Integrazione relativa a sicurezza informatica e protezione dei dati di PTC (IPD).
Integrazione relativa a sicurezza informatica e protezione dei dati di PTC (IPD).
La presente IPD costituisce parte integrante del Contratto tra il Cliente e PTC (come definiti nel Contratto). Il Cliente sottoscrive la presente IPD per conto di se stesso e, nella misura richiesta dalla Legge applicabile, in nome e per conto delle proprie consociate. Unicamente per gli scopi della presente IPD, salvo ove diversamente specificato, il termine "Cliente" comprende il Cliente e le relative consociate. Tutti i termini con iniziale maiuscola non definiti nella presente IPD hanno il significato loro assegnato nel Contratto.
1. Scopo e campo di applicazione
Le parti concordano che la presente IPD si applica a tutte le attività di Trattamento dei dati del Cliente, ivi compresi i Dati personali, svolte da PTC per conto del Cliente e dovrà a integrare le condizioni del Contratto. In caso di conflitto tra le condizioni del Contratto e la presente IPD, prevarranno i termini stabiliti nella IPD.
2. Interpretazione
2.1. Contratto indica qualsivoglia accordo tra PTC e il Cliente in virtù del quale PTC fornisce i Servizi al Cliente, ivi compresi, senza limitazione, i Termini e condizioni del servizio Cloud/SaaS di PTC; il Contratto con il Cliente di PTC (Contratto di licenza); il Contratto generale di servizi.
2.2. Legge applicabile indica il GDPR, il UK GDPR, il CCPA, la LGDP e qualsivoglia altra legge o norma concernente il Trattamento di dati personali e/o la tutela del diritto di privacy di una persona ovvero il trattamento di dati personali.
2.3. CCPA indica il California Consumer Privacy Act (come modificato dal California Privacy Rights Act del 2020) [Codice civile della California, 1798.100 et seq.] e qualsivoglia norma o orientamento fornito dal California Attorney General.
2.4. Titolare del trattamento indica il soggetto giuridico che stabilisce le finalità e le modalità del Trattamento di dati personali.
2.5. Dati del Cliente indica i dati e le informazioni in formato elettronico inviate dal Cliente ai Servizi, escluse le Applicazioni non PTC, o altrimenti trattati da PTC per conto del Cliente, ad esclusione dei Dati dell'account del Cliente e ai Dati di utilizzo del Cliente.
2.6. Dati dell'account del Cliente indica i dati personali inerenti al rapporto tra il Cliente e PTC, ivi compreso il nome o i dati di contatto di persone fisiche (quali indirizzo e-mail, numero di telefono, titolo) autorizzate da PTC ad accedere all'account e ai dati di fatturazione del Cliente (ivi compreso l'indirizzo di fatturazione) che il Cliente ha associato al proprio account. Tra i Dati dell'account del Cliente rientrano anche i dati che PTC potrebbe dover raccogliere allo scopo di gestire il proprio rapporto con il Cliente, verificarne l'identità, o che potrebbero essere altrimenti richiesti in base alle leggi e alle normative applicabili.
2.7. Dati di utilizzo del Cliente indica i dati di utilizzo del Servizio raccolti e trattati dall'Azienda in relazione all'erogazione dei Servizi, ivi compresi, ma senza limitazione, l'attività dell'utente relativa al tipo di Servizi utilizzati dal Cliente e dai relativi utenti, la configurazione dei computer degli utenti e le metriche sulle prestazioni inerenti al loro utilizzo dei Servizi; i dati utilizzati per identificate l'origine e la destinazione delle comunicazioni, i registri delle attività e i dati utilizzati per ottimizzare, conservare il livello di prestazioni dei Servizi, prevenire e indagare su eventuali usi impropri del sistema.
2.8. Violazione dei dati indica un incidente che ha avuto come conseguenza una compromissione della sicurezza, riservatezza, disponibilità o integrità dei Dati del Cliente, risultante da distruzione illecita, perdita, alterazione, divulgazione o accesso non autorizzati ai Dati del Cliente.
2.9. GDPR indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e le relative norme attuative specifiche di ciascun Paese.
2.10. Persona indica una persona fisica identificata o identificabile; con identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore o altre informazioni correlate alla persona fisica in questione.
2.11. LGPD indica la Legge n. 13.709 del 14 agosto 2018, Legge generale sulla protezione dei dati personali (come modificata dalla Legge n. 13.853 dell'8 luglio 2019) del Brasile.
2.12. Dati personali indica qualunque informazione contenuta nei Dati del Cliente relativa o correlata a una determina Persona, o che possa o potrebbe essere ragionevolmente collegata, direttamente o
indirettamente, a detta Persona.
2.13. Trattamento indica una qualsivoglia attività o serie di operazioni eseguita sui Dati del Cliente, sia con mezzi automatizzati o meno, quali, per esempio, l'accesso, la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'utilizzo, la divulgazione tramite trasmissione, diffusione o altra forma di messa a disposizione, l'allineamento o l'abbinamento, la restrizione, la cancellazione o la distruzione.
2.14. Servizi indica i Servizi definiti nel Contratto.
2.15. Clausole contrattuali standard indica la Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso Paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e le modifiche approvate in vigore a copertura dei trasferimenti di dati personali dalla Svizzera.
2.16. Integrazione del Regno Unito indica l'integrazione "International Data Transfer Addendum" alle Clausole contrattuali standard della Commissione europea emanata dal UK Information Commissioner, Versione B1.0, in vigore dal 21 marzo 2022.
