Addendum per il Trattamento dei Dati Personali APEX
Addendum per il Trattamento dei Dati Personali APEX
Il presente Addendum per il Trattamento dei Dati Personali APEX ("ADPA") al Contratto si applica laddove la fornitura di servizi (i “Servizi APEX”) nei confronti del cliente ("Cliente") da parte di Dell implichi il Trattamento di Dati personali soggetti alle Normative sulla privacye Dell agisca in qualità di Responsabile del trattamento per conto del Cliente, che è Titolare del trattamento. Il presente ADPA non si applica quando Dell è Titolare del trattamento dei dati. In caso di conflitto tra il presente ADPA e il Contratto, il presente ADPA prevarrà rispetto al proprio oggetto.
1. Definizioni.
Ai termini non definiti nel presente ADPA è attribuito il significato stabilito nel Contratto. Nel presente ADPA, i seguenti termini hanno il significato riportato di seguito:
1.1 "Contratto" indica il Contratto APEX.
1.2 "Titolare" indica un'entità che, autonomamente o congiuntamente ad altre entità, determina le finalità e le modalità del Trattamento dei Dati personali.
1.3 "GDPR" indica il Regolamento generale sulla protezione dei dati (UE) 2016/679.
1.4 "Clausole tipo" indica le Clausole Contrattuali Standard per il trasferimento di dati personali (Decisione 2021/914/EU), come eventualmente modificate o sostituite di volta in volta, per quanto riguarda i trasferimenti dallo Spazio Economico Europeo (“SEE”) a paesi al di fuori del SEE (compreso il Regno Unito) e indica le Clausole Contrattuali Standard per il trasferimento dei Dati personali ai Responsabili del trattamento dei dati (Decisione 2010/87/UE) per quanto riguarda i trasferimenti dal Regno Unito a paesi che non sono soggetti a una decisione di adeguatezza ai sensi del UK GDPR.
1.5 "Dati personali" indica qualsiasi informazione, relativa a una persona fisica identificata o identificabile, trattata da Dell nell'ambito dell'esecuzione del Contratto.
1.6 "Violazione dei Dati personali" indica una violazione della sicurezza che causa la distruzione, perdita, alterazione, divulgazione non autorizzata accidentale o illecita dei Dati personali trattati ai sensi del presente ADPA (o l'accesso agli stessi).
1.7 "Normative sulla privacy" indica qualsiasi legge relativa alla privacy e alla protezione dei dati a cui è soggetta una delle parti contraenti e che si applica ai Servizi APEX forniti, inclusi, ove applicabile, il GDPR, il UK GDPR, il California Consumer Privacy Act ("CCPA") e altre leggi simili.
1.8 "Trattamento" indica qualsiasi operazione o serie di operazioni effettuate sui Dati personali o su serie di Dati personali, mediante procedure automatizzate o meno, quali ad esempio raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione per trasmissione, diffusione o altro tipo di messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
1.9 ''Responsabile del trattamento'' indica un'entità che esegue Trattamento dei Dati personali per conto del Titolare.
1.10 "Sub-responsabile del trattamento" indica qualsiasi Responsabile del trattamento incaricato da Dell di fornire i Servizi APEX.
1.11 “UK GDPR” indica il GDPR come mantenuto dal diritto interno del Regno Unito a seguito dell’uscita del Regno Unito dall’Unione Europea, da intendersi insieme al UK Data Protection Xxx 0000, come eventualmente modificato di volta in volta.
2. Trattamento dei dati personali.
2.1 Ruoli delle Parti.
Dell potrà trattare i Dati personali ai sensi del Contratto in qualità di Responsabile del trattamento, agendo per conto del Cliente che ne è Titolare.
