.png?width=1024&quality=80&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000)
Privacy
NOTA: Questa traduzione è stata generata automaticamente ed è fornita solo per comodità. Questa traduzione generata automaticamente non è paragonabile alla qualità di una traduzione umana e potrebbe contenere errori. Questa traduzione è fornita "COSÌ COM'È" e senza alcuna garanzia riguardo all'accuratezza, completezza o affidabilità della traduzione. In caso di discrepanze tra la versione inglese di questo contratto e la versione tradotta in una lingua straniera, solo la versione inglese sarà considerata valida.
ADDENDUM SUL TRATTAMENTO DEI DATI
Questo Addendum sul Trattamento dei Dati (" DPA ") fa parte e viene espressamente incorporato nell'accordo stipulato tra Sophos e il Cliente per la fornitura da parte di Sophos al Cliente di determinati prodotti e/o servizi (" Contratto Principale "). Salvo diversa definizione, tutti i termini in maiuscolo avranno i significati indicati nella Sezione 1 qui sotto.
1. DEFINIZIONI
1.1 In questo DPA, i seguenti termini avranno i seguenti significati:
“Affiliato ” significa, con riferimento a ciascuna parte, un'entità che controlla, è controllata da, o è sotto il controllo comune di tale parte. Ai fini di questa definizione, “ controllo ” significa la proprietà benefica di più del cinquanta percento (50%) del potere di voto o del capitale in un'entità o il diritto contrattuale o legale di dirigere la gestione di tale entità;
“Leggi Applicabili sulla Protezione dei Dati ” significa tutte le leggi e i regolamenti applicabili al Trattamento dei Dati Personali del Titolare ai sensi del Contratto Principale, inclusi, se pertinente, il GDPR, la Legge sulla Protezione dei Dati del Regno Unito e il CCPA;
“Beneficiario ” ha il significato a esso attribuito nell'Accordo MSP;
“CCPA ” significa il California Consumer Privacy Act come modificato dal California Privacy Rights Act del 2020), codificato nel Cal. Civ. Code §§ 1798.100 - 1798.199.100 e il California Consumer Privacy Act Regulations emessi in merito, Cal. Code Regs. tit. 11, div. 6, ch. 1, ciascuno come modificato;
“Titolare ” significa o: (a) il Cliente, se il Cliente è un Utente Finale; (b) il Beneficiario, se il Cliente è un MSP; o (c) il Cliente Finale, se il Cliente è un OEM;
“Dati Personali del Titolare ” significa i Dati Personali che Sophos elabora per conto del Titolare come parte della fornitura dei Servizi;
“Cliente ” significa: (1) il fornitore di servizi gestiti o il fornitore di servizi di sicurezza gestiti (ciascuno denominato “ MSP ”) se il Contratto Principale è tra Sophos e un MSP (" Contratto MSP ”), (2) il produttore di apparecchiature originali (“ OEM ”) se il Contratto Principale è con un OEM autorizzato a distribuire, concedere in sublicenza o rendere disponibili a terzi i prodotti Sophos in combinazione con i propri prodotti come parte di un'unità combinata (“ Contratto OEM ”); (3) l'utente finale (“ Utente Finale ”), se il Contratto Principale è direttamente con il cliente;
“Soggetto Interessato ” significa l'individuo a cui si riferiscono i Dati Personali del Controllore;
“Richieste dei Soggetti Interessati ” significa qualsiasi richiesta da parte dei Soggetti Interessati che esercitano diritti ai sensi delle Leggi Applicabili sulla Protezione dei Dati;
“EEA” significa lo Spazio Economico Europeo, inclusi gli stati membri dell'Unione Europea;
“Cliente Finale ” ha il significato a esso attribuito nel Contratto OEM;
“EU SCCs ” significa le clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvate dalla decisione di attuazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021;
“GDPR ” significa il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679, come modificato di volta in volta;
“Dati Personali ” significa “dati personali” o “informazioni personali”, come definiti dalle Leggi Applicabili sulla Protezione dei Dati, e include qualsiasi informazione relativa a un individuo identificato o identificabile o a un nucleo familiare;
“Violazione dei Dati Personali ” significa una violazione della sicurezza (diversa da quella causata dal Cliente o dai suoi utenti) che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati Personali del Controllore;
“Processore ” significa una persona o entità che elabora Dati Personali per conto e sotto le istruzioni di un controllore, inclusa qualsiasi entità che agisce come “fornitore di servizi” ai sensi del CCPA;
“Trasferimento Riservato ” significa un trasferimento di Dati Personali a un Paese Terzo in cui tale trasferimento sarebbe vietato ai sensi della Legge Europea sulla Protezione dei Dati in assenza di meccanismi di trasferimento appropriati, come regole aziendali vincolanti o Clausole Contrattuali Standard;
“Servizi ” significa qualsiasi prodotto fornito e/o servizi eseguiti da Sophos ai sensi del Contratto Principale;
“Sophos ” significa l'entità Sophos identificata come parte contraente di Sophos nel Contratto Principale;