2.17. UK GDPR indica il GDPR recepito nella legislazione del Regno Unito in virtù della sezione 3 del European Union (Withdrawal) Xxx 0000 del Regno Unito.
La presente IPD non deve essere interpretata in alcun senso che contrasti con i diritti e gli obblighi sanciti dalla Legge applicabile né in alcuna maniera che comprometta i diritti o le libertà fondamentali delle persone.
3. Limitazione delle finalità
PTC si impegna a trattare i Dati del Cliente unicamente nella misura necessaria a erogare i Servizi e nelle modalità definite nel Contratto e nella presente IPD. PTC si impegna a non: (i) vendere i Dati del Cliente; (ii) conservare, utilizzare o divulgare i Dati del Cliente per scopi commerciali diversi dall'erogazione dei Servizi o da quanto descritto nella presente IPD; e a non (iii) conservare, utilizzare o divulgare i Dati del Cliente al di fuori dell'ambito del Contratto. PTC si impegna a non (e a non permettere a soggetti terzi di) possedere o far valere vincoli, gravami o altri interessi nei confronti o in relazione ai Dati del Cliente.
4. Durata del Trattamento
Il Trattamento dei dati del Cliente da parte di PTC viene eseguito esclusivamente per la durata del Contratto (ivi compresa la presente IPD).
5. Sicurezza del Trattamento
5.1 PTC ha stabilito misure tecniche e organizzative (specificate nell'Allegato II), che terrà attive per l'intera durata del Contratto, volte a garantire la sicurezza dei Dati del Cliente e a proteggerli contro eventuali Violazioni di dati. Nel valutare l'adeguato livello di sicurezza, sono stati presi in considerazione lo stato dell'arte, i costi di implementazione, la natura, l'ambito, il contesto e le finalità del Trattamento e i rischi associati.
5.2 PTC concede l'accesso ai Dati del Cliente unicamente ai membri del personale e ai subincaricati nella misura strettamente necessaria ai fini dell'erogazione dei Servizi. PTC si accerta che le persone autorizzate a trattare i Dati del Cliente si siano impegnate al rispetto della riservatezza o siano vincolate per legge a un adeguato obbligo di riservatezza. PTC fornisce regolarmente una formazione relativa alla sicurezza informatica e alle misure di protezione della privacy al personale che ha accesso ai Dati del Cliente.
5.3 Fatti salvi eventuali accordi contrattuali tra le parti, PTC si impegna a trattare i Dati del Cliente in maniera strettamente riservata e a informare i propri dipendenti, agenti e/o subincaricati autorizzati coinvolti nel trattamento dei Dati del Cliente che si tratta di informazioni riservate.
6. Controllo
6.1 PTC viene regolarmente sottoposta a controllo da parte di revisori esterni indipendenti e/o revisori interni per verificare l'adeguatezza delle proprie misure tecniche e organizzative a protezione della sicurezza informatica. Su richiesta, PTC si impegna a i) consegnare al Cliente una copia riassuntiva dei verbali dei controlli e ii) fornire risposte scritte a tutte le ragionevoli richieste di informazioni avanzate dal Cliente in relazione al Trattamento dei dati del Cliente, ivi comprese le risposte a questionari inerenti ai controlli e alla sicurezza delle informazioni, necessari per confermare la conformità di PTC con la presente IPD e la Legge applicabile, purché il Cliente si impegni a non esercitare questo diritto più di una volta per ciascun anno solare. Relativamente a quei Servizi per i quali PTC ha ottenuto le certificazioni ISO 27001 e i report SSAE 18 Service Organization Control (SOC) 2, descritti nella Documentazione, PTC accetta di conservare tali certificazioni o standard, o certificazioni
appropriate e analoghe che eventualmente entrino in vigore successivamente, per tutta la durata del Contratto.
6.2 Ove richiesto in virtù della Legge applicabile e soltanto nella misura in cui, secondo la ragionevole opinione del Cliente, a seguito dell'esercizio dei propri diritti di cui alla precedente Sezione 6.1 non sia stata dimostrata la conformità alla presente IPD e alla Legge applicabile, il Cliente e i propri rappresentanti autorizzati hanno la facoltà di svolgere controlli, comprese ispezioni, nel corso della durata del Contratto per stabilire la conformità di PTC ai termini della presente IPD; tali eventuali controlli (o ispezioni) andranno eseguiti durante il normale orario di lavoro di PTC e con ragionevole preavviso. PTC e il Cliente concorderanno l'ambito del controllo, i relativi tempi e la durata, e la tariffa di rimborso della quale il Cliente sarà responsabile. Tutte le tariffe di rimborso devono essere ragionevoli, tenendo conto delle risorse spese da o per conto di PTC.
6.3 La presente Sezione 6 è soggetta alla condizione che il Cliente e i relativi ispettori indipendenti, a seconda del caso, sottoscrivano un accordo di riservatezza per tutelare tutte le informazioni rivelate e rese disponibili nel corso della procedura di dimostrazione della conformità alla presente IPD e alla Legge applicabile.
7. Comunicazione di violazione dei dati
7.1 PTC ha messo in atto controlli e regole destinati a rilevare e rispondere tempestivamente a eventuali incidenti che possano costituire una Violazione dei dati. PTC definirà tempestivamente delle procedure di riassegnazione per indagare su detti incidenti al fine di confermare se si sia effettivamente verificata una Violazione di dati e di adottare ragionevoli provvedimenti atti a individuarne le cause scatenanti, mitigarne eventuali effetti negativi e prevenirne la ricorrenza. In caso di Violazione di dati e tenendo conto della natura del Trattamento e delle informazioni disponibili, PTC collaborerà con il Cliente offrendogli la propria assistenza in adempimento dei propri obblighi sanciti dalla Legge applicabile.
