Addendum al Trattamento dei Dati (DPA)
per la fornitura di software (“Servizio Charles”)
versione datata 22 Aprile, 2025
Nota: la presente traduzione in italiano è fornita esclusivamente per comodità e consultazione. In caso di discrepanze, ambiguità o conflitti tra la versione italiana e la versione inglese del presente documento, farà sempre fede e prevarrà la versione in lingua inglese.
Premessa
Il presente Addendum al Trattamento dei Dati (“DPA”) fa parte dell’Accordo tra Charles GmbH, Gartenstraße 86-87, 10115 Berlino (“Charles”) e il suo Cliente come specificato nell’Accordo Commerciale (“Cliente”).
- Oggetto e Definizioni
1.1 Oggetto. Il presente DPA si applica a qualsiasi Dato Personale trattato da Charles per conto del Cliente (“Dati del Cliente”). Per tutti i Dati del Cliente trattati nel contesto del Servizio Charles, il Cliente rimane Titolare del trattamento e Charles rimane Responsabile del trattamento.
1.2 Definizioni. Tutti i termini con iniziale maiuscola hanno i significati indicati nel presente DPA o nell’Accordo; qualsiasi termine non definito nel presente documento avrà il significato previsto dalla normativa applicabile.
- Ambito del Trattamento dei Dati
2.1 Responsabilità di Charles e del Cliente. Charles tratterà i Dati del Cliente in conformità alle leggi e ai regolamenti sulla protezione dei dati applicabili nell’Unione Europea (UE) e, ove applicabile, nel Regno Unito (UK) (congiuntamente le “Normative sulla Protezione dei Dati”) e alle istruzioni del Cliente conformemente al presente DPA. Il Cliente rimane l’unico responsabile della liceità del trattamento dei Dati del Cliente nella misura in cui il Cliente determina le modalità del trattamento dei Dati del Cliente all’interno del Servizio Charles. In particolare, il Cliente dovrà assicurarsi di possedere una base giuridica valida per ogni trattamento da lui avviato, incluso l’ottenimento di tutti i consensi necessari dagli Interessati, ove richiesto dalle Normative sulla Protezione dei Dati applicabili.
2.2 Dettagli del Trattamento. Tutti i Dati del Cliente sono trattati come descritti nell’Allegato 1 per la durata del presente DPA. I dati anonimizzati che non consentono la re-identificazione degli individui non sono considerati Dati del Cliente.
2.3 Nessuna divulgazione discrezionale. Charles non venderà, condividerà né divulgherà in altro modo i Dati del Cliente per scopi commerciali a soggetti diversi dai Sub-responsabili autorizzati, salvo che ciò sia necessario per l’esecuzione dei Servizi Charles o previa autorizzazione del Cliente.
3. Ruolo di Charles e diritto di impartire istruzioni
3.1 Istruzioni documentate. Charles tratterà i Dati del Cliente solo in conformità alle istruzioni documentate e lecite del Cliente come stabilito nel presente DPA, secondo quanto necessario per conformarsi alle Normative sulla Protezione dei Dati, o come diversamente concordato per iscritto. Se Charles è obbligato a trattare i Dati del Cliente ai sensi delle Normative sulla Protezione dei Dati, informerà il Cliente di tale obbligo legale prima del trattamento, salvo che la legge vieti tale informazione per importanti motivi di interesse pubblico.
3.2 Istruzioni illecite. Charles notificherà prontamente al Cliente se ritiene che le istruzioni del Cliente violino le Normative sulla Protezione dei Dati. Charles potrà sospendere il trattamento sulla base di tali istruzioni fino a quando il Cliente non confermi o modifichi le istruzioni stesse. Charles e il Cliente concordano che l'unica responsabilità per il trattamento dei Dati del Cliente conformemente alle istruzioni incombe al Cliente e che Charles non assumerà alcuna responsabilità in merito ai sensi dell'Accordo.
3.3 Riservatezza. Charles assicura che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
- Responsabilità del Cliente
4.1 Fornitura di Dati Personali. Il Cliente deve fornire Dati del Cliente accurati per il corretto utilizzo dei Servizi. La mancata fornitura dei dati necessari può compromettere la funzionalità del Servizio Charles. Il Cliente dovrà informare prontamente Charles di eventuali errori o discrepanze rispetto alle Normative sulla Protezione dei Dati o alle proprie istruzioni verificando i risultati prodotti da Charles.
