Servizi Professionali Microsoft Addendum relativo alla Protezione dei Dati Personali

1° novembre 2017

Introduzione

Il presente Addendum relativo alla Protezione dei Dati Personali dei Servizi Professionali Microsoft (“Addendum”) si applica esclusivamente ai Servizi Professionali Microsoft (definiti di seguito) erogati ai sensi dell’Accordo. Il presente Addendum riguarda i Dati per il Supporto e la

Consulenza forniti per i Servizi di Consulenza o inviati per ricevere supporto tecnico Premier attraverso il Portale di Supporto Microsoft, il Supporto Telefonico Premier o altra procedura di invio approvata descritta nel Centro Protezione di Microsoft alla voce relativa al Supporto Commerciale. Il presente Addendum non si applica ad altre offerte di Servizi Professionali Microsoft, inclusi i Servizi Gestiti di Microsoft per il Cloud, Office 365 FastTrack e il supporto tecnico erogato al di fuori del Supporto Premier come le richieste di supporto inviate tramite i Portali Amministrativi dei Microsoft Online Services e le richieste di supporto Premier assegnate ai reparti tecnici e operativi dei Prodotti o dei Servizi Online di Microsoft per la risoluzione.

Il presente Xxxxxxxx non prevale su alcun altro Accordo per la Protezione dei Dati Personali sottoscritto tra le parti, salvo quanto diversamente concordato per iscritto; tuttavia, non avendo accettato altre Condizioni del Regolamento Generale sulla Protezione dei Dati, troveranno applicazione le condizioni contenute nell’Allegato 3: Condizioni del Regolamento Generale dell’Unione Europea sulla Protezione dei Dati.

Condizioni Generali

Definizioni

I termini in maiuscolo utilizzati, ma non definiti nel presente Addendum, avranno il significato attribuito loro nell’Accordo. Nel presente Addendum vengono utilizzate le seguenti definizioni:

“Accordo” indica la Descrizione dei Servizi ed eventuali Allegati, le Descrizioni dei Lavori, gli Ordini di Lavoro dei Servizi Enterprise, nonché l’Accordo

Quadro Microsoft identificato sopra.

“Servizi di Consulenza” indica i servizi professionali di pianificazione, supporto, consulenza, migrazione dei dati, distribuzione e sviluppo di soluzioni/software forniti da Microsoft ai sensi di un Ordine di Lavoro dei Servizi Enterprise.

“Regolamento Generale sulla Protezione dei Dati” indica il Regolamento Generale dell’Unione Europea sulla Protezione dei Dati o “RGPD”.

“Dati Personali” indica qualsiasi dato relativo a una persona fisica identificata o identificabile. Si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

“Servizi Professionali” indica i Servizi di Supporto Tecnico e i Servizi di Consulenza. I Servizi Professionali non includono i Servizi Online di Microsoft. Clausole Contrattuali Tipo indica l’accordo allegato al presente Addendum sotto forma di Allegato 1 e Allegato 2, in base alla Decisione della Commissione Europea del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi ai sensi della Direttiva UE sulla Protezione dei Dati Personali.

“Support and Consulting Data” indica tutti i dati, inclusi tutti i file di testo, audio, video, immagine, o i prodotti software, che vengono forniti a Microsoft dalla Società o per conto della Società (o che la Società autorizza Microsoft a ottenere da un Servizio Online) attraverso un impegno con Microsoft per ricevere i Servizi Professionali disciplinati ai sensi del presente Addendum.

“Servizi di Supporto Tecnico” indica i Servizi di Supporto Tecnico illustrati nella Descrizione dei Servizi o nella Descrizione dei Servizi di Consulenza e di Supporto Tecnico che consistono in servizi professionali di supporto tecnico per il software forniti da Microsoft per aiutare i clienti a individuare e risolvere le problematiche del proprio ambiente IT.

Conformità alle Leggi

Microsoft è conforme a tutte le leggi in materia di protezione dei dati personali applicabili a livello generale all’erogazione da parte di Microsoft dei Servizi Professionali. Microsoft non è tuttavia responsabile della conformità alle leggi o ai regolamenti in materia di diritto alla protezione dei dati personali o alla tutela dei dati personali applicabili alla Società o al settore cui la Società appartiene che non siano a livello generale validi per i provider di servizi informatici.

Diritto alla Protezione dei Dati Personali

Utilizzo dei Dati per il Supporto Tecnico e la Consulenza

Microsoft elaborerà i Dati per il Supporto Tecnico e la Consulenza in conformità alle disposizioni del presente Addendum e, fatto salvo quanto

stabilito nell’Accordo e nel presente Addendum, Microsoft (1) non acquisirà alcun diritto sui Dati per il Supporto Tecnico e la Consulenza né (2)

utilizzerà o divulgherà i Dati per il Supporto Tecnico e la Consulenza per scopi diversi da quelli descritti di seguito. L’utilizzo dei Dati per il Supporto Tecnico e la Consulenza da parte di Microsoft è il seguente:

• I Dati per il Supporto Tecnico e la Consulenza verranno utilizzati esclusivamente per erogare alla Società i Servizi Professionali. Microsoft non utilizzerà i Dati per il Supporto Tecnico e la Consulenza né ricaverà informazioni dagli stessi per fini di tipo pubblicitario o commerciale simili.

Trattamento dei Dati Personali

L’Articolo 28(1) del Regolamento Generale sulla Protezione dei Dati richiede la stipula di un accordo tra un responsabile del trattamento e un incaricato del trattamento e tra un incaricato del trattamento e un subincaricato, per informare che per il trattamento verranno messe in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento Generale sulla Protezione dei Dati e garantiscano la tutela dei diritti degli interessati. Le Condizioni del Regolamento Generale sulla Protezione dei Dati nell’Allegato 3 intendono soddisfare tale requisito per le parti. Le Condizioni del Regolamento Generale sulla Protezione dei Dati sono organizzate come segue:

• La Sezione C riproduce (con modifiche minori per chiarezza) le condizioni contrattuali specifiche richieste per gli incaricati e i responsabili del trattamento in base agli Articoli 28, 32 e 33 del Regolamento Generale sulla Protezione dei Dati.

• Nell’Appendice 1 sono forniti maggiori dettagli su ciò che la Società può aspettarsi da Microsoft per conformarsi a tali condizioni, nonché gli impegni di Microsoft relativamente agli Articoli 30 e 34-36 del Regolamento Generale sulla Protezione dei Dati.

Microsoft rende effettivi gli impegni presi nelle Condizioni del Regolamento Generale sulla Protezione dei Dati per tutte le società a decorrere dal 25 maggio 2018.

Divulgazione dei Dati per il Supporto Tecnico e la Consulenza

Microsoft non divulgherà i Dati per il Supporto Tecnico e la Consulenza al suo esterno o all’esterno delle sue filiali o consociate controllate salvo (1) laddove consentito dalla Società, (2) in conformità a quanto descritto nel presente Addendum o (3) disposizione contraria prevista dalla legge.

Microsoft non divulgherà i Dati per il Supporto Tecnico e la Consulenza alle autorità giudiziarie o di polizia se non nei casi previsti dalla legge. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Microsoft i Dati per il Supporto Tecnico e la Consulenza, Microsoft cercherà di reindirizzare tali autorità alla Società stessa per la comunicazione diretta di tali dati. Nel caso in cui sia costretta a divulgare i Dati per il Supporto Tecnico e la Consulenza alle autorità giudiziarie o di polizia, Microsoft ne darà immediata comunicazione alla Società e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie.

Nel caso in cui riceva richieste di divulgazione dei Dati per il Supporto Tecnico e la Consulenza da parte di terzi, Microsoft ne darà immediata comunicazione alla Società, salvo disposizioni di legge contrarie. Microsoft respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Microsoft tenterà di reindirizzare tali terzi a rivolgere la richiesta direttamente alla Società.

A sostegno di quanto sopra, Microsoft potrà fornire ai terzi le informazioni di contatto di base della Società.

