il rappresentante di Microsoft Ireland Operations Limited in materia di protezione dei dati personali è raggiungibile al seguente indirizzo:
Microsoft Ireland Operations, Ltd.
Attn: Data Protection Xxx Xxxxxxxxx Xxxxx
Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxxxxxxxxx
Xxxxxx 00, X00 X000, Xxxxxxx
Sommario / Condizioni Generali
Appendice A. Misure di Sicurezza
Microsoft ha adottato e garantirà, per i Dati della Società nei Servizi Online Core e per i Dati dei Servizi Professionali, le seguenti misure di sicurezza che, unitamente agli impegni di tutela della sicurezza contenuti nel presente Addendum (incluse le Condizioni del GDPR) costituiscono l’unica responsabilità di Microsoft relativamente alla protezione di tali dati.
Dominio | Procedure |
Organizzazione della Sicurezza delle Informazioni | Titolarità della sicurezza. Microsoft ha nominato uno o più funzionari addetti alla sicurezza, responsabili del coordinamento e del monitoraggio delle regole e delle procedure di sicurezza. Ruoli e responsabilità per la sicurezza. Il personale Microsoft con accesso ai Dati della Società e ai Dati dei Servizi Professionali è soggetto a obbligazioni di riservatezza. Programma di gestione dei rischi. Microsoft ha effettuato una valutazione dei rischi prima di trattare i Dati della Società o di avviare il servizio dei Servizi Online e prima di trattare i Dati dei Servizi Professionali o di avviare i Servizi Professionali. I documenti relativi alla sicurezza che non sono più in vigore vengono conservati da Microsoft in conformità ai requisiti di conservazione stabiliti. |
Gestione delle Risorse | Inventario delle risorse. Microsoft gestisce un inventario di tutti i supporti di memorizzazione sui quali sono archiviati i Dati della Società o i Dati dei Servizi Professionali. L’accesso agli inventari di tali supporti di memorizzazione è limitato al personale Microsoft in possesso dell’autorizzazione scritta. Gestione delle Risorse - Microsoft classifica i Dati della Società e i Dati dei Servizi Professionali per facilitarne l’identificazione e limitarne l’accesso in modo appropriato. - Microsoft impone limitazioni sulla stampa dei Dati della Società e dei Dati dei Servizi Professionali e adotta procedure per l’eliminazione del materiale stampato contenente tali dati. - Il personale Microsoft dovrà ottenere l’autorizzazione di Microsoft prima di archiviare i Dati della Società o i Dati dei Servizi Professionali su dispositivi portatili, accedere a tali dati in modalità remota o trattarli all’esterno delle strutture Microsoft. |
Sicurezza delle Risorse Umane | Formazione relativa alla sicurezza. Microsoft informa il proprio personale sulle procedure di sicurezza pertinenti e sui ruoli dei membri del personale stesso. Microsoft informa inoltre il proprio personale sulle possibili conseguenze dell’essere inadempiente alle regole e alle procedure di sicurezza. Microsoft utilizza solo dati anonimi nelle attività di formazione. |
Sicurezza Fisica e Ambientale | Accesso fisico alle strutture. Microsoft consente solo a persone fisiche identificate e autorizzate l’accesso alle strutture in cui sono situati i sistemi informativi per il trattamento dei Dati della Società o dei Dati dei Servizi Professionali. Accesso fisico ai componenti. Microsoft gestisce record dei supporti di memorizzazione in entrata e in uscita contenenti i Dati della Società e i Dati dei Servizi Professionali, tra cui i tipi e il numero di supporti di memorizzazione, il mittente e i destinatari autorizzati, la data e l’ora e i tipi dei suddetti dati contenuti. Protezione dalle interruzioni di alimentazione e comunicazione. Microsoft utilizza diversi sistemi standard del settore per impedire la perdita di dati causata dall’interruzione della fornitura di energia elettrica o da interferenze sulla linea. Eliminazione di componenti. Microsoft utilizza processi standard del settore per eliminare i Dati della Società e i Dati dei Servizi Professionali che non sono più necessari. |
