INTRODUZIONE 3
Contratti Multilicenza
Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft
Ultimo Aggiornamento: 15 settembre 2021
Sommario
INTRODUZIONE 3
Condizioni e Aggiornamenti dell’Addendum Applicabili 3
Comunicazioni in Formato Elettronico 3
Versioni Precedenti 3
DEFINIZIONI 4
CONDIZIONI GENERALI 5
Conformità alle Leggi 5
CONDIZIONI PER LA PROTEZIONE DEI DATI PERSONALI 5
Ambito di Validità 5
Natura del Trattamento dei Dati; Titolarità 6
Divulgazione dei Dati Trattati 6
Trattamento dei Dati Personali; GDPR 7
Sicurezza dei Dati 8
Comunicazione di Eventi Imprevisti relativi alla Protezione 9
Trasferimenti e Posizione dei Dati 10
Conservazione ed Eliminazione dei Dati 10
Impegno di Riservatezza del Responsabile del Trattamento 11
Comunicazione e Controlli relativi all’Impiego di Altri
Responsabili del Trattamento 11
Istituti Didattici 11
Contratto della Società per CJIS 12
Società in Affari HIPPA 12
California Consumer Privacy Act (CCPA) 12
Dati Biometrici 12
Servizi Professionali Supplementari 12
Come Contattare Microsoft 13
APPENDICE A. MISURE DI SICUREZZA 14
APPENDICE B - INTERESSATI E CATEGORIE
DI DATI PERSONALI 17
APPENDICE C - ADDENDUM RELATIVO ALLE MISURE
DI SICUREZZA AGGIUNTIVE 19
ALLEGATO 1: CONDIZIONI CONTRATTUALI STANDARD
2010 (RESPONSABILI DEL TRATTAMENTO) 21
ALLEGATO 2: CONDIZIONI DEL REGOLAMENTO GENERALE
SULLA PROTEZIONE DEI DATI DELL’UNIONE EUROPEA 26
Introduzione
Le parti accettano che il presente Addendum relativo alla Protezione dei Dati Personali dei Prodotti e dei Servizi Microsoft (“Addendum”) stabilisca le rispettive obbligazioni in merito al trattamento e alla protezione dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali in relazione ai Prodotti e ai Servizi. L’Addendum è incorporato nelle Condizioni per l’Utilizzo dei Prodotti e in altri contratti Microsoft in virtù di questo riferimento. Le parti accettano inoltre che, fatta salva l’esistenza di un contratto separato per i Servizi Professionali, il presente Addendum disciplini il trattamento e la sicurezza dei Dati dei Servizi Professionali. L’utilizzo di Prodotti Non Microsoft da parte della Società è disciplinato da condizioni specifiche, che includono condizioni relative al diritto alla protezione dei dati personali e alla sicurezza diverse.
Nell’eventualità di discrepanze o incoerenze tra le Condizioni dell’Addendum e qualsiasi altra condizione del contratto multilicenza della Società, le Condizioni dell’Addendum avranno prevalenza. Le disposizioni delle Condizioni dell’Addendum hanno prevalenza su eventuali altre disposizioni discrepanti definite nell’Informativa sulla Privacy di Microsoft che potrebbero in altro modo essere applicate al trattamento dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali secondo la definizione fornita nel presente documento. Per chiarezza, in conformità alla Clausola 10 delle Clausole Contrattuali Tipo 2010 dell’Allegato 1, le Clausole Contrattuali Tipo 2010, quando sono applicabili, hanno prevalenza
su qualsiasi altra condizione delle Condizioni dell’Addendum.
Microsoft rende effettivi gli impegni presi nel presente Addendum per tutte le società con contratti multilicenza. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalle Condizioni per l’Utilizzo dei Prodotti che sono comunque applicabili a qualsiasi licenza
o sottoscrizione specifica dei Prodotti o (2) da qualsiasi altro contratto che faccia riferimento alle Condizioni per l’Utilizzo dei Prodotti.
Condizioni e Aggiornamenti dell’Addendum Applicabili Limitazioni relative agli Aggiornamenti
Quando la Società rinnova o acquista una nuova sottoscrizione di un Prodotto o stipula un ordine di lavoro per un Servizio Professionale, si applicano le Condizioni dell’Addendum in vigore in quel momento, che non cambieranno nel corso della sottoscrizione del suddetto
Prodotto o durante il periodo di validità del Servizio Professionale interessato. Quando la Società ottiene una licenza perpetua per il Software, si applicheranno le Condizioni dell’Addendum in vigore in quel momento (in conformità alla stessa disposizione per la determinazione delle Condizioni per l’Utilizzo dei Prodotti in vigore in quel momento e applicabili a tale Software nel contratto multilicenza della Società) e non cambieranno durante il periodo di validità della licenza della Società per tale Software.
Funzionalità, Supplementi o Prodotti Software Correlati Nuovi
Nonostante le suddette limitazioni relative agli aggiornamenti, quando Microsoft presenta funzionalità, offerte, supplementi o prodotti software correlati nuovi (vale a dire non precedentemente inclusi nei Prodotti o Servizi), potrà fornire condizioni o effettuare aggiornamenti all’Addendum che si applicano all’utilizzo da parte della Società di tali funzionalità, offerte, supplementi o prodotti software correlati nuovi. Qualora tali condizioni includano modifiche sostanziali sfavorevoli alle Condizioni dell’Addendum, Microsoft darà alla Società la possibilità di utilizzare funzionalità, offerte, supplementi o prodotti software correlati nuovi, senza perdere la funzionalità esistente di un Prodotto o Servizio Professionale già disponibile sul mercato. Qualora la Società non installi né utilizzi le funzionalità, le offerte, i supplementi o i prodotti software correlati nuovi, le nuove condizioni corrispondenti non si applicheranno.
Regolamento e Requisiti per gli Enti Pubblici
Nonostante le suddette limitazioni relative agli aggiornamenti, Microsoft potrà modificare o interrompere un Prodotto o un Servizio Professionale in qualsiasi paese o giurisdizione in cui esista un’obbligazione o un requisito di legge corrente o futuro che (1) assoggetti Microsoft a regolamenti o requisiti che a livello generale non trovano applicazione nei confronti delle aziende che operano in tale paese, (2) renda difficile per Microsoft continuare a gestire il Prodotto o a offrire il Servizio Professionale senza apportarvi modifiche e/o (3) faccia ritenere a Microsoft che il Prodotto
o il Servizio Professionale o le Condizioni dell’Addendum possano essere in discrepanza con tali obbligazioni o requisiti.
Comunicazioni in Formato Elettronico
Microsoft potrà fornire alla Società informazioni e comunicazioni in formato elettronico sui Prodotti e i Servizi, ad esempio tramite e-mail, il portale di un Servizio Online o un sito Web che Microsoft avrà cura di segnalare. Le comunicazioni vengono trasmesse da Microsoft a partire dalla data
in cui sono disponibili.
Versioni Precedenti
Le Condizioni dell’Addendum definiscono le condizioni applicabili ai Prodotti e ai Servizi attualmente disponibili. Per le versioni precedenti delle Condizioni dell’Addendum, la Società potrà fare riferimento alla pagina xxxxx://xxx.xx/xxxxxxxxxxxxx o contattare il rivenditore o l’Account Manager designato da Microsoft.
Sommario / Condizioni Generali
Introduzione
Allegati
Condizioni per la Protezione dei Dati Personali
Condizioni Generali
Sommario
🡪 🡪 🡪 🡪
Definizioni
I termini in maiuscolo utilizzati, ma non definiti, nel presente Addendum relativo alla Protezione dei Dati Personali avranno il significato attribuito loro nel contratto multilicenza. Nel presente Addendum vengono utilizzate le seguenti definizioni:
“Dati della Società” indica tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software forniti a Microsoft dalla o per conto della Società tramite l’utilizzo dei Servizi Online. I Dati della Società non includono i Dati dei Servizi Professionali.
“Requisiti Relativi alla Protezione dei Dati Personali” indica il GDPR, le Leggi in materia di Protezione dei Dati Personali UE/SEE Locali, qualsiasi legge e regolamento applicabile e altri requisiti legali relativi (a) al diritto alla protezione dei dati personali e alla sicurezza dei dati e (b) all’utilizzo, alla raccolta, alla conservazione, all’archiviazione, alla sicurezza, alla divulgazione, al trasferimento, allo smaltimento e ad altro tipo di trattamento dei Dati Personali.
“Condizioni dell’Addendum” indica le condizioni disponibili nell’Addendum e le condizioni specifiche per Prodotto contenute nelle Condizioni per l’Utilizzo dei Prodotti che integrano o modificano espressamente le condizioni relative al diritto alla protezione dei dati personali e alla sicurezza riportate nell’Addendum per un Prodotto specifico (o una funzionalità di un Prodotto). Nell’eventualità di discrepanze o incoerenze tra l’Addendum e tali condizioni specifiche per Prodotto, queste ultime avranno prevalenza per quanto riguarda il Prodotto applicabile (o la funzionalità di tale Prodotto).
“Regolamento Generale sulla Protezione dei Dati” o “GDPR” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
“Leggi in materia di Protezione dei Dati Personali UE/SEE Locali” indica qualsiasi legislazione subordinata e regolamento di attuazione del GDPR. “Condizioni del GDPR” indica le condizioni contenute nell’Allegato 2, ai sensi delle quali Microsoft si assume impegni vincolanti relativamente
al trattamento da parte sua dei Dati Personali, in base a quanto stabilito dall’Articolo 28 del GDPR.
“Dati Personali” indica qualsiasi dato relativo a una persona fisica identificata o identificabile. Si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Prodotto” ha il significato definito nel contratto multilicenza. Allo scopo di facilitare la consultazione, “Prodotto” include i Servizi Online e il Software, ciascuno secondo la definizione fornita nel contratto multilicenza.
“Prodotti e Servizi” indica i Prodotti e i Servizi Professionali. La disponibilità dei Prodotti e dei Servizi Professionali potrà variare in base all’area geografica e l’applicabilità del presente Addendum a Prodotti e Servizi Professionali specifici è soggetta alle limitazioni riportate nell’Articolo Ambito di Validità del presente Addendum.
“Servizi Professionali” indica i seguenti servizi: (a) servizi di consulenza di Microsoft, che consistono di servizi di pianificazione, supporto, consulenza, migrazione dei dati, distribuzione e sviluppo di soluzioni/software forniti ai sensi di un Ordine di Lavoro per i Servizi Enterprise di Microsoft in cui il presente Addendum è incorporato in virtù di questo riferimento e (b) servizi di supporto tecnico forniti da Microsoft per
aiutare le società a individuare e risolvere le problematiche che riguardano i Prodotti, incluso il supporto tecnico erogato nell’ambito dei Servizi Microsoft Unified Support o dei Servizi di Supporto Tecnico Premier (illustrati, rispettivamente, nella Descrizione dei Servizi di Consulenza e di Supporto Tecnico o nella Descrizione dei Servizi) e qualsiasi altro servizio di supporto tecnico. I Servizi Professionali non includono i Prodotti
o, ai fini dell’interpretazione dell’Addendum, i Servizi Professionali Supplementari.
“Dati dei Servizi Professionali” indica tutti i dati, inclusi tutti i file di testo, audio, video, immagine o software, che vengono forniti a Microsoft dalla o per conto di una Società (o che la Società autorizza Microsoft a ottenere da un Prodotto) oppure in altro modo ricevuti o trattati da e per conto di Microsoft attraverso un impegno con Microsoft per ottenere i Servizi Professionali.
“Clausole Contrattuali Tipo 2010” indica le clausole di protezione dei dati personali che si applicano per il trasferimento dei dati personali ai responsabili del trattamento con sede in paesi terzi che non garantiscono un adeguato livello di protezione dei dati, come descritto all’Articolo 46 del GDPR e approvato dalla Commissione Europea con la decisione 2010/87/CE del 5 febbraio 2010. Le Clausole Contrattuali Tipo 2010 sono riportate nell’Allegato 1.
“Clausole Contrattuali Tipo 2021” indica le clausole tipo di protezione dei dati personali (modulo da responsabile del trattamento a responsabile del trattamento) che si applicano tra Microsoft Ireland Operations Limited e Microsoft Corporation per il trasferimento dei dati personali dai responsabili del trattamento nello Spazio Economico Europeo ai responsabili del trattamento con sede in paesi terzi che non garantiscono
un adeguato livello di protezione dei dati personali, come descritto all’Articolo 46 del GDPR e approvato dalla Commissione Europea con la decisione 2021/914/CE del 4 giugno 2021.
“Altro Responsabile del Trattamento” indica altri responsabili del trattamento utilizzati da Microsoft per trattare i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali, come descritto all’Articolo 28 del GDPR.