4.2 Supporto alle richieste di accesso ai dati. Se Charles è tenuto a fornire informazioni relative ai Dati del Cliente alle autorità, il Cliente dovrà assistere prontamente nell'adempimento di tali richieste.
5. Sicurezza del trattamento dei dati
5.1 Misure tecniche e organizzative adeguate (TOMs). Charles implementerà TOM conformi all'articolo 32 del GDPR per proteggere i Dati del Cliente, garantendo la confidenzialità, l'integrità, la disponibilità e la resilienza dei propri sistemi. Tali TOM, dettagliate nell'Allegato 3, tengono conto dello stato dell'arte, dei costi e dei rischi per gli Interessati. Il Cliente è a conoscenza di tali TOM e Charles è responsabile del mantenimento di un livello di sicurezza adeguato al rischio. Charles si conformerà a eventuali codici di condotta approvati ai sensi dell'articolo 40 del GDPR, ove applicabili e una volta adottati dall'autorità di controllo competente.
5.2 Adeguamento delle misure di sicurezza. Charles potrà modificare le TOM concordate, purché il loro livello di protezione non sia sostanzialmente inferiore a quanto concordato e, in ogni caso, venga mantenuto il livello di protezione richiesto dalle Normative sulla Protezione dei Dati applicabili. Le modifiche sostanziali saranno documentate di conseguenza.
6.1 Utilizzo da parte del Cliente dei Servizi AI di Charles. La presente sezione 6 si applica in aggiunta agli obblighi previsti dal presente DPA solo nella misura in cui il Cliente utilizzi i Servizi AI di Charles come specificato nell'Accordo Commerciale (“Servizi AI di Charles”).
6.2 Responsabilità di Charles e del Cliente. Nel contesto dei Servizi AI di Charles, Charles garantirà il rispetto di tutte le normative sull'uso dell'IA applicabili nell'Unione Europea (in particolare l'AI Act dell'UE) e, ove applicabile, nel Regno Unito (congiuntamente le “Normative sull'AI”). Il Cliente rimane l'unico responsabile della liceità del trattamento dei Dati del Cliente nella misura in cui il Cliente determini le modalità del trattamento dei Dati del Cliente all'interno del Servizio AI di Charles.
6.3 Misure di Charles. Charles adotterà misure tecniche e organizzative ragionevoli per supportare il Cliente nell'adempimento dei suoi obblighi di trasparenza nei confronti degli Interessati, compreso - ove richiesto - l'informare i Contatti quando interagiscono con i Servizi AI di Charles. Charles assicurerà che i Servizi AI di Charles siano progettati e implementati in modo da consentire un adeguato controllo umano. Su richiesta, Charles fornirà un riepilogo della logica decisionale dell'IA utilizzata nei Servizi AI.
6.4 Dati del Cliente e Servizi AI di Charles. Nessun Dato del Cliente sarà utilizzato per scopi di addestramento dell'IA salvo sia autorizzato dal Cliente. Salvo istruzioni esplicite del Cliente, il Servizio AI di Charles non si impegnerà in processi decisionali automatizzati che producono effetti giuridici o impatti simili significativi sugli interessati.
6.5 Cache temporanea dei dati. I Dati Personali trattati dai Servizi AI di Charles potranno essere temporaneamente memorizzati nella cache per un periodo fino a 24 ore per ottimizzare le prestazioni. Il Cliente potrà in qualsiasi momento rinunciare alla memorizzazione in cache.
6.6 Accuratezza e limiti delle uscite generate dall'AI. Charles adotterà misure commercialmente ragionevoli per ridurre il rischio che le uscite del suo Servizio AI contengano errori, pregiudizi o allucinazioni (“Inaccuratezze”). Il Cliente riconosce tuttavia che le uscite del Servizio IA di Charles possono contenere di tanto in tanto Inaccuratezze. Il Cliente è responsabile del monitoraggio di tutte le uscite generate dall'AI e di informare Charles di eventuali potenziali Inaccuratezze senza indebito ritardo. Charles non è responsabile per le decisioni prese dal Cliente o dai suoi Contatti all'interno del Servizio AI di Charles. Charles non è responsabile per le Inaccuratezze nei contenuti generati dall'AI.
