Clausole contrattuali standard

Abbiamo redatto questo DPA per includere tutte le possibili configurazioni di CCS. Non è detto che tutte siano applicabili al tuo caso specifico. Per maggiore chiarezza:  

California Consumer Privacy Act (CCPA) 

Abbiamo aggiornato il presente DPA in modo da riflettere gli emendamenti del California Privacy Rights Act (CPRA) al CCPA. Non accettiamo modifiche o emendamenti del Cliente al presente DPA. 

Il presente Contratto per il trattamento dei dati ("DPA") di Momentive è parte integrante del Contratto con Momentive e contiene alcuni termini relativi a protezione, privacy e sicurezza dei dati in conformità con la legislazione in materia di protezione dei dati, ove applicabile. Nel caso in cui (e solo nella misura in cui) vi sia un conflitto tra le diverse leggi e normative sulla protezione dei dati, le parti si impegnano ad attenersi ai requisiti più stringenti o allo standard più elevato che, in caso di controversia al riguardo, sarà determinato esclusivamente da Momentive. 

Il presente DPA viene stipulato tra il cliente e l'entità Momentive interessata, stabilita come segue: 

(i) per i clienti residenti in un paese diverso dagli Stati Uniti, l'entità contraente è Momentive Europe UC ; 

(ii)  per i clienti residenti negli Stati Uniti, l'entità contraente è Momentive Inc. 

Questa è la versione più recente del DPA (datata1° gennaio 2023). 

Nel presente DPA le seguenti espressioni avranno il significato loro assegnato qui di seguito, salvo ove il contesto non richieda diversamente : 

"Contratto" indica un qualsivoglia accordo tra Momentive Inc. o Momentive Europe e un cliente inerente ai Servizi. Detto accordo può essere intitolato in diversi modi, per esempio "Modulo d'ordine", "Ordine di vendita", "Condizioni di utilizzo" o "Contratto sui servizi applicabile" o "Contratto sui servizi principale". 

"Articolo 28" indica l'articolo 28 del GDPR e del UK GDPR applicabile, a seconda del caso, al trattamento dei Dati personali del cliente.  

"Cliente" indica il cliente identificato nel Contratto e/o che è parte contraente del Contratto.  

"Dati del cliente" indica tutti i dati (ivi compresi, a mero titolo di esempio, i Dati personali del cliente) forniti a Momentive da o per conto del cliente nell'ambito dell'utilizzo dei Servizi da parte del cliente, e qualsiasi dato inviato al cliente da soggetti terzi attraverso i Servizi.  

"Dati personali del cliente" indica tutti i Dati personali inviati ai Servizi dal o al cliente e sottoposti a trattamento da parte di Momentive allo scopo di erogare i Servizi al cliente, ivi compresi, a puro titolo di esempio, i dati personali di cui all'Appendice 2 del presente Contratto per il trattamento dei dati. 

"Legislazione in materia di protezione dei dati" indica: 
(i) il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679)("GDPR") e tutte le leggi o normative applicabili dell'UE, del SEE o di uno Stato membro del mercato unico europeo o relativi eventuali aggiornamenti, emendamenti o sostituzioni applicabili al trattamento dei dati personali previsto dal presente Contratto;

(ii) lo Swiss Federal Act on Data Protection Act ("FADP") o il nuovo Federal Act on Data Protection Act che entrerà in vigore il 1° gennaio 2023 ("nFADP");

(iii) tutte le leggi e normative degli Stati Uniti applicabili al trattamento dei dati personali previsto dal presente Contratto, ivi compreso, a titolo di esempio, il CCPA (del 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"); 

(iv) tutte le leggi e i regolamenti che si applicano al trattamento dei dati personali ai sensi del Contratto di volta in volta in vigore nel Regno Unito (incluso il GDPR del Regno Unito); e

(v) il Personal Information Protection and Electronic Documents Act ("PIPEDA"), o qualsiasi aggiornamento, modifica o sostituzione dello stesso che si applichi al trattamento dei dati personali in Canada.

I termini "titolare del trattamento", "valutazione d'impatto sulla protezione dei dati", "trattare", "trattamento", "responsabile del trattamento", "autorità di controllo" hanno lo stesso significato specifico nel GDPR o nel GDPR del Regno Unito.

"Momentive" o "la nostra società" indica Momentive Inc. nel caso di Clienti residenti negli Stati Uniti, e Momentive Europe nel caso di Clienti residenti al di fuori degli Stati Uniti. 

"Momentive Europe" indica Momentive Europe UC, una società irlandese con sede all'indirizzo 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlanda. 

"Momentive Inc." indica Momentive Inc., una società del Delaware con sede all'indirizzo One Curiosity Way, San Mateo, CA 94403, Stati Uniti. 

"Informativa sulla privacy di Momentive" indica l'Informativa sulla privacy di Momentive disponibile alla pagina https://it.surveymonkey.com/mp/legal/privacy/.

"Dati personali" indica quelle informazioni relative a un individuo vivente che è, o può essere, ragionevolmente identificato sulla base di dette informazioni, prese da sole o associate ad altre ("Interessato").

