Inizia la prova gratuita
Accedi

Contratto di nomina a Responsabile del trattamento dei dati (DPA)

Ultimo aggiornamento 23 luglio 2024

Il presente contratto di nomina a Responsabile del trattamento dei dati (“DPA”) è incorporato all’interno di ogni Contratto tra Articulate Global, LLC (insieme ai suoi Affiliati, “Articulate”) e il cliente (“Cliente”, “tu”, “tuo”) per la fornitura dei Servizi da parte di Articulate, come definita di seguito. Il Cliente stipula il presente DPA per proprio conto e di qualsiasi suo Affiliato che autorizza a utilizzare i Servizi ai sensi del Contratto (“Affiliato autorizzato”). Articulate e il Cliente sono singolarmente indicati come “parte” e collettivamente come le “parti”.

1. Definizioni

Ai fini del presente DPA, i termini con iniziale maiuscola hanno i significati stabiliti di seguito. Altri termini con iniziale maiuscola hanno il significato stabilito nel Contratto.

1.1 Affiliato indica qualsiasi entità che, direttamente o indirettamente, controlla, è controllata da, o è sotto controllo comune con una parte del presente DPA.

1.2 Contratto indica uno o più contratti sottostanti stipulati per iscritto da Articulate e dal Cliente per la fornitura di Servizi da parte di Articulate al Cliente.

1.3 Norme vigenti indica tutte le leggi, i regolamenti e altri requisiti legali applicabili a (i) Articulate nel suo ruolo di fornitore dei Servizi o a (ii) te. Ciò può includere, ad esempio, il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (“GDPR”); requisiti equivalenti nel Regno Unito inclusi il UK General Data Protection Regulation and il Data Protection Act 2018 (“Legge sulla protezione dei dati del Regno Unito”); il California Consumer Privacy Act e i regolamenti associati (“CCPA”), il California Privacy Rights Act e i suoi regolamenti attuativi correlati ove efficaci (“CPRA”); il Personal Information Protection and Electronic Documents Act, SC 2000, c.5 (“PIPEDA”); il Privacy Act 1988 dell’Australia e gli Australian Privacy Principles (“Privacy Act”); il Virginia Consumer Data Protection Act ove efficace (“VCDPA”); lo Utah Consumer Privacy Act ove efficace (“UCPA”), e il Colorado Privacy Act e relativi regolamenti ove efficaci (“CPA”). Ciascuna parte è responsabile solo in relazione alle Norme vigenti che si applicano ad essa.

1.4 Titolare del trattamento indica la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro ente che, da solo o congiuntamente con altri, determina le finalità e i mezzi del Trattamento dei Dati personali.

1.5 Contenuti del Cliente (o “I tuoi contenuti”) si riferisce a tutti i contenuti e le informazioni che il Cliente, un’Affiliato autorizzato o un Utente caricano, importano o sviluppano nei Servizi o che Articulate riceve altrimenti attraverso i Servizi dal Cliente, da un’Affiliato Autorizzato o da un Utente.

1.6 Interessato indica una persona fisica identificata o identificabile. Per quanto riguarda l’applicazione del CCPA e del CPRA, il termine comprende anche un nucleo familiare identificato o identificabile.

1.7 Dati personali indica (i) qualsiasi informazione relativa a una persona fisica identificata o identificabile, ai sensi del GDPR (indipendentemente dal fatto che il GDPR si applichi o meno); (ii) “personal data” ai sensi del VCDPA e CPA (indipendentemente dal fatto che si applichino o meno); (iii) “personal information” ai sensi di PIPEDA, CCPA, CPRA e Privacy Act (indipendentemente dal fatto che si applichino o meno); e (iv) qualsiasi termine analogo in base a quanto stabilito dalle Norme vigenti.

1.8 Violazione dei Dati personali indica la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illegale ai Dati personali.

1.9 Trattare e “Trattamento” indicano qualsiasi operazione o insieme di operazioni eseguite su Dati personali o insiemi di Dati personali, con o senza mezzi automatizzati, come la raccolta, la registrazione, l’organizzazione, la creazione, la strutturazione, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o altre forme di messa a disposizione, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.

1.10 “Responsabile del trattamento" indica una persona fisica o giuridica, un’autorità pubblica, un’agenzia o ente che tratta dati personali per conto del Titolare del trattamento.

1.11 “Servizi” indica l’offerta SaaS (software-as-a-service) di Articulate come indicato in un preventivo (cioè Articulate 360, Rise o entrambi i prodotti), o altri servizi identificati in un preventivo.

1.12 “Clausole contrattuali standard” e “SCC 2021” indicano le clausole inserite ai sensi della Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, disponibili su https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj ed eseguite come descritto al paragrafo “Trasferimenti di dati” nel seguito.

1.13 “Sub-responsabile” si riferisce a qualsiasi subappaltatore incaricato da Articulate del Trattamento dei Dati personali.

1.14 "Trust & Compliance Documentation" means the documentation regarding privacy, data security, and Subprocessor information applicable to the specific Services purchased by Customer, as may be updated periodically, and accessible via Articulate's website at https://cms.articulate.zone/trust/ and https://cms.articulate.zone/trust/gdpr/

1.15 “Appendice UK delle SCC” indica l’International Data Transfer Addendum alle Clausole contrattuali standard della Commissione UE (disponibile alla Data di validità su https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), implementato come stabilito nella sezione “Trasferimenti di dati” di seguito.