“Clausole Contrattuali Standard” o “SCCs” significa: (i) dove il GDPR si applica a un Trasferimento Riservato, le SCC dell'UE; (ii) dove la Legge sulla Protezione dei Dati del Regno Unito si applica a un Trasferimento Riservato, l'Addendum del Regno Unito; e (iii) dove la DPA svizzera si applica a un Trasferimento Riservato, le SCC svizzere;
“Sub-Processore ” significa qualsiasi entità nominata da Sophos per svolgere attività relative ai Dati Personali del Controllore;
“Autorità di Controllo ” significa l'autorità di regolamentazione competente in materia di Leggi Applicabili sulla Protezione dei Dati, inclusa, se applicabile, un'autorità di vigilanza come definita dal GDPR;
“Legge federale svizzera sulla protezione dei dati” significa la Legge federale svizzera sulla protezione dei dati del 25 settembre 2020, come modificata di volta in volta;
“Clausole contrattuali standard svizzere” significa le Clausole contrattuali standard applicabili per il trasferimento di Dati Personali verso Paesi Terzi emesse, approvate o riconosciute in altro modo dal Commissario federale svizzero per la protezione dei dati e l'informazione (“FDPIC”);
“Paese Terzo” significa un paese al di fuori dello Spazio Economico Europeo, del Regno Unito (“UK”) o della Svizzera che non è stato designato dalla Commissione Europea o da un ente o persona equivalente in Svizzera o nel Regno Unito come garante di un adeguato livello di protezione ai sensi delle leggi sulla protezione dei dati dello Spazio Economico Europeo, del Regno Unito o della Svizzera (“Legge europea sulla protezione dei dati”);
“Addendum UK” significa l'Addendum per il trasferimento internazionale dei dati alle SCC dell'UE, emesso dall'Ufficio del Commissario per l'informazione del Regno Unito e presentato al Parlamento in conformità con l'articolo 119A della Legge sulla protezione dei dati del 2018 il 2 febbraio 2022;
“Legge sulla protezione dei dati del Regno Unito” significa la Legge sulla protezione dei dati del Regno Unito del 2018 e il GDPR come mantenuto nella legge del Regno Unito in virtù della Sezione 3 della Legge sul ritiro del Regno Unito dall'Unione Europea del 2018, entrambe come modificate di volta in volta.
1.2. In questo DPA, i termini in minuscolo "titolare", "responsabile", "soggetto dei dati", "dati personali" e "trattamento" (e i loro derivati) avranno i significati attribuiti nella Legge sulla protezione dei dati applicabile.
1.3. I termini in maiuscolo non altrimenti definiti in questo DPA avranno il significato attribuito loro nel Contratto principale.
2. AMBITO
2.1. Questo DPA si applica quando Sophos tratta Dati Personali del Titolare per conto del Cliente come parte della fornitura dei Servizi. L'oggetto e la durata del trattamento dei Dati Personali del Titolare da parte di Sophos, la natura e lo scopo del trattamento, i tipi di Dati Personali del Titolare da trattare e le categorie di interessati, saranno come descritto in: (a) questo DPA; (b) il Contratto principale; (c) l'Allegato 1 (Dettagli sul trattamento dei dati); e (d) le istruzioni del Cliente emesse in conformità con la Sezione 4 di seguito.
2.2. Il Cliente è responsabile di garantire che il Titolare (a) abbia una base legale per il trattamento dei Dati Personali del Titolare da parte di Sophos per conto del Cliente, (b) abbia fornito tutte le notifiche richieste e ottenuto tutti i consensi necessari per il trattamento dei Dati Personali del Titolare da parte di Sophos; e (c) sia altrimenti conforme e garantirà che le sue istruzioni a Sophos per il trattamento dei Dati Personali del Titolare siano conformi in tutti i rispettivi aspetti alle Leggi sulla protezione dei dati applicabili.
2.3. Le parti concordano che in relazione ai Dati Personali del Titolare, Sophos è un Responsabile o sub-responsabile, e il Cliente è o (a) il Titolare quando il Cliente è un Utente Finale, o (b) un Responsabile, per il Beneficiario o il Cliente Finale, quando il Cliente è un MSP o un OEM, rispettivamente.
3. ISTRUZIONI DEL CLIENTE
3.1. Il Cliente istruisce Sophos a trattare i Dati Personali del Titolare come ragionevolmente necessario per fornire e svolgere i Servizi e come altrimenti stabilito in questo DPA e nel Contratto Principale (“Istruzioni del Cliente”). Sophos tratterà i Dati Personali del Titolare in conformità con le Istruzioni del Cliente, eccetto (a) dove diversamente concordato per iscritto tra Sophos e il Cliente; o (b) come richiesto da qualsiasi legge a cui Sophos è soggetta (nel qual caso, Sophos informerà il Cliente di tale obbligo legale prima di qualsiasi trattamento, a meno che tale legge non vieti la fornitura di tali informazioni per importanti motivi di interesse pubblico). Quando il Cliente agisce come Responsabile rispetto ai Dati Personali del Titolare, il Cliente garantirà che le Istruzioni del Cliente siano state autorizzate dal Titolare pertinente e non confliggano con eventuali istruzioni emesse da quel Titolare.