Eliminazione e Restituzione dei Dati per il Supporto Tecnico e la Consulenza

Microsoft eliminerà o restituirà tutte le copie dei Dati per il Supporto Tecnico e la Consulenza dopo il conseguimento degli scopi commerciali per cui i Dati per il Supporto Tecnico e la Consulenza sono stati raccolti o trasferiti oppure in un momento precedente, previa richiesta scritta da parte della Società stessa.

Richieste degli utenti finali

Microsoft non risponderà autonomamente alle richieste dei dipendenti, degli agenti o dei clienti della Società senza il preventivo consenso scritto della Società, fatti salvi i casi previsti dalla legge applicabile.

Luogo dell’elaborazione dei dati

I Dati per il Supporto Tecnico e la Consulenza elaborati da Microsoft per conto della Società potranno essere trasferiti, archiviati e trattati negli Stati Uniti o in qualunque altro paese in cui Microsoft o le sue Consociate o i suoi subappaltatori siano presenti. La Società autorizza Microsoft a effettuare tali trasferimenti dei Dati per il Supporto Tecnico e la Consulenza verso tali paesi, nonché ad archiviare e a trattate i Dati per il Supporto Tecnico e la Consulenza ai fini dell’erogazione dei Servizi Professionali.

Microsoft rispetterà i requisiti della legge in materia di protezione dei dati personali dell’Area Economica Europea e della Svizzera relativamente alla raccolta, al trattamento, al trasferimento, alla conservazione e ad altro tipo di trattamento dei Dati Personali provenienti dall’Area Economica Europea e dalla Svizzera. All’inizio dell’attuazione del Regolamento Generale sulla Protezione dei Dati Microsoft garantirà che i trasferimenti dei Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle tutele appropriate descritte nell’Articolo 46 del Regolamento Generale sulla Protezione dei Dati e che tali trasferimenti e tutele saranno documentati conformemente all’Articolo 30(2) del Regolamento Generale sulla Protezione dei Dati. In aggiunta ai propri impegni previsti dalle Clausole Contrattuali Tipo e da altri contratti modello, Microsoft ha ottenuto la certificazione EU-U.S e Swiss-U.S. Privacy Shield Framework e i relativi impegni. Microsoft accetta di informare la Società qualora stabilisca di non poter più adempiere all’obbligazione di fornire lo stesso livello di protezione richiesto dai principi di Privacy Shield.

Tutti i Servizi di Supporto Tecnico e, previa conferma, i Servizi di Consulenza includono altresì le “Clausole Contrattuali Tipo”, conformi alla Decisione della Commissione Europea del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi ai sensi della Direttiva UE sulla Protezione dei Dati Personali. Le Clausole Contrattuali Tipo sono contenute nell’Allegato 1 e nell’Allegato 2.

Le Clausole Contrattuali Tipo sono applicabili ai Servizi di Consulenza previa conferma da parte di XxxxxxxxXXXX@xxxxxxxxx.xxx. La procedura per

ottenere la conferma può essere avviata all’indirizzo xxxx://xxx.xx/XxxxxxxxXXXX. Inoltre,

• La sottoscrizione dell’Accordo include la sottoscrizione dell’Allegato 1 e dell’Allegato 2, che vengono controfirmati da Microsoft Corporation e da Microsoft Global Services Center (India) Private Limited;

• Le condizioni dell’Accordo della Società, incluso il presente Addendum, costituiscono un accordo per il trattamento dei dati ai sensi del

quale Microsoft è l’incaricato del trattamento e

• La Società potrà decidere di rifiutare esplicitamente le “Clausole Contrattuali Tipo” o il presente Addendum, ad esclusione delle Condizioni del Regolamento Generale sulla Protezione dei Dati. Per rifiutarle esplicitamente, la Società dovrà inviare a Microsoft una comunicazione scritta con le seguenti informazioni, ai sensi delle condizioni dell’Accordo della Società:

o la ragione sociale completa della Società e dell’eventuale Consociata che ha deciso di rifiutarle;

o in caso di rifiuto esplicito del presente Addendum (ad esclusione delle Condizioni del Regolamento Generale sulla Protezione dei Dati), una dichiarazione per attestare che la Società (o la Consociata) rifiuta esplicitamente il presente Addendum (ad esclusione delle Condizioni del Regolamento Generale sulla Protezione dei Dati) e

o nel caso di un rifiuto esplicito soltanto delle Clausole Contrattuali Tipo, una dichiarazione della Società (o della Consociata) in cui si dichiara di rifiutare esplicitamente soltanto le Clausole Contrattuali Tipo.

• Nei paesi in cui è richiesta l’approvazione normativa per l’utilizzo delle Clausole Contrattuali Tipo, esse non potranno essere richiamate ai sensi della Decisione della Commissione europea 2010/87/UE del febbraio 2010 per legittimare l’esportazione di dati dal paese, salvo laddove la Società disponga della necessaria approvazione normativa.

Personale Microsoft

Il personale Microsoft non tratterà i Dati per il Supporto Tecnico e la Consulenza senza l’autorizzazione della Società. Il personale Microsoft è obbligato al mantenimento della sicurezza e della riservatezza dei Dati per il Supporto Tecnico e la Consulenza, anche al termine del proprio impegno lavorativo. Microsoft fornirà ai propri dipendenti con accesso ai Dati per il Supporto Tecnico e la Consulenza una formazione periodica e obbligatoria sul diritto alla protezione dei dati personali e sulla sicurezza in conformità alle leggi applicabili a Microsoft come provider di servizi IT professionali e agli standard di settore.

Ricorso ai Subappaltatori.

Microsoft potrà incaricare subappaltatori di erogare Servizi Professionali per suo conto. A tali subappaltatori sarà consentito ottenere i Dati per il Supporto Tecnico e la Consulenza solo per l’erogazione dei servizi della quale sono stati incaricati da Microsoft. Non potranno utilizzare tali dati per altri scopi. Microsoft è responsabile della conformità alle obbligazioni di cui al presente Addendum da parte dei suoi subappaltatori. I subappaltatori, ai quali Microsoft trasferisce i Dati per il Supporto Tecnico e la Consulenza, anche quelli utilizzati per l’archiviazione, avranno stipulato con Microsoft o una delle sue Consociate accordi scritti in cui verrà preteso lo stesso livello di protezione richiesto dal presente Addendum. La Società acconsente al trasferimento da parte di Microsoft dei Dati per il Supporto Tecnico e la Consulenza ai subappaltatori come descritto nel presente Addendum.

Per le Società con Clausole Contrattuali Tipo, Microsoft mette a disposizione un sito Web su cui sono elencati i subappaltatori autorizzati ad accedere ai Dati per il Supporto Tecnico e la Consulenza per erogare i Servizi di Supporto Tecnico. Almeno 14 giorni prima di autorizzare nuovi subappaltatori ad accedere ai Dati per il Supporto Tecnico e la Consulenza, Microsoft aggiornerà il relativo sito Web e fornirà alla Società uno strumento per ricevere comunicazione di tale aggiornamento. Qualora la Società non approvi un nuovo subappaltatore, potrà risolvere i Servizi Professionali interessati fornendo, prima della scadenza del periodo di preavviso, una comunicazione scritta della risoluzione in conformità alla disposizioni per la risoluzione contenute nell’Accordo Quadro applicabile che includa una spiegazione dei motivi alla base della mancata approvazione.

Microsoft non trasferirà a terzi (nemmeno a scopo di archiviazione) dati personali ricevuti dalla Società in relazione ai Servizi Professionali.

Responsabilità della Società

La Società dovrà conformarsi a tutte le leggi e a tutti i regolamenti applicabili in materia di diritto alla protezione dei dati personali, alla tutela dei dati personali e alla riservatezza delle comunicazioni relativamente all’approvvigionamento e all’utilizzo dei Servizi Professionali, nonché al trasferimento dei Dati per il Supporto Tecnico e la Consulenza a Microsoft.

La Società è responsabile dei consensi necessari da parte delle persone e della comunicazione alle persone stesse del trasferimento dei loro dati personali dalla Società a Microsoft.