1.16 “Utente” indica una o più persone che il Cliente autorizza ad accedere e utilizzare i Servizi.

2. Ambito e relazione tra le parti

2.1 Il presente DPA si applica solo ai Dati personali nei Contenuti del cliente.

2.2 Per tali Dati personali, tu sei il Titolare del trattamento (o dichiari di agire con piena autorità per conto di quest’ultimo) e Articulate è il tuo Responsabile del trattamento.

2.3 Se stai agendo per conto di un Titolare del trattamento terzo (o per conto di intermediari come altri Responsabili del trattamento del Titolare del trattamento), nella misura consentita dalla legge:

2.3.1 Tu fungerai da unico punto di contatto per Articulate riguardo a tali terze parti;

2.3.2 Articulate non deve interagire direttamente con tali terze parti in questioni relative a questo DPA; e

2.3.3 Nei casi in cui Articulate sarebbe altrimenti tenuta a fornire informazioni, assistenza, cooperazione o qualsiasi altra cosa a tale terza parte, Articulate può fornirla esclusivamente a te; tuttavia

2.3.4 Articulate ha il diritto di seguire le istruzioni di tale terza parte rispetto ai Dati Personali di tale terza parte invece delle tue istruzioni se Articulate ritiene ragionevolmente che ciò sia legalmente richiesto nelle circostanze.

3. Le tue istruzioni ad Articulate

3.1 Articulate tratterà i Dati personali solo come descritto nel Contratto, a meno che non sia obbligata a fare diversamente dalle Norme vigenti. In questo caso, Articulate ti informerà di tale requisito legale prima del Trattamento, a meno che la legge non proibisca di farlo.

3.2 I dettagli del Trattamento sono stabiliti nell’Allegato 1 al presente DPA.

3.3 Il Contratto, incluso il presente DPA, unitamente alla tua configurazione di qualsiasi impostazione o opzione nei Servizi, costituiscono le tue istruzioni complete e finali ad Articulate riguardo al Trattamento dei Dati personali, anche ai fini delle Clausole contrattuali standard, ove applicabili.

3.4 Tu dovrai rispettare le Norme vigenti in relazione al tuo utilizzo dei Servizi, anche ottenendo eventuali consensi e fornendo avvisi richiesti dalle Norme vigenti affinché Articulate fornisca i Servizi. Dovrai assicurarti di avere diritto a trasferire i Dati personali ad Articulate in modo che Articulate e i suoi Sub-responsabili possano legittimamente trattare i Dati personali ai sensi del presente DPA.

3.5 Non puoi dare istruzioni ad Articulate allo scopo di trattare dati personali in contrasto con le Norme vigenti. Articulate ti informerà tempestivamente se, secondo l’opinione di Articulate, una tua istruzione è in contrasto con le Norme vigenti.

4. Limitazione dell’utilizzo dei dati

4.1 Articulate non venderà Dati personali nel senso in cui il termine “sell” è definito nell’ambito del CCPA (indipendentemente dal fatto che il CCPA si applichi o meno), del VCDPA o del CPA e non comunicherà Dati personali nel senso in cui il termine “share” è usato nell’ambito del CPRA (indipendentemente dal fatto che il CPRA si applichi o meno). Articulate non conserverà, utilizzerà o divulgherà Dati personali al di fuori della relazione commerciale diretta tra il Cliente e Articulate.

4.2 In caso di obbligo legale di fornire Dati personali a una terza parte, nella misura consentita dalla legge: (i) Articulate fornirà tempestivamente al Cliente una ragionevole opportunità di contestare la legittimità di tale obbligo legale o di richiedere la protezione dalla divulgazione e (ii) Articulate, dopo essersi consultata con il Cliente, divulgherà solo la quantità minima di Dati personali necessaria per il rispetto degli obblighi di legge.

4.3 Articulate rispetterà eventuali restrizioni applicabili ai sensi del CPRA sulla combinazione di Dati personali nei Contenuti del cliente con Dati personali che Articulate riceve da o per conto di altre persone, o che raccoglie a seguito di eventuali interazioni con un Interessato.

5. Sub-responsabili

5.1 Articulate può incaricare dei Sub-responsabili del Trattamento di Dati personali in relazione alla fornitura dei Servizi, in conformità con le Norme vigenti. Prima del Trattamento dei Dati Personali da parte di un Sub-responsabile, Articulate imporrà al Sub-responsabile obblighi contrattuali sostanzialmente identici a quelli imposti ad Articulate ai sensi del presente DPA. Articulate è responsabile delle prestazioni dei propri Sub-responsabili nella stessa misura in cui Articulate è responsabile delle proprie prestazioni ai sensi del Contratto.

5.2 L’elenco aggiornato dei Sub-responsabili è fornito di seguito.  Articulate avviserà tempestivamente (e in ogni caso trenta (30) giorni prima che un nuovo Sub-responsabile inizi a trattare Dati personali) i Clienti aggiornando il sopracitato elenco dei sub-responsabili in merito a qualsiasi nuovo Sub-responsabile prima del Trattamento di Dati personali da parte sua, a meno che circostanze urgenti (come l’incapacità di un Sub-responsabile preesistente) richiedano l’anticipazione del Trattamento di Dati personali da parte sua.

