Ultima modifica: 8 agosto 2023 | Versioni precedenti
Jibe e la controparte che accetta questo addendum ("Partner") hanno stipulato un contratto per la fornitura dei Servizi del responsabile (come di volta in volta modificato, il "Contratto").
Il presente Addendum sul trattamento dei dati (incluse le appendici, "Addendum sul trattamento dei dati") viene stipulato da Jibe e dal Partner e integra il Contratto. Questo Addendum sul trattamento dei dati entrerà in vigore e sostituirà qualsiasi precedente termine applicabile in merito al relativo oggetto (inclusi eventuali termini relativi all'elaborazione e alla sicurezza dei dati correlati ai Servizi del responsabile), a partire dalla Data di validità dei termini.
Se accetti questo Supplemento per il trattamento dei dati per conto del Partner, dichiari e garantisci quanto segue: (a) di avere la piena autorità legale per vincolare il Partner a questo Supplemento per il trattamento dei dati; (b) di aver letto e compreso questo Supplemento per il trattamento dei dati e (c) di accettare questo Supplemento per il trattamento dei dati per conto del Partner. Se non disponi dell'autorità legale per vincolare il Partner, non accettare questo Supplemento relativo al trattamento dei dati.
1. Introduzione
Questo Addendum per il trattamento dei dati riflette l'accordo tra le parti sui termini che regolano il trattamento e la sicurezza di determinati dati in relazione alla Legislazione europea sulla protezione dei dati e alla Legislazione non europea sulla protezione dei dati.
2. Definizioni e interpretazione
2.1 Nel presente Addendum per il trattamento dei dati:
Per "Prodotto aggiuntivo" si intende un prodotto, servizio o applicazione fornito da Jibe o da terze parti, che: (a) non fa parte dei Servizi del responsabile; e (b) è accessibile per l'utilizzo dall'interfaccia utente dei Servizi del responsabile oppure è integrato in altro modo ai Servizi del responsabile.
Per "Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati" si intendono i termini aggiuntivi a cui si fa riferimento nell'Allegato 3, che riflettono l'accordo tra le parti sui termini che regolano il trattamento di determinati dati in relazione a determinate normative della Legislazione non europea sulla protezione dei dati.
Per "Paese adeguato" si intende:
(a) per i dati trattati soggetti al GDPR dell'Unione Europea: il SEE oppure un paese o territorio che sia riconosciuto garantire un'adeguata protezione dei dati ai sensi del GDPR dell'Unione Europea;
(b) per i dati trattati soggetti al GDPR del Regno Unito: il Regno Unito oppure un paese o territorio che sia riconosciuto garantire un'adeguata protezione dei dati ai sensi del GDPR del Regno Unito e del Data Protection Act 2018; e/o
(c) per i dati trattati soggetti alla LPD svizzera: la Svizzera o un paese o un territorio (i) incluso nell'elenco degli stati la cui legislazione garantisce un livello adeguato di protezione, come pubblicato dal Federal Data Protection and Information Commissioner della Svizzera, o (ii) riconosciuto come garante di un'adeguata protezione dei dati dal Consiglio federale svizzero ai sensi della LPD svizzera, in ogni caso, diverso dalla base di un quadro facoltativo per la protezione dei dati.
Per "Soluzione di trasferimento alternativa" si intende una soluzione diversa dalle SCC che consente il trasferimento legittimo di dati personali in un paese terzo in conformità con la legislazione europea sulla protezione dei dati, ad esempio un quadro per la protezione dei dati riconosciuto come garante del fatto che le persone giuridiche locali partecipanti forniscano una protezione adeguata.
Per "Incidente relativo ai dati" si intende una violazione della sicurezza di Jibe che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso accidentali o illeciti ai Dati personali del Partner presenti nei sistemi gestiti o controllati in altro modo da Jibe. Per "Incidenti relativi ai dati" si intendono attività o tentativi non riusciti che non compromettono la sicurezza dei Dati personali del Partner, tra cui tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.
Per "Strumento dell'Interessato" si intende uno strumento (se esistente) messo a disposizione da un'entità Jibe per gli interessati che consente a Jibe di rispondere direttamente e in modo standardizzato a determinate richieste degli interessati in relazione ai Dati personali del partner (ad esempio, impostazioni della pubblicità online o un plug-in del browser per la disattivazione).
Per "SEE" si intende lo Spazio economico europeo.
Per "GDPR dell'Unione Europea" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in merito al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Per "Legislazione europea sulla protezione dei dati" si intende, a seconda dei casi: (a) il GDPR; e/o (b) l'FDPA svizzero.
Per "Leggi europee" si intendono, a seconda dei casi: (a) la legislazione UE o di uno stato membro dell'UE (se il GDPR dell'UE è applicabile al trattamento dei Dati personali del Partner); e/o (b) la legislazione del Regno Unito o di una parte del Regno Unito (se il GDPR del Regno Unito è applicabile al trattamento dei Dati personali del Partner).
Per "GDPR" si intende, a seconda dei casi: (a) il GDPR dell'Unione Europea; e/o (b) il GDPR del Regno Unito.
"Jibe" indica la Persona giuridica Jibe che è parte del Contratto.
Per "Persona giuridica Jibe" si intende Jibe Mobile, Inc., Jibe Mobile Limited o qualsiasi altra persona giuridica che direttamente o indirettamente controlla, è controllata da o è soggetta a controllo comune con Jibe Mobile, Inc.
Per "Certificazione ISO 27001" si intende la certificazione ISO/IEC 27001:2013 o una certificazione paragonabile per i Servizi del responsabile.
"Nuovo sub-responsabile" ha il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).
Per "Legislazione non europea sulla protezione dei dati" si intendono le leggi sulla protezione dei dati o sulla privacy in vigore al di fuori del SEE, della Svizzera e del Regno Unito.
Per "Indirizzo email di notifica" si intende l'indirizzo email (se esistente): (i) fornito dal Partner a Jibe o (ii) designato dal Partner, tramite l'interfaccia utente dei Servizi del responsabile o altri mezzi simili forniti da Jibe, per la ricezione di determinate notifiche da Jibe relative al presente Supplemento relativo al trattamento dei dati. Per chiarezza, è responsabilità del Partner fornire a Jibe un Indirizzo email di notifica e informare Jibe di eventuali aggiornamenti dell'Indirizzo email di notifica.
Per "Dati personali del Partner" si intendono i dati personali trattati da Jibe per conto del Partner nell'ambito della fornitura dei Servizi del responsabile da parte di Jibe.
Per "SCC del partner" si intendono le SCC (da titolare a responsabile), le SCC (da responsabile a titolare) e/o le SCC (da responsabile a responsabile), a seconda dei casi.
"Servizi di elaborazione" indica i servizi RCS Business Messaging (come descritti all'indirizzo developers.google.com/business-communications/rcs-business-messaging.
Per "SCC" si intendono le SCC del partner e/o le SCC (da responsabile a responsabile, esportatore Jibe), a seconda dei casi.
Per "SCC (da titolare a responsabile)" si intendono i termini disponibili all'indirizzo business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
Per "SCC (da responsabile a titolare)" si intendono i termini disponibili all'indirizzo business.safety.google/gdprprocessorterms/sccs/p2c.
Per "SCC (da responsabile a responsabile)" si intendono i termini riportati all'indirizzo business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
Per "SCC (da responsabile a responsabile, esportatore Jibe)" si intendono i termini indicati all'indirizzo business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
Per "Documentazione in materia di sicurezza" si intende la certificazione ISO 27001 e qualsiasi altra certificazione o documentazione di sicurezza che Jibe può mettere a disposizione in merito ai Servizi del responsabile.
Per "Misure di sicurezza" si intende il significato indicato nella Sezione 7.1.1 (Misure di sicurezza di Jibe).