Condizioni europee aggiuntive

Qualora i Dati per il Supporto Tecnico e la Consulenza includano necessariamente i dati personali dei singoli nello Spazio Economico Europeo o in Svizzera, verranno applicate le condizioni aggiuntive riportate nel presente Articolo 4. I termini utilizzati nel presente Articolo che non sono specificatamente definiti avranno il significato assegnato loro nella Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Direttiva UE sulla Protezione dei Dati Personali”).

Ruolo delle Parti

Per quanto riguarda i Servizi Professionali, la Società ha la funzione di responsabile del trattamento dei dati e Microsoft è un incaricato del trattamento (o subincaricato) per conto della Società. In qualità di incaricato del trattamento (o subincaricato) dei dati, Microsoft agirà in base alle indicazioni della Società. Il presente Addendum e l’Accordo (incluse le condizioni incorporate in virtù dei riferimenti ivi contenuti) costituiscono l’insieme completo e finale delle istruzioni fornite dalla Società a Microsoft per il trattamento dei Dati per il Supporto Tecnico e la Consulenza.

Eventuali istruzioni aggiuntive o alternative possono essere emesse solo dal contatto aziendale per i Servizi Professionali della Società e dovranno

essere concordate in base alla procedura per le modifiche dell’Accordo.

Durata e Oggetto del Trattamento dei Dati

La durata del trattamento dei dati coinciderà con il periodo di validità stabilito ai sensi dell’Accordo. L’obiettivo del trattamento dei dati è l’erogazione dei Servizi Professionali.

Ambito e Scopo del Trattamento dei Dati

L’ambito e lo scopo del trattamento dei Dati per il Supporto Tecnico e la Consulenza, ivi inclusi gli eventuali dati personali, sono descritti nel

presente Addendum e nell’Accordo.

Accesso ai Dati per il Supporto Tecnico e la Consulenza

Per il periodo di validità stabilito ai sensi dell’Accordo, Microsoft, a propria discrezione e in base alle esigenze ai sensi della legge applicabile di accoglimento dell’Articolo 12(b) della Direttiva UE sulla Protezione dei Dati Personali, potrà: (1) offrire alla Società la possibilità di correggere, eliminare o bloccare i Dati per il Supporto Tecnico e la Consulenza oppure (2) effettuare tali correzioni, eliminazioni o blocchi per conto della Società.

Privacy Officer

Il rappresentante Microsoft in materia di protezione dei dati personali per lo Spazio Economico Europeo e la Svizzera è raggiungibile al seguente indirizzo:

Microsoft Ireland Operations Ltd. Attn: Data Protection

Xxx Xxxxxxxxx Xxxxx

Xxxxx Xxxxxx Xxxxxxxx Xxxx

Xxxxxxxxxxxx, Xxxxxx 00, X00 X000, Xxxxxxx

Protezione

Procedure Generali

Microsoft si impegna a proteggere le informazioni della Società. Microsoft ha attuato e manterrà e continuerà ad attuare misure organizzative e tecniche appropriate per proteggere i Dati per il Supporto Tecnico e la Consulenza da accessi, divulgazioni, alterazioni, perdite o distruzioni di natura accidentale, non autorizzata o illecita, nonché tutte le altre forme illecite di trattamento come descritto nell’Allegato 1 (“TOM”). Microsoft potrà aggiornare e/o modificare periodicamente i TOM, ma senza diminuire il livello di protezione dei dati personali concordato. Su richiesta scritta della Società, Microsoft emetterà una dichiarazione per riconfermare la propria conformità ai TOM. Le misure di sicurezza descritte nell’Allegato 1 costituiscono l’unica responsabilità di Microsoft relativamente alla protezione dei Dati per il Supporto Tecnico e la Consulenza.

Allegato 1 - Misure Tecniche e Organizzative

Dominio

Procedure

Organizzazione della Sicurezza delle Informazioni

Titolarità della Sicurezza. Microsoft ha nominato uno o più funzionari addetti alla sicurezza, responsabili del coordinamento e del monitoraggio delle regole e delle procedure di sicurezza.

Ruoli e Responsabilità per la Sicurezza. Il personale Microsoft con accesso ai Dati per il Supporto Tecnico e la Consulenza è soggetto a obbligazioni di riservatezza.

Programma di Gestione dei Rischi. Microsoft ha effettuato una valutazione dei rischi prima di elaborare i Dati per il Supporto Tecnico e la Consulenza.

I documenti relativi alla sicurezza che non sono più in vigore vengono conservati da Microsoft in conformità ai requisiti di conservazione stabiliti.

Gestione delle Risorse

Inventario delle Risorse. Microsoft gestisce un inventario di tutti i supporti di memorizzazione sui quali sono archiviati i Dati per il Supporto Tecnico e la Consulenza. L’accesso agli inventari di tali supporti di memorizzazione è limitato al personale Microsoft in possesso dell’autorizzazione scritta.

Amministrazione delle Risorse Fisiche.

- Microsoft classifica i Dati per il Supporto Tecnico e la Consulenza per facilitarne l’identificazione e limitarne l’accesso in

modo appropriato (ad esempio tramite la crittografia).

- Microsoft impone limitazioni sulla stampa dei Dati per il Supporto Tecnico e la Consulenza e implementa procedure per

l’eliminazione del materiale stampato contenente i Dati per il Supporto Tecnico e la Consulenza.

- Il personale Microsoft dovrà ottenere l’autorizzazione di Microsoft per archiviare i Dati per il Supporto Tecnico e la Consulenza su dispositivi portatili, accedere ai Dati per il Supporto Tecnico e la Consulenza in modalità remota o sottoporre a trattamento i Dati per il Supporto Tecnico e la Consulenza all’esterno delle strutture Microsoft.

Sicurezza delle Risorse Umane

Formazione relativa alla sicurezza. Microsoft informa il proprio personale sulle procedure di sicurezza pertinenti e sui ruoli dei membri del personale stesso. Microsoft informa inoltre il proprio personale sulle possibili conseguenze dell’essere inadempiente alle regole e alle procedure di sicurezza. Microsoft utilizza solo dati anonimi nelle attività di formazione.

Sicurezza Fisica e Ambientale

Accesso Fisico alle Strutture. Microsoft limita l’accesso alle strutture in cui sono situati i sistemi informativi che sottopongono a trattamento i Dati per il Supporto Tecnico e la Consulenza a individui identificati e autorizzati. Accesso Fisico ai Componenti. Microsoft gestisce un registro dei supporti di memorizzazione in entrata e in uscita contenenti i Dati per il Supporto Tecnico e la Consulenza, che include informazioni sul tipo di supporto, il mittente/destinatario autorizzato, la data e l’ora, il numero di supporti e i tipi di Dati per il Supporto Tecnico e la Consulenza contenuti.

Protezione dalle Interruzioni di Alimentazione e Comunicazione. Microsoft utilizza diversi sistemi standard di settore per la protezione dalla perdita di dati causata dall’interruzione della fornitura di energia elettrica o da interferenze di linea.

Eliminazione di Componenti. Microsoft utilizza processi standard del settore per eliminare i Dati per il Supporto Tecnico e la Consulenza che non sono più necessari.

Gestione delle Comunicazioni e delle Operazioni

Criteri operativi. Microsoft gestisce documenti sulla sicurezza in cui vengono descritte le misure di protezione adottate e le procedure e le responsabilità specifiche del proprio personale che accede ai Dati per il Supporto Tecnico e la Consulenza.

Procedure di ripristino dei dati

- In modo continuativo e comunque non meno di una volta alla settimana, tranne nel caso in cui nel periodo non vi siano stati aggiornamenti ai Dati per il Supporto Tecnico e la Consulenza, Microsoft gestisce più copie dei Dati per il Supporto Tecnico e la Consulenza da cui ripristinare i dati stessi.

- Microsoft archivia le copie dei Dati per il Supporto Tecnico e la Consulenza e le procedure di ripristino dei dati in una posizione diversa dal luogo in cui si trovano le apparecchiature principali di trattamento dei Dati per il Supporto Tecnico e la Consulenza.

- Microsoft ha adottato procedure specifiche che disciplinano l’accesso alle copie dei Dati per il Supporto Tecnico e la

Consulenza.