“Servizi Professionali Supplementari” indica richieste di supporto tecnico di cui è stata effettuata l’escalation dal team di supporto tecnico a un team di progettazione del Prodotto per la risoluzione e altri servizi di consulenza e supporto tecnico di Microsoft erogati unitamente a un contratto multilicenza o a Prodotti che non sono inclusi nella definizione di Servizi Professionali.
I termini in lettere minuscole utilizzati, ma non definiti nel presente Addendum, ad esempio “violazione dei dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “profiling”, “dati personali” e “interessato” avranno la stessa accezione attribuita nell’Articolo 4 del GDPR, anche se quest’ultimo non è applicabile.
Sommario / Condizioni Generali
Condizioni Generali
Conformità alle Leggi
Microsoft si atterrà a tutte le leggi e a tutti i regolamenti applicabili all’erogazione dei Prodotti e dei Servizi, tra cui la legge applicabile in materia di notifica dell’inadempimento delle obbligazioni di protezione e i Requisiti Relativi alla Protezione dei Dati Personali. Microsoft non è tuttavia responsabile della conformità alle leggi o ai regolamenti applicabili alla Società o al settore di appartenenza della Società che non siano a livello generale applicabili ai provider di servizi informatici. Microsoft non determina se i dati della Società includono dati soggetti a leggi o regolamenti
specifici. Tutti gli Eventi Imprevisti relativi alla Protezione sono soggetti alle condizioni previste nella Comunicazione di Eventi Imprevisti relativi alla Protezione che segue.
La Società dovrà conformarsi a tutte le leggi e a tutti i regolamenti applicabili relativamente all’utilizzo di Prodotti e Servizi, tra cui le leggi in materia di dati biometrici, riservatezza delle comunicazioni e i Requisiti Relativi alla Protezione dei Dati Personali. La Società ha la responsabilità di stabilire se i Prodotti e i Servizi sono appropriati per l’archiviazione e il trattamento di dati soggetti a leggi o regolamenti specifici e di utilizzare i Prodotti
e i Servizi conformemente alle obbligazioni legali e normative della Società. La Società ha la responsabilità di rispondere a qualsiasi richiesta di terzi in merito al suo utilizzo di Prodotti e Servizi, ad esempio a una richiesta di rimuovere contenuti ai sensi del Digital Millennium Copyright Act statunitense o di altre leggi applicabili.
Condizioni per la Protezione dei Dati Personali
Nel presente Articolo dell’Addendum sono inclusi i seguenti sottoparagrafi:
• Ambito di Validità
• Natura del Trattamento dei Dati; Titolarità
• Divulgazione dei Dati Trattati
• Trattamento dei Dati Personali; GDPR
• Sicurezza dei Dati
• Comunicazione di Eventi Imprevisti relativi alla Protezione
• Trasferimenti e Posizione dei Dati
• Conservazione ed Eliminazione dei Dati
• Impegno di Riservatezza del Responsabile del Trattamento
• Comunicazione e Controlli relativi all’Impiego di Altri Responsabili del Trattamento
Ambito di Validità
• Istituti Didattici
• Contratto della Società per CJIS
• Società in Affari HIPPA
• California Consumer Privacy Act (CCPA)
• Dati Biometrici
• Servizi Professionali Supplementari
• Come Contattare Microsoft
• Appendice A. Misure di Sicurezza
• Appendice B - Interessati e Categorie di Dati Personali
• Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive.
Le Condizioni dell’Addendum si applicano a tutti i Prodotti e i Servizi, ad eccezione di quelli descritti nel presente Articolo.
Le Condizioni dell’Addendum non si applicheranno ai Prodotti specificatamente indicati come esclusi, o nella misura in cui sono indicati come esclusi, nelle Condizioni per l’Utilizzo dei Prodotti, che sono disciplinati dalle condizioni relative al diritto alla protezione dei dati personali e alla sicurezza nelle condizioni applicabili specifiche per Prodotto.
Per maggiore chiarezza, le Condizioni dell’Addendum si applicano solo al trattamento dei dati in ambienti controllati da Microsoft e da Altri Responsabili del Trattamento di Microsoft. Sono inclusi i dati inviati a Microsoft dai Prodotti e dai Servizi, ma non i dati che rimangono nei locali della Società o in alcuni ambienti operativi di terzi della Società.
Per i Servizi Professionali Supplementari, Microsoft si assume solo gli impegni indicati all’Articolo Servizi Professionali Supplementari che segue.
Le Anteprime potranno adottare misure di protezione dei dati personali e di sicurezza minori o differenti rispetto a quelle in genere presenti nei Prodotti e nei Servizi. Salvo quanto altrimenti stabilito, la Società non dovrebbe utilizzare le Anteprime per trattare i Dati Personali o altri dati che sono soggetti a requisiti di conformità alla legge e ai regolamenti. Per quanto riguarda i Prodotti, le seguenti condizioni del presente Addendum non si applicano alle Anteprime: Trattamento dei Dati Personali; GDPR, Sicurezza dei Dati e Società in Affari HIPPA. Per quanto riguarda i Servizi Professionali, le offerte designate come Anteprime o Versione Limitata sono conformi solo alle condizioni dei Servizi Professionali Supplementari.
Natura del Trattamento dei Dati; Titolarità
Microsoft utilizzerà e in altro modo tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali solo nella modalità descritta e ai sensi delle limitazioni indicate di seguito (a) per erogare alla Società i Prodotti e i Servizi in conformità alle istruzioni documentate della Società e (b) per le attività aziendali connaturate all’erogazione dei Prodotti e dei Servizi alla Società. Per ciò che concerne le parti, la Società conserva tutti i diritti, la titolarità e gli interessi relativi ai Dati della Società e ai Dati dei Servizi Professionali. Riguardo ai Dati della Società
e ai Dati dei Servizi Professionali Microsoft acquisisce solo i diritti che la Società le concede nel presente Articolo. Il presente paragrafo non riguarda i diritti di Microsoft relativi al software o ai servizi che Microsoft concede in licenza alla Società.
Trattamento per l’Erogazione alla Società dei Prodotti e dei Servizi
Ai fini del presente Addendum, l’“erogazione” di un Prodotto include le seguenti attività:
• offerta di funzionalità concesse in licenza, configurate e usate dalla Società e dai relativi utenti, incluse esperienze utente personalizzate;
• risoluzione dei problemi (prevenzione, rilevamento e correzione di problemi) e
• miglioramento continuo (installazione degli ultimi aggiornamenti e applicazione di miglioramenti relativi a produttività utente, affidabilità, efficacia, qualità e sicurezza).
Ai fini dell’interpretazione del presente Addendum, l’“erogazione” dei Servizi Professionali include le seguenti attività:
• erogazione dei Servizi Professionali, inclusi servizi di supporto tecnico e servizi professionali di pianificazione, consulenza, migrazione dei dati, distribuzione e sviluppo di soluzioni/software;
• risoluzione dei problemi (prevenzione, rilevamento, indagine, mitigazione e correzione di problemi, inclusi Eventi Imprevisti relativi alla Protezione e problemi individuati nei Servizi Professionali o nei Prodotti pertinenti durante l’erogazione dei Servizi Professionali) e
• miglioramento continuo (miglioramento dell’erogazione, dell’efficacia, della qualità e della sicurezza dei Servizi Professionali e dei Prodotti sottostanti in base ai problemi identificati durante l’erogazione dei Servizi Professionali, incluse l’installazione degli ultimi aggiornamenti e la correzione di difetti del software).
Al momento dell’erogazione di Prodotti e Servizi, Microsoft non utilizzerà né tratterà in altro modo i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profiling degli utenti, (b) fini pubblicitari o scopi commerciali analoghi né per (c) ricerche di mercato con lo scopo di creare nuove funzionalità, servizi o prodotti o con qualsiasi altro scopo, a meno che tale utilizzo o trattamento sia conforme alle istruzioni documentate della Società.
Trattamento per Attività Aziendali
Ai fini dell’interpretazione del presente Addendum, le “attività aziendali” sono le seguenti, ciascuna considerata come connaturata all’erogazione dei Prodotti e dei Servizi alla Società: (1) gestione account e fatturazioni, (2) compenso, ad esempio calcolo delle commissioni dei dipendenti
e degli incentivi per i partner, (3) creazione di report e modelli aziendali interni (ad esempio previsioni, ricavi, pianificazione delle capacità, strategia dei prodotti), (4) prevenzione di frodi, crimini informatici o cyberattachi che potrebbero avere impatto su Microsoft o sui Prodotti Microsoft, (5) miglioramento delle funzionalità principali di accessibilità, diritto alla protezione dei dati personali o efficienza energetica
e (6) reporting finanziario e conformità alle obbligazioni legali, ai sensi delle limitazioni alla divulgazione dei Dati Trattati indicate di seguito.
Durante il trattamento ai fini delle attività aziendali Microsoft applicherà i principi della minimizzazione dei dati e non utilizzerà né in altro modo tratterà i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali per: (a) profiling degli utenti, (b) fini pubblicitari o scopi commerciali analoghi né per (c) altri scopi che non siano quelli stabiliti nel presente Articolo.
Divulgazione dei Dati Trattati
Microsoft non divulgherà né consentirà l’accesso ai Dati Trattati tranne nel caso in cui ciò sia: (1) consentito dalla Società, (2) conforme a quanto descritto nell’Addendum o (3) previsto dalla legge. Ai fini dell’interpretazione del presente Articolo, “Dati Trattati” indica: (a) Dati della Società,
(b) Dati dei Servizi Professionali, (c) Dati Personali e (d) altri dati trattati da Microsoft in relazione ai Prodotti e ai Servizi che sono informazioni riservate della Società ai sensi del contratto multilicenza. Tutte le operazioni relative ai Dati Trattati sono soggette all’obbligazione di riservatezza Microsoft ai sensi del contratto multilicenza.
Microsoft non divulgherà i Xxxx Xxxxxxxx né fornirà l’accesso ad essi alle autorità giudiziarie o di polizia se non nei casi previsti dalla legge. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Microsoft i Dati Trattati, Microsoft tenterà di reindirizzare tali autorità alla Società stessa per la comunicazione diretta di tali dati. Nel caso in cui sia costretta a divulgare i Dati Trattati o a consentirne l’accesso alle autorità giudiziarie
o di polizia, Microsoft ne darà immediata comunicazione alla Società e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie.
Nel caso in cui riceva richieste di divulgazione dei Dati Trattati da parte di terzi, Microsoft ne darà immediata comunicazione alla Società, salvo disposizioni di legge contrarie. Microsoft respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Microsoft tenterà di reindirizzare tali terzi a rivolgerla direttamente alla Società.
Microsoft non fornirà ai terzi: (a) l’accesso in modo diretto, indiretto, programmato o senza restrizioni ai Dati Trattati, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei Dati Trattati o gli strumenti per decrittografarli né (c) alcun tipo di accesso ai Dati Trattati qualora Microsoft sia a conoscenza del fatto che tali dati vengano usati per scopi diversi da quelli definiti nella richiesta avanzata dai terzi.
A sostegno di quanto sopra, Microsoft potrà fornire ai terzi le informazioni di contatto di base della Società.
Trattamento dei Dati Personali; GDPR
Tutti i Dati Personali trattati da Microsoft in relazione all’erogazione dei Prodotti e dei Servizi vengono acquisiti nell’ambito dei (a) Dati della Società,
(b) Dati dei Servizi Professionali o (c) dati generati, derivati o raccolti da Microsoft, inclusi i dati inviati a Microsoft in seguito all’utilizzo da parte della Società delle funzionalità basate sui servizi o ottenute da Microsoft tramite il software installato in locale. I Dati Personali forniti a Microsoft dalla Società, o per conto di essa, tramite l’utilizzo del Servizio Online sono anch’essi Dati della Società. I Dati Personali forniti a Microsoft dalla Società,
o per conto di essa, tramite l’utilizzo dei Servizi Professionali sono anch’essi Dati dei Servizi Professionali. Gli identificatori pseudonimizzati potranno essere inclusi nei dati trattati da Microsoft in relazione all’erogazione dei Prodotti e sono anch’essi Dati Personali. I Dati Personali pseudonimizzati
o privi di identificazione, ma non forniti in formato anonimo, o i Dati Personali derivati dai Dati Personali sono anche Dati Personali.
