Carta delle leggi sulla privacy

Data – Pubblicato il 01/01/2020

Ultima modifica il – 12/06/2023

applicabilità:

Il presente documento ("Requisiti") costituisce parte integrante e giuridicamente vincolante di qualsiasi Contratto quadro di servizi, Dichiarazione di lavoro o altro contratto ("Contratto") tra Shaip ("Società") e il fornitore di servizi ("Fornitore/libero professionista/consulenti").

1. Definizioni

Ai fini dei presenti Requisiti, i seguenti termini avranno il significato di seguito indicato:

  • “Leggi applicabili sulla protezione dei dati” indica tutte le leggi, le norme e i regolamenti internazionali, federali, statali e locali applicabili al trattamento dei dati personali, inclusi, a titolo esemplificativo ma non esaustivo, il GDPR, il GDPR del Regno Unito, il CCPA/CPRA, l'HIPAA, il PIPEDA e l'LGPD.
  • “Dati aziendali” indica tutti i dati, le informazioni e i materiali, in qualsiasi forma o mezzo, forniti al Fornitore da o per conto della Società, o raccolti, generati, derivati, pseudonimizzati, resi anonimi (se la reversibilità è possibile) o elaborati dal Fornitore per conto della Società. Ciò include i Dati del Progetto e tutti i Dati Personali.
  • “Violazione dei dati” indica qualsiasi violazione effettiva o sospetta della sicurezza che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illegale ai Dati aziendali.
  • "PIL è" si intende il Regolamento generale sulla protezione dei dati (UE) 2016/679.
  • "Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Interessato") contenuta nei Dati della Società.
  • “Dati personali sensibili” indica qualsiasi categoria di dati considerati sensibili ai sensi delle Leggi applicabili sulla protezione dei dati, inclusi, a titolo esemplificativo ma non esaustivo, l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
  • "In lavorazione" indica qualsiasi operazione eseguita sui Dati aziendali, come la raccolta, la registrazione, l'organizzazione, l'archiviazione, l'adattamento, il recupero, l'uso, la divulgazione, la diffusione o la distruzione.
  • “Dati del progetto” indica i dati specifici (ad esempio, voce, immagine, testo) raccolti o creati dal Fornitore come parte dei servizi forniti alla Società.
  • "Sub-responsabile" indica qualsiasi terza parte incaricata dal Fornitore di elaborare i Dati aziendali.

2. Ruolo e obblighi del fornitore

2.1 Ruolo di Responsabile del trattamento/Sub-responsabile del trattamento. Il Fornitore riconosce che, nell'ambito del Trattamento dei Dati Aziendali, agisce in qualità di "Responsabile del Trattamento" o "Sub-Responsabile del Trattamento" per conto della Società. Il Fornitore non detiene alcun diritto di proprietà o autonomo diritto sui Dati Aziendali.

2.2 Elaborazione su istruzione. Il Fornitore tratterà i Dati Aziendali esclusivamente in conformità con le istruzioni documentate e legittime della Società, comprese quelle stabilite nel Contratto e nelle relative Dichiarazioni di Lavoro. Al Fornitore è espressamente vietato trattare i Dati Aziendali per scopi propri o per scopi non espressamente indicati dalla Società. Le istruzioni includeranno i requisiti di conservazione e smaltimento dei dati. Qualora il Fornitore ritenga che un'istruzione violi le Leggi Applicabili sulla Protezione dei Dati, è tenuto a informare immediatamente la Società.

2.3 Conformità alle leggi. Il Fornitore garantisce e dichiara che rispetterà tutte le Leggi applicabili in materia di protezione dei dati nell'esecuzione del Contratto e dovrà informare tempestivamente la Società qualora una qualsiasi legge impedisca la conformità o richieda la divulgazione dei Dati della Società (ad esempio, richieste di accesso governative).