- Microsoft rivede le procedure di ripristino dei dati almeno ogni anno.

- Microsoft registra le operazioni di ripristino dei dati, includendo il nominativo della persona responsabile, la descrizione dei dati ripristinati e, a seconda dei casi, il nominativo della persona responsabile e gli eventuali dati per i quali è stato necessario l’inserimento manuale nel processo di ripristino.

Software dannoso. Microsoft effettua controlli antimalware per impedire l’accesso non autorizzato ai Dati per il Supporto

Tecnico e la Consulenza da parte di software dannoso, incluso quello proveniente da reti pubbliche.

Dati esterni ai limiti protetti

- Microsoft crittografa o consente alla Società di crittografare i Dati per il Supporto Tecnico e la Consulenza trasmessi su reti pubbliche.

- Microsoft limita l’accesso ai Dati per il Supporto Tecnico e la Consulenza contenuti nei supporti di memorizzazione che

escono dalle proprie strutture, ad esempio tramite la crittografia.

Registrazione di Eventi

- Microsoft registra l’utilizzo dei propri sistemi di elaborazione dei dati.

Dominio

Procedure

- Microsoft rileva l’accesso e l’utilizzo dei sistemi informativi contenenti i Dati per il Supporto Tecnico e la Consulenza,

registrando l’ID di accesso, l’ora, l’autorizzazione concessa o negata e l’attività correlata.

Controllo dell’Accesso

Criteri di accesso. Microsoft conserva una registrazione dei privilegi di sicurezza degli individui che accedono ai Dati per il Supporto Tecnico e la Consulenza.

Autorizzazione all’accesso

- Microsoft conserva e aggiorna una registrazione del personale autorizzato ad accedere ai sistemi Microsoft che contengono i Dati per il Supporto Tecnico e la Consulenza.

- Microsoft disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo minimo di sei mesi.

- Microsoft indica i membri del personale che potranno concedere, modificare o annullare l’accesso autorizzato a dati e

risorse.

- Microsoft garantisce che nei casi in cui più individui abbiano accesso a sistemi contenenti i Dati per il Supporto Tecnico e la Consulenza, tali individui hanno identificatori/accessi specifici.

Privilegi minimi

- Il personale del supporto tecnico viene autorizzato ad accedere ai Dati per il Supporto Tecnico e la Consulenza esclusivamente in caso di necessità.

- Microsoft limita l’accesso ai Dati per il Supporto Tecnico e la Consulenza ai soli individui che ne hanno necessità per svolgere le proprie mansioni lavorative.

Integrità e riservatezza

- Microsoft istruisce il proprio personale affinché disattivi le sessioni amministrative prima di uscire dalle sedi che controlla e in ogni caso quando i computer vengono lasciati incustoditi.

- Microsoft archivia le password in modo tale da renderle incomprensibili mentre sono valide.

Autenticazione

- Microsoft utilizza procedure standard del settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informativi.

- Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede il rinnovo regolare delle password.

- Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede che la password contenga almeno otto caratteri.

- Microsoft garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altri individui.

- Microsoft controlla i tentativi ripetuti di ottenere l’accesso al sistema informativo utilizzando una password non valida.

- Microsoft conserva procedure standard del settore per disattivare le password danneggiate o divulgate inavvertitamente.

- Microsoft utilizza procedure standard del settore per la protezione delle password, incluse le procedure volte a garantire la riservatezza e l’integrità delle password quando vengono cedute e distribuite e durante l’archiviazione.

- Progettazione della Rete. Microsoft dispone di controlli per impedire a individui di riconoscersi diritti che non sono stati loro ceduti allo scopo di accedere ai Dati per il Supporto Tecnico e la Consulenza in modo non autorizzato.

Gestione degli Eventi Imprevisti relativi alla Protezione delle Informazioni

Processo di risposta agli eventi imprevisti

- Microsoft conserva una registrazione degli inadempimenti alla sicurezza con una descrizione dell’inadempimento, il periodo, le conseguenze dell’inadempimento, il nome di chi ha effettuato la segnalazione, a chi è stato segnalato, nonché la procedura adottata per il ripristino dei dati.

- Microsoft tiene traccia delle divulgazioni dei Dati per il Supporto Tecnico e la Consulenza, inclusi i tipi di dati divulgati, i

destinatari delle divulgazioni e l’ora in cui sono avvenute.

Monitoraggio del servizio. Il personale Microsoft addetto alla sicurezza verifica i registri almeno una volta ogni sei mesi per proporre, ove necessario, iniziative di correzione.

Gestione della Continuità Aziendale

- Microsoft conserva piani di emergenza e contingenza per le strutture in cui sono situati i sistemi informativi che sottopongono a trattamento i Dati per il Supporto Tecnico e la Consulenza.

- Il sistema di archiviazione con ridondanza e le procedure Microsoft per il ripristino dei dati sono progettati per tentare di riportare i Dati per il Supporto Tecnico e la Consulenza nello stato in cui si trovavano prima di andare persi o distrutti.

Audit Microsoft dei Servizi Professionali

• In aggiunta alla Clausola 5, paragrafo f e alla Clausola 12, paragrafo 2 delle Clausole Contrattuali Tipo, Microsoft ha stabilito e accetta di conservare per i Servizi Professionali una serie di criteri di sicurezza dei dati in conformità agli standard ISO 27001 riguardanti la definizione, l’implementazione, il controllo e il miglioramento del Sistema di Gestione della Sicurezza delle Informazioni e alle procedure ottimali indicate nello standard ISO/IEC 27002 per la gestione della sicurezza delle informazioni (“Criteri di Sicurezza delle Informazioni”). Solo quando ciò sia necessario e nel rispetto da parte della Società delle obbligazioni di riservatezza specificate da Microsoft, Microsoft renderà disponibili alla Società i Criteri di Sicurezza delle Informazioni, unitamente alle altre informazioni ragionevolmente richieste dalla Società riguardanti le procedure e i criteri di sicurezza Microsoft. La Società è l’unica responsabile della verifica dei Criteri di Sicurezza delle Informazioni, determinando in modo autonomo se i Criteri di Sicurezza delle Informazioni soddisfano i requisiti della Società,

nonché della verifica del rispetto delle linee guida fornite relativamente alla sicurezza dei dati da parte del personale e dei consulenti della Società.

• Microsoft eseguirà l’audit della sicurezza dei computer e dell’ambiente informatico utilizzati per il trattamento dei Dati per il Supporto Tecnico e la Consulenza (inclusi i dati personali) durante l’erogazione dei Servizi Professionali. Tale audit: (a) verrà eseguito almeno una

volta all’anno, (b) verrà eseguito in conformità agli standard ISO 27001, (c) verrà eseguito da professionisti della sicurezza terzi, a scelta e a spese di Microsoft, (d) si concluderà con la generazione di un rapporto di audit (“Rapporto di Audit Microsoft”), che sarà classificato come informazioni riservate di Microsoft, (e) potrà essere eseguito con altri scopi oltre a quello di soddisfare il presente Articolo (ad esempio, nell’ambito di regolari procedure interne di sicurezza di Microsoft o per adempiere ad altre obbligazioni contrattuali).

• In presenza di una richiesta scritta della Società, Microsoft fornirà alla Società un riepilogo riservato del Rapporto di Audit Microsoft (“Rapporto Riepilogativo”) in modo che la Società possa ragionevolmente verificare la conformità di Microsoft alle obbligazioni di sicurezza ai sensi del presente Addendum. Il Rapporto Riepilogativo è classificato come informazioni riservate Microsoft.

• La Società accetta di esercitare i propri diritti di audit ai sensi delle Clausole Contrattuali Tipo incaricando Microsoft di eseguire l’audit nella modalità descritta nell’Articolo 5(b)(i) – (iii). Qualora la Società desideri cambiare la suddetta disposizione, potrà procedere in conformità a quanto indicato nelle Clausole Contrattuali Standard, che dovranno essere richieste per iscritto.