Gestione delle Comunicazioni e delle Operazioni | Criteri operativi. Microsoft gestisce documenti sulla sicurezza in cui vengono descritte le misure adottate, nonché le procedure e le responsabilità specifiche del proprio personale che accede ai Dati della Società e ai Dati dei Servizi Professionali. Procedure di Ripristino dei Dati - In modo continuativo e comunque non meno di una volta alla settimana, tranne nel caso in cui nel periodo non vi siano stati aggiornamenti, Microsoft gestisce più copie dei Dati della Società e dei Dati dei Servizi Professionali da cui ripristinare i dati stessi. - Microsoft archivia le copie dei Dati della Società e dei Dati dei Servizi Professionali e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali di trattamento dei Dati della Società e dei Dati dei Servizi Professionali. |
Dominio | Procedure |
- Microsoft ha adottato procedure specifiche che disciplinano l’accesso alle copie dei Dati della Società e dei Dati dei Servizi Professionali. - Microsoft rivede le procedure di ripristino dei dati almeno una volta ogni sei mesi, ad eccezione delle procedure per il ripristino dei dati dei Servizi professionali e dei Servizi di Azure per Enti Pubblici che vengono riviste ogni dodici mesi. - Microsoft registra le operazioni di ripristino dei dati, includendo il nominativo della persona responsabile, la descrizione dei dati ripristinati e, a seconda dei casi, il nominativo della persona responsabile e gli eventuali dati per i quali è stato necessario l’inserimento manuale nel processo di ripristino. Software dannoso. Microsoft effettua controlli antimalware per impedire l’accesso non autorizzato ai Dati della Società e ai Dati dei Servizi Professionali da parte di software dannoso, incluso quello proveniente da reti pubbliche. Dati Esterni ai Limiti - Microsoft crittografa o consente alla Società di crittografare i Dati della Società e i Dati dei Servizi Professionali trasmessi su reti pubbliche. - Microsoft limita l’accesso ai Dati della Società e ai Dati dei Servizi Professionali contenuti nei supporti di memorizzazione che escono dalle proprie strutture. Registrazione di eventi. Microsoft registra, o consente alla Società di registrare, l’accesso o l’utilizzo dei sistemi informativi che contengono i Dati della Società o i Dati dei Servizi Professionali, registrano l’ID di accesso, l’ora, l’autorizzazione concessa o negata e l’attività specifica. | |
Controllo dell’Accesso | Criteri di accesso. Microsoft conserva un record dei privilegi di sicurezza delle persone fisiche che accedono ai Dati della Società o ai Dati dei Servizi Professionali. Autorizzazione all’Accesso - Microsoft conserva e aggiorna un record del personale autorizzato ad accedere ai sistemi Microsoft che contengono i Dati della Società o i Dati dei Servizi Professionali. - Microsoft disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo minimo di sei mesi. - Microsoft indica i membri del personale che potranno concedere, modificare o annullare l’accesso autorizzato a dati e risorse. - Microsoft garantisce che laddove più persone fisiche abbiano accesso a sistemi contenenti i Dati della Società o i Dati dei Servizi Professionali, tali persone fisiche abbiano identificatori/accessi specifici. Privilegi Minimi - Il personale del supporto tecnico viene autorizzato ad accedere ai Dati della Società e ai Dati dei Servizi Professionali esclusivamente in caso di necessità. - Microsoft limita l’accesso ai Dati della Società e ai Dati dei Servizi Professionali alle sole persone fisiche che ne hanno necessità per svolgere le proprie mansioni lavorative. Integrità e Riservatezza - Microsoft istruisce il proprio personale affinché disattivi le sessioni amministrative prima di uscire dalle sedi che controlla o in ogni caso quando i computer vengono lasciati incustoditi. - Microsoft archivia le password in modo tale da renderle incomprensibili mentre sono valide. Autenticazione - Microsoft utilizza procedure standard del settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informativi. - Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede il rinnovo regolare delle password. - Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede che la password contenga almeno otto caratteri. - Microsoft garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altre persone fisiche. - Microsoft controlla o consente alla Società di monitorare i tentativi ripetuti di ottenere l’accesso al sistema informativo utilizzando una password non valida. |