3. Misure di sicurezza tecniche e organizzative

3.1 Standard di sicurezza. Il Fornitore dovrà implementare e mantenere adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati Aziendali da qualsiasi Violazione dei Dati. Tali misure dovranno essere commisurate al livello di rischio e alla natura dei dati e dovranno includere, come minimo:

  1. crittografia: Crittografia di tutti i dati aziendali, sia inattivi che in transito.
  2. Controllo di accesso: Rigorosi controlli di accesso basati sul minimo privilegio, per garantire che solo il personale autorizzato abbia accesso ai dati aziendali.
  3. Minimizzazione dei dati: Raccogliere ed elaborare solo la quantità minima di Dati Personali necessaria per il progetto specificato.
  4. Ambienti sicuri: Garantire che tutti i sistemi utilizzati per elaborare i dati aziendali siano configurati, aggiornati, registrati e monitorati in modo sicuro.
  5. Cancellazione sicura: Implementazione di processi per la cancellazione sicura e permanente dei Dati aziendali su istruzione della Società, inclusa la cancellazione dai backup.
  6. Sicurezza fisica: Proteggere tutti i luoghi fisici e i dispositivi in ​​cui vengono archiviati o a cui si accede ai dati aziendali.
  7. Test e monitoraggio: Test di penetrazione regolari, valutazioni della vulnerabilità e monitoraggio continuo.
  8. Business continuity: Mantenere piani di risposta agli incidenti, di ripristino in caso di disastro e di continuità aziendale.

4. Sub-elaborazione

4.1 È richiesto il consenso preventivo. Il Fornitore non dovrà incaricare alcun Sub-responsabile del trattamento dei Dati aziendali senza il previo consenso scritto specifico della Società.

4.2 Flusso verso il basso delle obbligazioni. Se viene concesso il consenso, il Fornitore deve stipulare un accordo scritto con il Sub-responsabile del trattamento che imponga al Sub-responsabile gli stessi obblighi di protezione dei dati o obblighi più rigorosi di quelli imposti al Fornitore dai presenti Requisiti.

4.3 Elenco dei sub-responsabili. Il Fornitore dovrà tenere un elenco aggiornato dei Sub-responsabili del trattamento e fornirlo alla Società su richiesta. La Società si riserva il diritto di opporsi a qualsiasi Sub-responsabile del trattamento in qualsiasi momento.

4.4 Piena responsabilità. Il Fornitore rimarrà pienamente responsabile nei confronti della Società per l'adempimento degli obblighi del Sub-responsabile e per qualsiasi atto od omissione del Sub-responsabile.

5. Notifica e gestione delle violazioni dei dati

5.1 Notifica immediata. Il Fornitore dovrà informare la Società per iscritto senza indebito ritardo e in ogni caso entro e non oltre ventiquattro (24) ore dal momento in cui è venuto a conoscenza di qualsiasi violazione dei dati.

5.2 Dettagli della violazione. La notifica deve, come minimo:

  1. Descrivere la natura della violazione dei dati, comprese le categorie e il numero approssimativo di interessati e record di dati interessati.
  2. Fornire il nome e i recapiti del responsabile della protezione dei dati del Fornitore o di altro punto di contatto pertinente.
  3. Descrivere le probabili conseguenze della violazione dei dati.
  4. Descrivere le misure adottate o proposte dal Fornitore per affrontare la violazione dei dati e attenuarne gli effetti.

5.3 Aggiornamenti continui. Il Fornitore fornirà aggiornamenti regolari fino alla completa risoluzione dell'incidente.

5.4 Cooperazione. Il Fornitore collaborerà pienamente con la Società nell'indagine, nella risoluzione e nella notifica di qualsiasi Violazione dei Dati. Il Fornitore sosterrà tutti i costi associati a una Violazione dei Dati nella misura in cui siano causati dalla violazione dei presenti Requisiti.

6. Trasferimenti internazionali di dati

6.1 Il Fornitore non trasferirà i Dati Aziendali oltre i confini nazionali senza il previo consenso scritto della Società. Il Fornitore è tenuto a specificare tutti i Paesi in cui tratterà i Dati Aziendali.