"Servizi" indica i servizi che il Cliente ordina da Momentive in virtù del Contratto. 

"CCS" indica le "Clausole contrattuali standard" annesse alla Decisione della Commissione europea del: i) 4 giugno 2021 in merito alle clausole contrattuali standard per il trasferimento di dati personali in paesi terzi conformemente al GDPR, o ii) (sino al momento in cui Momentive non stipula le Clausole contrattuali standard di cui al punto i)) 5 febbraio 2010 per il trasferimento di Dati personali del cliente a responsabili del trattamento con sede in paesi terzi ai sensi della direttiva 95/46/CE. Laddove si applica la FADP/nFADP, tutti i riferimenti fatti nelle CCS devono essere intesi come riferimenti corrispondenti alla FADP/nFADP. Per tutti i termini utilizzati in questo contesto si farà pertanto riferimento alla definizione fornita nella FADP/nFADP.

"Integrazione per il Regno Unito" indica (i) il modello di clausole integrative emesso dall'Information Commissioner's Office e presentato dinanzi al Parlamento britannico in accordo con la sezione 119A del UK Data Protection Act 2018 in data 2 febbraio 2022, e relative eventuali revisioni successive ai sensi della sezione 18 delle Clausole obbligatorie; dove il modello di clausole integrative a cui si fa riferimento nella presente definizione indica il documento intitolato "International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0", in vigore dal 21 marzo 2022; o (ii) (sino al momento in cui Momentive non stipula l'Integrazione per il Regno Unito di cui al punto (i)), la decisione della Commissione europea del 5 febbraio 2010 per il trasferimento di dati personali a responsabili del trattamento con sede in paesi terzi ai sensi della direttiva 95/46/CE.

"UK GDPR" indica il regolamento europeo GDPR recepito dalle legislazioni di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 del European Union (Withdrawal) Act 2018, come modificato dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 e 2020 e dall'eventuale legislazione di volta in volta in vigore nel Regno Unito che modifica o sostituisce successivamente il regolamento UK GDPR.

Nell'ambito dell'erogazione dei Servizi al Cliente, Momentive è responsabile del trattamento dei Dati personali del Cliente per le finalità del GDPR. In relazione al CCPA, come applicabile, Momentive e il Cliente concordano che Momentive è un "Fornitore di servizi" e il Cliente è l'"Azienda" relativamente alle Informazioni personali (come definite dal CCPA).

Il presente DPA rimarrà in vigore fino al momento della scadenza del Contratto o della sua risoluzione (conformemente ai termini ivi stabiliti). 

Il Cliente dovrà assicurare e qui garantisce e dichiara di essere autorizzato a trasferire i Dati del cliente a Momentive, in modo che Momentive possa sottoporli legalmente a trattamento e trasferire i dati personali  in accordo ai  termini del presente DPA. Il Cliente dovrà fare in modo di informare i relativi soggetti interessati di  tale uso, trattamento e trasferimento, come richiesto dalla Legislazione in materia di protezione dei dati, e di ricevere dagli stessi il loro legittimo consenso (se del caso). Il Cliente è tenuto altresì a garantire la legittimità e la correttezza del trattamento dei dati personali da parte di Momentive.

In caso di trattamento di Dati personali del cliente da parte di Momentive ove il Cliente sia responsabile del trattamento, Momentive si impegna a:

(a) effettuare il trattamento attenendosi esclusivamente alle istruzioni documentate del Cliente e nel rispetto della Legislazione in materia di protezione dei dati, anche relativamente ai trasferimenti di dati personali in altre giurisdizioni o a organizzazioni internazionali, e le parti accettano che il Contratto costituisce l'insieme di istruzioni documentate del Cliente sulla base delle quali Momentive sottopone a trattamento i Dati personali del cliente (compreso all'esterno del SEE), congiuntamente ad altre ragionevoli istruzioni fornite dal Cliente a Momentive (per esempio via e-mail), laddove esse siano coerenti con il Contratto; 

(b) garantire che tutto il personale Momentive coinvolto nel trattamento dei Dati personali del cliente sia soggetto a obblighi di riservatezza relativi ai Dati personali; 

(c) fornire al Cliente le informazioni necessarie a dimostrare la sua conformità agli obblighi previsti dall'Articolo 28 (se pertinente per il Cliente), qualora tali informazioni siano detenute da Momentive e non siano altrimenti accessibili al Cliente tramite il proprio account e le aree utente o sui siti web di Momentive, a condizione che il Cliente invii una richiesta scritta a Momentive con almeno 14 giorni di anticipo;

(d) collaborare come ragionevolmente richiesto dal Cliente per consentire a quest'ultimo di dare seguito a richieste da parte di soggetti interessati di esercitare i propri diritti riconosciuti dalla Legislazione in materia di protezione dei dati in relazione ai dati personali trattati da Momentive nell'ambito dell'erogazione dei Servizi; 

(e) fornire assistenza, se necessario, nella gestione di richieste ricevute direttamente da un Soggetto interessato relative ai propri Dati personali inviati tramite i Servizi;