3.2. Se Sophos viene a conoscenza che le Istruzioni del Cliente violano le Leggi sulla protezione dei dati applicabili, informerà prontamente il Cliente di ciò e sospenderà il trattamento dei Dati Personali del
3.3. Senza limitare quanto sopra, nella misura in cui il CCPA si applica ai Dati Personali del Titolare, Sophos concorda ulteriormente che:
- Sophos non utilizzerà, divulgherà o tratterà in altro modo i Dati Personali del Titolare se non per lo specifico scopo commerciale di eseguire i Servizi, in conformità con i termini di questo DPA e del Contratto Principale, e come altrimenti autorizzato dalle leggi applicabili;
- Sophos può coinvolgere Sub-Responsabili per trattare i Dati Personali del Titolare, soggetto ai termini della Sezione 7 e tale coinvolgimento non sarà considerato una vendita di Dati Personali del Titolare;
- Sophos non tratterà i Dati Personali del Titolare al di fuori della diretta relazione commerciale tra il Cliente e Sophos o per scopi commerciali propri di Sophos;
- Sophos non "condividerà" o "venderà" (come definiti dalla CCPA) alcun Dato Personale del Titolare;
- Sophos rispetterà i propri obblighi ai sensi della CCPA e fornirà lo stesso livello di protezione della privacy richiesto dalla CCPA;
- Se Sophos ritiene di non poter rispettare i termini della CCPA, Sophos notificherà prontamente il Cliente e concederà al Cliente il diritto di adottare misure ragionevoli e appropriate per garantire che i Dati Personali del Titolare siano trattati in modo coerente con gli obblighi del Titolare ai sensi della CCPA;
- Sophos non conserverà i Dati Personali del Titolare alla scadenza o cessazione del Contratto Principale, salvo quanto previsto nella Sezione 4.6.
3.4. Sophos certifica di comprendere e di rispettare gli obblighi stabiliti nella Sezione 3.3.
4. OBBLIGHI DI SOPHOS
4.1. Cooperazione. Tenendo conto della natura del trattamento dei Dati Personali del Titolare, Sophos fornirà al Cliente (o, se il Cliente è un MSP o OEM, al Titolare) un'assistenza ragionevole come necessario per: (i) rispondere a richieste da parte di soggetti interessati che esercitano i propri diritti ai sensi delle Leggi Applicabili sulla Protezione dei Dati (inclusa la notifica al Cliente al ricevimento di tali richieste, a condizione che non risponda direttamente a meno che non sia stato autorizzato a farlo dal Cliente), (ii) condurre valutazioni d'impatto sulla protezione dei dati o altre valutazioni richieste dalle Leggi Applicabili sulla Protezione dei Dati; e (iii) consultare e cooperare con le Autorità di Controllo come richiesto dalle leggi sulla protezione dei dati applicabili. Sophos si riserva il diritto di addebitarne il costo se il costo dell'assistenza supera un importo nominale.
4.2. Richieste di terzi. Salvo divieto di legge, Sophos notificherà al Cliente qualsiasi richiesta di privacy, corrispondenza, domanda o reclamo ricevuto da un'Autorità di Controllo, autorità giudiziaria o agenzia di enforcement in relazione al trattamento dei Dati Personali del Titolare (“Richiesta di Terzi”), fornendo tutti i dettagli al riguardo. Sophos non risponderà direttamente alla Richiesta di Terzi, salvo (1) su istruzioni scritte del Cliente o, (2) come richiesto dalle leggi applicabili.
4.3. Riservatezza. Tutto il personale di Sophos che tratta i Dati Personali del Titolare sarà adeguatamente formato riguardo ai propri obblighi di protezione dei dati, sicurezza e riservatezza, e sarà soggetto a obblighi di riservatezza scritti o di legge.
4.4. Sicurezza. Sophos implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio e per proteggere i Dati Personali del Titolare contro una Violazione dei Dati Personali. Tali misure terranno conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e scopi del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, in modo da garantire un livello di sicurezza adeguato al rischio. In particolare, le misure adottate da Sophos includeranno quelle descritte nell'Allegato 2 di questo DPA.
4. 5. Violazione dei Dati Personali. Dopo aver confermato l'accadimento di qualsiasi Violazione dei Dati Personali, Sophos informerà il Cliente senza indugi e fornirà tutte le informazioni e la cooperazione tempestive che il Cliente potrebbe ragionevolmente richiedere affinché il Cliente (e, se il Cliente è un MSP o OEM, il suo Titolare) possa adempiere ai propri obblighi di segnalazione delle violazioni dei dati ai sensi (e in conformità con i tempi richiesti dalla) Legge Applicabile sulla Protezione dei Dati. Sophos adotterà ulteriori misure e azioni che sono ragionevolmente necessarie per rimediare o mitigare gli effetti della Violazione dei Dati Personali e terrà il Cliente informato sugli sviluppi relativi alla Violazione dei Dati Personali.
4.6 Fine dei Servizi. Alla fine della fornitura dei Servizi o su richiesta scritta del Cliente, Sophos cancellerà i Dati Personali del Titolare entro un tempo ragionevole successivo a la fine dei Servizi o alla richiesta, salvo diverso obbligo previsto dalla legge applicabile, o richiesto per conformarsi a requisiti giudiziari o di conformità. Se Sophos è tenuta a conservare qualsiasi Dato Personale del Titolare, Sophos adotterà misure per garantire la continua riservatezza e sicurezza dei Dati Personali del Titolare finché questi saranno conservati.