Sub-responsabile del trattamento di datiFinalitàServizio interessatoProdottiSedi dei sub-responsabili dei data center
AdaChatbotFornisce servizi di assistenza in chatArticulate 360USA
Amazon Web Services, Inc.Hosting e infrastrutturaFornisce piattaforme cloud e API on-demandArticulate 360
Rise		USA
EU
BrowserlessAutomazione webGenera screenshot, PDF e certificati richiesti dal clienteArticulate 360
Rise		USA
BugSnagServizi di monitoraggioRisolve problemi con i servizi dei prodottiArticulate 360
Rise		USA
DatadogAnalisi dei datiRisolve problemi con i servizi dei prodottiArticulate 360
Rise		USA
ElevenLabsGenerazione vocale AI opzionaleConverte il testo in parlatoArticulate 360USA
IntercomServizi di assistenzaFornisce annunci in-app e guide ai prodottiArticulate 360
Rise		USA
Looker Data SciencesAnalisi dei datiFornisce servizi organizzativi di business intelligenceArticulate 360
Rise		USA
Okta, Inc.Servizi di autenticazioneVerifica se un cliente è autorizzato ad accedereArticulate 360
Rise		USA
OpenAIServizi AI opzionaliAlimenta le funzionalità di Articulate 360 AIArticulate 360USA
PostmarkRecapito emailInvia email di notifica agli allievi o agli esperti in materiaArticulate 360
Rise		USA
RingCentralComunicazioni di venditaFornisce un contact center cloud basato su AIArticulate 360USA
SalesforceCRMGestisce le interazioni con i clienti e i dati di venditaArticulate 360
Rise		USA
TalkDeskSistemi di venditaFornisce un contact center cloud basato su AIRiseUSA
YouTrackSistema di monitoraggio delle problematicheMonitora bug software e richieste di funzionalitàRiseUSA

5.3 Tu puoi opporti all’uso di un nuovo Sub-responsabile da parte di Articulate notificandolo ad Articulate entro dieci (10) giorni lavorativi a partire da quando Articulate ti ha informato del nuovo Sub-responsabile ai sensi del Paragrafo 5.2. Se ti opponi ragionevolmente a un nuovo Sub-responsabile, Articulate impiegherà ragionevoli sforzi per metterti a disposizione una modifica nei Servizi o raccomandare una modifica commercialmente ragionevole alla tua configurazione o uso dei Servizi per evitare il Trattamento dei Dati personali da parte del nuovo Sub-responsabile a cui ti sei opposto, senza gravare irragionevolmente su di te. Se Articulate non è in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che in nessun caso supererà i trenta (30) giorni, puoi cessare il Contratto e/o gli ordini relativi dandone comunicazione scritta ad Articulate e interrompendo l’uso dei Servizi alla data effettiva della risoluzione del Contratto. Articulate ti rimborserà un importo proporzionale a copertura del periodo residuo dell’abbonamento o degli ordini in questione successivamente alla data effettiva di risoluzione in relazione a tali Servizi cessati. Se non ti opponi all’uso del nuovo Sub-responsabile e non attui la cessazione secondo quanto stabilito sopra, ciò comporta la tua accettazione del Sub-responsabile.

5.4 Il tuo consenso al presente Paragrafo 5 costituisce tua accettazione ai sensi delle Clausole contrattuali standard, ove applicabili, e al Trattamento dei Dati personali da parte dei Sub-responsabili elencati nel presente DPA alla data di entrata in vigore del Contratto.

5.5 Su richiesta scritta, Articulate fornirà al Cliente copie dei contratti con i Sub-responsabili; a condizione tuttavia che, nella misura in cui tali contratti con i Sub-responsabili contengono informazioni commerciali o disposizioni non correlate alle informazioni richieste dalle norme e regolamenti sulla protezione dei dati vigenti, tali informazioni non correlate possano essere rimosse o censurate da Articulate a sua discrezione.

6. Sicurezza

6.1 Articulate ti assisterà nel rispetto degli obblighi di sicurezza del GDPR e di altre Norme vigenti, entro i limiti di pertinenza rispetto al ruolo di Articulate nel Trattamento dei Dati personali, tenendo conto della natura del Trattamento e delle informazioni disponibili ad Articulate, implementando misure tecniche e organizzative descritte nell’Allegato 2 al presente DPA, fermo restando il diritto di Articulate di apportare future sostituzioni o modifiche alle misure che non abbassino materialmente il livello di sicurezza dei Dati personali.

6.2 Tu sei esclusivamente responsabile di esaminare qualsiasi documentazione e funzionalità di sicurezza disponibile (ove esistente) e valutare autonomamente se i Servizi e la relativa sicurezza soddisfano le tue esigenze, inclusi i tuoi obblighi di sicurezza ai sensi delle Norme vigenti. Puoi utilizzare i Servizi solo se gli impegni di sicurezza stabiliti dal presente DPA garantiscono un livello di sicurezza adeguato al rischio relativo ai Dati personali. Sottoscrivendo il presente DPA, il Cliente accetta e dichiara che gli impegni di sicurezza in esso fissati garantiscono un livello di sicurezza adeguato al rischio in relazione ai Dati personali.