7.2 In caso di Violazione dei dati, PTC si impegna a comunicarlo al Cliente senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui ne viene a conoscenza. Ove possibile, la comunicazione deve contenere almeno le seguenti informazioni:
(a) "L'accaduto": una descrizione della natura della Violazione dei dati, la data e l'ora in cui è stata identificata per la prima volta e le probabili conseguenze che ne deriveranno, per quanto note;
(b) "I dati interessati dall'accaduto": la natura dei Dati del Cliente interessati, le categorie e il numero approssimativo delle Persone e i record di dati, se conosciuti;
(c) "I provvedimenti previsti": le misure adottate o proposte per affrontare la Violazione dei dati e mitigarne i possibili effetti negativi;
(d) "Le azioni opportune del Cliente": le misure che PTC raccomanda al Cliente di prendere per mitigare le conseguenze della Violazione dei dati;
(e) "Maggiori informazioni": i dati di un punto di contatto al quale potersi rivolgere per ricevere maggiori informazioni concernenti la Violazione dei dati.
7.3 Laddove e nelle misura in cui non sia possibile fornire tutte queste informazioni allo stesso tempo, le eventuali ulteriori informazioni andranno fornite tempestivamente non appena divengono disponibili.
7.4 Salvo ove previsto dalla Legge applicabile, PTC non è tenuta a comunicare ad alcuna persona né soggetto terzo diverso dalle forze dell'ordine, dagli investigatori forensi, dalle compagnie assicurative o dai consulenti legali il nome o l'identità del Cliente associato all'eventuale Violazione dei dati senza previa consultazione del Cliente stesso e senza averne ottenuto il previo consenso scritto che non deve essere negato in modo ingiustificato. Nella misura in cui la Violazione dei dati abbia ripercussioni su altri clienti di PTC, è possibile rilasciare una dichiarazione pubblica purché non venga rivelata l'identità del Cliente.
8. Trattamento di dati personali
8.1 Le parti accettano espressamente che il trattamento di Dati personali non rappresenta di per sé l'oggetto dei Servizi. Le parti, tuttavia, prendono atto che non è possibile escludere completamente il fatto che PTC possa ricevere in una certa misura i Dati personali. Pertanto, i termini della presente IPD regolano il trattamento dei Dati personali eseguito da PTC per conto del Cliente in seguito alla comunicazione di detti Dati personali. Per quanto riguarda i Dati personali, è responsabilità del Cliente i) accertarsi della base giuridica del Trattamento, ii) accertarsi che alle persone vengano fornite tutte le informative sulla privacy pertinenti e iii) ottenere i consensi come prescritto dalla Legge applicabile. Il Cliente si impegna ad adottare tutte le ragionevoli misure atte a garantire che i Dati personali non comprendano informazioni sensibili quali dati sanitari, documenti d'identità rilasciati dal governo, dati di carte di credito o di pagamento o categorie speciali di dati ai sensi della definizione specificata nella Legge applicabile. I dettagli delle attività
di Trattamento, in particolare le categorie di Dati personali e le finalità del Trattamento per le quali i Dati personali vengono trattati per conto del Cliente, sono specificati nell'Allegato I.
8.2 PTC si impegna a eseguire il Trattamento dei dati personali solo in base alle istruzioni documentate ricevute dal Cliente. Il Contratto (ivi compresa la presente IPD) costituisce la prima serie di istruzioni documentate. PTC si impegna in misura ragionevole a seguire qualsiasi altra istruzione del Cliente, a condizione che sia richiesta in base alla Legge applicabile, sia tecnicamente fattibile e non comporti variazioni delle prestazioni di Servizi. Ove si configuri una delle eccezioni di cui sopra, o se PTC non possa per altro motivo attenersi a un'istruzione o ritenga che un'istruzione violi la Legge applicabile, PTC provvederà a informarne il Cliente immediatamente (come mezzo è ammessa la posta elettronica).
8.3 Inoltre, PTC potrebbe essere obbligata a trattare Dati personali in base alle disposizioni della Legge applicabile. In tal caso, provvederà a informare il Cliente di tale requisito di legge prima di eseguire il trattamento, a meno che la legge in questione non vieti tale comunicazione per importanti ragioni di interesse pubblico.
8.4 Il Cliente sarà l'unico responsabile della precisione qualità e legalità dei Dati personali e delle modalità con cui li ha raccolti; pertanto, è tenuto a garantire che i Dati personali vengano raccolti e trasmessi a PTC nel rispetto delle Leggi applicabili, in particolare deve accertarsi che sussista la base giuridica per il Trattamento e provvedere a informare opportunamente le Persone in merito alla raccolta e al trattamento dei loro Dati personali.