5. DIRITTI DI AUDIT DEL CLIENTE
5.1. Il Cliente riconosce che Sophos mantiene la certificazione ISO 27001 ed è regolarmente sottoposta a audit secondo gli standard SSAE 18 SOC 2 da parte di revisori indipendenti di terze parti. Su richiesta ragionevole, Sophos fornirà una copia del suo rapporto di audit SOC 2 al Cliente, il quale rapporto sarà soggetto alle disposizioni di riservatezza del Contratto Principale come informazione riservata di Sophos. La certificazione ISO 27001 di Sophos è pubblicamente disponibile attraverso il Centro Fiducia di Sophos all'indirizzo https://www.sophos.com/it-it/trust/business-certifications. Sophos risponderà anche a domande di audit scritte ragionevoli presentate dal Cliente, a condizione che il Cliente non eserciti questo diritto più di una volta all'anno.
5.2. Se, a giudizio ragionevole del Cliente, i materiali forniti ai sensi della Sezione 5.1 sono insufficienti per dimostrare la conformità di Sophos a questo DPA, il Cliente può richiedere per iscritto che Sophos metta a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti in questo DPA e consentire e contribuire agli audit, comprese le ispezioni, da parte del Cliente o del revisore indipendente di terze parti del Cliente, sempre soggetto alle seguenti disposizioni:
- prima di richiedere una revisione o un audit ai sensi di questa Sezione 5.2, il Cliente terrà conto delle pertinenti certificazioni e audit di terze parti di Sophos descritti nella Sezione 5.1;
- Il Cliente darà a Sophos un ragionevole preavviso scritto, di almeno 30 giorni in anticipo, di una richiesta di condurre un audit o un'ispezione ai sensi di questa Sezione 5.2, fornendo l'ambito proposto, la durata e la data di inizio dell'audit;
- quando un revisore di terze parti conduce l'audit, tale revisore di terze parti deve essere un professionista o un'azienda rispettabile e ben consolidata, essere soggetto a obblighi di riservatezza appropriati e non essere un concorrente di Sophos;
- Il Cliente condurrà (e garantirà che i suoi revisori lo faranno) tale audit o ispezione durante l'orario lavorativo normale di Sophos con un minimo di interruzione delle attività commerciali;
- un audit o un'ispezione saranno condotti non più di una volta all'anno, tranne dove richiesto da un'Autorità di Vigilanza o dalle Leggi Applicabili sulla Protezione dei Dati;
- Il Cliente (o i suoi revisori, a seconda dei casi) non avrà accesso ad altri clienti di Sophos (e alle loro informazioni);
- tranne dove l'audit o l'ispezione rivela una mancanza da parte di Sophos di conformarsi ai suoi obblighi materiali ai sensi di questo DPA, Il Cliente rimborserà a Sophos i costi e le spese ragionevoli sostenuti da Sophos, inclusi eventuali addebiti per il tempo speso da Sophos, dal suo personale e dai suoi consulenti professionali;
- Il Cliente fornirà a Sophos una copia di qualsiasi rapporto di audit generato in relazione a un audit effettuato ai sensi di questa Sezione 5.2, salvo divieto di legge applicabile;
- Le informazioni apprese dall'audit o dall'ispezione devono essere considerate informazioni riservate di Sophos.
6. SUB-PROCESSORI
6.1. Sophos è generalmente autorizzata a utilizzare i Sub-Processori che sono elencati a https://www.sophos.com/it-it/legal/sub-processor (“Elenco dei Sub-Processori”), così come le Affiliate di Sophos. Sophos può ingaggiare ulteriori Sub-Processori (ciascuno un “Nuovo Sub-Processore”) soggetti ai termini stabiliti in questa Sezione 6.
6.2. Sophos notificherà al Cliente qualsiasi aggiunta prevista di Nuovi Sub-Processori pubblicando i dettagli di tale aggiunta nell'Elenco dei Sub-Processori, inviando un'email al Cliente o fornendo un avviso nel prodotto. Il Cliente riconosce che uno di questi metodi di notifica costituisce notifica ai fini di questa sezione.
6.3. Se il Cliente non obietta per iscritto all'incarico di Sophos di un Nuovo Sub-Processore (per motivi ragionevoli relativi alla protezione dei Dati Personali del Titolare) entro 30 giorni da tale notifica, si considererà che il Cliente abbia acconsentito a quel Nuovo Sub-Processore. Se il Cliente obietta, le parti si adopereranno con ragionevole impegno per concordare disposizioni alternative entro i successivi trenta (30) giorni. Se le parti non riescono a concordare entro il termine stabilito, il Cliente può scegliere di terminare la parte dei Servizi interessata dal Nuovo Sub-Processore fornendo trenta (30) giorni di preavviso scritto a Sophos e Sophos autorizzerà un rimborso o un credito pro rata di eventuali spese anticipate per il periodo rimanente dopo la risoluzione.