6.3 Articulate garantirà che le persone autorizzate da Articulate al trattamento dei dati Personali (i) siano soggette a un accordo di riservatezza scritto relativo a tali dati o a un idoneo obbligo di riservatezza previsto per legge e (ii) ricevano una formazione adeguata al loro ruolo nell’ambito del trattamento dei dati personali.

7. Notifica di Violazione dei Dati personali

7.1 Articulate e il Cliente rispetteranno gli obblighi relativi alla Violazione dei Dati personali direttamente applicabili a loro ai sensi del GDPR e di altre Norme vigenti, inclusi eventuali obblighi di notifica agli Interessati, alle autorità statali e a terzi.

7.2 Tenendo conto della natura del Trattamento e delle informazioni disponibili ad Articulate, Articulate ti assisterà ragionevolmente nel rispetto degli obblighi relativi alla Violazione dei Dati personali applicabili a te ai sensi delle Norme vigenti, informandoti senza indebiti ritardi dopo essere venuta a conoscenza di una Violazione dei Dati personali confermata. Tale notifica non costituisce ammissione di colpa o responsabilità. Nella misura in cui è disponibile, tale includerà la valutazione aggiornata in quel momenti di Articulate di quanto segue, che potrebbe essere basata su informazioni incomplete:

7.2.1 La natura della Violazione dei Dati personali, incluse, ove possibile, le categorie e il numero approssimativo di interessati coinvolti e le categorie e il numero approssimativo di record di Dati personali coinvolti;

7.2.2 Le probabili conseguenze della Violazione dei Dati personali; e

7.2.3 Misure adottate o proposte da Articulate per affrontare le Violazioni di Dati personali, incluse, ove applicabili, misure per mitigarne i possibili effetti negativi.

7.3 Articulate si sforzerà ragionevolmente di identificare la causa di una Violazione dei Dati personali confermata e adotterà le misure riparatrici che Articulate ritiene necessarie e ragionevoli.

7.4 In ogni momento, il Cliente ha il diritto di adottare misure ragionevoli e adeguate per bloccare l’uso non autorizzato di Dati personali e per porvi rimedio.

8. Assistenza nelle risposte agli interessati

8.1 Se Articulate riceve una Richiesta da un Interessato o un reclamo diretto al Cliente o a un’Affiliato autorizzato, Articulate inoltrerà tempestivamente la Richiesta dell’Interessato o il reclamo al Cliente.

8.2 Tenendo conto della natura del Trattamento, Articulate ti assisterà ragionevolmente nell’adempimento del tuo obbligo di onorare le richieste degli individui di esercitare i loro diritti ai sensi del GDPR o di altre Norme vigenti (come i diritti di accesso ai loro Dati personali) (“Richiesta dell’Interessato”) mediante misure organizzative e tecniche appropriate, per quanto possibile. Nella misura in cui tu, nel tuo utilizzo dei Servizi, non sei in grado di rispondere a una Richiesta dell’Interessato, dietro tua richiesta, Articulate si sforzerà entro limiti commercialmente ragionevoli di assisterti nel rispondere a tale Richiesta dell’Interessato, nella misura in cui Articulate è tenuta a farlo ai sensi delle Norme vigenti e legalmente autorizzata a farlo.

9. Assistenza con DPIA e consultazione delle autorità garanti

9.1 Tenendo conto della natura del Trattamento e delle informazioni disponibili ad Articulate, dietro tua richiesta scritta, Articulate ti fornirà assistenza e cooperazione ragionevoli nella tua esecuzione di eventuali valutazioni di impatto sulla protezione dei dati legalmente richiesta del Trattamento o del Trattamento proposto dei Dati personali in relazione ai Servizi, nonché nella relativa consultazione delle autorità di garanzia. Il supporto aggiuntivo per valutazioni d’impatto sulla protezione dei dati o relazioni con le autorità di garanzia richiederà un mutuo accordo sulle tariffe, sull’ambito del coinvolgimento di Articulate e su qualsiasi altro termine che le parti ritengano adeguato.

10. Trasferimenti di dati

10.1 Tu autorizzi Articulate e i suoi Sub-responsabili a effettuare trasferimenti internazionali dei Dati personali ai sensi del presente DPA e delle Norme vigenti.

10.2 Nella misura in cui ciò sia altrimenti richiesto dalla legge, le SCC 2021 costituiscono parte integrante del presente DPA e prevalgono sul resto di esso in caso di conflitto, e (tranne per quanto descritto al Paragrafo 10.4) saranno considerate implementate nel modo seguente:

10.2.1 Nella misura in cui tu agisci come Titolare del trattamento e Articulate come tuo responsabile del trattamento dei Dati personali soggetti alle SCC 2021, si applica il relativo Modulo 2. Nella misura in cui tu agisci come Responsabile del trattamento e Articulate come tuo sub-responsabile del trattamento dei Dati personali soggetti alle SCC 2021, si applica il relativo Modulo 3.

10.2.2 La Clausola 7 (clausola di adesione successiva) è inclusa.

10.2.3 Ai sensi della Clausola 9 (Utilizzo di sub-responsabili), le parti scelgono l’Opzione 2 (Autorizzazione scritta generale). L’elenco iniziale dei Sub-responsabili è fornito al Paragrafo 5.2 per i servizi Articulate 360 e i servizi Rise. Se Articulate intende aggiungere o sostituire un Sub-responsabile in tale elenco, Articulate informerà i Clienti attraverso l’aggiornamento dell’elenco/degli elenchi sopracitati almeno trenta (30) giorni prima della data in cui è previsto l’inizio del Trattamento dei Dati personali da parte di tale Sub-responsabile.