(e) non conservare i Dati personali del cliente nel suo account una volta che il Cliente li ha eliminati, se non al fine di ottemperare alle leggi e alle normative vigenti e nella misura in cui possano essere altrimenti conservati in copie di backup regolarmente eseguite per garantire la continuità del business e il recupero dei dati in caso di emergenza secondo le nostre regole di conservazione; 

(g) collaborare con l'autorità di controllo o l'organismo che di volta in volta eventualmente le subentra o la sostituisce (o, per quanto richiesto dal Cliente, con altra autorità di regolamentazione della privacy o della protezione dei dati prevista dalla Legislazione in materia di protezione dei dati) nell'espletamento delle attività di detta autorità, se richiesto; 

(h) assistere il Cliente come ragionevolmente richiesto, qualora il Cliente: 

(i) conduca una valutazione d'impatto della protezione dei dati che riguardi i Servizi (che potrebbe comportare la consegna di documentazione per consentire al cliente di eseguire la valutazione); o

(ii) abbia l'obbligo di comunicare un Incidente di sicurezza (come di seguito definito) all'autorità di controllo o al soggetto interessato coinvolto

(i) non (a) vendere o condividere i Dati personali (così come definiti ai sensi del CCPA) per scopi commerciali, o (b) raccogliere, conservare, utilizzare, divulgare o trattare in altra maniera i Dati personali se non (1) per adempiere ai propri obblighi nei confronti del Cliente derivanti dal Contratto, (2) per conto del Cliente, (3) per gli scopi operativi del Cliente, (4) per proprio uso interno come consentito dalla Legislazione in materia di protezione dei dati, (5) per rilevare eventuali incidenti di sicurezza o proteggersi da attività fraudolente o illecite, o (6) secondo quando altrimenti consentito dalla Legislazione in materia di protezione dei dati; 

(j) ove prescritto dalla Legislazione in materia di protezione dei dati, Momentive si impegna a informare il Cliente nel caso in cui venga al corrente che le istruzioni da esso ricevute violino le disposizioni della Legislazione in materia di protezione dei dati. In deroga a quanto sopra, Momentive non sarà in alcun modo obbligata a monitorare o controllare la liceità delle istruzioni ricevute dal Cliente; e

(k) Momentive conferma di comprendere le limitazioni e gli obblighi stabiliti nel presente DPA e di impegnarsi a rispettarli. 

6.1 Trattamento secondario. Il Cliente fornisce a Momentive un'autorizzazione generale di impiegare Subincaricati successivi, fermo restando il rispetto dei requisiti fissati nella presente Sezione 6.

6.2 Elenco dei subincaricati. Fatte salve le clausole di riservatezza del Contratto o altrimenti imposte da Momentive, Momentive si impegna a:

(a) rendere disponibile al Cliente un elenco dei subfornitori Momentive coinvolti nel trattamento o in qualità di responsabili incaricati o subincaricati del trattamento dei Dati personali del Cliente in relazione all'erogazione dei Servizi ("Subincaricati"), congiuntamente a una descrizione della natura dei servizi forniti da ciascun Subincaricato ("Elenco dei subincaricati"). È possibile richiedere una copia dell'Elenco dei subincaricati qui; 

(b) garantire che tutti i Subincaricati menzionati nell'Elenco dei subincaricati siano vincolati da condizioni contrattuali che, sotto tutti gli aspetti sostanziali, non siano meno rigorose di quelle contenute nel presente DPA; e 

(c) rispondere di tutte le azioni e omissioni dei propri Subincaricati nella stessa misura in cui risponderebbe se eseguisse i servizi di ciascuno di detti Subincaricati direttamente in base ai termini del presente DPA, salvo ove diversamente stabilito nel Contratto. 

6.3 Subincaricati nuovi/sostitutivi.  Momentive si impegna a comunicare per iscritto al cliente l'eventuale aggiunta di un nuovo Subincaricato ovvero la sostituzione di un Subincaricato esistente in qualsiasi momento durante la validità del presente Contratto ("Avviso di nuovo subincaricato"). Il cliente si impegna a iscriversi alla mailing list fornita da Momentive attraverso la quale detti avvisi saranno inviati per e-mail, o in alternativa a controllare gli eventuali aggiornamenti dell'elenco qui. Qualora abbia un ragionevole motivo per opporsi all'impiego da parte di Momentive di un Subincaricato nuovo o sostitutivo, il cliente si impegna a comunicarlo per iscritto a Momentive tempestivamente e in ogni caso entro 30 giorni dal ricevimento dell'Avviso di nuovo subincaricato. In caso di una tale ragionevole opposizione, il cliente o Momentive potrà risolvere quella parte del Contratto relativa ai Servizi che non possono essere adeguatamente erogati senza il Subincaricato al quale il cliente si è opposto (tale risoluzione potrebbe comportare, ad esclusiva discrezione e scelta di Momentive, la risoluzione dell'intero Contratto) con effetto immediato inviandone comunicazione scritta all'altra parte. Tale risoluzione non darà diritto ad alcun rimborso delle tariffe pagate in anticipo dal cliente per il periodo successivo alla risoluzione.