• Nessuna disposizione del presente Articolo 5(b) varia o modifica le Clausole Contrattuali Tipo né interessa i diritti dell’autorità di supervisione o del titolare dei dati ai sensi delle Clausole Contrattuali Tipo. Microsoft Corporation è un terzo beneficiario del presente Articolo 5(b).

Notifica degli Eventi Imprevisti Relativi alla Protezione

Qualora Microsoft venga a conoscenza di un accesso illegale ai Dati per il Supporto Tecnico e la Consulenza archiviati nelle attrezzature di Microsoft o nelle strutture di Microsoft oppure di un accesso non autorizzato a tali attrezzature o strutture con conseguente perdita, divulgazione o

alterazione dei Dati per il Supporto Tecnico e la Consulenza (ciascuno un “Evento Imprevisto relativo alla Protezione”), Microsoft,

tempestivamente, (a) comunicherà alla Società l’Evento Imprevisto relativo alla Protezione, (b) analizzerà l’Evento Imprevisto relativo alla

Protezione e fornirà alla Società informazioni dettagliate riguardo all’evento e (c) adotterà misure ragionevoli per mitigare gli effetti e ridurre

eventuali danni derivanti dall’Evento Imprevisto relativo alla Protezione.

La Società accetta che:

• Un Evento Imprevisto relativo alla Protezione con esito negativo non sia soggetto al presente Articolo. Un Evento Imprevisto relativo alla Protezione con esito negativo è un evento in cui non si verificano accessi non autorizzati ai Dati per il Supporto Tecnico e la Consulenza o a una delle attrezzature o strutture di Microsoft in cui sono archiviati i Dati per il Supporto Tecnico e la Consulenza e potrà includere, a titolo esemplificativo, ping e altri attacchi alla trasmissione su firewall o server edge, scansioni di porta, tentativi di accesso non riusciti, attacchi “denial of service”, sniffing di pacchetto (o altri accessi non autorizzati ai dati sul traffico che non risultino in accessi esterni agli indirizzi IP o alle intestazioni) o eventi imprevisti analoghi e

• Il fatto che Microsoft sia tenuta a segnalare o a rispondere a un Evento Imprevisto relativo alla Protezione ai sensi del presente Articolo non è né verrà interpretato come sua accettazione di eventuali errori o responsabilità riguardo all’Evento Imprevisto relativo alla Protezione.

Le notifiche di eventuali Eventi Imprevisti relativi alla Protezione verranno recapitate a uno o più contatti di lavoro per i Servizi professionali della Società tramite qualsiasi mezzo scelto da Microsoft, inclusa la posta elettronica.

Allegato 1: Clausole Contrattuali Tipo (Incaricati del Trattamento) per i Servizi di Supporto Tecnico e Consulenza

Ai sensi dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali verso paesi terzi che non garantiscono un livello adeguato di protezione dei dati personali, la Società (in quanto esportatore) e Microsoft Corporation (in quanto importatore, la cui firma è riportata di

seguito), ciascuna singolarmente una “parte” e collettivamente “le parti”, accettano le seguenti Clausole Contrattuali (le “Clausole” o “Clausole Contrattuali Tipo”) al fine di prevedere adeguate misure di salvaguardia per la protezione dei dati personali nonché dei diritti fondamentali e delle libertà degli individui relativamente al trasferimento dei dati personali specificati nell’Appendice 1 dall’esportatore all’importatore.

Clausola 1. Definizioni

(a) i termini “dati personali”, “categorie particolari di dati”, “trattamento”, “responsabile del trattamento”, “incaricato del trattamento”,

“interessato/persona interessata” e “autorità di controllo” hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

(b) con “esportatore” si intende il responsabile del trattamento che trasferisce i dati personali;

(c) con “importatore” si intende l’incaricato del trattamento che si impegni a ricevere dall’esportatore i dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti Clausole e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;

(d) con “subincaricato” si intende l’incaricato del trattamento designato dall’importatore o da un altro subincaricato, che s’impegni a ricevere dall’importatore o da un altro subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole e del subcontratto scritto;

(e) con “normativa sulla protezione dei dati” si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento dei dati personali, applicabile ai responsabili del trattamento nello Stato Membro in cui ha sede l’esportatore;

(f) con “misure di tecniche e organizzative di sicurezza” si intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.

Clausola 2. Particolari del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, a seconda dei casi, sono indicati nell’Appendice 1 che segue e

costituisce parte integrante delle Clausole.

Clausola 3. Clausola del terzo beneficiario

1. L’interessato può far valere nei confronti dell’esportatore la presente Xxxxxxxx, la Clausola 4 da (b) a (i), la Clausola 5 da (a) a (e) e da (g) a (j), la Clausola 6, paragrafi 1 e 2, la Clausola 7, la Clausola 8, paragrafo 2 e le Clausole da 9 a 12 in qualità di terzo beneficiario.

2. L’interessato può far valere, nei confronti dell’importatore, la presente Xxxxxxxx, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8, paragrafo 2 e le Clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti le obbligazioni dell’esportatore siano state trasferite, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e le obbligazioni dell’esportatore, nel qual caso l’interessato può far valere le suddette Xxxxxxxx nei confronti del successore tale persona giuridica.

3. L’interessato può far valere nei confronti del subincaricato, la presente Xxxxxxxx, la Clausola 5, lettere da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8, paragrafo 2, e le Clausole da 9 a 12, qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano diventati insolventi, a meno che tutte le obbligazioni dell’esportatore siano state trasferite, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e le obbligazioni dell’esportatore, nel qual caso l’interessato può far valere le suddette Xxxxxxxx nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti Clausole.

4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà e sia ammessa dalla legislazione nazionale.

Clausola 4. Obblighi dell’esportatore

L’esportatore dichiara e garantisce quanto segue:

(a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;

(b) che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;

(c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2;

(d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla

distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione;

(e) che provvederà all’osservanza delle misure di sicurezza;

(f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;

(g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;

(h) che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le informazioni commerciali eventualmente contenute nelle clausole o nel contratto;

(i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione

dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;

(j) che provvederà all’osservanza della clausola 4, lettere da (a) ad (i).

Clausola 5. Obblighi dell’importatore

L’importatore dichiara e garantisce quanto segue:

(a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;

(b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;

(c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;

(d) che comunicherà prontamente all’esportatore:

(i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini,

(ii) qualsiasi accesso accidentale o non autorizzato; e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;

(e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a

trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;

(f) che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;

(g) che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto;

(h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;

(i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;

(j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.

Clausola 6. Responsabilità

1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera

di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.

2. Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore.

L’importatore non può far valere l’inadempimento delle obbligazioni ad opera del subincaricato al fine di escludere la propria responsabilità.

3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per inadempimento di una delle obbligazioni di cui alla Clausola 3 o alla Clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce

all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti Clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutte le obbligazioni dell’esportatore o dell’importatore siano state trasferite, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.

Clausola 7. Mediazione e giurisdizione

1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:

(a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo;

(b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore.

2. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.

Clausola 8. Collaborazione con le autorità di controllo

1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati.

2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le

stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati.

3. L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera (b).

Clausola 9. Legge Applicabile

Le presenti Clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.

Clausola 10. Modifica del contratto

Le parti si impegnano a non alterare o non modificare le presenti Clausole. Ciò non osta a che le parti inseriscano altre clausole commerciali ritenute necessarie, purché non siano in contrasto con la Clausola.

Clausola 11. Subcontratto

1. L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti Clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione delle obbligazioni ai sensi delle presenti Clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo le obbligazioni cui è egli stesso tenuto in virtù delle Clausole. L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, delle obbligazioni di protezione dei dati previste dall’accordo scritto.

2. Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla Clausola 3, a favore dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla Clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme delle loro obbligazioni. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti Clausole.

3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito

l’esportatore.

4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti Clausole e comunicati dall’importatore a norma della Clausola 5, lettera (j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.

Clausola 12. Obblighi al termine dell’attività di trattamento dei dati personali

1. Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie oppure a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che le obbligazioni di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.