10.2.4 Ai sensi della Clausola 11 (Ricorso), il requisito opzionale che agli interessati sia permesso di presentare un reclamo a un organismo indipendente di risoluzione delle controversie non si applica.

10.2.5 Ai sensi della Clausola 17 (Legge applicabile), le parti scelgono l’Opzione 1 (la legge di uno Stato membro dell’UE che riconosca i diritti di terzi beneficiari). Le parti scelgono la legge dell’Irlanda.

10.2.6 Ai sensi della Clausola 18 (Scelta del foro e giurisdizione), le parti scelgono i tribunali dell’Irlanda.

10.2.7 Ai sensi dell’Allegato I(A) delle SCC 2021 (Elenco delle parti):

10.2.7.1 L’esportatore sei tu. I dati di contatto dell’esportatore che Articulate deve utilizzare sono quelli indicati nel Contratto. I dati di contatto dell’esportatore che gli Interessati devono utilizzare sono indicati nella sua informativa sulla privacy, così come l’identità e i dati di contatto del responsabile della protezione dei dati dell’esportatore (ove esistente) e del rappresentante nell’Unione Europea (ove esistente).

10.2.7.2 L’attività dell’esportatore in relazione ai dati trasferiti ai sensi delle presenti Clausole è il suo utilizzo dei corrispondenti Servizi.

10.2.7.3 The importer is Articulate. The importer's mailing address is set forth in the Agreement, and its email address is privacy@articulate.com, subject to an update by Articulate of those addresses in accordance with the Agreement.

10.2.7.4 L’attività dell’importatore in relazione ai dati trasferiti ai sensi delle presenti Clausole è la sua fornitura dei corrispondenti Servizi.

10.2.7.5 Quando il Cliente acquista i Servizi, le parti si considerano firmatarie dell’Allegato I(A) delle SCC 2021.

10.2.8 Per qualsiasi Servizio particolare, i dettagli per l’Allegato I(B) delle SCC 2021 (Descrizione del trasferimento) sono forniti nell’Allegato 1 del DPA.

10.2.9 Ai sensi dell'Allegato I(C) delle SCC 2021 (Autorità garante competente), le parti seguiranno le regole per identificare tale autorità ai sensi della Clausola 13 e, nella misura consentita dalle leggi, sceglieranno la Irish Data Protection Commission.

10.2.10 L’Allegato II delle SCC 2021 (Misure tecniche e organizzative) è riportato nell’Allegato 2 al presente DPA.

10.2.11 L’Allegato III delle SCC 2021 (Elenco dei sub-responsabili) non è applicabile.

10.3 Nella misura richiesta dalla legge ai sensi della UK Data Protection Law, l’UK SCC Addendum costituisce parte integrante del presente DPA e sarà prevalente sul resto di esso come stabilito dall’UK SCC Addendum. I termini con iniziale maiuscola non definiti in questo Paragrafo 10.3 saranno definiti secondo quanto stabilito nell’UK SCC Addendum. Ai fini dell’UK SCC Addendum:

10.3.1 Tabella 1 dell’Appendice UK alle SCC: le Parti siete tu e Articulate, con i dati di contatto indicati al Paragrafo 10.2.7 del presente DPA.

10.3.2 Tabella 2 dell’Appendice UK delle SCC: le Clausole contrattuali standard approvate sono le Clausole contrattuali standard riportate al Paragrafo 10.2 del presente DPA.

10.3.3 Tabella 3 dell’UK SCC Addendum:

10.3.3.1 Allegato 1A: riportato al Paragrafo 10.2.7 del presente DPA.

10.3.3.2 Allegato 1B: riportato nell’Allegato 1 del presente DPA.

10.3.3.3 Allegato II: come indicato nell’Allegato 2 del presente DPA.

10.3.3.4 Allegato III: non applicabile.

10.3.4 Tabella 4 dell’UK SCC Addendum: nessuna delle parti ha il diritto di risoluzione stabilito al Paragrafo 19 dell’UK SCC Addendum.

10.3.5 Sottoscrivendo questo DPA, le parti si considerano firmatarie dell’Appendice UK delle SCC.

10.4 Per i trasferimenti di Dati personali soggetti alla Legge federale svizzera sulla protezione dei dati (“FADP”), le SCC 2021 costituiscono parte integrante del presente DPA come indicato al Paragrafo 10.2 del presente DPA, ma con le seguenti differenze nella misura richiesta dalla FADP:

10.4.1 I riferimenti al GDPR nelle SCC 2021 devono essere intesi come riferimenti alla FADP nella misura in cui i trasferimenti di dati sono soggetti esclusivamente alla FADP e non al GDPR.

10.4.2 Il termine “stato membro” nelle SCC 2021 non deve essere interpretato in modo da escludere gli Interessati in Svizzera dalla possibilità di far valere i propri diritti nel loro luogo di residenza abituale (Svizzera) in conformità con la Clausola 18(c) delle SCC 2021.

10.4.3 I riferimenti ai dati personali nelle SCC 2021 si intendono riferiti anche ai dati relativi a persone giuridiche identificabili fino all’entrata in vigore delle revisioni della FADP che eliminano tale ambito di applicazione più ampio.