6.4. Sophos imporrà requisiti di protezione dei dati ai Sub-Processori che sono sostanzialmente equivalenti ai requisiti previsti da questo DPA. Sophos rimarrà pienamente responsabile per l'adempimento degli obblighi di ciascun Sub-Processore.
6.5. Quando l'ingaggio di Sub-Processori richiede un Trasferimento Riservato di Dati Personali del Titolare, Sophos implementerà e manterrà meccanismi di trasferimento appropriati per garantire la conformità alle Leggi Applicabili sulla Protezione dei Dati.
7. TRASFERIMENTI DI DATI INTERNAZIONALI
7.1. Alcuni prodotti consentono al Cliente di selezionare dove ospitare i Dati Personali del Titolare per tali prodotti, inclusi i centri dati che possono trovarsi al di fuori della giurisdizione in cui i dati hanno origine. Questi luoghi possono includere (a) lo Spazio Economico Europeo, (b) il Regno Unito, (c) gli Stati Uniti d'America; o un altro luogo come può essere specificato nel Contratto Principale (“Luogo di Archiviazione Centrale”). Per questi prodotti, la selezione è effettuata dal Cliente al momento dell'installazione del prodotto, della creazione dell'account o del primo utilizzo del prodotto pertinente. Una volta selezionato dal Cliente, il Luogo di Archiviazione Centrale non può essere modificato in un secondo momento.
7.2. Il Cliente accetta qui che, indipendentemente dal Luogo di Archiviazione Centrale selezionato (se pertinente), Sophos può trasferire i Dati Personali del Titolare a livello internazionale, soggetto al rispetto della legge sulla protezione dei dati applicabile e delle disposizioni di questo DPA. Quando il trasferimento è un Trasferimento Riservato, Sophos implementerà e manterrà meccanismi di trasferimento appropriati, come Clausole Contrattuali Standard, per garantire il rispetto delle leggi europee sulla protezione dei dati.
7.3. Nella misura in cui si verifichino Trasferimenti Riservati da parte del Cliente a Sophos:
- Le Clausole Contrattuali Standard sono espressamente incorporate nel presente documento per riferimento e fanno parte di questo DPA; e
- Ai fini delle Clausole Contrattuali Standard:
- Per quanto riguarda i Dati Personali del Titolare, il Cliente è l'esportatore di dati e Sophos è l'importatore di dati e un Processore.
- Quando il Cliente è il Titolare, il Modulo 2 delle Clausole Contrattuali Standard si applicherà, soggetto ai termini dell'Allegato 3. Quando il Cliente è un Processore che agisce per conto del Titolare, il Modulo 3 delle Clausole Contrattuali Standard si applicherà, soggetto ai termini dell'Allegato 3.
- La firma e la data delle parti del Contratto Principale si considerano come firma e data delle Clausole Contrattuali Standard.
8. DURATA
8.1. Questo DPA inizia al momento (a) della firma da entrambe le parti del Contratto Principale o (b) della data in cui il Contratto Principale diventa efficace, se successiva, e continua fino al primo dei seguenti eventi: (i) la scadenza del diritto del Cliente di utilizzare e ricevere i Servizi, come indicato nel Contratto Principale o su qualsiasi diritto di licenza associato; e (ii) la risoluzione del Contratto Principale.
9. ALTRE NORMATIVE
9.1. Qualsiasi modifica di questo DPA è valida solo se effettuata per iscritto e firmata da o per conto di ciascuna parte.
9.2. In nessun caso la responsabilità di Sophos nei confronti del Cliente derivante da, o in connessione con, questo DPA supererà i limiti di responsabilità di Sophos stabiliti nel Contratto Principale. I limiti di responsabilità di Sophos come stabilito nel Contratto Principale si applicheranno in modo aggregato sia al Contratto Principale che a questo DPA, in modo tale che un unico regime di limitazione della responsabilità si applichi sia al Contratto Principale che a questo DPA.
9.3. Questo DPA (escludendo le SCC) sarà regolato e interpretato in conformità con le leggi dell'Inghilterra e del Galles, senza riguardo ai principi di conflitto di leggi. Nella misura consentita dalla legge applicabile, i tribunali dell'Inghilterra avranno giurisdizione esclusiva per determinare qualsiasi controversia o reclamo che possa sorgere da, sotto, o in connessione con questo DPA.
9.4. Il Contratto Principale, questo DPA e i documenti espressamente citati nel Contratto Principale e in questo DPA costituiranno l'intero accordo tra le parti in relazione ai Dati Personali raccolti, trattati e utilizzati da Sophos in connessione con il Contratto Principale e sostituiranno tutti i precedenti accordi, disposizioni e intese tra le parti riguardo a tale materia.
9.5. Nella misura di qualsiasi conflitto tra i termini di questo DPA e i termini di qualsiasi SCC stipulato dalle parti, i termini delle SCC applicabili (inclusi eventuali Allegati) prevarranno.
10. CAMBIAMENTI NELLA LEGGE
10.1. Se è necessaria una modifica a questo DPA a causa di un cambiamento nelle Leggi Applicabili sulla Protezione dei Dati, allora ciascuna parte può fornire notifica scritta all'altra parte di tale cambiamento. Le parti discuteranno e negozieranno in buona fede eventuali variazioni necessarie a questo DPA per affrontare tali cambiamenti. Le parti non ritarderanno irragionevolmente il consenso o l'approvazione per modificare questo DPA ai sensi di questa Sezione 10 o in altro modo.