Per "Sub-responsabili" si intendono terze parti autorizzate ai sensi del presente Supplemento sul trattamento dei dati a eseguire l'accesso logico e a trattare i Dati personali del partner al fine di fornire parti dei Servizi del responsabile e qualsiasi tipo di assistenza tecnica correlata.
Per "Autorità di controllo" si intende, a seconda dei casi: (a) un'"autorità di controllo" come definita nel GDPR dell'Unione Europea; e/o (b) il "Commissioner" come definito nel GDPR del Regno Unito e/o nell'FDPA svizzero.
Per "LPD svizzera" si intende la Legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).
Per "Periodo di validità" si intende il periodo che va dalla Data di validità dei Termini fino alla fine della fornitura da parte di Jibe dei Servizi del responsabile ai sensi del Contratto.
Per "Data di validità dei Termini" si intende la data di validità del Contratto.
Per "GDPR del Regno Unito" si intende il GDPR dell'Unione Europea come emendato e integrato nella legge del Regno Unito ai sensi dell'U.K. European Union (Withdrawal) Act 2018 e dalla legislazione secondaria vigente promulgata ai sensi di tale atto.
2.2 I termini "titolare", "interessato", "dati personali", "trattamento" e "responsabile" sono utilizzati nel presente Addendum per il Trattamento dei Dati con il significato attribuito nel GDPR, mentre i termini "importatore di dati" e "esportatore di dati" hanno il significato specificato nelle SCC applicabili.
2.3 Le parole "includere" ed espressioni quali "tra cui" hanno il significato di "inclusi, a titolo esemplificativo". Gli esempi in questo Addendum per il trattamento dei dati sono a scopo illustrativo e non si intendono esaustivi rispetto a un determinato concetto.
2.4 Qualsiasi riferimento a quadri normativi, leggi scritte o altri atti legislativi riguarda questi ultimi così come di volta in volta emendati o ripromulgati.
2.5 Nella misura in cui qualsiasi versione tradotta del presente Addendum relativo al trattamento dei dati non fosse coerente con la versione in lingua inglese, prevarrà quest'ultima.
3. Durata di questo Addendum relativo al trattamento dei dati
Questo Supplemento sul trattamento dei dati entrerà in vigore a partire dalla Data di validità dei termini e, a prescindere dal fatto che il Termine sia scaduto, rimarrà in vigore fino a quando Jibe non avrà eliminato tutti i Dati personali del Partner come descritto in questo Supplemento sul trattamento dei dati, momento in cui scadrà automaticamente.
4. Applicazione di questo Addendum per il trattamento dei dati
4.1 Applicazione della Legislazione europea sulla protezione dei dati. Le Sezioni dalla 5 (Trattamento dei dati) alla 12 (Contattare Jibe; registri relativi al trattamento) (incluse) si applicheranno esclusivamente nella misura in cui la Legislazione europea sulla protezione dei dati riguarda il trattamento dei Dati personali del Partner, incluse le eventualità in cui:
(a) il trattamento è svolto nel contesto delle attività di un centro del Partner nel SEE o nel Regno Unito; e/o
(b) I Dati personali del Partner sono dati personali relativi a interessati che si trovano nel SEE o nel Regno Unito ed il trattamento consiste nell'offerta di beni o servizi a loro rivolta oppure il monitoraggio del loro comportamento all'interno del SEE o del Regno Unito.
4.2 Applicazione ai Servizi del Responsabile. Questo Addendum per il trattamento dei dati si applicherà solo ai Servizi del responsabile per i quali le parti hanno accettato questo Addendum per il trattamento dei dati (ad esempio: (a) i Servizi del responsabile per i quali il Partner ha fatto clic per accettare questo Addendum per il trattamento dei dati; o (b) se il Contratto include questo Addendum per il trattamento dei dati per riferimento, i Servizi del responsabile oggetto del Contratto).
4.3 Inclusione di Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati. I Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano questo Addendum sul trattamento dei dati.
5. Trattamento dei dati
5.1 Ruoli e conformità normativa; autorizzazioni.
5.1.1 Responsabilità del titolare e del responsabile. Le parti riconoscono e accettano che:
(a) L'Allegato 1 descrive l'oggetto e i dettagli relativi al trattamento degli annunci personali del Partner;
(b) Jibe è un responsabile del trattamento dei Dati personali del Partner ai sensi della Legislazione europea sulla protezione dei dati;
(c) il Partner è un titolare o responsabile, a seconda dei casi, dei Dati personali del Partner ai sensi della Legislazione europea sulla protezione dei dati; e
(d) Ciascuna parte rispetterà le relative obbligazioni applicabili ai sensi della legislazione europea sulla protezione dei dati in merito al trattamento dei Dati personali del Partner.
5.1.2 Partner responsabili. Se il Partner è un responsabile:
(a) Il Partner garantisce su base continuativa che il titolare pertinente ha autorizzato (i) le istruzioni, (ii) la nomina di Jibe da parte del Partner come altro responsabile e (iii) l'utilizzo di Sub-responsabili da parte di Jibe come descritto nella Sezione 11 (Sub-responsabili);
(b) Il Partner inoltrerà immediatamente al titolare pertinente qualsiasi notifica fornita da Jibe ai sensi delle Sezioni 5.4 (Notifiche relative alle Istruzioni), 7.2.1 (Notifica dell'incidente), 11.4 (Opportunità di opporsi alla sostituzione del Sub-responsabile) o correlata a qualsiasi SCC; e
(c) Il Partner potrà mettere a disposizione del titolare pertinente qualsiasi informazione messa a disposizione da Jibe ai sensi delle Sezioni 7.4 (Certificazione di sicurezza), 10.5 (Informazioni sui data center) e 11.2 (Informazioni sui Sub-responsabili).
5.2 Istruzioni del Partner. Con la stipula del presente Supplemento sul trattamento dei dati, il Partner richiede a Jibe di trattare i suoi Dati personali solo in conformità con la legge vigente: (a) per fornire i Servizi del responsabile del trattamento e l'eventuale supporto tecnico correlato; (b) come ulteriormente specificato in merito all'utilizzo da parte del Partner dei Servizi del responsabile del trattamento (incluse le impostazioni e altre funzionalità dei Servizi del responsabile del trattamento) e dell'eventuale supporto tecnico correlato; (c) come documentato nel contratto, incluso il presente Supplemento sul trattamento dei dati; e (d) come ulteriormente documentato in qualsiasi altra istruzione scritta fornita dal Partner e riconosciuta da Jibe come costituente istruzioni ai fini del presente Supplemento sul trattamento dei dati (collettivamente, le "Istruzioni").
5.3 Conformità di Jibe alle Istruzioni. Jibe rispetterà le Istruzioni, salvo se vietato dalle Leggi europee.
5.4 Notifiche relative alle Istruzioni. Jibe informerà immediatamente il Partner se, a suo giudizio: (a) le leggi europee vietano a Jibe di ottemperare a un'Istruzione; (b) un'Istruzione non è conforme alla legislazione europea sulla protezione dei dati; o (c) Jibe non è altrimenti in grado di ottemperare a un'Istruzione, in ogni caso, a meno che tale notifica non sia vietata dalla legge europea. La presente Sezione 5.4 (Notifiche relative alle Istruzioni) non limita i diritti e le obbligazioni delle parti descritti altrove nel Contratto.
5.5 Prodotti aggiuntivi. Se il Partner utilizza dei Prodotti aggiuntivi, i Servizi del Responsabile del trattamento potrebbero consentire l'accesso di questi Prodotti aggiuntivi ai Dati personali del Partner, secondo quanto richiesto ai fini dell'interoperabilità tra i Prodotti aggiuntivi e i Servizi del Responsabile del trattamento. Se necessario, le parti stipuleranno termini di trattamento dei dati separati per stabilire in che modo il Prodotto aggiuntivo tratterà i Dati personali del Partner.
