Addendum al trattamento dei dati GDPR UE
Nitro Pro
IL PRESENTE ADDENDUM SUL TRATTAMENTO DEI DATI SI APPLICA SE L'UTENTE SI È ISCRITTO AI SERVIZI NITRO COME CLIENTE AZIENDALE AI SENSI DEI TERMINI DI SERVIZIO NITRO E IL GDPR DELL'UE SI APPLICA AL TRATTAMENTO DEI DATI PERSONALI NEL CONTESTO DEL CONTRATTO. NEL CASO IN CUI L'UTENTE SI SIA REGISTRATO COME PERSONA FISICA, CONSULTARE L'INFORMATIVA SULLA PRIVACY DI NITRO PER ULTERIORI INFORMAZIONI SU COME NITRO ELABORA I DATI PERSONALI DELL'UTENTE.
1. AMBITO; RUOLI DELLE PARTI
Nitro riceverà ed elaborerà i Dati personali a beneficio e per conto del Cliente nell'ambito della fornitura dei Servizi, secondo le istruzioni e le finalità definite dal Cliente nei Dettagli sul trattamento dei dati. Con il presente Addendum sul trattamento dei dati, le Parti desiderano definire i loro accordi specifici in merito al trattamento dei Dati personali nell'ambito dell'Accordo.
Per impostazione predefinita, Nitro agirà in qualità di Responsabile del trattamento e il Cliente agirà in qualità di Titolare del trattamento in relazione ai Servizi forniti da Nitro al Cliente ai sensi dei Termini di servizio di Nitro. Il presente Addendum sul trattamento dei dati sostituisce e sostituisce tutti i precedenti accordi stipulati (se presenti) in relazione al trattamento dei Dati personali e alla protezione dei dati tra le Parti in relazione ai Servizi offerti da Nitro.
Il presente Addendum sul trattamento dei dati integra e fa parte dei Termini di servizio, e insieme i Termini di servizio e il presente Addendum sul trattamento dei dati costituiscono un unico accordo legale tra le Parti. In caso di discrepanze o contraddizioni tra il presente Addendum sul trattamento dei dati e i Termini di servizio, prevarrà l'Addendum sul trattamento dei dati.
2. DEFINIZIONI
"Allegato" indica qualsiasi allegato al presente Addendum sul trattamento dei dati;
"Controller to Processor SCCs" indica il Modulo 2 delle Clausole Contrattuali Standard dell'UE di cui alla Decisione di Esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come modificato o sostituito di volta in volta da un'autorità competente ai sensi delle leggi sulla protezione dei dati;
"Titolare" si riferisce al Cliente come identificato nei Termini di servizio e nel Modulo d'ordine applicabile;
"Dettagli sul trattamento dei dati" indica l'Allegato 1 al presente Addendum sul trattamento dei dati, che include maggiori dettagli sulle istruzioni del Cliente in merito al trattamento dei Dati Personali, quali lo scopo, l'oggetto e la natura del trattamento e il tipo di Dati Personali trattati;
"EU GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
"Clausole contrattuali standard dell'UE" o "SCC": le clausole contrattuali standard per il trasferimento di dati personali a paesi terzi adottate dalla Commissione europea ai sensi della Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, comprese le SCC da Responsabile del trattamento a Incaricato del trattamento e il testo del modulo due di tali clausole contrattuali standard e non qualsiasi altro modulo e non comprese le clausole contrassegnate come facoltative nelle clausole, come modificate o sostituite di volta in volta da un'autorità competente ai sensi delle leggi sulla protezione dei dati pertinenti. Qualora il Parlamento europeo e il Consiglio adottino una serie aggiornata di clausole contrattuali standard dell'UE, per "clausole contrattuali standard dell'UE" si intende l'adattamento più recente;
"Dati personali" indica i dati personali come definiti ai sensi del GDPR dell'UE che Nitro tratta a beneficio e per conto del Cliente nell'ambito della fornitura dei Servizi secondo le istruzioni e le finalità definite dal Cliente nei Dettagli sul trattamento dei dati;
"Elaboratore" si riferisce a Nitro Software Inc. fornitore dei Servizi al Cliente e come identificato nei Termini di servizio;
Per "Elenco dei Subprocessori" si intende l'elenco dei Subprocessori reso disponibile online da Nitro, che include i Subprocessori incaricati da Nitro per la fornitura dei Servizi e l'adempimento degli obblighi di Nitro ai sensi dell'Addendum in generale. Nitro potrà aggiornare di volta in volta l'elenco dei Subprocessori secondo la procedura stabilita nel presente Addendum sul trattamento dei dati;
Per "Subprocessore" si intende qualsiasi elaboratore terzo ingaggiato da Nitro per l'elaborazione dei Dati personali relativi alla fornitura dei Servizi al Cliente;
Tutti gli altri termini e definizioni scritti con lettere maiuscole e che non sono definiti espressamente nel presente Addendum sul trattamento dei dati, sono definiti come indicato nella legislazione applicabile in materia di protezione dei dati o nei Termini di servizio di Nitro.