10.4.4 Ai sensi dell’Allegato I(C) delle SCC 2021 (Autorità garante competente):

10.4.4.1 Quando il trasferimento è soggetto esclusivamente alla FADP e non al GDPR, l’autorità garante è l’Incaricato federale della protezione dei dati e trasparenza svizzero.

10.4.4.2 Quando il trasferimento è soggetto sia alla FADP che al GDPR, l’autorità garante è l’Incaricato federale della protezione dei dati e trasparenza svizzero nella misura in cui il trasferimento è disciplinato dalla FADP e quella indicata al Paragrafo 10.2.9 del presente DPA nella misura in cui il trasferimento è disciplinato dal GDPR.

11. Audit

11.1 Dietro tua richiesta scritta, Articulate metterà a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità con il presente DPA, consentirà e contribuirà agli audit, incluse le ispezioni, condotti da te o da un altro revisore incaricato da te, nel modo seguente:

11.1.1 Se l’ambito di audit richiesto è trattato in un rapporto di audit emesso da un revisore terzo nei dodici (12) mesi precedenti e Articulate ti fornisce tale rapporto e conferma che non ci sono stati cambiamenti materiali noti nei controlli sottoposti a audit, tu dichiari di accettare le evidenze presentate nel rapporto invece di richiedere un audit degli stessi controlli già coperti dal rapporto. Il rapporto è un’Informazione riservata di Articulate.

11.1.2 Se non inclusa in tale rapporto, Articulate fornirà una descrizione scritta delle sue misure di conformità con il presente DPA. Questa è un’Informazione riservata di Articulate.

11.1.3 Tu Accetti di esercitare eventuali tuoi diritti di condurre un audit o un’ispezione, anche ai sensi delle Clausole contrattuali standard (ove applicabili), dando istruzioni ad Articulate di fornire il rapporto e/o le informazioni sopradescritte. Se desideri modificare questa istruzione riguardante l’audit, puoi richiedere una modifica a questa istruzione inviando ad Articulate una comunicazione scritta come previsto nel Contratto. Tale supporto aggiuntivo potrebbe essere disponibile e richiederebbe un mutuo accordo sulle tariffe che ti verrebbero addebitate, sull’ambito dell'audit, sull’ambito del coinvolgimento di Articulate e su qualsiasi altro termine che le parti ritengano adeguato.

11.1.4 Il Cliente deve fornire ad Articulate un preavviso scritto di sessanta (60) giorni prima di condurre un audit e tali audit non possono avere luogo più di una volta nell’arco di dodici (12) mesi. Il Cliente può condurre audit solo durante il normale orario lavorativo di Articulate e deve ridurre al minimo le interruzioni dell’attività di Articulate.

11.1.5 Nella misura consentita dalle leggi e in quella in cui gli audit interrompono il normale corso dell’attività di Articulate, tu rimborserai Articulate per l’eventuale tempo impiegato per l’assistenza agli audit sulla base delle tariffe mutuamente concordate dalle parti.

11.1.6 Niente nel presente DPA richiederà ad Articulate di divulgare o rendere disponibile:

11.1.6.1 qualsiasi dato di qualsiasi altro cliente di Articulate;

11.1.6.2 accesso ai sistemi;

11.1.6.3 Informazioni contabili o finanziarie di Articulate;

11.1.6.4 qualsiasi segreto commerciale di Articulate;

11.1.6.5 qualsiasi informazione o accesso che, secondo il ragionevole parere di Articulate, potrebbe (A) compromettere la sicurezza dei sistemi o delle sedi di Articulate; o (B) causare la violazione da parte di Articulate dei suoi obblighi ai sensi delle Norme vigenti o dei contratti applicabili; o

11.1.6.6 Qualsiasi informazione richiesta per qualsiasi motivo diverso dall’adempimento in buona fede dei tuoi obblighi ai sensi delle Norme vigenti per verificare la conformità ai sensi del presente contratto di nomina a Responsabile del trattamento dei dati.

11.1.7 Tu informerai tempestivamente Articulate di qualsiasi non conformità effettiva o sospetta scoperta durante un audit, fornendo le informazioni relative.

12. Restituzione o distruzione

12.1 Articulate, a tua scelta, ti restituirà e/o distruggerà tutti i Dati personali dietro tua richiesta sei mesi dopo la cessazione o la scadenza del tuo utilizzo del Servizio corrispondente, eccetto i casi in cui le Norme vigenti richiedano la conservazione dei Dati personali. La certificazione di cancellazione richiesta in base alle Clausole contrattuali standard (ove applicabili) sarà fornita solo dietro richiesta scritta.

12.2 Nulla obbligherà Articulate a cancellare i Dati personali dai file creati per scopi di sicurezza, backup e continuità aziendale prima di quanto richiesto dai processi di conservazione dei dati ragionevoli di Articulate.

13. Generale

13.1 Cessione. Il presente DPA sarà a beneficio e avrà carattere vincolante nei confronti di qualsiasi successore di tutta o sostanzialmente tutta l’attività e i beni di ciascuna parte, sia a seguito di fusione, cessione di beni o altri accordi, nonché per effetto di legge.