6. Eliminazione dei dati
6.1 Eliminazione durante il periodo di validità del contratto.
6.1.1 Servizi del responsabile con funzionalità di eliminazione. Durante il Periodo di validità, se:
(a) la funzionalità dei Servizi del Responsabile del trattamento comprende l'opzione per il Partner di eliminare i suoi Dati personali;
(b) il Partner utilizza i Servizi del Responsabile del trattamento per eliminare determinati suoi Dati personali; e
(c) i Dati personali del Partner eliminati non possono essere recuperati dal Partner (ad esempio, dal "cestino"), di conseguenza Jibe eliminerà i Dati personali del Partner dai suoi sistemi quanto prima sia ragionevolmente possibile, a meno che le normative europee ne richiedano la conservazione.
6.1.2 Servizi del responsabile senza funzionalità di eliminazione. Durante il Periodo di validità, se la funzionalità dei Servizi del Responsabile del trattamento non comprende l'opzione per il Partner di eliminare i suoi Dati personali, Jibe accetterà qualsiasi richiesta ragionevole del Partner per facilitare tale eliminazione, per quanto ciò sia possibile, tenuto conto della natura e della funzionalità dei Servizi del Responsabile del trattamento e salvo che le Leggi europee ne richiedano la conservazione. Jibe potrà addebitare una commissione (basata su costi ragionevoli di Jibe) per gli interventi di eliminazione dei dati ai sensi della presente Sezione 6.1.2 (Servizi di elaborazione senza funzionalità di eliminazione). Prima di procedere all'eliminazione dei dati, Jibe fornirà al Partner ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo.
6.2 Eliminazione alla scadenza del Periodo di validità. Alla scadenza del Periodo di validità, il Partner incarica Jibe di eliminare tutti i Dati personali del Partner (incluse le copie esistenti) dai sistemi di Jibe, in conformità con le leggi vigenti. Jibe rispetterà questa istruzione non appena ragionevolmente possibile, a meno che le Leggi europee non ne richiedano la conservazione.
7. Sicurezza dei dati
7.1 Misure e assistenza in materia di sicurezza da parte di Jibe.
7.1.1 Misure di sicurezza di Jibe. Jibe implementerà e manterrà misure tecniche e organizzative per proteggere i Dati personali del Partner da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati accidentali o illegali, come descritto nell'Appendice 2 ("Misure di sicurezza"). Come descritto nell'Appendice 2, le misure di sicurezza includono: (a) la crittografia dei dati personali; (b) il contributo alla garanzia della riservatezza, dell'integrità, della disponibilità e della resilienza continue dei sistemi e dei servizi di Jibe; (c) il contributo al ripristino tempestivo dell'accesso ai dati personali a seguito di un incidente; e (d) il regolare test dell'efficacia. Di tanto in tanto, Jibe potrà aggiornare o modificare le Misure di sicurezza, sempre che tali interventi di aggiornamento e modifica non comportino un peggioramento della sicurezza generale dei Servizi del responsabile.
7.1.2 Accesso e conformità. Jibe (a) autorizzerà i propri dipendenti, contractors e subprocessori ad accedere ai Dati personali del Partner solo nella misura strettamente necessaria per rispettare le Istruzioni; (b) adotterà le misure appropriate per garantire il rispetto delle Misure di sicurezza da parte dei propri dipendenti, contractors e subprocessori nella misura applicabile al loro ambito di attività; e (c) garantirà che tutte le persone autorizzate a trattare i Dati personali del Partner si siano impegnate a rispettarne la riservatezza o siano vincolate da un'obbligazione legale di riservatezza appropriata.
7.1.3 Assistenza di Jibe in materia di sicurezza. Tenendo conto della natura del trattamento dei Dati personali del Partner e delle informazioni a disposizione di Jibe, Jibe fornirà assistenza al Partner per garantire l'ottemperanza alle obbligazioni del Partner (o, nel caso in cui il Partner sia un responsabile del trattamento, quelle del titolare pertinente) in materia di sicurezza dei dati personali e violazioni dei dati personali, incluse le obbligazioni del Partner (o, nel caso in cui il Partner sia un responsabile del trattamento, quelle del titolare pertinente) ai sensi degli articoli da 32 a 34 (inclusi) del GDPR, mediante:
(a) L'attuazione e il mantenimento delle Misure di sicurezza di cui alla Sezione 7.1.1 (Misure di sicurezza di Jibe);
(b) il rispetto dei termini di cui alla Sezione 7.2 (Incidenti relativi ai dati); e
(c) Fornendo al Partner la Documentazione in materia di sicurezza in conformità con la Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza) e le informazioni contenute nel presente Supplemento sul trattamento dei dati.
7.2 Incidenti relativi ai dati.
7.2.1 Notifica dell'incidente. Se Jibe viene a conoscenza di un Incidente relativo ai dati, provvederà a: (a) informare il Partner tempestivamente e senza ingiustificato ritardo in merito all'Incidente relativo ai dati; e (b) adottare prontamente provvedimenti ragionevoli per ridurre al minimo i danni e salvaguardare i Dati personali del Partner.
7.2.2 Dettagli dell'Incidente relativo ai dati. Le notifiche inviate ai sensi della Sezione 7.2.1 (Notifica di incidente) descriveranno: la natura dell'Incidente relativo ai dati, incluse le risorse del Partner interessate; le misure che Jibe ha adottato o prevede di adottare per gestire l'Incidente relativo ai dati e mitigarne il potenziale rischio; le eventuali misure consigliate da Jibe al Partner per gestire l'Incidente relativo ai dati; e i dettagli di un punto di contatto dove è possibile ottenere ulteriori informazioni. Se non è possibile fornire tutte queste informazioni contemporaneamente, la notifica iniziale di Jibe conterrà le informazioni disponibili al momento e informazioni ulteriori verranno comunicate senza ingiustificato ritardo non appena diventano disponibili.
7.2.3 Metodo di notifica. Jibe invierà la notifica di eventuali Incidenti relativi ai dati all'Indirizzo email di notifica o, a discrezione di Jibe (inclusa l'eventualità in cui il Partner non abbia fornito un Indirizzo email di notifica), mediante altra comunicazione diretta (ad esempio per telefono o in una riunione di persona). È unicamente responsabilità del Partner fornire un Indirizzo email di notifica e assicurarsi che tale Indirizzo email di notifica sia in corso di validità.
7.2.4 Notifiche a terze parti. Il Partner è il solo responsabile del rispetto delle leggi applicabili al Partner stesso sulla notifica degli incidenti e dell'adempimento delle obbligazioni di notifica a terze parti concernenti eventuali Incidenti relativi ai dati.
7.2.5 Nessuna ammissione di colpa da parte di Jibe. La notifica o la risposta di Jibe che concerne un Incidente relativo ai dati ai sensi della presente Sezione 7.2 (Incidenti relativi ai dati) non dovrà essere intesa come un'ammissione di colpa o responsabilità da parte di Jibe in merito all'Incidente relativo ai dati.
7.3 Responsabilità e valutazione del Partner in materia di sicurezza.
7.3.1 Responsabilità del Partner in materia di sicurezza. Il Partner accetta che, ferme restando le obbligazioni di Jibe ai sensi delle Sezioni 7.1 (Misure e assistenza in materia di sicurezza da parte di Jibe) e 7.2 (Incidenti relativi ai dati):
(a) Il Partner è responsabile del proprio utilizzo dei Servizi del responsabile, inclusi:
(i) l'utilizzo appropriato dei Servizi del responsabile per garantire un livello di sicurezza proporzionato al rischio legato ai Dati personali del Partner; e
(ii) La protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dal Partner per accedere ai Servizi del responsabile; e
(b) Jibe non ha l'obbligo di tutelare i Dati personali del Partner che il Partner decide di archiviare o trasferire al di fuori dei sistemi di Jibe e dei suoi Sub-responsabili.