3. OGGETTO DEL PRESENTE ADDENDUM SUL TRATTAMENTO DEI DATI
3.1 Il presente Addendum al Trattamento dei Dati determina le condizioni del trattamento da parte di Nitro dei Dati Personali comunicati da o su iniziativa del Cliente nel contesto del Contratto. La natura e lo scopo del trattamento, l'elenco e il tipo di Dati Personali nonché le categorie di Soggetti interessati sono elencati nei Dettagli del Trattamento dei Dati (Allegato 1).
3.2 Il trattamento avverrà esclusivamente a beneficio del Cliente e per lo scopo definito dal Cliente nei Dettagli sul trattamento dei dati. Nitro informerà immediatamente il Cliente se, a suo parere, un'istruzione viola la legislazione (sulla protezione dei dati) applicabile. Nitro elaborerà i Dati personali solo in base alle istruzioni documentate del Cliente e non utilizzerà tali Dati personali per scopi propri, a meno che non sia esplicitamente consentito nei Termini di servizio. Nel caso in cui Nitro sia obbligata per legge a procedere al trattamento dei Dati personali, Nitro informerà il Cliente di tale obbligo, a meno che ciò non violi le norme obbligatorie applicabili.
4. TERMINE
4.1 Il presente Addendum sul trattamento dei dati è applicabile a tutti i trattamenti di Dati personali effettuati nel contesto della fornitura dei Servizi al Cliente da parte di Nitro e si applica fintanto che Nitro tratta i Dati personali per conto del Cliente nel contesto del Contratto. Il presente Addendum sul trattamento dei dati integra i Termini di servizio di Nitro e ha lo scopo di garantire la conformità delle Parti ai requisiti imposti dalle leggi e dai regolamenti applicabili in materia di protezione dei dati per l'utilizzo dei Servizi da parte del Cliente.
4.2 Il presente Addendum sul trattamento dei dati termina automaticamente con la risoluzione dell'Accordo (o nel momento in cui viene terminato il trattamento da parte di Nitro). Le disposizioni del presente Addendum sul trattamento dei dati che sono espressamente o implicitamente (data la loro natura) destinate ad avere effetto dopo la cessazione dell'Addendum sul trattamento dei dati sopravviveranno alla cessazione dell'Accordo con riferimento ai Dati personali comunicati da o su iniziativa del Cliente nel contesto dell'Accordo.
5. MISURE TECNICHE E ORGANIZZATIVE
5.1 Nitro offre garanzie adeguate per quanto riguarda l'implementazione di misure tecniche e organizzative appropriate ("TOM") per assicurare un trattamento sicuro dei dati personali e quindi la protezione dei diritti dell'interessato. Le misure tecniche e organizzative implementate da Nitro sono indicate nei Dettagli sul trattamento dei dati. I TOM possono essere aggiornati da Nitro di volta in volta, tuttavia Nitro farà in modo di non ridurre la sicurezza complessiva che ha implementato al momento dell'esecuzione dell'Addendum al Trattamento dei Dati. Il Cliente riconosce che i TOM sono adeguati per il trattamento dei suoi Dati Personali al momento della firma o dell'accettazione del presente Addendum al Trattamento dei Dati.
5.2 Nitro adotterà tutte le misure tecniche e organizzative appropriate di cui all'articolo 32 EU GDPR per garantire un livello di sicurezza adeguato al rischio.
5.3 Qualora il Cliente fornisca a Nitro, nell'ambito dell'Accordo, Dati personali sensibili di cui agli articoli 9 e 10 EU GDPR a Nitro nel contesto dell'Accordo, il Cliente lo comunicherà a Nitro per iscritto tramite privacy@gonitro.com.
