Strada nomina Colin Brennan nuovo Chief Executive Officer

Termini Strada DPA

Data di entrata in vigore: 15 luglio 2024

Il presente Addendum sulla protezione dei dati (il “DPA“) è soggetto all’accordo di servizi sottostante tra Strada e il Cliente (l'”Accordo di servizio“), in base al quale Strada può essere tenuta a trattare i Dati personali (come definito di seguito).

Sezione 1 – Definizioni.

I termini in maiuscolo utilizzati ma non altrimenti definiti nel presente documento avranno il significato ad essi attribuito nell’Accordo di Servizio.
A meno che il contesto esplicito non richieda diversamente, qualsiasi riferimento al Contratto di Servizi include qualsiasi modulo d’ordine, dichiarazione di lavoro o altro documento d’ordine stipulato ai sensi dello stesso.

1.1. Per “Leggi sulla protezione dei dati” si intendono tutte le leggi e i regolamenti applicabili in materia di privacy, sicurezza o protezione dei dati, inclusi, a seconda dei casi, il Regolamento generale sulla protezione dei dati dell’UE 2016/679 (“GDPR”), il California Consumer Privacy Act del 2018 (“CCPA“), il California Privacy Rights Act del 2020 (“CPRA”), il Gramm-Leach-Bliley Act (“GLBA”), il Data Protection Act del 2018 del Regno Unito o il GDPR del Regno Unito, modificati, abrogati o sostituiti.

1.2. Per “Interessato” si intende, in relazione a qualsiasi Dato Personale, una persona fisica identificata o identificabile.

1.3. Per “Dati personali” si intende qualsiasi informazione elaborata da o per conto di Strada per il Cliente in relazione al Contratto di Servizi che
(a) si riferisce a un Interessato, che può essere identificato, direttamente o indirettamente, da tali informazioni, da sole o in combinazione con altre informazioni trattate da o per conto di Strada, in particolare con riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o a uno o più fattori specifici del fisico, l’identità fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica o
(b) è altrimenti protetto dalle Leggi sulla protezione dei dati.
I Dati personali includono qualsiasi altra informazione che costituisca “dati personali”, “informazioni personali”, informazioni di identificazione personale o termini simili ai sensi delle Leggi sulla protezione dei dati applicabili.

1.4. Per “Trattamento” o “Processo/i” si intende
(a) qualsiasi operazione o insieme di operazioni eseguite su Dati personali o su insiemi di Dati personali, con o senza mezzi automatizzati, comprese la raccolta, la conservazione, l’adattamento o la modifica, l’estrazione, l’uso, la divulgazione, la cancellazione o la distruzione, e
(b) qualsiasi altra attività che coinvolga i Dati Personali inclusa nella definizione di “trattamento” ai sensi delle Leggi sulla Protezione dei Dati.

1.5. Per “Clausole contrattuali standard” o “SCC” si intendono le clausole contrattuali standard per il trasferimento di dati personali dall’Unione Europea (“UE”) o dallo Spazio economico europeo (“SEE“) a paesi terzi allegate alla decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, o eventuali documenti successivi o meccanismi di trasferimento.

1.6. Per “Sub-responsabile” si intende qualsiasi persona (diversa da un dipendente), comprese le affiliate di Strada, nominata da o per conto di Strada per il trattamento dei Dati personali per conto del Cliente.

1.7. Per “UK IDTA” si intende l’Addendum sul trasferimento internazionale dei dati alle SCC, versione B1.0, approvato dal parlamento del Regno Unito (“UK”) il 21 marzo 2022, emesso ai sensi della Sezione 119A del Data Protection Act 2018 per conformarsi all’articolo 46 del GDPR del Regno Unito quando si effettuano trasferimenti limitati, o eventuali documenti o meccanismi di trasferimento successivi.

Sezione 2.
Trattamento dei dati personali.

2.1.
Instructions; Limits on Use. Il Cliente (in qualità di titolare del trattamento) nomina e istruisce Strada (in qualità di responsabile del trattamento) a trattare i Dati personali allo scopo di eseguire i Servizi e altrimenti adempiere a qualsiasi dei suoi obblighi o far valere uno qualsiasi dei suoi diritti ai sensi dell’Accordo di servizio e del presente DPA, rispettando la legge applicabile e rispettando qualsiasi altra istruzione fornita da o per conto del Cliente (lo “Scopo”).
Strada conserverà, utilizzerà, divulgherà o tratterà in altro modo i Dati Personali solo per lo Scopo.
Il Cliente è responsabile di fornire a Strada tutte le informazioni pertinenti necessarie per eseguire lo Scopo e dovrà garantire che le sue istruzioni a Strada siano conformi alle Leggi sulla protezione dei dati.
Strada informerà immediatamente il Cliente se, a suo avviso, un’istruzione fornita da o per conto del Cliente è in conflitto con qualsiasi legge sulla protezione dei dati; fermo restando che Strada non avrà alcuna responsabilità per la ricerca o la scoperta di tali conflitti o per garantire in altro modo che tali conflitti non esistano.
Nel caso in cui Strada notifichi al Cliente tale conflitto, Strada può sospendere l’esecuzione delle istruzioni applicabili nella misura necessaria per evitare tale conflitto mentre le Parti collaborano in buona fede per risolvere tale questione in modo tempestivo.

2.2.
Limits on Disclosure. Strada non divulgherà alcun Dato Personale a terzi, ad eccezione di quanto necessario per adempiere allo Scopo e altrimenti in conformità con il presente DPA.
Il Cliente dovrà divulgare i Dati Personali a Strada solo nella misura richiesta da Strada o nella misura altrimenti necessaria per lo Scopo.
Il Cliente non divulgherà o condividerà i Dati Personali con Strada se non nel formato e nelle modalità standard e concordate.