7.3.2 Valutazione della sicurezza del partner. Il Partner riconosce che le misure di sicurezza implementate e gestite da Jibe come descritto nella Sezione 7.1.1 (Misure di sicurezza di Jibe) forniscono un livello di sicurezza appropriato al rischio per i Dati personali del Partner tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento dei Dati personali del Partner; dello stato dell'arte; dei costi di implementazione e dei rischi per le persone fisiche.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di sicurezza, Jibe manterrà valida la certificazione ISO 27001 o altre misure appropriate per dimostrare l'efficacia delle Misure di sicurezza.
7.5 Revisioni e controlli di conformità.
7.5.1 Revisioni della Documentazione in materia di sicurezza. Al fine di dimostrare la conformità ai suoi obblighi ai sensi del presente Addendum per il trattamento dei dati, Jibe metterà a disposizione del Partner la Documentazione in materia di sicurezza per la sua revisione.
7.5.2 Diritti del Partner di eseguire controlli.
(a) Jibe consentirà al Partner o a un revisore di terze parti nominato dal Partner di eseguire controlli (incluse ispezioni) atti a verificare la conformità di Jibe alle sue obbligazioni ai sensi del presente Addendum relativo al trattamento dei dati ai sensi della Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli). Durante i controlli, Jibe metterà a disposizione tutte le informazioni necessarie per dimostrare tale conformità e contribuirà ai controlli come descritto nella Sezione 7.4 (Certificazione di sicurezza) e nella presente Sezione 7.5 (Revisioni e controlli di conformità).
(b) Se le SCC si applicano ai sensi della Sezione 10.2 (Trasferimenti europei limitati), Jibe consentirà al Partner (o a un revisore di terze parti nominato dal Partner) di effettuare i controlli come descritto nelle SCC vigenti e, durante questi controlli, renderà disponibili tutte le informazioni richieste dalle SCC, ciascuna in conformità con la Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli).
(c) Il Partner potrà inoltre eseguire un controllo atto a verificare la conformità di Jibe alle sue obligations ai sensi del presente Addendum relativo al trattamento dei dati per mezzo della valutazione di eventuali certificati emessi a favore di Jibe da revisori di terze parti (ad esempio, una certificazione ISO 27001, se esistente).
7.5.3 Termini commerciali aggiuntivi per i controlli.
(a) Il Partner invierà a Jibe eventuali richieste di controllo ai sensi delle Sezioni 7.5.2(a) o 7.5.2(b) come descritto nella Sezione 12.1 (Contattare Jibe).
(b) In seguito al ricevimento da parte di Jibe della richiesta di cui alla Sezione 7.5.3(a), Jibe e il Partner discuteranno e converranno in anticipo e in modo ragionevole una data di inizio, l'ambito, la durata e le verifiche applicabili in materia di sicurezza e riservatezza dei controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b).
(c) Jibe può addebitare una commissione (basata sui costi ragionevoli di Jibe) per eventuali controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b). Prima di effettuare il controllo, Jibe fornirà al Partner ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo. Il Partner si farà carico di eventuali commissioni addebitate da qualsiasi revisore di terze parti nominato dal Partner per l'esecuzione di tali controlli.
(d) Jibe potrà sollevare obiezioni riguardo a qualsiasi revisore di terze parti nominato dal Partner per la conduzione di qualsiasi controllo ai sensi della Sezione 7.5.2(a) o 7.5.2(b) qualora il revisore non possieda, sulla base di ragioni plausibili di Jibe, le adeguate qualifiche o l'indipendenza, sia un concorrente di Jibe o sia palesemente inadatto per altri motivi. Qualora Jibe sollevi una di tali obiezioni, il Partner dovrà nominare un altro revisore o eseguire il controllo per proprio conto.
(e) Nessuna disposizione del presente Addendum relativo al trattamento dei dati richiede a Jibe di divulgare al Partner o al suo revisore di terze parti, o di consentire al Partner o al suo revisore di terze parti di accedere a:
(i) Qualsiasi dato di qualsiasi altro partner o cliente di una Persona giuridica Jibe;
(ii) Qualsiasi informazione interna contabile o finanziaria di una Persona giuridica Jibe;
(iii) Qualsiasi segreto commerciale di una Persona giuridica Jibe;
(iv) qualsiasi informazione che, a giudizio ragionevole di Jibe, potrebbe: (A) compromettere la sicurezza dei sistemi o delle sedi di qualsiasi Persona giuridica Jibe; o (B) causare la violazione da parte di qualsiasi Persona giuridica Jibe delle sue obbligazioni ai sensi della Legislazione europea sulla protezione dei dati o delle sue obbligazioni di sicurezza e/o privacy nei confronti del Partner o di terze parti; o
(v) Qualsiasi informazione a cui il Partner o il suo revisore di terze parti cerchino di accedere per qualsiasi motivo diverso dall'adempimento in buona fede delle obbligazioni del Partner ai sensi della Legislazione europea sulla protezione dei dati.
8. Valutazioni dell'impatto e consultazioni
Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, Jibe fornirà assistenza al Partner per garantire l'ottemperanza alle obbligazioni del Partner (o, se il Partner è un responsabile del trattamento, del titolare pertinente) in merito alle valutazioni dell'impatto sulla protezione dei dati e alla consulenza preliminare, incluse (se applicabili) le obbligazioni del Partner o del titolare pertinente ai sensi degli Articoli 35 e 36 del GDPR, mediante:
(a) Fornendo la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza);
(b) fornendo le informazioni contenute nel presente Addendum per il trattamento dei dati; e
(c) la fornitura o la messa a disposizione in altro modo, secondo le procedure standard di Jibe, di altri materiali attinenti alla natura dei Servizi del responsabile e al trattamento dei Dati personali del Partner (ad esempio, materiali del Centro assistenza).
9. Diritti dell'interessato
9.1 Risposte alle richieste dell'interessato. Se Jibe riceve una richiesta da parte di un interessato relativamente ai Dati personali del Partner, il Partner autorizza Jibe a, e Jibe con la presente informa il Partner che provvederà a:
(a) rispondere direttamente alla suddetta richiesta, secondo la funzionalità standard dello Strumento dell'Interessato (se la richiesta è stata elaborata mediante uno Strumento dell'Interessato); o
(b) indicare all'interessato di inoltrare la propria richiesta al Partner, il quale sarà responsabile di evadere tale richiesta (se la richiesta non è stata elaborata mediante uno Strumento dell'Interessato).
9.2 Assistenza di Jibe in merito alla richiesta dell'Interessato. Jibe fornirà assistenza al Partner (o, se il Partner è un responsabile del trattamento, al titolare pertinente) nell'adempimento delle sue obbligazioni ai sensi del GDPR di rispondere alle richieste relative all'esercizio dei diritti dell'interessato, in tutti i casi tenendo conto della natura del trattamento dei Dati personali del Partner e, se applicabile, dell'articolo 11 del GDPR, incluso (se applicabile):
(a) la fornitura della funzionalità dei Servizi del responsabile;
(b) il rispetto degli impegni previsti nella Sezione 9.1 (Risposte alle richieste dell'interessato); e
(c) se applicabile ai Servizi del responsabile, mettendo a disposizione gli Strumenti dell'interessato.
9.3 Rettifica. Se il Partner viene a conoscenza del fatto che i suoi Dati personali sono imprecisi o obsoleti, il Partner avrà la responsabilità di rettificare o eliminare tali dati qualora richiesto dalla Legislazione europea sulla protezione dei dati, incluso (ove disponibile) mediante l'utilizzo della funzionalità dei Servizi del responsabile.