Dominio | Procedure |
- Microsoft conserva procedure standard del settore per disattivare le password danneggiate o divulgate inavvertitamente. - Microsoft utilizza procedure standard del settore per la protezione delle password, incluse le procedure volte a garantire la riservatezza e l’integrità delle password quando vengono assegnate e distribuite e durante l’archiviazione. Progettazione della Rete. Microsoft dispone di controlli per impedire a persone fisiche di riconoscersi diritti che non sono stati loro ceduti allo scopo di accedere ai Dati della Società o ai Dati dei Servizi Professionali in modo non autorizzato. | |
Gestione degli Eventi Imprevisti relativi alla Protezione delle Informazioni | Procedura di Risposta agli Eventi Imprevisti - Microsoft conserva una registrazione degli inadempimenti alla sicurezza con una descrizione dell’inadempimento, il periodo, le conseguenze dell’inadempimento, il nome di chi ha effettuato la segnalazione, a chi è stato segnalato, nonché la procedura adottata per il ripristino dei dati. - Per ogni inadempimento delle obbligazioni di protezione che origina un Evento Imprevisto relativo alla Protezione, Microsoft (come descritto al precedente Articolo “Comunicazione di Eventi Imprevisti relativi alla Protezione”) invierà una comunicazione, senza ritardo irragionevole e, in ogni caso, entro 72 ore. - Microsoft registra, o consente alla Società di registrare, divulgazioni di Dati della Società o di Dati dei Servizi Professionali, inclusi il tipo di dati divulgati, il destinatario e l’ora. Monitoraggio del servizio. Il personale Microsoft addetto alla sicurezza verifica i registri almeno una volta ogni sei mesi per proporre, ove necessario, iniziative di correzione. |
Gestione della Continuità Aziendale | - Microsoft conserva piani di emergenza e contingenza per le strutture in cui sono situati i propri sistemi informativi per il trattamento dei Dati della Società o dei Dati dei Servizi Professionali. - Il sistema di archiviazione con ridondanza e le procedure di Microsoft per il ripristino dei dati sono progettati per tentare di riportare i Dati della Società e i Dati dei Servizi Professionali nello stato in cui si trovavano o nell’ultimo stato replicato prima di andare persi o distrutti. |
Sommario / Condizioni Generali
Appendice B - Interessati e Categorie di Dati Personali
Interessati: gli interessati includono i rappresentanti della Società e gli utenti finali, tra cui dipendenti, terzisti, collaboratori e clienti della Società.
Tra gli interessati potranno anche essere inclusi coloro che tentano di comunicare o trasferire dati personali a utenti dei servizi erogati da Microsoft. Microsoft dà atto che, in base all’utilizzo dei Prodotti e dei Servizi da parte della Società, quest’ultima potrà scegliere di includere i dati personali di uno dei seguenti tipi di interessati nei dati personali:
• dipendenti, appaltatori, subfornitorie lavoratori temporanei (correnti, precedenti, futuri) della Società;
• dipendenti dei tipi indicati sopra;
• collaboratori/persone di contatto (persone fisiche) o dipendenti della Società, terzisti o lavoratori temporanei di collaboratori/persone di contatto (attuali, precedenti, future) di persone giuridiche;
• utenti (ad esempio clienti, pazienti, visitatori e così via) e altri interessati che sono utenti dei servizi della Società;
• partner, stakeholder o persone fisiche che collaborano comunicano o in altro modo interagiscono attivamente con i dipendenti della Società e/o utilizzano strumenti di comunicazione, come app e siti Web resi disponibili dalla Società;
• stakeholder o persone fisiche che interagiscono passivamente con la Società, ad esempio perché oggetto di un’indagine o di una ricerca o perché menzionati in documenti o nella corrispondenza inviata o ricevuta dalla Società;
• minori o
• professionisti con privilegi, ad esempio dottori, avvocati, notai, religiosi e così via.