ELENCO DEGLI ALLEGATI
Allegato 1: DETTAGLI DEL TRATTAMENTO
Allegato 2: MISURE TECNICHE E ORGANIZZATIVE
Allegato 3: TERMINI AGGIUNTIVI PER TRASFERIMENTI RESTRITTI
Allegato (all'Allegato 3): Appendice alle SCC (Modulo 2/Modulo 3): Titolare-Responsabile del trattamento/ Responsabile-Responsabile del trattamento
Allegato 1
DESCRIZIONE DEL TRATTAMENTO
Questo Allegato 1 descrive il trattamento che Sophos eseguirà come responsabile del trattamento per conto del Cliente.
(a) Oggetto del trattamento
Sophos fornisce Servizi progettati per rilevare, prevenire e gestire, o assistere Sophos nel rilevare, prevenire e gestire minacce alla sicurezza all'interno o contro sistemi, reti, dispositivi, file e altri dati messi a disposizione dal Cliente. Il contenuto di qualsiasi informazione detenuta in questi sistemi, reti, dispositivi, file e altri dati è determinato esclusivamente dal Cliente.
(b) Natura e scopo delle operazioni di trattamento
- Fornire i Servizi ai sensi e in conformità con l'Accordo.
- I Dati Personali del Titolare saranno soggetti alle seguenti attività di trattamento di base:
Qualsiasi operazione o insieme di operazioni che viene eseguita sui Dati Personali o su insiemi di Dati Personali nel corso della fornitura dei Servizi, come raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione tramite trasmissione, diffusione o altro modo di messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
(c) Durata delle operazioni di trattamento:
I Dati Personali del Titolare saranno trattati per la durata del Contratto Principale e in conformità con le disposizioni di questo DPA.
(d) Soggetti dei dati
I Dati Personali del Titolare riguardano le seguenti categorie di soggetti dei dati:
- Personale e utenti finali del Titolare
- Altri Soggetti dei Dati i cui Dati Personali sono trattati per conto del Titolare relativi ai Servizi
(e) Tipi di dati personali
I Dati Personali del Titolare riguardano le seguenti categorie di dati:
- Nomi utente e altri identificatori
- Informazioni sulla rete e sull'attività di rete
- Altre informazioni che possono essere trasmesse o trattate in relazione ai Servizi
(f) Categorie speciali di dati (se appropriato)
I Dati Personali del Titolare riguardano le seguenti categorie speciali di dati:
Il contenuto di qualsiasi informazione detenuta nei sistemi, reti, dispositivi, file e altri dati di Sophos è determinato esclusivamente dal Cliente. Salvo diversa indicazione, i Servizi di Sophos non sono progettati per elaborare categorie speciali di dati.
Allegato 2
MISURE TECNICHE E ORGANIZZATIVE
Questa panoramica sulla sicurezza delle informazioni si applica ai controlli aziendali di Sophos per la protezione dei Dati Personali del Titolare.
Pratiche e Politiche di Sicurezza
Sophos si impegna a implementare salvaguardie fisiche, tecniche, amministrative o organizzative che riguardano la protezione di tali Dati Personali del Titolare contro la distruzione, la perdita, l'accesso o la modifica accidentale o illecita dei Dati del Titolare in possesso o sotto il controllo di Sophos. Sophos manterrà politiche e standard per la protezione dei Dati Personali del Titolare, derivanti dai framework standard di settore, e stabilirà standard uniformi di sicurezza e privacy per le operazioni di Sophos.
Sicurezza Organizzativa
È responsabilità degli individui all'interno dell'organizzazione conformarsi a queste pratiche e standard. Per facilitare l'aderenza aziendale a queste pratiche e standard, la funzione di sicurezza delle informazioni fornisce:
- Strategia e conformità a politiche/standard e regolamenti, attività di sensibilizzazione e formazione, valutazioni e gestione dei rischi, gestione dei requisiti di sicurezza contrattuale, consulenza su applicazioni e infrastrutture, test di validazione e definizione della direzione della sicurezza aziendale;
- Test di sicurezza, progettazione e implementazione di soluzioni di sicurezza per consentire l'adozione dei controlli di sicurezza in tutto l'ambiente;
- Operazioni di sicurezza delle soluzioni di sicurezza implementate, dell'ambiente e delle risorse, e gestione delle attività di risposta agli incidenti;
Sicurezza del Personale
Come parte del processo di assunzione e soggetto alla legislazione locale, i dipendenti subiscono un processo di screening all'assunzione. La formazione annuale sulla conformità di Sophos include un requisito per i dipendenti di completare un corso online che copre la sicurezza delle informazioni e la protezione dei dati. Il programma di sensibilizzazione alla sicurezza può anche fornire materiali specifici per determinate funzioni lavorative.