10. Trasferimenti di dati
10.1 Sedi di archiviazione e trattamento dei dati. Fatta salva la parte rimanente della presente Sezione 10 (Trasferimenti di dati), Jibe potrà trattare i Dati personali del Partner in qualsiasi paese in cui Jibe o uno dei suoi sub-responsabili dispongono di strutture.
10.2 Trasferimenti europei limitati. Le parti riconoscono che la legislazione europea sulla protezione dei dati non richiede le SCC o una Soluzione di trasferimento alternativa per trattare i Dati personali del partner o trasferirli in un Paese adeguato.
Se i Dati personali del Partner vengono trasferiti in un altro paese e la Legislazione europea sulla protezione dei dati si applica a questi trasferimenti ("Trasferimento europeo limitato"), allora:
(a) se Jibe adotta una Soluzione di trasferimento alternativa per eventuali Trasferimenti europei limitati, Jibe informerà il Partner della soluzione pertinente e garantirà che questi Trasferimenti europei limitati vengano effettuati in conformità con la soluzione; e/o
(b) Se Jibe non ha adottato, o ha informato il Partner del fatto che non sta più adottando, una Soluzione di trasferimento alternativa per eventuali Trasferimenti europei limitati, allora:
(i) se l'indirizzo di Jibe si trova in un Paese adeguato:
(A) le SCC (da responsabile a responsabile, Esportatore Jibe) si applicheranno ai suddetti Trasferimenti europei limitati da Jibe ai Sub-responsabili; e
(B) inoltre, se l'indirizzo del Partner non si trova in un Paese adeguato, le SCC (da responsabile a titolare) si applicheranno ai Trasferimenti limitati europei tra Jibe e il Partner (a prescindere dal fatto che il Partner sia un titolare e/o un responsabile); o
(ii) Se l'indirizzo di Jibe non si trova in un Paese adeguato:
le SCC (da titolare a responsabile) e/o le SCC (da responsabile a responsabile) si applicheranno (a seconda che il Partner sia un titolare e/o un responsabile) ai Trasferimenti europei limitati tra il Partner e Jibe; e
(c) i riferimenti a Google LLC o Google e a Te in una delle SCC si riferiranno rispettivamente a Jibe e al Partner.
10.3 Informazioni e misure supplementari. Jibe fornirà al Partner informazioni pertinenti ai trasferimenti europei soggetti a limitazioni, incluse le informazioni relative a misure supplementari per proteggere i Dati personali del Partner, come descritto nella Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza), nell'Appendice 2 (Misure di sicurezza) e in altri materiali relativi alla natura dei Servizi del Responsabile e al trattamento dei Dati personali del Partner (ad esempio, articoli del Centro assistenza).
10.4 Risoluzione. Se il Partner conclude, in base al proprio uso attuale o previsto dei Servizi del responsabile del trattamento, che la Soluzione di trasferimento alternativa e/o le SCC, a seconda dei casi, non forniscono salvaguardie appropriate per i suoi Dati personali, il Partner può recedere immediatamente dal Contratto per comodità informandone Jibe per iscritto.
10.5 Informazioni sui data center. Le informazioni sulle sedi dei data center di Google LLC sono disponibili all'indirizzo www.google.com/about/datacenters/locations/index.html.
11. Sub-responsabili
11.1 Consenso all'incarico del Sub-responsabile. Il Partner autorizza espressamente l'utilizzo dei Sub-responsabili elencati nella Sezione 11.2 (Informazioni sui Sub-responsabili) a partire dalla Data di validità dei Termini. Inoltre, il Partner in genere autorizza l'impiego di altre terze parti come Sub-responsabili ("Nuovi Sub-responsabili"), fatto salvo quanto disposto dalla Sezione 11.4 (Facoltà di opporsi a modifiche relative ai Sub-responsabili).
11.2 Informazioni sui Sub-responsabili. Su richiesta scritta del Partner, Jibe fornirà informazioni sui Sub-responsabili e sulle relative sedi. Eventuali richieste di questo tipo devono essere inviate a Jibe utilizzando i dati di contatto indicati nella Sezione 12.1 (Contattare Jibe).
11.3 Requisiti per l'incarico del Sub-responsabile. Al momento di assegnare l'incarico a un qualsiasi Sub-responsabile, Jibe:
(a) Garantirà tramite un contratto scritto che:
(i) Il Sub-responsabile acceda e utilizzi i Dati personali del Partner esclusivamente nella misura necessaria ad adempiere alle obbligazioni assegnategli e in conformità con il Contratto (incluso il presente Addendum sul trattamento dei dati); e
(ii) se il trattamento dei Dati personali del Partner è soggetto alla Legislazione europea sulla protezione dei dati, al Sub-responsabile vengano imposte le obbligazioni relative alla protezione dei dati descritte nel presente Supplemento sul trattamento dei dati (ai sensi dell'Articolo 28(3) del GDPR, se applicabile); e
(b) Si assumerà la piena responsabilità per tutte le obbligazioni assegnate al Sub-responsabile, così come per tutti i suoi atti e le sue omissioni.
11.4 Facoltà di opporsi a modifiche relative ai Sub-responsabili.
(a) Se viene assegnato un incarico a un Nuovo sub-responsabile nel corso del Periodo di validità, almeno 30 giorni prima che il Nuovo sub-responsabile inizi a trattare i Dati personali del Partner, Jibe informerà il Partner dell'incarico (inclusi il nome e la sede del sub-responsabile in questione, nonché le attività che svolgerà) inviando un'email all'indirizzo email di notifica.
(b) Il Partner potrà opporsi all'assegnazione dell'incarico a un qualsiasi Nuovo sub-responsabile di terze parti recedendo liberamente dal Contratto con effetto immediato tramite notifica scritta a Jibe, sempre che questa sia fatta pervenire entro 90 giorni dalla comunicazione dell'incarico del Nuovo sub-responsabile di terze parti come descritto nella Sezione 11.4(a).
12. Contattare Jibe; registri relativi al trattamento
12.1 Contattare Jibe. Nell'esercizio dei propri diritti ai sensi del presente Addendum per il trattamento dei dati, il Partner può contattare Jibe tramite il contatto per la protezione dei dati RCS di Jibe, raggiungibile tramite issuetracker.google.com o tramite altri mezzi che possono essere forniti da Jibe.
12.2 Registri relativi al trattamento di Jibe. Jibe conserverà la documentazione appropriata relativa alle sue attività di trattamento come richiesto dal GDPR. Il Partner riconosce che, ai sensi del GDPR, Jibe è tenuto a: (a) raccogliere e conservare i dati di determinate informazioni, tra cui: (i) il nome e i dati di contatto di ciascun responsabile e/o del trattamento per conto del quale Jibe agisce e (se applicabile) del rappresentante locale e del responsabile della protezione dei dati di tale responsabile o del trattamento e (ii) se applicabile ai sensi dei BCR pertinenti, l'Autorità di vigilanza del Partner; e (b) rendere disponibili queste informazioni a qualsiasi Autorità di vigilanza. Di conseguenza, ove richiesto e ove applicabile, il Partner fornirà queste informazioni a Jibe tramite l'interfaccia utente dei Servizi del Processore o tramite altri mezzi eventualmente forniti da Jibe e utilizzerà questa interfaccia utente o altri mezzi per garantire che tutte le informazioni fornite siano accurate e aggiornate.
12.3 Richieste del titolare del trattamento. Se Jibe riceve una richiesta o un'istruzione da una terza parte che sostiene di essere titolare del trattamento dei Dati personali del Partner, Jibe consiglierà alla terza parte di contattare il Partner.