5.4 Nel caso in cui il Cliente richieda l'implementazione di specifiche misure tecniche e organizzative da parte di Nitro (che Nitro non ha implementato per impostazione predefinita), il Cliente rimborserà a Nitro l'implementazione di tali misure aggiuntive in base alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. "Costi" del presente Addendum sul trattamento dei dati.
5.5 Adesione di Nitro a un codice di condotta approvato di cui all'articolo 40 EU GDPR, o un meccanismo di certificazione approvato di cui all'articolo 42 EU GDPR può essere utilizzata come elemento di prova delle garanzie sufficienti di cui all'EU GDPR.
6. RITENZIONE
6.1 Nitro non conserverà i Dati personali più a lungo di quanto richiesto per l'elaborazione di tali Dati personali nel contesto dell'Accordo. Il Cliente non darà istruzioni a Nitro di conservare i Dati personali più a lungo del necessario. Il periodo di conservazione applicabile (come definito dal Cliente) è indicato nei Dettagli sul trattamento dei dati.
6.2 A scelta del Cliente, Nitro cancellerà o restituirà al Cliente tutti i Dati personali al termine della fornitura dei Servizi e cancellerà le copie esistenti, a meno che la legislazione dell'Unione o degli Stati membri non richieda la conservazione dei Dati personali. Il Cliente riconosce che i Servizi potrebbero includere funzionalità di download a disposizione del Cliente per consentirgli di scaricare i propri dati. Nella misura in cui tali funzionalità sono disponibili, il Cliente dovrà utilizzare tali funzionalità per estrarre o cancellare i propri dati.
7. RISERVATEZZA
7.1 Le parti hanno concordato una clausola di riservatezza nei Termini di servizio che si applica al trattamento dei Dati personali nel contesto dell'Accordo.
7.2 Nitro riconosce e accetta che solo i dipendenti, gli appaltatori o gli agenti di Nitro che sono coinvolti nel trattamento dei Dati personali possono essere informati sui Dati personali e solo nella misura ragionevolmente necessaria per l'esecuzione dell'Accordo. Nitro garantisce che le persone autorizzate al trattamento dei Dati personali si impegnano alla riservatezza per contratto o sono soggette a un obbligo di riservatezza previsto dalla legge.
8. DIRITTI DELL'INTERESSATO
8.1 Tenendo conto della natura del trattamento, Nitro compirà ogni ragionevole sforzo, adottando misure tecniche e organizzative adeguate, per assistere il Cliente nell'adempimento dell'obbligo di rispondere alle richieste degli Interessati.
8.2 Per tutta l'assistenza prestata da Nitro nell'ambito del trattamento di tali richieste da parte dei Soggetti interessati, il Cliente rimborserà Nitro in conformità alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. Tale rimborso da parte del Cliente non si applicherà (i) nel caso in cui l'Interessato invochi i propri diritti a causa di una Violazione dei Dati Personali comprovatamente attribuibile a Nitro o (ii) nel caso in cui tale assistenza da parte di Nitro non superi le quattro (4) ore di lavoro durante la durata dell'Accordo.
9. DOVERE DI NOTIFICA
9.1 Nel momento in cui viene a conoscenza di una violazione dei dati personali, Nitro ne darà comunicazione al Cliente senza indebito ritardo contattando la persona di contatto indicata nell'Accordo o nel relativo Modulo d'ordine (o in alternativa tramite l'indirizzo e-mail di notifica del Cliente o (se applicabile) qualsiasi altro indirizzo e-mail che il Cliente ha condiviso nel portale di amministrazione come contatto per la privacy). La persona di contatto di Nitro per qualsiasi questione relativa alla protezione dei dati può essere contattata all'indirizzo e-mail: privacy@gonitro.com.
9.2 Su richiesta del Cliente, Nitro informerà il Cliente di qualsiasi nuovo sviluppo relativo a qualsiasi Violazione dei Dati Personali e delle misure adottate per limitarne le conseguenze e per prevenire il ripetersi di tale Violazione dei Dati Personali. È responsabilità del Cliente segnalare qualsiasi violazione dei dati personali all'autorità di vigilanza o all'interessato (o agli interessati), come richiesto.