9. Utilizzo di subincaricati
9.1 PTC ha l'autorizzazione generale del Cliente di impiegare subincaricati per il trattamento dei Dati personali se strettamente necessario per l'esecuzione dei Servizi. Il Cliente approva detti subincaricati elencati alla pagina xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxx-xxxxxxxxxx/xxxx-xxxxxxxxxx-xxxxx-xxx-xxxxxxxxxx. PTC si impegna a comunicare per iscritto al Cliente le eventuali modifiche che intende apportare a questo elenco, con l'aggiunta o la sostituzione di subincaricati, con un preavviso minimo di 30 giorni, concedendo così al Cliente un tempo sufficiente per potersi opporre a dette modifiche prima dell'impiego effettivo dei subincaricati in questione. PTC si impegna a fornire al Cliente le informazioni necessarie al fine di permettergli di esercitare il proprio diritto di opposizione.
9.2 Qualora impieghi un subincaricato, PTC si impegna a sottoscrivere con lo stesso un contratto che imponga al subincaricato in questione sostanzialmente i medesimi obblighi inerenti al trattamento e alla sicurezza informatica che risultano in capo a PTC in virtù della presente IPD.
9.3 PTC rimane pienamente responsabile nei confronti del Cliente dell'adempimento degli obblighi del subincaricato previsti dalla presente IPD.
10. Trasferimento internazionale di Dati personali
10.1 In quanto azienda globale, PTC potrebbe avere la necessità di trattare Dati personali al di fuori del Paese di residenza del Cliente o delle Persone. Tutti questi trasferimenti dovranno avvenire in conformità alla Legge applicabile e PTC si impegna a garantire l'applicazione di tutele adeguate, la sanzionabilità giuridica dei diritti delle Persone e la disponibilità di rimedi legali efficaci.
10.2 Dati personali da SEE e Svizzera: le parti prendono atto che, ove il Cliente trasferisca Dati personali a PTC al di fuori del SEE o della Svizzera, direttamente o tramite trasferimento successivo, a un Paese o un destinatario esterno al SEE o alla Svizzera per il quale la Commissione europea (o, in caso di trasferimenti dalla Svizzera, l'autorità competente) non ha riconosciuto un adeguato livello di protezione dei dati personali, si applicheranno le Clausole contrattuali standard. Per i trasferimenti di Dati personali dal SEE soggetti alle Clausole contrattuali standard della UE, dette Clausole saranno ritenute stipulate (e incorporate per riferimento nella presente IPD) e completate in accordo all'Allegato III.
10.3 Nei casi in cui trova applicazione la politica di PTC "Binding Corporate Rules: Processor Policy" (Regole aziendali vincolanti: politica per i responsabili del trattamento"), tutte le disposizioni contenute in tale politica sono incorporate per riferimento nella presente IPD e saranno vincolanti e giuridicamente sanzionabili da parte del Cliente come se fossero state stabilite nella loro interezza nella presente IPD. In caso di conflitto o incongruenza
tra la presente IPD e le Regole aziendali vincolanti, sono queste ultime a prevalere.
Ordine di precedenza. Laddove sia applicabile più di un meccanismo di trasferimento tra il Cliente e PTC, il trasferimento di Dati personali è soggetto a un unico meccanismo secondo l'ordine di precedenza qui di seguito indicato: (i) Regole aziendali vincolanti: politica per i responsabili del trattamento, e (ii) Clausole contrattuali standard.
10.4 Integrazione del Regno Unito. Le parti concordano che, ove il Cliente trasferisca Dati personali a PTC al di fuori del Regno Unito, direttamente o tramite trasferimento successivo, a un Paese o destinatario esterno al Regno Unito, per il quale l'autorità di regolamentazione o l'organo di governo del Regno Unito non ha riconosciuto un adeguato livello di protezione dei dati personali, si applica l'Integrazione del Regno Unito, che si riterrà dunque sottoscritta (e incorporata per riferimento nella presente IPD) e completata in accordo all'Allegato III.
10.5 Altri trasferimenti internazionali: laddove PTC sottoponga a trattamento Dati personali per contro di un Cliente con sede in un Paese esterno al SEE, alla Svizzera o al Regno Unito, PTC si impegna a garantire che il trasferimento avvenga conformemente alla Legge applicabile. Ciò significa anche trasferire i Dati personali a un destinatario che abbia posto in essere regole aziendali vincolanti in accordo alla Legge applicabile, o che abbia sottoscritto le clausole contrattuali standard adottate o approvate dell'autorità competente per la protezione dei dati.
11. Assistenza al Cliente relativa agli obblighi di protezione dei dati
11.1 PTC si impegna comunicare tempestivamente al Cliente qualsiasi eventuale richiesta di esercizio dei diritti sanciti dalla Legge applicabile ricevuta da un Persona. PTC non deve rispondere direttamente a tale richiesta, salvo se autorizzata dal Cliente.
11.2 Tenendo in considerazione la natura del Trattamento e le informazioni a sua disposizione, PTC si impegna ad assistere il Cliente a) nell'adempimento dei propri obblighi di risposta alla richiesta di esercizio dei propri diritti da parte di una Persona, e b) nel rispetto dei seguenti obblighi conformemente alla Legge applicabile;
(a) l'obbligo di eseguire una valutazione del rischio concernente il Trattamento di dati personali e/o una valutazione dell'impatto delle attività di trattamento previste sulla protezione dei Dati personali (la "valutazione d'impatto sulla protezione dei dati");
(b) l'obbligo di consultare l'autorità di controllo prima di eseguire il Trattamento di dati personali laddove una valutazione d'impatto sulla protezione dei dati indichi che il Trattamento presenta un rischio elevato in assenza di misure adottate dal Cliente per attenuare il rischio;
(c) l'obbligo di garantire che i Dati personali siano accurati e aggiornati, informando tempestivamente il Cliente se PTC viene a sapere che i Dati personali che sta trattando sono inesatti o sono diventati obsoleti;
(d) l'obbligo di assistere il Cliente nel garantire l'adempimento degli obblighi relativi alla sicurezza del Trattamento di dati personali.