13.2 Controparti; Facsimili di firme. Questo DPA può essere sottoscritto da più controparti e ciascuna delle sue copie, una volta sottoscritta e recapitata, verrà considerata un originale, ma tutte insieme costituiranno uno stesso e unico strumento. Qualsiasi pagina con firma di una delle controparti o qualsiasi trasmissione di un facsimile della stessa può essere allegata o aggiunta alla copia di qualsiasi altra controparte per ottenere una copia interamente sottoscritta del presente DPA e qualsiasi trasmissione di un facsimile di firma di una parte sarà considerata originale e vincolante per tale parte.

13.3 Ordine di precedenza. In relazione ai diritti e agli obblighi reciproci delle parti, in caso di conflitto tra i termini del Contratto e del presente DPA, i termini del presente DPA saranno considerati prevalenti. In caso di conflitto tra i termini del presente DPA e le Clausole contrattuali standard, i termini delle Clausole contrattuali standard saranno considerati prevalenti.

13.4 Responsabilità civile. Nella misura consentita dalle leggi, il presente DPA è soggetto alla clausola di limitazione di responsabilità inserita nel Contratto.

13.5 Varie. Il presente DPA costituisce l’intero accordo delle parti in relazione all’oggetto del presente DPA e unifica tutte le comunicazioni, intese e accordi precedenti. Il presente DPA può essere modificato solo per mezzo di un accordo scritto firmato dalle parti. Il mancato rispetto di una delle parti in qualsiasi momento di una qualsiasi delle disposizioni qui contenute non costituirà una rinuncia a tale disposizione, o a qualsiasi altra disposizione, o al diritto di tale parte di far valere in seguito qualsiasi disposizione del presente documento. Se una qualsiasi disposizione del presente DPA viene dichiarata non valida o inapplicabile, tale disposizione si considererà modificata nella misura necessaria e possibile per renderla valida e applicabile. In ogni caso, l’inapplicabilità o non invalidità di qualsiasi disposizione non pregiudicherà nessun’altra disposizione del presente DPA e il presente DPA continuerà a essere pienamente valido ed efficace, nonché sarà interpretato e applicato, come se tale disposizione non fosse stata inclusa o fosse stata modificata come previsto sopra, a seconda dei casi.

ALLEGATO 1

Dettagli del trattamento dei dati

Oggetto, Natura e Finalità del Trattamento e dettagli delle operazioni di trattamento: Fornitura dei Servizi ai sensi del Contratto.

Periodo/Durata del Trattamento: come stabilito nel Contratto e/o in qualsiasi Preventivo, Ordine del cliente o Capitolato relativi.

Categorie di Interessati: i Dati personali trasferiti possono riguardare dipendenti attuali e potenziali dell’esportatore e suoi contraenti, nonché altre terze parti, secondo quanto determinato dall’esportatore.

Categorie di dati

Per Articulate 360 e Rise:

  • Nome e Cognome
  • Datore di lavoro
  • Dati di contatto dell’azienda (es. indirizzo email, numero di telefono)
  • Immagine del profilo
  • Titolo
  • Località approssimativa
  • Preferenza della lingua
  • Curriculum professionale

Categorie particolari di dati (se esistenti): non applicabile.

Misure di salvaguardia e restrizioni applicate specificamente a eventuali categorie speciali di dati: Non applicabile. In ogni caso, lo stesso elevato standard di protezione descritto nell’Allegato 2 al DPA si applica a questa e ad altre categorie di Dati personali.

La frequenza del trasferimento (es. se i dati vengono trasferiti una tantum o in modo continuativo): Continuativa per tutto il tempo necessario a fornire i Servizi i sensi del Contratto.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: la durata minore tra sei (6) mesi o per tutto il tempo necessario a fornire i Servizi previsti dal Contratto o per il tempo richiesto dalle Norme vigenti.

ALLEGATO 2

Misure tecniche e organizzative di sicurezza

Articulate (in qualità di importatore di dati) implementa le seguenti misure tecniche e organizzative di sicurezza.