10. SOTTOPROCESSIONE
10.1 Il Cliente autorizza espressamente Nitro ad avvalersi di Subprocessori per il trattamento dei Dati personali ai fini dell'esecuzione dell'Accordo e per facilitare la fornitura dei Servizi in generale. A tal fine, il Cliente concede a Nitro un'autorizzazione generale scritta a decidere con quale/i Subprocessore/i Nitro collabora per l'adempimento dei propri obblighi ai sensi del Contratto. Nitro pubblica un Elenco dei Subprocessori che riporta i Subprocessori incaricati da Nitro.
10.2 Nitro informerà il Cliente di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di Sub-elaboratori tramite la persona di contatto del Cliente indicata nell'Accordo o nel relativo Modulo d'ordine (o tramite l'indirizzo e-mail di notifica del Cliente o (se applicabile) qualsiasi altro indirizzo e-mail che il Cliente ha condiviso nel portale di amministrazione come contatto per la privacy). Il Cliente avrà il diritto di opporsi all'aggiunta o alla sostituzione rivolgendosi a Nitro per iscritto. In tal caso, le parti discuteranno l'aggiunta, la sostituzione o l'alternativa in buona fede e non appena ragionevolmente possibile dopo la comunicazione scritta di obiezione da parte del Cliente.
10.3 Qualora Nitro assuma un Subprocessore per l'esecuzione di specifiche attività di trattamento, gli stessi obblighi di protezione dei dati o obblighi analoghi a quelli stabiliti nel presente Addendum sul trattamento dei dati saranno imposti a tale Subprocessore mediante un accordo scritto, in particolare fornendo garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate (e rispettando le relative misure tecniche e organizzative). Qualora un Sub-incaricato non adempia ai propri obblighi di protezione dei dati, Nitro rimarrà pienamente responsabile nei confronti del Cliente per l'adempimento dell'obbligo di tale Sub-incaricato.
11. TRASFERIMENTI INTERNAZIONALI DI DATI
11.1 Il Cliente riconosce che Nitro ha sede negli Stati Uniti d'America e autorizza il trasferimento internazionale dei dati personali ai fini della fornitura dei Servizi. Tale trasferimento internazionale di dati è considerato un'istruzione del Cliente.
11.2 Se, in qualsiasi momento durante il periodo di validità del presente Addendum sul trattamento dei dati, Nitro è certificata ai sensi del quadro normativo UE-USA sulla privacy dei dati (il "quadro normativo") per i servizi, le Parti riconoscono che non sono necessarie garanzie adeguate in relazione ai trasferimenti tra l'Utente e Nitro.
11.3 Laddove non si applichino le condizioni di cui alla Sezione 11.2, il Cliente (in qualità di "esportatore di dati") e Nitro (in qualità di "importatore di dati"), con effetto a partire dall'inizio del trasferimento in questione, stipulano le SCC da Titolare a Responsabile del trattamento. L'Allegato 1 alle SCC da Responsabile del trattamento a Incaricato del trattamento sarà considerato precompilato con le sezioni pertinenti dell'Allegato 1 al presente Addendum sul trattamento dei dati. L'allegato 2 alle SCC del Controllore e del Responsabile del trattamento sarà considerato precompilato con le informazioni contenute nella sezione 5 del presente Addendum al trattamento dei dati e:
- nella clausola 7, la clausola di aggancio opzionale non si applica;
- nella clausola 9, si applicherà l'opzione 2 e il periodo di tempo sarà di 30 giorni;
- nella clausola 11, la clausola di ricorso facoltativo non si applica;
- nella clausola 13(a) è inserito quanto segue: Se l'esportatore di dati è stabilito in uno Stato membro dell'UE: L'autorità di controllo responsabile di garantire la conformità dell'esportatore di dati al regolamento (UE) 2016/679 per quanto riguarda il trasferimento di dati, come indicato nell'allegato I.C del presente addendum sul trattamento dei dati, agisce in qualità di autorità di controllo competente.
Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi dell'articolo 3(2) e ha nominato un rappresentante ai sensi dell'articolo 27(1) del Regolamento (UE) 2016/679:] L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27(1) del regolamento (UE) 2016/679, come indicato nell'allegato I.C, agisce in qualità di autorità di vigilanza competente. Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi dell'articolo 3(2) senza tuttavia dover nominare un rappresentante ai sensi dell'articolo 27(2) del Regolamento (UE) 2016/679: L'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti clausole in relazione all'offerta di beni o servizi, o il cui comportamento è monitorato, come indicato nell'Allegato I.C, agirà come autorità di controllo competente. - nella clausola 17, si applicherà l'opzione 1 e le clausole contrattuali standard dell'UE saranno disciplinate dalle leggi dell'esportatore dei dati; e
- nella clausola 18(b), le controversie saranno risolte davanti ai tribunali dell'esportatore dei dati.
11.4 Il Cliente riconosce che i Subprocessori autorizzati ai sensi della clausola 9 possono trattare i Dati personali anche in paesi terzi. Il Cliente consente tali trasferimenti, a condizione che Nitro adotti tutte le misure necessarie per garantire che tali trasferimenti siano conformi alle disposizioni del Capitolo V del GDPR dell'UE e alle altre leggi applicabili in materia di protezione dei dati.
11.5 Nel caso in cui il trasferimento dei Dati personali a un paese terzo o a un'organizzazione internazionale sia obbligatorio ai sensi della legge applicabile dell'UE o di uno Stato membro a cui Nitro è soggetta, Nitro sarà autorizzata a eseguire tale trasferimento e informerà il Cliente di tale requisito legale prima di tale Trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.
12. VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA
12.1 Se il Cliente esegue una valutazione d'impatto sulla protezione dei dati ("DPIA") (articolo 35 EU GDPR) o una consultazione preventiva (articolo 36 EU GDPR) legata al trattamento dei Dati Personali nel contesto dell'esecuzione del Contratto, Nitro assisterà ragionevolmente il Cliente fornendo assistenza su richiesta scritta del Cliente. Il Cliente rimborserà a Nitro l'assistenza fornita ai sensi della Sezione 14 "Costi" del presente Addendum sull'elaborazione dati. Tale rimborso dei costi non si applicherà nel caso in cui (i) l'assistenza richiesta a Nitro sia inferiore a quattro (4) ore lavorative durante la durata dell'Accordo, o (ii) la DPIA o la consultazione preventiva siano innescate da una violazione dei dati personali comprovata e attribuibile a Nitro.
13. AUDIT GIUSTO
13.1 Il Cliente ha il diritto di effettuare verifiche in merito al rispetto da parte di Nitro dei propri obblighi ai sensi del presente Addendum sul trattamento dei dati e della legislazione applicabile in materia di protezione dei dati. Nitro si impegnerà a cooperare con tali verifiche e a mettere a disposizione tutte le informazioni necessarie a dimostrare l'adempimento dei propri obblighi. Il Cliente dovrà notificare a Nitro tale verifica almeno un (1) mese prima della data in cui la verifica sarà effettuata, dandone comunicazione scritta a Nitro tramite privacy@gonitro.com.
13.2 Nel caso in cui venga eseguita una verifica, tutte le parti coinvolte dovranno sottoscrivere uno specifico accordo di non divulgazione emesso da Nitro in relazione a tale verifica e ai risultati della stessa prima dell'inizio della verifica. Durante l'esecuzione di tali verifiche, si dovrà tenere conto degli obblighi di riservatezza delle Parti nei confronti di terzi. Sia le Parti che i loro revisori devono mantenere segrete le informazioni raccolte in relazione a un audit e utilizzarle esclusivamente per verificare la conformità al presente Addendum sul trattamento dei dati e alle leggi e ai regolamenti applicabili in materia di protezione dei dati. Il Cliente ha la possibilità di eseguire l'audit direttamente o di incaricare un revisore indipendente, che tuttavia dovrà sottoscrivere l'accordo di non divulgazione di cui alla presente sezione.
13.3 Entrambe le Parti e, se del caso, i loro rappresentanti, collaborano ragionevolmente, su richiesta, con l'Autorità di vigilanza nello svolgimento dei suoi compiti.
13.4 Il Cliente rimborserà a Nitro l'assistenza fornita da Nitro in relazione agli audit in conformità alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. Resta inteso che tale rimborso non si applicherà nel caso in cui (i) l'audit sia il risultato di una violazione dei dati personali di cui sia stata provata l'imputabilità a Nitro o, (ii) nel caso in cui l'assistenza di Nitro non superi le quattro (4) ore lavorative durante la durata dell'Accordo.