13. Responsabilità
Se il Contratto è regolato dalle leggi di:
(a) uno stato degli Stati Uniti d'America, indipendentemente da qualsiasi altro disposizione del Contratto, la responsabilità totale di ciascuna parte nei confronti dell'altra parte ai sensi o in relazione a questo Supplemento relativo al trattamento dei dati sarà limitata all'importo monetario o basato sui pagamenti massimo per cui la responsabilità della parte è limitata ai sensi del Contratto (e pertanto qualsiasi esclusione di rivendicazioni di riservatezza o indennizzo dalla limitazione di responsabilità del Contratto non si applicherà alle rivendicazioni ai sensi del Contratto relative alla legislazione europea sulla protezione dei dati o alla legislazione non europea sulla protezione dei dati); oppure
(b) una giurisdizione che non è uno stato degli Stati Uniti, la responsabilità combinata totale delle parti e delle loro affiliate ai sensi o in relazione a questo Supplemento sul trattamento dei dati sarà soggetta al Contratto.
14. Validità di questo Addendum per il trattamento dei dati
14.1 Ordine di precedenza. In caso di conflitto o incoerenza tra le SCC, i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati, questo Addendum relativo al trattamento dei dati e il resto del Contratto, verrà applicato il seguente ordine di precedenza:
(a) le SCC;
(b) i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati;
(c) il resto del presente Addendum per il trattamento dei dati; e
(d) Il resto del Contratto.
Fatti salvi gli emendamenti apportati al presente Addendum relativo al trattamento dei dati, il Contratto rimane in vigore a tutti gli effetti.
14.2 Immodificabilità delle SCC. Nessuna disposizione del Contratto (incluso questo Addendum per il trattamento dei dati) ha lo scopo di modificare o contraddire le SCC o di limitare i diritti o le libertà fondamentali degli interessati ai sensi della legislazione europea sulla protezione dei dati.
14.3 Nessun effetto sui Termini del titolare. Questo Supplemento relativo al trattamento dei dati non influirà su eventuali altri termini separati concordati tra Jibe e il Partner che riflettano una relazione da titolare a titolare per un servizio diverso dai Servizi del responsabile.
14.4 Clausole contrattuali tipo precedenti per il Regno Unito. A partire dal 21 settembre 2022 o dalla data di validità del Contratto, a seconda del caso, verranno applicati i termini supplementari delle SCC per il trasferimento ai sensi del GDPR del Regno Unito, che sostituiranno e risolveranno eventuali clausole contrattuali standard approvate ai sensi del GDPR del Regno Unito e del Data Protection Act 2018 e precedentemente stipulate da Partner e Jibe ("SCC legacy del Regno Unito"). La presente Sezione 14.4 (Clausole contrattuali standard del Regno Unito precedenti) non inciderà sui diritti delle parti, o di eventuali soggetti interessati, acquisiti ai sensi delle Clausole contrattuali standard del Regno Unito precedenti mentre queste erano in vigore.
15. Modifiche a questo Addendum relativo al trattamento dei dati
15.1 Modifiche agli URL. Di volta in volta, Jibe potrà modificare gli URL a cui si fa riferimento in questo Addendum per il trattamento dei dati e i contenuti di questi URL, fatto salvo che Jibe potrà modificare le SCC solo in conformità con le Sezioni 15.2(b) - 15.2(d) (Modifiche all'Addendum per il trattamento dei dati) o per incorporare qualsiasi nuova versione delle SCC che possa essere adottata ai sensi della Legislazione europea sulla protezione dei dati, in ogni caso in modo da non pregiudicare la validità delle SCC ai sensi della Legislazione europea sulla protezione dei dati.
15.2 Modifiche all'Addendum per il trattamento dei dati. Jibe può modificare questo Addendum per il trattamento dei dati se la modifica:
(a) sia espressamente consentita dal presente Emendamento sul trattamento dei dati, incluso quanto descritto nella Sezione 15.1 (Modifiche agli URL);
(b) riflette una modifica al nome o alla forma di una persona giuridica;
(c) sia necessaria per rispettare leggi o regolamenti vigenti, ingiunzioni del tribunale o orientamenti emanati da un'autorità di regolamentazione o un'agenzia governativa oppure rispecchi l'adozione di una Soluzione di trasferimento alternativa da parte di Jibe; oppure
(d) non (i) comporta un degrado della sicurezza complessiva dei Servizi del responsabile del trattamento; (ii) espande l'ambito o rimuove eventuali limitazioni relative a (x) nel caso dei Termini aggiuntivi per la Legislazione sulla protezione dei dati non europea, i diritti di Jibe di utilizzare o altrimenti trattare i dati nell'ambito dei Termini aggiuntivi per la Legislazione sulla protezione dei dati non europea o (y) nel caso del resto del presente Addendum per il trattamento dei dati, il trattamento da parte di Jibe dei Dati personali del Partner, come descritto nella Sezione 5.3 (Conformità di Jibe alle istruzioni); e (iii) non ha un impatto negativo sostanziale sui diritti del Partner ai sensi del presente Addendum per il trattamento dei dati, come ragionevolmente stabilito da Jibe.
15.3 Notifica delle modifiche. Se Jibe intende modificare questo Supplemento per il trattamento dei dati ai sensi della Sezione 15.2(c) o (d), informerà il Partner con almeno 30 giorni di anticipo (o con il periodo più breve necessario per rispettare la legge vigente, le normative vigenti, un'ingiunzione del tribunale o le indicazioni fornite da un ente regolatore o un'agenzia governativa) prima dell'entrata in vigore della modifica in uno dei seguenti modi: (a) inviando un'email all'indirizzo email di notifica o (b) avvisando il Partner tramite l'interfaccia utente per i Servizi del responsabile del trattamento. Qualora il Partner si opponga a qualsiasi modifica di questo tipo, potrà recedere dal Contratto per propria convenienza trasmettendone comunicazione scritta a Jibe entro 90 giorni dalla notifica delle modifiche da parte di Jibe.
Appendice 1: Oggetto e dettagli del trattamento dati
Oggetto
La fornitura, da parte di Jibe, dei Servizi del responsabile e della relativa assistenza tecnica al Partner.
Durata del trattamento
Il Periodo di validità più il periodo compreso tra la fine del Periodo di validità e l'eliminazione di tutti i Dati personali del Partner da parte di Jibe in conformità con questo Addendum sul trattamento dei dati.
Natura e scopo del trattamento
Jibe tratterà i Dati personali del Partner, inclusa (a seconda della natura del Servizio del responsabile e delle Istruzioni) la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, la modifica, il recupero, l'utilizzo, la divulgazione, la combinazione, l'eliminazione e la distruzione dei Dati personali del Partner al fine di fornire il Servizio del responsabile e qualsiasi assistenza tecnica correlata al Partner in conformità con questo Supplemento sul trattamento dei dati.
Tipi di dati personali
Dati personali relativi a privati forniti a Jibe tramite i Servizi di elaborazione dal Partner (o su sua indicazione) o dagli utenti finali del Partner.
Categorie di interessati
Per soggetti interessati si intendono le persone i cui dati vengono forniti a Jibe tramite i Servizi del responsabile dal Partner (o su sua indicazione).
Appendice 2: Misure di sicurezza
A partire dalla Data di validità dei termini, Jibe implementerà e manterrà le Misure di sicurezza descritte nel presente Allegato 2. Di tanto in tanto, Jibe potrà aggiornare o modificare queste Misure di sicurezza, sempre che tali interventi di aggiornamento e modifica non comportino un deterioramento della sicurezza generale dei Servizi del responsabile.
1. Data center e sicurezza della rete
(a) Centri elaborazione dati.
Infrastruttura. Jibe gestisce data center distribuiti in diverse aree geografiche. Jibe archivia tutti i dati di produzione in data center fisicamente sicuri.