2.3.
Compliance with Data Protection Laws. Ciascuna Parte deve rispettare i propri obblighi ai sensi delle Leggi sulla protezione dei dati.
Strada fornirà un’assistenza ragionevole al Cliente nell’adempimento dei suoi obblighi ai sensi delle Leggi sulla protezione dei dati in relazione al trattamento dei dati personali, tenendo conto della natura del trattamento di Strada e delle informazioni a disposizione di Strada.
Strada informerà il Cliente qualora ritenga ragionevolmente di non poter adempiere ai propri obblighi ai sensi del presente DPA o di qualsiasi Legge applicabile in materia di protezione dei dati, nel qual caso le Parti collaboreranno in buona fede per identificare le misure appropriate per affrontare la situazione.

2.4.
Supervisory Authority Requests .
If Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada.

2.5.
Data Protection Impact Assessment and Prior Consultation .
Strada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada.

2.6.
Data Subject Rights. Strada informerà tempestivamente il Cliente qualora riceva una richiesta da parte di un Interessato che faccia valere i diritti previsti dalle Leggi sulla Protezione dei Dati in relazione ai propri Dati Personali.
Strada non risponderà a tali richieste se non su istruzioni scritte (inclusa l’e-mail) del Cliente o come richiesto dalle Leggi sulla protezione dei dati, nel qual caso Strada dovrà, nella misura consentita da tali Leggi sulla protezione dei dati, informare il Cliente di tale requisito prima di tale risposta.
Strada fornirà al Cliente un’assistenza ragionevole nei suoi sforzi per adempiere ai suoi obblighi di rispondere a tali richieste, anche fornendo l’accesso o le informazioni su, la cancellazione o la modifica dei Dati Personali pertinenti, in ogni caso, nella misura richiesta e in conformità con le Leggi sulla Protezione dei Dati.
Se Strada non è in grado di fornire tale assistenza per motivi consentiti dalle Leggi sulla protezione dei dati, Strada informerà tempestivamente il Cliente di tale fatto e fornirà tale assistenza prontamente dopo che i motivi per non farlo saranno scaduti.

2.7.
Return and Destruction. Su richiesta scritta del Cliente, o a seguito della risoluzione o della scadenza del Contratto di Servizio, Strada dovrà, e richiederà ai suoi Subresponsabili di:
(a) restituire una copia dei Dati Personali al Cliente mediante trasferimento sicuro di file nel formato consueto di Strada e
(b) cancellare o rendere anonime in modo permanente tutte le altre copie dei Dati personali.
Strada soddisferà tale richiesta scritta entro 20 giorni lavorativi.
Strada e i suoi Sub-responsabili del trattamento possono conservare i Dati Personali per quanto necessario per adempiere alla Finalità e rispettare la legge applicabile, nel qual caso i termini del presente DPA continueranno ad applicarsi a tali Dati Personali per tutto il tempo in cui vengono conservati.

2.8.
Recordkeeping. Strada manterrà registri accurati e aggiornati in merito a qualsiasi Trattamento dei Dati Personali, tra cui
(a) registrazioni relative all’accesso e alla sicurezza dei Dati personali, alle finalità e alle categorie del Trattamento dei Dati personali e ai relativi Sub-responsabili e
(b) qualsiasi altra registrazione come richiesto dalle Leggi sulla protezione dei dati.
Il presente DPA funge da registro delle attività di trattamento come richiesto dall’articolo 30, paragrafo 2, del GDPR.

2.9.
Employees. I Dati Personali saranno accessibili solo ai dipendenti di Strada che richiedono tale accesso per assistere Strada in relazione allo Scopo.
Salvo quanto diversamente limitato dalle leggi locali applicabili, Strada richiede che tutti i nuovi dipendenti siano sottoposti a un controllo completo dei precedenti pre-assunzione in conformità con le leggi e le consuetudini locali.
Strada richiede che gli accordi che includono disposizioni di non divulgazione/riservatezza siano firmati da tutti i nuovi dipendenti.
Strada fornisce ai dipendenti una formazione periodica sulla sicurezza dei dati e sulla privacy.

2.10.
Subprocessors. Il Cliente autorizza generalmente Strada a nominare Subresponsabili del trattamento per supportare l’esecuzione dei Servizi.
Strada elencherà i suoi Subresponsabili nel modulo d’ordine, nella dichiarazione di lavoro, nell’ordine di modifica o in altro documento che descrive in modo più completo i Servizi applicabili.
Solo nella misura necessaria per rispettare le leggi sulla protezione dei dati, il Cliente avrà il diritto di opporsi a qualsiasi modifica entro 10 giorni lavorativi da tale avviso; a condizione che il Cliente possa opporsi solo sulla base di ragionevoli preoccupazioni che il Subresponsabile nuovo o sostitutivo non sia in grado di fornire il livello di protezione dei Dati personali richiesto dal presente DPA.
Se il Cliente non si oppone alla nomina entro tale periodo di tempo, Strada può incaricare il Subresponsabile nuovo o sostitutivo del trattamento dei Dati personali.
Se il Cliente si oppone all’appuntamento entro tale termine, Strada può scegliere di
(a) non utilizzare tale Subresponsabile o
(b) adottare le misure correttive richieste dal Cliente nella sua obiezione e utilizzare il Sub-responsabile.
Strada lavorerà con il Cliente in buona fede per rendere disponibili materiali che dimostrino la capacità di qualsiasi Subresponsabile di fornire il livello di protezione dei Dati Personali richiesto dal presente DPA.
Strada rimarrà responsabile per l’uso, la divulgazione o altro trattamento dei dati personali da parte di uno qualsiasi dei suoi sub-responsabili nella stessa misura in cui se tale uso, divulgazione o altro trattamento fosse da parte di Strada.
Prima che qualsiasi Sub-responsabile del trattamento tratti i Dati personali, Strada effettuerà un’adeguata due diligence per determinare che tale Sub-responsabile sia in grado di fornire il livello di protezione dei Dati personali richiesto dal presente DPA.
L’accordo tra Strada e ciascun Subresponsabile del trattamento sarà regolato da un contratto scritto che contiene requisiti coerenti e non meno rigorosi di quelli che si applicano a Strada ai sensi del presente DPA.
Strada dichiara di mantenere un programma di sicurezza del fornitore che valuta la conformità dei Subresponsabili a tali contratti.
Su richiesta scritta del Cliente, Strada metterà a disposizione del Cliente un riepilogo dei termini di protezione dei dati del Subresponsabile (redatto, se necessario, per proteggere eventuali informazioni riservate).