12. PTC in qualità di titolare le trattamento:
Il Cliente prende atto e accetta che, relativamente ai Dati dell'account del cliente e ai Dati di utilizzo del cliente, PTC opera in qualità di titolare del trattamento indipendente, e non quale contitolare insieme al Cliente. PTC tratta i Dati dell'account del cliente e i Dati di utilizzo del cliente in qualità di titolare del trattamento (i) per gestire il rapporto con il Cliente; (ii) per svolgere le attività fondamentali dell'Azienda, quali contabilità e attività legate alla compliance, e per gestire il rapporto con il Cliente; (iii) per monitorare, indagare, prevenire e individuare eventuali frodi, incidenti di sicurezza e altri usi impropri dei Servizi, e per evitare danni al Cliente e ai Dati del Cliente; (iv) ai fini della verifica dell'identità; (v) per ottemperare a obblighi giuridici o di legge inerenti al trattamento e alla conservazione di Dati personali ai quali è soggetta PTC; e (vi) come altrimenti permesso dalle Leggi applicabili e in base alla presente IPD e al Contratto. PTC può altresì trattare i Dati di utilizzo del cliente in qualità di Titolare del trattamento al fine di fornire, ottimizzare, migliorare e mantenere i Servizi, individuare e risolvere problemi e sviluppare nuovi prodotti e funzionalità e darne informazione, nella misura consentita delle Leggi applicabili. Qualsiasi attività di trattamento svolta da PTC in qualità di titolare deve rispettare le disposizioni fissate nell'informativa sulla privacy di PTC, disponibile alla pagina xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxxxxx/xxxxxxx.
13. Clausola relativa al CCPA
Per quanto riguarda il rapporto tra il Cliente e PTC, ai fini del CCPA, il Cliente è una "azienda" e PTC è un "fornitore di servizi" e riceve i Dati personali per scopi aziendali. PTC non "vende" né "comunica" i Dati personali ad alcun "soggetto terzo" e si impegna a non conservare, utilizzare o divulgare alcun Dato personale salvo se necessario per lo scopo specifico di eseguire i Servizi per il Cliente conformemente al Contratto, o per altra finalità eventualmente stabilita nel Contratto o secondo quanto consentito dal CCPA. Per tali finalità, i termini "azienda", "fornitore di servizi", "soggetto terzo", "vendere" e "comunicare" hanno il significato loro attribuito nella Sezione 1798.140 del CCPA. PTC conferma di comprendere le limitazioni stabilite nella presente Sezione 13 e si impegna a rispettarle.
14. Non conformità con la presente IPD e risoluzione
La responsabilità derivante dalla presente IPD in capo a ciascuna parte e ciascuna delle rispettive consociate è soggetta alle esclusioni e limitazione stabilite nel Contratto. Eventuali reclami nei confronti di PTC o delle relative consociate derivanti dalla presente IPD devono essere avanzati soltanto dall'entità del Cliente che è parte contraente del Contratto. In nessun caso la presente IPD o una parte riduce o limita i diritti di una Persona o di una qualsiasi autorità di controllo competente.
15. Recupero e cancellazione dei Dati del Cliente
In seguito a risoluzione o scadenza del Contratto, il Cliente ha la facoltà di esportare i Dati del Cliente come descritto nel Contratto; qualora non sia possibile esportare i Dati del Cliente, PTC si impegna a restituirli al Cliente. PTC provvede a cancellare tutti i Dati del Cliente approssimativamente entro 30 giorni dalla risoluzione, secondo i termini del Contratto, salvo nel caso in cui le disposizioni di legge applicabili prevedano l'ulteriore conservazione dei Dati del Cliente. Fino a quando i Dati del Cliente non vengono cancellati o restituiti, PTC è tenuta al rispetto della presente IPD.
16. Clausole varie
16.1 Le parti accettano che la presente IPD sostituisce qualsivoglia IPD eventualmente sottoscritta in precedenza dalle parti in relazione ai Servizi.
16.2 La presente IPD è disciplinata e interpretata in base alle clausole del Contratto inerenti alla legge regolatrice e alla giurisdizione, salvo ove altrimenti stabilito dalle Leggi applicabili.
16.3 La presente IPD e le Clausole contrattuali standard cessano automaticamente e contemporaneamente alla cancellazione dei Dati del Cliente da parte di PTC conformemente alla Sezione 15 della presente IPD.
[Il resto della pagina è stato lasciato intenzionalmente in bianco]
ALLEGATO I
Categorie di interessati i cui Dati personali sono sottoposti a trattamento
Il Cliente può inviare Dati personali ai Servizi, nella misura dallo stesso stabilita e controllata a propria esclusiva discrezione, che possono includere, senza limitazione, Dati personali relativi alle seguenti categorie di Persone:
o Dipendenti, agenti, consulenti, collaboratori freelance del Cliente (che siano persone fisiche)
o Dipendenti o persone di contatto dei clienti, potenziali clienti, partner commerciali e fornitori del Cliente
o Utenti del Cliente dallo stesso autorizzati a utilizzare i Servizi
Categorie di Dati personali sottoposti a trattamento
Il Cliente può inviare Dati personali ai Servizi, nella misura dallo stesso stabilita e controllata a propria esclusiva discrezione, che possono includere, a titolo esemplificativo e non esaustivo, le seguenti categorie di Dati personali:
o Nome e cognome
o Titolo
o Posizione
o Datore di lavoro
o Dati di contatto (azienda, e-mail, telefono, indirizzo fisico di lavoro)
o Dati del documento d'identità
o .