Ridondanza. L'infrastruttura IT è stata concepita per eliminare i single point of failure e minimizzare l'impatto dei rischi ambientali prevedibili. Circuiti doppi, switch, reti o altri dispositivi necessari contribuiscono alla realizzazione di questa redundanza. I Servizi del responsabile sono concepiti per consentire a Jibe di attuare determinate tipologie di manutenzione preventiva e correttiva su base continua. Tutte le attrezzature e le strutture ambientali dispongono di procedure di manutenzione preventiva documentate che descrivono in dettaglio il processo e la frequenza di esecuzione in conformità con le specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei data center è programmata per mezzo di un procedimento standard conforme alle procedure documentate.
tasto di accensione. I sistemi elettrici di alimentazione del data center sono concepiti per essere ridondanti e sostenibili senza avere impatto sulla continua operatività, 24 ore al giorno, 7 giorni su 7. Nella maggior parte dei casi, per i componenti critici dell'infrastruttura dei data center, vengono fornite una fonte di alimentazione primaria e una fonte di alimentazione alternativa, entrambe con pari capacità. Una fonte di alimentazione di riserva è fornita da vari meccanismi, quali i gruppi statici di continuità (UPS), che forniscono una protezione energetica altamente affidabile durante sbalzi di tensione della rete, blackout, eventi di sovratensione o sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se l'alimentazione di rete viene interrotta, l'alimentazione di riserva è concepita per fornire temporaneamente energia al data center, al pieno della capacità, per un massimo di dieci minuti, fino a quando non subentrano i sistemi dei generatori di riserva. I generatori sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il data center al pieno delle proprie capacità, generalmente per una durata di diversi giorni.
Sistemi operativi del server. I server Jibe utilizzano sistemi operativi con protezione avanzata e personalizzati in base alle esigenze specifiche dei server dell'attività. I dati vengono archiviati utilizzando algoritmi proprietari al fine di accrescerne la sicurezza e la ridondanza. Jibe impiega un procedimento di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i Servizi del responsabile e migliorare i prodotti di sicurezza negli ambienti di produzione.
Continuità aziendale. Jibe replica i dati su più sistemi per contribuire a difendersi da distruzioni o perdite accidentali. Jibe ha sviluppato dei programmi per la pianificazione della continuità aziendale e il ripristino di emergenza che vengono rivisti e testati regolarmente.
Tecnologie di crittografia. Le norme sulla sicurezza di Jibe richiedono la crittografia at-rest per tutti i dati utente, inclusi i dati personali. Spesso nei data center i dati vengono criptati a più livelli negli stack di archiviazione di produzione di Jibe, incluso a livello di hardware, senza richiedere alcuna azione da parte di partner o clienti. L'utilizzo di più livelli di crittografia aggiunge una protezione dei dati ridondante e consente a Jibe di scegliere l'approccio ottimale in base ai requisiti dell'applicazione. Tutti i dati personali vengono criptati a livello di archiviazione, in genere usando l'algoritmo AES256. Jibe utilizza librerie crittografiche comuni che integrano il modulo convalidato FIPS 140-2 di Jibe per un'implementazione coerente della crittografia nei Servizi del responsabile.
(b) Reti e trasmissione.
Trasmissione dei dati. I data center sono generalmente connessi tramite connessioni private ad alta velocità per garantire il trasferimento rapido e sicuro dei dati. Tale trasmissione è stata concepita per prevenire la lettura, copia, modifica o rimozione dei dati senza autorizzazione durante il trasferimento elettronico. Jibe trasferisce i dati impiegando protocolli di rete standard.
Superficie di attacco esterna. Jibe impiega livelli multipli di dispositivi di rete e rilevamento delle intrusioni per proteggere la propria superficie di attacco esterna. Jibe valuta i potenziali vettori di attacco e integra tecnologie appropriate, progettate allo scopo, nei sistemi rivolti all'esterno.
Rilevamento delle intrusioni. Il rilevamento delle intrusioni mira a fornire dati approfonditi relativi alle attività di attacco in corso e informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di Jibe prevede:
Rigidi controlli sulla dimensione e sulla composizione della superficie di attacco di Jibe attraverso misure preventive.
L'impiego di controlli di rilevamento intelligente in tutti i punti di immissione dati; e
L'impiego di tecnologie per la correzione automatica di determinate situazioni di pericolo.
Risposta agli incidenti. Jibe monitora una serie di canali di comunicazione per gli incidenti che interessano la sicurezza e il personale addetto alla sicurezza di Jibe reagisce tempestivamente agli incidenti noti.
Tecnologie di crittografia. Jibe offre la crittografia del protocollo HTTPS (noto anche come connessione TLS). I server Jibe supportano lo scambio di chiavi di crittografia Diffie Hellman a curva ellittica temporanee firmato con RSA ed ECDSA. Questi metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e riducono al minimo l'impatto in caso di compromissione di una chiave o di violazione della crittografia.
2. Accesso e verifica delle sedi
(a) Verifica delle sedi.
Unità operativa di sicurezza dei data center in loco. I data center di Jibe dispongono di unità operative di sicurezza in loco responsabili di tutte le funzioni di sicurezza fisica dei data center 24 ore su 24, 7 giorni su 7. Il personale dell'unità operativa di sicurezza in loco esegue il monitoraggio delle telecamere a circuito chiuso ("CCTV") e di tutti i sistemi di allarme. Il personale dell'unità operativa di sicurezza in loco esegue regolarmente perlustrazioni interne ed esterne del data center.
Procedure di accesso al data center. Jibe adotta di procedure di accesso formali per consentire l'accesso fisico ai data center. I data center sono ospitati in strutture munite di accesso mediante carta magnetica e di sistemi di allarme collegati all'unità operativa di sicurezza in loco. Tutti i visitatori del data center devono identificarsi e mostrare un documento di identità all'unità operativa di sicurezza in loco. L'ingresso ai data center è consentito soltanto ai dipendenti, ai contrattisti e ai visitatori autorizzati. Solo i dipendenti e i contrattisti autorizzati possono richiedere una scheda magnetica di accesso a tali strutture. La richiesta della scheda magnetica di accesso al data center deve essere trasmessa in anticipo e per iscritto, dovendo essere approvata dal personale autorizzato del data center. Tutti gli altri visitatori che richiedono l'accesso temporaneo al data center devono: (i) ottenere in anticipo l'approvazione dei gestori del data center specifico e delle aree interne che vogliono visitare; (ii) accedere alle operazioni di sicurezza in loco; e (iii) fare riferimento a un record di accesso al data center approvato che identifichi la persona come approvata.
Dispositivi di sicurezza dei data center presenti in loco. I data center di Jibe impiegano un sistema di controllo dell'accesso mediante scheda magnetica e riconoscimento biometrico, collegato al sistema di allarme. Il sistema di controllo degli accessi monitora e registra le schede magnetiche di ogni persona e il momento in cui accede alle porte perimetrali, alle aree di spedizione e ricezione e ad altre aree sensibili. Le attività non autorizzate e i tentativi di accesso non riusciti vengono registrati dal sistema di controllo degli accessi e sono oggetto di verifica, come del caso. L'accesso autorizzato a tutte le aree operative e ai data center aziendali è limitato in base alle zone e alle responsabilità professionali della persona che lo effettua. Le porte antincendio dei data center sono dotate di allarme. Le telecamere CCTV sono in funzione sia all'interno che all'esterno dei data center. Il posizionamento delle telecamere è stato progettato per coprire le aree strategiche, tra cui il perimetro, le porte di accesso agli edifici del data center e quelle di spedizione/ricezione. Il personale delle unità operative di sicurezza in loco gestisce le attrezzature di monitoraggio, registrazione e controllo del sistema CCTV. Un sistema di cablaggio sicuro connette le attrezzature CCTV in tutti i data center. Le telecamere effettuano registrazioni in loco 24 ore al giorno, 7 giorni su 7 tramite videoregistratori digitali. Le registrazioni di sorveglianza vengono conservate per almeno 7 giorni, a seconda dell'attività.