Categorie di dati: i dati personali trasferiti inclusi in messaggi e-mail, documenti e altri dati in formato elettronico nel contesto dei prodotti e dei Servizi. Microsoft dà atto che, in base all’utilizzo dei Prodotti e dei Servizi da parte della Società, quest’ultima potrà scegliere di includere i dati personali di una delle seguenti categorie nei dati personali:
• dati personali di base, ad esempio luogo di nascita, indirizzo e numero civico, codice postale o CAP, città di residenza, paese di residenza, numero di cellulare, nome, cognome, iniziali, indirizzo e-mail, sesso e data di nascita, inclusi dati personali di base su membri della famiglia e figli;
• dati di autenticazione, ad esempio nome utente, password o codice PIN, domanda di sicurezza, audit trail;
• informazioni di contatto, ad esempio indirizzi, indirizzi e-mail, numeri di telefono, ID di social media e dettagli di contatto di emergenza;
• numeri e chiavi di identificazione univoci, ad esempio codice fiscale, numero di conto corrente bancario, numero di passaporto e carta d’identità, numero di patente e dati di registrazione del veicolo, indirizzi IP, matricola dipendente, matricola studente, numero paziente, firma, identificatore univoco per cookie o tecnologie simili;
• pseudonimi;
• informazioni finanziarie e assicurative, ad esempio numero di assicurazione, nome e numero del conto corrente bancario, nome
e numero della carta di credito, numero fattura, reddito, tipo di assicurazione, metodo di pagamento e affidabilità ai fini di concessioni di credito;
• informazioni commerciali, ad esempio cronologia degli acquisti, offerte speciali, informazioni sottoscrizioni e cronologia dei pagamenti;
• informazioni biometriche, ad esempio DNA, impronte digitali e scansioni dell’iride;
• dati relativi all’ubicazione, ad esempio ID del cellulare, dati della rete per geolocalizzazione, individuazione ubicazione tramite inizio/fine chiamata. I dati relativi all’ubicazione si ottengono dall’uso di punti di accesso Wi-Fi;
• foto, video e audio;
• attività Internet, ad esempio cronologia esplorazioni, cronologia di ricerca e attività di lettura, visualizzazione di programmi televisivi, ascolto radio;
• identificazione del dispositivo, ad esempio numero IMEI, numero della scheda SIM e indirizzo MAC;
• profiling, ad esempio in base a comportamento antisociale o criminale osservato o profili con pseudonimo basati su URL visitati, flussi di clic, registri esplorazioni, indirizzi IP, domani, app installate o profili basati su preferenze di marketing;
• dati per risorse umane e selezione del personale, ad esempio dichiarazione dello stato lavorativo, informazioni per la selezione, come curriculum vitae, esperienze lavorative e dettagli del percorso formativo, dati relativi a impiego e posizione, inclusi ore lavorate,
valutazioni e stipendio, dettagli del permesso di lavoro, disponibilità, condizioni di impiego, dettagli fiscali, dettagli di pagamento, dettagli
dell’assicurazione, nonché ubicazione e organizzazioni;
• dati relativi alla formazione, ad esempio percorso formativo, formazione corrente, diplomi e voti, titolo di studio conseguito, disturbi di apprendimento;
• informazioni su cittadinanza e residenza, ad esempio cittadinanza, stato di naturalizzazione, stato civile, nazionalità, stato di immigrazione, dati del passaporto, dettagli di residenza o permesso di lavoro;
• informazioni trattate in relazione alle prestazioni di un’attività eseguita nel pubblico interesse o nell’esercizio dell’autorità di pubblico
ufficiale;
• categorie speciali di dati, ad esempio informazioni sull’origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza a sindacati, dati genetici, dati biometrici al fine dell’identificazione di una persona fisica, dati relativi allo stato di salute, dati relativi alla vita o all’orientamento sessuali di una persona fisica o dati relativi a condanne o reati criminali commessi o
• qualunque dato personale identificato all’Articolo 4 del GDPR.
Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive
Con il presente Addendum relativo alle Misure di Sicurezza Aggiuntive che integra l’Addendum (il presente “Addendum”), Microsoft offre misure di sicurezza aggiuntive alla Società per il trattamento dei dati personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società e un ulteriore risarcimento agli interessati ai quali si riferiscono tali dati personali.
Il presente Addendum integra, senza costituirne una variazione né una modifica, l’Addendum e ne fa parte.
1. Problemi relativi agli Ordini. Nell’eventualità che Microsoft sia costretta da un ordine di un terzo a divulgare dati personali che sono stati trattati
ai sensi del presente Addendum, dovrà:
a. porre in essere ogni sforzo ragionevole per reindirizzare tale terzo a richiedere i dati direttamente alla Società;
b. comunicare tempestivamente alla Società, tranne nell’eventualità in cui tale comunicazione sia vietata ai sensi della legge applicabile al terzo richiedente, e, in tal caso, porre in essere tutti gli sforzi ragionevoli per ottenere il diritto di deroga al divieto allo scopo di fornire quante più informazioni possibili alla Società e
c. porre in essere tutti gli sforzi legittimi per contestare l’ordine di divulgazione in base a carenze giuridiche ai sensi delle leggi della parte
richiedente o di eventuali discrepanze pertinenti con la legge applicabile dell’Unione Europea o la legge applicabile dello Stato Membro.
Qualora, dopo i passaggi descritti sopra da a. a c., Microsoft o una delle sue consociate continui a essere costretta a divulgare i dati personali,
Microsoft divulgherà solo la quantità minima di tali dati necessaria a soddisfare l’ordine di divulgazione.