14. COSTI
14.1 L'assistenza da eseguire ai sensi del presente Addendum sull'elaborazione dei dati, per la quale Nitro può addebitare al Cliente, sarà addebitata sulla base delle ore lavorate e delle tariffe orarie standard applicabili di Nitro (USD 295/ora tasse escluse). Nitro fatturerà tali importi su base mensile, ma ha anche il diritto di richiedere una commissione anticipata.
14.2 Il pagamento da parte del Cliente a Nitro per l'assistenza e i servizi professionali forniti da Nitro ai sensi del presente Addendum sul trattamento dei dati avverrà in conformità alle disposizioni dei Termini di servizio.
15. RESPONSABILITÀ
15.1 Nella misura massima consentita dalla legge applicabile, le disposizioni dei Termini di Servizio
Le limitazioni di responsabilità si applicano anche al presente Addendum sul trattamento dei dati e ai danni da esso derivanti.
16. VARIE
16.1 Le disposizioni dei Termini di servizio relative alle modifiche, all'intero accordo, alla separabilità, alla legge applicabile e ai tribunali competenti sono applicabili al presente Addendum sul trattamento dei dati. In caso di discrepanze o contraddizioni tra il presente Addendum sul trattamento dei dati e le Clausole contrattuali standard dell'UE, se applicabili, prevarranno le Clausole contrattuali standard dell'UE.
ALLEGATO 1 - DETTAGLI SUL TRATTAMENTO DEI DATI
A. ELENCO DELLE PARTI
1) Esportatore/i di dati:
- Nome: Cliente, come identificato nel Contratto e nel relativo Modulo d'ordine.
- Indirizzo: L'indirizzo dell'esportatore di dati è indicato nell'Accordo e nel relativo Modulo d'ordine.
- Nome, posizione e dati di contatto della persona di contatto: I dati di contatto del referente per l'esportatore di dati sono indicati nell'Accordo, nel relativo Modulo d'ordine (e, se del caso, nel portale di amministrazione del Cliente).
- Attività rilevanti per i dati trasferiti: Le attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole contrattuali standard dell'UE sono descritte di seguito nella sezione B "Descrizione del trattamento/trasferimento".
- Firma e data: con la firma o l'accettazione del relativo Modulo d'ordine, si riterrà che l'esportatore di dati abbia firmato il presente Allegato I.
- Ruolo (controllore/processore): Controllore
2) Importatore/i dati:
- Nome: Nitro Software Inc.
- Indirizzo: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti.
- Nome, posizione e recapiti della persona da contattare: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Stati Uniti.
- Attività rilevanti per i dati trasferiti: Le attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole contrattuali standard dell'UE sono descritte di seguito nella sezione B "Descrizione del trattamento/trasferimento".
- Firma e data: con la firma o l'accettazione del relativo Modulo d'ordine, si riterrà che l'esportatore di dati abbia firmato il presente Allegato I.
- Ruolo (controllore/processore): Processore
B. DESCRIZIONE DEL TRATTAMENTO/TRASFERIMENTO
1) OGGETTO DEL TRATTAMENTO DEI DATI PERSONALI
L'oggetto è determinato dal Cliente come indicato nel Contratto e nel relativo Modulo d'ordine.
2) LA NATURA E LA FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI
La natura e lo scopo del trattamento sono determinati dal Cliente come indicato nel Contratto e nel relativo Modulo d'ordine.
Per impostazione predefinita, tale trattamento avrà lo scopo di rendere disponibili i Servizi, comprese tutte le loro caratteristiche e funzionalità, al Cliente e ai suoi Utenti e, più in generale, di consentire a Nitro di adempiere ai propri obblighi contrattuali ai sensi del Contratto. Tale finalità può essere la messa a disposizione dei Servizi Cloud (a titolo esemplificativo e non esaustivo, la messa a disposizione del portale cloud del cliente, i servizi di firma elettronica, i servizi di analisi, ecc.
La natura del trattamento comprende, tra le altre istruzioni fornite dal Cliente nel Contratto e nel relativo Modulo d'ordine, l'elaborazione, la raccolta, la conservazione, la comunicazione e il trasferimento dei Dati personali.