(b) Controllo dell'accesso.
Personale preposto alla sicurezza dell'infrastruttura. Jibe attua e mantiene una politica di sicurezza per il proprio personale, il cui pacchetto formativo viene obbligatoriamente integrato da programmi di formazione in materia di sicurezza. Il personale preposto alla sicurezza dell'infrastruttura di Jibe è responsabile del monitoraggio costante della sicurezza delle infrastrutture di Jibe, della revisione dei Servizi del responsabile e della risposta agli incidenti relativi alla sicurezza.
Controllo dell'accesso e gestione dei privilegi. Per poter usare i Servizi del responsabile, gli amministratori e gli utenti del Partner devono identificarsi utilizzando un sistema di autenticazione centrale o un sistema di single sign-on.
Norme e procedimenti interni per l'accesso ai dati - Norme di accesso. Le norme e i procedimenti interni di Jibe relativi all'accesso ai dati sono concepiti per impedire l'accesso di persone e/o sistemi non autorizzati ai sistemi utilizzati per il trattamento dei dati personali. Jibe intende concepire sistemi che: (i) consentano l'accesso ai dati solo alle persone autorizzate a tal fine; e (ii) salvaguardino i dati personali dalla lettura, riproduzione, modifica o rimozione non autorizzata durante il trattamento e l'uso, e dopo la registrazione. I sistemi sono stati progettati per rilevare ogni tipo di accesso inappropriato. Jibe impiega un sistema di gestione centralizzato per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo a un numero limitato di membri del personale autorizzati. LDAP, Kerberos e un sistema proprietario che impiega i certificati digitali sono progettati per fornire a Jibe meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo diritti di accesso approvati a host di siti, log, dati e informazioni di configurazione. Jibe richiede l'uso di ID utente univoci, password efficaci, autenticazione a due fattori ed elenchi degli accessi attentamente monitorati per ridurre al minimo l'eventualità di un uso non autorizzato degli account. La concessione o la modifica dei diritti di accesso si basa: sulle responsabilità professionali del personale autorizzato; sulle esigenze legate alle mansioni lavorative necessarie all'esecuzione dei compiti autorizzati; e sul principio della "necessità di sapere". La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle norme interne di Jibe sull'accesso ai dati e alla relativa formazione. Le approvazioni sono controllate da strumenti di gestione dei flussi di lavoro che conservano record di controllo di tutte le modifiche. Gli accessi ai sistemi vengono registrati per creare un audit trail a scopo di responsabilizzazione. Qualora vengano impiegate password per l'autenticazione (ad esempio per accedere a postazioni di lavoro), per tali password saranno adottati dei criteri che quanto meno seguano le pratiche standard del settore. Tali standard includono limitazioni relative al riutilizzo delle password e un livello di sicurezza della password adeguato.
3. Dati
(a) Archiviazione, isolamento e autenticazione dei dati.
Jibe archivia i dati in un ambiente multi-tenant su server di proprietà di Google LLC. I dati, il database dei Servizi del responsabile e l'architettura del file system vengono replicati tra più data center distribuiti in diverse aree geografiche. Jibe isola logicamente i dati di ciascun partner o cliente. Un sistema di autenticazione centrale viene usato per tutti i Servizi del responsabile per ottenere una maggiore uniformità nella sicurezza dei dati.
(b) Linee guida per i dischi ritirati e la distruzione dei dischi.
Alcuni dischi contenenti dati potrebbero presentare problemi di prestazioni, errori o guasti hardware che ne comportano il ritiro ("Disco ritirato"). Ogni disco dismesso è soggetto a una serie di procedimenti di distruzione dei dati ("Linee guida per la distruzione dei dati") prima di lasciare le sedi di Jibe per il riutilizzo o la distruzione. I dati presenti sui Dischi dismessi vengono cancellati mediante un procedimento composto da varie fasi, la cui compiutezza viene verificata da almeno due ispettori indipendenti. I risultati della cancellazione vengono registrati mediante il numero di serie del Disco dismesso ai fini della tracciabilità. Infine, il Disco dismesso viene reinserito nell'inventario per essere riutilizzato o distribuito nuovamente. Qualora i dati presenti sul Disco dismesso non possano essere cancellati a causa di guasti hardware, il disco verrà conservato in un luogo sicuro fino a quando non potrà essere distrutto. Tutte le strutture vengono sottoposte regolarmente a controlli al fine di monitorare la conformità alle Linee guida per la distruzione dei dati.
(c) Dati pseudonimizzati.
I dati della pubblicità online generalmente vengono associati a identificatori online che da soli sono considerati "pseudonimizzati" (ovvero non possono essere attribuiti a un individuo specifico senza l'utilizzo di informazioni aggiuntive). Jibe ha adottato un insieme solido di norme e controlli tecnici e organizzativi per garantire la separazione tra dati pseudonimi e informazioni sugli utenti che consentono l'identificazione personale (ovvero informazioni che potrebbero essere utilizzate da sole per identificare, contattare o localizzare con precisione un individuo), come i dati dell'account Jibe di un utente. Le norme di Jibe consentono i flussi di informazioni tra dati pseudonimizzati e dati di identificazione personale solo in circostanze rigorosamente limitate.
(d) Revisioni del lancio.
Prima che vengano lanciati i nuovi prodotti e le nuove funzionalità, Jibe conduce delle revisioni del lancio. Queste includono una revisione della privacy condotta da ingegneri della privacy appositamente formati. Durante le revisioni della privacy, gli ingegneri della privacy si assicurano che tutte le norme e le linee guida di Jibe applicabili vengano seguite, incluse a titolo esemplificativo le norme relative alla pseudonimizzazione e alla conservazione ed eliminazione dei dati.
4. Sicurezza del personale
Il personale di Jibe è tenuto a comportarsi in modo coerente con le linee guida della società in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. Jibe conduce controlli ragionevolmente appropriati dei precedenti del personale nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro vigenti.
Il personale è tenuto a sottoscrivere un accordo di riservatezza, nonché a dare conferma di ricezione delle norme sulla privacy e sulla riservatezza di Jibe, e della propria conformità con tali norme. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione dei Dati personali del partner deve soddisfare requisiti aggiuntivi inerenti al proprio ruolo. Il personale di Jibe non tratterà i dati personali del partner senza autorizzazione.
5. Sicurezza del sub-responsabile
Prima di eseguire l'onboarding dei Sub-responsabili, Jibe conduce un controllo delle pratiche di sicurezza e delle norme di tutela della privacy adottate dai Sub-responsabili per assicurare che questi forniscano un livello di sicurezza e privacy consono all'accesso ai dati e alla portata dei servizi per cui vengono incaricati. Una volta che Jibe ha valutato i rischi presentati dal Sub-responsabile, quest'ultimo è tenuto a rispettare termini contrattuali appropriati relativi a sicurezza, riservatezza e privacy, soggetti ai requisiti previsti nella Sezione 11.3 (Requisiti per l'incarico del Sub-responsabile).
Allegato 3: Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati
I seguenti Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano questo Addendum sul trattamento dei dati:
- Addendum relativo alla LGPD applicabile al Responsabile all'indirizzo business.safety.google/processorterms/lgpd (del 27 agosto 2020)
- Addendum relativo alle leggi statali degli Stati Uniti all'indirizzo business.safety.google/processorterms/us-state-laws (datato 12 dicembre 2022)
I riferimenti a Google LLC o Google nell'Addendum relativo alla LGPD applicabile al Responsabile e nell'Addendum relativo alle leggi statali degli Stati Uniti si riferiranno a Jibe.
Addendum per il trattamento dei dati di Jibe, versione 4.0