- Coinvolgimento dei Sub-processori
7.1 Autorizzazione all'uso di Sub-processori. Il Cliente autorizza Charles a utilizzare Sub-processori per il trattamento dei Dati del Cliente conformemente al presente DPA e alle Normative sulla Protezione dei Dati; un elenco aggiornato è incluso nell'Allegato 2.
7.2 Conformità dei Sub-processori. Charles vincolerà ciascun Sub-processori a termini coerenti con il presente DPA e rimane responsabile per la loro prestazione. I Partner di integrazione non sono considerati Sub-responsabili.
7.3 Nuovi Sub-processori. Charles notificherà al Cliente eventuali cambiamenti riguardanti i Sub-processori. Il Cliente potrà opporsi entro 14 giorni, a condizione che l'obiezione si basi su ragionevoli motivi di protezione dei dati. Se tale obiezione rimane irrisolta in buona fede, il Cliente potrà terminare l'Abbonamento con un preavviso di due settimane. In situazioni di emergenza, Charles potrà sostituire un Sub-processore e notificherà prontamente il Cliente, che potrà quindi opporsi alla sostituzione.
- Diritti e reclami degli Interessati
8.1 Supporto da parte di Charles. Charles implementerà misure per assistere il Cliente nel rispondere alle richieste degli Interessati ai sensi delle Normative sulla Protezione dei Dati. Se il Cliente non è in grado di soddisfare una richiesta, Charles, su richiesta, farà sforzi commercialmente ragionevoli per assistere e fornire qualsiasi informazione disponibile sui Dati del Cliente pertinenti.
8.2 Inoltro delle richieste. Se una richiesta di esercizio dei diritti di un Interessato relativa ai Dati del Cliente viene inviata direttamente a Charles, questi notificherà, con sforzi commercialmente ragionevoli, il Cliente entro cinque (5) giorni lavorativi e non risponderà alla richiesta.
8.3 Difesa contro i reclami degli Interessati. Se un Interessato avanza reclami contro il Cliente ai sensi delle Normative sulla Protezione dei Dati, Charles supporterà ragionevolmente il Cliente nella difesa di tali reclami; ciò si applica, mutatis mutandis, anche ai reclami contro Charles.
- Trasferimento transfrontaliero dei Dati del Cliente
9.1 Luoghi di trattamento. I Dati del Cliente saranno principalmente trattati all'interno dell'UE/SEE, con i dati «a riposo» memorizzati su server basati nell'UE ove possibile. Charles potrà trattare i Dati del Cliente al di fuori del SEE se specificato nel presente DPA o notificato al Cliente.
9.2 Trasferimenti di dati limitati. Il Cliente autorizza Charles a effettuare trasferimenti di dati personali al di fuori del SEE a condizioni conformi al presente DPA – sulla base di una decisione di adeguatezza UE, delle Clausole Contrattuali Standard (EU‑SCC) o di altra garanzia prevista dalle Normative sulla Protezione dei Dati.
- Obblighi di notifica di Charles
10.1 Notifica delle violazioni di sicurezza. Charles notificherà al Cliente qualsiasi violazione dei dati personali che interessi i Dati del Cliente senza indebito ritardo e regolarmente entro 48 ore dalla conferma, includendo tutti i dettagli disponibili per aiutare il Cliente a adempiere ai suoi obblighi di segnalazione ai sensi delle Normative sulla Protezione dei Dati.
10.2 Valutazione dell'impatto sulla protezione dei dati e perquisizioni, sequestri e confische. Quando richiesto dalle Normative sulla Protezione dei Dati, Charles assisterà il Cliente nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni con l'autorità di controllo, nella misura ragionevolmente necessaria. Se i Dati del Cliente ai sensi del presente DPA sono oggetto di perquisizione, sequestro o confisca, Charles informerà prontamente il Cliente e tutte le parti rilevanti che il Cliente è il Titolare del trattamento responsabile.
10.5 Richieste di accesso ai dati da parte del governo. Se le autorità governative richiedono o richiedano informazioni sui Dati del Cliente, Charles notificherà il Cliente senza indebito ritardo, salvo sia vietato dalla legge applicabile.