  1. Pseudonimizzazione e crittografia: i dati personali sono crittografati a riposo sui nostri server utilizzando standard di settore (es. AES 256-bit), e la gestione delle chiavi è curata dal fornitore dell’ambiente di hosting di Articulate, Amazon Web Services (AWS).
  2. Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di elaborazione: Articulate utilizza un sistema di rilevamento delle intrusioni per analizzare, rilevare e segnalare eventi di rete e altre situazioni di allerta e coinvolge partner terzi per condurre valutazioni di sicurezza e delle applicazioni. Articulate utilizza inoltre Amazon Web Services (AWS) come provider di hosting, che fornisce ridondanze (es. attraverso tre (3) o più zone di disponibilità fisicamente isolate e con risorse indipendenti).
  3. Misure di ripristino di emergenza e continuità aziendale (ripristino della disponibilità e dell'accesso ai dati personali in caso di incidente fisico o tecnico): Articulate attua una politica di ripristino di emergenza e procedure correlate che prevedono che, in caso di disastro o emergenza, Articulate ricostruirà la propria infrastruttura per ripristinare i servizi il più rapidamente possibile con un RTO di 72 ore e un RPO di 24 ore.
  4. Test, valutazione e verifica delle misure di sicurezza: Articulate attua una politica di risposta agli incidenti che viene testata almeno annualmente o ogni volta che c’è un cambiamento materiale della nostra sicurezza.
  5. Identificazione e autorizzazione degli utenti: i servizi di Articulate 360 non memorizzano le credenziali degli utenti; invece, si affidano a un servizio di Single Sign-On di terza parte che implementa protocolli di identità testati e riconosciuti nel settore per autenticare gli utenti, inclusa la crittografia a riposo utilizzando una forza della crittografia minima AES-256.
  6. Protezione dei dati durante la trasmissione: i dati riservati sono crittografati durante il transito utilizzando come minimo il protocollo di Transport Layer Security TLS 1.2.
  7. Protezione dei dati durante la conservazione: i dati riservati sono crittografati a riposo sui nostri server utilizzando lo standard di settore Advanced Encryption Standard 256-bit. La gestione delle chiavi è curata dal fornitore dell’ambiente di hosting di Articulate, AWS.
  8. Sicurezza fisica delle sedi in cui vengono elaborati i dati personali: Articulate è un’azienda completamente distribuita, di conseguenza non ha uffici fisici. Ospitiamo i servizi Articulate su server AWS. I data center AWS sono all’avanguardia, grazie all’impiego di architetture e approcci di progettazione innovativi, sono ospitati in strutture anonime e l’accesso fisico è rigorosamente controllato sia lungo il perimetro che in corrispondenza dei punti di ingresso dell’edificio (es. con personale di sicurezza professionale, videosorveglianza).
  9. Registrazione di eventi: Articulate utilizza soluzioni SIEM conformi agli standard definiti per la centralizzazione dei registri e le funzionalità di avviso, oltre a AWS CloudWatch e AWS CloudTrail per monitorare tutti i cambiamenti dell’infrastruttura
  10. Configurazione del sistema, inclusa la configurazione predefinita: Articulate codifica tutte le modifiche dell’infrastruttura nell’ambito del controllo delle versioni e utilizza le buone pratiche del settore per applicare in modo sicuro e protetto tali modifiche ai servizi di Articulate.
  11. Governance e gestione interna dell’IT e della sicurezza IT: i dipendenti di Articulate sottoscrivono accordi di riservatezza e partecipano a una formazione sulla sicurezza al momento dell’assunzione; la formazione sulla sicurezza in seguito viene proseguita annualmente. Articulate attua politiche e procedure sulla corretta protezione, gestione, conservazione e cancellazione dei dati. Articulate utilizza inoltre software antivirus e di gestione dei dispositivi mobili all’avanguardia su tutte le workstation Articulate, monitora i fornitori e le fonti di terza parte per ottenere informazioni aggiornate sulle vulnerabilità, distribuisce tempestivamente informazioni sulle patch corrispondenti e richiede che le workstation di tutti i membri del team di Progettazione e le altre che hanno accesso ai server AWS (il nostro host) siano crittografate a riposo.
  12. Certificazione/garanzia di processi e prodotti: Articulate si sottopone a un audit annuale SOC2 Tipo 2 condotto da terze parti ed è in possesso di certificazioni ISO 27001 e ISO 27701. I dipendenti sono tenuti a partecipare alla formazione sulla sicurezza al momento dell’assunzione e, successivamente, ogni anno per comprendere i loro obblighi e responsabilità in relazione al rispetto delle politiche aziendali progettate per proteggere i dati dei clienti.
  13. Minimizzazione dei dati: Articulate raccoglie i dati personali necessari per fornire servizi ai clienti e concede ai dati personali solo se necessario per consentire alle risorse umane di svolgere i propri compiti. Articulate rivede inoltre periodicamente i privilegi di accesso e li rimuove entro 24 ore dalla risoluzione del rapporto di lavoro di un dipendente di Articulate. Inoltre, i dati personali vengono conservati e distrutti in modo sicuro in conformità con le politiche di conservazione dei dati di Articulate (o prima su richiesta del cliente), a condizione che non esistano requisiti legali di conservazione di tali dati.
  14. Qualità dei dati: i servizi di Articulate convalidano l’input dell’utente e i parametri HTTP.
  15. Conservazione limitata dei dati: Articulate attua politiche di conservazione che prevedono la cancellazione regolare dei dati personali. Articulate esegue backup giornalieri nell’ambito del proprio processo di ripristino di emergenza, i cui dati vengono archiviati per circa 60 giorni e quindi automaticamente sovrascritti.
  16. Responsabilità: Articulate ha implementato un programma sulla privacy, nominato un Responsabile della protezione dei dati, implementato politiche e pratiche in materia di privacy (incluse quelle sulla risposta agli incidenti) e conduce corsi di formazione dei dipendenti almeno annualmente.
  17. Portabilità e cancellazione dei dati: Articulate rispetta le procedure stabilite nel proprio Contratto di nomina del Responsabile del trattamento dei Dati per rispondere alle richieste dei clienti di ottenere una copia, la correzione o la cancellazione dei dati personali dei loro utenti finali.
  18. Per i trasferimenti a (sub-)responsabili: misure tecniche e organizzative specifiche che devono essere adottate dal (sub-)responsabile allo scopo di essere in grado di fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile a un sub-responsabile, all’esportatore di dati. Gli amministratori e/o gli utenti dell’esportatore possono utilizzare funzionalità self-service nei Servizi per accedere, cancellare o correggere i dati sugli utenti finali. Qualsiasi altro tipo di assistenza viene fornito attraverso il servizio di assistenza clienti.