Nella misura in cui Microsoft agisce come responsabile del trattamento o altro responsabile del trattamento dei Dati Personali soggetti al GDPR, le Condizioni del GDPR contenute nell’Allegato 2 disciplinano tale trattamento. Le parti accettano anche le seguenti condizioni del presente sottoparagrafo (“Trattamento dei Dati Personali; GDPR”):
Ruoli e Responsabilità del Responsabile e del Titolare del Trattamento
La Società e Microsoft accettano che la Società sia il titolare del trattamento dei Dati Personali e che Microsoft sia il responsabile del trattamento di tali dati, tranne nei casi in cui (a) la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà
un altro responsabile del trattamento o (b) sia diversamente indicato nelle condizioni specifiche per Prodotto o nel presente Addendum. Qualora Microsoft agisca come responsabile o altro responsabile del trattamento dei Dati Personali, tratterà i Dati Personali soltanto in conformità alle istruzioni documentate della Società. La Società accetta che il proprio contratto multilicenza, tra cui le Condizioni dell’Addendum e gli aggiornamenti applicabili, unitamente alla documentazione del prodotto e all’utilizzo e alla configurazione da parte sua delle funzionalità dei Prodotti, costituisca l’insieme completo di istruzioni documentate fornite a Microsoft per il trattamento dei Dati Personali. Lo stesso vale con la documentazione dei Servizi Professionali e l’utilizzo dei Servizi Professionali da parte della Società. Informazioni sull’utilizzo e la configurazione dei Prodotti sono disponibili all’indirizzo xxxxx://xxxx.xxxxxxxxx.xxx/xx-xx/ (o su un sito alternativo) o in un altro contratto incorporato nel presente Addendum. Eventuali istruzioni aggiuntive o alternative dovranno essere concordate in conformità al processo
di modifica del contratto della Società. In tutti i casi in cui si applica il GDPR e la Società è un responsabile del trattamento, la Società garantisce a Microsoft che le proprie istruzioni, inclusa la nomina di Microsoft a responsabile del trattamento o ad altro responsabile del trattamento, sono state autorizzate dal titolare del trattamento specifico.
Nella misura in cui Microsoft utilizza o in altro modo tratta i Dati Personali soggetti al GDPR per le attività aziendali connaturate all’erogazione dei Prodotti e dei Servizi alla Società, per tale uso si conformerà alle obbligazioni di un titolare indipendente del trattamento dei dati previste dal GDPR. Microsoft accetta le responsabilità supplementari di “titolare del trattamento” dei dati ai sensi del GDPR per eseguire il trattamento in relazione alle proprie attività aziendali per: (a) agire in conformità ai requisiti normativi, nella misura stabilita nel GDPR e (b) fornire maggiore trasparenza alle Società e confermare la propria responsabilità per quanto riguarda tale trattamento. Microsoft adotta misure di sicurezza
per proteggere i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali durante il trattamento, incluse quelle indicate nel presente Addendum e quelle contemplate all’Articolo 6(4) del GDPR. In merito al trattamento dei Dati Personali ai sensi del presente paragrafo, Microsoft si assume gli impegni stabiliti nell’Articolo Misure di Sicurezza Aggiuntive; per gli scopi specificati, (i) qualsiasi divulgazione da parte di Microsoft, nella modalità descritta nell’Articolo Misure di Sicurezza Aggiuntive, dei Dati Personali che sono stati trasferiti in relazione alle attività aziendali viene considerata una “Divulgazione Pertinente” e (ii) gli impegni indicati nell’Articolo Misure di Sicurezza Aggiuntive
si applicano a tali Dati Personali.
Dettagli sul Trattamento
Le parti danno atto e accettano quanto segue:
• Oggetto. L’oggetto del trattamento è limitato ai Dati Personali che rientrano nell’ambito di applicazione dell’Articolo del presente Addendum dal titolo “Natura del Trattamento; Titolarità” di cui sopra e del GDPR.
• Durata del Trattamento dei Dati. La durata del trattamento sarà conforme a quanto definito dalle istruzioni della Società e dalle condizioni dell’Addendum.
• Natura e Finalità del Trattamento dei Dati. La natura e la finalità del trattamento dei dati consisteranno nell’erogare i Prodotti e i Servizi ai sensi del contratto multilicenza della Società e per le attività aziendali connaturate all’erogazione dei Prodotti e dei Servizi alla Società in base a quanto ulteriormente indicato nel precedente Articolo del presente Addendum “Natura del Trattamento dei Dati; Titolarità”.
• Categorie di Dati. I tipi di Dati Personali trattati da Microsoft durante l’erogazione dei prodotti e dei Servizi includono: (i) i Dati Personali che la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali e (ii) quelli espressamente indicati all’Articolo 4 del GDPR che potranno essere generati, derivati o raccolti da Microsoft, tra cui i dati inviati a Microsoft in seguito all’utilizzo delle funzionalità basate sui servizi di una Società o acquisiti da Microsoft tramite il software installato in locale. I tipi di Dati Personali che
la Società sceglie di includere nei Dati della Società e nei Dati dei Servizi Professionali potranno rientrare in qualsiasi categoria di Dati Personali identificati nei record gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di Dati Personali definite nell’Appendice B.
• Interessati. Le categorie di interessati sono i rappresentanti e gli utenti finali della Società, ad esempio dipendenti, appaltatori, collaboratori e clienti. Possono essere incluse altre categorie di interessati identificate nei record gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di interessati definite nell’Appendice B.
Diritti degli Interessati; Assistenza con le Richieste
Microsoft metterà a disposizione della Società, conformemente alla funzionalità dei Prodotti e dei Servizi e al suo ruolo di responsabile del trattamento dei Dati Personali degli interessati, la capacità di soddisfare le loro richieste in merito all’esercizio dei loro diritti ai sensi del GDPR.
Microsoft suggerirà all’interessato della Società, che chiede di esercitare uno o più dei propri diritti ai sensi del GDPR in relazione ai Prodotti e ai Servizi di cui Microsoft è un responsabile del trattamento o un altro responsabile del trattamento, di presentare la richiesta direttamente
alla Società. La Società sarà tenuta a rispondere a tali richieste, laddove necessario, utilizzando la funzionalità dei Prodotti e dei Servizi. Microsoft si conformerà alle richieste di assistenza ragionevoli della Società per soddisfare tale esigenza dell’interessato.
Registri delle Attività di Trattamento
Nella misura in cui Microsoft è tenuta ai sensi del GDPR a raccogliere determinate informazioni relative alla Società e a conservarne i registri, la Società dovrà, laddove richiesto, fornire tali informazioni a Microsoft, mantenendole accurate e aggiornate. Microsoft potrà rendere tali informazioni disponibili all’autorità di controllo, se richiesto dal GDPR.
Sicurezza dei Dati
Procedure e Criteri di Sicurezza
Microsoft adotterà e assicurerà misure organizzative e tecniche appropriate per proteggere i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali da distruzione, perdita e alterazione accidentale o illegale, da divulgazione non autorizzata dei dati personali trasmessi,
archiviati o in altro modo trattati oppure dall’accesso ad essi. Tali misure dovranno essere stabilite nei Criteri di Sicurezza di Microsoft. Microsoft metterà a disposizione della Società tali criteri, unitamente ad altri dati ragionevolmente richiesti dalla Società riguardanti le procedure e i criteri di sicurezza di Microsoft.
Inoltre, tali misure dovranno conformarsi ai requisiti stabiliti negli standard ISO 27001, ISO 27002 e ISO 27018. Per le Società è disponibile una descrizione dei controlli di sicurezza per tali requisiti.
Ciascun Servizio Online Core è conforme anche agli standard e ai framework di controllo riportati nella tabella delle Condizioni per l’Utilizzo dei Prodotti. Ciascun Servizio Online Core e ciascun Servizio Professionale adottano e si impegnano a garantire le misure di sicurezza stabilite nell’Appendice A per la protezione dei Dati della Società e dei Dati dei Servizi Professionali.
Microsoft potrà aggiungere standard del settore o governativi in qualsiasi momento. Microsoft eliminerà gli standard ISO 27001, ISO 27002, ISO 27018 oppure gli standard o i framework della tabella per i Servizi Online Core riportata nelle Condizioni per l’Utilizzo dei Prodotti solo qualora non siano più in uso nel settore e vengano eventualmente sostituiti da altri.
Crittografia dei Dati
I Dati della Società e i Dati dei Servizi Professionali (inclusi i Dati Personali in essi contenuti) in transito sulle reti pubbliche tra la Società e Microsoft o tra i data center di Microsoft sono crittografati per impostazione predefinita.
Microsoft crittografa anche i Dati della Società inattivi archiviati nei Servizi Online e i Dati dei Servizi Professionali inattivi archiviati. Nel caso dei Servizi Online sui quali la Società o un terzo che agisce per conto della Società potrà sviluppare applicazioni (ad esempio, altri Servizi Azure), la crittografia dei dati archiviati in tali applicazioni potrà essere applicata a discrezione della Società, utilizzando le funzionalità fornite
da Microsoft o ottenute dalla Società tramite terzi.
Accesso ai Dati
Microsoft ricorre a una quantità minima di meccanismi di accesso con privilegi per controllare l’accesso ai Dati della Società e ai Dati dei Servizi Professionali (inclusi i Dati Personali ivi contenuti). I controlli degli accessi basati sui ruoli vengono effettuati per garantire che l’accesso ai Dati della Società e ai Dati dei Servizi Professionali necessario per il funzionamento dei servizi avvenga per uno scopo appropriato e approvato con la supervisione dirigenziale. Per quanto riguarda i Servizi Online Core e i Servizi Professionali, Microsoft gestisce i meccanismi di Controllo degli
Accessi descritti nella tabella “Misure di Sicurezza” nell’Appendice A. Per quanto riguarda i Servizi Online Core, non è contemplato alcun accesso permanente da parte del personale di Microsoft ai Dati della Società e nessun accesso richiesto è per un periodo di tempo limitato.
Responsabilità della Società
La responsabilità della Società consiste unicamente nel determinare in modo autonomo se le misure organizzative e tecniche dei Prodotti e dei Servizi soddisfino i propri requisiti, incluse le proprie obbligazioni di sicurezza previste ai sensi dei Requisiti Relativi alla Protezione dei Dati Personali applicabili. La Società dà atto e accetta che (tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura,
dell’ambito di validità, del contesto e delle finalità del trattamento dei suoi Dati Personali, come anche dei rischi nei confronti delle persone fisiche) le procedure e i criteri di sicurezza adottati e assicurati da Microsoft garantiscono un livello di sicurezza adeguato al rischio per quanto riguarda i suoi Dati Personali. La Società è tenuta ad adottare e a garantire misure di tutela del diritto alla protezione dei dati personali e misure di sicurezza per i componenti che la Società fornisce o controlla, come i dispositivi registrati in Microsoft Intune oppure in una macchina virtuale o in un’applicazione di Microsoft Azure.
Verifica della Conformità
Microsoft svolgerà audit della sicurezza dei computer, dell’ambiente informatico e dei data center fisici utilizzati per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, come di seguito indicato:
• Nei casi in cui uno standard o un framework verrà sottoposto ad audit, un audit di tale standard o framework di controllo verrà avviato almeno con cadenza annuale.
• Ciascun audit verrà eseguito in conformità agli standard e alle regole dell’ente normativo o accreditato per ogni standard o framework di controllo applicabile.
• Ciascun audit sarà eseguito da auditor della sicurezza terzi qualificati e indipendenti a spese e a scelta di Microsoft.
Ciascun audit si concluderà con la generazione di un rapporto di audit (“Rapporto di Audit di Microsoft”), che Microsoft renderà disponibile all’indirizzo xxxxx://xxxxxxxxxxxx.xxxxxxxxx.xxx/ o in un’altra posizione che Microsoft avrà cura di segnalare. Il Rapporto di Audit di Microsoft sarà classificato come Informazioni Riservate di Microsoft e descriverà chiaramente gli eventuali risultati rilevanti ottenuti dal revisore. Microsoft
rimedierà immediatamente ai problemi sollevati da qualsiasi Rapporto di Audit di Microsoft per adempiere alle segnalazioni del revisore. Qualora la Società lo richieda, Microsoft le fornirà ciascun Rapporto di Audit di Microsoft. Il Rapporto di Audit di Microsoft sarà soggetto alle limitazioni
di non divulgazione e di distribuzione di Microsoft e del revisore.