Ai fini dell’interpretazione del presente Articolo, gli sforzi legittimi non includono azioni che potrebbero essere punibili con sanzioni civili o penali,
come l’oltraggio alla corte ai sensi delle leggi della giurisdizione competente.
2. Indennizzo degli Interessati. In ottemperanza agli Articoli 3 e 4, Microsoft dovrà indennizzare un interessato in caso di danni sostanziali o non sostanziali causati allo stesso per averne divulgato i dati personali che sono stati trasferiti in risposta a un ordine di un’autorità giudiziaria o di polizia oppure di un ente pubblico non appartenente all’Unione Europea o allo Spazio Economico Europeo in violazione delle obbligazioni di
Microsoft ai sensi del Capitolo V del GDPR (una “Divulgazione Pertinente”). Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l’interessato ai sensi del presente Articolo 2 nella misura in cui l’interessato abbia già ricevuto un risarcimento per lo stesso danno, sia da Microsoft che in altro modo.
3. Condizioni per l’Indennizzo. L’Indennizzo ai sensi dell’Articolo 2 è condizionato al fatto che l’interessato stabilisca, con ragionevole soddisfazione
di Microsoft, che:
a. Microsoft si è impegnato in una Divulgazione Pertinente;
b. la Divulgazione Pertinente ha costituito il fondamento di un procedimento ufficiale da parte dell’autorità giudiziaria o di polizia oppure dell’ente pubblico EEA o non appartenente all’UE nei confronti dell’interessato e
c. la Divulgazione Pertinente ha direttamente causato danni sostanziali o non sostanziali all’interessato. All’interessato spetta l’onere della prova riguardo alle condizioni da a. a c.
Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l’interessato ai sensi dell’Articolo 2 nel caso in cui Microsoft stabilisca che la Divulgazione Pertinente non abbia violato le sue obbligazioni ai sensi del Capitolo V del GDPR.
4. Portata dei Danni. L’Indennizzo ai sensi dell’Articolo 2 si limita ai danni sostanziali e non sostanziali stabiliti nel GDPR ed esclude i danni
consequenziali e tutti gli altri danni che non derivano dalla violazione del GDPR da parte di Microsoft.
5. Esercizio dei Diritti. L’interessato potrà far rispettare a Microsoft i diritti concessi agli interessati ai sensi del presente Addendum senza tenere conto di eventuali restrizioni nella Clausola 3 o 6 delle Clausole Contrattuali Tipo. L’interessato potrà proporre un reclamo ai sensi del presente Addendum solo su base individuale e non nell’ambito di un’azione di categoria, collettiva, di gruppo o di rappresentanza. I diritti concessi agli interessati nel presente Addendum sono personali e non potranno essere ceduti.
6. Comunicazione di Modifica. Microsoft accetta e garantisce di non avere motivo di ritenere che la normativa applicabile a se stessa o ai suoi sub- responsabili del trattamento, anche nei paesi in cui provvede direttamente al trasferimento dei dati personali o dove tale operazione viene eseguita da un altro responsabile del trattamento, le impedisca di seguire le istruzioni della Società e di adempiere alle obbligazioni del presente Addendum o delle Clausole Contrattuali Tipo 2021 e di comunicare alla Società, non appena ne abbia conoscenza, qualsiasi modifica di tale normativa che possa pregiudicare le garanzie e le obbligazioni previste dal presente Addendum o dalle Clausole Contrattuali Tipo, nel qual caso
la Società ha facoltà di sospendere il trasferimento dei dati e/o di risolvere il contratto.
Allegato 1: Condizioni del Regolamento Generale dell’Unione
Europea sulla Protezione dei Dati
Microsoft rende effettivi gli impegni presi nelle Condizioni del GDPR per tutte le società a decorrere dal 25 maggio 2018. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalla versione delle Condizioni per l’Utilizzo dei Prodotti e dalla versione dell’Addendum, che sono comunque applicabili a qualsiasi licenza o sottoscrizione specifica dei Prodotti o (2) a qualsiasi altro contratto che faccia riferimento a tale allegato.
Ai fini dell’interpretazione delle presenti Condizioni del GDPR, la Società e Microsoft accettano che la Società agisca in qualità di titolare del trattamento dei Dati Personali e che Microsoft agisca in qualità di responsabile del trattamento di tali dati, tranne nei casi in cui la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento. Le presenti Condizioni del GDPR si applicano al trattamento dei Dati Personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società. Le presenti Condizioni del GDPR non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni per l’Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la Società. Le presenti Condizioni del GDPR non si applicano qualora Microsoft sia un titolare del trattamento dei Dati Personali.