- Cancellazione e restituzione dei Dati del Cliente
Charles corregge o cancella i Dati del Cliente se richiesto dal Cliente e se consentito nell'ambito delle istruzioni permesse o fornisce mezzi tecnici che consentono al Cliente di correggere o cancellare tali dati. Dopo la cessazione del presente DPA e dell'Abbonamento, Charles, a scelta del Cliente, cancellerà o restituirà i Dati del Cliente - salvo che la conservazione sia richiesta dalla legge applicabile, concordata diversamente o necessaria per la fatturazione. Charles potrà conservare la documentazione del trattamento dopo la cessazione. Dopo la data di cessazione, i Dati del Cliente saranno archiviati in modo sicuro per 12 mesi (salvo che la cessazione sia per giusta causa o il Cliente richieda una cancellazione anticipata), con accesso limitato a un amministratore dedicato.
- Documentazione di conformità e audit
12.1 Fornitura di documentazione. Charles fornirà prove della propria conformità al presente DPA su richiesta del Cliente fornendo, ad esempio, valutazioni interne, politiche di conformità, certificazioni o riepiloghi di audit.
12.2 Audit. Quando la fornitura di documentazione non sia sufficiente a fornire tale prova, e qualora audit da parte del Cliente o di un revisore nominato dal Cliente siano necessari, il Cliente potrà effettuare audit durante l'orario di ufficio in Germania (Lun–Ven, 10:00–17:00 CET) senza interferire con le operazioni di Charles previa comunicazione a Charles con almeno 3 giorni lavorativi di preavviso. Prima di qualsiasi audit, Charles e il Cliente devono concordare ambito, tempistiche e durata. Charles potrà richiedere un accordo di riservatezza e potrà rifiutare revisori che siano concorrenti. Gli audit sono generalmente limitati a un giorno per anno solare salvo diverso accordo. Ciascuna Parte sopporterà i propri costi connessi agli audit.
13.1 Durata e cessazione del DPA. Il presente DPA entra in vigore alla Data di Efficacia dell'Accordo. Per evitare dubbi, è esclusa una cessazione isolata del presente DPA senza alcuna delle condizioni sopra indicate di fine del termine o di risoluzione.
- Responsabilità e indennizzo
14.1 Responsabilità ai sensi del presente DPA. La responsabilità ai sensi del presente DPA è disciplinata dall'articolo 82 del GDPR, salvo quanto diversamente previsto nel presente DPA o nell'Accordo, nella misura consentita dalle Normative sulla Protezione dei Dati.
14.2 Responsabilità; Limitazione della responsabilità. Il Cliente è l'unico responsabile di garantire che il trattamento dei Dati del Cliente (inclusi tramite i Servizi Charles, i Canali di Messaggistica Selezionati e i Servizi di Terzi) sia conforme alle leggi applicabili e tuteli i diritti degli Interessati. Charles non è responsabile per i reclami degli Interessati derivanti dalle istruzioni o dalla non conformità del Cliente, né è tenuto a monitorare l'uso dei Servizi da parte del Cliente.
14.3 Indennizzo. Se terzi (inclusi gli Interessati) avanzano reclami contro Charles a causa del trattamento dei Dati del Cliente ai sensi del presente DPA, il Cliente indennizzerà Charles su prima richiesta. Il Cliente indennizza inoltre Charles per eventuali sanzioni imposte a seguito della responsabilità preponderante o esclusiva del Cliente per l'infrazione.
15.1 Punti di contatto. Charles e il Cliente concorderanno persone di contatto per le notifiche relative al presente DPA e alla protezione dei dati prima dell'inizio dell'Abbonamento.
15.2 Modifiche e precedenza. Charles potrà aggiornare il presente DPA con un preavviso scritto di 30 giorni (compreso via e‑mail o tramite il Servizio Charles). Se il Cliente si oppone entro tale periodo e non si raggiunge un accordo, ciascuna Parte potrà terminare l'Accordo con preavviso di 30 giorni. L'uso continuato dei servizi dopo il preavviso costituisce accettazione delle modifiche. In caso di conflitto con l'Accordo in materia di protezione dei dati, il presente DPA prevale.
15.3 Sopravvivenza. Se una qualsiasi disposizione è invalida o inapplicabile, le restanti disposizioni rimangono in vigore e la disposizione invalida sarà considerata sostituita da una valida che rifletta il più possibile l'intento originale e che soddisfi i requisiti dell'articolo 28 del GDPR. Lo stesso vale per eventuali lacune.