7.1 Misure di sicurezza Tenendo conto dello stato dell'arte, del costo di implementazione e della natura, portata, contesto e finalità dei Servizi, così come del livello di rischio, Momentive ha implementato opportune misure tecniche e organizzative (come da Appendice 1) per garantire un livello di sicurezza adeguato al rischio di trattamento illecito o non autorizzato, perdita accidentale e/o danneggiamento dei Dati del Cliente. A intervalli ragionevoli, Momentive verifica e valuta l'efficacia di tali misure tecniche e organizzative, allo scopo di garantire la sicurezza del trattamento.

7.2 Comunicazione di incidenti di sicurezza e violazioni. Se viene al corrente di attività illecite o non autorizzate di accesso, acquisizione, alterazione, utilizzo, divulgazione o distruzione dei Dati personali del cliente ("Incidente di sicurezza"), Momentive prenderà ragionevoli misure per comunicarlo al Cliente senza ingiustificato ritardo. Tra gli Incidenti di sicurezza non rientrano i tentativi o le attività non andati a buon fine che non compromettono la sicurezza dei dati personali, tra cui tentativi falliti di accesso, ping, scansione di porte, attacchi di tipo Denial of service, o altri attacchi di rete su firewall o sistemi in rete. La comunicazione al Cliente di un Incidente di sicurezza non rappresenta assunzione di responsabilità da parte di Momentive.

7.3 Momentive si impegnerà anche a collaborare, per quanto possibile, con il Cliente nell'ambito di eventuali indagini correlate a Incidenti di sicurezza, stilando le comunicazioni eventualmente necessarie e fornendo qualunque altra informazione ragionevolmente richiesta dal Cliente in relazione all'Incidente di sicurezza. 

8.1 Audit. Qualora Momentive sottoponga a trattamento i Dati personali del cliente per il Cliente in qualità di responsabile (soltanto), il Cliente si impegna a informare per iscritto Momentive, con un preavviso minimo di un mese, dell'eventuale audit che il Cliente intende condurre direttamente o tramite un auditor indipendente da esso incaricato (purché nessuna persona che esegue l'audit rappresenti o agisca per conto di un concorrente di Momentive) ("Auditor"). L'ambito dell'audit sarà il seguente:

(a) Il Cliente sarà autorizzato a effettuare un solo audit per ciascun anno di abbonamento, se non altrimenti obbligato per legge o da un ente normativo con l'autorità di eseguire o favorire l'esecuzione di più di un audit nello stesso anno (nel qual caso, il Cliente e Momentive concorderanno, prima di tali audit, un ragionevole rimborso da accordare a Momentive per le spese sostenute).

(b) Momentive accetta, pur rispettando le ragionevoli limitazioni del caso in materia di riservatezza, di fornire prova di eventuali certificazioni e standard di conformità detenute e, se richiesto, renderà disponibile al Cliente una relazione esecutiva sui più recenti test di penetrazione annuali di Momentive, che dovrà includere le misure correttive adottate da Momentive in seguito a tali test di penetrazione. 

(c) L'ambito dell'audit sarà limitato ai sistemi, ai processi e alla documentazione di Momentive correlati al trattamento e alla protezione dei Dati personali del cliente e l'Auditor eseguirà le verifiche nel rispetto delle ragionevoli restrizioni del caso in materia di riservatezza imposte da Momentive.

(d) Il Cliente informerà tempestivamente Momentive di eventuali presunte non conformità o problemi di sicurezza riscontrati nel corso dell'audit, fornendole in via confidenziale i dettagli completi.

8.2Le parti concordano che, salvo diverso ordine o provvedimento vincolante emesso da un'autorità di controllo o un ente normativo con autorità sul Cliente, la presente Sezione 8 definisce l'ambito completo dei diritti di audit del Cliente nei confronti di Momentive.

9.1 Nella misura applicabile, per quanto riguarda il trasferimento (diretto o tramite trasferimento successivo) di Dati personali del Cliente dallo Spazio economico europeo ("SEE"), dalla Svizzera o dal Regno Unito in paesi esterni all'SEE, alla Svizzera e al Regno Unito che non prevedono adeguati standard di protezione dei dati così come stabiliti dalla Commissione Europea o dalla legislazione pertinente in materia di protezione dei dati, Momentive si basa:

(a) sulle CCS; e

(b) per i trasferimenti soggetti alle disposizioni del UK GDPR, sull'Integrazione per il Regno Unito; o

(c) su altre eventuali adeguate tutele o deroghe (in misura opportunamente limitata), specificate o ammesse dalla legislazione in materia di protezione dei dati. 