2.11 Accesso governativo. Se a Strada o a uno dei suoi rappresentanti viene richiesto o richiesto di divulgare a un’autorità governativa (comprese le forze dell’ordine) o di elaborare in altro modo qualsiasi dato personale per legge o procedimento legale al di fuori dello Scopo definito, Strada (se consentito dalla legge) dovrà prontamente contestare ragionevolmente tale richiesta, informare il Cliente e cooperare ragionevolmente (a spese del Cliente) negli sforzi del Cliente per ottenere un ordine di protezione appropriato o altro rimedio.
Strada comunicherà all’autorità governativa competente che Strada è un
(i) responsabile del trattamento dei Dati Personali, che
(ii) il Cliente non ha autorizzato tale divulgazione e che
(iii) tutte le richieste o richieste di accesso ai Dati Personali devono essere notificate o notificate al Cliente.
Fermo restando quanto sopra, il Cliente riconosce che tale contestazione potrebbe non essere sempre ragionevole o possibile alla luce della natura, dell’ambito, del contesto e degli scopi della richiesta dell’autorità governativa prevista.
In nessun caso Strada divulgherà più Dati Personali di quanto necessario per ottemperare alla richiesta di divulgazione.

Sezione 3.
Misure tecniche e organizzative.

Strada implementerà e manterrà adeguate misure fisiche, tecniche, organizzative e amministrative ragionevolmente progettate per proteggere contro la distruzione, la perdita, l’accesso o l’alterazione non autorizzati dei Dati Personali, comprese le misure elencate nell’Allegato A allegato al presente documento e qui incorporate.
Le misure attuate da Strada per proteggere i Dati Personali devono essere coerenti e non meno rigorose di quanto richiesto dalle Leggi sulla Protezione dei Dati.
Strada implementerà e manterrà politiche scritte sulla privacy e sulla sicurezza delle informazioni coerenti con gli standard del settore.

Sezione 4.
Notifica e risposta agli incidenti di sicurezza dei dati.

4.1. Strada notificherà al Cliente senza indebito ritardo e in conformità con i requisiti delle Leggi applicabili sulla protezione dei dati qualsiasi violazione della sicurezza confermata o ragionevolmente sospetta da parte di Strada o di uno dei suoi Subprocessori che comporti l’accesso, l’alterazione, la distruzione, la divulgazione o la perdita illecita o non autorizzata dei Dati personali (un “Incidente di sicurezza dei dati”).

4.2. In caso di incidente di sicurezza dei dati, Strada adotterà misure ragionevoli e appropriate per
(a) indagare sull’impatto di tale incidente di sicurezza dei dati,
(b) identificare la causa principale di tale incidente di sicurezza dei dati,
(c) porre rimedio all’Incidente di Sicurezza dei Dati e
(d) prevenire il ripetersi di tale Incidente di Sicurezza dei Dati.

4.3. Strada fornirà al Cliente senza indebito ritardo informazioni riguardanti la natura e le conseguenze dell’Incidente di Sicurezza dei Dati, nella misura in cui Strada ne sia a conoscenza, comprese le informazioni necessarie per consentire al Cliente di informare le parti interessate in conformità con le Leggi sulla Protezione dei Dati.
Strada non avviserà terzi senza la preventiva istruzione del Cliente in tal senso per iscritto o ove richiesto dalla legge.

Sezione 5.
Audit.

5.1 Il Cliente può, a proprie spese e con ragionevole preavviso a Strada, verificare i libri, i registri e gli altri documenti di Strada nella misura necessaria per verificare la conformità di Strada ai termini del presente DPA; a condizione che il Cliente non possa esercitare i propri diritti di revisione ai sensi del presente Contratto più di una volta in un periodo di 12 mesi (a meno che non sia diversamente richiesto dalla legge o in relazione a qualsiasi verifica avviata da un ente governativo avente giurisdizione sul Cliente).
Ciascuna di queste verifiche avverrà durante il normale orario lavorativo e non dovrà interferire irragionevolmente con le normali operazioni commerciali di Strada, e Strada non sarà tenuta a divulgare o fornire in altro modo l’accesso a qualsiasi informazione la cui divulgazione causerebbe la violazione da parte di Strada di qualsiasi obbligo di riservatezza o legge applicabile.
Il Cliente può incaricare una terza parte di condurre tale audit a condizione che tale terza parte non sia un concorrente di Strada e stipuli un accordo di riservatezza ragionevolmente accettabile per Strada.
Gli audit ai sensi del presente DPA saranno soggetti a eventuali termini e condizioni aggiuntivi relativi agli audit nell’Accordo di servizio.

5.2 Laddove Strada dimostri la conformità con certificazioni riconosciute dal settore o codici di condotta approvati (come ISO 27001, EU Cloud Code of Conduct o SOC 2 Type 2 audit report), il Cliente può controllare solo aree non comprese da queste certificazioni o codici di condotta approvati.

Sezione 6.
CCPA/CPRA.