15.4 Legge applicabile e foro competente. La legge applicabile e il foro competente sono regolati dall'Accordo.
Allegati:
Allegato 1: Dettagli del trattamento dei Dati del Cliente
Allegato 2: Sub-Processori
Allegato 3: Misure tecniche e organizzative (TOMs)
Allegato 1: Dettagli del trattamento dei Dati del Cliente
|
Finalità del trattamento dei dati
|
Consentire il conversational commerce su scala per il Cliente tramite un Software as a Service (SaaS) e i relativi servizi di Success e Supporto come indicato nell'Accordo
|
|
Categorie di Dati Personali
|
Dati personali dei Contatti del Cliente. L'entità e le categorie dei Dati Personali dei Contatti raccolti sono determinate e controllate dal Cliente a sua esclusiva discrezione; ciò può includere, a titolo esemplificativo ma non esaustivo, Dati Personali relativi alle seguenti categorie:
- ID dei servizi di messaggistica (es. nome WhatsApp, numero di cellulare e opt‑in);
- Conversazioni (es. contenuto dei messaggi inclusi eventi trigger, interazioni con elementi del messaggio, testo, audio, video, chiamate o eventuali allegati);
- Ulteriori Dati Personali (es. dati di contatto quali nome, e‑mail, indirizzi, informazioni sugli account dei canali di messaggistica; proprietà personalizzate quali data di nascita, genere, lingua, foto profilo; preferenze pubblicitarie o altre preferenze personali e cronologia; ID loyalty; risultati di feedback; cronologia degli acquisti quali prodotti ordinati e sconti individuali; richieste di assistenza e reclami).
Dati personali degli Utenti Autorizzati del Cliente (inclusi dipendenti interni o esterni o incaricati del Cliente) quando utilizzano il Servizio Charles, per scopi di accesso e aggiornamenti, inclusi:
- Credenziali utente (ossia nome utente o e‑mail e password);
- Dati di contatto aziendale e dati professionali (quali e‑mail, qualifica lavorativa);
- Dati di utilizzo e tecnici (inclusi browser, codice città e paese, azioni dell'utente quali accesso/disconnessione con timestamp, metriche di produttività e performance necessarie per fornire i Servizi correlati);
- Dati di comunicazione (quali comunicazioni con i servizi di Supporto e Success).
Per impostazione predefinita, non vengono trattati dati sensibili né dati di pagamento. Il Cliente può inviare a Charles dati sensibili, come le speciali categorie di dati, come parte dei propri Dati del Cliente; l'entità di tali dati è determinata e controllata dal Cliente a sua esclusiva discrezione.
|
|
Categorie di Interessati
|
Contatti (potenziali) del Cliente, Utenti Autorizzati (inclusi titolari d'azienda, dipendenti, consulenti, partner, agenzie e freelance)
|
Allegato 2: Sub-processori utilizzati
|
Per Utenti Autorizzati e Contatti come specificato nell'allegato 1
|
|
Azienda
|
Dettagli di Contatto
|
Tipo di Servizio e Finalità del Trattamento dei Dati
|
Categorie di Interessati
|
Categorie di Dati Trattati
|
Luogo e Garanzie
|
|
Aiven Oy
|
Antinkatu 1, 00100 Helsinki, Finland
|
TimescaleDB: memorizzazione e trattamento di dati di eventi per scopi analitici
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in EU (GCP)
|
|
Altlassian Pty Ltd (DBA Jira)
|
Level 6, 341 George St, Sydney NSW 2000, Australia
|
Sistema di ticketing per sviluppo del prodotto e manutenzione software; project management per il tracciamento dei bug
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Cloudflare Inc.