Nella misura in cui i requisiti di audit della Società ai sensi delle Clausole Contrattuali Tipo 2010 o dei Requisiti Relativi alla Protezione dei Dati Personali non possano essere ragionevolmente soddisfatti tramite i rapporti di audit, la documentazione o le informazioni di conformità che Microsoft rende a livello generale disponibili alle proprie società, Microsoft dovrà prontamente rispondere alle istruzioni di audit aggiuntive della Società. Prima dell’inizio di un audit, la Società e Microsoft concorderanno sull’ambito di validità, sui tempi, sulla durata, sui requisiti di controllo e di prova e sui corrispettivi per l’audit, a condizione che tale requisito di accordo non impedisca a Microsoft di ritardare irragionevolmente l’esecuzione dell’audit. Nella misura necessaria per l’esecuzione dell’audit, Microsoft renderà disponibili i sistemi di trattamento, le strutture
e la documentazione di supporto per il trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali da parte sua, delle sue Consociate e di Altri Responsabili del Trattamento. Tale audit sarà condotto da una società di audit terza indipendente e accreditata, durante il normale orario lavorativo, previo ragionevole preavviso a Microsoft e nel rispetto di ragionevoli procedure di riservatezza. Né la Società né
il responsabile dell’audit avranno accesso ai dati di altre società di Microsoft né alle strutture o ai sistemi Microsoft che non sono coinvolti nell’erogazione dei Prodotti e dei Servizi applicabili. La Società è responsabile di tutti i costi e i corrispettivi correlati al tale audit, compresi tutti
i ragionevoli costi e corrispettivi per il tempo dedicato da Microsoft per tale audit, in aggiunta alle tariffe associate ai servizi erogati da Microsoft. Qualora il rapporto di audit generato a seguito dell’audit della Società includa l’individuazione di materiale non conforme, la Società dovrà condividere con Microsoft tale rapporto di audit e Microsoft dovrà prontamente porre rimedio a qualsiasi non conformità correlata al materiale.
Qualora si applichino le Clausole Contrattuali Tipo 2010, il presente Articolo sarà in aggiunta alla Clausola 5, paragrafo f e alla Clausola 12, paragrafo 2 delle Clausole Contrattuali Tipo 2010. Nessuna disposizione del presente Addendum varia o modifica le Clausole Contrattuali Tipo 2010 o le Condizioni del GDPR né altera i diritti dell’autorità di controllo o dell’interessato previsti dalle Clausole Contrattuali Tipo 2010 o dai Requisiti Relativi alla Protezione dei Dati Personali. Microsoft Corporation è un terzo beneficiario del presente Articolo.
Comunicazione di Eventi Imprevisti relativi alla Protezione
Qualora Microsoft venga a conoscenza di un inadempimento della sicurezza con conseguente distruzione, perdita, alterazione accidentale
o illegale, divulgazione non autorizzata dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali oppure accesso ad essi non autorizzato durante il trattamento da parte di Microsoft (ciascuno un “Evento Imprevisto relativo alla Protezione”), Microsoft, tempestivamente e senza ingiustificato ritardo, (1) comunicherà alla Società l’Evento Imprevisto relativo alla Protezione, (2) analizzerà l’Evento Imprevisto relativo alla Protezione e fornirà alla Società informazioni dettagliate riguardo ad esso e (3) adotterà misure ragionevoli per mitigare gli effetti e ridurre eventuali danni derivanti da esso.
Le comunicazioni degli Eventi Imprevisti relativi alla Protezione verranno trasmesse alla Società con qualsiasi mezzo scelto da Microsoft, anche tramite e-mail. È responsabilità esclusiva della Società tenere sempre aggiornate le informazioni di contatto con Microsoft per ciascun Prodotto e Servizio Professionale applicabile. La Società è l’unica responsabile della conformità alle proprie obbligazioni previste dalle leggi in materia
di comunicazione degli eventi imprevisti applicabili alla Società e del rispetto di qualsiasi obbligazione riguardante le comunicazioni di terzi in caso di Eventi Imprevisti relativi alla Protezione.
Microsoft porrà in essere ogni sforzo ragionevole per aiutare la Società ad adempiere all’obbligazione, ai sensi dell’Articolo 33 del GDPR o di altra legge o altro regolamento applicabile, di comunicare all’autorità di controllo e agli interessati specifici tale Evento Imprevisto relativo alla Protezione.
La comunicazione di Microsoft relativa a un Evento Imprevisto relativo alla Protezione o la relativa risposta a tale evento ai sensi del presente Articolo non costituisce un’accettazione di responsabilità rispetto a tale evento.
La Società dovrà comunicare tempestivamente a Microsoft eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali eventi imprevisti riguardanti i Prodotti e i Servizi.
Trasferimenti e Posizione dei Dati Trasferimenti dei Dati
I Dati della Società, i Dati dei Servizi Professionali e i Dati Personali sottoposti al trattamento da parte di Microsoft per conto della Società potranno essere trasferiti, archiviati e trattati in un’area geografica solo in conformità alle Condizioni dell’Addendum e alle misure di sicurezza esposte più avanti nel presente Articolo. Tenendo conto di tali misure di sicurezza, la Società autorizza Microsoft a trasferire i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali negli Stati Uniti o in qualunque altro paese in cui Microsoft o gli Altri suoi Responsabili del Trattamento sono presenti e di archiviare e trattare i Dati della Società e i Dati Personali per erogare i Prodotti, fatto salvo quanto descritto
in altri Articoli delle Condizioni dell’Addendum.
Tutti i trasferimenti dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali fuori dall’Unione Europea, dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera per erogare i Prodotti e i Servizi verranno disciplinati dalle Clausole Contrattuali Tipo 2021 attuate
da Microsoft. Tutti i trasferimenti dal Regno Unito e dalla Svizzera verranno inoltre disciplinati dalle Clausole Contrattuali Standard 2010. Nell’eventualità di una discrepanza tra le Clausole Contrattuali Tipo 2021 e le Clausole Contrattuali Tipo 2010, la discrepanza dovrà essere risolta in modo da garantire un adeguato livello di protezione dei dati personali per quanto riguarda i Dati della Società, i Dati dei Servizi Professionali
e i Dati Personali ai sensi della legge applicabile. Microsoft rispetterà i requisiti di legge in materia di protezione dei dati personali dello Spazio Economico Europeo e della Svizzera relativamente alla raccolta, all’utilizzo, al trasferimento, alla conservazione e ad altro tipo di trattamento dei Dati Personali provenienti dallo Spazio Economico Europeo, dal Regno Unito e dalla Svizzera. Tutti i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle misure di sicurezza appropriate descritte nell’Articolo 46 del GDPR e tali trasferimenti e misure di sicurezza saranno documentati conformemente all’Articolo 30(2) del GDPR.
Inoltre, Microsoft è certificata e aderisce agli Accordi Quadro sullo Scudo UE-U.S.A. e Svizzera-U.S.A. per la Privacy e agli impegni che comportano, sebbene Microsoft non si attenga agli Accordi Quadro sullo Scudo UE-U.S.A. come base giuridica per i trasferimenti di Dati Personali alla luce della sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-311/18. Microsoft accetta di informare la Società qualora stabilisca di non poter più adempiere all’obbligazione di fornire lo stesso livello di protezione richiesto dai principi dello Scudo per la Privacy.
Posizione dei Dati della Società a Riposo
Per quanto riguarda i Servizi Online Core, Microsoft archivierà i Dati della Società inattivi in alcune aree geografiche importanti (ciascuna, un’Area Geografica) in base a quanto definito nelle Condizioni per l’Utilizzo dei Prodotti.
Microsoft non controlla né limita le aree da cui la Società o i suoi utenti finali potranno accedere o trasferire i Dati della Società.
Conservazione ed Eliminazione dei Dati
Durante il periodo di validità della propria sottoscrizione o dell’impegno applicabile nei Servizi Professionali la Società avrà sempre la possibilità di accedere ai Dati della Società archiviati in ciascun Servizio Online, di estrarli e di eliminarli. Tale possibilità varrà anche per i Dati dei Servizi Professionali.
Fatta eccezione per le versioni di valutazione gratuite e i servizi LinkedIn, Microsoft conserverà i Dati della Società che restano archiviati nei Servizi Online in un account con funzioni limitate per 90 giorni dalla data di scadenza o di risoluzione della sottoscrizione della Società, in modo tale che la Società possa estrarli. Al termine del periodo di conservazione di 90 giorni, Microsoft disabiliterà l’account ed eliminerà i Dati della Società
e i Dati Personali archiviati nei Servizi Online entro un ulteriore periodo di 90 giorni, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli.
Per quanto riguarda i Dati Personali relativi al Software e i Dati dei Servizi Professionali, Microsoft eliminerà tutte le copie dopo il conseguimento degli scopi commerciali per cui i dati sono stati raccolti o trasferiti oppure in un momento precedente, su richiesta della Società, a meno che non sia autorizzata ai sensi del presente Addendum a conservarli.
Il Servizio Online potrebbe non supportare la conservazione o l’estrazione del software fornito dalla Società. Microsoft non è da considerarsi in alcun modo responsabile dell’eliminazione dei Dati della Società, dei Dati dei Servizi Professionali o dei Dati Personali che verrà eseguita secondo quanto descritto nel presente Articolo.
Impegno di Riservatezza del Responsabile del Trattamento
Microsoft assicurerà che il proprio personale impegnato nel trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali (i) tratterà tali dati solo se istruito dalla Società o come descritto nel presente Addendum e (ii) sarà obbligato a garantire la riservatezza e la sicurezza di tali dati anche al termine del proprio impegno. Microsoft fornirà ai propri dipendenti con accesso ai Dati della Società, ai Dati
dei Servizi Professionali e ai Dati Personali una formazione periodica e obbligatoria sul diritto alla protezione dei dati personali e sulla sicurezza in conformità ai Requisiti Relativi alla Protezione dei Dati Personali e agli standard di settore applicabili.
Comunicazione e Controlli relativi all’Impiego di Altri Responsabili del Trattamento
Microsoft potrà incaricare Altri Responsabili del Trattamento di erogare alcuni servizi limitati o accessori per suo conto. La Società acconsente a tale impegno e a incaricare le Consociate Microsoft come Altri Responsabili del Trattamento. Le autorizzazioni di cui sopra costituiranno
il preventivo consenso scritto della Società al subappalto da parte di Microsoft del trattamento dei Dati della Società, dei Dati dei Servizi Professionali e dei Dati Personali, qualora tale consenso sia necessario ai sensi delle Clausole Contrattuali Tipo o delle Condizioni del GDPR.
Microsoft è responsabile della conformità degli Altri Responsabili del Trattamento che ha incaricato alle proprie obbligazioni contenute nel predente Addendum. Microsoft rende disponibili i dati riguardanti gli Altri Responsabili del Trattamento su un suo sito Web. Quando incaricherà un qualsiasi Altro Responsabile del Trattamento, Microsoft si assicurerà tramite un contratto scritto che l’Altro Responsabile del Trattamento possa accedere ai Dati della Società, ai Dati dei Servizi Professionali o ai Dati Personali e possa usarli solo per erogare i servizi per i quali è stato incaricato da Microsoft, con il divieto di utilizzarli per qualsiasi altro scopo. Microsoft garantirà che gli Altri Responsabili del Trattamento siano vincolati da contratti scritti che li obblighino a fornire almeno lo stesso livello di protezione dei dati personali che le viene richiesto dall’Addendum, incluse
le limitazioni relative alla divulgazione dei Dati Trattati. Microsoft accetta di vigilare sugli Altri Responsabili del Trattamento al fine di garantire l’adempimento di tali obbligazioni contrattuali.
Di tanto in tanto Microsoft potrà incaricare nuovi Altri Responsabili del Trattamento. Microsoft informerà la Società (aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Altro Responsabile del Trattamento con
un preavviso di almeno 6 mesi, prima di consentire a tale Altro Responsabile del Trattamento l’accesso ai Dati della Società. Inoltre, Microsoft informerà la Società (aggiornando il sito Web e fornendole uno strumento per ricevere la comunicazione di tale aggiornamento) di ogni nuovo Altro Responsabile del Trattamento con un preavviso di almeno 30 giorni, prima di consentire a tale Altro Responsabile del Trattamento l’accesso ai Dati dei Servizi Professionali o ai Dati Personali, che non siano quelli contenuti nei Dati della Società. Qualora Microsoft affidi l’incarico di un nuovo Prodotto o Servizio Professionale, in cui vengono trattati i Dati della Società, i Dati dei Servizi Professionali o i Dati Personali, a un nuovo Altro Responsabile del Trattamento, lo comunicherà alla Società prima che il Prodotto o il Servizio Professionale diventi disponibile.
Qualora la Società non approvi un nuovo Altro Responsabile del Trattamento per un Servizio Online o per i Servizi Professionali, potrà risolvere qualsiasi sottoscrizione del Servizio Online interessato o le Attestazioni di Servizi applicabili per il Servizio Professionale in questione,
rispettivamente, senza dover pagare alcuna penale o alcun corrispettivo per la risoluzione, fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso. Qualora la Società non approvi un nuovo Altro Responsabile del Trattamento per il Software
e non possa ragionevolmente evitare il ricorso all’Altro Responsabile del Trattamento limitando il trattamento dei dati come stabilito nella documentazione o nel presente Addendum, potrà risolvere qualsiasi licenza per il prodotto software interessato senza dover pagare alcuna penale fornendo una comunicazione scritta della risoluzione prima della scadenza del periodo di preavviso specifico. La Società potrà anche includere in tale comunicazione una spiegazione dei motivi alla base della mancata approvazione, al fine di consentire a Microsoft di rivalutare il nuovo Altro Responsabile del Trattamento alla luce dei dubbi sorti. Qualora il Prodotto interessato faccia parte di una famiglia di prodotti (o di
un acquisto singolo simile di servizi), la risoluzione si applicherà all’intera famiglia. Dopo la risoluzione Microsoft rimuoverà dalle fatture successive indirizzate alla Società o al suo rivenditore le obbligazioni di pagamento relative alle sottoscrizioni o ad altri lavori applicabili non pagati per
i Prodotti o i Servizi oggetto della risoluzione.