2.2 Istruzioni.
Dell tratterà i Dati personali in conformità alle istruzioni documentate fornite dal Cliente. Il Cliente accetta che il
presente ADPA, il Contratto e qualsiasi descrizione del servizio (e.g. statement of work) o ordine di servizio successivi, nonché qualsivoglia configurazione da parte del Cliente o dei suoi utenti autorizzati, rappresentano le istruzioni complete del Cliente a Dell in merito al Trattamento dei Dati personali. Qualsiasi istruzione aggiuntiva o alternativa deve essere concordata tra le parti in forma scritta, inclusi gli eventuali costi sostenuti per conformarsi a tali istruzioni. Dell non ha la responsabilità di stabilire se le istruzioni del Cliente rispettino la legislazione applicabile. Tuttavia, qualora Dell ritenga che un’istruzione del Cliente violi le Normative sulla privacy applicabili, Dell si impegna a informare il Cliente non appena sia ragionevolmente possibile e non sarà tenuta ad agire in conformità all'istruzione che costituisce violazione. Né Dell né alcun Sub-responsabile saranno responsabili per qualunque richiesta di risarcimento avanzata dal Cliente o da terzi in conseguenza a qualsiasi azione od omissione di Dell e/o dei Sub-responsabili, nella misura in cui tale azione od omissione derivi dal rispetto delle istruzioni impartite del Cliente.
2.3 Dettagli del Trattamento.
I dettagli relativi all'oggetto, alla durata, alla natura e alla finalità del Trattamento, nonché il tipo di Dati personali e di soggetti interessati sono specificati nel Contratto e nell'Allegato 1.
2.4 Conformità.
Il Cliente e Xxxx accettano di rispettare i rispettivi obblighi ai sensi delle Normative sulla privacy applicabili ai Dati personali trattati in relazione ai Servizi APEX. Il Cliente è l'unico responsabile della conformità con le Normative sulla privacy relative alla liceità del Trattamento dei Dati personali prima della divulgazione, del trasferimento o della messa a disposizione in altro modo di Dati personali a Dell.
3. Sub-responsabili del Trattamento.
3.1 Impiego di Sub-responsabili del trattamento.
Dell potrà servirsi di Sub-responsabili del trattamento con il consenso scritto, generico o specifico, del Cliente. Il Cliente accetta che Dell possa nominare e impiegare dei Sub-responsabili del trattamento per trattare i Dati personali in relazione ai Servizi APEX, a condizione che Dell stipuli un contratto in forma scritta con ciascun Sub- responsabile che imponga degli obblighi (i) pertinenti ai servizi che il Sub-responsabile del trattamento dovrà erogare e (ii) sostanzialmente simili ai diritti e/o agli obblighi di Dell ai sensi del presente ADPA. I Sub- responsabili del trattamento possono includere terze parti oppure qualsiasi membro del gruppo di aziende Dell. Qualora un Sub-responsabile del trattamento non rispetti i propri obblighi di protezione dei dati indicati sopra, Dell sarà responsabile nei confronti del Cliente per l'adempimento degli obblighi del Sub-responsabile del trattamento.
3.2 Elenco di Sub-responsabili.
L'elenco dei Sub-responsabili del trattamento che Dell impiega a sostegno dell'erogazione dei Servizi APEX è messoa disposizione da Dell al link xxxx://xxx.xxxx.xxx/xxxxxxxxxxxxx
4. Sicurezza.
4.1 Misure di sicurezza tecniche e organizzative.
Tenendo conto degli standard del settore, dei costi di implementazione, della natura, dell'ambito, del contesto e delle finalità del Trattamento, e di qualsiasi altra circostanza relativa al Trattamento dei Dati personali sui sistemi Dell, Dell si impegna a implementare misure di sicurezza tecniche e organizzative adeguate al fine di garantire che sicurezza, riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento e dei Servizi APEX coinvolti nel Trattamento dei Dati personali siano commisurate al rischio in relazione a tali Dati personali. Il Cliente riconosce che le misure di sicurezza tecniche e organizzative indicate nel Contratto forniscono un livello di sicurezza adeguato per la protezione dei Dati personali al fine di soddisfare i requisiti della presente clausola. Periodicamente, Dell (i) sottoporrà a test e monitoraggio l'efficacia di misure di sicurezza, controlli, sistemi e procedure e (ii) identificherà i rischi interni ed esterni, ragionevolmente prevedibili, per la sicurezza, la riservatezza e l'integrità dei Dati personali. Il Cliente ha la responsabilità di implementare, configurare e mantenere misure relative alla privacy e alla sicurezza per i servizi e i prodotti che il Cliente fornisce o controlla.