La presente Sezione si applica a tutti i Dati personali disciplinati dal CCPA/CPRA.

6.1. Il Cliente dichiara e garantisce a Strada che tutti i Dati Personali divulgati da o per conto del Cliente ai sensi del presente Contratto sono forniti esclusivamente per lo Scopo, che è uno “Scopo Commerciale” (come definito dal CCPA/CPRA).

6.2. Strada conserverà, utilizzerà e divulgherà i Dati Personali solo per lo Scopo e non per qualsiasi altro scopo commerciale o comunque al di fuori del rapporto tra Strada e il Cliente.
Strada non venderà, condividerà o mescolerà i Dati Personali se non espressamente consentito dal CCPA/CPRA.
Strada rispetterà i propri obblighi ai sensi del CCPA/CPRA.
Strada informerà tempestivamente il Cliente qualora non sia più in grado di adempiere ai propri obblighi ai sensi del CCPA/CPRA.

6.3. Strada riconosce e accetta che il Cliente avrà il diritto di adottare misure ragionevoli e appropriate per
(a) garantire che Strada utilizzi i Dati Personali in modo coerente con gli obblighi del Cliente ai sensi del CCPA/CPRA e
(b) interrompere e rimediare all’uso non autorizzato dei Dati personali.

6.4. Il Cliente è tenuto a informare tempestivamente Strada di qualsiasi richiesta del consumatore effettuata ai sensi del CCPA/CPRA a cui Strada deve conformarsi e a fornire le informazioni necessarie affinché Strada possa soddisfare tale richiesta.

Sezione 7.
Dettagli del trattamento.

Alcune informazioni relative al trattamento dei dati personali da parte di Strada richieste dall’articolo 28, paragrafo 3, del GDPR sono riportate nell’Allegato B allegato al presente documento e qui incorporato.
Il Cliente può apportare modifiche ragionevoli all’Allegato B mediante notifica a Strada di volta in volta nella misura in cui il Cliente lo ritenga ragionevolmente necessario per soddisfare tali requisiti.
Nulla di quanto contenuto nell’Allegato B conferisce alcun diritto o impone alcun obbligo a qualsiasi Parte.

Sezione 8.
Trasferimenti transfrontalieri.

8.1.
General. Nessuna delle Parti trasferirà i Dati personali oltre confine a meno che tale trasferimento non sia conforme alle Leggi sulla protezione dei dati.
Le Parti collaboreranno ragionevolmente, se necessario, per determinare se qualsiasi trasferimento transfrontaliero di Dati Personali tra il Cliente e Strada in relazione allo Scopo sia conforme alle Leggi sulla Protezione dei Dati.

8.2.
SCCs. Se qualsiasi trasferimento di Dati Personali tra il Cliente e Strada richiede l’esecuzione delle SCC al fine di rispettare le Leggi sulla Protezione dei Dati, il Cliente, in qualità di titolare ed esportatore dei dati, e Strada, in qualità di responsabile del trattamento e importatore dei dati, stipulano (e incorporano nel presente documento per riferimento) le SCC in vigore dall’inizio di tale trasferimento.
Le Parti utilizzano il Modulo II (Da titolare a responsabile del trattamento) delle SCC, che è compilato come segue:

8.2.1. Clausola 7: Si applica la clausola di attracco opzionale.

8.2.2. Clausola 9: Si applica l’opzione 2 e il periodo di tempo per la notifica delle modifiche al Subresponsabile del trattamento è quello concordato ai sensi del presente DPA.

8.2.3. Clausola 11(a): La lingua opzionale non si applica.

8.2.4. Clausola 13 e Allegato I.C.: L’autorità di vigilanza della Repubblica d’Irlanda è l’autorità di vigilanza competente.

8.2.5. Clausola 17: Si applica l’opzione 1 e la legge applicabile è quella della Repubblica d’Irlanda.

8.2.6. Clausola 18(b): Le controversie saranno risolte dai tribunali della Repubblica d’Irlanda.

8.2.7. Allegato I:
(a) l’Elenco delle Parti sarà quello indicato nell’Accordo di Servizi e in qualsiasi modulo d’ordine, dichiarazione di lavoro, ordine di modifica o altro documento applicabile che descriva in modo più completo i Servizi applicabili;
(b) le descrizioni del trasferimento devono essere quelle indicate nell’Allegato B (Dettagli del trattamento); e (c) l’Autorità di Vigilanza Competente sarà quella sopra indicata.

8.2.8. Allegato II: le Misure Tecniche e Organizzative saranno quelle indicate nell’Allegato A (Misure Tecniche e Organizzative), sostanzialmente identiche per Strada e i suoi Subresponsabili.

8.2.9. Allegato III: l’elenco dei sub-responsabili del trattamento deve essere mantenuto in conformità alla sezione 2.10 (Sub-responsabili del trattamento).

8.2.10. Le Parti possono integrare gli Allegati alle SCC in qualsiasi modulo d’ordine, dichiarazione di lavoro, ordine di modifica o altro documento che descriva in modo più completo i Servizi applicabili, che saranno considerati incorporati nel presente documento con riferimento in relazione a tali Servizi.
In caso di conflitto o incoerenza tra il presente DPA o qualsiasi documento supplementare, da un lato, e le SCC, dall’altro, le SCC prevarranno nella misura richiesta dalle Leggi sulla protezione dei dati.
In deroga a qualsiasi disposizione contraria contenuta nel presente documento, in nessun caso il presente DPA o qualsiasi documento supplementare di questo tipo, direttamente o indirettamente, pregiudicherà i diritti degli interessati ai sensi delle Leggi sulla protezione dei dati.