Istituti Didattici
Qualora la Società sia un ente o istituto didattico, al quale si applicano i regolamenti Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g (FERPA), Microsoft dà atto che ai fini dell’interpretazione dell’Addendum, Microsoft verrà indicata come “dirigente scolastico” con “interessi educativi legittimi” nei Dati della Società e nei Dati dei Servizi Professionali, poiché tali condizioni sono state definite ai sensi del FERPA e dei relativi regolamenti di attuazione e Microsoft accetta di attenersi alle limitazioni e ai requisiti imposti dal documento 34 CFR 99.33(a) sui dirigenti scolastici.
La Società comprende che Microsoft potrebbe non avere a disposizione alcuna informazione di contatto o avere solo informazioni limitate relativamente agli studenti della Società e ai loro genitori. Di conseguenza, la Società avrà la responsabilità di ottenere l’autorizzazione dei genitori per l’eventuale utilizzo dei Prodotti e dei Servizi da parte degli utenti finali in conformità alla legge applicabile e di presentare per conto di Microsoft agli studenti (o, nel caso di uno studente di età inferiore ai 18 anni e che non frequenti un istituto di studi superiori, al genitore dello studente) l’eventuale ordine di comparizione in tribunale o ordinanza legalmente emanata che richieda la divulgazione dei Dati della Società e dei Dati dei Servizi Professionali in possesso di Microsoft in conformità alla legge applicabile.
Contratto della Società per CJIS
Microsoft eroga determinati servizi cloud per enti pubblici (“Servizi Coperti”) in conformità ai Criteri di Sicurezza dell’FBI Criminal Justice Information Services (“CJIS”) (“Criteri CJIS”). I Criteri CJIS disciplinano l’utilizzo e la trasmissione dei dati in ambito di giustizia penale. Tutti i Servizi Coperti CJIS di Microsoft verranno disciplinati dalle condizioni del Contratto della Società per CJIS disponibile qui: xxxx://xxx.xx/XXXXXxxxxxxxXxxxxxxxx.
Società in Affari HIPPA
Qualora la Società sia una “persona giuridica con copertura” o una “società in affari” e includa “informazioni sanitarie protette” nei Dati della Società o nei Dati dei Servizi Professionali, secondo la definizione riportata nella legge Health Insurance Portability and Accountability (Portabilità e Responsabilità in materia di Assicurazione Sanitaria) del 1996, e relative modifiche, e nei regolamenti approvati in tale ambito (collettivamente, “HIPAA”), la sottoscrizione del contratto multilicenza della Società comprende la sottoscrizione del Contratto di Società in Affari HIPAA (“BAA”),
il cui testo integrale identifica i Servizi Online o i Servizi Professionali cui si applica ed è disponibile all’indirizzo xxxx://xxx.xx/XXX. La Società potrà rifiutare esplicitamente il contratto BAA, inviando a Microsoft una comunicazione scritta con le seguenti informazioni, ai sensi delle condizioni del contratto multilicenza della Società:
• la ragione sociale completa della Società e dell’eventuale Consociata che ha deciso di rifiutarle e
• nel caso in cui la Società abbia sottoscritto più contratti multilicenza, il contratto multilicenza cui si applica il rifiuto.
California Consumer Privacy Act (CCPA)
Qualora Microsoft tratti i Dati Personali nell’ambito di validità del CCPA, si assumerà, nei confronti della Società, gli impegni aggiuntivi che seguono. Microsoft tratterà i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali per conto della Società e non conserverà, utilizzerà né divulgherà tali dati per scopi diversi da quelli stabiliti nelle Condizioni dell’Addendum e in base a quanto consentito ai sensi del CCPA, incluso
ai sensi di eventuali esenzioni di “vendita”. In nessun caso Microsoft venderà tali dati. Le presenti Condizioni del CCPA non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni dell’Addendum, nelle Condizioni per l’Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la Società.
Dati Biometrici
La Società, che utilizza i Prodotti e i Servizi per trattare i Dati Biometrici, dovrà: (i) comunicarlo agli interessati, in particolare per ciò che concerne i periodi di conservazione e la distruzione dei dati; (ii) ottenere il consenso degli interessati e (iii) eliminare i Dati Biometrici, il tutto nella modalità
appropriata e necessaria in base ai Requisiti applicabili relativi alla Protezione dei Dati Personali. Microsoft tratterà tali Dati Biometrici attenendosi alle istruzioni documentate della Società (secondo quanto descritto nel precedente Articolo “Ruoli e Responsabilità del Titolare e del Responsabile del Trattamento”) e proteggerà tali Dati Biometrici in conformità alle condizioni per la protezione e la sicurezza dei dati prevista dal presente Addendum. Ai fini dell’interpretazione del presente Articolo, “Dati Biometrici” avrà il significato stabilito nell’Articolo 4 del GDPR e, a seconda
dei casi, di termini equivalenti in altri Requisiti Relativi alla Protezione dei Dati Personali.
Servizi Professionali Supplementari
Quando viene utilizzata negli Articoli elencati di seguito, la definizione “Servizi Professionali” include i Servizi Professionali Supplementari e la definizione “Dati dei Servizi Professionali” include i dati acquisiti per i Servizi Professionali Supplementari.
Per quanto riguarda i Servizi Professionali Supplementari, i seguenti Articoli dell’Addendum si applicano allo stesso modo in cui si applicano ai Servizi Professionali: “Introduzione”, “Conformità alle Leggi”, “Natura del Trattamento; Titolarità”, “Divulgazione dei Dati Trattati”,
“Trattamento dei Dati Personali; GDPR”, il primo paragrafo di “Procedure e Criteri di Sicurezza”, “Responsabilità della Società”, “Comunicazione di Eventi Imprevisti relativi alla Protezione”, “Trasferimento dei Dati” (incluse le condizioni relative alle Clausole Contrattuali Tipo 2010 e alle Clausole Contrattuali Tipo 2021), il terzi paragrafo di “Conservazione ed Eliminazione dei Dati”, “Impegno di Riservatezza del Responsabile del Trattamento”, “Comunicazione e Controlli relativi all’Impiego di Altri Responsabili del Trattamento”, “Società in Affari HIPPA” (nella misura applicabile al contratto BAA), “California Consumer Privacy Act (CCPA)”, “Dati Biometrici”, “Come Contattare Microsoft”, “Appendice B – Interessati e Categorie di Dati Personali” e “Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive”.
Come Contattare Microsoft
Qualora la Società ritenga che Microsoft non adempia ai propri impegni di tutela della protezione dei dati personali o di sicurezza, potrà contattare il supporto tecnico o utilizzare il modulo Web relativo al Diritto alla Protezione dei Dati Personali, disponibile all’indirizzo xxxx://xx.xxxxxxxxx.xxx/?xxxxxxx0000000. L’indirizzo postale di Microsoft è:
Microsoft Enterprise Service Privacy
Microsoft Corporation One Microsoft Way
Redmond, Washington 98052 USA
Microsoft Ireland Operations Limited è la società Microsoft incaricata della protezione dei dati personali provenienti dallo Spazio Economico Europeo e dalla Svizzera. Il rappresentante di Microsoft Ireland Operations Limited in materia di protezione dei dati personali è raggiungibile al seguente indirizzo:
Microsoft Ireland Operations, Ltd.
Attn: Data Protection Xxx Xxxxxxxxx Xxxxx
Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxxxxxxxxx
Xxxxxx 00, X00 X000, Xxxxxxx
Sommario / Condizioni Generali
Appendice A. Misure di Sicurezza
Microsoft ha adottato e garantirà, per i Dati della Società nei Servizi Online Core e per i Dati dei Servizi Professionali, le seguenti misure di sicurezza che, unitamente agli impegni di tutela della sicurezza contenuti nel presente Addendum (incluse le Condizioni del GDPR) costituiscono l’unica responsabilità di Microsoft relativamente alla protezione di tali dati.
Dominio | Procedure |
Organizzazione della Sicurezza delle Informazioni | Titolarità della sicurezza. Microsoft ha nominato uno o più funzionari addetti alla sicurezza, responsabili del coordinamento e del monitoraggio delle regole e delle procedure di sicurezza. Ruoli e responsabilità per la sicurezza. Il personale Microsoft con accesso ai Dati della Società e ai Dati dei Servizi Professionali è soggetto a obbligazioni di riservatezza. Programma di gestione dei rischi. Microsoft ha effettuato una valutazione dei rischi prima di trattare i Dati della Società o di avviare il servizio dei Servizi Online e prima di trattare i Dati dei Servizi Professionali o di avviare i Servizi Professionali. I documenti relativi alla sicurezza che non sono più in vigore vengono conservati da Microsoft in conformità ai requisiti di conservazione stabiliti. |
Gestione delle Risorse | Inventario delle risorse. Microsoft gestisce un inventario di tutti i supporti di memorizzazione sui quali sono archiviati i Dati della Società o i Dati dei Servizi Professionali. L’accesso agli inventari di tali supporti di memorizzazione è limitato al personale Microsoft in possesso dell’autorizzazione scritta. Gestione delle Risorse - Microsoft classifica i Dati della Società e i Dati dei Servizi Professionali per facilitarne l’identificazione e limitarne l’accesso in modo appropriato. - Microsoft impone limitazioni sulla stampa dei Dati della Società e dei Dati dei Servizi Professionali e adotta procedure per l’eliminazione del materiale stampato contenente tali dati. - Il personale Microsoft dovrà ottenere l’autorizzazione di Microsoft prima di archiviare i Dati della Società o i Dati dei Servizi Professionali su dispositivi portatili, accedere a tali dati in modalità remota o trattarli all’esterno delle strutture Microsoft. |
Sicurezza delle Risorse Umane | Formazione relativa alla sicurezza. Microsoft informa il proprio personale sulle procedure di sicurezza pertinenti e sui ruoli dei membri del personale stesso. Microsoft informa inoltre il proprio personale sulle possibili conseguenze dell’essere inadempiente alle regole e alle procedure di sicurezza. Microsoft utilizza solo dati anonimi nelle attività di formazione. |
Sicurezza Fisica e Ambientale | Accesso fisico alle strutture. Microsoft consente solo a persone fisiche identificate e autorizzate l’accesso alle strutture in cui sono situati i sistemi informativi per il trattamento dei Dati della Società o dei Dati dei Servizi Professionali. Accesso fisico ai componenti. Microsoft gestisce record dei supporti di memorizzazione in entrata e in uscita contenenti i Dati della Società e i Dati dei Servizi Professionali, tra cui i tipi e il numero di supporti di memorizzazione, il mittente e i destinatari autorizzati, la data e l’ora e i tipi dei suddetti dati contenuti. Protezione dalle interruzioni di alimentazione e comunicazione. Microsoft utilizza diversi sistemi standard del settore per impedire la perdita di dati causata dall’interruzione della fornitura di energia elettrica o da interferenze sulla linea. Eliminazione di componenti. Microsoft utilizza processi standard del settore per eliminare i Dati della Società e i Dati dei Servizi Professionali che non sono più necessari. |
Gestione delle Comunicazioni e delle Operazioni | Criteri operativi. Microsoft gestisce documenti sulla sicurezza in cui vengono descritte le misure adottate, nonché le procedure e le responsabilità specifiche del proprio personale che accede ai Dati della Società e ai Dati dei Servizi Professionali. Procedure di Ripristino dei Dati - In modo continuativo e comunque non meno di una volta alla settimana, tranne nel caso in cui nel periodo non vi siano stati aggiornamenti, Microsoft gestisce più copie dei Dati della Società e dei Dati dei Servizi Professionali da cui ripristinare i dati stessi. - Microsoft archivia le copie dei Dati della Società e dei Dati dei Servizi Professionali e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali di trattamento dei Dati della Società e dei Dati dei Servizi Professionali. |
Dominio | Procedure |
- Microsoft ha adottato procedure specifiche che disciplinano l’accesso alle copie dei Dati della Società e dei Dati dei Servizi Professionali. - Microsoft rivede le procedure di ripristino dei dati almeno una volta ogni sei mesi, ad eccezione delle procedure per il ripristino dei dati dei Servizi professionali e dei Servizi di Azure per Enti Pubblici che vengono riviste ogni dodici mesi. - Microsoft registra le operazioni di ripristino dei dati, includendo il nominativo della persona responsabile, la descrizione dei dati ripristinati e, a seconda dei casi, il nominativo della persona responsabile e gli eventuali dati per i quali è stato necessario l’inserimento manuale nel processo di ripristino. Software dannoso. Microsoft effettua controlli antimalware per impedire l’accesso non autorizzato ai Dati della Società e ai Dati dei Servizi Professionali da parte di software dannoso, incluso quello proveniente da reti pubbliche. Dati Esterni ai Limiti - Microsoft crittografa o consente alla Società di crittografare i Dati della Società e i Dati dei Servizi Professionali trasmessi su reti pubbliche. - Microsoft limita l’accesso ai Dati della Società e ai Dati dei Servizi Professionali contenuti nei supporti di memorizzazione che escono dalle proprie strutture. Registrazione di eventi. Microsoft registra, o consente alla Società di registrare, l’accesso o l’utilizzo dei sistemi informativi che contengono i Dati della Società o i Dati dei Servizi Professionali, registrano l’ID di accesso, l’ora, l’autorizzazione concessa o negata e l’attività specifica. | |