3) DATI PERSONALI TRATTATI
A seconda delle funzionalità utilizzate all'interno dei Servizi (ad esempio, portale di amministrazione, servizi di firma elettronica, servizi di analisi, ecc.) e del contenuto dei Dati del Cliente caricati dal Cliente e dai suoi Utenti nel Servizio, Nitro tratta diversi tipi di Dati Personali.
In generale, i Dati Personali trattati da Nitro includono, senza limitazioni:
- Dettagli di identificazione (ad esempio, dettagli sull'utente e sull'utilizzo)
- Dati dei documenti (ad esempio i dati personali contenuti nei documenti PDF trattati)
Una panoramica dettagliata del tipo di Dati personali trattati durante l'utilizzo dei Servizi è disponibile tramite il sito web di Nitro.
Centro protezione: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) DATI SENSIBILI
L'esportatore di dati potrebbe includere dati personali sensibili nei dati personali in conformità alla sezione 5.3 del presente Addendum sul trattamento dei dati. Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specialistica), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive: si fa riferimento ai TOM come elencati o citati nei Dettagli sul trattamento dei dati di seguito.
5) CATEGORIA DI SOGGETTI INTERESSATI
Le seguenti categorie di Soggetti interessati sono di default nell'ambito di applicazione:
- Tutti gli Utenti che hanno accesso ai Servizi (compresi gli utenti amministratori, gli utenti generici o gli utenti invitati come i firmatari).
- Tutti i Soggetti interessati inclusi nei Dati del Cliente caricati nei Servizi dal Cliente o dai suoi Utenti.
Il Cliente conferma che i Soggetti interessati saranno considerati di default una delle seguenti categorie:
- Personale del cliente
- Clienti del cliente
- Prospettive del cliente
- Fornitori del cliente
6) SOTTOPROCESSORI
Nitro si avvale di Subprocessori per garantire la disponibilità di tutte le funzionalità all'interno dei Servizi. I Subprocessori applicabili dipendono dai Servizi utilizzati e dalle funzionalità e configurazioni richieste dal Cliente. Un elenco dettagliato dei Subprocessori ingaggiati da Nitro (compresa la procedura che applichiamo quando ingaggiamo nuovi Subprocessori) è disponibile attraverso il nostro Trust Center: https://www.gonitro.com/trust-center/data-protection/subprocessors- e-subappaltatori
7) MISURE TECNICHE E ORGANIZZATIVE (TOM)
Nitro implementa misure tecniche e organizzative appropriate per garantire un'adeguata sicurezza durante l'utilizzo dei Servizi. Tali misure vengono continuamente aggiornate. Una panoramica dettagliata delle misure adottate è disponibile tramite il nostro Trust Center nella sezione Sicurezza: https://www.gonitro.com/trust-center/security e nella nostra Politica di sicurezza delle informazioni. Il nostro Trust Center elenca anche le certificazioni di cui Nitro è in possesso nella sezione Compliance: https://www.gonitro.com/trust-center/compliance.
8) PERIODO DI CONSERVAZIONE
Nitro non conserverà i Dati personali più a lungo di quanto necessario per la fornitura dei Servizi. A seconda dei Servizi e delle funzionalità utilizzate dal Cliente, i periodi di conservazione applicabili potrebbero essere diversi. Ciascun Cliente può richiedere a Nitro di configurare periodi di conservazione specifici per il proprio ambiente (nella misura in cui ciò sia tecnicamente fattibile).
Nel caso in cui non siano stati configurati periodi di conservazione specifici, i Dati personali saranno conservati per impostazione predefinita da Nitro fino all'eliminazione da parte del Cliente o fino alla risoluzione dell'Accordo tra Nitro e il Cliente (più un massimo di 30 giorni), a seconda di quale delle due situazioni si verifichi per prima. Una panoramica dettagliata dei periodi di conservazione è disponibile tramite il nostro Trust Center: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.
9) FREQUENZA DEI TRASFERIMENTI INTERNAZIONALI
Su base continuativa, come necessario per fornire i Servizi al Cliente.
C. AUTORITÀ DI VIGILANZA COMPETENTE
Identificare la/le autorità di vigilanza competente/i in conformità alla clausola 13 delle Clausole contrattuali standard dell'UE: L'autorità di vigilanza competente è l'autorità di vigilanza applicabile al Cliente (o, se del caso, applicabile al rappresentante del Cliente).