6.2 Laddove richiesto, il Fornitore accetta di stipulare clausole contrattuali standard (SCC), norme vincolanti d'impresa (BCR), l'Addendum del Regno Unito o qualsiasi altro meccanismo imposto dalla Società per garantire trasferimenti di dati legittimi.

6.3 Il fornitore dovrà rispettare i requisiti locali di residenza dei dati, ove applicabili.

7. Audit e ispezioni

La Società, o il revisore terzo da essa designato, avrà il diritto di condurre audit, a proprie spese, per verificare la conformità del Fornitore ai presenti Requisiti. Il Fornitore dovrà fornire tutte le informazioni, la documentazione e l'accesso alle strutture e al personale necessari.

Il Fornitore dovrà sottoporsi regolarmente a certificazioni di terze parti (ad esempio, ISO 27001, SOC 2) e/o autovalutazioni e rimediare tempestivamente a eventuali carenze identificate negli audit o nelle valutazioni entro un lasso di tempo concordato di comune accordo.

8. Assistenza per i diritti dell'interessato

Il Fornitore dovrà tempestivamente, e comunque entro quarantotto (48) ore, notificare alla Società qualsiasi richiesta ricevuta da un Interessato per esercitare i propri diritti (ad esempio, accesso, rettifica, cancellazione, portabilità). Il Fornitore non risponderà direttamente a tali richieste se non su istruzione della Società e fornirà tutta l'assistenza necessaria per consentire alla Società di rispondere.

9. Restituzione e cancellazione dei dati

Alla risoluzione del Contratto o su richiesta della Società, il Fornitore dovrà, a propria discrezione, cancellare in modo sicuro o restituire tutti i Dati della Società entro trenta (30) giorni. Il Fornitore dovrà garantire la cancellazione dai backup e fornire una certificazione scritta di tale cancellazione.

10. Categorie speciali di dati

10.1 Dati sanitari (HIPAA): Se il Fornitore elabora informazioni sanitarie protette (PHI), riconosce di essere un "Associato commerciale" (o subappaltatore di un Associato commerciale) ai sensi dell'HIPAA. Il Fornitore è tenuto a rispettare i requisiti HIPAA e a sottoscrivere il Contratto di Associato Commerciale (BAA) dell'Azienda.

10.2 Altri dati sensibili: Per i progetti che coinvolgono dati personali sensibili (inclusi dati biometrici o dati di minori), il fornitore deve ottenere l'approvazione dell'azienda e aderire a protocolli di sicurezza e gestione più rigorosi, come specificato dall'azienda.

11. Manleva e responsabilità

Il Fornitore accetta di difendere, indennizzare e tenere indenne la Società, le sue affiliate, i suoi funzionari e i suoi clienti da e contro qualsiasi reclamo, responsabilità, danno, perdita, multa, sanzione e spesa (incluse le ragionevoli spese legali) derivanti da o relativi a qualsiasi violazione di questi Requisiti da parte del Fornitore, dei suoi dipendenti o dei suoi Sub-responsabili.

La responsabilità non sarà limitata per violazioni che comportino violazioni dei dati, sanzioni normative, condotta dolosa o frode.

12. Disposizioni generali

12.1 Primato. In caso di conflitto tra i termini dell'Accordo e i presenti Requisiti, prevarranno i Requisiti per quanto riguarda la protezione dei dati.

12.2 Modifica. I presenti Requisiti possono essere modificati solo mediante un emendamento scritto firmato dai rappresentanti autorizzati di entrambe le parti.

12.3 Sopravvivenza. Gli obblighi relativi alla riservatezza, alla cancellazione dei dati, alla responsabilità e ai diritti di audit sopravvivranno alla risoluzione del Contratto.

12.4 Legge applicabile. I presenti Requisiti saranno regolati e interpretati in conformità alla legge vigente stabilita nel Contratto.