8.3.
UK IDTA .
If any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.
The UK IDTA shall be populated as follows:

8.3.1. Parte 1, Tabella 1 (Parti): Le parti devono essere quelle indicate nell’Accordo di Servizi e in qualsiasi modulo d’ordine, dichiarazione di lavoro, ordine di modifica o altro documento applicabile che descriva in modo più completo i Servizi applicabili.

8.3.2. Parte 1, Tabella 2 (SCC selezionate, moduli e clausole selezionate): l’IDTA del Regno Unito deve essere allegato alle SCC come indicato nella Sezione 8.2 (SCC).

8.3.3. Parte 1, Tabella 3 (Informazioni sull’appendice): Le informazioni sull’appendice devono essere quelle indicate nella Sezione 8.2 (SCC).

8.3.4. Parte 1, Tabella 4 (Cessazione del presente Addendum in caso di modifica dell’Addendum approvato): Nessuna delle Parti può porre fine all’IDTA del Regno Unito come stabilito nella Sezione 19 dello stesso.

8.4.
Swiss Data Protection Act .
The SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications:

8.4.1. Qualsiasi riferimento nelle SCC al “Regolamento (UE) 2016/679” deve essere interpretato come riferimento alla legge svizzera sulla protezione dei dati e qualsiasi riferimento nelle SCC ad articoli specifici del “Regolamento (UE) 2016/679” deve essere sostituito con l’articolo o la sezione equivalente della legge svizzera sulla protezione dei dati.

8.4.2. Qualsiasi riferimento nelle SCC a “UE”, “Unione”, “Stato membro” o “diritto degli Stati membri” deve essere interpretato come riferimento alla Svizzera e alle leggi svizzere, a seconda dei casi, e non deve essere interpretato in modo tale da escludere gli interessati in Svizzera dall’esercizio dei loro diritti nel loro luogo di residenza abituale in conformità con la clausola 18(c) delle SCC.
A sostegno di quanto sopra, la clausola 17 delle SCC sarà modificata per prevedere che la legge applicabile sia quella della Svizzera.

8.4.3. Qualsiasi riferimento nelle SCC a “autorità di controllo competente” o “tribunali competenti” deve essere interpretato come riferimento all’Incaricato federale della protezione dei dati e della trasparenza della Svizzera (il “IFPDT Svizzera“) e i tribunali svizzeri, a seconda dei casi. A sostegno di quanto precede, (a) la clausola 13 e l’allegato I.C. delle SCC saranno modificati per prevedere che l’FDDT svizzero avrà autorità sui trasferimenti di dati disciplinati dalla legge svizzera sulla protezione dei dati (fermo restando che l’autorità sui trasferimenti di dati non disciplinati dalla legge svizzera sulla protezione dei dati sarà come altrimenti stabilito nel presente DPA) e (b) la clausola 18(b) delle SCC sarà modificata per prevedere che le controversie saranno risolte dai tribunali svizzeri.

Sezione 9.
Affiliati clienti.

I termini del presente DPA si applicano anche a tutti i Dati personali trattati da o per conto di Strada per qualsiasi Cliente affiliato.
Il Cliente dichiara e garantisce di essere e di rimanere sempre autorizzato a sottoscrivere il presente DPA e ad adempiere a tutti i suoi obblighi ai sensi del presente documento per conto di ciascun affiliato del Cliente.
Il Cliente sarà sempre responsabile del rispetto del presente DPA da parte degli affiliati del Cliente e tutti gli atti e le omissioni da parte degli affiliati del Cliente che ricevono i Servizi ai sensi dell’Accordo di Servizi sono considerati atti e omissioni del Cliente.

Sezione 10.
Obblighi del cliente.

Se il Cliente ordina a Strada di fornire i Dati Personali a qualsiasi fornitore del Cliente o altro rappresentante (diverso da Strada), il Cliente sarà responsabile per gli atti e le omissioni di tale fornitore o altro rappresentante in relazione a ciò.
Il Cliente sarà responsabile del mantenimento di tutti i diritti (inclusa la base giuridica legale), dell’ottenimento di eventuali licenze, autorizzazioni, approvazioni e consensi e della fornitura di tutte le comunicazioni, in ogni caso, necessarie a Strada per il Trattamento dei Dati Personali per lo Scopo.
Il Cliente rimane responsabile di garantire che la conservazione, l’uso, la divulgazione o altro trattamento dei Dati personali sia conforme alle sue politiche e pratiche e alle leggi ad esse applicabili.

Sezione 11.
Termine; Effetto della risoluzione.

Il termine del presente DPA decorre dalla data di entrata in vigore dell’Accordo di Servizi e continuerà fino a quando l’Accordo di Servizi rimane in vigore o Strada o uno dei suoi Sub-responsabili conservino i Dati personali.
I diritti e gli obblighi delle Parti che, per loro natura, dovrebbero sopravvivere alla risoluzione o alla scadenza del presente DPA, sopravvivranno a tale risoluzione o scadenza.

Sezione 12.
Misto.

12.1.
Entire Agreement. Il presente DPA è da considerarsi parte integrante dell’Accordo di Servizi e parte di esso.
Il presente DPA, insieme all’Accordo di servizio, costituisce l’unico e completo accordo delle Parti in relazione all’oggetto del presente documento e dello stesso, e sostituisce tutte le intese, gli accordi, le dichiarazioni e le garanzie precedenti e contemporanee, sia scritte che orali, in relazione a tale oggetto.
A scanso di equivoci, tutti i reclami e le responsabilità derivanti da o correlati al presente DPA saranno presentati e soggetti ai termini dell’Accordo di servizio, comprese le disposizioni ivi contenute in materia di indennizzo, limitazione di responsabilità, risoluzione delle controversie, scelta della legge o scelta del foro.