Obbligazioni Specifiche del Regolamento Generale sulla Protezione dei Dati: Articoli 5, 28, 32 e 33
1. Microsoft si assume le obbligazioni di responsabilità della Società tramite il presente Addendum e la documentazione del prodotto fornita alla Società e continuerà in tal modo per tutto il periodo di validità della sottoscrizione della Società o dell’impegno nei Servizi Professionali applicabile in conformità al sottoparagrafo 3(h) che segue. (Articolo 5(2))
2. Microsoft non ricorrerà a un altro responsabile del trattamento senza previa autorizzazione scritta, specifica o generale, della Società.
Nel caso di autorizzazione scritta generale, Microsoft informa la Società di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così alla Società l’opportunità di opporsi a tali modifiche. (Articolo 28(2))
3. Il trattamento da parte di Microsoft è disciplinato dalle presenti Condizioni del GDPR a norma del diritto dell’Unione (d’ora in avanti “Unione”) o degli Stati Membri che vincolano Microsoft alla Società. La materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati Personali, le categorie di interessati e le obbligazioni e i diritti della Società sono stabiliti nel contratto multilicenza della Società, nonché nelle presenti Condizioni del GDPR. In particolare, Microsoft dovrà:
(a) trattare i Dati Personali soltanto su istruzione documentata della Società, anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o degli Stati Membri cui è soggetta Microsoft; in tal caso, Microsoft informa la Società circa tale obbligo giuridico prima del trattamento, a meno che il diritto non vieti tale informazione per rilevanti motivi di interesse pubblico;
(b) garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano
un’adeguata obbligazione legale di riservatezza;
(c) adottare tutte le misure richieste ai sensi dell’Articolo 32 del Regolamento Generale sulla Protezione dei Dati;
(d) rispettare le condizioni di cui ai paragrafi 1 e 3 per ricorrere a un altro responsabile del trattamento;
(e) tenendo conto della natura del trattamento, assistere la Società con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligazione della Società di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento Generale sulla Protezione dei Dati;
(f) assistere la Società nel garantire il rispetto delle obbligazioni di cui agli Articoli da 32 a 36 del Regolamento Generale sulla Protezione dei Dati, tenendo conto della natura del trattamento e delle informazioni a disposizione di Microsoft;
(g) su scelta della Società, eliminare o restituirle tutti i Dati Personali dopo che è terminata l’erogazione dei servizi relativi al trattamento ed eliminare le copie esistenti, salvo che il diritto dell’Unione o degli Stati Membri preveda la conservazione dei dati;
(h) mettere a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto delle obbligazioni stabilite all’Articolo 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato.
Microsoft informerà immediatamente la Società qualora, a suo parere, un’istruzione violi il Regolamento Generale sulla Protezione dei Dati o altre disposizioni, dell’Unione o degli Stati Membri, relative alla protezione dei dati personali. (Articolo 28(3))
4. Quando Microsoft ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto della Società, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico ai sensi del diritto dell’Unione o degli
Stati Membri, le stesse obbligazioni in materia di protezione dei dati personali contenute nelle presenti Condizioni del GDPR, fornendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento stesso. Qualora l’altro responsabile del trattamento ometta di adempiere alle proprie obbligazioni in materia di protezione dei dati personali, Microsoft conserverà nei confronti della Società l’intera responsabilità dell’adempimento delle obbligazioni dell’altro responsabile. (Articolo 28(4))
5. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società e Microsoft mettono in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, a seconda dei casi:
(a) la pseudonimizzazione e la crittografia dei Dati Personali;
(b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e
(d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (Articolo 32(1))
6. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati Personali trasmessi, conservati o in altro modo trattati. (Articolo 32(2))
7. La Società e Microsoft fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a Dati Personali non tratti tali dati se non è istruito in tal senso dalla Società, salvo che lo richieda il diritto dell’Unione o degli Stati Membri. (Articolo 32(4))
8. Microsoft informerà la Società senza ingiustificato ritardo dopo essere venuta a conoscenza della violazione dei Dati Personali. (Articolo 33(2)).
Tale comunicazione includerà le informazioni che un responsabile del trattamento dovrà fornire a un titolare del trattamento ai sensi
dell’Articolo 33(3) nella misura in cui tali informazioni siano ragionevolmente disponibili a Microsoft.
Sommario / Condizioni Generali