Controllo dell’Accesso | Criteri di accesso. Microsoft conserva un record dei privilegi di sicurezza delle persone fisiche che accedono ai Dati della Società o ai Dati dei Servizi Professionali. Autorizzazione all’Accesso - Microsoft conserva e aggiorna un record del personale autorizzato ad accedere ai sistemi Microsoft che contengono i Dati della Società o i Dati dei Servizi Professionali. - Microsoft disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo minimo di sei mesi. - Microsoft indica i membri del personale che potranno concedere, modificare o annullare l’accesso autorizzato a dati e risorse. - Microsoft garantisce che laddove più persone fisiche abbiano accesso a sistemi contenenti i Dati della Società o i Dati dei Servizi Professionali, tali persone fisiche abbiano identificatori/accessi specifici. Privilegi Minimi - Il personale del supporto tecnico viene autorizzato ad accedere ai Dati della Società e ai Dati dei Servizi Professionali esclusivamente in caso di necessità. - Microsoft limita l’accesso ai Dati della Società e ai Dati dei Servizi Professionali alle sole persone fisiche che ne hanno necessità per svolgere le proprie mansioni lavorative. Integrità e Riservatezza - Microsoft istruisce il proprio personale affinché disattivi le sessioni amministrative prima di uscire dalle sedi che controlla o in ogni caso quando i computer vengono lasciati incustoditi. - Microsoft archivia le password in modo tale da renderle incomprensibili mentre sono valide. Autenticazione - Microsoft utilizza procedure standard del settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informativi. - Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede il rinnovo regolare delle password. - Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede che la password contenga almeno otto caratteri. - Microsoft garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altre persone fisiche. - Microsoft controlla o consente alla Società di monitorare i tentativi ripetuti di ottenere l’accesso al sistema informativo utilizzando una password non valida. |
Dominio | Procedure |
- Microsoft conserva procedure standard del settore per disattivare le password danneggiate o divulgate inavvertitamente. - Microsoft utilizza procedure standard del settore per la protezione delle password, incluse le procedure volte a garantire la riservatezza e l’integrità delle password quando vengono assegnate e distribuite e durante l’archiviazione. Progettazione della Rete. Microsoft dispone di controlli per impedire a persone fisiche di riconoscersi diritti che non sono stati loro ceduti allo scopo di accedere ai Dati della Società o ai Dati dei Servizi Professionali in modo non autorizzato. | |
Gestione degli Eventi Imprevisti relativi alla Protezione delle Informazioni | Procedura di Risposta agli Eventi Imprevisti - Microsoft conserva una registrazione degli inadempimenti alla sicurezza con una descrizione dell’inadempimento, il periodo, le conseguenze dell’inadempimento, il nome di chi ha effettuato la segnalazione, a chi è stato segnalato, nonché la procedura adottata per il ripristino dei dati. - Per ogni inadempimento delle obbligazioni di protezione che origina un Evento Imprevisto relativo alla Protezione, Microsoft (come descritto al precedente Articolo “Comunicazione di Eventi Imprevisti relativi alla Protezione”) invierà una comunicazione, senza ritardo irragionevole e, in ogni caso, entro 72 ore. - Microsoft registra, o consente alla Società di registrare, divulgazioni di Dati della Società o di Dati dei Servizi Professionali, inclusi il tipo di dati divulgati, il destinatario e l’ora. Monitoraggio del servizio. Il personale Microsoft addetto alla sicurezza verifica i registri almeno una volta ogni sei mesi per proporre, ove necessario, iniziative di correzione. |
Gestione della Continuità Aziendale | - Microsoft conserva piani di emergenza e contingenza per le strutture in cui sono situati i propri sistemi informativi per il trattamento dei Dati della Società o dei Dati dei Servizi Professionali. - Il sistema di archiviazione con ridondanza e le procedure di Microsoft per il ripristino dei dati sono progettati per tentare di riportare i Dati della Società e i Dati dei Servizi Professionali nello stato in cui si trovavano o nell’ultimo stato replicato prima di andare persi o distrutti. |
Sommario / Condizioni Generali
Appendice B - Interessati e Categorie di Dati Personali
Interessati: gli interessati includono i rappresentanti della Società e gli utenti finali, tra cui dipendenti, appaltatori, collaboratori e clienti della Società. Tra gli interessati potranno anche essere inclusi coloro che tentano di comunicare o trasferire dati personali a utenti dei servizi erogati da Microsoft. Microsoft dà atto che, in base all’utilizzo dei Prodotti e dei Servizi da parte della Società, quest’ultima potrà scegliere di includere i dati personali di uno dei seguenti tipi di interessati nei dati personali:
• dipendenti, appaltatori e lavoratori temporanei (correnti, precedenti, futuri) dell’esportatore;
• dipendenti dei tipi indicati sopra;
• collaboratori/persone di contatto (persone fisiche) o dipendenti dell’esportatore, appaltatori o lavoratori temporanei di collaboratori/persone di contatto (correnti, precedenti, futuri) di persone giuridiche;
• utenti (ad esempio clienti, pazienti, visitatori e così via) e altri Interessati che sono utenti dei servizi dell’esportatore;
• partner, stakeholder o persone fisiche che collaborano, comunicano o in altro modo interagiscono attivamente con i dipendenti dell’esportatore e/o utilizzano strumenti di comunicazione, come app e siti Web resi disponibili dall’esportatore;
• stakeholder o persone fisiche che interagiscono passivamente con l’esportatore, ad esempio perché oggetto di un’indagine o di una ricerca o perché menzionati in documenti o nella corrispondenza inviata o ricevuta dall’esportatore;
• minori o
• professionisti con privilegi, ad esempio dottori, avvocati, notai, religiosi e così via.
Categorie di dati: i dati personali trasferiti inclusi in messaggi e-mail, documenti e altri dati in formato elettronico nel contesto dei prodotti e dei Servizi. Microsoft dà atto che, in base all’utilizzo dei Prodotti e dei Servizi da parte della Società, quest’ultima potrà scegliere di includere i dati personali di una delle seguenti categorie nei dati personali:
• dati personali di base, ad esempio luogo di nascita, indirizzo e numero civico, codice postale o CAP, città di residenza, paese di residenza, numero di cellulare, nome, cognome, iniziali, indirizzo e-mail, sesso e data di nascita, inclusi dati personali di base su membri della famiglia e figli;
• dati di autenticazione, ad esempio nome utente, password o codice PIN, domanda di sicurezza, audit trail;
• informazioni di contatto, ad esempio indirizzi, indirizzi e-mail, numeri di telefono, ID di social media e dettagli di contatto di emergenza;
• numeri e chiavi di identificazione univoci, ad esempio codice fiscale, numero di conto corrente bancario, numero di passaporto e carta d’identità, numero di patente e dati di registrazione del veicolo, indirizzi IP, matricola dipendente, matricola studente, numero paziente, firma, identificatore univoco per cookie o tecnologie simili;
• pseudonimi;
• informazioni finanziarie e assicurative, ad esempio numero di assicurazione, nome e numero del conto corrente bancario, nome e numero della carta di credito, numero fattura, reddito, tipo di assicurazione, metodo di pagamento e affidabilità ai fini di concessioni di credito;
• informazioni commerciali, ad esempio cronologia degli acquisti, offerte speciali, informazioni sottoscrizioni e cronologia dei pagamenti;
• informazioni biometriche, ad esempio DNA, impronte digitali e scansioni dell’iride;
• dati relativi all’ubicazione, ad esempio ID del cellulare, dati della rete per geolocalizzazione, individuazione ubicazione tramite inizio/fine chiamata. I dati relativi all’ubicazione si ottengono dall’uso di punti di accesso Wi-Fi;
• foto, video e audio;
• attività Internet, ad esempio cronologia esplorazioni, cronologia di ricerca e attività di lettura, visualizzazione di programmi televisivi, ascolto radio;
• identificazione del dispositivo, ad esempio numero IMEI, numero della scheda SIM e indirizzo MAC;
• profiling, ad esempio in base a comportamento antisociale o criminale osservato o profili con pseudonimo basati su URL visitati, flussi di clic, registri esplorazioni, indirizzi IP, domani, app installate o profili basasi su preferenze di marketing;
• dati per risorse umane e selezione del personale, ad esempio dichiarazione dello stato lavorativo, informazioni per la selezione,
come curriculum vitae, esperienze lavorative e dettagli del percorso formativo, dati relativi a impiego e posizione, inclusi ore lavorate,
valutazioni e stipendio, dettagli del permesso di lavoro, disponibilità, condizioni di impiego, dettagli fiscali, dettagli di pagamento, dettagli dell’assicurazione, nonché ubicazione e organizzazioni;
• dati relativi alla formazione, ad esempio percorso formativo, formazione corrente, diplomi e voti, titolo di studio conseguito, disturbi di apprendimento;
• informazioni su cittadinanza e residenza, ad esempio cittadinanza, stato di naturalizzazione, stato civile, nazionalità, stato di immigrazione, dati del passaporto, dettagli di residenza o permesso di lavoro;
• informazioni trattate in relazione alle prestazioni di un’attività eseguita nel pubblico interesse o nell’esercizio dell’autorità di pubblico ufficiale;
• categorie speciali di dati, ad esempio informazioni sull’origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza a sindacati, dati genetici, dati biometrici al fine dell’identificazione di una persona fisica, dati relativi allo stato di salute, dati relativi alla vita o all’orientamento sessuali di una persona fisica o dati relativi a condanne o reati criminali commessi o
• qualunque dato personale identificato all’Articolo 4 del GDPR.
Appendice C - Addendum relativo alle Misure di Sicurezza Aggiuntive
Con il presente Addendum relativo alle Misure di Sicurezza Aggiuntive che integra l’Addendum (il presente “Addendum”), Microsoft offre misure di sicurezza aggiuntive alla Società per il trattamento dei dati personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società e un ulteriore risarcimento agli interessati ai quali si riferiscono tali dati personali.
Il presente Addendum integra, senza costituirne una variazione né una modifica, l’Addendum e ne fa parte.
1. Problemi relativi agli Ordini. Nell’eventualità che Microsoft sia costretta da un ordine di un terzo a divulgare dati personali che sono stati trattati ai sensi del presente Addendum, dovrà:
a. porre in essere ogni sforzo ragionevole per reindirizzare tale terzo a richiedere i dati direttamente alla Società;
b. comunicare tempestivamente alla Società, tranne nell’eventualità in cui tale comunicazione sia vietata ai sensi della legge applicabile
al terzo richiedente, e, in tal caso, porre in essere tutti gli sforzi ragionevoli per ottenere il diritto di deroga al divieto allo scopo di fornire quante più informazioni possibili alla Società e
c. porre in essere tutti gli sforzi legittimi per contestare l’ordine di divulgazione in base a carenze giuridiche ai sensi delle leggi della parte richiedente o di eventuali discrepanze pertinenti con la legge applicabile dell’Unione Europea o la legge applicabile dello Stato Membro.
Qualora, dopo i passaggi descritti sopra da a. a c., Microsoft o una delle sue consociate continui a essere costretta a divulgare i dati personali, Microsoft divulgherà solo la quantità minima di tali dati necessaria a soddisfare l’ordine di divulgazione.
Ai fini dell’interpretazione del presente Xxxxxxxx, gli sforzi legittimi non includono azioni che potrebbero essere punibili con sanzioni civili o penali, come l’oltraggio alla corte ai sensi delle leggi della giurisdizione competente.