|
101 Townsend St., San Francisco, California 94107, United States
|
Monitoraggio degli errori e finalità generali di sicurezza IT incluso Firewall |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
USA; garantito dal Data Privacy Framework UE‑USA e dalle Clausole Contrattuali Standard UE (EU‑SCC)
|
|
Functional Software, Inc. dba Sentry
|
132 Hawthorne St, San Francisco, CA 94107, United States
|
Risoluzione dei problemi, monitoraggio degli errori e registrazione (logging) dell’utilizzo del Servizio Charles da parte del Cliente per finalità di sicurezza IT |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Google Ireland Limited
|
Gordon House, Barrow Street, Dublin 4, Ireland
|
Google Cloud Hosting e servizi correlati per i Dati del Cliente (infrastruttura); servizi relativi alla sicurezza dei dati; metriche di utilizzo del Servizio Charles
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Google LLC
|
1600 Amphitheatre Parkway, Mountain View, California 94043, USA
|
Google Vertex AI, piattaforma di machine learning per l’addestramento e il deployment di applicazioni IA e modelli linguistici destinati all’utilizzo in applicazioni potenziate da AI |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Olanda/EU
|
|
Meta Platforms Ireland Limited
|
Merrion Road,
Dublin, D04X2K5, Co Dublin,
Ireland
|
Fornitore di Hosting per eventuali servizi WhatsApp, Instagram o Facebook e per l’Account Business Meta del Cliente |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
EU; trasferimenti verso gli USA garantiti dal Data Privacy Framework UE‑USA e dalle Clausole Contrattuali Standard UE (EU‑SCC)
|
|
Prismatic Inc.
|
5013 S Louise Ave #122, Sioux Falls, SD 57108, United States
|
Piattaforma di integrazione incorporata (iPaaS) che consente al Cliente l'integrazione di sistemi esterni
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Irlanda/EU
|
|
Talend Inc. (by Qlik)
|
Qlik Tech Inc.
211 S Gulph Rd Ste 500, King OF Prussia, PA 19406, United States
|
Supporto per migrazione, trasformazione, caricamento ed esportazione dei dati (verso/da Google Cloud Service) |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Weaviate B.V.
|
Prinsengracht 769A
1017 JZ Amsterdam
The Netherlands
|
Archiviazione dei dati del Cliente per l’utilizzo da parte di agenti AI e per la ricerca di dati rilevanti in base alle query dei Contatti |
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in EU (GCP)
|
|
WhatsApp Ireland
Limited
|
4 Grand Canal
Square Grand Canal Harbour,
Dublin 2,
Ireland
|
Account WhatsApp Business;
Comunicazione con i Contatti del Cliente (in qualità di fornitore di servizi di messaggistica selezionato dal Cliente)
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU; Con archiviazione temporanea dei dati altrove (“Data-in-use TTL”); trasferimenti verso gli USA garantiti dal Data Privacy Framework UE‑USA e dalle Clausole Contrattuali Standard UE (EU‑SCC)
|
|
Wiz, Inc.
|
One Manhattan West, 52nd Floor, New York, NY 10001
|
Soluzione di sicurezza cloud per identificare e gestire i rischi, fornendo visibilità e rilevamento delle minacce negli ambienti cloud
|
Tutto dall'Allegato 1
|
Tutto dall'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Solo per Utenti Autorizzati come specificato nell'Allegato 1
|
|
Azienda
|
Dettagli di Contatto
|
Tipo di Servizio e Finalità del Trattamento dei Dati
|
Categorie di Interessati
|
Categorie di Dati Trattati
|
Luogo e Garanzie
|
|
Inversoft Inc., dba FusionAuth
|
1630 Welton Street, Denver, CO 80202, United States
|
Autenticazione per gli Utenti Autorizzati che accedono alla piattaforma
|
Utenti Autorizzati come indicati nell'Allegato 1
|
Tutto quanto menzionato nell'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Hubspot Germany GmbH
|
Am Postbahnhof 17, 10243 Berlin, Germany
|
Supportare la fornitura del servizio Success al Cliente; fornire approfondimenti sul prodotto e newsletter; sondaggi occasionali
|
Utenti Autorizzati come indicati nell'Allegato 1
|
Tutto quanto menzionato nell'Allegato 1
|
Server Dedicati in Germania/EU
|
|
Intercom R&D Unlimited Company
|
124 St. Stephen’s Green, Dublin 2, D02 C628, Ireland
|
Fornitura di servizi di assistenza clienti al Cliente; sistema di ticketing per individuare e segnalare bug
|
Utenti Autorizzati come indicati nell'Allegato 1
|
Tutto quanto menzionato nell'Allegato 1
|
Server Dedicati in Irlanda/EU
|
Vitally Inc.