9.2 Ove richiesto, con il presente le parti stipulano le CCS (copia delle quali è accessibile qui) e l'Integrazione per il Regno Unito (Appendice 3). Le CCS sono incorporate per riferimento nel presente Contratto e si applicano come di seguito indicato: 

(a) se il cliente stipula un contratto con Momentive Inc. negli Stati Uniti ai sensi del Contratto sui servizi ed è titolare del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, Momentive stipula la CCS in qualità di importatore di dati e il cliente stipula le CCS in qualità di esportatore di dati e si applicherà unicamente il modulo due delle CCS; e/o

(b) se il cliente stipula un contratto con Momentive Inc. negli Stati Uniti ai sensi del Contratto sui servizi ed è responsabile del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, Momentive stipula le CCS in qualità di importatore di dati e il cliente stipula le CCS in qualità di esportatore di dati e si applicherà unicamente il modulo tre delle CCS; e/o

(c) se il cliente non è residente nel SEE e stipula un contratto con Momentive Europe UC per l'archiviazione dei Dati personali del cliente all'interno del SEE ai sensi del Contratto ed è titolare del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, Momentive stipula la CCS in qualità di esportatore di dati e il cliente stipula le CCS in qualità di importatore di dati e si applicherà unicamente il modulo quattro delle CCS; e

(d) nella clausola 7, troverà applicazione la cosiddetta docking clause (clausola di adesione posteriore) facoltativa;

(e) nella clausola 11, la lingua facoltativa non sarà applicata;

(f) nella clausola 17, le CCS saranno disciplinate dalla legislazione irlandese;

(g) nella clausola 18, le controversie saranno risolte dinanzi ai tribunali irlandesi; e

(h) gli Allegati I e II delle CCS saranno considerati completati con le informazioni specificate nel Contratto e i dettagli indicati nelle Appendici al presente Contratto per il trattamento dei dati.

9.3 Per i trasferimenti protetti dalla FADP/nFADP, le CCS si applicheranno in conformità alla precedente Sezione 9.2, a eccezione di: 

(a) qualsiasi riferimento al GDPR contenuto nelle CCS deve essere interpretato come riferimento alla FADP/nFADP;  

(b) qualsiasi riferimento a "UE", "Unione" e "diritto degli Stati membri" deve essere interpretato come riferimento alla Svizzera e al diritto svizzero; e  

(c ) qualsiasi riferimento all'"autorità di controllo competente" e ai "tribunali competenti" deve essere interpretato come un riferimento all'autorità e ai tribunali competenti per la protezione dei dati in Svizzera, a meno che le CCS, attuate come descritto sopra, non possano essere utilizzate per trasferire legittimamente tali Dati personali del Cliente in conformità con la FADP/nFADP, nel qual caso le CCS svizzere saranno invece incorporate per riferimento e costituiranno parte integrante del presente DPA e si applicheranno a tali trasferimenti. Ai fini delle CCS svizzere, gli allegati pertinenti delle SCC svizzere saranno popolati utilizzando le informazioni contenute nelle Appendici I e II del presente DPA (a seconda dei casi) e si applicheranno le disposizioni interpretative di cui alla presente Sezione 9.3 (come applicabili e come richiesto ai fini del rispetto della FADP/nFADP).  

9.4 Dietro richiesta scritta e conformemente alle disposizioni contenute nelle Clausole contrattuali standard o nell'Integrazione per il Regno Unito (se applicabile), Momentive si impegna a fornire al Cliente copia delle Clausole contrattuali standard o dell'Integrazione per il Regno Unito stipulate con gli importatori dei dati nella sua funzione di responsabile del trattamento.

10.1 Responsabilità del trattamento dei dati. La responsabilità complessiva di ciascuna parte per qualsivoglia rivendicazione, sia essa in sede contrattuale, di illecito civile (inclusa negligenza), di violazione di obblighi legali o altro, derivante da o correlata al presente DPA , sarà stabilita nel Contratto, se non diversamente concordato per iscritto.

10.2 Conflitto. In caso di conflitto o ambiguità tra: (i) i termini del presente DPA e i termini del Contratto, riguardo all'oggetto del presente DPA, prevarranno i termini del DPA ; (ii) i termini di una qualsiasi clausola contenuta nel presente DPA e una qualsiasi disposizione delle Clausole contrattuali standard, prevarrà la disposizione delle Clausole contrattuali standard.

10.3 Trattamento indipendente. Il Cliente rimane unico responsabile della propria conformità alla legislazione in materia di protezione dei dati per quanto concerne i dati personali non correlati ai Servizi raccolti e trattati in maniera indipendente. Il Cliente provvederà a fornire le proprie informative sulla privacy, in modo chiaro e ben visibile, nelle quali sono descritte accuratamente le proprie modalità di trattamento dei dati e Momentive non sarà responsabile di alcun trattamento di dati personali effettuato dal Cliente in dette circostanze. In virtù del presente strumento, il Cliente tiene completamente indenne Momentive da qualsivoglia tipo di rivendicazione o responsabilità derivante dalla raccolta e dall'uso dei dati da parte del Cliente in dette circostanze.

10.4 Intero contratto. Il Contratto (che incorpora il presente DPA) e qualsivoglia Modulo d'ordine rappresentano l'accordo completo tra le parti e superano eventuali altri accordi o termini e condizioni precedenti o contemporanei, scritti o verbali, relativi all'oggetto ivi disciplinato. Ciascuna parte conferma di non essersi basata su alcuna dichiarazione non registrata nel Contratto che la inducesse a sottoscrivere il Contratto stesso.