12.2.
Severability. Se una qualsiasi disposizione del presente ATD, o la sua applicazione a qualsiasi persona, luogo o circostanza, sarà ritenuta non valida, nulla o inapplicabile da un tribunale della giurisdizione competente, il resto del presente ATD e la disposizione applicata ad altre persone, luoghi o circostanze rimarranno in vigore a tutti gli effetti e tali disposizioni non valide, La disposizione nulla o inapplicabile sarà applicata nella misura massima consentita dalla legge.

12.3.
Amendment; Waiver. Le Parti convengono di intraprendere le azioni ragionevoli necessarie per modificare di volta in volta il presente DPA, nella misura necessaria alle Parti per conformarsi alle Leggi sulla protezione dei dati.
Il presente ATD non può essere emendato o altrimenti modificato a meno che tale emendamento o modifica non sia stabilito per iscritto, identificato come emendamento o modifica del presente ATD e firmato da un rappresentante autorizzato di ciascuna delle Parti.
Nessuna disposizione del presente DPA può essere derogata a meno che tale rinuncia non sia stabilita per iscritto, identificata come una rinuncia al presente DPA e firmata da un rappresentante autorizzato della Parte rinunciante.
Salvo quanto diversamente previsto nel presente ATD, nessun mancato o ritardato esercizio da parte di una Parte di qualsiasi diritto ai sensi del presente ATD costituirà una rinuncia allo stesso, né qualsiasi esercizio singolo o parziale dello stesso precluderà qualsiasi altro o ulteriore esercizio dello stesso o l’esercizio di qualsiasi altro diritto.

12.4.
No Third Party Beneficiaries. Il presente DPA sarà vincolante e andrà a beneficio delle Parti e dei rispettivi successori e cessionari autorizzati e nulla di quanto contenuto nel presente documento, esplicito o implicito, è inteso o conferirà a qualsiasi altra persona alcun diritto, beneficio o rimedio legale o equo di qualsiasi natura ai sensi o in ragione del presente DPA.

12.5.
Relationship of the Parties. Il rapporto tra le Parti è quello di contraenti indipendenti e il presente DPA non stabilirà alcun rapporto di agenzia, partnership, joint venture, fiduciario, franchising o lavoro tra le Parti (o tra una Parte e un rappresentante dell’altra Parte).
Nessuna delle Parti, in virtù del presente DPA, avrà alcun diritto, potere o autorità, espressa o implicita, di vincolare l’altra Parte.

12.6.
Force Majeure; Excused Performance. In deroga a qualsiasi disposizione contraria contenuta nel presente DPA, Strada non sarà responsabile, né potrà essere considerata in violazione del presente DPA a seguito di qualsiasi mancato rispetto dei suoi obblighi ai sensi del presente documento o di qualsiasi altro atto o omissione attribuibile a
(a) qualsiasi inadempienza da parte del Cliente ai propri obblighi ai sensi del presente Contratto o delle Leggi sulla protezione dei dati,
(b) qualsiasi atto o omissione di qualsiasi venditore o altro rappresentante del Cliente (diverso da Strada e dai suoi Subprocessori) o
(c) qualsiasi atto di forza maggiore o altro atto o circostanza al di fuori del ragionevole controllo di Strada; a condizione che nessuna disposizione della presente Sezione limiti o pregiudichi in altro modo l’obbligo di Strada di eseguire il proprio programma di continuità aziendale e di disaster recovery.
Ciascuna delle Parti compirà ogni sforzo commercialmente ragionevole per mitigare gli effetti di una qualsiasi delle circostanze di cui sopra.

12.7.
Interpretation. Qualsiasi ambiguità nel presente DPA sarà risolta a favore di un significato che consenta a entrambe le Parti di rispettare le Leggi sulla protezione dei dati.
A meno che il contesto esplicito non richieda diversamente, le parole “del presente documento”, “nel presente documento”, “di seguito” e parole di significato simile si riferiscono al presente DPA nel suo insieme e non a una particolare disposizione del presente DPA, i riferimenti a una sezione specifica si riferiscono alle sezioni del presente DPA, salvo diversa espressa disposizione e le parole “includere”, “incluso” e le parole di significato simile saranno considerate seguite dalle parole “senza limitazioni”.
Le didascalie o le intestazioni del presente ATD sono solo per comodità e non devono essere considerate parte o influenzare la costruzione o l’interpretazione di alcuna disposizione del presente ATD.

12.9 Informazioni di contatto aziendali.
Strada e il Cliente possono elaborare le informazioni di contatto aziendali dell’altra Parte, che includono Dati personali come il nome di un individuo e l’indirizzo e-mail aziendale, per contattare, identificare o autenticare un individuo a titolo professionale o commerciale.
Tale Trattamento viene effettuato in qualità di titolari autonomi indipendentemente dal fatto che svolgano attività per fornire e ricevere i Servizi.
Ciascuna delle Parti ha implementato e segue misure tecniche e organizzative adeguate per proteggere le informazioni di contatto aziendali dell’altra Parte.

12.8.
Notices. Tutte le comunicazioni ai sensi del presente DPA a Strada devono essere inviate a stradaclientcontracting@stradaglobal.com Tutte le comunicazioni ai sensi del presente DPA al Cliente devono essere inviate in conformità con l’Accordo di servizio.