Sicurezza Fisica e Ambientale
Sophos adotta precauzioni per garantire che tutti i sistemi che ospitano Dati Personali del Titolare siano mantenuti in un ambiente fisicamente sicuro per prevenire accessi fisici non autorizzati, e che le restrizioni di accesso nei luoghi fisici contenenti Dati Personali del Titolare, come edifici, strutture informatiche e archivi, siano progettate e implementate per consentire l'accesso solo a persone autorizzate e per rilevare eventuali accessi non autorizzati che potrebbero verificarsi, inclusi, senza limitazione, controlli di accesso con badge, restrizioni di accesso ad aree sensibili, allarmi delle strutture, nonché registrazione e log dei visitatori.
Gestione delle Comunicazioni e delle Operazioni
Sophos gestisce le modifiche alla propria infrastruttura, sistemi e applicazioni attraverso un programma formale di gestione delle modifiche progettato per garantire l'integrità e la sicurezza dei Dati Personali del Titolare. I controlli includono test, analisi dell'impatto aziendale e approvazione della direzione, dove appropriato. Esistono procedure di risposta agli incidenti per incidenti di sicurezza e protezione dei dati che possono includere analisi degli incidenti, contenimento, risposta, ripristino, reporting e ritorno alle operazioni normali.
Per proteggere contro attacchi informatici, possono essere implementati controlli aggiuntivi basati sul rischio. Tali controlli possono includere, ma non sono limitati a, politiche e standard di sicurezza delle informazioni, accesso ristretto, autenticazione multifattoriale, ambienti di sviluppo e test designati, rilevamento di malware; scansione del traffico email e web; rilevamento e risposta gestiti, registrazione e allerta su eventi chiave, procedure di gestione delle informazioni basate sul tipo di dati, nonché scansione delle vulnerabilità di sistemi e applicazioni.
Controlli di Accesso
Sophos mantiene misure e procedure di sicurezza appropriate per garantire che l'accesso a tutti i sistemi che ospitano Dati Personali del Titolare sia protetto attraverso l'uso di sistemi di controllo accessi che identificano univocamente ciascun individuo che richiede accesso, concedono accesso solo a persone autorizzate e, basandosi sul principio dei privilegi minimi, impediscono a persone non autorizzate di accedere ai Dati Personali del Titolare, limitano e controllano appropriatamente l'ambito di accesso concesso a qualsiasi persona autorizzata e registrano tutti gli eventi di accesso rilevanti.
Controlli dei Subappaltatori
Sophos sarà responsabile di garantire che i suoi subappaltatori che elaborano Dati Personali del Titolare mantengano programmi di sicurezza dei dati che siano almeno altrettanto rigorosi quanto i programmi di Sophos stessi in relazione al servizio applicabile per il quale tale subappaltatore è stato ingaggiato, e in conformità con gli standard e le pratiche generalmente accettate nel settore. Sophos manterrà un programma di gestione del rischio focalizzato sull'identificazione, valutazione e convalida dei controlli di sicurezza di un fornitore.
Sviluppo e Manutenzione del Sistema
Le vulnerabilità di terze parti rilasciate pubblicamente vengono esaminate per la loro applicabilità nell'ambiente di Sophos. In base al rischio per l'attività e i clienti di Sophos, ci sono tempistiche predefinite per la correzione. Inoltre, vengono eseguite scansioni delle vulnerabilità e valutazioni su nuove applicazioni e applicazioni chiave, così come sull'infrastruttura, in base al rischio. Le revisioni del codice e gli scanner vengono utilizzati nell'ambiente di sviluppo prima della produzione per rilevare proattivamente le vulnerabilità di codifica in base al rischio. Questi processi consentono l'identificazione proattiva delle vulnerabilità e la conformità.
Conformità
I dipartimenti di sicurezza delle informazioni, legale, privacy e conformità lavorano per identificare le leggi e i regolamenti regionali applicabili a Sophos. Questi requisiti coprono aree come la proprietà intellettuale dell'azienda e dei nostri clienti, le licenze software, la protezione dei dati personali dei dipendenti e dei clienti, la protezione dei dati e le procedure di gestione dei dati, la trasmissione di dati transfrontaliera, le procedure finanziarie e operative, i controlli normativi sulle esportazioni relative alla tecnologia e i requisiti forensi. Meccanismi come il programma di sicurezza delle informazioni, audit/valutazioni interne ed esterne, consulenza legale interna ed esterna, valutazione dei controlli interni, test di penetrazione interni e valutazioni delle vulnerabilità, gestione dei contratti, consapevolezza della sicurezza, consulenza sulla sicurezza, revisioni delle eccezioni alle politiche e gestione del rischio si combinano per garantire la conformità a questi requisiti.
Allegato 3
TERMINI AGGIUNTIVI PER TRASFERIMENTI RESTRITTI
Questo Allegato 3 include termini aggiuntivi applicabili ai Trasferimenti Ristetti, così come le informazioni necessarie per completare gli Allegati (Allegati I – III) alle Clausole Contrattuali Standard applicabili.
1. Dove il Cliente è un Titolare rispetto ai Dati Personali del Titolare, si applicherà il Modulo 2 delle Clausole Contrattuali Standard, soggetto ai termini di questo Allegato 3.
2. Dove il Cliente è un Responsabile che agisce per conto di un Titolare rispetto ai Dati Personali del Titolare, si applicherà il Modulo 3 delle SCC, soggetto ai termini di questo Allegato 3.