10.5 Separabilità di singole clausole. Se una qualsiasi delle disposizioni del presente DPA viene dichiarata illegittima dall’autorità giurisdizionale competente, la disposizione viene invalidata senza inficiare i restanti termini contrattuali. Nessuna disposizione contenuta nel presente Contratto per il trattamento dei dati è finalizzata a instaurare una partnership o joint venture tra le parti, né dovrà essere considerata in tal senso, né autorizza alcuna parte a sottoscrivere eventuali impegni per o per conto dell'altra parte, salvo ove espressamente stabilito nel presente documento.

10.6 Copia elettronica. Il DPA viene consegnato in formato elettronico.

10.7 Legge regolatrice. Il presente DPA sarà disciplinato in base alle leggi dell'Irlanda e le parti accettano la giurisdizione esclusiva dei tribunali irlandesi (per quanto attiene a tutte le controversie contrattuali e non), eccetto in caso di violazione presunta o effettiva di attuali o future leggi, regolamenti, norme, orientamenti normativi e principi di autoregolamentazione a livello statale o federale negli Stati Uniti d'America, nel qual caso si applicheranno le leggi dello Stato della California, se non diversamente stabilito dalla legge.

Descrizione delle misure di sicurezza tecniche e organizzative attuate da Momentive 

Momentive si impegna a tenere in essere misure di protezione fisiche, tecniche e amministrative ("Misure di sicurezza") per proteggere la sicurezza, riservatezza e integrità dei dati personali che le vengono forniti ai fini dell'erogazione dei Servizi al Cliente. 

Tra le Misure di sicurezza rientrano: 

(a) Ambito: organizzazione della sicurezza delle informazioni.

(i) Ruoli e responsabilità dedicati alla sicurezza. Il personale di Momentive con accesso ai dati è soggetto a obblighi di riservatezza.

(ii) Programma di gestione dei rischi. Momentive esegue una valutazione dei rischi, ove opportuno, prima di trattare i dati.

(b) Ambito: Gestione degli asset

(i) Trattamento degli asset.

(1) Momentive ha posto in essere procedure per l'eliminazione dei materiali stampati contenenti i Dati del cliente.

(2) Momentive gestisce un inventario di tutti gli hardware sui quali sono archiviati i Dati del cliente.

(c) Ambito: sicurezza delle risorse umane.

(i) Formazione sulla sicurezza.

(1) Momentive informa i membri del proprio personale sulle procedure di sicurezza rilevanti e sui loro rispettivi ruoli, mettendoli altresì al corrente delle possibili conseguenze derivanti dalla violazione di norme e procedure di sicurezza.

(d) Ambito: sicurezza fisica e ambientale.

(i) Accesso fisico alle strutture. Momentive limita l'accesso alle strutture in cui si trovano i sistemi informatici che trattano i Dati del cliente riservandolo a determinate persone autorizzate.

(ii) Protezione da interruzioni. Momentive si avvale di una serie di sistemi standard del settore per proteggere i dati dalla perdita dovuta a interruzioni dell'alimentazione di corrente o interferenze di linea.

(iii) Eliminazione dei componenti. Momentive segue procedure standard del settore per cancellare i Dati del cliente nel momento in cui non sono più necessari.

(e) Ambito: gestione delle comunicazioni e delle operazioni. 

(i) Politica operativa. Momentive tiene una documentazione relativa alla sicurezza in cui sono descritte le proprie misure di sicurezza, le relative procedure e le responsabilità assegnate ai membri del personale che hanno accesso ai Dati del cliente. 

(ii) Procedure di recupero dei dati.  

(1) Momentive crea periodicamente e continuamente delle copie di backup dei Dati del cliente dalle quali è possibile recuperare gli stessi in caso di perdita della copia principale.  

(2) Momentive conserva le copie dei Dati del cliente e le procedure di recupero dei dati in un luogo separato da quello in cui si trovano i sistemi informatici principali con i quali vengono trattati i Dati del cliente. 

(3) Momentive ha in essere specifiche procedure per regolare l'accesso alle copie dei dati Dati del cliente. 

(iii) Software dannosi. Momentive utilizza dei controlli anti-malware per evitare l'accesso non autorizzato ai Dati del cliente tramite software nocivi, compresi quelli provenienti dalle reti pubbliche.

(iv) Dati oltre confine. 

(1) Momentive esegue la crittografia dei Dati del cliente che vengono trasmessi sulle reti pubbliche. 

(v) Registrazione degli eventi.

(1) Momentive registra l'utilizzo dei propri sistemi di elaborazione dei dati. 

(2) Momentive registra l'accesso e l'uso dei sistemi informatici contenenti i Dati del cliente, registrando ID di accesso, data e ora e alcune attività rilevanti.

(f) Ambito: Gestione degli incidenti che riguardano la sicurezza delle informazioni

(i) Processo di risposta agli incidenti. 

(1) Momentive dispone di un piano di risposta agli incidenti.  

(2) Momentive tiene un registro delle violazioni della sicurezza con la descrizione della violazione, l'indicazione del periodo di tempo, le conseguenze della violazione, il nome della persona che l'ha segnalata e della persona alla quale è stata segnalata, e le eventuali azioni correttive.