4.2 Progressi tecnici.
Le misure relative alla sicurezza delle informazioni APEX sono soggette a sviluppi e progressi tecnici e Dell potrà modificare tali misure, a condizione che le modifiche apportate non riducano la sicurezza generale dei Servizi APEX forniti ai sensi del Contratto.
4.3 Accesso.
Dell deve garantire che le persone autorizzate ad accedere ai Dati personali (i) si siano impegnate a rispettarne la riservatezza, ovvero siano soggette ad adeguati obblighi legali di riservatezza e (ii) accedano ai Dati personali esclusivamente sulla base di istruzioni documentate di Dell, salvo nel caso in cui l'accesso sia richiesto dalla legge applicabile.
5. Violazione dei Dati personali.
Dell informerà il Cliente senza indebiti ritardi qualora venga a conoscenza di una Violazione dei Dati personali in relazione ai Servizi forniti da Dell ai sensi del Contratto e adotterà misure ragionevoli al fine di assistere il Cliente nel mitigare, ove possibile, le conseguenze negative di qualsiasi Violazione dei Dati personali.
6. Trasferimenti internazionali.
Dell è autorizzata, in relazione all'erogazione dei Servizi APEX o nel corso del normale svolgimento della propria attività, a trasferire i Dati personali alle proprie consociate e/o ai propri Sub-responsabili in tutto il mondo. Nel corso di tali trasferimenti, Dell assicurerà una protezione adeguata al fine di tutelare i Dati personali trasferiti nell'ambito del presente Contratto o in relazione a esso. Qualora l'erogazione dei Servizi APEX preveda il trasferimento di Dati personali dal SEE o dal Regno Unito verso paesi esterni al SEE o al Regno Unito (non soggetti ad una decisione di adeguatezza ai sensi delle Normative sulla privacy), Dell accettadi utilizzare le Clausole tipo in combinazione con misure supplementari adeguate, ovvero altri meccanismidi trasferimento dei dati adeguati e conformi alle Normative sulla privacy.
7. Cancellazione dei Dati personali.
Al momento della cessazione dei Servizi APEX (per qualsiasi motivo), le parti accettano di conformarsi al meccanismodi cancellazione dei dati previsto dal Contratto.
8. Collaborazione.
8.1 Richieste dell'interessato.
Dell informerà tempestivamente il Cliente delle eventuali richieste provenienti da qualsiasi individuo nell'esercizio dei propri diritti di soggetto interessato ai sensi delle Normative sulla privacy. Il Cliente è responsabile della risposta a tali richieste. Dell assisterà in modo ragionevole il Cliente nel rispondere alle richieste dell'interessato, nella misura in cui il Cliente non abbia accesso ai Dati personali in questione utilizzati dai Servizi APEX. Dell si riserva il diritto di addebitare al Cliente il costo di tale assistenza qualora esso superi un importo nominale.
8.2 Richieste di terze parti.
Se, a seguito di una citazione in giudizio, un'ordinanza del giudice, un'azione di agenzia governativa o di un’autorità pubblica competente o qualsiasi altro requisito di legge o richiesto dalle normative vigenti, Dell è tenuta a divulgare un qualsiasi Dato personale del Cliente, Dell fornendo al Cliente un preavviso e una copia della richiesta il prima possibile, salvo nel caso in cui Dell non sia autorizzata a farlo ai sensi delle leggi applicabili. Se il Cliente lo richiede, Xxxx potrà intraprendere azioni ragionevoli al fine di contestare eventuali richieste di divulgazione a spese del Cliente.
8.3 Valutazione d'impatto sulla privacy e Consultazione preventiva.
Nei limiti di quanto prescritto dalle Normative sulla privacy, Dell fornirà assistenza ragionevole al Cliente nell'eseguire una valutazione d'impatto sulla protezione dei dati in relazione al Trattamento dei dati personali eseguito da Dell e/o ogni necessaria preventiva consultazione con le autorità di controllo. Dell si riserva il diritto di addebitare al Cliente un compenso ragionevole per l'erogazione dell'assistenza di cui sopra.