3. Ai fini delle SCC dell'UE:
3.1. Clausola 7: la clausola di docking opzionale non si applicherà;
3.2. Clausola 9(a): si applicherà l'opzione 2 (Autorizzazione Generale) e l'importatore di dati dovrà notificare l'esportatore di dati per iscritto almeno 30 giorni prima di eventuali modifiche previste.
3.3. Clausola 11: la lingua opzionale non si applicherà.
3.4. Clausola 17: le SCC dell'UE saranno regolate dalle leggi della Repubblica d'Irlanda;
3.5. Clausola 18: le controversie saranno risolte davanti ai tribunali della Repubblica d'Irlanda;
3.6. L'Allegato alle SCC dell'UE sarà popolato con le informazioni contenute nell'Allegato a questo Exhibit 3.
4. Ai fini dell'Addendum del Regno Unito, si applicherà quanto segue:
4.1. I dettagli delle parti rilevanti per la Tabella 1 sono come indicati nell'Allegato I dell'Allegato a questo Exhibit 3;
4.2. Ai fini della Tabella 2, l'Addendum del Regno Unito sarà allegato alle SCC dell'UE con le stesse opzioni e scadenze indicate sopra;
4.3. Le informazioni dell'appendice elencate nella Tabella 3 devono essere completate con le informazioni nell'Allegato I e nell'Allegato II dell'Allegato a questo Exhibit 3.
5. Ai fini delle SCC svizzere, le SCC dell'UE si applicano come segue:
5.1. Qualsiasi riferimento nelle SCC dell'UE al GDPR deve essere interpretato come riferimento alla DPA svizzera;
5.2. I riferimenti a “UE”, “Unione”, “Stato membro” e “legge dello Stato membro” devono essere interpretati come riferimenti alla Svizzera e alla legge svizzera, a seconda dei casi;
5.3. I riferimenti all'“autorità di vigilanza competente” e ai “tribunali competenti” devono essere interpretati come riferimenti al FDPIC e ai tribunali competenti in Svizzera;
5.4. Gli Allegati pertinenti delle SCC svizzere devono essere completati con le informazioni nell'Allegato a questo Exhibit 3.
Allegato a Exhibit 3
APPENDICE ALLE SCC
MODULO 2 o MODULO 3 (se applicabile)
ALLEGATO I
A. ELENCO DELLE PARTI
1. Esportatore(i) di dati:
| Nome: | Come fornito a Sophos ai sensi del Contratto Principale |
| Indirizzo: | Come fornito a Sophos ai sensi del Contratto Principale |
| Nome, posizione e dettagli di contatto della persona di contatto: | Come fornito a Sophos ai sensi del Contratto Principale |
| Attività rilevanti per i dati trasferiti ai sensi di queste SCC: | L'acquisto di Prodotti come indicato nel Contratto Principale |
| Ruolo: | Controllore (quando il Cliente è l'Utente Finale) o Processore (quando il Cliente è un MSP o OEM) |
| Firma e Data dell'Esportatore di Dati: | Data e firma come stabilito nel Contratto Principale |
2. Importatore(i) di Dati:
| Nome: | Sophos |
| Indirizzo: | Il Pentagono, Abingdon Science Park, Abingdon, OX14 3YP, Regno Unito |
| Nome, posizione e dettagli di contatto della persona di contatto: | Consulente sulla Privacy a [email protected] |
| Attività rilevanti per i dati trasferiti ai sensi di queste SCC: | La fornitura di Prodotti come stabilito nel Contratto Principale |
| Ruolo: | Processore |
| Firma e Data dell'Importatore di Dati: | Data e firma come stabilito nel Contratto Principale |
B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di soggetti dei dati i cui dati personali vengono trasferiti:
- Come stabilito in Exhibit 1.
Categorie di dati personali trasferiti:
- Come stabilito in Exhibit 1.
Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come ad esempio una rigorosa limitazione degli scopi, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive:
- Come stabilito in Exhibit 1. Se vengono trasferiti dati sensibili, vedere Exhibit 2 per eventuali restrizioni applicate.
La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una sola volta o in modo continuativo):
- Continuo.
Natura del trattamento:
- Come stabilito in Exhibit 1.
Scopo(i) del trasferimento dei dati e ulteriore trattamento:
- Come stabilito in Exhibit 1.
Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
- Come stabilito in Exhibit 1
Per i trasferimenti a (sub-) processori, specificare anche oggetto, natura e durata del trattamento:
- Come stabilito in Exhibit 1.
C. AUTORITÀ DI CONTROLLO COMPETENTE
L'autorità di controllo competente è l'autorità di controllo dello Stato Membro in cui è stabilito l'esportatore di dati o come altrimenti determinato in conformità al GDPR.
ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE, INCLUSE LE MISURE PER GARANTIRE LA SICUREZZA DEI DATI
- Come indicato in Exhibit 2 al DPA.
ALLEGATO III – ELENCO DEI SUB-PROCESSORI
Non applicabile poiché le parti hanno concordato un'autorizzazione generale all'uso di Sub-Processori
Data di revisione: 1 luglio 2026