(g) Ambito: gestione della continuità del business.

(i) L'archiviazione ridondante di Momentive e le sue procedure di recupero dei dati sono progettate per tentare di ricostruire i Dati del cliente nel loro stato originale precedente alla loro eventuale perdita o distruzione.   

(h) Controllo degli accessi alle aree in cui viene effettuato il trattamento.  Processi finalizzati a evitare l'accesso da parte di persone non autorizzate ai sistemi di elaborazione dati (cioè telefoni, database, server applicativi e relativi hardware) sui quali vengono trattati o utilizzati i Dati del cliente; tali processi includono: 

(i) designazione di aree protette; 

(ii) protezione e limitazione dei percorsi di accesso;

(iii) protezione dei telefoni mobili/cellulari;   

(iv) protezione dei sistemi di elaborazione dati e dei personal computer;

(v) registrazione, monitoraggio e tracciamento di tutti gli accessi ai centri dati in cui sono ospitati i Dati del cliente;  

(vi) protezione dei centri dati in cui sono ospitati i Dati del cliente con sistema di allarme di sicurezza e altre adeguate misure di sicurezza; e 

(vii) la struttura è progettata per resistere a condizioni atmosferiche sfavorevoli e altri eventi naturali ragionevolmente prevedibili, è protetta giorno e notte da personale di sorveglianza, controllo degli accessi con tessera magnetica e/o riconoscimento biometrico (in base al livello di rischio) e accesso controllato da accompagnatore; inoltre è provvista in loco di generatori di emergenza che intervengono in caso di blackout.

(i) Controllo degli accessi ai sistemi di elaborazione dati. Processi finalizzati a evitare l'utilizzo dei sistemi di elaborazione dati da parte di persone non autorizzate; essi comprendono:  

(i) identificazione del terminale e/o dell'utente del terminale dei sistemi di elaborazione dati; 

(ii) disconnessione automatica dopo 30 minuti o meno di inattività del terminale; richiesta password e identificazione per riaprire il terminale;

(iii) emissione e protezione di codici identificativi;  

(iv) requisiti di complessità delle password (lunghezza minima, scadenza, ecc.); e

(v) protezione da accessi esterni tramite un firewall standard del settore.  

(j) Controllo degli accessi ad aree specifiche in cui si trovano i sistemi di elaborazione dati. Misure atte a garantire che solo le persone autorizzate a usare i sistemi di elaborazione dati possano accedere ai dati nell'ambito ed entro i limiti dei rispettivi permessi di accesso (autorizzazioni) e che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione; tra queste misure rientrano:

(i) attuazione di politiche vincolanti per i dipendenti e formazione di ciascun dipendente sui rispettivi diritti di accesso ai Dati personali del  cliente;

(ii) azioni disciplinari efficaci e commisurate nei confronti di persone che accedono ai Dati personali del cliente senza autorizzazione; 

(iii) rilascio dei dati solo a persone autorizzate; 

(iv) attuazione dei principi di accesso con privilegi minimi alle informazioni contenenti i Dati personali del cliente basati rigorosamente sui requisiti del "need to know"; 

(v) gestione della rete di produzione e dell'accesso ai dati regolata da VPN, autenticazione a due fattori e controlli di accesso basati sul ruolo;

(vi) registrazione delle informazioni da parte di sistemi applicativi e di infrastruttura in strutture gestite centralmente a scopo di ricerca e risoluzione dei problemi, controlli della sicurezza e analisi; e 

(vii) criteri per la conservazione delle copie di backup che sono conformi alle leggi vigenti e appropriati alla natura dei dati in questione e ai corrispondenti rischi.

(k) Controllo delle trasmissioni. Procedure atte a evitare che i Dati personali del cliente siano letti, copiati, alterati o eliminati da soggetti non autorizzati durante la loro trasmissione o durante il trasporto dei supporti su cui sono memorizzati; tali procedure sono finalizzate anche a garantire la possibilità di verificare e stabilire a quali organismi è previsto il trasferimento dei Dati personali del cliente per mezzo delle strutture di trasmissione dati; tra esse rientrano: 

(i) utilizzo di firewall e tecnologie di crittografia per proteggere i gateway e le pipeline attraverso cui viaggiano i dati;

(ii) implementazione di connessioni VPN per salvaguardare la connessione alla rete aziendale interna;

(iii) monitoraggio costante dell'infrastruttura (per esempio ICMP-Ping a livello di rete, analisi dello spazio su disco a livello di sistema, consegna di specifiche pagine di prova a livello di applicazione); e

(iv) monitoraggio della completezza e correttezza del trasferimento di dati (controllo end-to-end). 