2. Indennizzo degli Interessati. In ottemperanza agli Articoli 3 e 4, Microsoft dovrà indennizzare un interessato in caso di danni sostanziali
o non sostanziali causati allo stesso per averne divulgato i dati personali che sono stati trasferiti in risposta a un ordine di un’autorità giudiziaria
o di polizia oppure di un ente pubblico non appartenente all’Unione Europea o allo Spazio Economico Europeo in violazione delle obbligazioni di Microsoft ai sensi del Capitolo V del GDPR (una “Divulgazione Pertinente”). Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l’interessato ai sensi del presente Articolo 2 nella misura in cui l’interessato abbia già ricevuto un risarcimento per lo stesso danno, sia da Microsoft che in altro modo.
3. Condizioni per l’Indennizzo. L’Indennizzo ai sensi dell’Articolo 2 è condizionato al fatto che l’interessato stabilisca, con ragionevole soddisfazione di Microsoft, che:
a. Microsoft si è impegnato in una Divulgazione Pertinente;
b. la Divulgazione Pertinente ha costituito il fondamento di un procedimento ufficiale da parte dell’autorità giudiziaria o di polizia oppure dell’ente pubblico EEA o non appartenente all’UE nei confronti dell’interessato e
c. la Divulgazione Pertinente ha direttamente causato danni sostanziali o non sostanziali all’interessato. All’interessato spetta l’onere della prova riguardo alle condizioni da a. a c.
Nonostante quanto sopra, Microsoft non sarà obbligata a indennizzare l’interessato ai sensi dell’Articolo 2 nel caso in cui Microsoft stabilisca che la Divulgazione Pertinente non abbia violato le sue obbligazioni ai sensi del Capitolo V del GDPR.
4. Portata dei Danni. L’Indennizzo ai sensi dell’Articolo 2 si limita ai danni sostanziali e non sostanziali stabiliti nel GDPR ed esclude i danni consequenziali e tutti gli altri danni che non derivano dalla violazione del GDPR da parte di Microsoft.
5. Esercizio dei Diritti. L’interessato potrà far rispettare a Microsoft i diritti concessi agli interessati ai sensi del presente Addendum senza tenere conto di eventuali restrizioni nella Clausola 3 o 6 delle Clausole Contrattuali Tipo. L’interessato potrà proporre un reclamo ai sensi del presente Addendum solo su base individuale e non nell’ambito di un’azione di categoria, collettiva, di gruppo o di rappresentanza. I diritti concessi agli interessati nel presente Addendum sono personali e non potranno essere ceduti.
6. Comunicazione di Modifica. Microsoft accetta e garantisce di non avere motivo di ritenere che la normativa applicabile a se stessa o ai suoi altri responsabili del trattamento, anche nei paesi in cui provvede direttamente al trasferimento dei dati personali o dove tale operazione viene eseguita da un altro responsabile del trattamento, le impedisca di seguire le istruzioni dell’esportatore e di adempiere alle obbligazioni del presente Addendum, delle Clausole Contrattuali Tipo 2010 o della Clausole Contrattuali Tipo 2021 e di comunicare alla Società, non appena
ne abbia conoscenza, qualsiasi modifica di tale normativa che possa pregiudicare le garanzie e le obbligazioni previste dal presente Addendum
o dalle Clausole Contrattuali Tipo, nel qual caso la Società ha facoltà di sospendere il trasferimento dei dati e/o di risolvere il contratto.
7. Risoluzione. Il presente Addendum si risolverà automaticamente qualora la Commissione Europea, un’autorità di controllo degli Stati Membri o un tribunale competente degli Stati Membri o dell’Unione Europea approvi un altro meccanismo legittimo di trasferimento da applicare
ai trasferimenti dei dati personali nei Dati della Società, nei Dati dei Servizi Professionali o in altri Dati Personali trattati ai sensi dell’Addendum (e qualora tale meccanismo si applichi solo ad alcuni di tali dati, il presente Addendum si risolverà solo per quei dati) e tale meccanismo non richieda le misure di sicurezza aggiuntive stabilite nel presente Addendum.
Allegato 1: Condizioni Contrattuali Standard 2010 (Responsabili del trattamento)
La sottoscrizione del contratto multilicenza da parte della Società include la sottoscrizione del presente Allegato 1, che è controfirmato da Microsoft Corporation. Il presente Allegato 1 è in aggiunta alle Clausole Contrattuali Tipo 2021 sottoscritte da Microsoft. Nell’eventualità di una discrepanza tra il presente Allegato e le Clausole Contrattuali Tipo 2021, la discrepanza dovrà essere risolta in modo da garantire un adeguato livello di protezione dei dati personali per quanto riguarda i Dati della Società, i Dati dei Servizi Professionali e i Dati Personali ai sensi della legge applicabile. Nei paesi in cui è richiesta l’approvazione normativa per l’utilizzo delle Clausole Contrattuali Tipo, esse non potranno essere richiamate ai sensi della Decisione della Commissione europea 2010/87/UE del febbraio 2010 per legittimare l’esportazione di dati dal paese, salvo laddove
la Società disponga della necessaria approvazione normativa.
A decorrere dal 25 maggio 2018, i riferimenti ai vari Articoli della Direttiva 95/46/CE nelle Clausole Contrattuali Tipo riportate di seguito verranno trattati come riferimenti agli Articoli specifici e appropriati del GDPR.
Ai sensi dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali verso paesi terzi che non garantiscono un livello adeguato di protezione dei dati personali, la Società (in quanto esportatore) e Microsoft Corporation (in quanto importatore, la cui firma è riportata di seguito), ciascuna singolarmente una “parte” e collettivamente “le parti”, accettano le seguenti Clausole Contrattuali (le “Clausole” o “Clausole Contrattuali Tipo”) al fine di prevedere adeguate misure di sicurezza per la protezione dei dati personali nonché dei diritti fondamentali e delle libertà delle persone fisiche relativamente al trasferimento dei dati personali specificati nell’Appendice 1 dall’esportatore all’importatore.
Clausola 1. Definizioni
(a) i termini “dati personali”, “categorie particolari di dati”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “interessato/persona interessata” e “autorità di controllo” hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
(b) “esportatore” indica il responsabile del trattamento che trasferisce i dati personali;
(c) “importatore” indica il responsabile del trattamento che accetta di ricevere dall’esportatore i dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché in conformità alle presenti Clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’Articolo 25, paragrafo 1, della direttiva 95/46/CE;
(d) “altro responsabile del trattamento” indica qualunque responsabile del trattamento designato dall’importatore o da un diverso altro responsabile del trattamento che s’impegni a ricevere dall’importatore o da un diverso altro responsabile del trattamento dei dati personali
al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore dopo il trasferimento in conformità alle relative istruzioni, nonché delle clausole e delle condizioni del subcontratto scritto;
(e) “normativa applicabile sulla protezione dei dati personali” indica la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento dei dati personali, applicabile ai responsabili del trattamento nello Stato Membro in cui ha sede l’esportatore;
(f) “misure di tecniche e organizzative di sicurezza” indica le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzato, segnatamente quando
il trattamento comporta trasmissioni di dati su una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali.
Clausola 2. Particolari del trasferimento
I dettagli del trasferimento e in particolare le categorie speciali di dati personali, a seconda dei casi, sono indicati nell’Appendice 1 che segue e costituisce parte integrante delle Clausole.
Clausola 3. Clausola del terzo beneficiario
1. L’interessato può far valere nei confronti dell’esportatore la presente Xxxxxxxx, la Clausola 4 da (b) a (i), la Clausola 5 da (a) a (e) e da (g) a (j), la Clausola 6, paragrafi 1 e 2, la Clausola 7, la Clausola 8, paragrafo 2 e le Clausole da 9 a 12 in qualità di terzo beneficiario.
2. L’interessato può far valere, nei confronti dell’importatore, la presente Xxxxxxxx, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7,
la Clausola 8, paragrafo 2 e le Clausole da 9 a 12 qualora l’esportatore sia di fatto scomparso o abbia giuridicamente cessato di esistere, a meno che tutte le obbligazioni dell’esportatore non siano state trasferite, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e le obbligazioni dell’esportatore, nel qual caso l’interessato può far valere le suddette Xxxxxxxx nei confronti del successore tale persona giuridica.
3. L’interessato può far valere nei confronti dell’altro responsabile la presente Xxxxxxxx, la Clausola 5, lettere da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8, paragrafo 2 e le Clausole da 9 a 12, qualora sia l’esportatore sia l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano diventati insolventi, a meno che tutte le obbligazioni dell’esportatore siano state trasferite, per
contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e le obbligazioni dell’esportatore, nel qual caso l’interessato può far valere le suddette Xxxxxxxx nei confronti del successore. La responsabilità civile dell’altro responsabile del trattamento è limitata ai trattamenti da egli effettuati ai sensi delle presenti Clausole.
4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà e sia ammessa dalla legislazione nazionale.
Clausola 4. Obbligazioni dell’esportatore
L’esportatore dichiara e garantisce:
(a) che il trattamento, compreso il trasferimento, dei dati personali, è stato e continuerà a essere effettuato in conformità a tutte le disposizioni pertinenti della normativa applicabile sulla protezione dei dati personali (e, a seconda dei casi, è stato comunicato alle autorità competenti dello Stato Membro in cui ha sede l’esportatore) e nel pieno rispetto delle disposizioni specifiche di quello Stato;
(b) di avere prescritto all’importatore, e che continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti solo a suo nome e in conformità alla normativa applicabile sulla protezione dei dati personali e alle Clausole;
(c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’Appendice 2 che segue;
(d) che, alla luce della normativa applicabile sulla protezione dei dati personali, le misure di protezione sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzato, segnatamente quando il trattamento comporta trasmissioni di dati su una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione;
(e) che garantirà la conformità alle misure di protezione;
(f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento,
o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della Direttiva 95/46/CE;
(g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dall’altro responsabile del trattamento ai sensi della Clausola 5, lettera b e della Clausola 8, Paragrafo 3, qualora l’importatore decida di proseguire il trasferimento o revocare la sospensione;
(h) che fornirà, su richiesta degli interessati, copia delle presenti Clausole, esclusa l’Appendice 2, e una descrizione generale delle misure di protezione, nonché copia dei subcontratti aventi oggetto il trattamento da effettuarsi in conformità alle presenti Clausole, omettendo le informazioni commerciali eventualmente contenute nelle Clausole o nel contratto;
(i) che, in caso di subcontratto, l’altro responsabile del trattamento svolge l’attività in conformità alla Clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti Clausole e
(j) che garantirà la conformità alle Clausola 4, lettere da (a) a (i).
Clausola 5. Obbligazioni dell’importatore
L’importatore dichiara e garantisce:
(a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti Clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
(b) di non avere motivo di ritenere che la normativa a esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere alle obbligazioni contrattuali e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e le obbligazioni previste dalle presenti Clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
(c) di aver applicato le misure tecniche e organizzative di protezione indicate nell’Appendice 2 prima di procedere al trattamento dei dati personali trasferiti;
(d) che comunicherà prontamente all’esportatore:
(i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini,
(ii) qualsiasi accesso accidentale o non autorizzato e
(iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
(e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
(f) che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;
(g) che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’Appendice 2, e una descrizione generale delle misure di protezione qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle Clausole o nel contratto;
(h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;
(i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;
(j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti Clausole.
Clausola 6. Responsabilità
1. Le parti convengono che l’interessato, che abbia subito un pregiudizio per inadempimento delle obbligazioni di cui alla Clausola 3 o alla Clausola 11 a opera di una parte, o l’altro responsabile del trattamento abbia diritto di ottenere dall’esportatore il risarcimento del pregiudizio.
2. Qualora l’interessato non sia in grado di proporre un reclamo per il risarcimento in conformità al paragrafo 1 nei confronti dell’esportatore per inadempimento di una delle obbligazioni di cui alla Clausola 3 o alla Clausola 11 a opera dell’importatore o dell’altro responsabile del trattamento, in quanto l’esportatore è di fatto scomparso, ha giuridicamente cessato di esistere o è divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutte le obbligazioni dell’esportatore non siano state trasferite, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore.
L’importatore non può far valere l’inadempimento delle obbligazioni a opera dell’altro responsabile del trattamento al fine di escludere la propria responsabilità.
3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per inadempimento di una delle obbligazioni di cui alla Clausola 3 o alla Clausola 11 a opera dell’altro responsabile del trattamento, in quanto sia l’esportatore che l’importatore sono di fatto scomparsi, hanno giuridicamente cessato di esistere o sono divenuti insolventi, l’altro responsabile del trattamento riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti dal medesimo effettuati ai sensi delle presenti Clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutte le obbligazioni dell’esportatore o dell’importatore non siano state trasferite, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità dell’altro responsabile del trattamento è limitata ai trattamenti dal medesimo effettuati ai sensi delle presenti Clausole.
Clausola 7. Mediazione e giurisdizione
1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:
(a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo;
(b) di deferire la controversia ai tribunali dello Stato Membro in cui ha sede l’esportatore.
2. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.
Clausola 8. Collaborazione con le autorità di controllo
1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa applicabile sulla protezione dei dati personali.
2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e gli altri responsabili del trattamento nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa applicabile sulla protezione dei dati personali.
3. L’importatore informerà prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o agli altri responsabili del trattamento, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla Clausola 5 (b).
Clausola 9. Legge Applicabile.
Le presenti Clausole sono soggette alla legge dello Stato Membro in cui ha sede l’esportatore.
Clausola 10. Modifica del contratto
Le parti si impegnano a non alterare o modificare le presenti Clausole. Ciò non osta a che le parti inseriscano altre clausole commerciali ritenute necessarie, purché non siano in contrasto con la Clausola.
Clausola 11. Subcontratto
1. L’importatore non può subappaltare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti Clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione delle obbligazioni ai sensi delle presenti Clausole stipula, a tal fine, con l’altro responsabile del trattamento un contratto scritto che imponga a quest’ultimo le obbligazioni cui è egli stesso tenuto in virtù delle Clausole. L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte dell’altro responsabile del trattamento, delle obbligazioni in materia di protezione dei dati personali previste dal contratto scritto.
2. Nel precedente contratto scritto tra l’importatore e l’altro responsabile del trattamento è inserita la clausola del terzo beneficiario, di cui
alla Clausola 3, a favore dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla Clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore sono entrambi di fatto scomparsi, hanno giuridicamente cessato di esistere o sono divenuti insolventi e nessun successore ha assunto, per contratto o per legge, l’insieme delle loro obbligazioni. La responsabilità civile dell’altro responsabile del trattamento è limitata ai trattamenti da egli effettuati ai sensi delle presenti Clausole.
3. Le disposizioni sulla protezione dei dati personali ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato Membro in cui ha sede l’esportatore.
4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti Clausole e comunicati dall’importatore a norma della Clausola 5, lettera (j) e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.
Clausola 12. Obbligazioni al termine dell’attività di trattamento dei dati personali
1. Le parti convengono che al termine dell’erogazione dei servizi relativi al trattamento l’importatore e l’altro responsabile del trattamento provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie oppure a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che le obbligazioni di legge impediscano di restituire o distruggere in toto o in parte i dati personali trasferiti. In tal caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.
2. L’importatore e l’altro responsabile del trattamento si impegnano a sottoporre a controllo i propri impianti per il trattamento dei dati su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.
Appendice 1 alle Clausole Contrattuali Tipo
Esportatore: la Società è l’esportatore. L’esportatore è un utente di Prodotti o Servizi Professionali secondo la definizione fornita nell’Addendum e nelle Condizioni per l’Utilizzo dei Prodotti.
Importatore: l’importatore è MICROSOFT CORPORATION, produttore globale di software e servizi.
Interessati: gli interessati includono i rappresentanti dell’esportatore e gli utenti finali, tra cui dipendenti, appaltatori, collaboratori e società dell’esportatore, come illustrato in dettaglio nell’Appendice B dell’Addendum.
Categorie di dati: i dati personali trasferiti inclusi in messaggi e-mail, documenti e altri dati in formato elettronico nel contesto dei Prodotti o dei Servizi Professionali. Microsoft dà atto che, in base all’utilizzo dei Prodotti o dei Servizi Professionali da parte della Società, quest’ultima potrà scegliere di includere i dati personali di una delle seguenti categorie illustrate in dettaglio nell’Appendice B dell’Addendum.
Trattamento: i dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento:
a. Durata e oggetto del trattamento dei dati. La durata del trattamento dei dati coinciderà con il periodo di validità stabilito ai sensi del contratto multilicenza applicabile stipulato tra l’esportatore e la persona giuridica Microsoft al quale sono allegate tali Clausole Contrattuali Tipo (“Microsoft”). L’obiettivo del trattamento dei dati è l’erogazione dei Prodotti e dei Servizi.
b. Ambito di Validità e Finalità del Trattamento dei Dati. L’ambito di validità e la finalità del trattamento dei dati personali sono descritti nell’Articolo “Trattamento dei Dati Personali; GDPR” dell’Addendum. L’importatore amministra una rete globale di data center e di strutture di gestione/supporto e il trattamento potrà avere luogo in una qualsiasi giurisdizione in cui l’importatore o gli altri responsabili del trattamento gestiscano tali strutture in conformità all’Articolo “Procedure e Criteri di Sicurezza” dell’Addendum.
c. Accesso ai Dati della Società e ai Dati Personali. Per il periodo di validità stabilito ai sensi del contratto multilicenza in essere, l’importatore, a sua discrezione e in base alle esigenze, potrà ai sensi della legge applicabile che recepisce l’Articolo 12(b) della Direttiva UE sulla Protezione dei Dati Personali: (1) offrire all’esportatore la possibilità di correggere, eliminare o bloccare i Dati della Società e i dati personali oppure (2) effettuare tali correzioni, eliminazioni o blocchi per suo conto.
d. Istruzioni dell’esportatore. Per quanto riguarda i Prodotti e i Servizi, l’Importatore agirà solamente in base alle indicazioni dell’esportatore come comunicato da Microsoft.
e. Eliminazione o Restituzione dei Dati della Società e dei Dati Personali. Alla scadenza o alla risoluzione dell’utilizzo dei Prodotti
o dei Servizi Professionali da parte dell’esportatore, egli potrà estrarre i Dati della Società e i dati personali e l’importatore li eliminerà in conformità alle Condizioni dell’Addendum applicabili al contratto.
Subappaltatori. In conformità a quanto stabilito nell’Addendum, l’importatore potrà impiegare altre società che a suo nome eroghino servizi limitati, ad esempio il supporto tecnico. A tali subappaltatori sarà consentito ottenere i Dati della Società e i dati personali solo per erogare, su richiesta dell’importatore, i servizi, con il divieto di utilizzarli per qualsiasi altro scopo.
Appendice 2 alle Clausole Contrattuali Tipo
Descrizione delle misure di protezione tecniche e organizzative adottate dall’importatore in conformità alle Clausole 4(d) e 5(c):
1. Personale. Il personale dell’importatore non tratterà i Dati della Società o i dati personali senza autorizzazione. Il personale è obbligato al mantenimento della riservatezza di tali Dati della Società e dati personali, anche al termine del proprio impegno.
2. Contatto per il Diritto alla Protezione dei Dati Personali. Il funzionario dell’importatore che si occupa del diritto alla protezione dei dati personali è raggiungibile al seguente indirizzo:
Microsoft Corporation Attn: Chief Privacy Officer 0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX
3. Misure Tecniche e Organizzative. L’importatore ha adottato e assicurerà misure tecniche e organizzative, controlli interni e procedure per la sicurezza delle informazioni appropriati allo scopo di proteggere i Dati della Società e i dati personali, la cui definizione è fornita nell’Articolo
Procedure e Criteri di Sicurezza dell’Addendum, da distruzione, alterazione o perdite accidentali, divulgazione o accesso non autorizzato, nonché da distruzione illecita, come descritto di seguito: le misure tecniche e organizzative, i controlli interni e le procedure per la sicurezza delle informazioni di cui all’Articolo Procedure e Criteri di Sicurezza dell’Addendum sono incorporati nella presente Appendice 2 in virtù di questo riferimento e sono vincolanti per l’importatore come se fossero stati completamente definiti in tale Appendice.
Sottoscrizione delle Clausole Contrattuali Tipo, dell’Appendice 1 e dell’Appendice 2 per conto dell’importatore:
Xxxxxx Xxx, Executive Vice President Microsoft Corporation
Xxx Xxxxxxxxx Xxx, Xxxxxxx XX, XXX 00000
Sommario / Condizioni Generali
Allegato 2: Condizioni del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea
Microsoft rende effettivi gli impegni presi nelle Condizioni del GDPR per tutte le società a decorrere dal 25 maggio 2018. Tali impegni vincolano Microsoft nei confronti della Società indipendentemente (1) dalla versione delle Condizioni per l’Utilizzo dei Prodotti e dalla versione dell’Addendum, che sono comunque applicabili a qualsiasi licenza o sottoscrizione specifica dei Prodotti o (2) a qualsiasi altro contratto che faccia riferimento a tale allegato.
Ai fini dell’interpretazione delle presenti Condizioni del GDPR, la Società e Microsoft accettano che la Società agisca in qualità di titolare
del trattamento dei Dati Personali e che Microsoft agisca in qualità di responsabile del trattamento di tali dati, tranne nei casi in cui la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento. Le presenti Condizioni del GDPR si applicano al trattamento dei Dati Personali, nell’ambito di validità del GDPR, da parte di Microsoft per conto della Società. Le presenti Condizioni del GDPR non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nelle Condizioni per l’Utilizzo dei Prodotti o in un altro contratto stipulato tra Microsoft e la Società. Le presenti Condizioni del GDPR non si applicano qualora Microsoft sia un titolare del trattamento dei Dati Personali.
Obbligazioni Specifiche del Regolamento Generale sulla Protezione dei Dati: Articoli 28, 32 e 33
1. Microsoft non ricorrerà a un altro responsabile del trattamento senza previa autorizzazione scritta, specifica o generale, della Società. Nel caso di autorizzazione scritta generale, Microsoft informa la Società di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così alla Società l’opportunità di opporsi a tali modifiche. (Articolo 28(2))
2. Il trattamento da parte di Microsoft è disciplinato dalle presenti Condizioni del GDPR a norma del diritto dell’Unione (d’ora in avanti “Unione”) o degli Stati Membri che vincolano Microsoft alla Società. La materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati Personali, le categorie di interessati e le obbligazioni e i diritti della Società sono stabiliti nel contratto multilicenza della Società, nonché nelle presenti Condizioni del GDPR. In particolare, Microsoft dovrà:
(a) trattare i Dati Personali soltanto su istruzione documentata della Società, anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o degli Stati Membri cui è soggetta Microsoft; in tal caso, Microsoft informa la Società circa tale obbligo giuridico prima del trattamento, a meno che il diritto non vieti tale informazione per rilevanti motivi di interesse pubblico;
(b) garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un’adeguata obbligazione legale di riservatezza;
(c) adottare tutte le misure richieste ai sensi dell’Articolo 32 del Regolamento Generale sulla Protezione dei Dati;
(d) rispettare le condizioni di cui ai paragrafi 1 e 3 per ricorrere a un altro responsabile del trattamento;
(e) tenendo conto della natura del trattamento, assistere la Società con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligazione della Società di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento Generale sulla Protezione dei Dati;
(f) assistere la Società nel garantire il rispetto delle obbligazioni di cui agli Articoli da 32 a 36 del Regolamento Generale sulla Protezione dei Dati, tenendo conto della natura del trattamento e delle informazioni a disposizione di Microsoft;
(g) su scelta della Società, eliminare o restituirle tutti i Dati Personali dopo che è terminata l’erogazione dei servizi relativi
al trattamento ed eliminare le copie esistenti, salvo che il diritto dell’Unione o degli Stati Membri preveda la conservazione dei dati;
(h) mettere a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto delle obbligazioni stabilite all’Articolo 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato.
Microsoft informerà immediatamente la Società qualora, a suo parere, un’istruzione violi il Regolamento Generale sulla Protezione dei Dati o altre disposizioni, dell’Unione o degli Stati Membri, relative alla protezione dei dati personali. (Articolo 28(3))
3. Quando Microsoft ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto della Società, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico ai sensi del diritto dell’Unione o degli Stati Membri, le stesse obbligazioni in materia di protezione dei dati personali contenute nelle presenti Condizioni del GDPR, fornendo
in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento stesso. Qualora l’altro responsabile del trattamento ometta di adempiere alle proprie obbligazioni in materia di protezione
dei dati personali, Microsoft conserverà nei confronti della Società l’intera responsabilità dell’adempimento delle obbligazioni dell’altro responsabile. (Articolo 28(4))
4. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società e Microsoft mettono in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, a seconda dei casi:
(a) la pseudonimizzazione e la crittografia dei Dati Personali;
(b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e
(d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (Articolo 32(1))
5. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati Personali trasmessi, conservati o in altro modo trattati. (Articolo 32(2))
6. La Società e Microsoft fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a Dati Personali non tratti tali dati se non è istruito in tal senso dalla Società, salvo che lo richieda il diritto dell’Unione o degli Stati Membri. (Articolo 32(4))
7. Microsoft informerà la Società senza ingiustificato ritardo dopo essere venuta a conoscenza della violazione dei Dati Personali. (Articolo 33(2)). Tale comunicazione includerà le informazioni che un responsabile del trattamento dovrà fornire a un titolare del trattamento ai sensi dell’Articolo 33(3) nella misura in cui tali informazioni siano ragionevolmente disponibili a Microsoft.
Sommario / Condizioni Generali