|
185 Wythe Ave, F2, Brooklyn, NY 11249, United States
|
Fornitura di Success Services al Cliente; supporto all'utilizzo produttivo del Servizio Charles (limitato a specifici casi d'uso del Cliente)
|
Utenti Autorizzati come indicati nell'Allegato 1
|
Tutto quanto menzionato nell'Allegato 1
|
Server Dedicati in Svezia/EU
|
IIn aggiunta ai fornitori di servizi sopra indicati, potremmo fare affidamento su fornitori di servizi aggiuntivi per servizi di comunicazione comuni come Office 365 (inclusi, tra gli altri, Microsoft Outlook, Microsoft Teams) o Slack di Slack Inc. (gruppo Salesforce). Tutti tali fornitori di servizi trasferiscono dati personali al di fuori dello SEE solo a condizioni conformi al presente DPA – sulla base di una decisione di adeguatezza UE, delle Clausole Contrattuali Standard (EU‑SCC) o di un’altra garanzia prevista dalle Normative sulla Protezione dei Dati.
Allegato 3: Misure tecniche e organizzative (TOM)
La sezione seguente descrive le misure tecniche e organizzative di Charles per la protezione dei Dati del Cliente ai sensi dell'articolo 32 del GDPR e basate sulle raccomandazioni dell'Accountability Framework per la gestione dei registri e la sicurezza dell'Information Commissioner’s Office (ICO). Charles può sviluppare, migliorare o modificare le misure in qualsiasi momento per garantire un livello di protezione dei Dati del Cliente appropriato e all'avanguardia, in conformità con il GDPR e altre normative applicabili e certificazioni di Sicurezza delle Informazioni. Singole misure possono essere sostituite da nuove misure che perseguono lo stesso scopo senza diminuire il livello di sicurezza a protezione dei Dati del Cliente.
- Conformità e certificazioni
a) Sistema di Gestione della Sicurezza delle Informazioni certificato ISO 27001 con procedure per test, valutazioni e verifiche periodiche dell'efficacia delle misure tecniche e organizzative (art. 32, par. 1, lett. d) GDPR), incluse revisioni a livello dirigenziale, formazione obbligatoria del personale interno ed esterno, temporaneo e permanente, sulla protezione dei dati e sulla sicurezza IT, nonché audit interni/esterni e penetration test regolari.
- Sicurezza dei dati e conservazione
a) Concetto di retention basato sulle esigenze di business, tenendo conto delle finalità di conservazione e dei requisiti di legge.
b) Applicazione e revisione periodica di misure di pseudonimizzazione e anonimizzazione per valutare e migliorare la minimizzazione dei Dati del Cliente nella conservazione e nell'archiviazione.
c) Procedure di Data Loss Prevention (DLP) utilizzate per monitorare e controllare le informazioni sensibili memorizzate o accessibili nei sistemi.
d) Divieto di conservare Dati del Cliente su documenti cartacei/stampe, imposto da politica interna.
e) Smaltimento delle copie cartacee in aree protette e mediante fornitori di servizi professionali.
- Hosting e sicurezza cloud
a) La piattaforma Charles è ospitata su Google Cloud Platform (GCP) nell'UE.
b) L'infrastruttura cloud è sottoposta a scansioni continue e automatizzate per individuare errate configurazioni, vulnerabilità e attività sospette.
c) Tutti i servizi sono erogati tramite una Content Delivery Network (CDN) con Web Application Firewall.
d) Sistemi di rilevamento delle intrusioni sui sistemi vitali che trattano i Dati del Cliente.
e) Provisioning e gestione dell'infrastruttura tramite Infrastructure-as-Code (IaC).
- Sicurezza fisica e dei dispositivi mobili
a) I dipendenti Charles sono tenuti a utilizzare dispositivi forniti dall'azienda dotati delle seguenti misure di sicurezza: protezione antivirus/malware obbligatoria, cifratura del disco, limitazioni sui supporti di memorizzazione rimovibili, blocco automatico dello schermo dopo un periodo prestabilito, filtraggio dei contenuti web e cancellazione sicura o distruzione dei dati del cliente sui dispositivi mobili. Tali controlli sono gestiti centralmente tramite Mobile Device Management (MDM).
b) Registrazione dello smaltimento delle attrezzature e dei beni informativi fisici.
c) Monitoraggio centrale della conformità alla policy di uso accettabile.