(l) Controllo dell'archiviazione. Quando i Dati personali del cliente vengono archiviati, ne viene eseguita una copia di backup in forma crittografata come previsto dalle apposite procedure di backup e recupero, utilizzando una soluzione di crittografia per uso commerciale; analogamente, vengono crittografati tutti i dati definiti Dati personali del cliente memorizzati su un qualsiasi dispositivo portatile o laptop o su un supporto di memoria portatile . Saranno impiegate soluzioni di crittografia con chiave non inferiore a 128 bit per la crittografia simmetrica e non inferiore a 1024 bit (o più) per la crittografia asimmetrica;

(m) Controllo dei dati inseriti. Misure destinate a garantire la possibilità di verificare e stabilire se e da chi i Dati personali del cliente sono stati inseriti nei sistemi di elaborazione dati o rimossi; tra esse rientrano:

(i) autenticazione dei membri del personale autorizzati;

(ii) misure protettive per l'immissione dei dati in memoria e per la lettura, alterazione ed eliminazione dei dati memorizzati;

(iii) utilizzo di codici utente (password);

(iv) prova dell'autorizzazione all'immissione stabilita all'interno dell'organizzazione dell'importatore di dati; e

(v) garanzia di blocco degli ingressi alle strutture in cui avviene l'elaborazione dei dati (le stanze in cui sono collocati i computer fisici e le relative apparecchiature).

(n) Controllo della disponibilità. Misure finalizzate a garantire la protezione dei Dati personali del cliente da distruzione o perdita accidentale, ivi compresa la ridondanza dell'infrastruttura e i backup regolari eseguiti sui server dei database. 

(o) Segregazione del trattamento. Procedure atte a garantire che i dati raccolti per finalità diverse possano essere trattati separatamente; tra esse rientrano:

(i) separazione dei dati tramite sicurezza delle applicazioni per gli utenti appropriati;

(ii) memorizzazione dei dati, a livello di database, in tabelle diverse, separate dal modulo o dalla funzione che supportano;

(iii) progettazione di interfacce, processi batch e report solo per scopi e funzioni specifici, cosicché i dati raccolti per finalità specifiche vengano trattati separatamente; e

(iv) esclusione dei dati dinamici dall'utilizzo per scopi di test: a tale scopo possono essere utilizzati solo i dati fittizi appositamente generati.

(p) Programma di gestione delle vulnerabilità. Un programma che garantisce il controllo regolare dei sistemi per rilevare eventuali vulnerabilità e porvi tempestivamente rimedio; questo programma comprende:

(i) scansione periodica di tutte le reti, compresi gli ambienti di test e produzione; e 

(ii) svolgimento di test di penetrazione periodici e correzione tempestiva delle eventuali vulnerabilità.

(q) Distruzione dei dati. In caso di scadenza o risoluzione del Contratto da una delle parti, o altrimenti su richiesta del Cliente a seguito della richiesta da parte di un soggetto interessato o un ente normativo: 

(i) tutti i Dati del cliente saranno distrutti in modo sicuro entro 3 mesi; e

(ii) tutti i Dati del cliente saranno eliminati da tutti i dispositivi di archiviazione di Momentive e/o di soggetti terzi, compresi i backup, entro 6 mesi dalla risoluzione o ricevuta della richiesta da parte del Cliente, eccezion fatta nel caso in cui Momentive sia tenuta per legge a conservare una categoria di dati per un periodo più lungo. Momentive si impegna a distruggere tutti i dati non più necessari in maniera da garantire che gli stessi non possano più essere recuperati.

(r) Standard e certificazioni. Le soluzioni e/o le posizioni di archiviazione dei dati dispongono come minimo dei report SOC 1 (SSAE 16) o SOC 2; certificazioni o livelli di sicurezza simili o equivalenti saranno esaminati caso per caso.

Finalità e natura del trattamento dei dati personali, Categorie di dati personali, Soggetti interessati 

ALLEGATI ALLE Clausole contrattuali standard

ALLEGATO I -

A. ELENCO DELLE PARTI

MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento

MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento

MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento

Esportatori di dati: come indicato nel Contratto

Nome, posizione e dati di contatto della persona di riferimento: come indicato nel Contratto

Attività relative ai dati trasferiti in base alle presenti Clausole: come indicato nell'Appendice 2 del DPA

Importatori di dati: come indicato nel Contratto

Nome: come indicato nel Contratto

Nome, posizione e dati di contatto della persona di riferimento: come indicato nel Contratto

Attività relative ai dati trasferiti in base alle presenti Clausole: come indicato nell'Appendice 2 del DPA

B. DESCRIZIONE DEL TRASFERIMENTO

MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento

MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento

MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento

Categorie di interessati i cui dati personali sono oggetto di trasferimento: come indicato nell'Appendice 2 del DPA

Categorie di dati personali trasferiti: come indicato nell'Appendice 2 del DPA

Dati sensibili trasferiti (se applicabile) e restrizioni o tutele applicate che tengono pienamente conto della natura dei dati e dei rischi implicati, quali, per esempio, rigorosa limitazione delle finalità, restrizioni all'accesso (fra cui accesso consentito solo al personale che ha ricevuto un training specializzato), tenuta di un registro degli accessi ai dati, limitazioni al trasferimento successivo o ulteriori misure di sicurezza: come indicato nelle Appendici 1 e 2 del DPA

La frequenza del trasferimento (per esempio se i dati vengono trasferiti occasionalmente o in modo continuo): occasionale e continuo (a seconda dell'utilizzo dei Servizi)