2. L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.

Allegato 1 alle Clausole Contrattuali Tipo per i Servizi di Supporto Tecnico e Consulenza

Esportatore: la Società è l’esportatore. L’esportatore ottiene i servizi di supporto tecnico e di consulenza IT professionali nella modalità descritta nell’Ordine di Lavoro dei Servizi Enterprise applicabile.

Importatore: l’importatore è Microsoft Corporation, produttore globale di software e servizi.

Interessati: Gli Interessati includono i rappresentanti dell’esportatore e gli utenti finali, tra cui dipendenti, appaltatori, collaboratori e società dell’esportatore. Gli interessati potranno anche includere individui che tentano di comunicare o trasferire informazioni personali a utenti dei servizi erogati dall’importatore.

Categorie di dati oggetto di trasferimento: i dati personali trasferiti includono messaggi di posta elettronica, documenti e altri dati in formato elettronico necessari per erogare i Servizi Professionali.

Trattamento: i dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento:

a. Durata e Oggetto del Trattamento dei Dati. La durata del trattamento dei dati coinciderà con il periodo di validità stabilito ai sensi del contratto multilicenza applicabile stipulato tra l’esportatore e la persona giuridica Microsoft al quale sono allegate tali Clausole Contrattuali Tipo (“Microsoft”). L’obiettivo del trattamento dei dati è l’erogazione dei Servizi Professionali.

b. Ambito e Scopo del Trattamento dei Dati. L’ambito e lo scopo del trattamento dei dati personali sono descritti nell’Addendum e nell’Accordo.

c. Accesso ai Dati per il Supporto Tecnico e la Consulenza. Per il periodo di validità stabilito ai sensi dell’Accordo, Microsoft, a propria discrezione e in base alle esigenze ai sensi della legge applicabile di accoglimento dell’Articolo 12(b) della Direttiva UE sulla Protezione dei Dati Personali, potrà: (1) offrire alla Società la possibilità di correggere, eliminare o bloccare i Dati per il Supporto Tecnico e la Consulenza oppure (2) effettuare tali correzioni, eliminazioni o blocchi per conto della Società.

d. Istruzioni dell’Esportatore. Per quanto riguarda i Servizi Professionali, l’importatore agirà solamente in base alle indicazioni dell’esportatore come comunicato da Microsoft.

e. Eliminazione e Restituzione dei Dati per il Supporto Tecnico e la Consulenza. Microsoft eliminerà o restituirà tutte le copie dei Dati per il Supporto Tecnico e la Consulenza dopo il conseguimento degli scopi commerciali per cui i Dati per il Supporto Tecnico e la Consulenza sono stati raccolti o trasferiti oppure in un momento precedente, previa richiesta scritta da parte della Società stessa.

Subappaltatori: l’importatore potrà impiegare altre società per erogare servizi limitati per suo conto. A tali subappaltatori sarà consentito ottenere i Dati per il Supporto Tecnico e la Consulenza solo per l’erogazione dei servizi della quale sono stati incaricati dall’importatore. Non potranno utilizzare tali dati per altri scopi.

Allegato 2 alle Clausole Contrattuali Tipo per i Servizi di Supporto Tecnico e Consulenza

Descrizione delle misure di protezione tecniche e organizzative implementate dall’importatore in conformità alle Clausole 4(d) e 5(c):

1. Personale. Il personale dell’importatore non tratterà i Dati per il Supporto Tecnico e la Consulenza senza autorizzazione. Il personale è obbligato al mantenimento della riservatezza dei Dati per il Supporto Tecnico e la Consulenza, anche al termine del proprio impegno lavorativo.

2. Contatto per il diritto alla protezione dei dati personali. Il funzionario dell’importatore che si occupa del diritto alla protezione dei dati personali è raggiungibile al seguente indirizzo:

Microsoft Corporation

Attn: Chief Privacy Officer 0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX

3. Misure tecniche e organizzative. L’importatore ha implementato e si impegna a mantenere misure organizzative e tecniche, controlli interni e procedure per la sicurezza delle informazioni appropriati allo scopo di proteggere i Dati per il Supporto Tecnico e la Consulenza, la cui definizione è fornita nell’Addendum relativo alla Protezione dei Dati Personali dei Servizi Professionali Microsoft, da perdite accidentali, distruzione o alterazione, divulgazione o accesso non autorizzato, nonché da distruzione illecita, come descritto di seguito: Le misure tecniche e organizzative, i controlli interni e le procedure per la sicurezza delle informazioni stabilite nell’Allegato 1 per il Trattamento dei Dati sono incorporati nella presente Appendice 2 in virtù di questo riferimento e sono vincolanti per l’importatore come se fossero stati completamente definiti in tale Appendice.

La firma di Microsoft Corporation è visibile sulla pagina che segue.

Sottoscrizione delle Clausole Contrattuali Tipo per i Servizi Professionali, Appendice 1 e Appendice 2 per conto dell’importatore:

Firma

Xxxxx Xxxxxxx, Corporate Vice President

Microsoft Corporation One Microsoft Way Xxxxxxx, XX 00000 XXX

Allegato 2: Clausole Contrattuali Tipo (Incaricati del Trattamento) per i Servizi di Consulenza erogati da Global Delivery India

Ai sensi dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali verso paesi terzi che non garantiscono un livello adeguato di protezione dei dati personali, la Società (in quanto esportatore) e Microsoft Global Services Center (India) Private Limited (in quanto

importatore, la cui firma è riportata di seguito), ciascuna singolarmente una “parte” e collettivamente “le parti”, accettano le seguenti Clausole Contrattuali (le “Clausole” o “Clausole Contrattuali Tipo”) al fine di prevedere adeguate misure di salvaguardia per la protezione dei dati personali nonché dei diritti fondamentali e delle libertà degli individui relativamente al trasferimento dei dati personali specificati nell’Appendice 1 dall’esportatore all’importatore.

Clausola 1. Definizioni

(a) i termini “dati personali”, “categorie particolari di dati”, “trattamento”, “responsabile del trattamento”, “incaricato del trattamento”,

(b) con “esportatore” si intende il responsabile del trattamento che trasferisce i dati personali;

Clausola 2. Particolari del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, a seconda dei casi, sono indicati nell’Appendice 1 che segue e

costituisce parte integrante delle Clausole.

Clausola 3. Clausola del terzo beneficiario

Clausola 4. Obblighi dell’esportatore

L’esportatore dichiara e garantisce quanto segue:

(c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2;

(d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla

(e) che provvederà all’osservanza delle misure di sicurezza;

(g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5,

lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;

(i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione

dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;

(j) che provvederà all’osservanza della clausola 4, lettere da (a) ad (i).

Clausola 5. Obblighi dell’importatore

L’importatore dichiara e garantisce quanto segue:

(c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;

(d) che comunicherà prontamente all’esportatore:

(ii) qualsiasi accesso accidentale o non autorizzato; e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;

(e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a

trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;

(h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;

(i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;

(j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.

Clausola 6. Responsabilità

1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera

di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.

L’importatore non può far valere l’inadempimento delle obbligazioni ad opera del subincaricato al fine di escludere la propria responsabilità.

Clausola 7. Mediazione e giurisdizione

(a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo;

(b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore.

Clausola 8. Collaborazione con le autorità di controllo

1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora

il deposito sia prescritto dalla normativa sulla protezione dei dati.

2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati.

Clausola 9. Legge Applicabile

Le presenti Clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.

Clausola 10. Modifica del contratto

Clausola 11. Subcontratto

3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito

l’esportatore.

4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti Clausole e comunicati dall’importatore a norma della Clausola 5,

lettera (j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.

Clausola 12. Obblighi al termine dell’attività di trattamento dei dati personali

Allegato 1 alle Clausole Contrattuali Tipo per i Servizi di Consulenza erogati da Global Delivery India

Esportatore: la Società è l’esportatore. L’esportatore ottiene i servizi di supporto tecnico e di consulenza IT professionali nella modalità descritta nell’Ordine di Lavoro dei Servizi Enterprise applicabile.