Allegato A – Misure tecniche e organizzative

  1. Sicurezza fisica.

Strada mantiene controlli di sicurezza per i punti di ingresso, le aree di attesa, le aree di telecomunicazione e le aree di cablaggio che contengono sistemi di elaborazione delle informazioni o supporti contenenti Dati personali.
I controlli di sicurezza includono:

  • Controllo e limitazione degli accessi mediante l’uso di un perimetro di sicurezza definito, barriere di sicurezza adeguate, telecamere di sicurezza, controlli all’ingresso e controlli di autenticazione e mantenimento dei registri di accesso per un periodo di tempo specificato dalla legge o dalla politica;
  • Laddove vengono implementate le carte d’identità Strada, l’obbligo per tutto il personale, i fornitori, gli appaltatori e i visitatori di indossare una qualche forma di identificazione visibile per identificarsi come dipendenti, appaltatori, fornitori o visitatori;
  • Una politica chiara su scrivania/schermo chiaro;
  • Un blocco automatico del minimo per le apparecchiature non presidiate;
  • L’obbligo per i visitatori di Strada di essere sempre accompagnati; e
  • Ove tecnicamente fattibile e commercialmente ragionevole, telecamere e telecamere a circuito chiuso.
  1. Business Continuity e Disaster Recovery.

Strada mantiene i seguenti controlli e salvaguardie di continuità operativa:

  • Il programma di continuità aziendale e ripristino di emergenza si basa su pratiche di settore generalmente accettate progettate per ridurre gli effetti di un’interruzione significativa delle operazioni di Strada;
  • I programmi di continuità aziendale e ripristino di emergenza vengono testati almeno una volta all’anno;
  • I backup dei sistemi e dei software di Strada utilizzati nell’erogazione dei Servizi vengono replicati presso la sua struttura di disaster recovery in modo che il ripristino possa avvenire in caso di disastro; e
  • I dati vengono replicati nella struttura di ripristino di emergenza, fornendo un backup temporizzato pianificato dei dati per garantirne l’integrità.
  1. Controlli di sicurezza della rete.

Strada mantiene i seguenti controlli e salvaguardie di sicurezza della rete:

  • Progettazione di difesa approfondita con router perimetrali, switch di rete e dispositivi firewall e politica di negazione di tutti i valori predefinita per proteggere la presenza su Internet;
  • Privilegio minimo e accesso autenticato per gli utenti e le apparecchiature della rete;
  • Controllo dell’accesso a Internet tramite proxy;
  • Autenticazione a due fattori per l’accesso remoto con password non riutilizzabile;
  • Sistema di rilevamento delle intrusioni per monitorare e rispondere a potenziali intrusioni;
  • Registrazione e indagine degli eventi di rete in tempo reale utilizzando uno strumento di gestione degli eventi delle informazioni di sicurezza;
  • Filtraggio dei contenuti e blocco dei siti Web tramite elenchi approvati;
  • Limitazioni all’accesso wireless alla rete;
  • Politiche e standard per i dispositivi di rete wireless;
  • Divieti di collegamento tra reti wireless e altre reti, compresa la rete aziendale; e
  • Rilevamento e dissociazione di punti di accesso wireless non autorizzati.
  1. Controlli di sicurezza della piattaforma.

Strada mantiene i seguenti controlli e salvaguardie di sicurezza della piattaforma:

  • Mantenimento degli standard di configurazione/hardening;
  • Controllo delle modifiche attraverso un processo interno di change control;
  • Divieto di installazione di hardware e software non autorizzati;
  • Ove tecnicamente fattibile, timeout automatici delle sessioni dopo periodi di inattività;
  • Rimozione delle impostazioni predefinite fornite dal fornitore (account, password e ruoli) durante l’installazione;
  • Rimozione di servizi e dispositivi che non sono richiesti da valide esigenze aziendali;
  • Utilizzo di un programma antivirus con aggiornamenti tempestivi;
  • Accesso ad account non privilegiati su workstation e laptop;
  • Crittografia completa del disco su laptop;
  • Le piattaforme di sviluppo e test saranno separate dalle piattaforme operative utilizzate per la fornitura dei Servizi;
  • Gli strumenti di sviluppo come compilatori, assemblatori, editor e altre utilità generiche all’interno dell’ambiente di produzione non saranno consentiti a meno che non sia espressamente richiesto per la fornitura dei Servizi, nel qual caso l’accesso è limitato; e
  • Il software e l’hardware utilizzati per l’erogazione dei Servizi saranno aggiornati in linea con gli standard del settore, il supporto dei fornitori e le linee guida sulla sicurezza.
  1. Controlli di sicurezza delle applicazioni.

Strada mantiene i seguenti controlli e salvaguardie di sicurezza delle applicazioni:

  • Difesa in profondità con l’uso di un’architettura a più livelli per la separazione e la protezione dei dati;
  • Un ciclo di vita sicuro dello sviluppo del software (SSDLC) per lo sviluppo di applicazioni che include formazione, sviluppo, test e valutazioni continue;
  • Documentazione, revisione, test e approvazione prima che le modifiche vengano implementate in produzione;
  • Identificazione, test e correzione delle vulnerabilità e delle patch delle applicazioni in modo tempestivo; e
  • Divieto di utilizzare i dati di produzione in ambienti di sviluppo e test.
  1. Gestione dei dati e delle risorse.

Strada mantiene i seguenti controlli e salvaguardie di sicurezza per la gestione dei dati e delle risorse:

  • Salvaguardie tecniche, amministrative e fisiche;
  • Backup e archiviazione regolari dei Dati Personali;
  • Crittografia dei Dati Personali trasmessi su reti pubbliche e su supporti rimovibili;
  • Utilizzo di uno strumento di prevenzione della perdita di dati per le attività di trasferimento dei dati degli endpoint che coinvolgono numeri di previdenza sociale o altri numeri di identificazione nazionali;
  • Utilizzo di un programma di inventario per controllare l’installazione, la proprietà e il movimento di hardware, software e apparecchiature di comunicazione;
  • La crittografia, la sanificazione, la distruzione o l’eliminazione di tutti i supporti fisici contenenti Dati personali che lasciano la custodia di Strada per garantire che la rappresentazione magnetica, ottica, elettrica o di altro tipo residua dei dati sia stata eliminata e non sia recuperabile; e
  • Separazione logica dei Dati Personali di un cliente Strada dagli altri clienti Strada.
  1. Controllo e gestione degli accessi.