9. Dimostrazione di conformità.
Qualora il Cliente richiedesse un audit, Dell accetta di fornire il questionario SIG (Standardized Information Gathering, o "Questionario sulla sicurezza") relativo all'approccio e alle pratiche di sicurezza dell'organizzazione Dell. Il Questionario sulla sicurezza è soggetto a revisione annuale, adattato agli standard e alle politiche Dell e aggiornato con gli standard normativi sulla privacy attuali e pertinenti degli Stati Uniti e internazionali, come ad esempio NIST 800-53r4, NIST CSF 1.1, CIS Top 20 o ISO 27001, ove applicabili. Nella misura in cui i requisiti di audit del Cliente ai sensi delle Clausole contrattuali standard o delle Normative sulla privacy applicabili non possano essere ragionevolmente soddisfatti dal Questionario sulla sicurezza, dalla documentazione o dalle informazioni sulla conformità che Dell mette generalmente a disposizione dei propri clienti, Dell risponderà tempestivamente alle ulteriori istruzioni di audit del Cliente. Prima dell'inizio di un audit, il Cliente e Dell concorderanno reciprocamente i requisiti di ambito, tempistiche, durata, controllo ed elementi di prova, nonché il compenso per l'audit, a condizione che tale requisito di stabilire un accordo non consenta a
Dell di ritardare ingiustificatamente l'esecuzione dell'audit. Nella misura necessaria all'esecuzione dell'audit, Dell metterà a disposizione i sistemi, le strutture e la documentazione di supporto relativi al Trattamento dei Dati personali da parte di Dell. Tale audit sarà eseguito da un'azienda di audit esterna, accreditata eindipendente, nel corso degli orari lavorativi, previo ragionevole preavviso fornito a Dell e secondo procedure di riservatezza ragionevoli. Il Cliente e l'auditor non avranno accesso ad alcun dato fornito dagli altri clienti Dell, né ai sistemi o alle strutture Dell non coinvolti nell'erogazione dei Servizi APEX. Qualsiasi costo o commissione relativi all'audit, inclusi tutti i costi e le commissioni ragionevoli per il tempo impiegato da Dell per tale audit in qualsiasiquantità e modalità, oltre alle tariffe per i servizi erogati da Dell, saranno a carico del Cliente. Se dalla relazionerisultante dall'audit del Cliente dovessero emergere gravi esempi di non-conformità, il Cliente dovrà condivideretale relazione di audit con Dell, e Dell provvederà tempestivamente a rimediare alle non conformità gravi rilevate.
10. CCPA.
Qualora Dell tratti Dati personali nell'ambito della CCPA (Legge dello Stato della California relativa alla protezione dei dati), Dell tratterà i Dati personali per conto del Cliente e non conserverà, utilizzerà né divulgherà tali Dati personali per finalità diverse da quelle definite nel presente ADPA e in modo nonconsentito ai sensi della CCPA. In nessun caso Dell venderà alcun Dato personale.
Allegato 1
Descrizione del Trattamento dei dati
1. Oggetto e durata del Trattamento.
L'oggetto e la durata del trattamento sono determinati ai sensi del Contratto.
2. Finalità del Trattamento.
I Dati personali saranno trattati allo scopo di erogare i Servizi APEX, come determinato e definito dai livelli di servizio e delle opzioni di assistenza selezionati. Il Contratto e le relative descrizioni del servizio APEX e statement of work (“APEX Service Offering Description”) si applicheranno alle specifiche e agli eventuali servizi aggiuntivi.
3. Natura del Trattamento.
La natura dei Dati personali trattati è indicata nelle APEX Service Offering Description e statement of work pertinenti.
4. Categorie di interessati.
Gli interessati sono gli utenti finali, i dipendenti, i collaboratori esterni e i fornitori del Cliente, nonché altre terze parti coinvolte nei Servizi APEX.
5. Tipologie di Dati personali.
Le tipologie di Dati Personali che possono essere trasmesse dal Cliente sono indicate nelle APEX Service Offering Description e statement of work pertinenti. Salvo ove diversamente specificato, Dell non tratta categorie speciali di Dati e il Cliente non dovrà fornire categorie speciali di Dati, informazioni sulla salute personale o altri Dati personali simili.