Importatore: l’importatore è Microsoft Global Services Center (India) Private Limited, una consociata di Microsoft Corporation che eroga servizi di consulenza IT globali.

Interessati: Gli Interessati includono i rappresentanti dell’esportatore e gli utenti finali, tra cui dipendenti, appaltatori, collaboratori e società dell’esportatore. Gli interessati potranno anche includere individui che tentano di comunicare o trasferire informazioni personali a utenti dei servizi erogati dall’importatore.

Categorie di dati oggetto di trasferimento: i dati personali trasferiti includono messaggi di posta elettronica, documenti e altri dati in formato elettronico necessari per erogare i Servizi Professionali.

Trattamento: i dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento:

a. Durata e Oggetto del Trattamento dei Dati. La durata del trattamento dei dati coinciderà con il periodo di validità stabilito ai sensi del contratto multilicenza applicabile stipulato tra l’esportatore e la persona giuridica Microsoft al quale sono allegate tali Clausole Contrattuali Tipo (“Microsoft”). L’obiettivo del trattamento dei dati è l’erogazione dei Servizi Professionali.

b. Ambito e Scopo del Trattamento dei Dati. L’ambito e lo scopo del trattamento dei dati personali sono descritti nell’Addendum e nell’Accordo.

c. Accesso ai Dati per il Supporto Tecnico e la Consulenza. Per il periodo di validità stabilito ai sensi dell’Accordo, Microsoft, a propria discrezione e in base alle esigenze ai sensi della legge applicabile di accoglimento dell’Articolo 12(b) della Direttiva UE sulla Protezione dei Dati Personali, potrà: (1) offrire alla Società la possibilità di correggere, eliminare o bloccare i Dati per il Supporto Tecnico e la Consulenza oppure (2) effettuare tali correzioni, eliminazioni o blocchi per conto della Società.

d. Istruzioni dell’Esportatore. Per quanto riguarda i Servizi Professionali, l’importatore agirà solamente in base alle indicazioni

dell’esportatore come comunicato da Microsoft.

e. Eliminazione e Restituzione dei Dati per il Supporto Tecnico e la Consulenza. Microsoft eliminerà o restituirà tutte le copie dei Dati per il Supporto Tecnico e la Consulenza dopo il conseguimento degli scopi commerciali per cui i Dati per il Supporto Tecnico e la Consulenza sono stati raccolti o trasferiti oppure in un momento precedente, previa richiesta scritta da parte della Società stessa.

Subappaltatori: l’importatore potrà impiegare altre società per erogare servizi limitati per suo conto. A tali subappaltatori sarà consentito ottenere i Dati per il Supporto Tecnico e la Consulenza solo per l’erogazione dei servizi della quale sono stati incaricati dall’importatore. Non potranno utilizzare tali dati per altri scopi.

Allegato 2 alle Clausole Contrattuali Tipo per i Servizi di Consulenza erogati da Global Delivery India

Descrizione delle misure di protezione tecniche e organizzative implementate dall’importatore in conformità alle Clausole 4(d) e 5(c):

2. Contatto per il diritto alla protezione dei dati personali. Il funzionario dell’importatore che si occupa del diritto alla protezione dei dati personali

è raggiungibile al seguente indirizzo:

Microsoft Global Services Center (India) Private Limited Attn: Xxxx Xxxxxx

0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX

La firma di Microsoft Corporation è visibile sulla pagina che segue.

Sottoscrizione delle Clausole Contrattuali Tipo per i Servizi di Consulenza erogati da Global Delivery India, Appendice 1 e Appendice 2 per conto

dell’importatore:

Firma

Xxxx Xxxxxx, Vice President

Microsoft Global Services Center (India) Private Limited Xxxxxxxx 0, Xxxxxxxxx Xxxxxx, Xxxxxxxxxx,

Xxxxxxxxx – 000000, Xxxxx

Allegato 3: Condizioni del Regolamento Generale dell’Unione

Europea sulla Protezione dei Dati

A. Definizioni

I termini utilizzati, ma non definiti nelle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, quali “violazione dei dati

personali”, “trattamento”, “responsabile del trattamento”, “incaricato del trattamento” e “interessato”, avranno lo stesso significato assegnato

loro nell’Articolo 4 del Regolamento Generale sulla Protezione dei Dati.

La seguente definizione viene utilizzata anche nelle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati:

“Subincaricati” indica gli altri incaricati del trattamento che vengono utilizzati da Microsoft per trattare i Dati Personali.

B. Ruoli e Ambito

1. Le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati si applicano al trattamento dei Dati Personali, nell’ambito del

Regolamento Generale sulla Protezione dei Dati, da parte di Microsoft per conto della Società.

2. Ai fini dell’interpretazione delle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, la Società e Microsoft accettano che la Società sia il responsabile del trattamento dei propri Dati Personali e che Microsoft sia l’incaricato del trattamento di tali dati, tranne nei casi in cui la Società agisca in qualità di incaricato del trattamento dei Dati Personali, nel qual caso Microsoft sarà un subincaricato.

3. Le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati non limitano né riducono gli impegni per la protezione dei dati personali che Microsoft assume nei confronti della Società nell’Addendum relativo alla Protezione dei Dati per il Supporto Tecnico e la Consulenza o in un altro accordo stipulato tra Microsoft e la Società.

4. Le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati non si applicano qualora Microsoft sia un titolare del trattamento dei Dati Personali.

C. Obbligazioni Specifiche del Regolamento Generale sulla Protezione dei Dati: Articoli 28, 32 e 33

1. Microsoft non ricorrerà a un altro incaricato del trattamento senza previa autorizzazione scritta, specifica o generale, della Società. Nel caso di autorizzazione scritta generale, Microsoft informa la Società di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri incaricati del trattamento, dando così alla Società l’opportunità di opporsi a tali modifiche. (Articolo 28(2))

2. Il trattamento da parte di Microsoft è disciplinato dalle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati a norma del diritto dell’Unione (d’ora in avanti “Unione”) o degli Stati Membri che vincolano Microsoft alla Società. La materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati Personali, le categorie di interessati e le obbligazioni e i diritti della Società sono previsti nel contratto multilicenza della Società, incluse le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati. In particolare, Microsoft dovrà:

(a) trattare i Dati Personali soltanto su istruzione documentata della Società, anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o degli Stati Membri cui è soggetta Microsoft; in tal caso, Microsoft informa la Società circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

(b) garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano

un’adeguata obbligazione legale di riservatezza;

(c) adottare tutte le misure richieste ai sensi dell’Articolo 32 del Regolamento Generale sulla Protezione dei Dati;

(d) rispettare le condizioni di cui ai paragrafi 2 e 3 per ricorrere a un altro incaricato del trattamento;

(e) tenendo conto della natura del trattamento, assistere la Società con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligazione della Società di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento Generale sulla Protezione dei Dati;

(f) assistere la Società nel garantire il rispetto delle obbligazioni di cui agli Articoli da 32 a 36 del Regolamento Generale sulla Protezione dei Dati, tenendo conto della natura del trattamento e delle informazioni a disposizione di Microsoft;

(g) su scelta della Società, eliminare o restituirle tutti i Dati Personali dopo che è terminata l’erogazione dei servizi relativi al

trattamento ed eliminare le copie esistenti, salvo che il diritto dell’Unione o degli Stati Membri preveda la conservazione dei dati;

(h) mettere a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto delle obbligazioni stabilite

all’Articolo 28 del Regolamento Generale sulla Protezione dei Dati e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato.