Dati sensibili trattati (se pertinente) e le restrizioni o tutele applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, come per esempio la rigorosa limitazione delle finalità, le restrizioni all'accesso (compreso l'accesso consentito solo al personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, le limitazioni per i trasferimenti successivi o altre misure di sicurezza.
Nessuno
Natura del Trattamento
Raccolta, registrazione, organizzazione, strutturazione, memorizzazione, adattamento o alterazione, recupero, consultazione, divulgazione per trasmissione, diffusione o altra forma di messa a disposizione, restrizione, cancellazione o distruzione secondo quanto necessario ai fini dell'erogazione dei Servizi
Finalità per le quali i Dati personali vengono trattati per conto del Cliente
Erogazione dei Servizi, definita in maniera più specifica nel Contratto
Durata del Trattamento
La durata dell'erogazione dei Servizi da parte di PTC prevista dal Contratto e qualsiasi eventuale proroga o rinnovo.
ALLEGATO II
Misure tecniche e organizzative comprese quelle atte a garantire la sicurezza dei Dati del cliente
"Rete" indica una serie di computer, server, mainframe, dispositivi di rete, periferiche o altri dispositivi connessi tra loro per consentire la condivisione di dati tra loro collegati tramite una Local Area Network (LAN) o Wide Area Network (WAN).
"Controlli di sicurezza" indica tutti gli specifici meccanismi hardware, software o amministrativi necessari per applicare i controlli di sicurezza previsti dalla NIST 800-53, in accordo ai termini del Contratto, come metodi per far fronte ai rischi connessi alla sicurezza dei sistemi IT e delle relative posizioni fisiche o metodi per attuare le politiche ivi correlate. I Controlli di sicurezza specificano le tecnologie, metodologie, procedure di attuazione e altri fattori dettagliati o altri processi da utilizzare per attuare gli elementi previsti dalla Politica di sicurezza relativi a gruppi, persone o tecnologie specifici.
"Politiche di sicurezza" indica le dichiarazioni inerenti agli obiettivi di protezione delle informazioni aziendali concernenti la sicurezza e la conformità obbligatoria alle leggi e normative vigenti.
"Procedure di sicurezza" indica le azioni dettagliate compiute per ottenere e conservare la conformità alla certificazione NIST 800-53 e/o ISO27001.
"Sistemi" indica software, firmware, hardware (per scopo generico o specifico), funzionalità di telecomunicazione (ivi comprese tutte le reti vocali, di dati e video) e/o altri elementi automatizzati, computerizzati e/o software simili o correlati.
Per ottemperare ai propri obblighi di sicurezza derivanti dai termini del Contratto e della IPD, PTC si impegna in ogni momento a: (i) disporre di processi di sicurezza in linea con i migliori standard di settore come la certificazione ISO27001; in alternativa deve avere implementato i controlli di impatto "moderato" previsti dai requisiti di sicurezza del National Institute of Standards and Technology (NIST) 800-53; (ii) rispettare i requisiti di sicurezza, gli obblighi, le specifiche e le procedure di segnalazione eventi stabiliti nella presente IPD;
1. Programma di sicurezza e governance
PTC si impegna a disporre sempre di un Programma di sicurezza che preveda:
(a) Un CISO o responsabile designato per la sicurezza che gestisca i seguenti requisiti
(b) Politiche di sicurezza, Procedure di sicurezza e Controlli di sicurezza;
(c) Un programma di gestione degli incidenti di sicurezza;
(d) Un programma di formazione e sensibilizzazione sulla sicurezza rivolto a tutti i dipendenti per rafforzarne l'impegno in tal senso;
(e) Un programma di gestione dei cambiamenti correlati alla sicurezza, per promuovere stabilità e affidabilità dell'ambiente di sicurezza di PTC durante i processi che comportano cambiamenti della sicurezza; e
(f) Piani di continuità aziendale e piani di ripristino di emergenza, comprendenti test regolari;
(g) Un processo di valutazione dei rischi connessi alla sicurezza per individuare, valutare, rispondere e implementare la gestione dei rischi;
(h) Se nell'ambito di questo impegno sviluppa e fornisce software, il Fornitore deve garantire la sicurezza del ciclo di vita dello sviluppo software e tenerlo in linea con gli standard di settore quali l'OWASP OPEN SAMM;
(i) Se nell'ambito di questo impegno fornisce servizi cloud (IaaS, PaaS, SaaS), il Fornitore deve allineare le proprie prassi agli standard CSA CCM e SOC2
2. Sicurezza tramite progettazione e testing PTC deve mantenere:
(a) Un'architettura di sicurezza in grado di assicurare ragionevolmente l'allineamento ai Controlli di sicurezza NIST 800-53 e la relativa attuazione;
(b) Un sistema di firewall efficaci e tecnologie di rilevamento delle intrusioni necessari a proteggere i dati;
(c) Opportuni elementi progettuali di sicurezza della rete che garantiscano la segregazione dei dati;
(d) Procedure di crittografia dei dati durante la trasmissione e l'archiviazione;
(e) Procedure che garantiscano l'esecuzione regolare di test sui sistemi e i processi di sicurezza di PTC;
(f) Processi di progettazione su più livelli di database e applicazioni che garantiscano che le applicazioni dei siti Web siano progettate in modo da proteggere i Dati del cliente raccolti, trattati e trasmessi attraverso tali sistemi.