- Sicurezza fisica
a) Nessuna infrastruttura è ospitata on‑premises; la piattaforma Charles è esclusivamente basata sul cloud.
b) Aree protette con controlli di accesso quali porte chiuse a chiave, sistemi di allarme e CCTV monitorata.
c) Protocolli per i visitatori comprendenti approvazione, procedure di registrazione e accesso scortato.
d) Politica di scrivania pulita (clean desk) applicata in tutta l'organizzazione dove si trattano Dati del Cliente.
- Sicurezza nello sviluppo
a) Applicazione di una netta separazione degli ambienti. I Dati del Cliente non sono mai memorizzati o accessibili negli ambienti di sviluppo.
b) Applicazione di regole di protezione dei branch e richiesta di review tra pari e approvazioni per le modifiche al codice prima del rilascio in produzione.
c) Ogni modifica al codice deve rispettare le procedure interne di change management.
d) Scansione automatizzata di sicurezza per ogni commit del codice.
- Gestione delle vulnerabilità e delle patch
a) Scansioni di vulnerabilità dei sistemi vitali che trattano i Dati del Cliente.
b) Procedure di gestione delle patch per i sistemi che trattano i Dati del Cliente.
c) Penetration test condotti annualmente per la piattaforma Charles.
- Controllo degli accessi
a) Accesso ristretto ai sistemi o alle applicazioni che trattano i Dati del Cliente.
b) Solo utenti autorizzati possono accedere, con pratiche quali Single Sign‑On (SSO), Multi‑Factor Authentication (MFA) e credenziali sicure.
c) Protezioni contro accessi non autorizzati o divulgazione dei Dati del Cliente su dispositivi approvati (p.es. laptop) includono VPN, SSO e ambienti Remote Virtual Desktop.
d) Revisione periodica dei diritti di accesso degli utenti per applicazioni e servizi critici.
e) Applicazione centrale delle politiche di password per i sistemi critici. È richiesta la fornitura e l'uso obbligatorio di un password manager.
- Crittografia e gestione delle chiavi
a) Controlli per salvaguardare la confidenzialità e l'integrità dei Dati del Cliente durante il transito su reti pubbliche o wireless e per proteggere i sistemi e le applicazioni connesse.
b) Crittografia dei dati in transito mediante TLS 1.2 o versioni superiori e crittografia dei dati a riposo mediante AES‑256.
c) Utilizzo del Cloud Key Management Service di GCP per la gestione sicura delle chiavi di crittografia.
- Logging e monitoraggio
a) Tutti i dispositivi fisici e l'infrastruttura cloud sono soggetti a logging, e i log sono conservati per un periodo di tempo adeguato.
b) Logging e monitoraggio delle attività utente e di sistema per rilevare comportamenti ed eventi anomali.
c) Registrazione degli accessi degli utenti ai sistemi rilevanti che contengono Dati del Cliente.
d) Rilevamento e risposta centralizzati per tutte le fonti di log tramite un sistema di Security Information and Event Management (SIEM).
- Backup, continuità operativa e disaster recovery
a) Piani di backup, continuità operativa e disaster recovery testati regolarmente (almeno annualmente).
b) Sfruttamento delle funzionalità di GCP per mantenere backup continui dei Dati dei Clienti.
- Gestione degli incidenti
a) Procedura di gestione degli incidenti testata regolarmente (almeno annualmente).
b) La procedura di gestione degli incidenti è automatizzata e integrata nelle formazioni di sicurezza e nelle sessioni di onboarding dei dipendenti.
c) Assicurazione informatica di mercato per incidenti di sicurezza stipulata con un assicuratore internazionale di buona reputazione.
- Sicurezza organizzativa
a) Valutazioni del rischio regolari su tutti gli asset relativi alla sicurezza delle informazioni.
b) Formazione regolare in materia di sicurezza e conformità per tutti i dipendenti.
c) Tutti i dipendenti e i collaboratori di Charles sono sottoposti a controlli referenziali e/o verifiche dei precedenti pre‑assunzione in conformità con le politiche interne e le leggi applicabili.
d) Tutti i dipendenti e i collaboratori di Charles sono tenuti a firmare un accordo di riservatezza prima dell'inizio dell'impiego.
e) Processi documentati e standardizzati di onboarding e offboarding.
f) Gestione del rischio dei fornitori per tutti i fornitori critici.
See more