Microsoft dovrà informare immediatamente la Società qualora, a suo parere, un’istruzione violi il Regolamento Generale sulla Protezione dei Dati

o altre disposizioni, dell’Unione o degli Stati Membri, relative alla protezione dei dati personali. (Articolo 28(3))

3. Quando Microsoft ricorre a un altro incaricato del trattamento per l’esecuzione di specifiche attività di trattamento per conto della Società, su tale altro incaricato del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati Membri, le stesse obbligazioni in materia di protezione dei dati personali contenuti nelle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento stesso. Qualora l’altro incaricato del trattamento ometta di adempiere alle proprie obbligazioni in materia di protezione dei dati personali, Microsoft conserverà nei confronti della Società l’intera responsabilità dell’adempimento delle obbligazioni dell’altro incaricato. (Articolo 28(4))

4. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società e Microsoft mettono in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, a seconda dei casi:

(a) la pseudonimizzazione e la crittografia dei Dati Personali;

(b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

(c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e

(d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (Articolo 32(1))

5. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati Personali trasmessi, conservati o in altro modo trattati. (Articolo 32(2))

6. La Società e Microsoft fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a Dati Personali non tratti tali dati se non è istruito in

tal senso dalla Società, salvo che lo richieda il diritto dell’Unione o degli Stati Membri. (Articolo 32(4))

7. Microsoft informerà la Società senza ingiustificato ritardo dopo essere venuta a conoscenza della violazione. (Articolo 33(2)). Tale notifica dovrà almeno

(a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei Dati Personali in questione;

(b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati personali o di altro punto di contatto presso cui ottenere più informazioni;

(c) descrivere le probabili conseguenze della violazione dei dati personali e

(d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. (Articolo 33(3))

Appendice 1: Condizioni Aggiuntive del Regolamento Generale sulla Protezione dei Dati

A. Subincaricati

1. La Società autorizza Microsoft a ricorrere ai Subincaricati per il Trattamento dei Dati Personali in conformità alle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati.

2. Microsoft garantirà che i Subincaricati siano vincolati da accordi scritti che li obblighino a fornire almeno il livello di protezione dei dati personali richiesto a Microsoft dalle presenti Condizioni del Regolamento Generale sulla Protezione dei Dati.

3. Un elenco aggiornato dei Subincaricati di Microsoft per i Servizi di Supporto Tecnico è disponibile all’indirizzo: xxxxx://xxx.xx/xxxxxxxxxxxxxxxxxxxxxxxxx (tale URL potrà essere aggiornato periodicamente da Microsoft). Almeno 14 giorni prima di autorizzare un Subincaricato ad accedere ai Dati Personali, Microsoft aggiornerà il sito Web e fornirà alla Società uno strumento per ricevere comunicazione di tale aggiornamento. Laddove Microsoft sia il responsabile del trattamento (e non un subincaricato), si applicano le seguenti condizioni:

(a) Qualora la Società non approvi un Subincaricato nuovo, potrà risolvere l’Ordine di Lavoro fornendo, prima della scadenza del periodo di preavviso, una comunicazione scritta della risoluzione in conformità alla disposizioni per la risoluzione contenute nell’Accordo Quadro applicabile che includa una spiegazione dei motivi alla base della mancata approvazione.

4. Un elenco di Subincaricati di Microsoft per i Servizi di Consulenza è disponibile, su richiesta. Qualora tale elenco venga richiesto, almeno 14 giorni prima di autorizzare un nuovo Subincaricato ad accedere ai Dati Personali, Microsoft aggiornerà l’elenco e fornirà alla Società uno strumento per ricevere comunicazione di tale aggiornamento.

B. Assistenza alla Società nel Rispondere alle Richieste degli Interessati

1. Microsoft metterà a disposizione della Società i Dati Personali dei propri interessati e la capacità di soddisfare le loro richieste in merito all’esercizio di uno o più dei loro diritti ai sensi del Regolamento Generale sulla Protezione dei Dati conformemente al suo ruolo di incaricato del trattamento. Microsoft si conformerà alle richieste di assistenza ragionevoli della Società per soddisfare tale esigenza degli interessati.

2. Qualora Microsoft riceva una richiesta dall’interessato della Società di esercitare uno o più dei suoi diritti ai sensi del Regolamento Generale sulla Protezione dei Dati, Microsoft suggerirà all’interessato di presentare la richiesta direttamente alla Società.

C.Trattamento dei Dati Personali

1. Il contratto multilicenza della Società, incluse le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, costituisce l’insieme

completo e finale di istruzioni della Società a Microsoft per il trattamento dei Dati Personali.

2. Microsoft potrà inoltre trasferire Dati Personali su richiesta della legge applicabile.

3. Microsoft garantirà che il proprio personale impegnato nel trattamento dei Dati Personali (i) tratterà tali dati solo se istruito dalla Società, salvo che lo richieda il diritto dell’Unione o degli Stati Membri o altra legge applicabile e (ii) è obbligato al mantenimento della riservatezza dei Dati Personali, anche al termine del proprio impegno lavorativo.

4. L’oggetto del trattamento si limita ai Dati Personali che rientrano nell’ambito del Regolamento Generale sulla Protezione dei Dati e il

trattamento avrà la stessa durata dell’impegno della Società nei Servizi Professionali. La natura e lo scopo del trattamento consisteranno nel fornire i Servizi Professionali ai sensi del contratto multilicenza della Società. I tipi di Dati Personali trattati dai Servizi Professionali includono quelli espressamente indicati all’Articolo 4 del Regolamento Generale sulla Protezione dei Dati oltre ad altri Dati Personali inviati dalla Società

tramite l’impegno nei Servizi Professionali. Le categorie di interessati sono i rappresentanti e gli utenti finali della Società, ad esempio dipendenti, appaltatori, collaboratori e clienti.

5. Al termine delle relazioni commerciali della Società con Microsoft o su richiesta, Microsoft eliminerà o restituirà i Dati Personali a meno che il

diritto dell’Unione o degli Stati Membri o altra legge applicabile non richieda l’archiviazione dei Dati Personali.

D. Protezione

Microsoft (i) conserverà una serie di procedure e criteri di sicurezza per la protezione dei Dati Personali nella modalità stabilita nei criteri scritti di sicurezza dei dati (tali criteri sono “Criteri di Sicurezza delle Informazioni”) per i Servizi Professionali e (ii) si conformerà alle obbligazioni di non divulgazione, metterà a disposizione della Società i Criteri di Sicurezza delle Informazioni, unitamente alle descrizioni dei controlli di sicurezza attuati per i Servizi Professionali e ad altre informazioni ragionevolmente richieste dalla Società riguardo alle procedure e ai criteri di sicurezza di Microsoft.

E. Violazione dei Dati Personali

Microsoft porrà in essere ogni sforzo ragionevole per aiutare la Società ad adempiere all’obbligazione di comunicare all’autorità di controllo specifica e agli interessati una violazione dei dati personali ai sensi degli Articoli 33 e 34 del Regolamento Generale sulla Protezione dei Dati.

F. Registri delle Attività di Trattamento

Microsoft dovrà conservare tutti i registri richiesti ai sensi dell’Articolo 30(2) del Regolamento Generale sulla Protezione dei Dati e, nella misura

applicabile al trattamento dei Dati Personali per conto della Società, renderli disponibili alla Società su richiesta.

G. Modifica, Integrazione e Periodi di Validità

1. Microsoft potrà modificare o integrare le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, dandone comunicazione alla Società, (i) qualora ciò sia richiesto da un’autorità di controllo o da un altro ente pubblico o normativo, (ii) qualora sia necessario per conformarsi alla legge applicabile, (iii) per implementare le clausole contrattuali tipo definite dalla Commissione Europea o (iv) per aderire a un codice di comportamento approvato o a un meccanismo di certificazione approvato o certificato in conformità agli Articoli 40, 42 e 43 del Regolamento Generale sulla Protezione dei Dati.

2. Senza pregiudicare le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati, Microsoft potrà fornire periodicamente informazioni e dettagli aggiuntivi su come attuerà tali condizioni nella propria documentazione tecnica, relativa al diritto alla protezione dei dati personali o sui criteri.

3. Le presenti Condizioni del Regolamento Generale sulla Protezione dei Dati diventeranno effettive (a) alla data di entrata in vigore del Regolamento Generale sulla Protezione dei Dati o (b) in occasione dell’erogazione da parte di Microsoft dei Servizi Professionali dei quali Microsoft è un incaricato del trattamento o un subincaricato.

Document Metadata

Table of Contents

Servizi Professionali Microsoft Addendum relativo alla Protezione dei Dati Personali

Document Metadata