3. Monitoraggio e gestione delle patch
PTC ha stabilito e applicherà nel corso della durata del Contratto:
(a) Meccanismi per tenere aggiornate le patch di sicurezza;
(b) Sistemi di monitoraggio e procedure di rilevamento degli attacchi o delle intrusioni, effettivi o solo tentati, ai Dati del Cliente;
(c) Procedure di monitoraggio, analisi e risposta agli avvisi di sicurezza;
(d) Utilizzo e aggiornamento regolare di software commerciali antivirus e anti-malware all'avanguardia; e
(e) Procedure per verificare regolarmente l'integrità del software installato.
4. Controllo dell'accesso remoto da parte degli Utenti autorizzati di PTC PTC deve attuare:
(a) Adeguati meccanismi di autenticazione e autorizzazione degli utenti in base al principio "need to know";
(b) Controlli per applicare rigorose limitazioni dell'accesso per gli utenti remoti autorizzati, sia di PTC sia dei subincaricati, a seconda del caso;
(c) Un'amministrazione precisa e puntuale degli account utenti autorizzati e della gestione dell'autenticazione;
(d) Meccanismi di crittografia o hashing di tutte le password;
(e) Procedure di revoca immediata dell'accesso di account inattivi o utenti autorizzati trasferiti o cessati;
(f) Procedure per il mantenimento della separazione delle funzioni;
(g) Procedure per garantire l'assegnazione di ID univoci a ciascun utente autorizzato con accesso al computer; e
(h) Procedure per assicurare che le impostazioni predefinite fornite da PTC per password e parametri di sicurezza vengano cambiate e gestite in modo adeguato;
(i) Adeguata applicazione dell'autenticazione a più fattori (MFA) per i sistemi correlati alla Dichiarazione di lavoro del Cliente
5. Controllo dell'accesso alle strutture
PTC ha stabilito, e applicherà nel corso della durata del Contratto:
(a) Meccanismi fisici di protezione di tutti gli asset di informazioni e le tecnologie informatiche per garantire che gli stessi siano conservati e protetti in datacenter appropriati;
(b) Opportuni controlli degli accessi alle strutture per limitare l'accesso fisico ai Sistemi;
(c) Procedure per garantire il monitoraggio dell'accesso alle strutture e la sua limitazione in base al principio "need to know";
(d) Misure di protezione contro eventuali distruzioni, perdite o danni dei Dati del Cliente e dei Sistemi dipendenti dal cliente dovuti a potenziali rischi ambientali, quali danni da incendi o alluvioni o guasti tecnologici; e
(e) Controlli per proteggere fisicamente tutti i dati sensibili del Cliente e distruggere opportunamente detti dati quando non sono più necessari.
[Per maggiori informazioni inerenti ai Programmi di PTC relativi alla sicurezza informatica e alla protezione dei dati, consultare il Trust Center di PTC all'indirizzohttps://xxx.xxx.xxx/xx/xxxxx/xxxxx-xxxxxx, dove è possibile richiedere copia dei report di ISO27001 e SOC2 Type II di PTC. ]
ALLEGATO III
Clausole contrattuali standard
Nel rapporto tra PTC Inc. (in qualità di importatore di dati) e il Cliente (anche nel caso in cui il Cliente operi in qualità di titolare del trattamento per conto delle proprie consociate e di altri titolari ai quali si riferisce il trasferimento, a seconda del caso) (in qualità di esportatore di dati), si applicano i seguenti moduli delle Clausole contrattuali standard, che saranno sottoscritti e incorporati per riferimento.
MODULO UNO - Trasferimento da titolare del trattamento a titolare del trattamento, nel caso di trasferimenti in cui il Cliente è titolare del trattamento e PTC tratta i Dati personali in qualità di titolare del trattamento indipendente come stabilito nella IPD
MODULO DUE - Trasferimento da titolare del trattamento a responsabile del trattamento, nel caso di trasferimenti di Dati personali a PTC in qualità di responsabile del trattamento, e
MODULO TRE - Trasferimento da responsabile del trattamento a responsabile del trattamento (in cui il Cliente è responsabile del trattamento e PTC è subincaricato)
Relativamente alle Clausole contrattuali standard si applicano le seguenti disposizioni:
Clausola 9 - Utilizzo di subincaricati.
o MODULO DUE e MODULO TRE
▪ OPZIONE 2, Autorizzazione generale scritta
▪ L'importatore di dati si impegna a comunicare specificatamente per iscritto all'esportatore di dati le eventuali modifiche che intende apportare all'elenco, con l'aggiunta o la sostituzione di subincaricati di PTC, con un preavviso minimo di 30 giorni, concedendo così all'esportatore di dati un tempo sufficiente per potersi opporre a dette modifiche prima dell'impiego effettivo dei subincaricati PTC in questione.
Clausola 17 – Legge regolatrice
o MODULO UNO, DUE e MODULO TRE
▪ OPZIONE 1,
▪ Le presenti Clausole sono disciplinate in base alle leggi di uno Stato membro della UE, purché dette leggi ammettano i diritti di beneficiari terzi. Le parti accettano che si tratta delle leggi della Repubblica di Irlanda
Clausola 18 - Scelta della competenza territoriale e giurisdizionale
o MODULO UNO, DUE e MODULO TRE
o (b) Le parti accettano che si tratta dei tribunali della Repubblica di Irlanda.