Strada mantiene i seguenti controlli e salvaguardie di sicurezza per il controllo e la gestione degli accessi:

  • Monitoraggio e registrazione dell’accesso e dell’utilizzo dei sistemi Strada che contengono Dati Personali, inclusa la registrazione dei tentativi di accesso ai sistemi Strada che contengono Dati Personali;
  • Revisione e convalida periodiche dell’accesso basato sui ruoli ai Dati personali e rimozione tempestiva degli accessi non necessari;
  • ID di accesso e password univoci;
  • Password complesse con requisiti minimi di lunghezza, complessità e scadenza;
  • Disabilitare l’accesso dopo un numero limitato di tentativi di accesso non riusciti; e
  • Rifiuto delle password utilizzate in precedenza.
  1. Gestione del rischio.

Strada mantiene i seguenti controlli e salvaguardie di gestione del rischio:

  • Un sistema di gestione dei rischi per la sicurezza delle informazioni allineato allo standard di buona pratica per la sicurezza delle informazioni (Information Security Forum);
  • Un ciclo di valutazioni del rischio degli asset critici, la cui frequenza dipende dal numero di rischi residui identificati in ciascun sito;
  • L’analisi del rischio è documentata utilizzando modelli standardizzati di valutazione del rischio; e
  • Le attività di gestione del rischio sono stabilite quando i rischi sono definiti e concordati con i proprietari degli asset.
  1. Gestione delle vulnerabilità e delle patch.

Strada adotta le seguenti misure volte a identificare e mitigare le vulnerabilità che minacciano la capacità di Strada di far rispettare la riservatezza, l’integrità e la disponibilità dei Dati personali:

  • Un processo di monitoraggio delle vulnerabilità che fornisce avvisi o notifiche sulle nuove correzioni disponibili e il periodo di tempo risultante per la correzione;
  • Scansione regolare per identificare e correggere tempestivamente le vulnerabilità;
  • Classificazione delle vulnerabilità in base alla gravità per consentire la correzione in base alle aspettative predeterminate del livello di servizio; e
  • Test di penetrazione sugli ambienti Strada applicabili, inclusi test di vulnerabilità perimetrale, test di vulnerabilità dell’infrastruttura interna e test delle applicazioni.

Allegato B – Dettagli del trattamento

Operazioni di trattamento

Le operazioni di trattamento da effettuare ai sensi del presente DPA sono le seguenti: I Dati personali ricevuti per conto del Cliente saranno utilizzati per l’esecuzione dei Servizi ai sensi dell’Accordo di servizi (ad esempio, buste paga e altri servizi di outsourcing dei processi aziendali, consulenza software e attività correlate) e possono includere:

  • fornitura di software, apparecchiature e servizi per l’elaborazione dei dati attraverso vari strumenti, applicazioni e fornitori;
  • manutenzione e configurazione delle applicazioni;
  • caricamenti e trasferimenti di dati;
  • archiviare o registrare i Dati Personali;
  • impedire l’accesso o la modifica non autorizzati dei Dati personali (e di altri Dati non personali);
  • programmare, stampare e assemblare, rivedere e modificare le dichiarazioni come indicato dal Cliente;
  • comunicare con gli interessati in relazione ai servizi forniti al Cliente; e
  • fornendo materiali di riferimento come richiesto dal Cliente.

Lo scopo delle operazioni di trattamento di cui sopra è fornire i Servizi in conformità con l’Accordo di Servizio.

Soggetti interessati

I Dati Personali che saranno trattati da Strada per conto del Cliente riguardano le seguenti categorie di interessati: dipendenti attuali, ex e/o potenziali, loro parenti e familiari e altri rappresentanti del Cliente e degli affiliati del Cliente.

Categorie di dati personali da trattare

I Dati Personali trattati da Strada comprendono le seguenti categorie: Dati HR/Dipendenti: che possono includere: nome completo; nome da nubile; numero di identificazione del dipendente; nome utente; immagine; informazioni di contatto (inclusi indirizzo di casa e di lavoro, numeri di telefono di casa e di lavoro, numeri di cellulare, dati dell’indirizzo web, indirizzo e-mail di casa e di lavoro); stato civile; informazioni sulla cittadinanza; Data di nascita; genere; informazioni sulla patente di guida; informazioni di identificazione nazionali e governative; informazioni finanziarie (inclusi conto bancario, pignoramenti, prestiti, stipendi e saldi dei conti); informazioni sul programma di benefit (tra cui le scelte dei benefit, le informazioni sui beneficiari, le informazioni sui reclami, i numeri di conto e i saldi dei piani di benefit e la data di pensionamento); informazioni sulle buste paga; informazioni professionali o lavorative (tra cui data di assunzione, stato occupazionale, titolo di lavoro, storia lavorativa e scolastica, storia retributiva, informazioni sulla ritenuta fiscale, registri delle prestazioni, informazioni sulle ferie, informazioni sui viaggi e data di cessazione); e altri dati personali che possono essere trasferiti da (o per conto di) Cliente a Strada per l’esecuzione di servizi per il Cliente.

Dati delle persone correlate: possono includere, a titolo esemplificativo ma non esaustivo: nome, data di nascita, sesso e informazioni di contatto di persone a carico o beneficiarie (inclusi indirizzo di casa; numeri di telefono di casa e di lavoro; numeri di cellulare); e altri dati personali che possono essere trasferiti da (o per conto di) Cliente a Strada per l’esecuzione di servizi per il Cliente.

Categorie particolari di dati personali

I Dati Personali trattati da Strada possono includere dati personali sensibili tra cui informazioni sull’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, vita sessuale, salute, genetica, biometria o cartelle cliniche e/o precedenti penali.