Allegato I alle Clausole contrattuali standard
A. ELENCO DELLE PARTI
1 - L'esportatore dei dati è il Cliente, a proprio nome e per conto dei titolari del trattamento con sede nell'Unione europea, nel Regno Unito e in Svizzera
2 - L'importatore dei dati è PTC Inc, 000 Xxxxxxx Xxxxxxxxx, Xxxxxx, XX 00000 Sono validi i rispettivi dati di contatto del Cliente e di PTC specificati nel Contratto.
B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di interessati i cui dati personali vengono trasferiti
Modulo 1 - Da titolare del trattamento a titolare del trattamento:
o Persone autorizzate dal Cliente a utilizzare i prodotti PTC e/o ad accedere ai servizi PTC essendo dipendenti, consulenti, subfornitori, fornitori, partner commerciali e clienti del Cliente.
Modulo 2 - Da titolare del trattamento a responsabile del trattamento
o Dipendenti, consulenti, subfornitori, fornitori, partner commerciali e clienti del Cliente. Altre
persone i cui dati personali possono essere caricati sui Servizi dal Cliente
Modulo 3 - Da responsabile del trattamento a responsabile del trattamento
o Dipendenti, consulenti, subfornitori, fornitori, partner commerciali e clienti del Cliente. Altre persone i cui dati personali possono essere caricati sui Servizi dal Cliente
Categorie di interessati i cui dati personali vengono trasferiti:
I Dati personali trasferiti possono appartenere alle seguenti categorie di dati:
Modulo 1:
nome, azienda, nome utente, ID utente, organizzazione, dati di contatto aziendali, interazioni con i prodotti e servizi PTC quali file di registro e report di incidenti. Indirizzi IP, dati dei cookie, identificatori dei dispositivi e dati simili correlati ai dispositivi.
Modulo 2 e Modulo 3: nome, azienda, organizzazione, dati di contatto aziendali, interazioni con i prodotti e servizi PTC quali file di registro e report di incidenti, e dati personali caricati sui servizi di PTC. Non saranno trasferiti dati sensibili
Frequenza del trasferimento (ad esempio, se i dati vengono trasferiti occasionalmente o in modo continuo).
Continuo
Natura del trattamento
L'importatore di dati si impegna a trattare i Dati personali per quanto necessario a erogare i Servizi, secondo la descrizione più specifica riportata nel Contratto, e come autorizzato dai termini del Contratto (compresa la IPD); nell'ambito delle sue attività rientra quanto segue:
raccolta, registrazione, organizzazione, strutturazione, memorizzazione, adattamento o alterazione, recupero, consultazione, divulgazione per trasmissione, diffusione o altra forma di messa a disposizione, restrizione, cancellazione o distruzione secondo quanto necessario ai fini dell'erogazione dei Servizi da parte dell'importatore di dati.
Il periodo di conservazione dei dati personali o, qualora non sia possibile, i criteri utilizzati per stabilire detto periodo.
I dati personali vengono cancellati dal Servizio al momento della cessazione del Servizio stesso come stabilito dai termini del Contratto.
Per i trasferimenti ai subincaricati PTC, specificare anche l'oggetto, la natura e la durata del trattamento.
Consultare la pagina xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxx-xxxxxxxxxx/xxxx-xxxxxxxxxx-xxxxx-xxx- conditions.
C. AUTORITÀ DI CONTROLLO COMPETENTE
Identificare l'autorità di controllo competente come stabilito nella Clausola 13
o L'autorità di controllo competente è la Data Protection Commission della Repubblica di Irlanda.
Allegato II alle Clausole contrattuali standard - Misure tecniche e organizzative. Si applica l'Allegato II della IPD
Integrazione del Regno Unito
(a) Nella Tabella 1 dell'Integrazione del Regno Unito, i dati delle parti e i dati di contatto principali sono indicati nel Paragrafo A del presente Allegato III.
(b) Nella Tabella 2 dell'Integrazione del Regno Unito, le informazioni relative alla versione delle CCS approvate della UE, dei moduli e delle clausole selezionate ai quali viene allegata la presente Integrazione del Regno Unito si trovano nel Paragrafo B del presente Allegato III.
(c) Nella Tabella 3 dell'Integrazione del Regno Unito:
1. l'elenco delle parti è riportato nel Paragrafo A del presente Allegato III.
2. La descrizione del trasferimento è riportata nel Paragrafo B (Natura del Trattamento) dell'Allegato III.
3. L'Allegato II (Misure di sicurezza tecniche e organizzative) si applica come Allegato II all'International Data Transfer Agreement del Regno Unito
4. L'elenco dei subincaricati è disponibile alla pagina xxxxx://xxx.xxx.xxx/-/xxxxx/Xxxxx/XXXx/xxxxx- agreements/fy18/PTC-Inc-List-of-Sub-processors.pdf.
(d) Nella Tabella 4 dell'Integrazione del Regno Unito, sia l'importatore sia l'esportatore hanno la facoltà di risolvere l'Integrazione del Regno Unito conformemente ai termini ivi fissati.
2.5 Conflitti. In caso di conflitti o incongruenze tra le Clausole contrattuali standard o l'Integrazione del Regno Unito e un qualsivoglia termine della presente IPD o del Contratto, prevalgono le disposizioni delle Clausole contrattuali standard o dell'Integrazione del Regno Unito, a seconda del caso.